Ich hatte ein Problem mit Autopilot, das ich hier für mich dokumentieren möchte, falls es wieder einmal auftritt.

Wir haben zwei verschiedene Autopilot Deployment Profiles, eines für die Schülergeräte, die nur in Azure AD hinzugefügt sind und eines für die Geräte der Lehrpersonen, die hybrid joined sind, also zusätzlich zum Azure AD auch noch im lokalen AD hinzugefügt sind.

Unterschieden werden die beiden Profile durch eine dynamische Gruppe, die überprüft, ob bei „OrderID“ der Wert „domjoined“ gesetzt ist, wie das hier ausführlich beschrieben ist.

Nun habe ich ein Gerät wohl „kaputtkonfiguriert“. Ich nehme mal an, dass ich das Gerät zu früh aus dem lokalen AD gelöscht habe, und es dann durch Azure AD Connect zu einem ungünstigen Zeitpunkt (während oder kurz vor dem Neuaufsetzen) aus dem Azure AD gelöscht wurde. Auf jeden Fall blieb es immer in der Gruppe der Geräte, die zum lokalen AD hinzugefügt wird (schalt_autopilot_domjoined).

Am einfachsten löst man solche Probleme, indem man das Gerät vollständig aus Azure AD, Intune und Autopilot löscht und es neu importiert. Dies ist aber bei Geräten mit DFCI nicht so einfach, da sich DFCI nur bei von einem OEM oder Partner importierten Gerät konfigurieren lässt. Also habe ich versucht, das Problem selber zu lösen, ohne unseren Partner um einen neuen Import bitten zu müssen.

Über Powershell sieht man, dass die OrderID immer noch den Wert „domjoined“ enthält, obwohl er in Intune (Bild oben) nicht mehr angezeigt wird.

Get-MsolDevice -Name "Computername"

Mit der erhalten „ObjectId“ kann man dann mit Get-AzureAdDevice nochmals die Werte überprüfen. Auch hier wird die „falsche“ OrderId noch angegeben.

Get-AzureADDevice -ObjectId "ObjectId des Geräts" | fl

Ich habe nun alle Werte aus „DevicePhysicalIds“ kopiert und dann mit angepasstem Wert für „OrderId“ wieder gesetzt.

Kurz danach wurde dem Gerät das richtige Autopilot Deployment Profile zugewiesen und es liess sich erfolgreich ohne domain join aufsetzen.

Ich kann nicht mit Sicherheit sagen, was zu dem Problem führte, aber ich werde in Zukunft das Gerät erst aus dem lokalen AD löschen, wenn es erfolgreich neu aufgesetzt ist. Wahrscheinlich habe ich bei meinen vielen Tests mit Neuaufsetzen zu schnell alles gleichzeitig gemacht.