Autopilot

Einleitung

Windows Autopilot ist ein cloudbasiertes Angebot von Microsoft, mit dem sich neue Windows 10/11-Geräte automatisiert einrichten lassen, um sie für den produktiven Einsatz vorzubereiten. Die Windows 10/11-Geräte müssen dabei nicht neu installiert werden, Windows Autopilot bedient sich aus dem bereits vorhandenem Image auf den Geräten. Relution unterstützt die automatische Einschreibung über Windows Autopilot und so lassen sich Windows 10/11-Geräte über diesen Weg schnell und einfach in Relution inventarisieren.

Voraussetzungen für die Nutzung von Windows Autopilot

Aktuell nur bei eigenem Relution Server möglich

Windows Autopilot kann mit Windows 10/11-Professional, -Enterprise oder -Education ab der Version 1709 verwendet werden. Es wird eine Azure-Instanz mit einem Azure Active Directory (AAD) und Azure AD Premium P2-Abonnement benötigt. Für die Einrichtung in Azure müssen Benutzer:innen die Rolle Globaler Administrator besitzen. Bei der Inbetriebnahme der Windows 10/11-Geräte muss eine Internetverbindung vorhanden sein.

Lizenzanforderungen →

Funktionsweise bei der Inbetriebnahme von Windows 10/11-Geräten

Beim Start der Out Of The Box Experience (OOBE) der Windows 10/11-Geräte erkennt das System bei einer bestehenden Netzwerkverbindung automatisch, dass es über Windows Autopilot konfiguriert werden soll. Die Geräte übermitteln ihre ID an Microsoft und prüfen, ob es in Autopilot für eine Azure AD-Umgebung registriert wurde. Anschließend müssen sich die Benutzer:innen mit ihren Zugangsdaten auf der Microsoft-Anmeldeseite anmelden. Durch die Anmeldung wird die Einschreibung in Relution durchgeführt und ein Benutzerkonto für die Azure AD-Benutzer:innen auf den Geräten angelegt.

Vorteile von Windows Autopilot

Windows Autopilot hat zum Ziel, neue Windows 10/11-Geräte nicht mehr umständlich einzeln mit einem intern erstellten Image bespielen zu müssen, sondern die Geräte sollen sich möglichst selbständig in vorkonfigurierte Geräte verwandeln. Das minimiert den Aufwand für die Image-Erstellung und reduziert die erforderliche Zeit für die physische Registrierung und Bereitstellung der Geräte. Azure muss hierzu nur einmal eingerichtet werden und die automatische Registrierung funktioniert so lang, bis das definierte Gültigkeitsdatum des Geheimen Clientschlüssel abläuft (siehe unten). s

Verknüpfen von Azure AD und Relution

Im Relution-Portal finden Sie unter Einstellungen > Organisation > Azure Active Directory eine Anleitung, die Sie bei der Einrichtung und Verknüpfung von Azure AD und Relution unterstützt.

AutoPilot01

Hinzufügen der MDM-Anwendung

Zuerst wird eine neue MDM-Anwendung in Azure angelegt und mit den Angaben aus der Relution-Anleitung vervollständigt.

AutoPilot02

Fügen Sie die Domäne des entsprechenden Relution-Servers in Azure AD unter Namen der benutzerdefinierten Domänen hinzu. Dies kann einige Zeit in Anspruch nehmen. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Microsoft Dokumentation →

AutoPilot03

Unter Mobilität (MDM und MAM) wird anschließend die gewünschte MDM-Anwendung hinzugefügt und aktiviert:

AutoPilot04

  1. Wählen Sie die Kachel On-Premises MDM Applikation unten rechts.
  2. Vergeben Sie einen Namen.
  3. Klicken Sie auf Hinzufügen.

AutoPilot05

Nun wird die die neue MDM-Anwendung mit den Angaben der Relution-Anleitung aus Schritt konfiguriert:

  1. Wählen Sie Alle für MDM-Benutzerbereich (alle Benutzer:innen können eine Autopilot-Einschreibung durchführen).
  2. Tragen Sie die URL zu den MDM-Nutzungsbedingungen aus Relution ein:
https://serverurl/api/v1/devices/windows/termsOfUse

Microsoft fragt diese URL vor jeder Einschreibung ab, es wird keine Webseite aufgerufen

  1. Tragen Sie die MDM discovery URL ein.
https://serverurl/api/v1/devices/windows/discover
  1. Klicken Sie auf Speichern.

