Azure, Intune (Education) und Autopilot
Liebe Profis,
als Hobby-Admin (Lehrer) möchte ich für die Schule Azure einrichten und Intune mit Autopilot konfigurieren bzw. in Betrieb nehmen. Mein Vorgänger hat mit Unterstützung eines Elternteils(?) schon einiges konfiguriert. Das vorweg für - vielleicht - dümmliche Fragen.
Es ist mir gelungen, den Hash eines bestehenden Laptops auszulesen und in Intune einzulesen. Weiterhin verlief eine Windows-Neuinstallation (per Stick mit dem Media Creation Tool) an diesem Laptop erfolgreich und im Laufe der Installation wurde u.a. Windows-Key, WLAN abgefragt und nach der Eingabe wurde per Autopilot der Rechner fertig installiert.
1. Ich möchte nun zum einen einen Windows-Installations-Stick erstellen, der unattended läuft, div. Eingaben (Region... WLAN) sollten also automatisiert erfolgen, da ich über 100 Laptops zur Azure-Integration neuinstallieren möchte. Wie mache ich das - womit erstelle ich einen solchen Stick bzw. welche Angaben sind nötig? Erste Versuche mit einer unattended.xml-Datei ließen zwar die Windows-Installation silent durchlaufen, doch das Gerät war dann nicht von Intune erfasst...
2. Mein Test-Laptop werde ich so mehrfach wiederherstellen (müssen). Wie erreiche ich, dass automatisch jedesmal die Auto-Pilot-Einrichtung durchlaufen wird? (oder passiert das immer, wenn die unattended.xml richtig konfiguriert ist?)
3. In Intune habe ich eine Gruppe "All Devices" (die gab es schon, vermutlich systemseitig automatisch erstellt und eine "Laptop"-Gruppe (mein Test-Laptop ist da Mitglied), die ich erstellt habe. Ich möchte nun die Geräterichtlinien der Gruppe Laptop modifizieren. Ist es sinnvoll dies über eine solche separate Gruppe zu konfigurieren, denn ich möchte ungern die default-Einstellungen von AllDevices ändern.
4. Generell: Ich habe die Einstellungsvielfalt von Azure, dann der Endpoint-Manager - und darin findet sich dann der Endpoint Manager for Education. Womit sollte ich denn sinnvollerweise arbeiten? Allein schon die Vielfalt von Einstellungen (natürlich bei vielen Überschneidungen) macht das alles ziemlich unübersichtlich...
Danke für jede Unterstützung.
charly
als Hobby-Admin (Lehrer) möchte ich für die Schule Azure einrichten und Intune mit Autopilot konfigurieren bzw. in Betrieb nehmen. Mein Vorgänger hat mit Unterstützung eines Elternteils(?) schon einiges konfiguriert. Das vorweg für - vielleicht - dümmliche Fragen.
Es ist mir gelungen, den Hash eines bestehenden Laptops auszulesen und in Intune einzulesen. Weiterhin verlief eine Windows-Neuinstallation (per Stick mit dem Media Creation Tool) an diesem Laptop erfolgreich und im Laufe der Installation wurde u.a. Windows-Key, WLAN abgefragt und nach der Eingabe wurde per Autopilot der Rechner fertig installiert.
1. Ich möchte nun zum einen einen Windows-Installations-Stick erstellen, der unattended läuft, div. Eingaben (Region... WLAN) sollten also automatisiert erfolgen, da ich über 100 Laptops zur Azure-Integration neuinstallieren möchte. Wie mache ich das - womit erstelle ich einen solchen Stick bzw. welche Angaben sind nötig? Erste Versuche mit einer unattended.xml-Datei ließen zwar die Windows-Installation silent durchlaufen, doch das Gerät war dann nicht von Intune erfasst...
2. Mein Test-Laptop werde ich so mehrfach wiederherstellen (müssen). Wie erreiche ich, dass automatisch jedesmal die Auto-Pilot-Einrichtung durchlaufen wird? (oder passiert das immer, wenn die unattended.xml richtig konfiguriert ist?)
3. In Intune habe ich eine Gruppe "All Devices" (die gab es schon, vermutlich systemseitig automatisch erstellt und eine "Laptop"-Gruppe (mein Test-Laptop ist da Mitglied), die ich erstellt habe. Ich möchte nun die Geräterichtlinien der Gruppe Laptop modifizieren. Ist es sinnvoll dies über eine solche separate Gruppe zu konfigurieren, denn ich möchte ungern die default-Einstellungen von AllDevices ändern.
4. Generell: Ich habe die Einstellungsvielfalt von Azure, dann der Endpoint-Manager - und darin findet sich dann der Endpoint Manager for Education. Womit sollte ich denn sinnvollerweise arbeiten? Allein schon die Vielfalt von Einstellungen (natürlich bei vielen Überschneidungen) macht das alles ziemlich unübersichtlich...
Danke für jede Unterstützung.
charly
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4815820627
Url: https://administrator.de/contentid/4815820627
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
vorne weg: Ich habe keinen Zugriff auf Intune for Education, daher kann ich diesen Part nicht bewerten.
Außerdem bitte prüfen, ob die DNS-Einträge für Intune sauber gesetzt sind -> https://learn.microsoft.com/de-de/mem/intune/fundamentals/custom-domain- ...
