Mittels Einrichtung vom AutoPilot Hybrid Join haben wir die Möglichkeit unsere Windows 10 Clients automatisiert mit Applikationen und Richtlinien beim Deployment zu betanken.
Dabei können wir auf die reine Administration in der Cloud durch Intune setzen oder aber wir möchten ein Hybrides Modell anwenden, um auch weiterhin die Nutzung von lokalen Gruppenrichtlinien zu ermöglichen.
In diesem Beitrag zeige ich Dir, wie Du Deine Infrastruktur für den AutoPilot Hybrid Join vorbereiten und einrichten kannst.
Einrichtung vom AutoPilot Hybrid Join: Welche Voraussetzungen habe ich?
Die offiziellen Voraussetzung sind in den Microsoft Docs nachzulesen (Link dazu hier).
Für uns sind folgende Aspekte dabei wichtig:
Sollten Dir nicht bekannt sein, wo Du die jeweiligen Punkte einrichtest ist dies kein Problem - auch darauf gehen wir entsprechend in diesem Beitrag ein! 🙂
Aktivierung der MDM-URLs
Im Intune müssen wir unter dem Punkt des Windows Enrollments nachschauen, ob die MDM-URLs für das automatische Deployment aktiviert sind:
Dort sollte dann die MDM-URL entweder auf Alle stehen oder aber zumindest einer Gruppe zugeordnet sein, in der unsere Nutzer hinterlegt sind.
Dies berechtigt Sie dazu, beim späteren Starten des Windows Clients am AutoPilot Enrollment teilzunehmen.
Einrichtung vom AutoPilot Hybrid Join: Einrichtung Azure AD Connect Hybrid Join
Nachdem die URLs aktiv sind, muss der Azure AD Connect installiert und die Option zum Geräte-Schreiben aktiviert werden.
Wenn bereits der Azure AD Connect installiert ist, öffnen wir diesen nochmal und wählen die Option Geräteoptionen konfigurieren aus.
Das nächste Fenster bestätigen wir mit einem Klick auf Weiter und geben im nächsten Fenster die Zugangsdaten eines globalen Administrator ein
Als nächstes wählen wir die Option Hybrid-Azure AD-Einbindung konfigurieren aus und bestätigen den Punkt für "in die Domäne eingebundene Geräte mit Windows 10 und höher".
Im letzten Punkt setzen wir noch den Service Connection Point (kurz: SCP), damit unsere Geräte beim Deployment die entsprechenden Mandanteninformationen erhalten:
Als letztes Bestätigen wir noch die Einstellungen durch einen Klick auf Konfigurieren. Danach müssen wir noch weitere Konfigurationen durchführen, jedoch sind diese an anderen Stellen festzulegen.
Einrichtung vom AutoPilot Hybrid Join: Einrichtung des Intune Hybrid Connectors
Als nächstes installieren wir den Intune Hybrid Connector.
Dieser muss - wie in den Voraussetzung geschrieben - auf einem Windows Server 2016 installiert sein, eine Verbindung zum Internet haben und in der Lage sein mit dem lokalen Domain Controller zu sprechen.
Den Intune Connector laden wir uns aus dem Intune Portal herunter. Zu finden ist dieser unter Devices > Device Enrollment > Windows Enrollment > Intune Connector for Active Directory
Wenn wir den Menüpunkt ausgewählt haben, können wir über einen Klick auf das "+"-Symbol den Connector herunterladen.
Der Connector wird dann auf dem Windows Server 2016 von uns installiert und nachdem wir die Installation durchgeführt haben, müssen wir uns mit einem (Service-)Account anmelden, der entweder globaler Administrator oder Intune Service-Administrator ist und über eine aktive Intune Lizenz verfügt.
1. Installation Intune Connector for Active Directory
2. Konfiguration Intune Connector
3. Login zum Intune Connector
4. Bestätigung über erfolgreiche Registrierung
Nach einer gewissen Synchronisierungsdauer wird uns der Connector mit seiner aktiven Verbindung im Intune Portal angezeigt
Schreibzugriff im lokalen Active Directory anlegen
Als nächstes müssen wir eine separate Organisationseinheit (kurz: OU) im lokalen Active Directory einrichten.
Dort werden unsere Geräte nach dem Ausführen des AutoPilot Hybrid Joins hinterlegt.
Wir müssen auch eine Objektverwaltung eintragen. Dort hinterlegen wir den Server, auf dem wir unseren Intune Connector installiert haben.
Wenn wir den Server hinzugefügt haben, bestätigen wir dies mit einem Klick auf "Weiter".
Im nächsten Menüpunkt wählen wir die Option "Benutzerdefinierte Aufgabe zum Zuweisen erstellen" aus aktivieren die Computer-Objekte.
Zusätzlich kommen noch folgende Berechtigungen hinzu:
Danach setzen wir noch die Berechtigungen und wählen den Vollzugriff aus.
Danach Bestätigen wir die Konfiguration abschließend und sind auch an dieser Stelle zunächst fertig.
Anlegen einer Domain Join Einstellung und des AutoPilot Profils
Als nächstes müssen wir im Intune Portal eine Konfigurationsrichtlinie für den Domain Join anlegen.
Die Richtlinie finden wir unter Geräte > Konfigurationsprofile > +-Symbol > Templates > Domain Join.
Dort geben wir dann den Computer-Präfix, den Domänen-Namen und optional unsere OU an, wo die Windows Clients dauerhaft liegen sollen.
Wenn wir keine spezifische OU für die Clients angeben, landen diese in der Default Computer OU.
Danach weißen wir die Richtlinie entweder allen Geräten oder einzelnen Gruppen zu.
