Windows Autopilot ist ein cloudbasiertes Angebot von Microsoft, mit dem sich neue Windows 10/11-Geräte automatisiert einrichten lassen, um sie für den produktiven Einsatz vorzubereiten. Das Windows 10/11-Gerät muss dabei nicht neu installiert werden, sondern Windows Autopilot bedient sich dem bereits vorhandenem Image auf dem Gerät.
Relution unterstützt die automatische Registrierung über Windows Autopilot und Windows 10/11-Geräte lassen sich über diesen Weg schnell und einfach in Relution inventarisieren. Anschließend können über Relution Richtlinien angewendet und Apps auf den Windows 10/11-Geräten installiert werden.
Windows Autopilot kann mit Windows 10/11 Professional, Enterprise oder Education ab der Version 1709 verwendet werden. Es wird eine Azure Instanz mit einem Azure Active Directory (AAD) und Azure AD Premium P2 Abonnement benötigt. Für die Einrichtung in Azure muss der Benutzer:in die Rolle globaler Administrator besitzen. Bei der Inbetriebnahme der Windows 10/11-Geräte muss eine Internetverbindung vorhanden sein.
Beim Start der Out-of-the-Box-Experience (OOBE) des Windows 10/11-Gerätes erkennt das Systems bei einer bestehenden Netzwerkverbindung automatisch, dass es über Windows Autopilot konfiguriert werden soll. Das Gerät übermittelt seine ID an Microsoft und prüft, ob es in Autopilot für eine AzureAD-Umgebung registriert wurde. Anschließend muss sich der Benutzer mit seinen Zugangsdaten auf der Microsoft-Anmeldeseite anmelden. Durch die Anmeldung wird die Einschreibung in Relution durchgeführt und ein Benutzerkonto für den Azure AD-Benutzer:in auf dem Gerät angelegt.
Windows Autopilot hat zum Ziel, neue Windows 10/11-Geräte nicht mehr umständlich einzeln mit einem intern erstellten Image bespielen zu müssen, sondern die Geräte sollen sich möglichst selbständig in ein vorkonfiguriertes Gerät verwandeln. Das minimiert den Aufwand für die Image-Erstellung und reduziert die erforderliche Zeit für die physische Registrierung und Bereitstellung der Geräte. Azure muss hierzu nur einmal eingerichtet werden und die automatische Registrierung funktioniert so lang, bis das definierte Gültigkeitsdatum des Geheimen Clientschlüssel abläuft (siehe unten).
In den Relution Einstellungen unter -> „Organisation“ -> „Azure Active Directory“ unterstützt eine Anleitung die Einrichtung und Verknüpfung von Azure AD und Relution:
In Schritt 1 wird eine neue MDM-Anwendung in Azure angelegt und mit den Angaben aus der Relution-Anleitung vervollständigt.
Als erstes muss die Domäne des entsprechenden Relution-Servers in Azure AD unter „Namen der benutzerdefinierten Domänen“ hinzugefügt werden. Dies kann einige Zeit in Anspruch nehmen. Weitere Informationen finden sich in der Microsoft-Dokumentation
Unter „Mobilität (MDM und MAM)“ wird anschließend die gewünschte MDM-Anwendung hinzugefügt und aktiviert:
Unten rechts die Kachel „On-Premises MDM Applikation“ wählen
Name vergeben
„Hinzufügen“ klicken
Nun wird die neue MDM-Anwendung mit den Angaben aus der Relution-Anleitung in Schritt 1 konfiguriert:
MDM-Benutzerbereich -> „Alle“ wählen (alle Benutzer:innen können eine Autopilot-Einschreibung durchführen)
URL zu den MDM-Nutzungsbedingungen -> aus Relution eintragen: https://serverurl
/api/v1/devices/windows/termsOfUse (Microsoft fragt diese URL vor jeder Einschreibung ab, es wird aber keine Webseite aufgerufen)
URL für MDM-Ermittlung -> Server-URL aus Relution eintragen
„Speichern“ klicken
Nachdem die neue MDM-Anwendung erstellt ist, können die lokalen MDM-Anwendungseinstellungen in Azure vorgenommen werden. Hierbei ist es zwingend erforderlich, dass folgende Angaben aus Azure in die Relution-Anleitung in Schritt 2 übertragen werden:
Anwendungs-ID (Client)
Verzeichnis-ID (Mandant)
Wert des Geheimen Clientschlüssel
Nun in den lokalen MDM-Anwendungseinstellungen in Azure zum Bearbeiten auf „Anwendungs-ID-URI“ klicken:
Anschließend in der nachfolgenden Ansicht für „Anwendungs-ID-URI“ die entsprechende Server-URL eintragen:
Als nächstes muss einen „Geheimer Clientschlüssel (Client Secret)“ unter „Zertifikate & Geheimnisse“ hinzugefügt werden:
In Tab „Geheime Clientschlüssel“ -> „Neuer geheimer Clientschlüssel“ klicken
Im Dialogfenster „Geheimen Clientschlüssel hinzufügen“ eine Beschreibung und die Gültigkeit angeben
“Hinzufügen” klicken
Hinweis: wenn der Gültigkeitszeitraum abgelaufen ist, besteht keine Verbindung mehr, und Relution kann nicht mehr mit Azure kommunizieren. In diesem Fall muss ein neuer Geheimer Clientschlüssel für die Anwendung in Azure erzeugt und erneut in Relution übertragen werden.
Anschließend wird in der Auflistung unter Tab „Geheime Clientschlüssel“ der neue Eintrag angezeigt.
