August 26

0 comments

Windows Autopilot – Nutzung verschiedener Profile

Autor: Aaron Siller

August 26, 2021


Windows AutoPilot ist eine Deployment-Möglichkeit von Microsoft Intune, mit der du neue Geräte einrichten und konfigurieren kannst, um sie auf den produktiven Einsatz vorzubereiten.

Mit Windows AutoPilot kannst Du auch Geräte zurücksetzen, wiederverwenden und erneut ausrollen. AutoPilot ermöglicht es einer IT-Abteilung mit einfachen administrativen Tätigkeiten die Endgeräte der Mitarbeiter zu verwalten.

In die Beitrage zeige ich Dir, wie Du verschiedene AutoPilot-Profile anwenden kannst.


AutoPilot Microsoft-Intune

Nutzen von AutoPilot

AutoPilot ist ein Bestandteil des Mobile Device Management (MDM) mit Microsoft Intune. Es ermöglicht dir das automatisierte Deployment von Windows 10 Geräten. Das Windows AutoPilot muss dabei das Endgerät nicht neu installieren, sondern bedient sich dem bereits vorhandenem Image.

Du kannst es mithilfe von Konfigurationen an die Richtlinien des Unternehmens anpassen. AutoPilot hat den Vorteil, dass die verwendeten Geräte nicht mehr physisch in die IT-Abteilung gehen müssen, sondern die IT-Abteilung alle Geräte remote in ein Deployment geben kann. Die einzige Voraussetzung ist, dass der Nutzer eine Windows Pro oder Enterprise Version besitzt, über Intune Lizenziert ist und natürlich eine funktionierende Internetanbindung zu Hause hat.

Infografik zur Funktionsweise von AutoPilot

Nutzung von Profilen in Endpoint Manager

Viele Unternehmen nutzen im Endpoint Manager nur ein einziges Standardprofil als Allroundlösung für alle im Firmennetz vorhandenen Rechner. Sicher kann das in einigen Fällen seinen Zweck einigermaßen erfüllen. Jedoch kann in den allermeisten Fällen die Arbeit der Administratoren sehr erleichtert werden und deckt auch den Unternehmensweiten Bedarf ab, wenn mit mehreren Profilen gearbeitet wird.

Bild von den Autopilot Profis Andreas Zeisler und Aaron Siller

Dies wird durch die Verteilung unterschiedlicher Applikations- und Richtlinien-Sets anhand mehrerer Autopilot Profile erreicht. Es ist so gut wie immer der Fall, dass die Mitarbeiter eines Unternehmens in unterschiedlichen Abteilungen, Standorte, oder Ländern tätig sind und somit mitunter auch andere Softwarelösungen benötigen. Diese Applikationen werden dann oftmals manuell nachinstalliert. Um sich diese zusätzliche Arbeit zu ersparen, bietet sich die Nutzung mehrerer Autopilot Profile an.


Video zum Artikel: Nutzung verschiedener Profile

Endpoint Manager übersicht über die in Intune registrierten Geräte

Umgang mit Dynamischen Gruppen

Um unterschiedliche Autopilot Profile verwenden zu können, müssen wir mit der Hardware ID der Rechner arbeiten.  Jeder Rechner besitzt eine Hardware ID.  Wir gruppieren also Rechner anhand bestimmter IDs und formen aus Ihnen eine oder mehrere dynamische Gruppen. Mit diesen können wir dann unserem Wunsch gemäß arbeiten.

Die Hardware ID besteht aus einem Hardware Hash zusammen mit der Device Serial Number und der Windows Product ID, die in eine CSV-Datei exportiert wird. Anhand dieser HardwareID könnten wir sie nun schon in unserem Endpoint Manager kategorisieren.

Mehr zur manuellen Registrierung von Geräten findest du hier.

Wir haben des weiteren auch die Möglichkeit, dynamische Gruppen anhand der Order ID zu formen. Diese ID tragen wir dazu als Variable in der CSV-Datei nach.

