Autopilot

Einleitung

Windows Autopilot ist ein cloudbasiertes Angebot von Microsoft, mit dem sich neue Windows 10/11-Geräte automatisiert einrichten lassen, um sie für den produktiven Einsatz vorzubereiten. Die Windows 10/11-Geräte müssen dabei nicht neu installiert werden, Windows Autopilot bedient sich aus dem bereits vorhandenem Image auf den Geräten. Relution unterstützt die automatische Einschreibung über Windows Autopilot und so lassen sich Windows 10/11-Geräte über diesen Weg schnell und einfach in Relution inventarisieren.

Voraussetzungen für die Nutzung von Windows Autopilot

Windows Autopilot kann mit Windows 10/11-Professional, -Enterprise oder -Education ab der Version 1709 verwendet werden. Es wird eine Azure-Instanz mit einem Azure Active Directory (AAD) und Azure AD Premium P2-Abonnement benötigt. Für die Einrichtung in Azure müssen Benutzer:innen die Rolle Globaler Administrator besitzen. Bei der Inbetriebnahme der Windows 10/11-Geräte muss eine Internetverbindung vorhanden sein.

Lizenzanforderungen →

Funktionsweise bei der Inbetriebnahme von Windows 10/11-Geräten

Beim Start der Out Of The Box Experience (OOBE) der Windows 10/11-Geräte erkennt das System bei einer bestehenden Netzwerkverbindung automatisch, dass es über Windows Autopilot konfiguriert werden soll. Die Geräte übermitteln ihre ID an Microsoft und prüfen, ob es in Autopilot für eine Azure AD-Umgebung registriert wurde. Anschließend müssen sich die Benutzer:innen mit ihren Zugangsdaten auf der Microsoft-Anmeldeseite anmelden. Durch die Anmeldung wird die Einschreibung in Relution durchgeführt und ein Benutzerkonto für die Azure AD-Benutzer:innen auf den Geräten angelegt.

Vorteile von Windows Autopilot

Windows Autopilot hat zum Ziel, neue Windows 10/11-Geräte nicht mehr umständlich einzeln mit einem intern erstellten Image bespielen zu müssen, sondern die Geräte sollen sich möglichst selbständig in vorkonfigurierte Geräte verwandeln. Das minimiert den Aufwand für die Image-Erstellung und reduziert die erforderliche Zeit für die physische Registrierung und Bereitstellung der Geräte. Azure muss hierzu nur einmal eingerichtet werden und die automatische Registrierung funktioniert so lang, bis das definierte Gültigkeitsdatum des Geheimen Clientschlüssel abläuft (siehe unten). s

Verknüpfen von Azure AD und Relution

Im Relution-Portal finden Sie unter Einstellungen > Organisation > Azure Active Directory eine Anleitung, die Sie bei der Einrichtung und Verknüpfung von Azure AD und Relution unterstützt.

AutoPilot01

Hinzufügen der MDM-Anwendung

Zuerst wird eine neue MDM-Anwendung in Azure angelegt und mit den Angaben aus der Relution-Anleitung vervollständigt.

AutoPilot02

Fügen Sie die Domäne des entsprechenden Relution-Servers in Azure AD unter Namen der benutzerdefinierten Domänen hinzu. Dies kann einige Zeit in Anspruch nehmen. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Microsoft Dokumentation →

AutoPilot03

Unter Mobilität (MDM und MAM) wird anschließend die gewünschte MDM-Anwendung hinzugefügt und aktiviert:

AutoPilot04

  1. Wählen Sie die Kachel On-Premises MDM Applikation unten rechts.
  2. Vergeben Sie einen Namen.
  3. Klicken Sie auf Hinzufügen.

AutoPilot05

Nun wird die die neue MDM-Anwendung mit den Angaben der Relution-Anleitung aus Schritt konfiguriert:

  1. Wählen Sie Alle für MDM-Benutzerbereich (alle Benutzer:innen können eine Autopilot-Einschreibung durchführen).
  2. Tragen Sie die URL zu den MDM-Nutzungsbedingungen aus Relution ein:
https://serverurl/api/v1/devices/windows/termsOfUse
  1. In URL für MDM-Ermittlung tragen Sie die Server-URL aus Relution ein.
  2. Klicken Sie auf Speichern.

