Windows 10 mit Autopilot bereitstellen

    Windows AutoPilotWindows AutoPilot ist ein Cloud-Dienst von Microsoft, mit dem Firmen ihre Windows-PCs bereit­stellen können. End­benutzer können so ihre Rechner weit­gehend selb­ständig in Be­trieb nehmen. Neben dem OS kann man auch gleich Anwen­dungen wie MS Office in­stal­lieren. Diese An­leitung zeigt, wie man den Ser­vice nutzt.

    Im benutzer­gesteuerten Modus müssen User einen neuen PC nur auspacken, einschalten, eine Sprache wählen, eine Verbindung zu ihrem Netzwerk herstellen und ihre Anmelde­infor­mationen eingeben. Der PC führt danach den Rest des Bereitstellungs­prozesses automatisch aus. Dazu gehören:

    • Beitritt zu Ihrer Organisation
    • Eintragen des Geräts in Microsoft Intune
    • Konfiguration des PCs basierend auf den Einstellungen, die auf Organisationsebene festgelegt wurden

    Ablauf der Bereistellung von Windows 10 mit AutoPilot

    Autopilot unterstützt zwei Szenarien für die Konfiguration, die den Beitritt zum jeweiligen Verzeichnis beinhalten:

    • Azure Active Directory
    • Hybrides Verzeichnis (AD und Azure AD)

    Beispielkonfiguration anhand einer VM

    Um einen Endbenutzer zu simulieren, der einen Windows 10-Desktop erhält und diesen auspackt, verwende ich in diesem Beitrag eine virtuelle Maschine mit Windows 10.

    Die OEMs erfassen automatisch die ID eines jeden Geräts im Werk. Mit dem folgenden PowerShell-Script simulieren wir diese Tätigkeit des Herstellers und erfassen die Hardware-ID der virtuellen Maschine. Dazu führt man im Gast-OS folgende Befehle aus:

    Geräte-ID mit dem PowerShell-Script Get-WindowsAutoPilotInfo erfassen

    Die obigen Schritte erstellen eine CSV-Datei, die in AutoPilot importiert werden kann. Dazu navigiert man im Portal von Microsoft Endpoint Manager zur Registrierung von Geräten und führt dort den Import-Befehl aus. Im darauf folgenden Dialog wählt man die eben gespeicherte .CSV-Datei.

    Geräte in Windows AutoPilot importieren

    Nun sollte das neue Autopilot-Gerät erfolgreich hinzugefügt worden sein.

    Die VM, deren ID importiert wurde, findet sich nun in der Liste der registrierten Geräte.

    Gruppen in Autopilot hinzufügen

    Wahrscheinlich werden Sie die Bereitstellung über Autopilot auf bestimmte User oder Geräte beschränken wollen. Dies lässt sich über Gruppen in Azure Active Directory erreichen. Man kann bei Bedarf auch dynamische Gruppen verwenden, deren Mitglied­schaften sich automatisch über Filter definieren lassen.

    Für mein Beispiel füge ich einfach das vorhin importierte Gerät einer neu erstellten Gruppe hinzu.

    Hinzufügen eines Geräts zu einer AutoPilot-Gruppe in Azure Active Directory

    Branding für das eigene Unternehmen

    Sie können das Erscheinungs­bild des Bereitstellungs­prozesses anpassen, damit er für den Endbenutzer vertraut aussieht. Außerdem lässt sich so schnell feststellen, ob Autopilot das Gerät richtig ansteuert.

    Zu diesem Zweck navigieren Sie zum Azure Active Directory-Blade und wählen Sie Company branding. Der unten abgebildete Dialog legt ein Logo und den Text für die Anmeldeseite fest.

    AutoPilot an das eigene Unternehmen anpassen

    MDM und MAM konfigurieren

    Im nächsten Schritt wollen wir die Richtlinien für MDM und MAM anpassen. Wählen Sie im Blade für Azure Active Directory den Eintrag Mobility (MDM and MAM) und setzen den Gültig­keits­bereich für beide auf  All.

    Scope für MDM und MAM User Scope auf All ändern

    Anwendungen zum Autopilot-Profil zuweisen

    Als nächstes können Sie dem Autopilot-Profil auch Anwendungen zuweisen. Typische Kandidaten sind hier die Apps von Microsoft Office. Dazu wählen Sie im Endpoint Manager Apps => Windows => Add, um die Anwendungen von Microsoft 365 in Windows 10 bereit­zustellen.

    Anwendungen an das Autopilot-Deployment zuweisen

    Im nächsten Schritt bearbeitet man die Zuweisungen unter den Eigenschaften von Microsoft 365 Apps.

