Dies ist der zweite und letzte Teil der Artikelreihe Modernes Deployment mit Microsoft Autopilot und Intune.
Im letzten Artikel habe ich Ihnen die Grundlagen und Voraussetzungen erklärt. In diesem Artikel gehen wir auf die technischen und zukünftigen Möglichkeiten, die Stolpersteine und auf das Thema der Deployment Prozesse näher ein.
Was kann Autopilot mit Intune
Zunächst gehen wir auf einige Funktionen ein, die mit Intune in Autopilot ermöglicht werden.
Neben dem Zuweisen von normalen Intune-Richtlinien, Skripten und Software kann Intune noch einiges mehr mit Autopilot ermöglichen.
Die folgenden Funktionen befinden sich alle in einer öffentlichen Vorschau und benötigen teilweise Windows 10 Professional / Enterprise 1803 oder 1809. Übrigens sind die Funktionen bereits in Intune Release 1812 enthalten.
Administrative Vorlagen
Administrative Vorlagen in Intune sind ähnlich denen in Gruppenrichtlinien im Microsoft Active Directory aufgebaut. Es gibt aber ein paar Einschränkungen, so sind zum Beispiel in Intune 1812 nur 277 Vorlageneinstellungen auswählbar.
Wer genau wissen möchte welche das sind, dann empfehle ich einen Blick in meinen Artikel „Administrative Vorlagen in Microsoft Intune (Vorschau)“ auf Infrastrukturhelden.de. Die Schwerpunkte bei diesen Richtlinien sind Microsoft Office 2016 (Diese Einstellungen gelten auch für 2019 und Office 365 ProPlus), OneDrive, Microsoft Internet Explorer und Sicherheitsrelevante Einstellungen.
Leider ist es im Moment nicht möglich eigene Vorlagen zu Importieren.
Selbstbereitstellung
Aktuell auch nur in einer Vorschaufunktion ist die Selbstbereitstellung möglich. Diese ermöglicht eine Bereitstellung ganz ohne Benutzerinteraktion. Die Voraussetzungen dafür sind ein TPM in der Version 2.0, ein physikalisches Gerät, kabelgebundenes Netzwerk mit DHCP und Internet ohne Authentifizierung für die erforderlichen Dienste. Wer das ausprobieren möchte, benötigt entsprechende Hardware zum Testen, selbst mit Hyper-V Maschinen der 9. Generation und vTPM2.0 funktioniert es nicht. Dies ist auch die Aussage von Microsoft.
Hybrid Azure AD Join
Für viele Kunden reicht es nicht die Computer im Azure AD allein zu haben, die meisten wünschen sich auch die Geräte im Lokalen AD zu haben. Für diese Zielgruppe wurde mit Windows 10 1809 das OOBE für einen entsprechenden „Hybrid Join“ erweitert. Auch diese Funktion ist im Moment noch nur in einer Vorabversion verfügbar.
Diese Funktion benötigt einen Dienst, der auf einem Computer im Active Directory ausgeführt werden muss. Dieser importiert die Anforderungen aus dem AzureAD und führt einen Domänen Beitritt durch. Die Organisationseinheit (OU) im Active Directory muss dafür festgelegt und mit bestimmten Delegierten Rechten versehen werden.
Eine große Einschränkung im Moment ist, dass das Gerät beim Autopilot Zugriff auf das lokale Active Directory haben muss. Eine Verbindung über VPN von dem Gerät funktioniert nicht.
Für weitere Informationen zu diesem Thema empfehle ich ihnen den Artikel „Azure AD Hybrid mit Windows 10, Autopilot und Intune“ auf Infrastrukturhelden.de
Bereitstellungs-Staus Seite
Eine für mich sehr gut Funktion ist die Bereitstellungs-Status Seite, ebenfalls aktuell in der Vorschau. Hier wird der Benutzer über den aktuellen Status informiert, und sieht nicht nur den Kreis drehen. Viele Anwender dachten schon die Installation hätte sich aufgehangen und haben einen Neustart durchgeführt. Auch war es bisher so, dass nach der Gerätekonfiguration der Benutzer sich schon anmelden konnte. Wenn der Anwender schnell war, auch bevor alle Richtlinien angewendet waren. Auch war zu dem Zeitpunkt die Softwareinstallation noch nicht vollständig. So gab es in dem einen oder anderen Projekt schonmal den Anruf bei der Hotline: „Ihr habe das Outlook vergessen zu installieren“ mit der passenden Antwort „Das wird noch runtergeladen, Geduld“. Bei der Bereitstellungsstatus-Seite kann ich einstellen welche Anwendungen installiert sein müssen, bevor der Anwender sich anmelden darf.
