Was ist das?
Windows Autopilot bietet eine nahtlose und vereinfachte Bereitstellung neuer Windows-Geräte. Mit dieser Lösung können Sie Ihre Geräte vorkonfigurieren und so manuelle Eingriffe während der Installation vermeiden. Ihre Mitarbeiter profitieren von einer sofort einsatzbereiten Lösung: Sie müssen sich lediglich mit ihren Microsoft-Geschäftsanmeldeinformationen anmelden, und ihr Gerät wird automatisch mit den Unternehmensanwendungen, -einstellungen und -sicherheitsrichtlinien konfiguriert, die im Factorial IT Cockpit festgelegt wurden.
Autopilot reduziert den Zeit- und Arbeitsaufwand für die Bereitstellung und Verwaltung von Geräten in großem Umfang erheblich und gewährleistet gleichzeitig die sofortige Produktivität der Benutzer.
Welche Voraussetzungen müssen erfüllt sein?
- Sie benötigen ein Microsoft-Konto mit Administratorrechten
- Haben Sie einen Entra "Mieter"
Sie benötigen eine Lizenz, die Folgendes beinhaltet:
Microsoft Entra ID Plan 1 (oder Plan 2 ) & Windows Autopilot zur Verwaltung der Entra-Konsole.
Die Mindestlizenz, die diese beiden Funktionen umfasst, ist die Enterprise Mobility + Security E3- Lizenz ( https://www.microsoft.com/fr-fr/microsoft-365/enterprise-mobility-security/compare-plans-and-pricing ).
Wenn Sie bereits über eine Windows-Lizenz für die Person verfügen, die die Konten verwalten wird, prüfen Sie anhand der folgenden Quelle, ob diese bereits die für Autopilot erforderlichen Funktionen enthält. Falls nicht, beschaffen Sie sich eine Enterprise Mobility + Security E3- Lizenz.
Was passiert, wenn ein Mitarbeiter mit einem Arbeitsplatzrechner erscheint, der mit Autopilot konfiguriert ist?
- Schalten Sie das Gerät ein.
- Land und Sprache auswählen, Tastatursprache konfigurieren
- Internetverbindung herstellen (ggf. WLAN-Passwort)
- Ich akzeptiere die Allgemeinen Geschäftsbedingungen von FleetDM.
- Der Benutzer meldet sich mit seinen Microsoft-Anmeldeinformationen an + Zwei-Faktor-Authentifizierung, falls verfügbar
- Richten Sie eine PIN ein (um die Passworteingabe zu vermeiden) und konfigurieren Sie den Fingerabdruck, falls dieser vom Gerät unterstützt wird.
- Die Workstation ist betriebsbereit, die im Factorial IT Cockpit definierten Einstellungen und Anwendungen werden angewendet.
Welche Einschränkungen gibt es?
Die wichtigste Einschränkung durch Autopilot ist die Art des Benutzerkontos auf dem Rechner. Der Benutzer verfügt nicht über ein „lokales Konto“ auf dem Rechner, sondern über ein Entra-Konto.
Die Unterschiede zwischen diesen beiden Kontotypen werden in diesem Artikel detailliert beschrieben .
Lokale Konten scheinen von Microsoft zugunsten von Entra-Konten zunehmend vernachlässigt zu werden.
Der Entra-Administrator kann festlegen, ob Benutzer ein Standardbenutzer- oder ein Administratorkonto haben (oder sogar zwei Autopilot-Profile erstellen, die verschiedenen Benutzergruppen zugeordnet sind).
Beachten Sie, dass Entra-Benutzer mit der Rolle „Globaler Administrator“ automatisch Administratoren der Autopilot-Maschinen sind, an denen sie sich anmelden.
Darüber hinaus ist beim ersten Start des Rechners ein Internetzugang erforderlich, um den Benutzer bei Entra zu authentifizieren.
Wie richte ich es ein?
Die notwendigen Schritte zur Einrichtung eines Autopiloten werden im Folgenden beschrieben.
Im Folgenden gehen wir davon aus, dass Ihr Unternehmen ACME heißt und unter der Domain acme.com operiert.
Erstellen der Domäne und der Fleet-Anwendung im Azure-Portal
Dieses Verfahren ist etwas technischer und erzeugt eine zeitliche Abhängigkeit zwischen dem Kunden und Factorial IT: Wenn die FleetDM-Domäne im Azure-Portal des Kunden erstellt wird, generiert Microsoft einen Code, der Folgendes enthalten muss:
- Den IT-Teams Factorial mitgeteilt
- Zu unserer Infrastrukturkonfiguration hinzugefügt
- Bereitgestellt und verbreitet (dies beinhaltet das Hinzufügen eines DNS-Eintrags)
Bevor der Vorgang im Azure-Portal fortgesetzt werden kann (bitte rechnen Sie mit ca. 2 Werktagen, nachdem Sie uns den Code übermittelt haben).
