Zero-Touch-Bereitstellung für Windows (Autopilot)

Windows Autopilot bietet neuen Windows-Geräten ein sofort einsatzbereites Setup-Erlebnis. Wenn ein Mitarbeiter ein Gerät zum ersten Mal einschaltet, meldet er sich mit seinen Microsoft-Anmeldeinformationen an und alle Unternehmens-Apps, Einstellungen und Sicherheitsrichtlinien werden automatisch angewendet – kein Eingreifen der IT-Abteilung erforderlich. In diesem Artikel wird die vollständige Einrichtung behandelt: von der Registrierung der FleetDM-Domäne in Azure über die Erstellung von Bereitstellungsprofilen bis hin zum Testen des Autopilot-Erlebnisses.

​

Voraussetzungen

• Ein Microsoft-Konto mit Administratorzugriff
• Ein Entra-„Mieter“
• Eine Lizenz, die Microsoft Entra ID Plan 1 (oder Plan 2) und Windows Autopilot enthält

Die Mindestlizenz, die beide Funktionen abdeckt, ist Enterprise Mobility + Security E3 (Pläne vergleichen).

​

Mitarbeitererfahrung beim ersten Start

1. Schalten Sie das Gerät ein
2. Land und Sprache auswählen, Tastaturlayout konfigurieren
3. Stellen Sie eine Verbindung zum Internet her
4. Akzeptieren Sie die Allgemeinen Geschäftsbedingungen von FleetDM
5. Melden Sie sich mit Microsoft-Anmeldeinformationen an (+ 2FA, falls aktiviert)
6. Richten Sie einen PIN-Code und einen Fingerabdruck ein (falls unterstützt).
7. Das Gerät ist bereit – im Dashboard definierte Apps und Richtlinien werden automatisch angewendet

​

Einschränkungen

Autopilot-Geräte verwenden Entra-Konten anstelle lokaler Konten. Microsoft stellt lokale Konten zunehmend zugunsten von Entra-Konten ein. Der Entra-Administrator kann konfigurieren, ob Benutzer über Standard- oder Administratorkontoberechtigungen verfügen. Entra-Benutzer mit der Rolle Globaler Administrator sind automatisch Administratoren auf allen Autopilot-Geräten, bei denen sie sich anmelden. Für die Authentifizierung bei Entra ist beim ersten Start ein Internetzugang erforderlich.

​

So richten Sie es ein

Bei der Einrichtung wird davon ausgegangen, dass Ihr Unternehmen ACME heißt und die Domäne acme.com verwendet.

​

Schritt 1 – Registrieren Sie die FleetDM-Domäne und erstellen Sie die Fleet-Anwendung in Azure

Sie führen drei Vorgänge in der Microsoft Azure-Konsole mit Administratorrechten durch:

1. Deklarieren Sie die FleetDM-Domäne mit Azure als legitim
2. Erstellen Sie die Fleet-Anwendung und erteilen Sie ihr MDM-Berechtigungen
3. Legen Sie FleetDM als Standard-MDM für neue Geräte fest (ggf. ersetzen Sie Intune).

​

1. Deklarieren Sie die FleetDM-Domäne

• Melden Sie sich mit einem Administratorkonto an unter: Microsoft Azure
• Suchen Sie nach Domainnamen und klicken Sie darauf.
• Klicken Sie auf +Benutzerdefinierte Domain hinzufügen
• In the field, enter .mdm.getprimo.com (i.e. acme.mdm.getprimo.com, ask support (support@getprimo.com) if you don’t know this domain name)
• Teilen Sie uns den Wert des Feldes Ziel- oder Routingadresse mit (im Format MS=ms12345678)
• Warten Sie auf unsere Antwort (höchstens zwei Werktage), bevor Sie mit dem Verfahren fortfahren
• Anschließend können Sie auf Bestätigen klicken.

