Windows Autopilot Einschreibung mit Relution

Was versteht man unter Windows Autopilot?

Windows Autopilot ist ein cloudbasiertes Angebot von Microsoft, mit dem sich neue Windows 10/11-Geräte automatisiert einrichten lassen, um sie für den produktiven Einsatz vorzubereiten. Das Windows 10/11-Gerät muss dabei nicht neu installiert werden, sondern Windows Autopilot bedient sich dem bereits vorhandenem Image auf dem Gerät.

Relution unterstützt die automatische Registrierung über Windows Autopilot und Windows 10/11-Geräte lassen sich über diesen Weg schnell und einfach in Relution inventarisieren. Anschließend können über Relution Richtlinien angewendet und Apps auf den Windows 10/11-Geräten installiert werden.

Welche Voraussetzungen müssen erfüllt sein, um Windows Autopilot nutzen zu können?

Windows Autopilot kann mit Windows 10/11 Professional, Enterprise oder Education ab der Version 1709 verwendet werden. Es wird eine Azure Instanz mit einem Azure Active Directory (AAD) und Azure AD Premium P2 Abonnement benötigt. Für die Einrichtung in Azure muss der Benutzer:in die Rolle globaler Administrator besitzen. Bei der Inbetriebnahme der Windows 10/11-Geräte muss eine Internetverbindung vorhanden sein.

Wie funktioniert Windows Autopilot bei der Inbetriebnahme eines Windows 10/11-Gerätes?

Beim Start der Out-of-the-Box-Experience (OOBE) des Windows 10/11-Gerätes erkennt das Systems bei einer bestehenden Netzwerkverbindung automatisch, dass es über Windows Autopilot konfiguriert werden soll. Das Gerät übermittelt seine ID an Microsoft und prüft, ob es in Autopilot für eine AzureAD-Umgebung registriert wurde. Anschließend muss sich der Benutzer mit seinen Zugangsdaten auf der Microsoft-Anmeldeseite anmelden. Durch die Anmeldung wird die Einschreibung in Relution durchgeführt und ein Benutzerkonto für den Azure AD-Benutzer:in auf dem Gerät angelegt.

Welche Vorteile ergeben sich durch die Verwendung von Windows Autopilot?

Windows Autopilot hat zum Ziel, neue Windows 10/11-Geräte nicht mehr umständlich einzeln mit einem intern erstellten Image bespielen zu müssen, sondern die Geräte sollen sich möglichst selbständig in ein vorkonfiguriertes Gerät verwandeln. Das minimiert den Aufwand für die Image-Erstellung und reduziert die erforderliche Zeit für die physische Registrierung und Bereitstellung der Geräte. Azure muss hierzu nur einmal eingerichtet werden und die automatische Registrierung funktioniert so lang, bis das definierte Gültigkeitsdatum des Geheimen Clientschlüssel abläuft (siehe unten).

Wie wird Azure für die Nutzung von Windows Autopilot in Relution eingerichtet?

In den Relution Einstellungen unter -> „Organisation“ -> „Azure Active Directory“ unterstützt eine Anleitung die Einrichtung und Verknüpfung von Azure AD und Relution:

1.MDM-Anwendung hinzufügen

In Schritt 1 wird eine neue MDM-Anwendung in Azure angelegt und mit den Angaben aus der Relution-Anleitung vervollständigt.

Als erstes muss die Domäne des entsprechenden Relution-Servers in Azure AD unter „Namen der benutzerdefinierten Domänen“ hinzugefügt werden. Dies kann einige Zeit in Anspruch nehmen. Weitere Informationen finden sich in der Microsoft-Dokumentation

Unter „Mobilität (MDM und MAM)“ wird anschließend die gewünschte MDM-Anwendung hinzugefügt und aktiviert:

1. Unten rechts die Kachel „On-Premises MDM Applikation“ wählen

2. Name vergeben

3. „Hinzufügen“ klicken

Nun wird die neue MDM-Anwendung mit den Angaben aus der Relution-Anleitung in Schritt 1 konfiguriert:

1. MDM-Benutzerbereich -> „Alle“ wählen (alle Benutzer:innen können eine Autopilot-Einschreibung durchführen)

2. URL zu den MDM-Nutzungsbedingungen -> aus Relution eintragen: https://serverurl/api/v1/devices/windows/termsOfUse (Microsoft fragt diese URL vor jeder Einschreibung ab, es wird aber keine Webseite aufgerufen)