Eintrag der Order ID in CSV Datei um dynamische Gruppen zu formen
Order ID wird in der CSV nach dem Hardware Hash angehängt

Weiter unten hinter dem Hardware Hash tragen wir nun also hinter einem Komma den Wert für die Order ID ein. In diesem Fall haben wir ein DE für Deutschland eingetragen. So können wir im weiteren Verlauf eine dynamische Gruppe einrichten, die nach der HardwareID oder OrderID filtern kann.


Informationsbeschaffung über Distributor

Bei einigen wenigen Geräten könnten wir über eine CSV-Datei an die benötigten Informationen gelangen.

Wir haben auch die Möglichkeit, uns die  gewünschten Daten über den Distributor zukommen lassen. Dieser verlangt natürlich zumeist bare Münze dafür, wobei unterschiedliche Preismodelle angelegt werden. Einige rechnen hier per Pauschale ab, die oft irgendwo zwischen einem und fünfzig Euro liegen. Andere verlangen pro Gerät einen bestimmten Betrag von beispielsweise einem Euro. Meist richtet sich der Preis entsprechend nach der Menge an Datensätzen.


Registrierung des Gerätes

Das Gerät aus der erstellten oder erhaltenen CSV Datei können wir nun bei uns in Intune registrieren, indem wir diese über “Geräte” - “Windows Registrierung”- “Geräte” importieren.

Beispiel zum importieren de Gerätes mit CSV in Autopilot

Die Gruppentags

Was in der HardwareID die OrderID darstellt, entspricht im Endpoint-Manager dem “Gruppentag”. Diese kann separat definiert werden. Dabei hat es sich als vorteilhaft erwiesen, eine gleichbleibende Bezeichnungspolicy zu nutzen.

Beispiel wie man einen Gruppentag im Endpoint Manager festlegt

Erstellung Dynamischer Gruppen

Im Folgenden möchten wir uns zwei dynamische Gruppen erstellen. Die eine soll uns alle Geräte mit einer Hardware ID herausfiltern, die andere alle Geräte mit einer Order ID. Zu dem richtigen Reiter gelangen wir in der linken Spalte über “Gruppen” und “neue Gruppe”.

Beispiel wie man dynamische Gruppen in AutoPilot erstellt

Hier wählen wir nun den Gruppentyp “Sicherheit” aus und vergeben einen Namen, in diesem Fall “IntunePilots-All-Devices”.

Die Einzelansicht zum erstellen einer neuen Gruppe

Als Mitgliedschaftstyp wählen wir “Dynamisches Gerät” und fügen über “dynamische Abfrage hinzufügen” einen weiteren Selektionstyp hinzu.

Beispiel wie man eine dynamische Abfrage hinzufügt

Gut zu wissen: Die Möglichkeit zur Nutzung dynamischer Mitgliedschaften bietet sich für Windows Clients für bestimmte Lizenztypen. Dazu gehören Business Premium, Mircosoft 365 E3 und E5, Enterprise Mobility/Security Suite E3 und E5. Ein Azure Premium P1 kann separat lizensiert werden. Bei einer Business Standard oder Basic Lizenz ist die genannte Option nicht Teil des Portfolios.

Innerhalb der dynamischen Regeln können wir nach Eigenschaften filtern und diese dann anhand verschiedener Operatoren mit einem Wert befüllen.

In der dynamischen Regel nach Eigenschaften filtern und anhand verschiedener Operatoren befüllen

Wir entscheiden uns aber dafür, anhand benutzerdefinierter Regeln zu selektieren. Um diese zu definieren, klicken wir unter “Regelsyntax” auf “bearbeiten”.

Ansicht der benutzerdefinierten Regeln unter Regelsyntax -> bearbeiten

Die eingefügte Regel filtert nach einer “devicePhysicalID”, welche eine sogenannte ZTD-ID hat welche der HardwareID entspricht. Sie muss nicht an eine Order ID oder Gruppen Tag gebunden sein.

Ansicht der eingabe der Regelsyntax

Durch “Ok”, “speichern” und “erstellen” können wir diese Regel für eine dynamische Mitgliedschaft nun nutzen.

Infografik wie man die neu erstellte Regel nun nutzen kann. Ok -> Speichern -> Erstellen

Wir sehen unsere  neu definierte Gruppe nun unter “Alle Gruppen”.