Anlage des AutoPilot Profils
Bei der Anlage des AutoPilot Profils vergeben wir zunächst einen Namen und wählen aus, ob alle Geräte, die dieses Profil erhalten innerhalb der nächsten 48 Stunden in AutoPilot Geräte konvertiert werden sollen.
Dadurch können wir bereits im Umlauf befindliche Geräte bei Bedarf zurück setzen und nochmal neu über das AutoPilot ausrollen.
Folgende Einstellungen werden wir dann bei den Einstellungen für das Profil anwenden:
Die restlichen Einstellungen können wir auf "Hide" setzen und auf Wunsch aktivieren wir noch den White-Glove-Modus.
Bei den Account-Einstellungen würden wir standardmäßig als Account-Typen nicht den Administrator nehmen - es sei denn es ist explizit so vorgesehen.
Danach muss das Profil nur noch unseren Gruppen zugeordnet werden.
Testen der Bereitstellung
Nach der Zuweisung können wir den Rollout des Gerätes als nächstes Testen. Dazu melden wir uns mit einem unserer User, der über eine Intune Lizenz verfügt, an einem Windows 10 Client an.
Nach erfolgreichen Enrollment erhält der Client ein Computer-Konto im lokalen AD und entsprechend einen Eintrag im Intune Portal.
Fazit und Blog
Ich hoffe Dir damit gezeigt zu haben, wie Du ein AutoPilot Hybrid Deployment mit Microsoft Intune bereitstellst.
Schau dir doch auch die anderen Tutorials und Tipps an, die wir bereits auf unserem Blog geteilt haben. Wir sind stets bemüht, die aktuellsten Themen und Fragestellungen zu beantworten, um dich bei der Arbeit mit Microsoft Intune und anderen Microsoft 365 Produkten zu unterstützen!
Windows AutoPilot ist eine Deployment-Möglichkeit von Microsoft Intune, mit denen Du neue Geräte einrichten und konfigurieren kannst, um sie auf den produktiven Einsatz vorzubereiten. Mit Windows AutoPilot kannst Du auch Geräte zurücksetzen, wiederverwenden und erneut ausrollen. AutoPilot ermöglicht es einer IT-Abteilung mit einfachen administrativen Tätigkeiten die Endgeräte der Mitarbeiter zu verwalten. AutoPilot einrichten und konfigurieren Nutzen weiter lesen…
Mittels Einrichtung vom AutoPilot Hybrid Join haben wir die Möglichkeit unsere Windows 10 Clients automatisiert mit Applikationen und Richtlinien beim Deployment zu betanken.Dabei können wir auf die reine Administration in der Cloud durch Intune setzen oder aber wir möchten ein Hybrides Modell anwenden, um auch weiterhin die Nutzung von lokalen Gruppenrichtlinien zu ermöglichen.In diesem Beitrag weiter lesen…
Intune – mehrere AutoPilot Profile verwenden: Vielleicht möchten oder können wir nicht nur ein AutoPilot Profil nutzen, dass wir auf alle Windows Clients anwenden, sondern wollen beim Deployment der Endgeräte gerne verschiedene Rollout-Pakete schnüren und diese z.B.: nach Standorten oder Abteilungen aufteilen.Ein Weg dies zu ermöglichen ist die Anwendung von dynamischen Gruppen und angepassten Hardware-IDs.Wie weiter lesen…
Hallo Aaron,
danke für die Anleitung sie ist sehr Interessant und hilft mir weiter!
Was ist unter “Anlage des AutoPilot Profils” mit:
“Dadurch können wir bereits im Umlauf befindliche Geräte bei Bedarf zurück setzen und nochmal neu über das AutoPilot ausrollen.” gemeint?
Beim “Zurück setzen” bin ich überfordert… ist damit eine Neuinstallation vom Gerät gemeint, ODER dass das Gerät einfach neu im Intune und neu im Active Directory angelegt wird?
Wir haben viele Geräte die vom AD ins Intune Synchronisiert wurden (allerdings ohne Anbindung in den Autopilot, was wir aktuell einführen)
Kannst du mir das kurz detailierter erklären?
Vielen Dank im Voraus!
Mit freundlichen Grüßen,
Volker
Hallo Volker,
mit der von Dir genannten Funktion können wir Geräte für den AutoPilot-Modus vorbereiten, ohne das wir deren Hardware-ID auslesen müssen.
Und beim “Zurück setzen” ist die Neuinstallation des Gerätes gemeint.
Wenn Du eine ausführlichere Antwort haben möchtest, schreib mir gerne eine Mail.
Beste Grüße,
Aaron
Hallo!
Danke für die schnelle Antwort.
Ich habe es mittlerweile mit dem AutoPilot hinbekommen. Allerdings funktioniert das Profil Domain Join nicht. Als Status-Meldung erhalte ich beim AutoPilot PC “nicht zutreffend”. Ohne sonstige Fehler hinweise.
Die Gruppe, die ich dem Domain Join-Profil Zugewiesen habe ist nicht im Besitz irgend einer Administratoren-Rolle, kann es daran liegen? Es handelt sich um eine einfache Sicherheits-Gruppe mit dem Besitzer als Mitglied.
Vielen dank für die Hilfe!
Mit freundlichen Grüßen,
Volker
Hallo Volker,
an den Administrator-Berechtigungen wird es nicht liegen.
Für die weitere Unterstützung müsste ich mir Deine Umgebung und Konfiguration mal anschauen.
Du kannst Dich gerne via Mail an aaron@siller.consulting melden.
Beste Grüße,
Aaron
We are in the process of setting up Autopilot for our Organization. The enrollment profile and domain join profiles are created. After the enrollment the machine is attached to the workgroup but no to our domain.
The Domain join policy shows that is not applicable.
Any suggestions?