3. URL für MDM-Ermittlung -> Server-URL aus Relution eintragen

4. „Speichern“ klicken

2. MDM-Anwendungseinstellungen vornehmen

Nachdem die neue MDM-Anwendung erstellt ist, können die lokalen MDM-Anwendungseinstellungen in Azure vorgenommen werden. Hierbei ist es zwingend erforderlich, dass folgende Angaben aus Azure in die Relution-Anleitung in Schritt 2 übertragen werden:

1. Anwendungs-ID (Client)

2. Verzeichnis-ID (Mandant)

3. Wert des Geheimen Clientschlüssel

Nun in den lokalen MDM-Anwendungseinstellungen in Azure zum Bearbeiten auf „Anwendungs-ID-URI“ klicken:

Anschließend in der nachfolgenden Ansicht für „Anwendungs-ID-URI“ die entsprechende Server-URL eintragen:

Als nächstes muss einen „Geheimer Clientschlüssel (Client Secret)“ unter „Zertifikate & Geheimnisse“ hinzugefügt werden:

1. In Tab „Geheime Clientschlüssel“ -> „Neuer geheimer Clientschlüssel“ klicken

2. Im Dialogfenster „Geheimen Clientschlüssel hinzufügen“ eine Beschreibung und die Gültigkeit angeben

3. “Hinzufügen” klicken

Hinweis: wenn der Gültigkeitszeitraum abgelaufen ist, besteht keine Verbindung mehr, und Relution kann nicht mehr mit Azure kommunizieren. In diesem Fall muss ein neuer Geheimer Clientschlüssel für die Anwendung in Azure erzeugt und erneut in Relution übertragen werden.

Anschließend wird in der Auflistung unter Tab „Geheime Clientschlüssel“ der neue Eintrag angezeigt.

Hinweis: Der dazugehörige „Wert“ wird nur jetzt einmalig angezeigt und muss zwingend kopiert und in Relution übertragen werden.

3. API-Berechtigungen konfigurieren

In Schritt 3 der Relution-Anleitung werden jetzt die API-Berechtigungen konfiguriert:

Hinweis: Es kann sein, dass hier nachträglich neue Berechtigungen hinzugefügt werden müssen, wenn zukünftig neue Funktionen von Microsoft für Windows Autopilot hinzukommen.

Folgende Einstellungen müssen in Azure durchgeführt werden:

1. Unter „API-Berechtigungen“ -> „Konfigurierte Berechtigungen“ -> „Berechtigung hinzufügen“ klicken

2. Im Dialogfenster „API-Berechtigungen anfordern“ und „Microsoft-APIs -> „Microsoft Graph“ auswählen

3. Im Dialogfenster die Kachel „Anwendungsberechtigungen“ klicken

4. Unter „User“ -> „User.Read.All“ auswählen

5. Unter „Group“ „Group.Read.All“ auswählen

6. Unter „Device “ -> “Device.ReadWrite.All” auswählen.
Die Auswahl mit „Berechtigungen hinzufügen“ bestätigen.

Bei den neu hinzugefügten API-Berechtigungen wird als Status initial ein Ausrufezeichen angezeigt. Ein Administrator muss einmal zustimmen, damit Microsoft Graph die Berechtigungen letztlich auch erhält. Anschließend wird der Status mit Grünem Häkchen für „Gewährt“ dargestellt und die Berechtigungen sind erteilt:

4. Umleitungs-URI definieren

In Schritt 4 der Relution-Anleitung wird die Umleitungs-URI in Azure konfiguriert:

1. Unter „Authentifizierung“ -> „Plattform hinzufügen“ klicken

2. Im Dialogfenster „Plattform konfigurieren“ die Kachel „Web“ auswählen
   

1. Auf der Unterseite unter „Web“ -> „Umleitungs-URI hinzufügen“ die Server URL angeben

2. Die Checkbox „ID-Tokens“ entfernen

3. „Speichern“ klicken

5. Azure-Standardeinstellungen überprüfen und Einrichtung abschließen

Unter „Geräte“ -> „Geräteeinstellungen“ müssen folgende Punkte konfiguriert sein:

• Alle Benutzer dürfen Geräte in Azure AD einbinden
• Alle Benutzer dürfen ihre Geräte für Azure AD registrieren
• Maximale Anzahl von Geräten pro Benutzer:in sollte beachtet werden
  
  

Damit ist die Einrichtung in Azure abgeschlossen.