​

2. Erstellen Sie die FleetDM-Anwendung

• Melden Sie sich mit einem Administratorkonto an unter: Microsoft Azure
• Suchen Sie nach Mobilität (MDM und MAM)
• Wählen Sie + Anwendung hinzufügen und dann + Eigene Anwendung erstellen.
• Geben Sie Fleet als Anwendungsnamen ein und klicken Sie auf Erstellen
• Ausfüllen
  • MDM terms of use URL: https://{company}.mdm.getprimo.com/api/mdm/microsoft/tos
  • MDM discovery URL: https://{company}.mdm.getprimo.com/api/mdm/microsoft/discovery
• Klicken Sie auf Speichern
• Zurück zu Mobilität (MDM und MAM)
• Klicken Sie auf die Anwendung Fleet und dann auf Benutzerdefinierte MDM-Anwendungseinstellungen
• Klicken Sie auf den Link unten Anwendungs-ID-URI und dann auf Bearbeiten
• Enter your Fleet instance address (https://{company}.mdm.getprimo.com) and click Save
• Wählen Sie API-Berechtigungen und dann Berechtigung hinzufügen
• Klicken Sie auf Microsoft Graph, dann auf Delegierte Berechtigungen und wählen Sie dann:
  • Gruppe > Group.Read.All
  • Gruppe > Group.ReadWrite.All
  • und klicken Sie auf Berechtigungen hinzufügen
• Kehren Sie dann zu API-Berechtigungen und Berechtigung hinzufügen zurück und wählen Sie erneut Microsoft Graph
• Klicken Sie dieses Mal auf Anwendungsberechtigungen und fügen Sie die folgenden Berechtigungen hinzu:
  • Gerät > Gerät.Alles lesen
  • Gerät > Device.ReadWrite.All
  • Verzeichnis > Verzeichnis.Alles lesen
  • Gruppe > Group.Read.All
  • Benutzer > Benutzer.Alles lesen
  • und klicken Sie auf Berechtigungen hinzufügen
• Sobald Sie wieder auf dem API-Berechtigungsbildschirm sind, klicken Sie auf Administratoreinwilligung für ACME erteilen

Die Fleet-Anwendung wird jetzt im Azure-Portal als legitime MDM deklariert.

​

3. Legen Sie FleetDM als Standard-MDM für neue Geräte fest

• Melden Sie sich mit einem Administratorkonto an unter: Microsoft Azure
• Gehen Sie zu Mobilität (MDM und MAM)
• Klicken Sie auf Microsoft Intune
• Wählen Sie im MDM-Benutzerbereich die Option Keine aus.
• Wählen Sie unter MAM-Benutzerbereich die Option Keine aus.
• Klicken Sie auf Speichern
• Gehen Sie zu Mobilität (MDM und MAM)
• Klicken Sie auf Fleet
• Wählen Sie im MDM-Benutzerbereich Alle aus.
• Wählen Sie im MAM-Benutzerbereich die Option Alle aus.
• Klicken Sie auf Speichern

Die Fleet-Anwendung ist jetzt als MDM deklariert, die neue Geräte mit dem Azure-Portal verarbeitet. Hinweis: Wenn Sie Geräte bei FleetDM registriert haben, bevor Sie diese Vorgänge abgeschlossen haben, wenden Sie sich an den Support, damit das Team die MDM-Änderung von Intune zu FleetDM durch Ausführen eines Skripts erzwingen kann. Andernfalls befindet sich das Gerät möglicherweise in einem inkonsistenten Zustand, der sich auf die Registrierungserfahrung auswirkt.

​

Schritt 2 – Erstellen Sie Autopilot-Bereitstellungsprofile

Um die Autopilot-Einrichtung abzuschließen, erstellen Sie mindestens ein Bereitstellungsprofil. Die offizielle Dokumentation von Microsoft zu Bereitstellungsprofilen finden Sie unter diesem Link: [https://learn.microsoft.com/fr-fr/autopilot/profiles](https://learn.microsoft.com/fr-fr/autopilot/profiles]. Mit diesem Profil können Sie die folgenden Einstellungen festlegen:

• Auswahl des Benutzertyps: Administrator oder Standard

Note: Entra users with a Global Administrator role are administrators of all devices regardless of this setting’s value

• Standard-Länderauswahl
• Standardauswahl der Tastatursprache
• Benennungsmuster für Geräte

Beispiel: ACME-%RAND:5% generiert die folgenden Namen:

• ACME-23456
• ACME-98479
• ACME-19838

Um ein Bereitstellungsprofil zu erstellen, befolgen Sie diese Anweisungen:

• Gehen Sie zu: Microsoft Intune Admin Center
  • oder melden Sie sich bei https://intune.microsoft.com/ an und gehen Sie zu Geräte > Registrierung > Bereitstellungsprofile
• Klicken Sie auf +Profil erstellen
• Benennen Sie im ersten Schritt das Profil.
• Beschreiben Sie im zweiten Schritt die Bereitstellungsmodi.
• Im dritten Schritt weisen Sie den Geräten Profile zu.

Erstellen Sie eine dynamische Gruppe für alle ZTD-Geräte:

• Gehen Sie zu: portal.azure.com
• Klicken Sie auf +Gruppe erstellen
• Nennen Sie es beispielsweise „Windows Autopilot-Geräte“.
• Als Ziel wählen Sie „dynamische Geräte“
• Verwenden Sie für die dynamische Regel (device.devicePhysicalIds -any (_ -startsWith “[ZTDid]”))
• Klicken Sie auf Erstellen

Erstellen Sie abschließend eine Konfiguration für die Registrierungsstatusseite:

• Gehen Sie zu: Microsoft Intune Admin Center
  • oder melden Sie sich bei https://intune.microsoft.com/ an und gehen Sie zu Geräte > Registrierung > Registrierungsstatusseite
• Klicken Sie auf +Erstellen
• Im ersten Schritt können Sie dem Profil einen Namen geben (z. B. Primo).
• Aktivieren Sie im zweiten Schritt die Fortschrittsanzeige. Die Standardwerte funktionieren für die meisten Bereitstellungen.
• Weisen Sie im dritten Schritt das ESP Ihrer dynamischen Gruppe zu.

​

Schritt 3 – Testen Sie das Autopilot-Erlebnis

​

Teilen des Zugriffs auf die Intune-Administratorkonsole mit InMac

Damit Autopilot automatisch auf über Primo bestellten Geräten funktioniert, führen Sie den folgenden Vorgang mit unserem Partner-Händler InMac durch:

• Bauen Sie eine Microsoft-Partnerschaftsbeziehung zwischen InMac und Ihnen auf

Dieser Zugriff ermöglicht es ihnen, für jedes bestellte Gerät Intune über dessen Existenz zu informieren und sicherzustellen, dass es während seiner Initialisierung von Primo behandelt wird. Dazu müssen Sie den folgenden Link von einem Konto mit der Rolle Globaler Administrator aus verwenden:

• admin.microsoft.com

Befolgen Sie die Anweisungen bis zur Annahme der Partnerschaftsbeziehung.

​

Alternative: Testen auf vorhandener Hardware (erfordert Geräte-Reset)

Es gibt eine andere Möglichkeit, das Autopilot-Erlebnis zu testen, ohne unbedingt neue Geräte über Primo zu bestellen (und daher ohne die im vorherigen Absatz beschriebene Partnerschaftsbeziehung und den detaillierten Zugriff auf die Admin-Konsole herstellen zu müssen). Befolgen Sie dazu einfach diese Anweisungen unseres Partners FleetDM (Schritt 2: Registrieren Sie einen Testarbeitsplatz), der den Prozess beschreibt, der aus Folgendem besteht:

• Extrahieren des Geräte-Hashs (sozusagen seiner Seriennummer)
• Importieren Sie es in die Liste der Autopilot-Geräte auf Ihrer Azure/Intune-Konsole (so wird die Verknüpfung zwischen diesem Gerät und Ihrem Unternehmen hergestellt)
• Zurücksetzen des Geräts

Der Benutzer kann dann das Autopilot-Erlebnis genießen.