Im Sommer bekommen wir über 400 mobile Geräte und diese sollen neu über Autopilot und nicht mehr über OSD aufgesetzt werden. Die Gründe sind hier ausführlich notiert.

Seit wir unsere Surfaces in der ersten Coronawelle mit nach Hause gegeben haben (und nicht wussten, wie lange das dauert), haben wir sie aus der Domäne genommen, über Autopilot nur in Azure AD registriert und betreiben sie seither so. Die neuen Geräte für die Lehrpersonen müssen aber im Moment noch in die lokale Domäne aufgenommen werden, damit die Lehrpersonen weiterhin auf den Fileserver, das Notenprogramm Lehreroffice und ein paar weitere Dienste kommen. Trotzdem sollen die Geräte im Sommer unausgepackt auch an die Lehrpersonen abgegeben werden. Seit mit DFCI auch die Firmware konfiguriert und geschützt werden kann, muss die IT „Abteilung“ die neuen Geräte gar nicht mehr in die Hand nehmen.

Das Vorgehen ist von Microsoft hier ausführlich dokumentiert. Ich halte mich an diese Dokumentation und ergänze nur noch meine Anpassungen.

Install the Intune Connector. Der Intune Connector muss auf einem Server 2016 oder neuer installiert werden und sollte nicht mit anderen Cloudconnectoren zusammen installiert werden. Ich musste einen dafür einen neuen Server konfigurieren.

Create a device group. Wenn alle Autopilot Geräte „hybrid joined“ wären, könnte man die Abfrage (device.devicePhysicalIDs -any _ -contains „[ZTDId]“) verwenden. Dies geht aber nicht, da ich sowohl „Azure AD (AAD) joined“ als auch „hybrid joined“ Geräte habe und die Abfrage schon für die „AAD joined“ Geräte brauche. Die Frage ist also, wie man die „AAD joined“ von den „hybrid joined“ Geräten unterscheiden kann. Dazu kann man die Abfrage der Order ID benutzen: (device.devicePhysicalIds -any _ -eq „[OrderID]:179887111881“). Für meine Gruppe habe ich also eine „dynamic membership rule“ erstellt, die abfragt, ob im Feld OrderID der Wert „domjoined“ steht.

Da Geräte nur einem Autopilot Profil zugewiesen sein sollten, entfernt man diese Gruppe von dem Profil, das den „AAD joined“ Geräten zugewiesen ist. (Also alle Autopilot Geräte minus diejenigen, die bei Order ID einen Eintrag „domjoined“ haben).

Nun kann man die Gruppenzugehörigkeit über „Group Tag“ (entspricht OrderID) bei den „Windows Autopilot devices“ angeben.

Damit man dies nicht für alle Geräte manuell machen muss, kann man analog zum Computernamen ein Powershell Skript verwenden. Statt -displayname verwendet man einfach -groupTag.

Import-CSV "domjoined.csv" | ForEach-Object {
$id = (Get-AutopilotDevice -serial $_.Seriennummer).id
Set-AutopilotDevice -id $id -groupTag "domjoined"
}

Create and assign an Autopilot deployment profile. Es scheint, als ob alles gerade rechtzeitig für meine Umsetzung nächsten Sommer verfügbar wäre. Neu gibt es die Möglichkeit, mit „Skip AD connectivity check (preview)“ den Ping auf den Domänencontroller zu überspringen. Gemacht wurde dies für VPN Lösungen (vgl. diesen Beitrag von Michael Niehaus) bei denen die Verbindung mit dem Domänencontroller erst nach der VPN Verbindung hergestellt werden kann. Dies ist aber auch die perfekte Lösung für mobile Geräte ohne Ethernet Anschluss. So kann zuerst eine Verbindung mit einem WLAN hergestellt werden, das nicht mit dem internen Netzwerk verbunden ist. Sobald die Richtlinien von Intune angewendet werden, bekommen die Geräte den Zugang zum internen Netzwerk und damit auch zum Domänencontroller. So kann das Passwort zum internen Netzwerk weiterhin geheim bleiben.

(Optional) Turn on the enrollment status page. Aus dem oben genannten Grund ist dieser Schritt dann nicht mehr wirklich optional. Damit die Zugangsdaten zum internen Netzwerk und damit zum Domänencontroller angewendet werden, bevor sich jemand anmelden kann, wird eine „Enrollment Status Page“ (ESP) benötigt, bei der „Block device use until all apps and profiles are installed“ aktiviert ist.

Create and assign a Domain Join profile. Hier muss man seine Domäne und die gewünschte OU eintragen. Dieses Profil muss der entsprechenden Gerätegruppe zugewiesen werden. Leider kann man bei „hybrid joined“ im Gegensatz zu „AAD joined“ Geräten keinen Namen vorgeben, sondern nur einen „Computer name prefix“.

Dies bedeutet, dass man nach der Installation den Namen des Computers nochmals ändern muss, wenn man eine eigene Namenskonvention hat, die man auch im Inventar führt. Das ist etwas unglücklich, lässt sich aber remote über PowerShell erreichen.

Vorgehen für neue Geräte

1. Geräte beim Kauf für Autopilot registrieren lassen
2. Bei Geräten für Lehrpersonen „Group Tag“ „domjoined“ eintragen
3. Geräte an Lehrpersonen ausliefern
4. Lehrpersonen packen Gerät aus, kleben Etikette auf, starten das Gerät, wählen Land und Tastatureinstellungen und verbinden sich mit dem Gast-WLAN mit einem Voucher für einen Tag
5. Geräte konfigurieren sich automatisch selber und erhalten im Active Directory einen Namen mit dem „name prefix“ „domjoined“
6. Dieser Name muss noch remote geändert werden, damit er mit dem Namensetikett übereinstimmt.