Das Thema Deployment ist für viele Firmen immer ein Thema, nicht nur beim Wechsel des Betriebssystems. In dieser zweiteiligen Artikelreihe werde ich das Thema Microsoft Autopilot im Zusammenspiel Microsoft Intune beleuchten.
Mit den Themen Deployment und Migrationen beschäftige ich mich nicht nur in meiner Rolle als Principal Engineer im Bereich End User Computing, sondern auch als Microsoft Certified Trainer seit einigen Jahren
Ein Rückblick – Ein klassischer Rollout
Um die Neuerungen besser verstehen zu können, erstmal der Blick auf einen klassischen Rollout.
Als erstes erstellt die IT ein Image für den Rollout, und testet den auf allen geplanten Gerätetypen. Hierbei sollte auch direkt die zu installierende Software und die Treiber berücksichtigt sein. Hier stellen sich die typischen Fragen, welche Software kommt in das Image und wie viele Images werden benötigt.
Als nächstes werden die Geräte vom Hersteller oder Zwischenhändler geliefert. Die IT-Abteilung packt die Systeme aus, installiert das Image und die weitere Software. Meistens werden noch Inventaraufkleber angebracht oder noch ein Unternehmensmauspad beigefügt. Jetzt werden die Geräte oft wieder verpackt und zum Endbenutzer gebracht. Dann werden die Geräte aufgebaut und in Betrieb genommen.
Weitere Aufgaben sind die Image-Pflege und die Neuinstallation von bestehenden Geräten.
In Abhängigkeit von der Automatisierung dieser Schritte, zum Beispiel beim Thema Imageverteilung (USB, DVD, Netzwerk?) oder bei der Installation des Betriebssystems (Manuell, Unattended.xml, Softwareverteilung), sind auch die Kosten hier ein Thema. Auch ist die Logistik ein Punkt, wenn alle Geräte zentral installiert und dann zu den Standorten geschickt werden.
Einige der Punkte können ggf. auch an den Hersteller oder einen Dienstleister ausgelagert werden. Dell bietet hierfür auch verschiedene Dienstleistungen an. Mein Kollege Colin Sainsbury geht darauf in seinem Beitrag Windows 10 Migration: Muss man sich bei der IT-Bereitstellung für eine Seite entscheiden? näher ein.
Was ist Autopilot
Microsoft Autopilot ist eine „moderne“ Einrichtungslösung von Microsoft. Doch was verbirgt sich hinter dem Modernen Deployment Ansatz?
Zunächst geht es um neue Wege der Service Bereitstellung, vor allem auch abseits der Unternehmensstandorte mit lokalem IT-Personal. Dazu werden verschiedene Technologien kombiniert, auch Komponenten aus der Cloud. Auf die einzelnen Komponenten gehe ich in den nächsten Kapiteln ein. Die Idee jedoch ist, dass das Gerät mit Hilfe der diversen Technologien im besten Fall direkt vom Hersteller zum Endbenutzer geschickt wird. Die IT-Abteilung bekommt es nicht persönlich zu Gesicht und die Installation findet beim Endanwender statt. Die Idee ist es Zeit und Kosten zu sparen. Gerade die Zeitersparnis ist für IT-Abteilungen sehr wichtig, da die Aufgaben immer vielfältiger und die Systeme Komplexer werden.
Für viele ist Autopilot auf den ersten Blick die richtige Lösung, aber auf Grund meiner Erfahrungen weiß ich, dass Autopilot nicht für alle Situationen das passende Produkt oder die richtige Lösung ist.
Um Autopilot noch besser verstehen zu können, muss man es aus verschieden Blickwinkeln betrachten.
Die Zuständigkeiten – Die IT-Abteilung trägt die Verantwortung
Bei dem „Ecosystem“ handelt es sich um den Hersteller, zum Beispiel Dell. Der Kunde kauft bei uns ein Gerät und beauftragt uns, es für Autopilot einzurichten. Wir übertragen die notwendigen Daten in die Autopilot Umgebung und verschicken das Gerät zur gewünschten Adresse. Abhängig davon, wie Sie Autopilot nutzen möchten, kann dies auch schon der Endanwender sein.
Das „Deployment“ bedeutet das Provisionieren und die Zuweisung von Richtlinien und Software. Es liegt in der Verantwortlichkeit der IT des Kunden. Einige Hersteller, wie wir auch, bieten hierfür auch gerne Beratung und Unterstützung an.
In der Verantwortung der IT liegt es auch, den Betrieb der Geräte und die Pflege der Anwendungen und Treiber über den gesamten Lebenszyklus zu begleiten. Für das Ende des Produktlebenszyklus oder das allgemeine Zurücksetzen, müssen die Geräte auch entsprechend durch die IT-Abteilung betrachtet werden. Diese Phase wird auch gerne „Resets“ genannt.
Die Schnittstellensicht
Als nächstes wollen wir uns das Thema Schnittstellen betrachten. Hier wird auch schnell klar, woher die Anforderungen an die Lösung „Autopilot“ kommen. Autopilot nutzt Funktionen des Azure Active Directory, die Datenquelle für Autopilot. Aus der Windows 10 „Out-of-the-Box-Experience“ (OOBE) heraus wird das Gerät zum Azure AD des Kunden hinzugefügt. Über das Azure AD wird dem Computer das kompatible Mobile Device Management (MDM) zugewiesen. Das MDM, das ich im Verlauf dieser Artikelreihe immer wieder als Referenz benutze, ist Microsoft Intune.
MDM ist für die Zuweisung von Richtlinien und Software zuständig. Es kann aber statt Intune auch ein anderes, kompatibles MDM genutzt werden, zum Beispiel VMware Workspace One / Airwatch.
In unserem Beispiel übernimmt Intune auch das Steuern der Installation der Modern Apps mit Hilfe des „Microsoft Store for Business“. Und auch die Verteilung von Office 365 Pro Plus kann darüber gesteuert werden.
Anforderungen von Microsoft Autopilot
Wie man bei der Schnittstellensicht sieht, verteilt sich die Funktion Autopilot auf Windows 10 und AzureAD. Gehen wir näher auf die genauen Anforderungen von Autopilot ein:
- Azure AD Premium P1 oder P2 (Inkl. AzureAD Sync)
- Unbeschränkten Netzwerkzugriff auf die Cloud-Dienste die Windows Autopilot verwendet. Das beutet ein Zugriff auf diese URLs muss ohne Authentifizierung am Proxy möglich sein.
- Auf den Geräten muss Windows 10 Professional bzw. Enterprise in der Version 1703 oder neuer installiert sein. Bestimmte Funktionen benötigen aktuellere Versionen als Windows 10 1703.
- Die Geräte müssen im Azure AD registriert werden, entweder durch den Lieferanten oder die IT Abteilung des Unternehmens. Für die Registrierung über den Hersteller wird meistens eine spezielle API verwendet. Die IT Abteilung kann den sogenannten Hardware-Hash verwenden, dieser wird auf dem Gerät erzeugt. Eine Autopilot Richtlinie muss zugewiesen werden. Mehr Information zum Hardware-Hash finden Sie auch in meinem Blogbeitrag auf Infrastrukturhelden.de „Pilot Tests mit Microsoft Windows Autopilot„
- Ein mit Azure AD kompatibles MDM. Zum Beispiel Microsoft Intune oder VMware Workspace One / Airwatch.
Was genau kann Autopilot
Autopilot ist Teil der Windows 10 „Out-of-the-Box-Experience“ (OOBE). Diese kann durch entsprechende Einstellungen manipuliert werden. Ein wichtiger Hinweis, da die Grenzen zwischen Autopilot und dem MDM fließend sind, gehe ich auf die Funktionen die aus Intune in Autopilot eingreifen im Anschluss hin.
Eine Funktion ist das anpassen der Seiten, die ein Benutzer innerhalb der OOBE sehen und konfigurieren kann. Im Standard Benutzergesteuerten Deployment müssen standortrelevanten Seiten und gegebenenfalls WLAN ausgefüllt werden. Die Seiten für Cortana, OneDrive können genauso übersprungen werden, wie die ganzen Seiten zum Thema Datenschutz. Auch die Endbenutzerlizenz kann übersprungen werden. Eine weitere Besonderheit ist, dass der der Autopilot eingerichtete AzureAD Benutzer nicht mehr lokaler Administrator sein muss. Dies hat zur Folge das die Anwender keine Software installieren können und keine Einstellungen ändern können. Dies ist für die meisten IT-Abteilungen essentiell. Dadurch ist es möglich die Nutzerinteraktion nach dem Start des Autopilot Prozesses auf die Anmeldungen am AzureAD zu reduzieren.
In Teil 2 zeige ich Ihnen dann die technischen und zukünftigen Möglichkeiten etwas näher im Detail. Auch werde ich einige der Stolpersteine und Lessons-Learned von mir mit Ihnen teilen. Und als letztes beleuchten wir im nächsten Teil noch die Rollout Prozesse etwas genauer.