AutoPilot06

Vornehmen der MDM-Anwendungseinstellungen

Nachdem die neue MDM-Anwendung erstellt ist, können die lokalen MDM-Anwendungseinstellungen in Azure vorgenommen werden. Hierbei ist es zwingend erforderlich, dass folgende Angaben aus Azure in die Relution-Anleitung in Schritt 2 übertragen werden:

  1. Anwendungs-ID (Client)
  2. Verzeichnis-ID (Mandant)
  3. Wert des Geheimen Clientschlüssel

AutoPilot07

Nun klicken Sie in den lokalen MDM-Anwendungseinstellungen in Azure zum Bearbeiten auf Anwendungs-ID-URI.

AutoPilot08

Anschließend tragen Sie in der nachfolgenden Ansicht für Anwendungs-ID-URI die entsprechende Server-URL ein.

AutoPilot09

Als nächstes fügen Sie einen Geheimen Clientschlüssel (Client Secret) unter Zertifikate & Geheimnisse hinzu:

  1. Klicken Sie auf Neuer geheimer Clientschlüssel in Tab Geheime Clientschlüssel.
  2. Im Dialogfenster Geheimen Clientschlüssel hinzufügen geben Sie eine Beschreibung und die Gültigkeit an.
  3. Klicken Sie auf Hinzufügen.

AutoPilot10

Anschließend wird in der Auflistung unter Tab Geheime Clientschlüssel der neue Eintrag angezeigt.

Konfigurieren der API-Berechtigungen

In Schritt 3 der Relution-Anleitung werden jetzt die API-Berechtigungen konfiguriert:

AutoPilot11

Folgende Einstellungen müssen in Azure durchgeführt werden:

  1. Klicken Sie unter API-Berechtigungen > Konfigurierte Berechtigungen auf Berechtigung hinzufügen
  2. Wählen Sie Microsoft Graph unter Microsoft-APIs im Dialogfenster API-Berechtigungen anfordern aus

AutoPilot12

  1. Im nächsten Schritt wählen Sie die Kachel Anwendungsberechtigungen aus

AutoPilot13

  1. Wählen Sie User.Read.All für User aus

AutoPilot14

  1. Wählen Sie Group.ReadWrite.All für Group aus

AutoPilot15

  1. Wählen Sie Device.ReadWrite.All für Device aus und bestätigen Sie die Auswahl mit Berechtigungen hinzufügen

AutoPilot16

Bei den neu hinzugefügten API-Berechtigungen wird als Status initial ein Ausrufezeichen angezeigt. Administrator:innen müssen hier einmal zustimmen, damit Microsoft Graph die Berechtigungen letztlich auch erhält. Anschließend wird der Status mit Grünem Häkchen für Gewährt dargestellt und die Berechtigungen sind erteilt

AutoPilot17

Definieren der Umleitungs-URI

In Schritt 4 der Relution-Anleitung wird die Umleitungs-URI in Azure konfiguriert:

AutoPilot18

  1. Klicken Sie unter Authentifizierung auf Plattform hinzufügen.
  2. Wählen Sie im Dialogfenster Plattform konfigurieren die Kachel Web aus.

AutoPilot19

  1. Geben Sie im nächsten Schritt unter Web die Server-URL bei Umleitungs-URI hinzufügen an.
  2. Deaktivieren Sie die Checkbox ID-Tokens.
  3. Klicken Sie auf Speichern.

AutoPilot20

Überprüfen der Azure-Standardeinstellungen und abschließen der Einrichtung

Unter Geräte > Geräteeinstellungen müssen folgende Punkte konfiguriert sein:

  • Alle Benutzer:innen dürfen Geräte in Azure AD einbinden.
  • Alle Benutzer:innen dürfen ihre Geräte für Azure AD registrieren.
  • Maximale Anzahl von Geräten pro Benutzer:in sollte beachtet werden.