Ansicht aller Gruppen inkl. der neu erstellen in AutoPilot

Wenn wir auf den Namen klicken, werden uns deren Eigenschaften angezeigt.

Eigenschaften der neu erstellten Gruppe in der Übersicht

Die neue dynamische Gruppe durchläuft nun mein Azure Active Directory und prüft, welche Geräte dem Filter entsprechen.

Filtern nach Order ID und Gruppen Tag

Wir erstellen auf gleichem Wege noch eine andere GruppeIntunePilots-DE-Devices“. In dieser möchten wir aber über eine entsprechende Regelsyntax nach Geräten suchen, die ein bestimmtes Gruppentag besitzen. In diesem Fall lassen wir nach unseren Geräten mit der Oder-ID “DE” filtern.

Regelsyntax die nach bestimmten Gruppentag filtert


Wir sehen nun unter den “Windows AutoPilot-Geräten”, dass der gewünschte Gruppentag in der Geräteliste hinzugefügt wurde.

Ansicht dass der gewünschte Gruppentag in der Geräteliste hinzugefüht wurde

Innerhalb der von uns zuvor erstellten dynamischen Gruppe “IntunePilots-All-Devices” sehen wir außerdem parallel, dass sich der Verarbeitungsstatus der Mitgliedschaft auf “Evaluating” geändert hat.

Ansicht dass sich der Verarbeitungsstatus auf Evaluating geändert hat

Nach einer gewissen Zeit hat die Filterregel in der Gruppe “IntunePilots-DE-Devices” die gewünschten Geräte mit Order ID “DE” gefunden und der Mitgliederliste hinzugefügt.

Filterregel Geräte hinzugefügt mit "DE"

Auch der Selektierungsvorgang innerhalb der anderen Gruppe ist nun abgeschlossen. In dieser Gruppe haben wir nur nach der Hardware ID gefiltert. Wir sehen, dass sieben Geräte der entsprechenden Mitgliederliste hinzugefügt wurden.

Ansicht der hinzugefügten Geräten mit Filteurng nach der Hardware ID

Zuweisung der Autopilot-Profile

Für die Gruppen können wir nun über “Geräte”, “Geräteregistrierung” und “Bereitstellungsprofile” die entsprechenden Zuweisungen vornehmen.

Ansicht zum registrieren der Geräte und wie man weiter vorgehen muss zum zuweisen der Profile

Dazu wählen wir ein von uns erstelltes Profil aus und klicken in dessen Eigenschaften unter “Zuweisungen” auf “bearbeiten”.

In den Eigenschaften des Profils um die Zuweisung zu bearbeiten

Hier können wir nun über den entsprechenden Reiter “Gruppen hinzufügen” Gruppen zuweisen, indem wir in der Suchleiste auf der rechten Seite nach unseren neu erstellten Gruppen suchen und diese auswählen. Per klick “überprüfen und "speichern” wir die Auswahl.

Profil bearbeiten Fenster in den man die Gruppen hinzufügen kann

Fazit und Blog

Über die Selektierung von Rechnergruppen per Order- oder Hardware ID, können wir unsere Geräte auf einfache Art und Weise kategorisieren.

Mit der benutzerdefiniten Regelsyntax sind wir ausgesprochen flexibel, was die Filterung von Rechnern angeht. So könnten wir beispielsweise auch Rechner mit ähnlicher Namensgebung gesammelt einer Gruppe hinzufügen.

Ich hoffe dir damit gezeigt zu haben, wie du mit AutoPilot unterschiedliche Profile für Devicegruppen erstellen und verwenden kannst.

Gerne kannst du dich bei mir melden solltest Du bei Deinem Projekt Hilfe benötigen.

Schau Dir doch auch die anderen Tutorials und Tipps an, die wir bereits auf unserem Blog geteilt haben. Wir sind stets bemüht, die aktuellsten Themen und Fragestellungen zu beantworten, um Dich bei der Arbeit mit Microsoft Intune und anderen Microsoft 365 Produkten zu unterstützen!

Aaron Siller

Über den Autor

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>