Auch sind einige Einstellungen möglich die die Behandlung im Fehlerfall ermöglichen, ohne das es für die IT oder den Endanwender schwierig wird.
Bereitstellungsseite Geräte Einrichtung
Bereitstellungsseite Benutzer Einrichtung und Softwareinstallation
Ansicht für den Administrator – Bereitstellungsstatusseite
Reset und Autopilot-Zurücksetzung
Eine wichtige Funktion ist auch das Remote-zurücksetzen von Geräten mit anschließenden AutoPilot Deployment.
Diese Funktion ist ebenfalls in einer Vorschau verfügbar. Und funktioniert ohne Benutzerinteraktion bis zur fertiggestellten Zurücksetzung. Ausgelöst wird das im Intune Portal durch den Administrator.
Das Gerät erhält eine Push Benachrichtigung und leitet das zurücksetzten ein. Der Anwender hat 45 Minuten Zeit, im Falle eines Fehlers, sich bei der IT zu melden. Danach startet der Prozess und ist nicht mehr rückgängig zu machen.
Nach der Zurücksetzung durchläuft das System ohne Benutzereingriff bis zu Anmeldung. Danach wird wieder der Benutzerspezifische Anteil von Autopilot ausgeführt, wenn konfiguriert auch mit Bereitstellungstatusseite.
Mögliche Stolpersteine bei einem Intune Projekt
Als „Lessons-learned“ möchte ich hier mal drei Stolpersteine aus der Praxis aufzeigen, die es zu berücksichtigen gilt.
- Internetverbindung
Nicht nur die Bandbreite ist relevant, sondern auch die Stabilität. Wenn die Internetverbindung abbricht, hilft in vielen Fällen nur zurücksetzen und von vorn. Also unterwegs im Zug oder im Café ist vielleicht nicht der beste Ort. Aber auch wichtig ist die Bandbreite, wenn 19 GB Software über eine 384kbit/s Leitung tröpfeln, ist mehr als nur Geduld gefragt. Auch kann die Art der Verbindung eine Rolle spielen, gerade bei Volumenbegrenzten Tarifen wie LTE/UMTS oder SAT. - Der Anwender
Ich habe mal ein schönes Zitat von einem CIO gehört, „Wie schön einfach wäre IT ohne den Anwender“. Auch hier muss der Anwender über den Ablauf informiert werden. Zum Beispiel das es vollkommen normal ist, das das Gerät nicht in 10 Minuten bereit ist. Wenn keine Bereitstellungsstatusseite oder andere Maßnahmen getroffen werden, kann die Software noch fehlen. Auch darauf muss der Anwender hingewiesen werden. Ich empfehle immer eine Anleitung mit Bildern mit zu liefern, um den Endanwender abzuholen. - Hybrid AD-Join (Vorschau)
Es muss eine Verbindung zu dem Unternehmensnetzwerk bestehen, eine VPN Verbindung in Windows 10 ist nicht ausreichend. Ja, diese Funktion ist für einige Firmen so verlockend, das es auch als Vorabversion schon Anwendung findet.
Besondere Möglichkeiten bei Autopilot mit Dell
Neben der Möglichkeit unser Standard Image auf den Geräten für Autopilot zu aktivieren, haben wir auch andere Möglichkeiten. Zum einen können die Geräte für Autopilot auch mit einem Windows 10 Image ohne zusätzliche Software, sogenanntes „Bloatware-free“ Image betankt werden. Zum anderen bieten wir unseren Kunden schon länger an, die Geräte mit einem Kundenspezifischen Image zu versehen. Hier könnte zum Beispiel auch Software vorintegriert sein, damit das Herunterladen nicht mehr notwendig ist, und die Software sofort zur Verfügung steht.
Da wir nicht nur Hersteller, sondern auch Service Unternehmen sind, können wir Sie auch gerne bei Ihren Aufgaben für Autopilot unterstützen. Vielleicht lernen Sie mich dann auch mal persönlich kennen.
Wie könnten die Deployment Prozesse mit Autopilot aussehen
Zu nächst sollte der Autopilot Prozess mit dem Hersteller abgestimmt werden. Hier gibt es verschiedene meistens Möglichkeiten. Sobald Autopilot für beim Hersteller für den Kunden eingerichtet wurde, kann es los gehen.
Hierfür sollte die Umgebung im AzureAD und im MDM schon eingerichtet sein. Die Geräte können dann beim Hersteller bestellt werden und zur Zieladresse verschickt werden. Dort erfolgt die Inbetriebnahme.
Autopilot wir in Zukunft eine immer größere Rolle spielen. Ob es für Sie jetzt schon eine Lösung ist, müssen Sie selbst bewerten. Gerne können wir Sie bei Ihren Überlegungen unterstützen.