AutoPilot06

Vornehmen der MDM-Anwendungseinstellungen

Nachdem die neue MDM-Anwendung erstellt ist, können die lokalen MDM-Anwendungseinstellungen in Azure vorgenommen werden. Hierbei ist es zwingend erforderlich, dass folgende Angaben aus Azure in die Relution-Anleitung in Schritt 2 übertragen werden:

  1. Anwendungs-ID (Client)
  2. Verzeichnis-ID (Mandant)
  3. Wert des Geheimen Clientschlüssel

AutoPilot07

Nun klicken Sie in den lokalen MDM-Anwendungseinstellungen in Azure zum Bearbeiten auf Anwendungs-ID-URI.

AutoPilot08

Anschließend tragen Sie in der nachfolgenden Ansicht für Anwendungs-ID-URI die entsprechende Server-URL ein.

AutoPilot09

Als nächstes fügen Sie einen Geheimen Clientschlüssel (Client Secret) unter Zertifikate & Geheimnisse hinzu:

  1. Klicken Sie auf Neuer geheimer Clientschlüssel in Tab Geheime Clientschlüssel.
  2. Im Dialogfenster Geheimen Clientschlüssel hinzufügen geben Sie eine Beschreibung und die Gültigkeit an.
  3. Klicken Sie auf Hinzufügen.

Wenn der Gültigkeitszeitraum abgelaufen ist, besteht keine Verbindung mehr, und Relution kann nicht mit Azure kommunizieren. In diesem Fall muss ein neuer Geheimer Clientschlüssel für die Anwendung in Azure erzeugt und erneut in Relution übertragen werden

AutoPilot10

Anschließend wird in der Auflistung unter Tab Geheime Clientschlüssel der neue Eintrag angezeigt.

Der dazugehörige Wert wird nur jetzt einmalig angezeigt und muss zwingend kopiert und in Relution übertragen werden

Konfigurieren der API-Berechtigungen

In Schritt 3 der Relution-Anleitung werden jetzt die API-Berechtigungen konfiguriert:

AutoPilot11

Es kann sein, dass hier nachträglich neue Berechtigungen hinzugefügt werden müssen, wenn zukünftig neue Funktionen von Microsoft für Windows Autopilot hinzukommen

Folgende Einstellungen müssen in Azure durchgeführt werden:

  1. Klicken Sie unter API-Berechtigungen > Konfigurierte Berechtigungen auf Berechtigung hinzufügen
  2. Wählen Sie Microsoft Graph unter Microsoft-APIs im Dialogfenster API-Berechtigungen anfordern aus

AutoPilot12

  1. Im nächsten Schritt wählen Sie die Kachel Anwendungsberechtigungen aus

AutoPilot13

  1. Wählen Sie User.Read.All für User aus

AutoPilot14

  1. Wählen Sie Group.Read.All für Group aus

AutoPilot15

  1. Wählen Sie Device.ReadWrite.All für Device aus und bestätigen Sie die Auswahl mit Berechtigungen hinzufügen

AutoPilot16

Bei den neu hinzugefügten API-Berechtigungen wird als Status initial ein Ausrufezeichen angezeigt. Administrator:innen müssen hier einmal zustimmen, damit Microsoft Graph die Berechtigungen letztlich auch erhält. Anschließend wird der Status mit Grünem Häkchen für Gewährt dargestellt und die Berechtigungen sind erteilt

AutoPilot17

Definieren der Umleitungs-URI

In Schritt 4 der Relution-Anleitung wird die Umleitungs-URI in Azure konfiguriert:

AutoPilot18

  1. Klicken Sie unter Authentifizierung auf Plattform hinzufügen.
  2. Wählen Sie im Dialogfenster Plattform konfigurieren die Kachel Web aus.

AutoPilot19

  1. Geben Sie im nächsten Schritt unter Web die Server-URL bei Umleitungs-URI hinzufügen an.
  2. Deaktivieren Sie die Checkbox ID-Tokens.
  3. Klicken Sie auf Speichern.

AutoPilot20

Überprüfen der Azure-Standardeinstellungen und abschließen der Einrichtung

Unter Geräte > Geräteeinstellungen müssen folgende Punkte konfiguriert sein:

  • Alle Benutzer:innen dürfen Geräte in Azure AD einbinden.
  • Alle Benutzer:innen dürfen ihre Geräte für Azure AD registrieren.
  • Maximale Anzahl von Geräten pro Benutzer:in sollte beachtet werden.

AutoPilot21

Damit ist die Einrichtung in Azure abgeschlossen.

