Windows Autopilot

Endpoint Manager 2021.1 SU1 bietet eine neue, optimierte und leistungsstarke Windows-Autopilot-Erfahrung. Windows-Autopilot hilft Ihnen beim Einrichten neuer Geräte oder beim Neuzuweisen bereits vorhandener Geräte. Autopilot ist kein Tool für vollständiges Provisioning. Es wird vorausgesetzt, dass Windows 10/11 bereits installiert ist und dass das Windows Out-of-Box-Experience (OOBE)-Setup beim nächsten Einschalten des Geräts bereit für die Ausführung ist.

Die Bereitstellung eines Geräts durch Windows-Autopilot basiert auf zwei Hauptphasen:

  1. Automatische Anwendung ausgewählter Setup-Optionen, die dem Benutzer normalerweise angezeigt werden würden, wie Region oder Tastaturlayout

  2. Registrierung des Geräts bei Windows MDM, Installation konfigurierter Anwendungen, Anwendung von Richtlinien und Verbindung des Geräts mit Active Directory

Nachdem Sie die Schritte unter Voraussetzungen und Installation abgeschlossen haben, können Sie den Endpoint Manager Autopilot-Support nutzen. Vorgehensweise:

  1. Erstellen Sie Azure AD-Gruppen, in denen die Geräte enthalten sind, die Sie für die Autopilot-Bereitstellung vorsehen möchten. Falls Sie alle Geräte für Autopilot einplanen möchten, können Sie diesen Schritt überspringen.

  2. Erstellen Sie ein Bereitstellungsprofil, in dem Einstellungen für den Domänenbeitrittstyp, Bereitstellungsart des Geräts, Benutzererfahrung und AD-Gruppenzuweisung definiert sind.

  3. Falls Sie im Rahmen des Bereitstellungsprofils Anwendungen bereitstellen möchten, erstellen Sie eine Anwendungsdefinition.

  4. Importieren Sie Geräte, indem Sie eine .CSV-Datei mit Gerätehardwarehashes besorgen oder indem Sie einen OEM-Partner bitten, die Gerätehashes direkt in den Azure AD-Mandanten Ihres Unternehmens einzugeben. Fügen Sie die importierten Geräte einer Azure AD-Gerätegruppe hinzu, die über ein Bereitstellungsprofil verfügt.

  5. Synchronisieren Sie Ihre Änderungen mit Azure AD. Nachdem die Geräte mit AD synchronisiert wurden, sind sie fertig für die Bereitstellung.

Damit Sie den Endpoint Manager Autopilot-Support nutzen können, benötigt Ihr Unternehmen eine Azure Active Directory P1-Lizenz oder höher. Außerdem müssen Sie die hier beschriebenen Konfigurationsschritte ausführen: Erste Schritte mit der Windows-Geräteverwaltung.

Stellen Sie in Azure sicher, dass Intune MDM nicht aktiviert ist. Überprüfen Sie dies in Azure Active Directory unter Mobilität (MDM und MAM), indem Sie auf Microsoft Intune klicken. Der MDM-Benutzerbereich und der MAM-Benutzerbereich müssten auf Keiner gesetzt sein.

Die Endpoint Manager Autopilot-Implementierung erfordert eine Microsoft Intune-Lizenz für die Anwendungsbereitstellung. Aufgrund der Art der Integration von Endpoint Manager Autopilot in Microsoft sollten Sie die Intune-Benutzeroberfläche nicht zum Ändern von Endpoint Manager Autopilot-Konfigurationen verwenden.

Nachdem Sie das Setup von Azure AD abgeschlossen haben, müssen Sie die Anmeldeinformationen Ihres Microsoft Azure-Mandanten angeben. Diese bestehen aus der Verzeichnis-ID (Mandant), der Anwendungs-ID (Client) und dem geheimen Clientschlüssel.

Falls Sie mit einem OEM zusammenarbeiten, der neue Geräte für Sie bereitstellt (White Glove), müssen Sie auch Ihre MDM-Anwendungs-ID angeben. In Azure müssen Sie eine verifizierte Domäne in der Anwendungs-ID-URI verwenden. Diese Domäne kann nur einem Azure-Mandanten angehören.

So ermitteln Sie die MDM-Anwendungs-ID:
  1. Melden Sie sich über einen Browser am Azure AD-Portal an.
  2. Navigieren Sie mithilfe des erweiterbaren Menüs links im Bildschirm zu Azure Active Directory.
  3. Wählen Sie im linken Menü Mobility (MDM und MAM) aus.
  4. Klicken Sie auf Ihre Ivanti MDM-Anwendung.
  5. Klicken Sie auf Interne MDM-Anwendungseinstellungen.
  6. Das Feld Anwendungs-ID (Client) enthält die MDM-Anwendungs-ID.