    Eigenschaften der zugewiesenen Anwendung anzeigen und Zuweisung bearbeiten

    Fügen Sie AAD-Gruppe hinzu, die Sie als Bereich für den Autopilot-Einsatz weiter oben verwendet haben. Klicken Sie auf Review + save.

    Azure-AD-Gruppe an das Bereitstellungsprofil von Windows Autopilot zuweisen

    Bereitstellungsprofil für Windows Autopilot erstellen

    Wir haben nun die Voraussetzungen für Autopilot geschaffen. Jetzt müssen wir das Deployment-Profil für Autopilot definieren. Klicken Sie dazu im Endpoint Manager auf Devices => Enroll devices => Deployment profiles.

    Menüpunkt für das Erzeugen eines Deployment-Profils für AutoPilot

    Auf der folgenden Seite wählt man Create profile => Windows PC.

    Neues Profil anlegen

    Mit diesem Befehl startet man den Wizard für neue Profil. Für dieses vergibt man zuerst einen Namen und fügt bei Bedarf eine Beschreibung hinzu.

    Namen für das neue Autopilot-Profil vergeben

    Wählen Sie auf der Seite "Out-of-Box Experience" (OOBE) den Bereitstellungs­modus, die Art des Azure AD-Beitritts und andere Einstellungen, um diese Phase der Windows-Installation anzupassen.

    Beim benutzer­gesteuerten Ansatz werden die Geräte mit dem User verknüpft, der das Gerät in Betrieb nimmt, und dafür muss er sich mit seinen Credentials anmelden. Klicken Sie auf Next, sobald die Einstellungen so konfiguriert sind, dass sie Ihren Anforderungen entsprechen.

    OOBE-Phase in Autopilot anpassen

    Legen Sie auf dem Bildschirm Assignments fest, welcher Gruppe Sie das Bereit­stellungs­profil zuordnen möchten. Hier wählen wir die Gruppe, die das oben importierte Gerät enthält.

    Das neue Deployment-Profil einer AAD-Gruppe zuweisen

    Nach der Bestätigung des Vorgangs in der abschließenden Übersicht sollte das neue Deployment-Profil angelegt werden.

    Das neue Bereitstellungsprofil für Autopilot wurde erfolgreich erstellt

    Wenn Sie zur Geräteübersicht zurückkehren, sehen Sie möglicherweise, dass der Profilstatus Nicht zugewiesen anzeigt. Ist dies der Fall, dann klicken Sie auf die Schaltfläche Sync.

    Nach der Synchronisierung zeigt der Profilstatus den Wert Assigned

    Autopilot auf dem Windows-10-PC ausführen

    Nachdem Autopilot und andere Komponenten konfiguriert sind, können wir seine Funktion auf dem (virtuellen) PC testen. Während der OOBE-Phase wähle ich die Option Für eine Organisation einrichten.

    Im Setup von Windows 10 wählt man die Einrichtung für ein Unternehmen

    Geben Sie als nächstes das Konto der Organisation ein, das für die Konfiguration von Windows 10 verwendet werden soll.

    Melden Sie sich mit dem Organisationskonto für Windows Autopilot an

    Nach der Eingabe des Organisations­kontos wird das benutzer­definierte Branding unter dem Feld für das Passwort angezeigt. Dies ist ein guter Hinweis darauf, dass der Autopilot funktioniert. Nach der Eingabe des Kennworts erscheinen  die normalen Dialoge zur Konfiguration von Windows Hello und des PIN-Codes für den Zugriff auf das Gerät.

    Eingabe des Passworts und Anzeige der benutzerdefinierten Branding-Meldung

    Nach der Anmeldung beginnen die Microsoft 365-Apps mit dem Download. Die Installation für Microsoft 365 hält den Anmeldeprozess nicht auf, so dass der Endbenutzer zum Desktop gelangen kann. Im Startmenü sehen wir deshalb die Download-Symbole für die Office-Programme.

    Die Microsoft 365-Apps werden als Teil der Autopilot-Bereitstellung heruntergeladen

    Fazit

    Mit Windows Autopilot können Organisationen einen neuen Windows 10-PC an Endbenutzer liefern lassen und den Desktop vollständig bereitstellen, sobald sich diese mit dem Organisations­konto anmelden. Wie gezeigt, kann mit nur ein wenig Konfiguration eine große Anzahl von Endgeräten erfolgreich in die bestehende Umgebung eingebunden werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    1 Kommentar

    30. Juli 2021 - 10:51

    Empfehlenswerte Community Tools
    WIMWitch (ISO / WIM Anpassung)
    OSDCloud (Automatisierung des gesamten Prozesses, Treiber / Firmwareupdates etc)