Windows-PCs mit Autopilot bereitstellen

Autopilot unterstützt zwei Szenarien für die Konfiguration, die den Beitritt zum jeweiligen Verzeichnis beinhalten:

• Azure Active Directory
• Hybrides Verzeichnis (AD und Azure AD)

Beispielkonfiguration anhand einer VM

Um einen Endbenutzer zu simulieren, der einen Windows 10-Desktop erhält und diesen auspackt, verwende ich in diesem Beitrag eine virtuelle Maschine mit Windows 10.

Die OEMs erfassen automatisch die ID eines jeden Geräts im Werk. Mit dem folgenden PowerShell-Script simulieren wir diese Tätigkeit des Herstellers und erfassen die Hardware-ID der virtuellen Maschine. Dazu führt man im Gast-OS folgende Befehle aus:

md c:\HWID cd c:\HWID Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted -Force Install-Script -Name Get-WindowsAutopilotInfo -Force $env:Path += ";C:\Program Files\WindowsPowerShell\Scripts" Get-WindowsAutopilotInfo.ps1 -OutputFile AutopilotHWID.csv

Die obigen Schritte erstellen eine CSV-Datei, die in AutoPilot importiert werden kann. Dazu navigiert man im Portal von Microsoft Endpoint Manager zur Registrierung von Geräten und führt dort den Import-Befehl aus. Im darauf folgenden Dialog wählt man die eben gespeicherte .CSV-Datei.

Nun sollte das neue Autopilot-Gerät erfolgreich hinzugefügt worden sein.

Gruppen in Autopilot hinzufügen

Wahrscheinlich werden Sie die Bereitstellung über Autopilot auf bestimmte User oder Geräte beschränken wollen. Dies lässt sich über Gruppen in Azure Active Directory erreichen. Man kann bei Bedarf auch dynamische Gruppen verwenden, deren Mitglied­schaften sich automatisch über Filter definieren lassen.

Für mein Beispiel füge ich einfach das vorhin importierte Gerät einer neu erstellten Gruppe hinzu.

Branding für das eigene Unternehmen

Sie können das Erscheinungs­bild des Bereitstellungs­prozesses anpassen, damit er für den Endbenutzer vertraut aussieht. Außerdem lässt sich so schnell feststellen, ob Autopilot das Gerät richtig ansteuert.

Zu diesem Zweck navigieren Sie zum Azure Active Directory-Blade und wählen Sie Company branding. Der unten abgebildete Dialog legt ein Logo und den Text für die Anmeldeseite fest.

MDM und MAM konfigurieren

Im nächsten Schritt wollen wir die Richtlinien für MDM und MAM anpassen. Wählen Sie im Blade für Azure Active Directory den Eintrag Mobility (MDM and MAM) und setzen den Gültig­keits­bereich für beide auf  All.

Anwendungen zum Autopilot-Profil zuweisen

Als nächstes können Sie dem Autopilot-Profil auch Anwendungen zuweisen. Typische Kandidaten sind hier die Apps von Microsoft Office. Dazu wählen Sie im Endpoint Manager Apps => Windows => Add, um die Anwendungen von Microsoft 365 in Windows 10 bereit­zustellen.

Im nächsten Schritt bearbeitet man die Zuweisungen unter den Eigenschaften von Microsoft 365 Apps.

Fügen Sie AAD-Gruppe hinzu, die Sie als Bereich für den Autopilot-Einsatz weiter oben verwendet haben. Klicken Sie auf Review + save.

Bereitstellungsprofil für Windows Autopilot erstellen

Wir haben nun die Voraussetzungen für Autopilot geschaffen. Jetzt müssen wir das Deployment-Profil für Autopilot definieren. Klicken Sie dazu im Endpoint Manager auf Devices => Enroll devices => Deployment profiles.

Auf der folgenden Seite wählt man Create profile => Windows PC.

Mit diesem Befehl startet man den Wizard für neue Profil. Für dieses vergibt man zuerst einen Namen und fügt bei Bedarf eine Beschreibung hinzu.

Wählen Sie auf der Seite "Out-of-Box Experience" (OOBE) den Bereitstellungs­modus, die Art des Azure AD-Beitritts und andere Einstellungen, um diese Phase der Windows-Installation anzupassen.

Beim benutzer­gesteuerten Ansatz werden die Geräte mit dem User verknüpft, der das Gerät in Betrieb nimmt, und dafür muss er sich mit seinen Credentials anmelden. Klicken Sie auf Next, sobald die Einstellungen so konfiguriert sind, dass sie Ihren Anforderungen entsprechen.

Legen Sie auf dem Bildschirm Assignments fest, welcher Gruppe Sie das Bereit­stellungs­profil zuordnen möchten. Hier wählen wir die Gruppe, die das oben importierte Gerät enthält.

Nach der Bestätigung des Vorgangs in der abschließenden Übersicht sollte das neue Deployment-Profil angelegt werden.

Wenn Sie zur Geräteübersicht zurückkehren, sehen Sie möglicherweise, dass der Profilstatus Nicht zugewiesen anzeigt. Ist dies der Fall, dann klicken Sie auf die Schaltfläche Sync.

Autopilot auf dem Windows-10-PC ausführen

Nachdem Autopilot und andere Komponenten konfiguriert sind, können wir seine Funktion auf dem (virtuellen) PC testen. Während der OOBE-Phase wähle ich die Option Für eine Organisation einrichten.

Geben Sie als nächstes das Konto der Organisation ein, das für die Konfiguration von Windows 10 verwendet werden soll.

Nach der Eingabe des Organisations­kontos wird das benutzer­definierte Branding unter dem Feld für das Passwort angezeigt. Dies ist ein guter Hinweis darauf, dass der Autopilot funktioniert. Nach der Eingabe des Kennworts erscheinen  die normalen Dialoge zur Konfiguration von Windows Hello und des PIN-Codes für den Zugriff auf das Gerät.

Nach der Anmeldung beginnen die Microsoft 365-Apps mit dem Download. Die Installation für Microsoft 365 hält den Anmeldeprozess nicht auf, so dass der Endbenutzer zum Desktop gelangen kann. Im Startmenü sehen wir deshalb die Download-Symbole für die Office-Programme.

Fazit

Mit Windows Autopilot können Organisationen einen neuen Windows 10-PC an Endbenutzer liefern lassen und den Desktop vollständig bereitstellen, sobald sich diese mit dem Organisations­konto anmelden. Wie gezeigt, kann mit nur ein wenig Konfiguration eine große Anzahl von Endgeräten erfolgreich in die bestehende Umgebung eingebunden werden.