Windows Autopilot? Flugzeug, Schiff und Auto

Windows Autopilot? Flugzeug, Schiff und Auto​Willkommen zu unserem ersten Blog Beitrag aus der TwinCap 100% Cloud Blog-Serie.

Das Thema: Windows Autopilot.
Überall ist über das Thema zu lesen, doch was bedeutet das eigentlich und wie kann das ein Schweizer KMU ohne grosse interne IT Ressourcen nutzen?

Flugzeug, Schiff und Auto ist ja ok, aber warum brauchts den Windows Autopilot?

Ganz einfach, damit das Windows 10 Gerät beim Installieren selbst nach Hause findet.

Vereinfacht gesagt, soll ein Windows 10 Gerät beim OOBE Setup (out of the box experience) und einer aktiven Netzwerkverbindung wissen, zu welcher  Firma (sprich Azure AD Tenant) es gehört und was es machen soll, wenn sich ein Benutzer dieser Firma das erste Mal während der OOBE Phase anmeldet.

Hier sprechen wir von einem sogenannten User-Driven Autopilot Deployment und ich werde weiter unten darauf eingehen. Neu und aktuell im Preview gibt es ein Self-Deploying, bei welchem auf den zweiten Schritt der Benutzeranmeldung verzichtet werden kann. Das Gerät wird hier automatisch im zugehörigen Azure AD und der konfigurierten MDM Lösung registriert.

Zurück zum User-Driven Autopilot. Das Gerät zeigt dem Benutzer während des OOBE Setups eine Login-Maske der eigenen Firma an. Nach erfolgter Anmeldung des Benutzers wird dieses automatisch «Azure AD joined», im Intune registriert und die zugewiesenen Profile werden appliziert und Applikationen werden installiert. Ready…

Windows Autopilot

Anmeldung mit dem Benutzerkonto

Windows Autopilot

Gerät bleibt gesperrt bis alle Sicherheitsrichtlinien appliziert wurden und die Mandatory-Apps installiert wurden

Windows Autopilot

Ready… Benutzer kann arbeiten.

Ok, aber so was macht meine IT Abteilung heute ja auch schon?

Genau, aber die Idee ist ja nun, dass eben nicht mehr die IT Abteilung dies machen muss, sondern der Endbenutzer dies selbst machen kann. Zweitens soll das Windows 10 Gerät selbst nicht mehr zwingend in der IT Abteilung vorbeimüssen, sondern der Endbenutzer kann dies bequem, von jedem beliebigen Ort aus, mit einer aktiven Internetverbindung, selber durchführen. Bedeutet auch, dass das Gerät eigentlich vom Hersteller oder Distributor direkt an den Endbenutzer oder die Aussenstelle versendet werden kann.

Schauen wir uns doch den heutigen «altbewährten» Prozess kurz an:

Windows Autopilot

Mit Windows Autopilot kann der Schritt über die interne IT Abteilung ausgelassen werden. Der Hersteller / Distributor kann das neue Geräte direkt im Tenant des jeweiligen Kunden registrieren und das Gerät direkt dem Endbenutzer im In- oder Ausland zustellen:

Windows Autopilot

Optimal für Firmen beliebiger Grösse, welche Aussendienstmitarbeiter, Consultants usw. oder kleinere Offices ohne IT vor Ort haben. Der zusätzliche Schritt über die interne IT entfällt.

Wenn ich jetzt aber nur so wenig Geräte bestelle, dass der Hersteller mir keinen Autopilot Support anbietet?

Aktuell bieten nicht alle Hersteller Autopilot Support. Und auch diese nur für eine gewissen Anzahl bestellter Geräte. Hier kommt der lokale Distributor wie zum Beispiel Brack.ch ins Spiel.

Sie erstellen selbst oder lassen durch uns ein Autopilot-spezifisches Powershell-Script erstellen, welches auf einem neuen Gerät im Admin-Mode während der OOBE Phase ausgeführt werden kann, und die gewünschten Autopilot Informationen direkt in ihren Tenant schreibt. Für einen Aufpreis wird ihr Distributor die neuen Geräte für sie öffnen, das Powershell-Script ausführen und das Gerät an den Endbenutzer senden. Voila…

Gut, was habe ich sonst noch für Vorteile?

Im Vergleich zu einer normalen OOBE Setup Phase eines Windows 10 Gerätes, bietet Windows Autopilot vor allem folgende Vorteile:

  • Administrative Rechte können gesteuert werden: Bei einem normalen «Azure AD join» ist der aktuelle Benutzer immer auch lokaler Administrator
  • Account Optionen nicht anzeigen, sondern nur den Azure AD join mit einem Benutzerkonto der Firma erlauben. Normalerweise kann ein Standard Windows 10 OOBE Setup über folgende Pfade abgeschlossen werden:
    – Es wird ein lokaler Account erstellt und verwendet (Windows 10 standalone)
    – Ein «Active Directory join» wird durchgeführt (Windows domain joined)
    – Ein «Azure AD join» wird durchgeführt (Azure AD joined)
  • Gerät sperren, bis die Konfiguration abgeschlossen ist. Nach der Benutzeranmeldung wird das Gerät gesperrt bis alle Firmenpolicies appliziert sind und alle Mandatory-Apps installiert wurden.
Windows Autopilot

Aha, wenn ich das Setup schon dem Benutzer delegiere, könnte er auch Admin-Rechte haben?

Stimmt und ja, unterstützen wir voll und ganz! Die Kunst besteht darin, dass 100% Cloud Client Setup so zu konfigurieren, dass der Benutzer jederzeit sein Gerät wieder zurücksetzen kann (Windows 10 Reset) und im Anschluss wieder beim Autopilot Setup landet.
Dadurch erhält er wieder einen Standard Windows 10 Client «out-of-the-Box», inkl. persönlicher Daten, Drucker, Applikationen usw.

Das tönt interessant, wo starte ich?

Nehmen Sie Kontakt mit uns auf. Wir beraten Sie gerne über alle nötigen Schritte und Lizenzen, um mit Ihrem spezifischen Autopilot Setup starten zu können…

Nächster Blog in unserer 100% Cloud Serie: Der TwinCap 100% Cloud Client.

Teile unseren Blog!