Hinweis: Der dazugehörige „Wert“ wird nur jetzt einmalig angezeigt und muss zwingend kopiert und in Relution übertragen werden.
In Schritt 3 der Relution-Anleitung werden jetzt die API-Berechtigungen konfiguriert:
Hinweis: Es kann sein, dass hier nachträglich neue Berechtigungen hinzugefügt werden müssen, wenn zukünftig neue Funktionen von Microsoft für Windows Autopilot hinzukommen.
Folgende Einstellungen müssen in Azure durchgeführt werden:
Bei den neu hinzugefügten API-Berechtigungen wird als Status initial ein Ausrufezeichen angezeigt. Ein Administrator muss einmal zustimmen, damit Microsoft Graph die Berechtigungen letztlich auch erhält. Anschließend wird der Status mit Grünem Häkchen für „Gewährt“ dargestellt und die Berechtigungen sind erteilt:
In Schritt 4 der Relution-Anleitung wird die Umleitungs-URI in Azure konfiguriert:
Unter „Authentifizierung“ -> „Plattform hinzufügen“ klicken
Im Dialogfenster „Plattform konfigurieren“ die Kachel „Web“ auswählen
Auf der Unterseite unter „Web“ -> „Umleitungs-URI hinzufügen“ die Server URL angeben
Die Checkbox „ID-Tokens“ entfernen
„Speichern“ klicken
Unter „Geräte“ -> „Geräteeinstellungen“ müssen folgende Punkte konfiguriert sein:
Damit ist die Einrichtung in Azure abgeschlossen.
In der Relution-Anleitung kann in Schritt 5 noch optional gewählt werden, ob Azure AD-Benutzer:innen und Azure AD-Gruppen mit Relution synchronisiert werden sollen:
Mit „Speichern“ ist die Einrichtung und Verknüpfung von Azure AD in Relution abgeschlossen.
Für die Nutzung des Microsoft Store for Business wird ein Konto benötigt.
Hinweis: der Microsoft Store for Business wird im ersten Quartal 2023 abgeschaltet. Relution wird hierfür zukünftig eine eigene Lösung bereitstellen.
Neue Geräte können über einen Partner beschafft und registriert werden. Über diesen Weg werden die Geräte automatisch in den Microsoft Store for Business und in Azure AD hinterlegt und müssen nicht selbst manuell eingepflegt werden.
Bereits in Betrieb genommene Geräte lassen sich aber auch manuell hinzufügen. Dazu wird eine CSV-Datei benötigt, die per Powershell Script auf dem Gerät erzeugt wird. Anschließend wird die CSV-Datei über „Geräte hinzufügen“ hochgeladen und die hinzugefügten Geräte müssen zurückgesetzt werden.
Die Geräte erscheinen anschließend in der Geräteliste und müssen mit einem konfigurierten Profil verknüpft werden.
Im Microsoft Store for Business lassen sich nun Profile auf hinzugefügte Geräte anwenden.
Unter „Einstellungen“ -> Tab „Verteilen“ -> „Verwaltungstool hinzufügen“ klicken und die MDM-Anwendung anhand des Namen auswählen
„Aktivieren“ klicken (falls noch nicht aktiviert)
Hinweis: Sollten weitere Anwendungen in der Liste vorhanden sein, müssen diese deaktiviert werden.
Anschließend unter „Geräte“ -> „Autopilot-Bereitstellung“ -> „Neues Profil erstellen“ auswählen:
Nun müssen für das neue Autopilot-Bereitstellungsprofil folgende Angaben gemacht werden:
Namen vergeben
Datenschutzeinstellungen überspringen: optional
Erstellung des lokalen Administratorkontos auf dem Gerät deaktivieren: optional (wenn die Checkbox ausgewählt wird, wird ein Standard-Benutzer-Konto angelegt, ansonsten ein Administrator-Konto)
Software-Lizenzbedingungen von Microsoft überspringen: optional
Eingaben mit „Erstellen“ bestätigen
Jetzt lassen sich erstellte Profile auf Geräte anwenden:
Unter „Auto-Einschreibungen“ werden die Windows 10/11-Geräte über die Schaltfläche „Synchronisieren“ in Relution hinzugefügt. Ein Gerät darf zu diesem Zeitpunkt noch nicht eingeschrieben sein.
Hinweis: erst wenn ein Windows 10/11-Gerät in der Liste erscheint, kann damit eine automatische Einschreibung über Windows Autopilot durchgeführt werden.
Nach der Zurücksetzung des Gerätes oder bei der erstmaligen Inbetriebnahme wird im OOBE die Netzwerkverbindung hergestellt. Sobald dies geschehen ist, kommuniziert das Gerät mit Azure und lädt das Autopilot-Profil herunter. Daraufhin erscheint der Anmeldebildschirm für das Microsoft-Konto. Nachdem der Benutzer:in seine Anmeldedaten eingegeben hat, findet die Kommunikation mit Relution statt. Es wird zunächst der Nutzungsbedingungs-Endpunkt aufgerufen, und daraufhin findet die Einschreibung in Relution statt. Wenn der Benutzer:in in Relution hinterlegt ist und ein Auto-Einschreibung für das Gerät vorhanden ist, wird die Einschreibung durchgeführt. Anschließend erscheint das Windows 10/11-Gerät im Geräteinventar der entsprechenden Organisation in Relution und kann über Windows-Richtlinien weiter konfiguriert werden.
Kostenlos und zeitlich unbegrenzt für bis zu 5 Geräte & 5 Apps. Keine Zahlungsinformationen notwendig.