qr code

Neues bei Autopilot mit Windows 10 1903 (Updated)

4f7d21d07b7e4459af53e79c936275f9

Mit jedem neuen Release von Windows 10 gibt es auch Neuheiten im Bereich Microsoft Autopilot. Wenn Sie nicht wissen, was Autopilot ist, empfehle ich Ihnen den Artikel „Was ist Microsoft Autopilot„. Heute geht e um neue Funktionen, die mit Windows 10 1903 möglich sind. Wie immer bei Autopilot setzt das auch eine aktuelle Intune-Instanz voraus.

Aktuelles zum Hybrid-AD Join

Zunächst was leider noch nicht besser geworden ist, der Hybrid-AD Join. Viele hatten auf die1903 gehofft, dass es besser wird. Leider wird immer noch eine direkte Verbindung zum On-Prem Active Directory benötigt. Ich finde es schade, da dies eigentlich mit den Funktionen des Offline-Domain Beitritt, und dem Agenten der On-Premise läuft eigentlich lösbar sein sollte. Ich kann mir nur Vorstellen, das die gewollt ist, um die Kunden zu einer reinen Azure-AD Nutzung zu bewegen. Dies hat in vielen Projekten schon dazu geführt, dass doch kein Autopilot verwendet werden konnte. Prinzipiell lässt sich zwar einiges durch ADFS oder Windows Hello 4 Business lösen, aber die meisten Firmen sind noch nicht so weit. Die Alternative ist ein Deployment mit einer VPN-Box, also einer Hardware Lösung, die für den Client transparent ist.

White Glove – oder Vorinstallation durch den OEM, Partner oder die IT

Eine Funktion, die schon länger geplant ist, um einige Unzulänglichkeiten zu lösen ist „White Glove“. Zu Deutsch die „Weißen Handschuhe“, das ist eine Anspielung auf die Baumwollhandschuhe des Dienstpersonals in früheren Zeiten.

Mit dieser Funktion wird ein weiterer Schritt in den bisherigen Prozess eingefügt.

Bisher wurde vom OEM das Image und die Treiber installiert. Dieses Image konnte auch ein eigenes sein, das aber in der Realität aus verschiedenen Gründen meistens nicht praktikabel genug war. Die Installation der Anwendungen wurde dann beim Anmelden des Benutzers erledigt. Je nach Internetverbindung und Größe der Anwendungen konnte das schonmal ein paar Stunden dauern.

062519 0830 NeuesbeiAut1

Gerade diese Softwareinstallation und das Anwenden der Gerätespezifischen Einstellungen und Richtlinien soll nun durch den OEM, einen Partner oder die IT übernommen werden.

062519 0830 NeuesbeiAut2

Ob das durch die IT Sinnvoll ist, da streiten sich die Gelehrten. Theoretisch kann ich das System dann auch über einen Klassischen Weg installieren. Dies sogar, ohne zwischendurch Knöpfe zu drücken. Es sollte daher eher die Ausnahme sein. Sinnvoll ist schon eher, wenn das der OEM direkt mit erledigen kann. Dafür werden aber Prozesse beim OEM in der Fabrik oder einem Logistik-Hub benötigt. Dies dürfte einige kleinere OEM vor Probleme stellen.

Es werden sowohl Azure-AD beitritt als auch Hybrid-AD Join unterstützt. Letzteres mit den üblichen Einschränkungen.

Voraussetzungen für „White Glove“

Damit das Ganze funktioniert gibt es ein paar Voraussetzungen. Diese sind:

  • Funktionierendes Autopilot (inkl. Intune Abo)
  • Windows 10 1903 Pro / Enterprise
  • Physikalisches Gerät mit TPM 2.0 (Es werden keine VMs unterstützt!)
  • Hardwareunterstützung für Auto-Deployment mit Autopilot (TPM 2.0 Attestation)
  • Physikalische Netzwerkverbindung, WLAN wir nicht unterstützt

Vorbereitungen für „White Glove“

Als erstes muss in Intune ein neues Autopilot-Profil angelegt werden.

Werbung
062519 0830 NeuesbeiAut3
Screenshot: Microsoft 365 Geräteverwaltung

Der Name solle eindeutig sein.

Im nächsten Schritt kann die OOBE (Windows-Willkommensseite) angepasst werden. Wichtig ist hier die Option „Willkommensseite ohne Benutzerauthentifizierung zulassen“, im Englischen „Allow White Glove OOBE“. Hier verbirgt sich White Glove hinter.

062519 0830 NeuesbeiAut4
Screenshot: Microsoft 365 Geräteverwaltung

Es folgen noch Scope Tags und Gruppen basierte Zuweisungen, wer diese verwenden möchte.

062519 0830 NeuesbeiAut5
Screenshot: Microsoft 365 Geräteverwaltung

Zusammenfassung am Ende der Profilerstellung.

Damit ist White Glove prinzipiell möglich. Nun muss das Profil und ein Benutzer zugewiesen werden.

Durchführen von White Glove

Der OEM startet das System wie üblich.

Bei ersten OOBE Screen wird aber nicht auf „Weiter“ geklickt, sondern 5-mal die Windowstaste. Jetzt erscheint ein neuer Dialog.

062519 0830 NeuesbeiAut6
Foto: White Glove

Hier kann die Bereitstellung gestartet werden.

Werbung
062519 0830 NeuesbeiAut7
Foto: White Glove

Es ist das Profil zu sehen und im Barcode sind die Informationen zum System codiert.

{„Version“:“1.0.0″,“Id“:“fbdc1ecc-1d5d-4f80-9b1e-4b8af30b1230″,“ZtdId“:“ff4acaf6-bdb0-4632-b834-39a6aa13dcc4″,“PKID“:““,“SerialNumber“:““,“SequenceBlockNumber“:1,“TotalBlocks“:1}

Werbung

Danach beginnt erstmal ein normaler Autopilot Prozess.

062519 0830 NeuesbeiAut8
Foto: White Glove

Sollte kein Benutzer zugewiesen sein, erfolgt eine Fehlermeldung. Leider ist die Fehlermeldung nicht sehr aussagekräftig. Das dieser Fehler an dem fehlenden Benutzer liegt, ist nur an dem „Nicht zugewiesen“ zu erkennen. Generell würde ich mir bei der Fehlerdiagnose mehr Informationen wünschen. Auch bleibt der Fehler in der Bereitstellungsseite ca. 2-3 Sekunden sichtbar, hier hilft dann leider nur eine Videokamera.

Werbung
062519 0830 NeuesbeiAut9
Foto: White Glove

Wenn aber alles gut gelaufen ist, dann ist der Bildschirm grün. (Screenshot folgt, sobald ich den Fehler in meinem Labor gefunden habe).

Update zum Fehler (04.09.2019)

Der Fehler war die fehlende Device-Attestation im Testgerät. Sie können die Unterstützung dieser Funktion mit dem Power Shell Befehl

Get-TpmSupportedFeature -FeatureList "Key Attestation"

testen. Ohne diese TPM Funktion kein WhiteGlove. Unterumständen kann hier ein Bios Update helfen. Sprechen Sie dazu bitte Ihren Hardware Hersteller an.

Nach dem White Glove beim Benutzer

Jetzt startet der Benutzer das Gerät. Die Schritte sind dieselben wie beim normalen Autopilot. Allerdings geht es schneller, da die Software vorinstalliert ist.

Der Azure-AD Hybrit Join erfolgt auch im Anwenderteil von Autopilot mit White Glove. Sonst könnte eine VPN Verbindung zum OEM bzw. Dienstleister eine einfache Lösung sein.

Weitere Änderungen in 1903 und Autopilot

Leider gibt es sonst nichts neues an dieser Stelle zu Berichten, da White Glove die einzige Neuerung bei Autopilot mit der 1903 war.

Hinweis zur Transparenz

Zum Zeitpunkt der Erstellung des Artikels arbeitete ich für Dell Technologies. Trotzdem spiegelt dieser Artikel meine rein persönliche Meinung wieder, und wurde nicht durch meinen Arbeitgeber in irgendeiner Weise gefördert, beeinflusst oder vergütet. #Iwork4Dell

Lediglich mein Testgerät wurde mir von meinen Arbeitgeber, unabhängig von diesem Artikel, zur Verfügung gestellt.

Veröffentlicht:

Autor:

Fabian Niesen

Kategorien:

, , ,

Tags:

, , , , ,

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

New articles in english

RSS-Fehler: https://www.infrastructureheroes.org/feed is invalid XML, likely due to invalid characters. XML error: Invalid document end at line 2504, column 84
Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.