Autopilot
Einleitung
Windows Autopilot ist ein cloudbasiertes Angebot von Microsoft, mit dem sich neue Windows 10/11-Geräte automatisiert einrichten lassen, um sie für den produktiven Einsatz vorzubereiten. Die Windows 10/11-Geräte müssen dabei nicht neu installiert werden, Windows Autopilot bedient sich aus dem bereits vorhandenem Image auf den Geräten. Relution unterstützt die automatische Einschreibung über Windows Autopilot und so lassen sich Windows 10/11-Geräte über diesen Weg schnell und einfach in Relution inventarisieren.
Voraussetzungen für die Nutzung von Windows Autopilot
Aktuell nur bei eigenem Relution Server möglich
Windows Autopilot kann mit Windows 10/11-Professional, -Enterprise oder -Education ab der Version 1709 verwendet werden. Es wird eine Azure-Instanz mit einem Azure Active Directory (AAD) und Azure AD Premium P2-Abonnement benötigt. Für die Einrichtung in Azure müssen Benutzer:innen die Rolle Globaler Administrator besitzen. Bei der Inbetriebnahme der Windows 10/11-Geräte muss eine Internetverbindung vorhanden sein.
Funktionsweise bei der Inbetriebnahme von Windows 10/11-Geräten
Beim Start der Out Of The Box Experience (OOBE) der Windows 10/11-Geräte erkennt das System bei einer bestehenden Netzwerkverbindung automatisch, dass es über Windows Autopilot konfiguriert werden soll. Die Geräte übermitteln ihre ID an Microsoft und prüfen, ob es in Autopilot für eine Azure AD-Umgebung registriert wurde. Anschließend müssen sich die Benutzer:innen mit ihren Zugangsdaten auf der Microsoft-Anmeldeseite anmelden. Durch die Anmeldung wird die Einschreibung in Relution durchgeführt und ein Benutzerkonto für die Azure AD-Benutzer:innen auf den Geräten angelegt.
Vorteile von Windows Autopilot
Windows Autopilot hat zum Ziel, neue Windows 10/11-Geräte nicht mehr umständlich einzeln mit einem intern erstellten Image bespielen zu müssen, sondern die Geräte sollen sich möglichst selbständig in vorkonfigurierte Geräte verwandeln. Das minimiert den Aufwand für die Image-Erstellung und reduziert die erforderliche Zeit für die physische Registrierung und Bereitstellung der Geräte. Azure muss hierzu nur einmal eingerichtet werden und die automatische Registrierung funktioniert so lang, bis das definierte Gültigkeitsdatum des Geheimen Clientschlüssel abläuft (siehe unten).
Überprüfen der Azure-Standardeinstellungen und abschließen der Einrichtung
Nachdem Sie Entra ID mit Relution verknüpft haben, prüfen Sie, ob
Unter Geräte > Geräteeinstellungen folgende Punkte konfiguriert wurden:
- Alle Benutzer:innen dürfen Geräte in
Azure ADeinbinden. - Alle Benutzer:innen dürfen ihre Geräte für
Azure ADregistrieren. - Maximale Anzahl von Geräten pro Benutzer:in sollte beachtet werden.
Hinzufügen von Windows 10/11-Geräte
Diese Schritte ersetzen die früher notwendigen Schritte im Microsoft Store for Business.
Neue Geräte können über einen Partner beschafft und registriert werden. Über diesen Weg werden die Geräte automatisch in das Intune Portal und in Azure AD hinterlegt und müssen nicht selbst manuell eingepflegt werden.
Bereits in Betrieb genommene Geräte lassen sich manuell hinzufügen. Dazu wird eine CSV
Die Datei kann mit diesem Script mittels Powershell erzeugt werden:
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
New-Item -Type Directory -Path "C:\HWID"
Set-Location -Path "C:\HWID"
$env:Path += ";C:\Program Files\WindowsPowerShell\Scripts"
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Install-Script -Name Get-WindowsAutopilotInfo
Get-WindowsAutopilotInfo -OutputFile AutopilotHWID.csv
Die Powershell muss als Administrator ausgeführt werden.
Die Datei muss dann unter Geräte > In der Suche Registrierung eingeben und auf das Ergebnis klicken > rechts ganz nach unten scrollen > Geräte > Importieren hochgeladen werden.
Die Geräte erscheinen anschließend in der Geräteliste und müssen mit einem konfigurierten Profil verknüpft werden.
Vorbereitung der Out Of The Box Experience (OOBE) bei Microsoft
Nun muss noch ein Profil erzeugt werden.
Wechseln Sie hierzu wieder wieder in die Sucher der Funktionen. Also links auf Geräte > In der Suche Registrierung eingeben > rechts ganz nach unten scrollen > Auf Bereitstellungsprofile klicken.
- Klicken Sie auf “Profil erstellen”.
- Wählen Sie “Windows PC”.
- Vergeben Sie einen Namen.
- Klicken Sie “Weiter”.
- Klicken Sie erneut auf “Weiter”.
- Wählen Sie entweder “Gruppe hinzufügen” oder “Alle Geräte hinzufügen”.
- Klicken Sie auf “Weiter”.
- Klicken Sie auf “Erstellen”.
Die Geräte sind nun mit dem Profil verknüpft.
Hinterlegte Windows 10/11-Geräte in Relution synchronisieren
Unter Geräte > Auto-Einschreibungen werden die Windows 10/11-Geräte über die Schaltfläche Synchronisieren in Relution hinzugefügt. Die Geräte dürfen zu diesem Zeitpunkt noch nicht eingeschrieben sein.
Erst wenn Windows 10/11-Gerät in der Übersicht erscheinen, kann eine automatische Einschreibung über Windows Autopilot durchgeführt werden
Automatische Einschreibung von Windows 10/11-Geräten in Relution
Nach Zurücksetzen der Geräte oder bei erstmaliger Inbetriebnahme wird im OOBE die Netzwerkverbindung hergestellt. Sobald dies geschehen ist, kommunizieren die Geräte mit Azure und laden das Autopilot-Profil herunter.
Daraufhin erscheint der Anmeldebildschirm für das Microsoft-Konto. Nachdem Benutzer:innen ihre Anmeldedaten eingegeben haben, findet die Kommunikation mit Relution statt. Es wird zunächst der Nutzungsbedingungs-Endpunkt aufgerufen, und daraufhin findet die Einschreibung in Relution statt.
Wenn die Benutzer:innen in Relution hinterlegt und Auto-Einschreibungen für die Geräte vorhanden sind, werden die Einschreibungen durchgeführt. Anschließend erscheinen die Windows 10/11-Geräte im Geräteinventar der entsprechenden Relution-Organisation und können über Windows-Richtlinienkonfigurationen und Aktionen weiter konfiguriert werden.
Bitte löschen Sie nicht das Konto auf dem Gerät, mit dem das Gerät registriert wurde.