Neues im Bereich Modern Deployment

Im Moment ist ja die Microsoft Ignite in Orlando und ich bin mit dabei. Wie immer nutz Microsoft die Veranstaltung um Neuheiten zu zeigen oder anzukündigen.

Nicht immer klappt alles so wie geplant, deshalb der Disclaimer: alles was die Version 1809 betrifft sollte mit der fertigen Fassung funktionieren, aber sicher sind wir erst wenn sie veröffentlicht ist. Bei Funktionen in Azure AD und Intune ist es nicht genau klar wann die Funktionen verfügbar sind. Auch rollt Microsoft solche Änderungen in Wellen aus. Dadurch kann es auch länger dauern als erwartet.

Aber jetzt zu den Neuheiten.

AutoPilot

Microsoft entwickelt Autopilot weiter, hier eine Übersicht der neuen Funktionen. Da diese in der Microsoft Out-of-the-Box Experience (OOBE) integriert sind, werden diese Funktionen in der 1809 enthalten sein. Da diese teilweise über Intune gesteuert werden, kann es sein das mit Erscheinen der 1809 noch nicht alles sofort genutzt werden kann.

  • Deployment ohne Nutzer Eingriff nach dem Herstellen des Netzwerks. Sprache, Keyboard Layout und ggf. WiFi müssen also weiterhin vom Nutzer eingestellt werden
  • Personalisierung für den Benutzer: “Hallo Fabian” mit hinterlegten UPN, so das nur noch das Kennwort benötigt wird
  • Die Anmeldung am System kann bis zum Abschluss aller Arbeiten mit einem Fortschritt Bildschirm unterbunden werden. Das sorgt dafür, dass der Anwender nicht bei der IT anruft, weil ihm Software oder Daten fehlen, die noch runtergeladen werden müssen. Microsoft hat auch einen Timeout vorgesehen, den der Admin einstellen kann.
  • Dieser Fortschritt Bildschirm zeigt auch die 3 Phasen von AutoPilot an. “Geräte Vorbereitung”, “Geräte Einrichtung” und “Benutzer Einrichtung” und “Benutzer Einrichtung”

  • Der Windows S Mode und Windows S Geräte können behandelt werden.
  • Schön im Vorfeld angekündigt war, das über AutoPilot mit einer Windows Enterprise Abonnement auch ein Editions Upgrade erfolgen kann
  • Es kann jetzt ab 1809 ein Name zugewiesen werden, als Variabler Anteil stehen eine Zufallszahl oder die Seriennummer des Gerätes zur Verfügung.

    Microsoft Intune

    Oft verschwimmen die Grenzen was ein Windows 10 Feature und was ein Intune Funktion ist. Wichtig ist hier, das Microsoft für die Funktionen oft ein genaues Realisierungsdatum offen lässt.

  • Intune ist jetzt das Portal zur Verwaltung von AutoPilot. In der Vergangenheit brauchte man auch noch den Microsoft Store 4 Business

  • Neue AutoPilot Profile für Windows 1809
  • Support um AutoPilot DeviceID von bestehenden Geräten zu sammeln. Dies ist praktisch um einem Zurücksetzten auf Werkeinstellungen wieder mit AutoPilot zu starten. Das hilft zwar nicht für die Migration von Windows 7 nach Windows 10, aber danach.

  • Es kommt jetzt auch die Möglichkeit automatisch AutoPilot gruppen zuzuweisen
    • Dynamische Gruppen für alle Autopilot Geräte
    • Dynamische Gruppen basierend auf eine Bestell ID (Muss vom Lieferanten gepflegt worden sein)
    • Dynamische Gruppen basierend auf einem Geräte Tag (Muss vom Lieferanten gepflegt worden sein)
    • Manuelle gepflegte Gruppen
  • BitLocker kann nun auch ohne Lokales Konto mit Administrativen Berechtigungen ausgerollt werden
  • Es kommt eine Geräte bezogene Lizenz für Kiosk oder First-Line Systeme
  • Mit Intune ist soll ab Q4/18 auch ein Kiosk Konfiguration für Windows 10 Geräte mit Lock-Down möglich werden. Entweder nur mit einem Kiosk Browser, der speziell eingeschränkt und konfiguriert werden kann oder mit weiteren Apps.
  • MacOS wird auch über Intune oder über Intune mit jamf Unterstützung realisierbar
  • Neu für MacOS sind die Zuweisung vom WiFi PSK Profilen und Office 365 Anwendungen
  • Auch neu für MacOS ist die Möglichkeit für Remote Wipe und Remote Lock
  • Angekündigt wurde auch die Möglichkeit jetzt Windows 32 Apps auszufüllen
  • Auch neu angekündigt wurde die Möglichkeit über die MDM Schnittstelle jetzt auch Einstellungen aus ADMX Gruppenrichtlinien Dateien vorzunehmen. Ob das nur die Windows 10 ADMX oder auch Office und Drittanbieter ADMX betrifft ist noch unklar
  • Ab der 1809 kann auch ein Remote-Factory Reset durchgeführt werden. Wenn AutoPilot konfiguriert ist, startet das Gerät in AutoPilot danach. Dies erfolgt durch wenn das Gerät Online ist unmittelbar.
  • Mit 1809 kommt auch ein Hybrit Azure AD join, somit dürften AzureAD eingebundene Geräte auch endlich in normale Active Directory aufgenommen werden können. In der Vergangenheit gab es da Probleme.
  • Es soll jetzt auch eine Möglichkeit geben über Intune einen AD Beitritt zu ermöglichen.
  • Konfiguration von OneDrive4Business mit Intune (Inkl. Auswahl der Synchronisierten Ordner)
  • Unterstützung für das neue MSIX Paketierungsformat. Dazu kommt im Nachgang noch ein Artikel, sobald ich die Zeit finde.
  • Intune wird erweitert um alle MDM Schnittstellen für Windows 10 1809 zu unterstützen. Das Ziel ist es auf lange Sicht Gruppenrichtlinien abzulösen. – Ich frage mich was ich dann machen soll? Ich mach doch so gerne meine GPO Schulungen und Troubleshooting Workshops *sniff*
  • Die Windows 10 Baseline kann nun einfach als MDM Richtlinie aktiviert werden. Dabei können auch Abweichungen vorgenommen werden. Dafür hat Microsoft die Reguläre GPO Sicherheitsrichtlinie genommen und alles war über MDM in 1809 Möglich ist, auch umgesetzt. Das Delta wird ein eine GPO Companion Policy überführt, so das die Einstellungen nicht verloren gehen, aber über GPO gesetzt werden müssen.

  • Natürlich kann es bei einer Mischung von Klassischen Gruppenrichtlinien Management und Modern MDM Management zu Konflikten kommen. Microsoft geht davon aus, das die Einstellungen Konsistent vorgenommen werden. – Ich hab da aus der Erfahrung eine andere Meinung, aber man denkt drüber nach. – Für die Zukunft soll eine besser Konflikt Lösung implementiert werden. Im Moment gewinnt meistens das MDM. Für die Zukunft ist eine Analyse geplant, so das die größte Einschränkung gewinnt. Wie und wann genau das umgesetzt wird bleibt im Moment offen.

  • Intune Unterstützt jetzt auch RBAC und Scope Tags, so das Administratoren und Help-Desk Mitarbeiter gemäß ihrer Rollen und Bereiche Berechtigt werden können.

    Fotos: Fabian Niesen / Microsoft Ignite (Danke an OneNote für die Korrektur der Aufnahmen teils extremen Winkel zu den Bildschirmen)

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau.