Windows AutoPilot ist eine Deployment-Möglichkeit von Microsoft Intune, mit der du neue Geräte einrichten und konfigurieren kannst, um sie auf den produktiven Einsatz vorzubereiten.
Mit Windows AutoPilot kannst Du auch Geräte zurücksetzen, wiederverwenden und erneut ausrollen. AutoPilot ermöglicht es einer IT-Abteilung mit einfachen administrativen Tätigkeiten die Endgeräte der Mitarbeiter zu verwalten.
In die Beitrage zeige ich Dir, wie Du verschiedene AutoPilot-Profile anwenden kannst.
Nutzen von AutoPilot
AutoPilot ist ein Bestandteil des Mobile Device Management (MDM) mit Microsoft Intune. Es ermöglicht dir das automatisierte Deployment von Windows 10 Geräten. Das Windows AutoPilot muss dabei das Endgerät nicht neu installieren, sondern bedient sich dem bereits vorhandenem Image.
Du kannst es mithilfe von Konfigurationen an die Richtlinien des Unternehmens anpassen. AutoPilot hat den Vorteil, dass die verwendeten Geräte nicht mehr physisch in die IT-Abteilung gehen müssen, sondern die IT-Abteilung alle Geräte remote in ein Deployment geben kann. Die einzige Voraussetzung ist, dass der Nutzer eine Windows Pro oder Enterprise Version besitzt, über Intune Lizenziert ist und natürlich eine funktionierende Internetanbindung zu Hause hat.
Nutzung von Profilen in Endpoint Manager
Viele Unternehmen nutzen im Endpoint Manager nur ein einziges Standardprofil als Allroundlösung für alle im Firmennetz vorhandenen Rechner. Sicher kann das in einigen Fällen seinen Zweck einigermaßen erfüllen. Jedoch kann in den allermeisten Fällen die Arbeit der Administratoren sehr erleichtert werden und deckt auch den Unternehmensweiten Bedarf ab, wenn mit mehreren Profilen gearbeitet wird.
Dies wird durch die Verteilung unterschiedlicher Applikations- und Richtlinien-Sets anhand mehrerer Autopilot Profile erreicht. Es ist so gut wie immer der Fall, dass die Mitarbeiter eines Unternehmens in unterschiedlichen Abteilungen, Standorte, oder Ländern tätig sind und somit mitunter auch andere Softwarelösungen benötigen. Diese Applikationen werden dann oftmals manuell nachinstalliert. Um sich diese zusätzliche Arbeit zu ersparen, bietet sich die Nutzung mehrerer Autopilot Profile an.
Video zum Artikel: Nutzung verschiedener Profile
Umgang mit Dynamischen Gruppen
Um unterschiedliche Autopilot Profile verwenden zu können, müssen wir mit der Hardware ID der Rechner arbeiten. Jeder Rechner besitzt eine Hardware ID. Wir gruppieren also Rechner anhand bestimmter IDs und formen aus Ihnen eine oder mehrere dynamische Gruppen. Mit diesen können wir dann unserem Wunsch gemäß arbeiten. Wahrscheinlich kennst du das Konzept einer dynamische Gruppen in Azure AD bereits.
Die Hardware ID besteht aus einem Hardware Hash zusammen mit der Device Serial Number und der Windows Product ID, die in eine CSV-Datei exportiert wird. Anhand dieser HardwareID könnten wir sie nun schon in unserem Endpoint Manager kategorisieren.
Mehr zur manuellen Registrierung von Geräten findest du hier.
Wir haben des weiteren auch die Möglichkeit, dynamische Gruppen anhand der Order ID zu formen. Diese ID tragen wir dazu als Variable in der CSV-Datei nach.
Weiter unten hinter dem Hardware Hash tragen wir nun also hinter einem Komma den Wert für die Order ID ein. In diesem Fall haben wir ein DE für Deutschland eingetragen. So können wir im weiteren Verlauf eine dynamische Gruppe einrichten, die nach der HardwareID oder OrderID filtern kann.
Informationsbeschaffung über Distributor
Bei einigen wenigen Geräten könnten wir über eine CSV-Datei an die benötigten Informationen gelangen.
Wir haben auch die Möglichkeit, uns die gewünschten Daten über den Distributor zukommen lassen. Dieser verlangt natürlich zumeist bare Münze dafür, wobei unterschiedliche Preismodelle angelegt werden. Einige rechnen hier per Pauschale ab, die oft irgendwo zwischen einem und fünfzig Euro liegen. Andere verlangen pro Gerät einen bestimmten Betrag von beispielsweise einem Euro. Meist richtet sich der Preis entsprechend nach der Menge an Datensätzen.
Registrierung des Gerätes
Das Gerät aus der erstellten oder erhaltenen CSV Datei können wir nun bei uns in Intune registrieren, indem wir diese über “Geräte” - “Windows Registrierung”- “Geräte” importieren.
Die Gruppentags
Was in der HardwareID die OrderID darstellt, entspricht im Endpoint-Manager dem “Gruppentag”. Diese kann separat definiert werden. Dabei hat es sich als vorteilhaft erwiesen, eine gleichbleibende Bezeichnungspolicy zu nutzen.
Erstellung Dynamischer Gruppen
Im Folgenden möchten wir uns zwei dynamische Gruppen erstellen. Die eine soll uns alle Geräte mit einer Hardware ID herausfiltern, die andere alle Geräte mit einer Order ID. Zu dem richtigen Reiter gelangen wir in der linken Spalte über “Gruppen” und “neue Gruppe”.
Hier wählen wir nun den Gruppentyp “Sicherheit” aus und vergeben einen Namen, in diesem Fall “IntunePilots-All-Devices”.
Als Mitgliedschaftstyp wählen wir “Dynamisches Gerät” und fügen über “dynamische Abfrage hinzufügen” einen weiteren Selektionstyp hinzu.
Gut zu wissen: Die Möglichkeit zur Nutzung dynamischer Mitgliedschaften bietet sich für Windows Clients für bestimmte Lizenztypen. Dazu gehören Business Premium, Mircosoft 365 E3 und E5, Enterprise Mobility/Security Suite E3 und E5. Ein Azure Premium P1 kann separat lizensiert werden. Bei einer Business Standard oder Basic Lizenz ist die genannte Option nicht Teil des Portfolios.
Innerhalb der dynamischen Regeln können wir nach Eigenschaften filtern und diese dann anhand verschiedener Operatoren mit einem Wert befüllen.
Wir entscheiden uns aber dafür, anhand benutzerdefinierter Regeln zu selektieren. Um diese zu definieren, klicken wir unter “Regelsyntax” auf “bearbeiten”.
Die eingefügte Regel filtert nach einer “devicePhysicalID”, welche eine sogenannte ZTD-ID hat welche der HardwareID entspricht. Sie muss nicht an eine Order ID oder Gruppen Tag gebunden sein.
Durch “Ok”, “speichern” und “erstellen” können wir diese Regel für eine dynamische Mitgliedschaft nun nutzen.
Wir sehen unsere neu definierte Gruppe nun unter “Alle Gruppen”.
Wenn wir auf den Namen klicken, werden uns deren Eigenschaften angezeigt.
Die neue dynamische Gruppe durchläuft nun mein Azure Active Directory (Azure AD) und prüft, welche Geräte dem Filter entsprechen. Dieses Prinzip kennst du vielleicht bereits von dem Regel Generator.
Filtern nach Order ID und Gruppen Tag
Wir erstellen auf gleichem Wege noch eine andere Gruppe “IntunePilots-DE-Devices“. In dieser möchten wir aber über eine entsprechende Regelsyntax nach Geräten suchen, die ein bestimmtes Gruppentag besitzen. In diesem Fall lassen wir nach unseren Geräten mit der Oder-ID “DE” filtern.
Wir sehen nun unter den “Windows AutoPilot-Geräten”, dass der gewünschte Gruppentag in der Geräteliste hinzugefügt wurde.
Innerhalb der von uns zuvor erstellten dynamischen Gruppe “IntunePilots-All-Devices” sehen wir außerdem parallel, dass sich der Verarbeitungsstatus der Mitgliedschaft auf “Evaluating” geändert hat.
Nach einer gewissen Zeit hat die Filterregel in der Gruppe “IntunePilots-DE-Devices” die gewünschten Geräte mit Order ID “DE” gefunden und der Mitgliederliste hinzugefügt.
Auch der Selektierungsvorgang innerhalb der anderen Gruppe ist nun abgeschlossen. In dieser Gruppe haben wir nur nach der Hardware ID gefiltert. Wir sehen, dass sieben Geräte der entsprechenden Mitgliederliste hinzugefügt wurden.
Zuweisung der Autopilot-Profile
Für die Gruppen können wir nun über “Geräte”, “Geräteregistrierung” und “Bereitstellungsprofile” die entsprechenden Zuweisungen vornehmen.
Dazu wählen wir ein von uns erstelltes Profil aus und klicken in dessen Eigenschaften unter “Zuweisungen” auf “bearbeiten”.
Hier können wir nun über den entsprechenden Reiter “Gruppen hinzufügen” Gruppen zuweisen, indem wir in der Suchleiste auf der rechten Seite nach unseren neu erstellten Gruppen suchen und diese auswählen. Per klick “überprüfen und "speichern” wir die Auswahl.
Fazit und Blog
Über die Selektierung von Rechnergruppen per Order- oder Hardware ID, können wir unsere Geräte auf einfache Art und Weise kategorisieren.
Mit der benutzerdefiniten Regelsyntax sind wir ausgesprochen flexibel, was die Filterung von Rechnern angeht. So könnten wir beispielsweise auch Rechner mit ähnlicher Namensgebung gesammelt einer Gruppe hinzufügen.
Ich hoffe dir damit gezeigt zu haben, wie du mit AutoPilot unterschiedliche Profile für Devicegruppen erstellen und verwenden kannst.
Gerne kannst du dich bei mir melden solltest Du bei Deinem Projekt Hilfe benötigen.
Schau Dir doch auch die anderen Tutorials und Tipps an, die wir bereits auf unserem Blog geteilt haben. Wir sind stets bemüht, die aktuellsten Themen und Fragestellungen zu beantworten, um Dich bei der Arbeit mit Microsoft Intune und anderen Microsoft 365 Produkten zu unterstützen!
Windows AutoPilot – Einführung und Konfiguration
Windows AutoPilot ist eine Deployment-Möglichkeit von Microsoft Intune, mit denen Du neue Geräte einrichten und konfigurieren kannst, um sie auf den produktiven Einsatz vorzubereiten. Mit Windows AutoPilot kannst Du auch Geräte zurücksetzen, wiederverwenden und erneut ausrollen. AutoPilot ermöglicht es einer IT-Abteilung mit einfachen administrativen Tätigkeiten die Endgeräte der Mitarbeiter zu verwalten. AutoPilot einrichten und konfigurieren Nutzen
Einrichten vom AutoPilot Hybrid Join
Mittels Einrichtung vom AutoPilot Hybrid Join haben wir die Möglichkeit unsere Windows 10 Clients automatisiert mit Applikationen und Richtlinien beim Deployment zu betanken.Dabei können wir auf die reine Administration in der Cloud durch Intune setzen oder aber wir möchten ein Hybrides Modell anwenden, um auch weiterhin die Nutzung von lokalen Gruppenrichtlinien zu ermöglichen.In diesem Beitrag
Verschiedene AutoPilot Profile einrichten und nutzen
Intune – mehrere AutoPilot Profile verwenden: Vielleicht möchten oder können wir nicht nur ein AutoPilot Profil nutzen, dass wir auf alle Windows Clients anwenden, sondern wollen beim Deployment der Endgeräte gerne verschiedene Rollout-Pakete schnüren und diese z.B.: nach Standorten oder Abteilungen aufteilen.Ein Weg dies zu ermöglichen ist die Anwendung von dynamischen Gruppen und angepassten Hardware-IDs.Wie
