Tags: Windows 10, OS Deployment, Intune
Windows AutoPilot ist ein Cloud-Dienst von Microsoft, mit dem Firmen ihre Windows-PCs bereitstellen können. Endbenutzer können so ihre Rechner weitgehend selbständig in Betrieb nehmen. Neben dem OS kann man auch gleich Anwendungen wie MS Office installieren. Diese Anleitung zeigt, wie man den Service nutzt.
Im benutzergesteuerten Modus müssen User einen neuen PC nur auspacken, einschalten, eine Sprache wählen, eine Verbindung zu ihrem Netzwerk herstellen und ihre Anmeldeinformationen eingeben. Der PC führt danach den Rest des Bereitstellungsprozesses automatisch aus. Dazu gehören:
- Beitritt zu Ihrer Organisation
- Eintragen des Geräts in Microsoft Intune
- Konfiguration des PCs basierend auf den Einstellungen, die auf Organisationsebene festgelegt wurden
Autopilot unterstützt zwei Szenarien für die Konfiguration, die den Beitritt zum jeweiligen Verzeichnis beinhalten:
- Azure Active Directory
- Hybrides Verzeichnis (AD und Azure AD)
Beispielkonfiguration anhand einer VM
Um einen Endbenutzer zu simulieren, der einen Windows 10-Desktop erhält und diesen auspackt, verwende ich in diesem Beitrag eine virtuelle Maschine mit Windows 10.
Die OEMs erfassen automatisch die ID eines jeden Geräts im Werk. Mit dem folgenden PowerShell-Script simulieren wir diese Tätigkeit des Herstellers und erfassen die Hardware-ID der virtuellen Maschine. Dazu führt man im Gast-OS folgende Befehle aus:
Die obigen Schritte erstellen eine CSV-Datei, die in AutoPilot importiert werden kann. Dazu navigiert man im Portal von Microsoft Endpoint Manager zur Registrierung von Geräten und führt dort den Import-Befehl aus. Im darauf folgenden Dialog wählt man die eben gespeicherte .CSV-Datei.
Nun sollte das neue Autopilot-Gerät erfolgreich hinzugefügt worden sein.
Gruppen in Autopilot hinzufügen
Wahrscheinlich werden Sie die Bereitstellung über Autopilot auf bestimmte User oder Geräte beschränken wollen. Dies lässt sich über Gruppen in Azure Active Directory erreichen. Man kann bei Bedarf auch dynamische Gruppen verwenden, deren Mitgliedschaften sich automatisch über Filter definieren lassen.
Für mein Beispiel füge ich einfach das vorhin importierte Gerät einer neu erstellten Gruppe hinzu.
Branding für das eigene Unternehmen
Sie können das Erscheinungsbild des Bereitstellungsprozesses anpassen, damit er für den Endbenutzer vertraut aussieht. Außerdem lässt sich so schnell feststellen, ob Autopilot das Gerät richtig ansteuert.
Zu diesem Zweck navigieren Sie zum Azure Active Directory-Blade und wählen Sie Company branding. Der unten abgebildete Dialog legt ein Logo und den Text für die Anmeldeseite fest.
MDM und MAM konfigurieren
Im nächsten Schritt wollen wir die Richtlinien für MDM und MAM anpassen. Wählen Sie im Blade für Azure Active Directory den Eintrag Mobility (MDM and MAM) und setzen den Gültigkeitsbereich für beide auf All.
Anwendungen zum Autopilot-Profil zuweisen
Als nächstes können Sie dem Autopilot-Profil auch Anwendungen zuweisen. Typische Kandidaten sind hier die Apps von Microsoft Office. Dazu wählen Sie im Endpoint Manager Apps => Windows => Add, um die Anwendungen von Microsoft 365 in Windows 10 bereitzustellen.
Im nächsten Schritt bearbeitet man die Zuweisungen unter den Eigenschaften von Microsoft 365 Apps.
