Startseite
Insight26.11.2021

Windows Bulk Enrollment

Was versteht man unter Bulk Enrollment?

Bei der Registrierung und Einrichtung von einer großen Anzahl von Windows 10/11-Geräten entsteht durch einen manuellen Einschreibeprozess schnell ein nicht unerheblicher Aufwand. Das Windows Bulk Enrollment, auch Massenregistrierung genannt, ist eine effiziente Möglichkeit, eine große Anzahl von Windows 10/11-Geräten einzurichten, ohne die Einschreibung auf den Geräten jedes Mal manuell über die Systemeinstellungen abzuschließen.

Welche Voraussetzungen müssen für die Durchführung von Bulk Enrollments erfüllt sein?

Die massenhafte Registrierung von Geräten ist ab Windows 10/11 für die Versionen Professional, Enterprise und Education verfügbar. Es wird das Tool Windows Configuration Designer (WCD) benötigt, welches aus dem Microsoft Store heruntergeladen werden kann. Alternativ lässt sich das WCD-Tool über das Windows Assessment and Deployment Kit (ADK) herunterladen und ist dann auch in anderen Sprachen verfügbar.

Mit dem WCD-Tool lassen sich Bereitstellungspakete, sogenannte Provisioning Packages, erzeugen, die für die Ausführung der Massenregistrierung benötigt werden. Das Dateiformat von Bereitstellungspaketen ist eine ppkg-Datei. Dies ist ein Container für eine Sammlung von Konfigurationseinstellungen.

Da das Bulk Enrollment nicht mit einem Azure AD Account oder Autopilot durchgeführt wird, werden diese nicht benötigt. Die Registrierung erfolgt letzten Endes über ein Trägermedium, z.B. ein USB-Laufwerk oder eine SD-Karte, auf dem das generierte Bereitstellungspaket aus dem WCD-Tool im Root-Verzeichnis gespeichert ist. Das Trägermedium wird mit den entsprechenden Windows 10/11-Geräten verbunden, mit denen die Massenregistrierung durchgeführt werden soll.

Welche Vorteile bietet das Bulk Enrollment über Windows-Bereitstellungspakete?

Die Bereitstellungspakete erleichtern die Konfiguration von Endbenutzergeräten, ohne ein Image erstellen zu müssen. So wird das schnelle und effiziente Konfigurieren eines Geräts ermöglicht und die gewünschten Einstellungen für die Registrierung der Geräte in Relution können auf einfache Weise angegeben werden. Mithilfe dieses Workflows lassen sich Zielgeräte binnen Minuten konfigurieren und in Relution einschreiben.

Müssen in Relution im Vorfeld Einstellungen vorgenommen werden?

Für Massenregistrierungen von Windows 10/11-Geräte muss in Relution eine manuelle Einschreibung angelegt werden.

Relution-Oberfläche mit den Einstellungen zur Erstellung einer manuellen Einschreibung für die Massenregistrierung von Windows 10/11-Geräten

Die Gültigkeit dieser Einschreibung kann frei gewählt werden und sollte je nach Bedarf in die Zukunft verlängert werden. Wichtig ist, dass in diesem Schritt die Mehrfach-Einschreibung aktiviert wird, um die erzeugte Einschreibung für mehrere Geräte verwenden zu können.

Dialogfenster während der Einrichtung mit der Option, den Bereitstellungspaket-Import zu überspringen und den Vorgang mit „Fertig stellen“ abzuschließen

Der anschließend generierte Einschreibungscode wird im weiteren Prozess bei der Erstellung des Bereitstellungspaketes über das WCD-Tool benötigt

Relution-Backend mit der Anzeige des generierten Einschreibungscodes, der im weiteren Prozess für die Erstellung des Bereitstellungspakets im WCD-Tool verwendet wird

Wie wird mit dem Windows Configuration Designer ein Bereitstellungspaket erstellt?

Folgende Schritte werden nach dem Download und der Installation des WCD-Tools durchgeführt, um ein Bereitstellungspaket zu erstellen:

  1. In der Startansicht die Kachel „Verwenden der erweiterten Bereitstellung“ wählen.
Startansicht des Windows Configuration Designers mit der ausgewählten Kachel „Verwenden der erweiterten Bereitstellung“ zur Erstellung eines Bereitstellungspakets
  1. Projektnamen angeben und „Weiter“ klicken.
Eingabemaske im Windows Configuration Designer zur Angabe eines Projektnamens mit der Option, durch Klicken auf „Weiter“ fortzufahren
  1. „Alle Windows Desktop Editionen“ auswählen und „Weiter“ klicken.
Auswahlmenü im Windows Configuration Designer mit verschiedenen Windows-Editionen, wobei „Alle Windows Desktop Editionen“ ausgewählt ist und die Option besteht, auf „Weiter“ zu klicken
  1. Import eines Bereitstellungspakets (optional) überspringen und "Fertig stellen" klicken.
Screenshot des Installationsbildschirms mit der Option, den Import eines Bereitstellungspakets zu überspringen und den Vorgang mit „Fertig stellen“ abzuschließen

  1. Erweitern der „Laufzeiteinstellungen“ -> „Workplace“ im linken Navigationsbereich und klicken von „Registrierungen“.

  2. Eintragen und hinzufügen der E-Mail-Adresse eines Benutzers aus der entsprechenden Relution Organisation, der Device Manager Rechte besitzt.