Wenn Sie derzeit Intune als MDM-Lösung zur Verwaltung Ihrer IT-Flotte verwenden und beabsichtigen, auf FleetDM (die MDM-Lösung von Factorial IT) umzusteigen, müssen Sie in der Microsoft Azure-Konsole mit Administratorrechten folgende Schritte ausführen:
- Deklarieren Sie die von FleetDM verwendete Domäne bei Azure als legitim (z. B.
{company}.mdm.getprimo.com). - Erstellen Sie die Fleet-Anwendung und erteilen Sie ihr die notwendigen und ausreichenden Rechte, um als MDM zu fungieren.
- Bitten Sie Azure, neue Geräte von FleetDM anstatt von Intune verwalten zu lassen.
Deklaration der FleetDM-Domäne
- Melden Sie sich mit einem Administratorkonto unter https://portal.azure.com/ an.
- Suchen und klicken Sie auf Domainnamen
- Klicken Sie auf „+ Benutzerdefinierte Domäne hinzufügen“.
- Geben Sie im Feld {company}.mdm.getprimo.com ein (z. B. acme.mdm.getprimo.com ; wenden Sie sich an den Support ( factorial-factorial-support@getprimo.com ), falls Sie diesen Domainnamen nicht kennen).
- Teilen Sie uns den Wert des Felds „Ziel- oder Routingadresse“ mit (im Format
MS=ms12345678). - Bitte warten Sie auf unsere Antwort (maximal 2 Werktage), bevor Sie mit dem Vorgang fortfahren.
- Anschließend können Sie auf „Überprüfen“ klicken.
Erstellung der FleetDM-Anwendung
- Melden Sie sich mit einem Administratorkonto unter https://portal.azure.com/ an.
- Suche nach Mobilität (MDM und MAM)
- Wählen Sie „ + Anwendung hinzufügen“ und anschließend „ + Eigene Anwendung erstellen“.
- Geben Sie „Fleet“ als Anwendungsnamen ein und klicken Sie auf „Erstellen“.
- Ausfüllen
- MDM-Nutzungsbedingungen (URL):
https://{company}.mdm.getprimo.com/api/mdm/microsoft/tos - MDM-Erkennungs-URL:
https://{company}.mdm.getprimo.com/api/mdm/microsoft/discovery
- MDM-Nutzungsbedingungen (URL):
- Klicken Sie auf Speichern
- Rückkehr zur Mobilität (MDM und MAM)
- Klicken Sie auf die Fleet -Anwendung und anschließend auf „Benutzerdefinierte MDM-Anwendungseinstellungen“.
- Klicken Sie auf den Link unterhalb der Anwendungs-ID-URI und anschließend auf „ Bearbeiten“.
- Geben Sie Ihre Fleet- Instanzadresse (
https://{company}.mdm.getprimo.com) ein und klicken Sie auf Speichern.
- Wählen Sie „API-Berechtigungen“ und anschließend „Berechtigung hinzufügen“.
- Klicken Sie auf Microsoft Graph , dann auf Delegierte Berechtigungen und wählen Sie anschließend Folgendes aus:
- Gruppe > Gruppe.Lesen.Alle
- Gruppe > Gruppe.LesenSchreiben.Alle
- Und klicken Sie auf Berechtigungen hinzufügen.
- Kehren Sie dann zu den API-Berechtigungen zurück, fügen Sie eine Berechtigung hinzu und wählen Sie erneut Microsoft Graph aus.
- Klicken Sie dieses Mal auf „Anwendungsberechtigungen“ und fügen Sie die folgenden Berechtigungen hinzu:
- Gerät > Gerät.Alles lesen
- Gerät > Gerät.LesenSchreiben.Alle
- Verzeichnis > Verzeichnis.Lesen.Alles
- Gruppe > Gruppe.Lesen.Alle
- Benutzer > Benutzer.Alles lesen
- und klicken Sie auf Berechtigungen hinzufügen
- Sobald Sie wieder auf der Seite mit den API-Berechtigungen sind, klicken Sie auf „Administratorzustimmung für ACME erteilen“.
Die Fleet-Anwendung ist nun im Azure-Portal als legitimes MDM-System deklariert.
FleetDM als Standard-MDM für neue Geräte festlegen
- Melden Sie sich mit einem Administratorkonto unter https://portal.azure.com/ an.
- Gehen Sie zu Mobilität (MDM und MAM)
- Klicken Sie auf Microsoft Intune.
- Im MDM-Benutzerbereich die Option „Keine“ auswählen
- Im MAM-Benutzerbereich „Keine“ auswählen
- Klicken Sie auf Speichern
- Gehen Sie zu Mobilität (MDM und MAM)
- Klicken Sie auf Flotte
- Im MDM-Benutzerbereich die Option „Alle“ auswählen.
- Im MAM-Benutzerbereich „Alle“ auswählen
- Klicken Sie auf Speichern
Die Fleet-Anwendung wurde nun als MDM (Management-Device-Management) festgelegt, das neue Geräte über das Azure-Portal verwaltet.