6. Relution Serviceoptionen wählen und Einrichtung abschließen

In der Relution-Anleitung kann in Schritt 5 noch optional gewählt werden, ob Azure AD-Benutzer:innen und Azure AD-Gruppen mit Relution synchronisiert werden sollen:

Mit „Speichern“ ist die Einrichtung und Verknüpfung von Azure AD in Relution abgeschlossen.

Wie werden Windows 10/11-Geräte in den Microsoft Store for Business und Azure AD hinzugefügt?

Für die Nutzung des Microsoft Store for Business wird ein Konto benötigt.

Hinweis: der Microsoft Store for Business wird im ersten Quartal 2023 abgeschaltet. Relution wird hierfür zukünftig eine eigene Lösung bereitstellen.

Neue Geräte können über einen Partner beschafft und registriert werden. Über diesen Weg werden die Geräte automatisch in den Microsoft Store for Business und in Azure AD hinterlegt und müssen nicht selbst manuell eingepflegt werden.

Bereits in Betrieb genommene Geräte lassen sich aber auch manuell hinzufügen. Dazu wird eine CSV-Datei benötigt, die per Powershell Script auf dem Gerät erzeugt​ wird. Anschließend wird die CSV-Datei über „Geräte hinzufügen“ hochgeladen und die hinzugefügten Geräte müssen zurückgesetzt werden.

Die Geräte erscheinen anschließend in der Geräteliste und müssen mit einem konfigurierten Profil verknüpft werden.

Welche Einstellungen müssen im Vorfeld für eine Out-of-the-Box-Experience (OOBE) bei Microsoft vorgenommen werden?

Im Microsoft Store for Business lassen sich nun Profile auf hinzugefügte Geräte anwenden.

1. Unter „Einstellungen“ -> ​Tab „Verteilen“ -> „Verwaltungstool hinzufügen“ klicken und die MDM-Anwendung anhand des Namen auswählen​

2. „Aktivieren“ klicken (falls noch nicht aktiviert)

3. Hinweis: Sollten weitere Anwendungen in der Liste vorhanden sein, müssen diese deaktiviert werden.
   

Anschließend unter „Geräte“ -> „Autopilot-Bereitstellung“ -> „Neues Profil erstellen“ auswählen:

Nun müssen für das neue Autopilot-Bereitstellungsprofil folgende Angaben gemacht werden:

1. Namen vergeben​

2. Datenschutzeinstellungen überspringen: optional​

3. Erstellung des lokalen Administratorkontos auf dem Gerät deaktivieren: optional​ (wenn die Checkbox ausgewählt wird, wird ein Standard-Benutzer-Konto angelegt, ansonsten ein Administrator-Konto)

4. Software-Lizenzbedingungen von Microsoft überspringen: optional​

5. Eingaben mit „Erstellen“ bestätigen
   

Jetzt lassen sich erstellte Profile auf Geräte anwenden:

Wie werden hinterlegte Windows 10/11-Geräte in Relution für eine weitere Verwaltung und Konfiguration synchronisiert?

Unter „Auto-Einschreibungen“ werden die Windows 10/11-Geräte über die Schaltfläche „Synchronisieren“ in Relution hinzugefügt. Ein Gerät darf zu diesem Zeitpunkt noch nicht eingeschrieben sein.

Hinweis: erst wenn ein Windows 10/11-Gerät in der Liste erscheint, kann damit eine automatische Einschreibung über Windows Autopilot durchgeführt werden.

Wie schreibt sich ein Windows 10/11-Gerät anschließend automatisch in Relution ein?

Nach der Zurücksetzung des Gerätes oder bei der erstmaligen Inbetriebnahme wird im OOBE die Netzwerkverbindung hergestellt. Sobald dies geschehen ist, kommuniziert das Gerät mit Azure und lädt das Autopilot-Profil herunter. Daraufhin erscheint der Anmeldebildschirm für das Microsoft-Konto. Nachdem der Benutzer:in seine Anmeldedaten eingegeben hat, findet die Kommunikation mit Relution statt. Es wird zunächst der Nutzungsbedingungs-Endpunkt aufgerufen, und daraufhin findet die Einschreibung in Relution statt. Wenn der Benutzer:in in Relution hinterlegt ist und ein Auto-Einschreibung für das Gerät vorhanden ist, wird die Einschreibung durchgeführt. Anschließend erscheint das Windows 10/11-Gerät im Geräteinventar der entsprechenden Organisation in Relution und kann über Windows-Richtlinien weiter konfiguriert werden.