Fügen Sie AAD-Gruppe hinzu, die Sie als Bereich für den Autopilot-Einsatz weiter oben verwendet haben. Klicken Sie auf Review + save.
Bereitstellungsprofil für Windows Autopilot erstellen
Wir haben nun die Voraussetzungen für Autopilot geschaffen. Jetzt müssen wir das Deployment-Profil für Autopilot definieren. Klicken Sie dazu im Endpoint Manager auf Devices => Enroll devices => Deployment profiles.
Auf der folgenden Seite wählt man Create profile => Windows PC.
Mit diesem Befehl startet man den Wizard für neue Profil. Für dieses vergibt man zuerst einen Namen und fügt bei Bedarf eine Beschreibung hinzu.
Wählen Sie auf der Seite "Out-of-Box Experience" (OOBE) den Bereitstellungsmodus, die Art des Azure AD-Beitritts und andere Einstellungen, um diese Phase der Windows-Installation anzupassen.
Beim benutzergesteuerten Ansatz werden die Geräte mit dem User verknüpft, der das Gerät in Betrieb nimmt, und dafür muss er sich mit seinen Credentials anmelden. Klicken Sie auf Next, sobald die Einstellungen so konfiguriert sind, dass sie Ihren Anforderungen entsprechen.
Legen Sie auf dem Bildschirm Assignments fest, welcher Gruppe Sie das Bereitstellungsprofil zuordnen möchten. Hier wählen wir die Gruppe, die das oben importierte Gerät enthält.
Nach der Bestätigung des Vorgangs in der abschließenden Übersicht sollte das neue Deployment-Profil angelegt werden.
Wenn Sie zur Geräteübersicht zurückkehren, sehen Sie möglicherweise, dass der Profilstatus Nicht zugewiesen anzeigt. Ist dies der Fall, dann klicken Sie auf die Schaltfläche Sync.
Autopilot auf dem Windows-10-PC ausführen
Nachdem Autopilot und andere Komponenten konfiguriert sind, können wir seine Funktion auf dem (virtuellen) PC testen. Während der OOBE-Phase wähle ich die Option Für eine Organisation einrichten.
Geben Sie als nächstes das Konto der Organisation ein, das für die Konfiguration von Windows 10 verwendet werden soll.
Nach der Eingabe des Organisationskontos wird das benutzerdefinierte Branding unter dem Feld für das Passwort angezeigt. Dies ist ein guter Hinweis darauf, dass der Autopilot funktioniert. Nach der Eingabe des Kennworts erscheinen die normalen Dialoge zur Konfiguration von Windows Hello und des PIN-Codes für den Zugriff auf das Gerät.
Nach der Anmeldung beginnen die Microsoft 365-Apps mit dem Download. Die Installation für Microsoft 365 hält den Anmeldeprozess nicht auf, so dass der Endbenutzer zum Desktop gelangen kann. Im Startmenü sehen wir deshalb die Download-Symbole für die Office-Programme.
Fazit
Mit Windows Autopilot können Organisationen einen neuen Windows 10-PC an Endbenutzer liefern lassen und den Desktop vollständig bereitstellen, sobald sich diese mit dem Organisationskonto anmelden. Wie gezeigt, kann mit nur ein wenig Konfiguration eine große Anzahl von Endgeräten erfolgreich in die bestehende Umgebung eingebunden werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Taskleiste in Windows 11 anpassen und mit GPO oder Intune verteilen
- Patch-Status von PCs überwachen mit Windows Update for Business Reports
- Windows Autopatch: Weitere WSUS-Alternative aus der Cloud
- SophiApp: Einstellungen von Windows 10 mit GUI-Tool optimieren
- Windows 10 21H2 ist verfügbar: Aus für SAC, neues Release in 2022, Support bis 2025
Weitere Links
1 Kommentar
Empfehlenswerte Community Tools
WIMWitch (ISO / WIM Anpassung)
OSDCloud (Automatisierung des gesamten Prozesses, Treiber / Firmwareupdates etc)