Hinweis : Falls Sie vor der Durchführung dieser Vorgänge bereits mit der Registrierung von Geräten bei Factorial IT/FleetDM begonnen haben, teilen Sie uns dies bitte mit, damit wir die MDM-Änderung von Intune ⇒ FleetDM durch Ausführen eines Skripts erzwingen können (ohne die sich der Computer in einem inkonsistenten Zustand befindet, was sich auf die Factorial IT-Benutzererfahrung auswirken kann).
Verwalten von Bereitstellungsprofilen in der Intune-Konsole
Um die Einrichtung des Autopiloten abzuschließen, ist es notwendig, mindestens ein „Bereitstellungsprofil“ zu erstellen.
Die offizielle Dokumentation von Microsoft zu Bereitstellungsprofilen finden Sie unter diesem Link .
Über dieses Profil können folgende Einstellungen vorgenommen werden:
- Auswahl des Benutzertyps: Administrator oder Standard. Hinweis : Entra-Benutzer mit der Rolle „Globaler Administrator“ sind unabhängig vom Wert dieser Einstellung Administratoren aller Rechner.
- Standardländerauswahl
- Standard-Tastaturspracheauswahl
- Maschinenbenennungsmuster. Beispiel:
ACME-%RAND:5%erzeugt die folgenden Namen:- ACME-23456
- ACME-98479
- ACME-19838
Um ein Bereitstellungsprofil zu erstellen, befolgen Sie diese Anweisungen:
- Folgen Sie dem folgenden Link oder melden Sie sich bei https://intune.microsoft.com/ an und gehen Sie zu Geräte > Registrierung > Bereitstellungsprofile
- Klicken Sie auf „+ Profil erstellen“.
- Im ersten Schritt können Sie dem Profil einen Namen geben.
- Die zweite Möglichkeit erlaubt es Ihnen, die Bereitstellungsmodi zu beschreiben.
- Im dritten Schritt können Sie dem Gerät Profile zuweisen.
Erstellen Sie eine dynamische Gruppe, die alle ZTD-Geräte anspricht:
- Folgen Sie dem folgenden Link
- Klicken Sie auf „+ Gruppe erstellen“.
- Nennen Sie es beispielsweise „Windows Autopilot-Geräte“.
- Als Ziel „dynamische Geräte“ auswählen
- Verwenden Sie für die dynamische Regel (device.devicePhysicalIds -any (_ -startsWith "[ZTDid]"))
- Klicken Sie auf Erstellen
Erstellen Sie abschließend eine Konfiguration für die Seite „Anmeldestatus“:
- Folgen Sie dem folgenden Link oder melden Sie sich unter https://intune.microsoft.com/ an und gehen Sie zu Geräte > Registrierung > Registrierungsstatusseite
- Klicken + Erstellen
- Im ersten Schritt können Sie dem Profil einen Namen geben (z. B. Factorial IT).
- Die zweite Option ermöglicht es Ihnen, festzulegen, ob der Fortschritt dem Benutzer angezeigt werden soll oder nicht. Wir empfehlen „Ja“. In diesem Fall können Sie die gewünschten Einstellungen vornehmen. Sie können auch die Standardwerte beibehalten.
- Im dritten Schritt können Sie den ESP Geräten zuweisen. Weisen Sie ihn Ihrer dynamischen Gruppe zu.
Testen der Autopilot-Erfahrung
Gemeinsame Nutzung des Intune-Administrationskonsolenzugriffs mit InMac
Damit Autopilot auf Geräten, die über Factorial IT bestellt wurden, automatisch funktioniert, ist eine Operation mit unserem Partner-Reseller InMac erforderlich:
- Stellen Sie eine Microsoft-Partnerschaft zwischen InMac und Ihnen her.
Dieser Zugriff ermöglicht es ihnen, Intune über die Existenz jedes bestellten Geräts zu informieren und sicherzustellen, dass es bei der Initialisierung von Factorial IT behandelt wird.
Hierfür müssen Sie den folgenden Link von einem Konto mit der Rolle „Globaler Administrator“ aus verwenden.
Folgen Sie den Anweisungen, bis Sie die Partnerschaftsbeziehung akzeptieren.
Alternative: Testen auf vorhandener Hardware (erfordert einen Gerätereset)
Es gibt noch eine andere Möglichkeit, die Autopilot-Funktionalität zu testen, ohne unbedingt neue Geräte über Factorial IT bestellen zu müssen (und somit ohne die im vorherigen Absatz beschriebene Partnerschaft und den detaillierten Zugriff auf die Administrationskonsole herstellen zu müssen).
Folgen Sie dazu einfach diesen Anweisungen unseres Partners FleetDM ( Schritt 2: Test-Workstation registrieren ), in denen der Prozess wie folgt beschrieben wird:
- Extrahieren des Geräte-Hashs (sozusagen seiner Seriennummer)
- Importieren Sie es in die Liste der Autopilot-Geräte in Ihrer Azure/Intune-Konsole (so wird die Verbindung zwischen diesem Gerät und Ihrem Unternehmen hergestellt).
- Gerät zurücksetzen
Der Benutzer kann dann das Autopilot-Erlebnis genießen.