Für Geräte, die eine Verbindung zu einem internen Active Directory und einem Azure Active Directory herstellen müssen, muss eine Hybrideinbindung konfiguriert werden. Geben Sie in dem Fall die Anmeldeinformationen für ein internes Active Directory-Konto an, das berechtigt ist, ein Computerkonto in der im Bereitstellungsprofil angegebenen OE (Organisationseinheit) anzulegen.

So geben Sie Azure AD-Konfigurationsinformationen ein:

  1. Klicken Sie auf Extras > Modernes Gerätemanagement > Windows-Autopilot.

  2. Klicken Sie auf Einstellungen für Anmeldeinformationen.

  3. Geben Sie auf der Seite Einstellungen für Anmeldeinformationen Ihre Anmeldeinformationen ein. Überprüfen Sie anhand der Schaltfläche Anmeldeinformationen prüfen, ob die Anmeldeinformationen funktionieren und die Berechtigungen korrekt sind.

Autopilot-Bereitstellungsprofile werden Azure AD-Gruppen zugewiesen. Wenn Sie nur ein Bereitstellungsprofil für alle Geräte verwenden möchten, wählen Sie alternativ Alle Geräte als Ziel aus. Sie müssen dann keine Gruppen konfigurieren.

Auf der Seite Gruppen werden die verfügbaren Gruppen in Azure angezeigt. Auf dieser Seite können Sie Gruppen hinzufügen oder entfernen.

Wenn Sie eine Gruppe für die Verwendung mit einem Bereitstellungsprofil erstellen möchten, müssen Sie den Gruppentyp Sicherheit verwenden. Die Gruppenmitglieder müssen in Azure über einen Gerätehardwarehash verfügen, damit sie ein Bereitstellungsprofil empfangen können.

Falls Sie nur ein einziges Bereitstellungsprofil verwenden möchten, müssen Sie keine Gruppen erstellen oder konfigurieren. Verwenden Sie stattdessen die Option Alle Geräte unter Bereitstellungsprofil erstellen > Gruppenzuweisung.

Die Gruppenliste zeigt bis zu 100 Gruppen an. Falls mehr als 100 Gruppen vorhanden sind, klicken Sie unten auf Mehr laden. Daraufhin werden die nächsten 100 Gruppen in die Liste geladen. Über das Feld Suchen filtern Sie die sichtbaren Gruppen. Wenn Sie nach einer bestimmten Gruppe suchen, geben Sie den Namen der Gruppe ein und klicken Sie auf Alle durchsuchen.

So erstellen Sie eine Azure AD-Gruppe:

  1. Klicken Sie im Fenster Autopilot auf Gruppen.

  2. Klicken Sie auf Erstellen. Weitere Informationen zu den hier angezeigten Optionen finden Sie unter Wissenswertes über die Seite "Azure AD-Gruppe erstellen".

  3. Geben Sie auf er Seite Azure AD-Gruppe erstellen den Namen der gewünschten AD-Gruppe ein. Dies ist ein Pflichtfeld.

  4. Geben Sie eine Beschreibung für die Gruppe ein.

  5. Geben Sie einen E-Mail-Spitznamen ein.

  6. Wählen Sie den Typ der Gruppenmitgliedschaft aus.

  • Verwenden Sie Zugewiesen, wenn Sie die Mitgliedschaft und die Berechtigungen für jeden Benutzer einzeln zuweisen möchten.

  • Verwenden Sie Dynamisch: Gerät, wenn die Mitgliedschaft automatisch je nach Geräteregeln zugewiesen werden soll. Durch diese Option wird der Generator für dynamische Mitgliedschaftsregeln aufgerufen.

  • Verwenden Sie Dynamisch: Benutzer, wenn die Mitgliedschaft automatisch je nach Benutzerregeln zugewiesen werden soll. Durch diese Option wird der Generator für dynamische Mitgliedschaftsregeln aufgerufen.

  1. Wenn Sie einen dynamischen Gruppenmitgliedschaftstyp wählen, verwenden Sie den Generator für dynamische Mitgliedschaftsregeln.

  2. Klicken Sie auf Speichern.

Bereitstellungsprofile sind Vorlagen, in denen Einstellungen für Folgendes definiert sind:

  • Domänenbeitrittstyp

  • Gerätebereitstellungsprozess

  • Endbenutzererfahrung

  • Gruppenzuweisung

So erstellen Sie ein Bereitstellungsprofil:

  1. Klicken Sie im Fenster Autopilot auf Bereitstellungsprofile.

  2. Klicken Sie auf Erstellen.

  3. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil ein. Klicken Sie auf Weiter.

