Bulk Enrollment

Einleitung

Bei der Registrierung und Einrichtung einer großen Anzahl von Windows 10/11-Geräten entsteht durch einen manuellen Einschreibeprozess ein nicht unerheblicher Aufwand. Das Windows Bulk Enrollment, auch Masseneinschreibung genannt, stellt eine effiziente Möglichkeit dar, viele Windows 10/11-Geräte schnell einzuschreiben, ohne die Einschreibungen über die Systemeinstellungen auf jedem einzelnen Gerät abschließen zu müssen. Die massenhafte Registrierung von Windows 10/11-Geräten ist für die Versionen Professional, Enterprise und Education verfügbar.

Windows Configuration Designer (WCD)

Um Windows Bulk Enrollment durchführen zu können, wird das Tool Windows Configuration Designer (WCD) benötigt, dass aus dem Microsoft Store → heruntergeladen werden kann. Alternativ lässt sich das WCD-Tool über das Windows Assessment and Deployment Kit (ADK) → herunterladen und ist dann auch in anderen Sprachen verfügbar.

Mit dem WCD-Tool lassen sich Bereitstellungspakete, sogenannte Provisioning Packages, erzeugen, die für die Ausführung von Masseneinschreibungen benötigt werden. Das Dateiformat von Bereitstellungspaketen ist eine ppkg-Datei. Dies ist ein Container für eine Sammlung von Konfigurationseinstellungen. Das Bulk Enrollment wird nicht mit einem Azure AD-Konto oder Windows Autopilot durchgeführt. Die Registrierung erfolgt über eine ppkg Datei, diese kann nach der Inbetriebnahme des Gerätes mit einem Administrator Konto ausgeführt werden. Alternativ kann die ppkg in ein Windows Image eingearbeitet werden, dazu bitte folgender Anleitung folegen. Window Bulk ppkg Image →

Die ppkg darf nicht wie eine auto/unattend.xml auf einem USB Stick bei der Installation vom OS verwendet werden. Bei der Installation des OS wird ein Temp-Admin verwendet, dieser und die Einschreibung würden nach einiger Zeit verworfen werden

Vorbereitung der Einschreibung in Relution

Für die Masseneinschreibung von Windows 10/11-Geräten muss in Relution eine manuelle Einschreibung angelegt werden.

Manuelle Einschreibung für Windows Bulk Enrollment in Relution erstellen

Die Gültigkeit dieser Einschreibung kann frei gewählt werden. Wichtig ist, dass in diesem Schritt die Mehrfach-Einschreibung aktiviert wird, um die erzeugte Einschreibung für mehrere Windows 10/11-Geräte verwenden zu können.

Mehrfach-Einschreibung und Gültigkeit für Windows Bulk Enrollment in Relution konfigurieren

Der anschließend generierte Einschreibungscode wird im weiteren Prozess bei der Erstellung des Bereitstellungspaketes über das WCD-Tool benötigt.

Generierten Einschreibungscode für Windows Bulk Enrollment in Relution anzeigen

Erstellen von Bereitstellungspaketen mit Windows Configuration Designer (WDC)

Folgende Schritte werden nach dem Download und der Installation des WCD-Tools durchgeführt, um ein Bereitstellungspaket zu erstellen:

  1. Wählen Sie in der Startansicht die Kachel Verwenden der erweiterten Bereitstellung. Erweiterte Bereitstellung im Windows Configuration Designer starten

  2. Geben Sie einen Projektnamen an und klicken Sie auf Weiter. Projektnamen für Bereitstellungspaket im Windows Configuration Designer vergeben

  3. Wählen Sie Alle Windows Desktop Editionen und klicken Sie Weiter. Alle Windows Desktop Editionen als Zielplattform im WCD auswählen

  4. Überspringen Sie Import eines Bereitstellungspakets (optional) und bestätigen Sie mit Fertigstellen. Import eines Bereitstellungspakets im Windows Configuration Designer überspringen

  5. Erweitern Sie den Menüpunkt Laufzeiteinstellungen und anschließend Workplace im linken Navigationsbereich und klicken Sie auf Einschreibungen.

  6. Fügen Sie die E-Mail-Adresse eines Benutzer:in aus der entsprechenden Relution-Organisation hinzu, der die Rolle Device Manager besitzt. E-Mail-Adresse des Device Manager Benutzers für Workplace-Einschreibung im WCD hinterlegen

  7. Erweitern Sie den Menüpunkt UPN im linken Navigationsbereich und führen Sie die Eingabe folgender Informationen für die restlichen Einstellungen durch:

  • AuthPolicyOnPremise auswählen.
  • DiscoveryServiceFullUrl – Angabe der entsprechenden Domain des verwendeten Relution-Servers.
  • EnrollmentServiceFullUrl – Optional.
  • PolicyServiceFullUrl – Optional.
  • Secret Eingabe des Einschreibungscodes aus Relution.

AuthPolicy und Discovery-URL mit Einschreibungscode im WCD für Relution konfigurieren

  1. Nach Eingabe aller Einstellungen, klicken Sie im Hauptmenü unter Datei auf Speichern.

  2. Anschließend klicken Sie im Hauptmenü unter Exportieren auf Bereitstellungspaket. Bereitstellungspaket im Windows Configuration Designer exportieren

  3. Im anschließenden Dialog geben Sie die Werte für das Paket an, wählen den Speicherort für die Paketausgabe und klicken auf Erstellen.

Paketdetails und Speicherort für Bereitstellungspaket im WCD angeben

Bereitstellungspaket im Windows Configuration Designer erstellen und bestätigen

Das Bereitstellungsprofil sollte geschützt (verschlüsselt und/oder signiert) werden. Dies bietet einen zusätzlichen Schutz, falls ein USB-Stick oder eine SD-Karte verloren geht. Die Verschlüsselung schützt vor unbefugten Zugriffen auf die ppkg-Datei.

Verschlüsselung und Signatur für Bereitstellungspaket im WCD aktivieren

Bereitstellungspaket ppkg-Datei im Windows Configuration Designer fertigstellen

Speicherort der exportierten ppkg-Datei im Windows Explorer anzeigen

WCD-Bereitstellungspaket abgeschlossen und zur Anwendung auf Windows-Geräten bereit

Anwendung von Bereitstellungspaketen auf Windows 10/11-Geräten

Es reicht völlig aus, die ppkg-Datei mit einem Doppelklick auf dem Gerät zu öffnen und die Dialoge zu bestätigen. Das Gerät ist im Anschluss automatisch eingeschrieben. Auch hier benötigt der User:in administrative Berechtigungen um die Einschreibung auszuführen.

Überprüfen des Bereitstellungspaketes auf eingeschriebenen Windows 10/11-Geräten

Unter Systemeinstellungen unter Geschäfts- oder Schulkonto zugreifen wird die Verbindung mit dem Relution MDM-Server angezeigt.

MDM-Verbindung mit Relution Server unter Geschäfts- oder Schulkonto in Windows Systemeinstellungen

Bitte löschen Sie nicht das Konto auf dem Gerät, mit dem das Gerät registriert wurde.