Ansicht in Relution unter „Laufzeiteinstellungen“ -> „Workplace“ mit der Option, unter „Registrierungen“ die E-Mail-Adresse eines Benutzers mit Device Manager Rechten hinzuzufügen
  1. Erweitern von „UPN“ im linken Navigationsbereich und Eingabe folgender Informationen für die restlichen Einstellungen:
  • AuthPolicy: “OnPremise” auswählen
  • DiscoveryServiceFullUrl: Angabe der entsprechenden Domain des verwendeten Relution Servers
  • EnrollmentServiceFullUrl: Optional
  • PolicyServiceFullUrl: Optional
  • Secret: Eingabe des Einschreibungscodes aus Relution.
Ansicht im Windows Configuration Designer mit erweitertem Navigationsbereich „UPN“ und ausgefüllten Feldern, darunter „AuthPolicy“ mit „OnPremise“ und „DiscoveryServiceFullUrl“

  1. Nach Eingabe aller Einstellungen im Hauptmenü „Datei“ -> „Speichern“ klicken.

  2. Anschließend im Hauptmenü „Exportieren“ -> „Bereitstellungspaket“ klicken.

Menüansicht im Windows Configuration Designer mit der ausgewählten Option „Exportieren“ und „Bereitstellungspaket“ zur Erstellung eines Bereitstellungspakets
  1. Im anschließenden Dialog die Werte für das Paket angeben, den Speicherort für die Paketausgabe wählen und am Ende auf „Erstellen“ klicken.
Screenshot mit der Eingabemaske zur Festlegung von Name, Version und Priorität („Rank“) für das Bereitstellungspaket im Prozess der Windows Massenregistrierung
Option im Windows Configuration Designer mit der Aufforderung „Select Security details for the provisioning package“, einer Auswahl zwischen „Encrypt package“ oder „Sign package“ sowie der Anzeige „Selected certificate“

Hinweis: Das Bereitstellungsprofil sollte geschützt (verschlüsselt und/oder signiert) werden, um einen zusätzlichen Schutz für z.B. Schulen zu bieten, falls ein USB-Stick oder eine SD-Karte verloren geht. Durch die Verschlüsselung hat ein potenzieller Angreifer keinen Zugriff auf die ppkg-Datei.

Darstellung des Auswahldialogs „Speicherort für das Bereitstellungspaket auswählen“ mit einem lokalen Pfad im Rahmen der Windows Massenregistrierung
Screenshot mit der Anzeige „Build the provisioning package“ und einer Statusleiste am unteren Rand, die den Fortschritt im Prozess der Windows Massenregistrierung zeigt
Finalisierung der Windows Massenregistrierung mit der Anzeige „All done“ sowie den Pfaden für „Output location“ und „Project folder“
Ansicht des Windows Explorers mit Relution als Runtime Provisioning Tool in einem lokalen Ordner

Wie wird ein Bereitstellungspaket auf einem Windows 10/11-Gerät angewendet?

  1. Das entsprechende Windows 10/11-Gerät mit dem USB-Laufwerk verbinden, auf dem sich das Bereitstellungspaket befindet.

  2. In den „Einstellungen“ auf „Geschäfts- oder Schulkonto“ zugreifen und auf "Bereitstellungspaket hinzufügen oder entfernen" klicken.

Menüansicht auf einem Windows 10/11-Gerät in den „Einstellungen“ mit der ausgewählten Option „Geschäfts- oder Schulkonto“
Bildschirmansicht eines Windows 10/11-Geräts in den Einstellungen mit der geöffneten Option „Geschäfts- oder Schulkonto“ und der Funktion „Bereitstellungspaket hinzufügen oder entfernen“
Bildschirmansicht auf einem Windows 10/11-Gerät mit der Option „Select a package“, die das Bereitstellungspaket „relution.ppkg“ anzeigt und die Möglichkeit bietet, es über „Add“ hinzuzufügen

Hinweis: Das Bereitstellungspaket muss im Root-Verzeichnis des USB-Sticks oder der SD-Karte abgelegt werden. Sonst wird die ppkg-Datei nicht gefunden und hier nicht angezeigt.

  1. Auf "Paket hinzufügen“ klicken.
Windows-Oberfläche mit der Option „Paket hinzufügen“, um ein Bereitstellungspaket auf einem Windows 10/11-Gerät anzuwenden

Hinweis: Sollte ein Fehler beim Aufspielen des Bereitstellungspaketes auftreten, wird dies unterhalb des jeweiligen Bereitstellungspaketes angezeigt und entsprechende Details können eingesehen werden, z.B. wenn ein falscher oder abgelaufener Einschreibungscode von Relution verwendet wurde.

Anschließend werden alle Schritte, die bei einer manuellen Einschreibung händisch durchgeführt werden müssen, mit den Informationen aus dem Bereitstellungspaket automatisch ausgeführt und es müssen keine weiteren Angaben gemacht werden. Nach erfolgreicher Registrierung ist das Gerät mit dem Relution Server verbunden, taucht in der Inventarliste der entsprechenden Relution Organisation auf und kann dort verwaltet werden.

Ansicht in Relution mit der erfolgreichen Registrierung eines Geräts, das nun in der Inventarliste der entsprechenden Organisation angezeigt und verwaltet werden kann

Woran erkennt man, dass das Bereitstellungspaket auf dem Windows 10/11-Gerät angewendet wurde?

Unter „Einstellungen“ -> „Geschäfts- oder Schulkonto zugreifen“ wird die Registrierung mit dem Relution MDM-Server aufgelistet.

Screenshot der Windows Einstellungen unter „Geschäfts- oder Schulkonto verwalten“ mit der Anzeige der erfolgreichen Registrierung beim Relution MDM-Server