  4. Konfigurieren Sie auf der Seite Out-of-Box-Experience Bereitstellungstyp, Kontotyp und Voreinstellungen für Sprache/Region. Klicken Sie auf Weiter.

  5. Konfigurieren Sie auf der Seite Endbenutzerstatus das Verhalten der Statusseite und die Fehlerbehandlung. Klicken Sie auf Weiter.

  6. Wählen Sie auf der Seite Gruppenzuweisung aus, ob das Profil Keinen Geräten, Allen Geräten oder Ausgewählten Gruppen zugewiesen werden soll. Klicken Sie auf Weiter.

  7. Überprüfen Sie Ihre Auswahl auf der Seite Übersicht und klicken Sie auf Profil erstellen.

Es gibt mehrere Möglichkeiten, Informationen zu Gerätehardwarehashes in Endpoint Manager Autopilot zu importieren.

  • Verwenden Sie ein PowerShell-Skript, um Geräteinformationen zu extrahieren und in das CSV-Format zu konvertieren. Ein Beispiel dafür finden Sie unter dem Skript-Link auf dieser Seite der Microsoft-Dokumentation.

  • Extrahieren Sie die Geräteinformationen direkt aus dem Gerät, wie hier beschrieben.

  • Ein OEM-Partner stellt Ihnen eine .CSV-Datei der erworbenen Geräte zur Verfügung.

  • Ein OEM-Partner gibt die Gerätehashes direkt in den Azure AD-Mandanten Ihres Unternehmens ein.

Klicken Sie im Fenster Autopilot auf Geräte.

Änderungen, die Sie an der Gruppenmitgliedschaft vornehmen, werden erst wirksam, nachdem Sie auf die Schaltfläche Synchronisieren der Seite Geräte geklickt haben. Dies kann 15 Minuten oder länger pro Gerät dauern, je nachdem, wie schnell Azure die Änderungen verarbeiten kann. Klicken Sie auf Aktualisieren, um die Liste in Azure zu aktualisieren.

Klicken Sie auf ein Gerät in der Liste, um die Details und eine Liste der Gruppen anzuzeigen, bei denen das Gerät Mitglied ist. Über die Option Autopilot-Geräte anzeigen werden die importierten Autopilot-Geräte angezeigt. Mit Azure-Geräte anzeigen zeigen Sie die Geräte an, die in der Geräteansicht von Azure sichtbar sind.

Wenn Sie ab Version 2022 SU3 auf ein Gerät in der Liste klicken, können Sie das Azure Gruppentag und den Anzeigenamen des Geräts bearbeiten. Beim Bearbeiten eines Geräts wird der Text in grün angezeigt, solange Ihre Änderungen noch nicht mit Azure synchronisiert wurden.

Sie können Anwendungen im Rahmen eines Bereitstellungsprofils installieren. Beim Zuweisen von Anwendungen zu einem Gerät muss das Bereitstellungsprofil einer Azure Active Directory-Gruppe zugewiesen sein, der das Gerät angehört. Anwendungen, die Sie hinzufügen, werden in den Azure Blob-Speicher hochgeladen.

Die Anwendungsdatei muss im Ordner ManagementSuite\landesk\files auf dem Coreserver vorhanden sein. Folgende Formate werden unterstützt: .exe, .msi und .intunewin. Für den Hochladevorgang muss außerdem das Microsoft Win32 Content Prep Tool, IntuneWinAppUtil.exe, in demselben Ordner vorhanden sein. Das Hochladen der Dateien wird durchgeführt, wenn Sie Ihre Änderungen am Ende des Assistenten speichern.

Weitere Informationen dazu, wo Sie das Content Prep Tool herunterladen können, finden Sie unter Wissenswertes über die Seite "Anwendungen > Grundlagen".

Beim Breitstellen eines Autopilot-Geräts prüft das Gerät, ob bestimmte Apps installiert werden müssen. Wenn die Anforderungsregeln erfüllt sind, werden die Apps aus dem Azure Blob-Speicher heruntergeladen, entschlüsselt und nacheinander installiert.

So installieren Sie eine Anwendung im Rahmen eines Bereitstellungsprofils:

  1. Klicken Sie im Fenster Autopilot auf Anwendungen.

  2. Klicken Sie auf Erstellen. Wenn Sie eine Version ab 2022 SU2 verwenden, klicken Sie auf die Schaltfläche Generische App erstellen. Wenn Sie eine Microsoft 365-Anwendung installieren möchten, lesen Sie den Abschnitt Installieren von Microsoft 365-Apps (2022 SU2).

