Neues bei Autopilot mit Windows 10 1903

A screenshot of a computer

Mit jedem neuen Release von Windows 10 gibt es auch Neuheiten im Bereich Microsoft Autopilot. Wenn Sie nicht wissen, was Autopilot ist, empfehle ich Ihnen den Artikel “Was ist Microsoft Autopilot“. Heute geht e um neue Funktionen, die mit Windows 10 1903 möglich sind. Wie immer bei Autopilot setzt das auch eine aktuelle Intune-Instanz voraus.

Aktuelles zum Hybrid-AD Join

Zunächst was leider noch nicht besser geworden ist, der Hybrid-AD Join. Viele hatten auf die1903 gehofft, dass es besser wird. Leider wird immer noch eine direkte Verbindung zum On-Prem Active Directory benötigt. Ich finde es schade, da dies eigentlich mit den Funktionen des Offline-Domain Beitritt, und dem Agenten der On-Premise läuft eigentlich lösbar sein sollte. Ich kann mir nur Vorstellen, das die gewollt ist, um die Kunden zu einer reinen Azure-AD Nutzung zu bewegen. Dies hat in vielen Projekten schon dazu geführt, dass doch kein Autopilot verwendet werden konnte. Prinzipiell lässt sich zwar einiges durch ADFS oder Windows Hello 4 Business lösen, aber die meisten Firmen sind noch nicht so weit. Die Alternative ist ein Deployment mit einer VPN-Box, also einer Hardware Lösung, die für den Client transparent ist.

White Glove – oder Vorinstallation durch den OEM, Partner oder die IT

Eine Funktion, die schon länger geplant ist, um einige Unzulänglichkeiten zu lösen ist “White Glove”. Zu Deutsch die “Weißen Handschuhe”, das ist eine Anspielung auf die Baumwollhandschuhe des Dienstpersonals in früheren Zeiten.

Mit dieser Funktion wird ein weiterer Schritt in den bisherigen Prozess eingefügt.

Bisher wurde vom OEM das Image und die Treiber installiert. Dieses Image konnte auch ein eigenes sein, das aber in der Realität aus verschiedenen Gründen meistens nicht praktikabel genug war. Die Installation der Anwendungen wurde dann beim Anmelden des Benutzers erledigt. Je nach Internetverbindung und Größe der Anwendungen konnte das schonmal ein paar Stunden dauern.

Gerade diese Softwareinstallation und das Anwenden der Gerätespezifischen Einstellungen und Richtlinien soll nun durch den OEM, einen Partner oder die IT übernommen werden.

Ob das durch die IT Sinnvoll ist, da streiten sich die Gelehrten. Theoretisch kann ich das System dann auch über einen Klassischen Weg installieren. Dies sogar, ohne zwischendurch Knöpfe zu drücken. Es sollte daher eher die Ausnahme sein. Sinnvoll ist schon eher, wenn das der OEM direkt mit erledigen kann. Dafür werden aber Prozesse beim OEM in der Fabrik oder einem Logistik-Hub benötigt. Dies dürfte einige kleinere OEM vor Probleme stellen.

Es werden sowohl Azure-AD beitritt als auch Hybrid-AD Join unterstützt. Letzteres mit den üblichen Einschränkungen.

Voraussetzungen für “White Glove”

Damit das Ganze funktioniert gibt es ein paar Voraussetzungen. Diese sind:

  • Funktionierendes Autopilot (inkl. Intune Abo)
  • Windows 10 1903 Pro / Enterprise
  • Physikalisches Gerät mit TPM 2.0 (Es werden keine VMs unterstützt!)
  • Hardwareunterstützung für Auto-Deployment mit Autopilot (TPM 2.0 Attestation)
  • Physikalische Netzwerkverbindung, WLAN wir nicht unterstützt

Vorbereitungen für “White Glove”

Als erstes muss in Intune ein neues Autopilot-Profil angelegt werden.

Screenshot: Microsoft 365 Geräteverwaltung

Der Name solle eindeutig sein.

Im nächsten Schritt kann die OOBE (Windows-Willkommensseite) angepasst werden. Wichtig ist hier die Option “Willkommensseite ohne Benutzerauthentifizierung zulassen”, im Englischen “Allow White Glove OOBE”. Hier verbirgt sich White Glove hinter.

Screenshot: Microsoft 365 Geräteverwaltung

Es folgen noch Scope Tags und Gruppen basierte Zuweisungen, wer diese verwenden möchte.

Screenshot: Microsoft 365 Geräteverwaltung

Zusammenfassung am Ende der Profilerstellung.

Damit ist White Glove prinzipiell möglich. Nun muss das Profil und ein Benutzer zugewiesen werden.

Durchführen von White Glove

Der OEM startet das System wie üblich.

Bei ersten OOBE Screen wird aber nicht auf “Weiter” geklickt, sondern 5-mal die Windowstaste. Jetzt erscheint ein neuer Dialog.

Foto: White Glove

Hier kann die Bereitstellung gestartet werden.

Foto: White Glove

Es ist das Profil zu sehen und im Barcode sind die Informationen zum System codiert.

{“Version”:”1.0.0″,”Id”:”fbdc1ecc-1d5d-4f80-9b1e-4b8af30b1230″,”ZtdId”:”ff4acaf6-bdb0-4632-b834-39a6aa13dcc4″,”PKID”:””,”SerialNumber”:””,”SequenceBlockNumber”:1,”TotalBlocks”:1}

Danach beginnt erstmal ein normaler Autopilot Prozess.

Foto: White Glove

Sollte kein Benutzer zugewiesen sein, erfolgt eine Fehlermeldung. Leider ist die Fehlermeldung nicht sehr aussagekräftig. Das dieser Fehler an dem fehlenden Benutzer liegt, ist nur an dem “Nicht zugewiesen” zu erkennen. Generell würde ich mir bei der Fehlerdiagnose mehr Informationen wünschen. Auch bleibt der Fehler in der Bereitstellungsseite ca. 2-3 Sekunden sichtbar, hier hilft dann leider nur eine Videokamera.

Foto: White Glove

Wenn aber alles gut gelaufen ist, dann ist der Bildschirm grün. (Screenshot folgt, sobald ich den Fehler in meinem Labor gefunden habe)

Nach dem White Glove beim Benutzer

Jetzt startet der Benutzer das Gerät. Die Schritte sind dieselben wie beim normalen Autopilot. Allerdings geht es schneller, da die Software vorinstalliert ist.

Der Azure-AD Hybrit Join erfolgt auch im Anwenderteil von Autopilot mit White Glove. Sonst könnte eine VPN Verbindung zum OEM bzw. Dienstleister eine einfache Lösung sein.

Weitere Änderungen in 1903 und Autopilot

Leider gibt es sonst nichts neues an dieser Stelle zu Berichten, da White Glove die einzige Neuerung bei Autopilot mit der 1903 war.

Hinweis zur Transparenz

Zum Zeitpunkt der Erstellung des Artikels arbeitete ich für Dell Technologies. Trotzdem spiegelt dieser Artikel meine rein persönliche Meinung wieder, und wurde nicht durch meinen Arbeitgeber in irgendeiner Weise gefördert, beeinflusst oder vergütet. #Iwork4Dell

Lediglich mein Testgerät wurde mir von meinen Arbeitgeber, unabhängig von diesem Artikel, zur Verfügung gestellt.

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau. Zu finden ist er auch auf folgenden Plattformen: -

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere