Du kennst das Szenario: Neue Geräte müssen in deinem Unternehmen eingerichtet und konfiguriert werden, und das kann eine mühsame Aufgabe sein. Aber zum Glück gibt es eine Lösung: Windows Autopilot, der innerhalb von Microsoft Intune verfügbar ist. Mit Autopilot kannst du diese Aufgabe in einen reibungslosen Prozess verwandeln.
Table of Contents
Was ist Windows Autopilot?
Windows Autopilot ist ein integraler Bestandteil des Mobile Device Managements (MDM) mit Microsoft Intune. Es ermöglicht das automatisierte Deployment von Windows 10 Geräten, ohne dass eine Neuinstallation des Betriebssystems erforderlich ist. Stattdessen greift Autopilot auf bereits vorhandene Images zurück. Dadurch wird nicht nur Zeit gespart, sondern auch die physische Anwesenheit der Geräte in der IT-Abteilung überflüssig.
Registration leicht gemacht
Die Konfiguration von Autopilot ist denkbar einfach. Du kannst Konfigurationen erstellen, die direkt vom Hardwarelieferanten hochgeladen werden können. Diese Konfigurationen verwenden eindeutige Geräte-IDs, um Lizenzen, Nutzerprofile und Endgeräte miteinander zu verknüpfen.
Das Ergebnis? Geräte können ohne Umwege über die IT-Abteilung direkt an die Endnutzer verschickt werden.
Autopilot Registration via Intune
Sind deine Geräte bereits mit Intune verwaltet?
Dann hast du die Möglichkeit, diesen ein Autopilot Profil zuzuweisen und sie gleich damit registrieren zu lassen.
Meine Erfahrungen haben gezeigt, dass du damit 80-90% deiner Geräte abfängst, ein kleiner Teil bleibt möglicherweise übrig, der manuell angegangen werden muss.
Und so gehst du vor um die Funktion "Convert all targeted devices to Autopilot" zu aktivieren.
1. Erstelle ein neues Autopilot Profil oder bearbeite ein bestehendes
Beides findest du in Intune unter:
Devices > Windows > Windows Enrollment > Deployment Profiles
2. Beim Erstellen oder Bearbeiten siehst du dann gleich auf dem ersten Reiter (Basics) die Option "Convert all targeted devices to Autopilot":
3. Nach dem Anwenden des Profils ist Geduld gefragt, manchmal dauert es echt lange, bis die Geräte erscheinen. Darum weiche ich meistens auf die Option via PowerShell aus, die in nächsten Punkt beschrieben ist.
Einen Deep Dive in die Funktion findest du hier: Convert All targeted Devices to Autopilot | Intune Flow (call4cloud.nl)
Autopilot Registration via PowerShell
Falls du bestehende oder neue Geräte hast, die weder in Intune sind noch vom Lieferanten register wurden, kannst du dies auch via PowerShell importieren.
Dazu musst du lediglich ein paar Befehle mit Administartorenrechten auf einem Gerät ausführen.
Hier im ersten Beispiel wird ein CSV auf dem Laufwerk "C" im Ordner "HWID" abgelegt. Dieses kannst du anschliessend in Intune hochladen.
New-Item -Type Directory -Path "C:\HWID"
Set-Location -Path "C:\HWID"
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Install-Script -Name Get-WindowsAutopilotInfo
Get-WindowsAutopilotInfo -OutputFile C:\HWID\APHash.csv
Code language: PowerShell (powershell)
In Intune findest du den Upload unter:
Devices > Enrollment > Windows > Devices
Du kannst den Upload aber auch gleich direkt vom Gerät aus machen, dazu benötigst du zusätzlich zu den Administratorenrechten auch einen Intune- oder Global Administrator in deinem Tenant.
Die PowerShell Befehle dazu sehen dann so aus:
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Install-Script -Name Get-WindowsAutopilotInfo
Get-WindowsAutopilotInfo -Online
Code language: JavaScript (javascript)
Möchtest du diesen Prozess automatisieren?
Dann habe ich hier für dich eine Lösung: Windows Autopilot Registration with App registration | scloud
Der Setup-Prozess
Die Einrichtung von Autopilot erfolgt über das Intune Admin Center. Hier kannst du den Nutzerkreis auswählen, der sich in Intune mit seinen Geräten identifizieren darf.
Stelle dafür sicher, dass in Intune unter "Devices > Windows > Enrollment > Automatic Enrollment" die User zugelassen sind. Entweder für alle oder eine definierte Benutzer Gruppe.
Die Wahl zwischen (Azure AD) Entra Joined und Hybrid Azure AD Joined
Je nach den Anforderungen deines Unternehmens kannst du wählen, ob sich Geräte nur in der Cloud als Objekt bestehen (Entra Joined) oder aber zusätzlich auch in deinem lokalen Actice Direcotry verfügbar sind (Hybrid Azure AD Joined). Diese Auswahl hat Auswirkungen auf die Verwaltung, Administration und vor allem Benutzererfahrung deiner Geräte. Bei einem Entra Join verwaltest du das Gerät komplett via Intune, wobei du mit einem Hybrid Join auch die klassischen GPO's nutzen kannst.
Der Enrollment-Prozess bei Hybridgeräten ist aber wesentlich komplexer, fehleranfälliger und dauert länger. Darum meine Empfehlung: Fahre Cloud Only.
Wenn du dich an lokalen Ressourcen wie beispielsweise Netzlaufwerken oder Druckern authentifizieren musst, kannst du das auch via "Cloud only" und dem "Cloud Kerberos Trust".
Autopilot Profil erstellen
Autopilot ermöglicht die Erstellung von Profilen zur automatischen Konfiguration von Geräten. Diese Profile können auf eine Gruppe von Geräten oder auf alle Geräte angewendet werden. Selbst Geräte, die bereits in Benutzung sind, können in den Autopilot-Deployment-Prozess einbezogen werden. Dieser greift bei bereits laufenden Geräten aber erst beim nächsten Durchlauf der OOBE-Phase.
Du kannst zwischen dem nutzergesteuerten (User-Driven) und dem Selbstbereitstellungsmodus (Self-Deployment-Modus) wählen, um die Bedürfnisse deines Unternehmens zu erfüllen.
Das Profil erstellst du unter:
Devices > Windows > Windows Enrollment > Deployment Profiles
Wähle hier "Create profile" und den Typ "Windows PC" aus.
Anschliessend definierst du einen Namen und eine optionale Beschreibung.
Nun musst du dich entscheiden, was für ein Profiltyp du verwenden möchtest. Dieser kann im Nachgang nicht mehr geändert werden. Du kannst aber jederzeit ein neues Profil erstellen und deinen Geräten zuweisen.
Meisten ist die Option "User Driven" und "Azure AD joined" die richtige.
Du kannst auch definieren, ob der Benutzer Administrator sein sollte oder nicht (am besten nicht). Das Pre-Provisioning aktiviere ich jeweils auch, auch wenn es nicht immer benötigt wird.
Bei der SPrache kannst du bereits eine Region und optional auch eine Tastatur vordefinieren. In der Schweiz setzte ich das Tastaturlayout nicht, da es oft ein falsches wählt.
Zu Guter Letzt kannst du noch ein Namenstemplate definieren. (Bei den zufälligen Nummern sind diese nicht aufsteigend. ) Und die Seriennummer wird, falls der Name länger als 15 Zeichen wird abgeschnitten.
Scope Tags schauen wir in diesem Beitrag nciht an und sind auch nicht zwingend nötig.
Bei der Zuweisung hast du die Möglichkeit das Profil entweder allen Geräten oder einer Spezifischen Gruppe zuzuweisen. Wenn du es allen Geräten zuweist, hast du keine Möglichkeit gewisse Geräte vom Profil auszuschliessen.
Im nächsten Schritt musst du nur noch speichern klicken und dann etwas warten, bis das Profil deinem Gerät zugewiesen ist.
Ob und welches Profil einem Gerät zugewiesen ist, findest du hier:
Devices > Windows > Windows Enrollment > Devices
Statusanzeige: Enrollment Status Page (ESP)
Sobald sich ein Nutzer zum ersten Mal an einem Gerät anmeldet, präsentiert die Anmeldeseite für den Registrierungsstatus (ESP) den Fortschritt bei der Konfiguration des Geräts. Gleichzeitig stellt der ESP sicher, dass das Gerät sich in dem erwarteten Zustand befindet, bevor der Nutzer zum ersten Mal auf seinen Desktop zugreifen kann.
Die ESP verfolgt die Installation von Anwendungen, Sicherheitsrichtlinien, Zertifikaten und Netzwerkverbindungen, um sicherzustellen, dass die Benutzererfahrung reibungslos und sicher verläuft.
Das Verhalten sowie gewisse Funktionalitäten können vorkonfiguriert werden. Diese unter:
Devices > Windows > Windows Enrollment > Enrollment Status Page
Hier kannst du entweder die Default Policy bearbeiten oder eine spezifische für einen Benutzerkreis erstellen.
Im ersten Abschnitt definierst du, ob die Seite überhaupt angezeigt wird, das Empfehle ich dir sehr.
Zudem musst du ein Installations Timeout hinterlegen, welches den Prozess Fehlschlagen lässt, wenn diese Zeit überschritten ist. Ziel von mir ist es immer, die ESP-Phase so kurz wie möglich zu gestalten.
In den nächsten Punkten kannst du verschieden Funktionen an oder ausschalten. Gerade zum Testen empfehle ich dir die nachstehenden Settings.
Als letzte Option kannst du noch definieren, welche zugewiesenen Apps alles installiert werden sollen. Versuche diese Apps auf ein minimum zu beschränken. Ziel soll es sein, dass der Benutzer so schnell wie möglich auf seinem Desktop landet und mit einfachen Arbeiten starten kann. Alle weiteren zugewiesenen Applikationen werden dann nach dem ersten Login automatisch installiert.
End-User Experience
Das Ziel des Windows Autopilot Deployments ist, dass der Benutzer bei einem neuen Gerät nur folgende Schritte durchlaufen muss:
- Device starten
- Benutzerlogin durchführen
- Gerät wird registriert
Applikationen werden installiert
Device Konfiguration wird abgeschlossen - Und los gehts!
Demo User Experience
Hier der ganz Ablauf im Schnell Durchgang aufgezeigt, wie ihn der Endbenutzer erlebt.
Fazit
Insgesamt bietet Windows Autopilot eine effiziente Möglichkeit, die Bereitstellung und Verwaltung von Windows-Geräten zu automatisieren und zu vereinfachen. Ich hoffe, dass diese Informationen dir dabei helfen, Autopilot einzuführen und zu konfigurieren. Schau dir auch meine anderen Beiträge und Tipps an, um dich bei der Arbeit mit Microsoft Intune und anderen Microsoft 365 Produkten zu unterstützen!
Hallo Florian
Ich bin ein grosser Fan deiner Arbeit. Mir haben schon oft deine Anleitungen geholfen und danke dir dafür, dass du dir die Zeit nimmst so etwas auf die Beine zu stellen.
Ich habe zu diesem Thema eine Frage. Ich habe den Teil (Upload aber auch gleich direkt vom Gerät) genau so gemacht, wie du es beschrieben hast. Das hat auch funktioniert. Auch das Bereitstellungsprofil und die Registrierungsseite habe ich so eingerichtet, wie von dir beschrieben. Als ich nun AutoPilot registriertes Gerät zurückgesetzt habe und ich das einrichten wollte, kommt trotzdem die normale Einrichtungsseite von Windows. Es zeigt mir nicht an, dass das ein Schul- oder Firmengerät ist. Wenn ich dann mich anmelde mit den anmelde Daten des Benutzers, kommt zwar der Status der Einrichtung (Gerätekonfiguration etc.), aber dann bricht es ab und ich lande im Menu mit den Datenschutzbestimmungen von Windows etc. Somit scheint es nicht ganz zu funktionieren.
Kannst du mir da helfen oder mir einen Ratschlag geben, was ich evtl. falsch gemacht habe?
Ich danke dir schon im voraus.
Hallo, erst mal vielen Dank für dein tolles Feedback! 🙂
Kannst du mal nachschauen, welche Windows-Version du auf deinem Rechner hast? Wenn es Home ist, würde das das Verhalten erklären. Ansonsten prüfe auch, ob das Profil in der Autopilot-Geräteübersicht in Intune noch zugewiesen ist und wenn der Fehler dann immer noch auftritt, lösche auch das alte Intune-Objekt in der Geräteübersicht (Devices > Windows).
Ich hoffe das hilft 🙂