Du kennst die Situation: Neuer Rechner für den Kunden, Windows ist drauf, Microsoft 365 ist da – und trotzdem darfst du dich noch durch jeden OneDrive-Login, jede Office-Aktivierung und jede SharePoint-Bibliothek manuell klicken. Das geht eleganter. Mit ein paar sauber gesetzten Intune-Policies meldet sich OneDrive von selbst an, Word und Excel übernehmen die Anmeldung mit, und die Team-Bibliotheken landen auf Wunsch direkt im Explorer.
In diesem Beitrag zeige ich dir, wie du das einrichtest – und wo du vorher kurz nachdenken solltest, bevor du es einfach so ausrollst.
Voraussetzung: Entra Join (oder Hybrid)
Bevor wir loslegen: Ohne Entra-Join (oder Hybrid Entra Join) funktioniert das SSO nicht. Der Grund ist das Primary Refresh Token (PRT), das Windows beim Anmelden vom Tenant zieht – nur damit erkennen OneDrive und Office den User automatisch.
Heißt für dich: Wenn dein Kunde noch klassisch nur AD-domain-joined ist, musst du erst Hybrid Join einrichten oder gleich auf Cloud-Native (reines Entra Join) umstellen. Letzteres ist heute in den meisten Fällen die robustere Wahl, sofern keine zwingenden On-Prem-Abhängigkeiten bestehen.
Teil 1: OneDrive automatisch anmelden
Den Settings Catalog findest du in Intune unter Geräte → Konfiguration → Profil erstellen → Plattform: Windows 10 und höher → Profiltyp: Einstellungskatalog. Die ADMX-Vorlagen erfüllen denselben Zweck, aber der Settings Catalog ist deutlich übersichtlicher und wird von Microsoft inzwischen bevorzugt gepflegt.
Im Bereich OneDrive brauchst du diese drei Settings:
Silently sign in users to the OneDrive sync app with their Windows credentials → Aktiviert
Das ist der eigentliche Auto-Login. Sobald sich der User an Windows anmeldet, startet OneDrive im Hintergrund mit denselben Credentials.
Use OneDrive Files On-Demand → Aktiviert
Pflicht, kein Optional. Ohne Files On-Demand würde OneDrive die komplette Cloud-Bibliothek lokal synchronisieren – und das killt dir bei jedem zweiten Notebook die SSD.
Silently move Windows known folders to OneDrive → Optional
Wenn du Known Folder Move (KFM) für Desktop, Dokumente und Bilder haben willst, hier aktivieren und die Tenant-GUID eintragen. Praktisch, weil damit auch lokale Daten automatisch in der Cloud landen – aber eben auch ein Eingriff, den der User nicht mehr rückgängig machen kann.
Bei den Settings, die nach einer Tenant-ID fragen: Das ist deine Entra-Tenant-GUID. Findest du im Entra Portal unter Übersicht.
Teil 2: Office-Anwendungen mitziehen
Sobald das Gerät Entra-joined ist und der User mit seinem M365-Konto angemeldet, übernehmen Word, Excel, Outlook und Teams die Anmeldung automatisch. In der Praxis brauchst du da meistens gar nichts mehr machen.
Falls du es absichern willst, gibt es im Settings Catalog unter Microsoft Office 2016 (Computer) die Option:
Automatically activate Office with federated organization credentials → Aktiviert
Mein Tipp: Steuere Office-Settings möglichst nicht über Intune-ADMX, sondern über den Office Cloud Policy Serviceunter config.office.com. Der ist nutzer- statt gerätegebunden, greift auch auf BYOD-Geräten und überschreibt klassische ADMX-Policies sauber. Für reine Geräte-Settings bleibt Intune natürlich erste Wahl, aber für alles, was den Office-User selbst betrifft, ist der Cloud Policy Service der bessere Weg.
Teil 3: Team-Site-Bibliotheken automatisch im Explorer
Jetzt zum spannenden Teil: SharePoint-Bibliotheken automatisch ausrollen, ohne dass jeder User auf „Synchronisieren“ klicken muss.
Das Setting heißt Configure team site libraries to sync automatically und liegt ebenfalls im OneDrive-Block des Settings Catalog. Pro Bibliothek brauchst du einen Library-Token in diesem Format:
LibraryName=tenantId=<GUID>&siteId=<GUID>&webId=<GUID>&listId=<GUID>&webUrl=https://<tenant>.sharepoint.com/sites/<Site>&version=1
Den Token bekommst du am einfachsten so: Geh im Browser auf die SharePoint-Bibliothek, klick einmal auf „Synchronisieren“. In der Registry liegt der zusammengebaute Token dann unter:
HKCU\Software\SyncEngines\Providers\OneDrive\
Den kannst du direkt rauskopieren und in der Intune-Policy einsetzen. Bei mehreren Kunden lohnt sich ein PowerShell-Snippet, das dir die IDs via Microsoft Graph oder PnP zieht – sag Bescheid, dann poste ich dazu nochmal einen eigenen Beitrag.
Bevor du das so ausrollst – kurz nachdenken
Ich will dir nichts ausreden, aber ein paar Punkte solltest du im Hinterkopf haben:
Auto-Mount lohnt nur bei kleinen Bibliotheken. Bei großen Team-Libraries mit über 100.000 Items oder mehreren hundert Gigabyte erzeugt der Sync massive Last und Performance-Probleme bis hin zu kompletten Sync-Aussetzern. Microsoft selbst empfiehlt hier, lieber den Browser- oder Teams-Zugriff zu nutzen.
Storage Sense nicht vergessen. Aktiviere im Settings Catalog unter Storage die automatische Bereinigung, sodass nicht genutzte Cloud-Dateien nach beispielsweise 30 Tagen wieder zu reinen Online-Dateien werden. Sonst füllen sich die SSDs lautlos, bis irgendwann der erste Anruf kommt.
Es gibt eine bessere Alternative: „Zu OneDrive hinzufügen“. Seit ein paar Jahren bietet SharePoint diese Shortcut-Funktion an. Statt eine ganze Bibliothek zwangsweise zu syncen, legt der User (oder du via Skript) einfach einen Shortcut in seinem OneDrive-Root ab. Vorteile: Skaliert deutlich besser, weil nur tatsächlich geöffnete Inhalte heruntergeladen werden, funktioniert über mehrere Geräte hinweg konsistent, und der User behält die Kontrolle. Im Multi-Customer-Betrieb ist das pflegeleichter als zentral erzwungene Auto-Mounts.
Cloud-Native statt Hybrid. Wenn du sowieso gerade Infrastruktur planst und keine zwingenden On-Prem-Kerberos-Abhängigkeiten hast, denk über reines Entra Join mit Cloud Kerberos Trust nach. Das SSO funktioniert sauberer, du sparst dir den ODJ-Connector, und Geräte sind bei einem Hardware-Tausch in zehn Minuten wieder einsatzbereit.
Fazit
Mit drei OneDrive-Settings, einer optionalen Office-Policy und ein bisschen Vorarbeit beim Library-Token bekommst du ein sauberes Onboarding hin, bei dem der User sich nur einmal an Windows anmeldet – und der Rest läuft. Wichtig ist, dass du es nicht überreizt: Nicht jede SharePoint-Bibliothek gehört zwangsweise in den Explorer, und Files On-Demand plus Storage Sense sind kein Optional-Feature, sondern Pflicht.
Wenn du Fragen zur Umsetzung hast oder bei einer der Policies hängst, meld dich gerne.