single.php
< Beitrag von Julian Blechschmidt

Windows 10 Deployment via MS Intune AutoPilot

Die Microsoft Azure Cloud bietet mit AutoPilot einen Dienst an, der das Provisioning von Clients vereinfacht. In diesem Blogbeitrag erläutere ich, welche notwendigen Konfigurationsschritte Sie gehen müssen, um einen Windows 10 Client unabhängig vom Gerätestandort auszurollen und mit sämtlichen Konfigurationen und Regeln zu bestücken. Was Sie früher mühsam über Images und SCCM zusammengebastelt und ausgerollt haben, lässt sich heute via Microsoft Azure Intune bereitstellen.In Verbindung mit AutoPilot ermöglicht Microsoft Azure Intune Ihnen die Verwaltung von Richtlinien, Profilen, Applikationen etc. für mobile Endgeräte. Dazu muss der zukünftige Unternehmensclient eine aktive Internetverbindung vorweisen und der Benutzer sich über seine spezifische onmicrosoft-Tenant-Adresse anmelden. Wenn diese Voraussetzungen erfüllt sind, beginnt der Job des AutoPilots. Damit die Clients die entsprechende Policy des Unternehmens erhalten, bedarf es einiger Konfigurationen im Azure Intune. Auch dafür müssen bestimmte Voraussetzungen gegeben sein:

  1. Die Geräte müssen für die Organisation bei Azure (Intune) registriert sein.
  2. Das Unternehmensbranding muss eingerichtet sein.
  3. Der zukünftige Client benötigt eine Internetanbindung.
  4. Sie benötigen eine Lizenz für Windows 10, Version 1703 oder höher: Pro, Pro Education, Pro for Workstations, Enterprise, Education
  5. Azure-AD-Abonnement:
    • Microsoft 365 Business, Microsoft 365 F1, Microsoft 365 E3 oder E5
    • Enterprise Mobility & Security E3 oder E5
    • Azure AD Premium P1 oder P2
  6. Benutzer müssen auf Geräte im Azure-AD zugreifen können.
  7. Microsoft Intune ist als MDM-Autorität in Azure eingetragen.
  8. Office 365 ProPlus (Office Suite Softwarepaket zum Ausrollen). Dies ist zwar keine Voraussetzung, aber relevant für wichtige Softwarepakete.

Unternehmensbranding

Falls nicht schon geschehen, sollten Sie sich zuerst um das Unternehmensbranding kümmern. Dieser Schritt wird zwar als Voraussetzung angegeben, es funktioniert jedoch auch ohne. Dennoch sollten Sie der Vollständigkeit halber Ihr Unternehmensbranding konfigurieren. Dafür werden die Firmenlogos in kleinen Bilddateien in Azure hochgeladen. Dies sieht der Endbenutzer z. B. auf der Windows-Anmeldeseite.

Intune Konfigurationen

Windows-Geräteregistrierung

Intune ermöglicht die Verwaltung und Einrichtung aller Geräte und Applikationen, die das Unternehmen nutzt. Um Intune einzusetzen, ist eine Geräteregistrierung erforderlich.

Zuerst wird unter Intune > Geräteregistrierung > Windows-Registrierung das AutoPilot-Bereitstellungsprofil konfiguriert. Dieses Profil enthält wichtige Voreinstellungen, die auf den Client gepusht werden.

Wenn Sie ein neues Profil erstellen, hinterlegen Sie in den Eigenschaften allgemeine Daten wie Name und Beschreibung. Unter Bereitstellungsmodus werden 2 Arten der Bereitstellung beschrieben:

  • Benutzergesteuert: Zur Bereitstellung des Gerätes sind Benutzeranmeldeinformationen notwendig.
  • Selbstbereitstellend: Da die Geräte keinem Benutzer fest zugeordnet sind, sind Benutzerdaten nicht relevant.

Für dieses Szenario wählen wir die benutzergesteuerte Bereitstellung aus.

Intune 1: Win 10 - Eigenschaften

Unter dem Reiter Einstellungen können Sie die folgenden Optionen konfigurieren:

Intune 2: Win 10 - Einstelllungen

Bei Zuweisungen hinterlegen Sie die Gruppen, für die dieses Bereitstellungsprofil gelten soll. Bereitstellungsprofile können Sie nicht auf Benutzer- oder Computerebene delegieren.

Im Menü der Windows-Registrierung finden Sie weitere Einstellungsmöglichkeiten, wie z. B. Windows Hello for Business. Diese Authentifizierungsoption sollten Sie für alle Endgeräte und Benutzer erzwingen, um eine einfache und sichere Anmeldeoption für die Endbenutzer zu ermöglichen. Folgende Optionen stehen Ihnen zur Verfügung:

Intune 3: Windows Registrierung

Geräte-Hardware-ID

Damit Intune den zukünftigen Windows 10 Client auch erkennen kann, müssen Sie die Hardware-ID des Endgeräts ermitteln und in das Intune-Portal hochladen. Dazu geben Sie ein kleines Script bzw. diese 5 Zeilen Code in der Powershell-Konsole ein:

md c:\HWID

Set-Location c:\HWID

Set-ExecutionPolicy Unrestricted

Install-Script -Name Get-WindowsAutoPilotInfo

Get-WindowsAutoPilotInfo.ps1 -OutputFile c:\temp\AutoPilotHWID.csv

Die generierte CSV-Datei können Sie einfach per Import-Button in Intune hochladen. Dieser Schritt ist notwendig, damit Profile und Konfigurationen auf Geräteebene funktionieren. Das Gerät ordnen Sie per Assign-User-Button einer bestimmten Person zu. Microsoft arbeitet aktuell mit großen Hardware-Herstellern zusammen, um die Übermittlung der Hardware-ID in der Windows-Installationsphase ins Intune-Portal zu automatisieren.

Gerätekompatibilität

Sobald die Einstellungen der Geräteregistrierung erfüllt sind, widmen Sie sich der Gerätekompatibilität. Die Geräte-Konformitätsrichtlinien umfassen Regeln und Einstellungen, die für die Authentifizierungen und die Verschlüsselungsoption. Diese Einstellungen definieren die Kriterien, die ein Endgerät erfüllen muss, um für die Unternehmensstruktur kompatibel zu sein.

Intune 4: Winsdows 10 - Kompatibilität

Unter Intune > Gerätekompatibilität > Richtlinien erstellen Sie eine neue Richtlinie. Im Reiter Eigenschaften der neuen Richtlinie definieren Sie neben dem Namen und der Beschreibung die relevante Betriebssystemversion, für die diese Richtlinie gelten soll.

Hinter Einstellungen verbergen sich die Optionen Geräteintegritätsdienst, Geräteeigenschaften, Systemsicherheit und Windows Defender ATP. Optionen von zulässigen Windows-Versionen über Passwort-Policies, Firewall- und Antivirus-Einstellungen bis hin zur Erforderlichkeit von Bitlocker werden in dieser Richtlinie festgelegt.

Die Geräte-Kompatibilitätsrichtlinie kann auf einzelne Gruppen oder auf alle Benutzer delegiert werden.

Gerätekonfiguration

Verschiedene Geräte innerhalb eines Unternehmens benötigen unterschiedliche Einstellungen und Features. Damit jedes Gerät seine eigenen Richtlinien erhält, werden diese Geräteprofile unter Intune > Gerätekonfiguration > Profile erzeugt und definiert. Für dieses Szenario benötigen Sie ein Windows-10-Device-Profil.

Intune 5: Win 10 Device Configuration Restrictions

Nachdem Sie das Profil erstellt haben, bestimmen Sie die Geräteeinschränkungen unter den Einstellungen. Hier gibt es viele Einstellungsmöglichkeiten, die eher an klassische Gruppenrichtlinien erinnern.

Ergebnis

Sobald Sie die Basics konfiguriert haben, registrieren sich die Testgeräte automatisiert im Intune-Portal. Nun startet auf unserem Windows 10 Client die gewohnte Konfigurationsprozedur. Wenn das Gerät eine funktionierende Netzwerkverbindung aufgebaut hat, wird die Eingabe einer onmicrosoft-E-Mailadresse gefordert:

Intune 6: Kennwort

Nachdem das Passwort akzeptiert wurde, ist der Client mit dem Azure Tenant verbunden. Nach und nach werden nun Einstellungen, Richtlinien und Applikationen aus der Cloud für den Client bereitgestellt.

Folgen
X

Folgen

E-mail : *
Kategorie: Cloud | Schlagwörter: | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.