Wählen der Relution Serviceoptionen und abschließen der Einrichtung

In der Relution-Anleitung kann in Schritt 5 noch optional gewählt werden, ob Azure AD-Benutzer:innen und Azure AD-Gruppen mit Relution synchronisiert werden sollen:

AutoPilot22

Mit Klick auf Speichern ist die Einrichtung und Verknüpfung von Azure AD in Relution abgeschlossen.

Hinzufügen von Windows 10/11-Geräte

Diese Schritte ersetzen die früher notwendigen Schritte im Microsoft Store for Business.

Neue Geräte können über einen Partner beschafft und registriert werden. Über diesen Weg werden die Geräte automatisch in das Intune Portal und in Azure AD hinterlegt und müssen nicht selbst manuell eingepflegt werden.

Bereits in Betrieb genommene Geräte lassen sich manuell hinzufügen. Dazu wird eine CSV-Datei benötigt, die per Powershell-Skript auf den Geräten erzeugt​ wird. Anschließend wird die CSV-Datei im Intune Portal hochgeladen und das Gerät kann zurück gesetzt werden: https://intune.microsoft.com

Die Datei kann mit diesem Script mittels Powershell erzeugt werden:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
New-Item -Type Directory -Path "C:\HWID"
Set-Location -Path "C:\HWID"
$env:Path += ";C:\Program Files\WindowsPowerShell\Scripts"
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Install-Script -Name Get-WindowsAutopilotInfo
Get-WindowsAutopilotInfo -OutputFile AutopilotHWID.csv

Die Powershell muss als Administrator ausgeführt werden.

Die Datei muss dann unter Geräte > In der Suche Registrierung eingeben und auf das Ergebnis klicken > rechts ganz nach unten scrollen > Geräte > Importieren hochgeladen werden.

Die Geräte erscheinen anschließend in der Geräteliste und müssen mit einem konfigurierten Profil verknüpft werden.

Vorbereitung der Out Of The Box Experience (OOBE) bei Microsoft

Nun muss noch ein Profil erzeugt werden.

Wechseln Sie hierzu wieder wieder in die Sucher der Funktionen. Also links auf Geräte > In der Suche Registrierung eingeben > rechts ganz nach unten scrollen > Auf Bereitstellungsprofile klicken.

  1. Klicken Sie auf “Profil erstellen”.
  2. Wählen Sie “Windows PC”.
  3. Vergeben Sie einen Namen.
  4. Klicken Sie “Weiter”.
  5. Klicken Sie erneut auf “Weiter”.
  6. Wählen Sie entweder “Gruppe hinzufügen” oder “Alle Geräte hinzufügen”.
  7. Klicken Sie auf “Weiter”.
  8. Klicken Sie auf “Erstellen”.

Die Geräte sind nun mit dem Profil verknüpft.

Hinterlegte Windows 10/11-Geräte in Relution synchronisieren

Unter Geräte > Auto-Einschreibungen werden die Windows 10/11-Geräte über die Schaltfläche Synchronisieren in Relution hinzugefügt. Die Geräte dürfen zu diesem Zeitpunkt noch nicht eingeschrieben sein.

Erst wenn Windows 10/11-Gerät in der Übersicht erscheinen, kann eine automatische Einschreibung über Windows Autopilot durchgeführt werden

Automatische Einschreibung von Windows 10/11-Geräten in Relution

Nach Zurücksetzen der Geräte oder bei erstmaliger Inbetriebnahme wird im OOBE die Netzwerkverbindung hergestellt. Sobald dies geschehen ist, kommunizieren die Geräte mit Azure und laden das Autopilot-Profil herunter.

Daraufhin erscheint der Anmeldebildschirm für das Microsoft-Konto. Nachdem Benutzer:innen ihre Anmeldedaten eingegeben haben, findet die Kommunikation mit Relution statt. Es wird zunächst der Nutzungsbedingungs-Endpunkt aufgerufen, und daraufhin findet die Einschreibung in Relution statt.

Wenn die Benutzer:innen in Relution hinterlegt und Auto-Einschreibungen für die Geräte vorhanden sind, werden die Einschreibungen durchgeführt. Anschließend erscheinen die Windows 10/11-Geräte im Geräteinventar der entsprechenden Relution-Organisation und können über Windows-Richtlinienkonfigurationen und Aktionen weiter konfiguriert werden.

Bitte löschen Sie nicht das Konto auf dem Gerät, mit dem das Gerät registriert wurde.