Bulk Enrollment mit Windows Configuration Designer

Was versteht man unter Bulk Enrollment?

Bei der Registrierung und Einrichtung von einer großen Anzahl von Windows 10/11-Geräten entsteht durch einen manuellen Einschreibeprozess schnell ein nicht unerheblicher Aufwand. Das Windows Bulk Enrollment, auch Massenregistrierung genannt, ist eine effiziente Möglichkeit, eine große Anzahl von Windows 10/11-Geräten einzurichten, ohne die Einschreibung auf den Geräten jedes Mal manuell über die Systemeinstellungen abzuschließen.

Welche Voraussetzungen müssen für die Durchführung von Bulk Enrollments erfüllt sein?

Die massenhafte Registrierung von Geräten ist ab Windows 10/11 für die Versionen Professional, Enterprise und Education verfügbar. Es wird das Tool Windows Configuration Designer (WCD) benötigt, welches aus dem Microsoft Store heruntergeladen werden kann. Alternativ lässt sich das WCD-Tool über das Windows Assessment and Deployment Kit (ADK) herunterladen und ist dann auch in anderen Sprachen verfügbar.

Mit dem WCD-Tool lassen sich Bereitstellungspakete, sogenannte Provisioning Packages, erzeugen, die für die Ausführung der Massenregistrierung benötigt werden. Das Dateiformat von Bereitstellungspaketen ist eine ppkg-Datei. Dies ist ein Container für eine Sammlung von Konfigurationseinstellungen.

Da das Bulk Enrollment nicht mit einem Azure AD Account oder Autopilot durchgeführt wird, werden diese nicht benötigt. Die Registrierung erfolgt letzten Endes über ein Trägermedium, z.B. ein USB-Laufwerk oder eine SD-Karte, auf dem das generierte Bereitstellungspaket aus dem WCD-Tool im Root-Verzeichnis gespeichert ist. Das Trägermedium wird mit den entsprechenden Windows 10/11-Geräten verbunden, mit denen die Massenregistrierung durchgeführt werden soll.

Welche Vorteile bietet das Bulk Enrollment über Windows-Bereitstellungspakete?

Die Bereitstellungspakete erleichtern die Konfiguration von Endbenutzergeräten, ohne ein Image erstellen zu müssen. So wird das schnelle und effiziente Konfigurieren eines Geräts ermöglicht und die gewünschten Einstellungen für die Registrierung der Geräte in Relution können auf einfache Weise angegeben werden. Mithilfe dieses Workflows lassen sich Zielgeräte binnen Minuten konfigurieren und in Relution einschreiben.

Müssen in Relution im Vorfeld Einstellungen vorgenommen werden?

Für Massenregistrierungen von Windows 10/11-Geräte muss in Relution eine manuelle Einschreibung angelegt werden.

Die Gültigkeit dieser Einschreibung kann frei gewählt werden und sollte je nach Bedarf in die Zukunft verlängert werden. Wichtig ist, dass in diesem Schritt die Mehrfach-Einschreibung aktiviert wird, um die erzeugte Einschreibung für mehrere Geräte verwenden zu können.

Der anschließend generierte Einschreibungscode wird im weiteren Prozess bei der Erstellung des Bereitstellungspaketes über das WCD-Tool benötigt

Wie wird mit dem Windows Configuration Designer ein Bereitstellungspaket erstellt?

Folgende Schritte werden nach dem Download und der Installation des WCD-Tools durchgeführt, um ein Bereitstellungspaket zu erstellen:

1. In der Startansicht die Kachel „Verwenden der erweiterten Bereitstellung“ wählen.

2. Projektnamen angeben und „Weiter“ klicken.

3. „Alle Windows Desktop Editionen“ auswählen und „Weiter“ klicken.

4. Import eines Bereitstellungspakets (optional) überspringen und "Fertig stellen" klicken.

5. Erweitern der „Laufzeiteinstellungen“ -> „Workplace“ im linken Navigationsbereich und klicken von „Registrierungen“.

6. Eintragen und hinzufügen der E-Mail-Adresse eines Benutzers aus der entsprechenden Relution Organisation, der Device Manager Rechte besitzt.

7. Erweitern von „UPN“ im linken Navigationsbereich und Eingabe folgender Informationen für die restlichen Einstellungen:

• AuthPolicy: “OnPremise” auswählen
• DiscoveryServiceFullUrl: Angabe der entsprechenden Domain des verwendeten Relution Servers
• EnrollmentServiceFullUrl: Optional
• PolicyServiceFullUrl: Optional
• Secret: Eingabe des Einschreibungscodes aus Relution.

8. Nach Eingabe aller Einstellungen im Hauptmenü „Datei“ -> „Speichern“ klicken.

9. Anschließend im Hauptmenü „Exportieren“ -> „Bereitstellungspaket“ klicken.

10. Im anschließenden Dialog die Werte für das Paket angeben, den Speicherort für die Paketausgabe wählen und am Ende auf „Erstellen“ klicken.

Hinweis: Das Bereitstellungsprofil sollte geschützt (verschlüsselt und/oder signiert) werden, um einen zusätzlichen Schutz für z.B. Schulen zu bieten, falls ein USB-Stick oder eine SD-Karte verloren geht. Durch die Verschlüsselung hat ein potenzieller Angreifer keinen Zugriff auf die ppkg-Datei.

Wie wird ein Bereitstellungspaket auf einem Windows 10/11-Gerät angewendet?

1. Das entsprechende Windows 10/11-Gerät mit dem USB-Laufwerk verbinden, auf dem sich das Bereitstellungspaket befindet.

2. In den „Einstellungen“ auf „Geschäfts- oder Schulkonto“ zugreifen und auf "Bereitstellungspaket hinzufügen oder entfernen" klicken.

Hinweis: Das Bereitstellungspaket muss im Root-Verzeichnis des USB-Sticks oder der SD-Karte abgelegt werden. Sonst wird die ppkg-Datei nicht gefunden und hier nicht angezeigt.

3. Auf "Paket hinzufügen“ klicken.

Hinweis: Sollte ein Fehler beim Aufspielen des Bereitstellungspaketes auftreten, wird dies unterhalb des jeweiligen Bereitstellungspaketes angezeigt und entsprechende Details können eingesehen werden, z.B. wenn ein falscher oder abgelaufener Einschreibungscode von Relution verwendet wurde.

Anschließend werden alle Schritte, die bei einer manuellen Einschreibung händisch durchgeführt werden müssen, mit den Informationen aus dem Bereitstellungspaket automatisch ausgeführt und es müssen keine weiteren Angaben gemacht werden. Nach erfolgreicher Registrierung ist das Gerät mit dem Relution Server verbunden, taucht in der Inventarliste der entsprechenden Relution Organisation auf und kann dort verwaltet werden.

Woran erkennt man, dass das Bereitstellungspaket auf dem Windows 10/11-Gerät angewendet wurde?

Unter „Einstellungen“ -> „Geschäfts- oder Schulkonto zugreifen“ wird die Registrierung mit dem Relution MDM-Server aufgelistet.