AutoPilot21

Damit ist die Einrichtung in Azure abgeschlossen.

Wählen der Relution Serviceoptionen und abschließen der Einrichtung

In der Relution-Anleitung kann in Schritt 5 noch optional gewählt werden, ob Azure AD-Benutzer:innen und Azure AD-Gruppen mit Relution synchronisiert werden sollen:

AutoPilot22

Mit Klick auf Speichern ist die Einrichtung und Verknüpfung von Azure AD in Relution abgeschlossen.

Hinzufügen von Windows 10/11-Geräte in den Microsoft Store for Business und Azure AD

Für die Nutzung desMicrosoft Store for Business wird ein Konto benötigt.

Neue Geräte können über einen Partner beschafft und registriert werden. Über diesen Weg werden die Geräte automatisch in den Microsoft Store for Business und in Azure AD hinterlegt und müssen nicht selbst manuell eingepflegt werden.

Bereits in Betrieb genommene Geräte lassen sich auch manuell hinzufügen. Dazu wird eine CSV-Datei benötigt, die per Powershell-Skript auf den Geräten erzeugt​ wird. Anschließend wird die CSV-Datei über Geräte hinzufügen hochgeladen und die hinzugefügten Geräte müssen zurückgesetzt werden.

Die Geräte erscheinen anschließend in der Geräteliste und müssen mit einem konfigurierten Profil verknüpft werden.

Vorbereitung der Out Of The Box Experience (OOBE) bei Microsoft

Im Microsoft Store for Business lassen sich nun Profile auf hinzugefügte Geräte anwenden.

  1. Klicken Sie unter Einstellungen und ​Tab Verteilen auf Verwaltungstool hinzufügen und wählen Sie die MDM-Anwendung anhand des Namen aus.
  2. Klicken Sie Aktivieren (falls noch nicht aktiviert).

AutoPilot23

Anschließend wählen Sie Neues Profil erstellen unter Geräte > Autopilot-Bereitstellung aus.

AutoPilot24

Nun müssen für das neue Autopilot-Bereitstellungsprofil folgende Angaben gemacht werden:

  1. Vergeben Sie einen Namen.
  2. Datenschutzeinstellungen überspringen ist optional.
  3. Erstellung des lokalen Administratorkontos auf dem Gerät deaktivieren ist optional (wenn die Checkbox ausgewählt wird, wird ein Standard-Benutzer-Konto angelegt, ansonsten ein Administrator-Konto).
  4. Software-Lizenzbedingungen von Microsoft überspringen ist optional.
  5. Bestätigen Sie die Eingaben mit Erstellen.

AutoPilot25

Jetzt lassen sich erstellte Profile auf Geräte anwenden.

AutoPilot26

Hinterlegte Windows 10/11-Geräte in Relution synchronisieren

Unter Geräte > Auto-Einschreibungen werden die Windows 10/11-Geräte über die Schaltfläche Synchronisieren in Relution hinzugefügt. Die Geräte dürfen zu diesem Zeitpunkt noch nicht eingeschrieben sein.

AutoPilot27

Automatische Einschreibung von Windows 10/11-Geräten in Relution

Nach Zurücksetzen der Geräte oder bei erstmaliger Inbetriebnahme wird im OOBE die Netzwerkverbindung hergestellt. Sobald dies geschehen ist, kommunizieren die Geräte mit Azure und laden das Autopilot-Profil herunter.

Daraufhin erscheint der Anmeldebildschirm für das Microsoft-Konto. Nachdem Benutzer:innen ihre Anmeldedaten eingegeben haben, findet die Kommunikation mit Relution statt. Es wird zunächst der Nutzungsbedingungs-Endpunkt aufgerufen, und daraufhin findet die Einschreibung in Relution statt.

Wenn die Benutzer:innen in Relution hinterlegt und Auto-Einschreibungen für die Geräte vorhanden sind, werden die Einschreibungen durchgeführt. Anschließend erscheinen die Windows 10/11-Geräte im Geräteinventar der entsprechenden Relution-Organisation und können über Windows-Richtlinienkonfigurationen und Aktionen weiter konfiguriert werden.