  3. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung ein.

  4. Klicken Sie auf der Seite Installationsverhalten auf Paketdatei auswählen und navigieren Sie zu der gewünschten Datei.

  5. Passen Sie den Installationsbefehl ggf. an und wählen Sie aus, ob die Anwendung unter dem Systemkonto oder unter dem Konto des angemeldeten Benutzers installiert werden soll.

  6. Wählen Sie Nach der Installation Neustart erzwingen aus, falls die Anwendung einen Neustart erfordert. Klicken Sie auf Weiter.

  7. Auf der Seite Anforderungen können Sie Regeln hinzufügen, die bestimmen, ob eine Anwendung installiert werden soll. Dies ist jedoch optional. Klicken Sie auf Weiter.

  8. Auf der Seite Erkennungsregeln können Sie Regeln hinzufügen, um festzustellen, ob eine Anwendung erfolgreich installiert wurde. Dies ist jedoch optional. Klicken Sie auf Weiter.

  9. Wählen Sie auf der Seite Gruppenzuweisung aus, welche Azure-Gruppen die Anwendung erhalten sollen. Klicken Sie auf Weiter.

  10. Überprüfen Sie Ihre Konfiguration auf der Seite Übersicht und klicken Sie auf Anwendung erstellen, wenn Sie fertig sind. Den Hochladeprozess können Sie auf der Hauptseite Anwendungen überwachen.

Klicken Sie im Fenster Autopilot auf Installationsstatus der Anwendung(en).

Auf der Seite mit dem Installationsstatus wird für jedes Gerät angezeigt, ob die Anwendungsinstallation erfolgreich war oder fehlgeschlagen ist. Durch Klicken auf eine Installation in der Liste werden ausführliche Informationen angezeigt, die für die Fehlerbehebung hilfreich sein können.

Für Anwendungen können Erkennungsregeln konfiguriert sein. Diese geben Aufschluss darüber, ob eine Anwendung erfolgreich installiert wurde. Wenn sowohl die Erkennungsregel als auch der Rückgabecode für die Anwendungsinstallation als erfolgreich angegeben sind, lautet der Installationsstatus der Anwendung Installiert.

Nach dem Überprüfen des Installationsstatus können Sie die Installationen, mit denen Sie zufrieden sind, als Aufgelöst markieren. Klicken Sie auf Aufgelöst übernehmen, um Ihre Auswahl zu übernehmen. Dadurch werden die betreffenden Anwendungen aus der Standardlistenansicht entfernt. Das Markieren einer Anwendungsinstallation als "Aufgelöst" oder "Nicht aufgelöst" dient lediglich der Organisation der Liste. Sie müssen diese Kennzeichnung nicht vornehmen.

Sollten Sie Ihre Ansicht zu einem Installationsstatus später ändern wollen, ändern Sie den Filter Aufgelöst in Nicht aufgelöst und deaktivieren Sie die Auswahl in der Spalte Aufgelöst der Liste.

Mit dem Pre-Provisioning eines Geräts können die IT, ein Gerätehersteller oder ein Händler das Windows-Setup und die für Autopilot relevante Gerätekonfiguration durchführen und ggf. Anwendungen vorinstallieren. Anschließend wird das Betriebssystem versiegelt und das Gerät kann an den Endbenutzer ausgeliefert werden.

Wenn der Endbenutzer das Gerät einschaltet und sich mit einem Netzwerk verbindet, wird ihm die Windows-Setup-Schnittstelle angezeigt. Dort kann er sein Tastaturlayout und die Sprache auswählen, sofern das Bereitstellungsprofil dies zulässt. Nach der Anmeldung wird ihm die Seite mit dem Endbenutzerstatus angezeigt, über die er die benutzerseitige Phase der Bereitstellung durchführt.

Die Dauer dieser Phase ist davon abhängig, ob Benutzer-Apps installiert werden müssen und wie lange dies dauert. Falls keine Anwendungen installiert werden müssen, kann das Setup in weniger als einer Minute abgeschlossen sein. Es sollten die meisten Apps im Rahmen des Pre-Provisioning installiert worden sein, sodass dieser Prozess für den Benutzer relativ kurz sein dürfte.

Für das Pre-Provisioning ist physische Hardware mit TPM 2.0 erforderlich. Sie müssen außerdem die Azure MDM-Anwendungs-ID eingegeben haben, wie unter Azure AD-Registrierung beschrieben.

Informationen zum technischen Teil des Pre-Provioning-Workflows finden Sie unter: https://docs.microsoft.com/en-us/mem/autopilot/pre-provision#scenarios.