Zu 1)
Region, WLAN etc. kannst Du komplett via Intune-Policies abwicklen. Du brauchst auch eigentlich keine uanttended.xml
Normalerweise nutzt man Intune wie folgt:
1. Du benötigst den HW-Hash des Laptops, damit dieser von Intune erfasst werden kann.
Jedes Windows 10 Pro / Enterprise Gerät (egal wo gekauft) hat eine sogenannte "OOBE" (out of the box experince" installiert. Diese prüft bei jeder Windows 10 Pro / Enterprise Installation, ob der HW-Hash in irgendeinem Tenant dieser Welt registriert ist (logischerweise muss das Device somit ab Boot Internetzugriff besitzten)
Wenn der Hash gefunden wird, werden alle dortig zugewiesenen Policies, Apps etc. übernommen und angwendet. Damit ist ein "zu Intune hinzufügen" nach Installation obsolet (Vorsicht: Wenn du ein lokales AD samt AD-Connect im Betrieb hast, muss du ein Intune Device Connector zusätzlich aufbauen, damit ein Offline-AD-Join-Blob generiert werden kann -> https://learn.microsoft.com/de-de/mem/autopilot/windows-autopilot-hybrid ..)
Um an diesen HW-Hash zu kommen, musst Du normalerweise die komplette Win-10 Installation einmal durchklicken und dann ein PowerShell ausführen. Geht auch ohne Installation, siehe https://www.thelazyadministrator.com/2020/01/27/get-a-new-computers-auto ...
Mit den richtigen Herstellern, kannst Du diesen Schritt sogar vom Hersteller erledigen lassen, siehe https://learn.microsoft.com/de-de/mem/autopilot/pre-provision
2. Den erstellten HW-Hash in Intune hochladen, siehe https://learn.microsoft.com/en-us/mem/autopilot/add-devices
3. Gerät in Gruppe aufnehmen, lässt sich mit dynamischen Gruppen automatisieren, siehe https://learn.microsoft.com/en-us/mem/intune/fundamentals/groups-add
4. Dem User das Gerät aushändigen, es erscheint (wenn HW-ID korrekt hinterlegt und gefunden) eine Anmeldemaske wo sich der User mit seinen Creds anmeldet und entsprechende Policies & Apps bekommt.
4.1 OOBE Einstellungen in Intune prüfen und anpassen, ob z.B. ein User den Installationsprozess von Policies & Apps überspringen darf etc.
Zu 2)
Siehe 1. Wenn du ein bereits ausgerolltes System hast, dann setzte dieses einfach über Windows zurück. Zusätzlich musst die die Registrierung in Intune entfernen und den AutoPilot resetten. Siehe https://learn.microsoft.com/en-us/mem/intune/user-help/reset-device-comp ...
Zu 3)
Ja, arbeite mit Testgruppen. Ist Best-Practice.
Zu 4)
Wie vorab gesagt, ich habe leider kein Zugriff auf Intune for Education.
vorne weg: Ich habe keinen Zugriff auf Intune for Education, daher kann ich diesen Part nicht bewerten.
Außerdem bitte prüfen, ob die DNS-Einträge für Intune sauber gesetzt sind -> https://learn.microsoft.com/de-de/mem/intune/fundamentals/custom-domain- ...
Zu 1)
Region, WLAN etc. kannst Du komplett via Intune-Policies abwicklen. Du brauchst auch eigentlich keine uanttended.xml
Normalerweise nutzt man Intune wie folgt:
1. Du benötigst den HW-Hash des Laptops, damit dieser von Intune erfasst werden kann.
Jedes Windows 10 Pro / Enterprise Gerät (egal wo gekauft) hat eine sogenannte "OOBE" (out of the box experince" installiert. Diese prüft bei jeder Windows 10 Pro / Enterprise Installation, ob der HW-Hash in irgendeinem Tenant dieser Welt registriert ist (logischerweise muss das Device somit ab Boot Internetzugriff besitzten)
Wenn der Hash gefunden wird, werden alle dortig zugewiesenen Policies, Apps etc. übernommen und angwendet. Damit ist ein "zu Intune hinzufügen" nach Installation obsolet (Vorsicht: Wenn du ein lokales AD samt AD-Connect im Betrieb hast, muss du ein Intune Device Connector zusätzlich aufbauen, damit ein Offline-AD-Join-Blob generiert werden kann -> https://learn.microsoft.com/de-de/mem/autopilot/windows-autopilot-hybrid ..)
Um an diesen HW-Hash zu kommen, musst Du normalerweise die komplette Win-10 Installation einmal durchklicken und dann ein PowerShell ausführen. Geht auch ohne Installation, siehe https://www.thelazyadministrator.com/2020/01/27/get-a-new-computers-auto ...
Mit den richtigen Herstellern, kannst Du diesen Schritt sogar vom Hersteller erledigen lassen, siehe https://learn.microsoft.com/de-de/mem/autopilot/pre-provision
2. Den erstellten HW-Hash in Intune hochladen, siehe https://learn.microsoft.com/en-us/mem/autopilot/add-devices
3. Gerät in Gruppe aufnehmen, lässt sich mit dynamischen Gruppen automatisieren, siehe https://learn.microsoft.com/en-us/mem/intune/fundamentals/groups-add
4. Dem User das Gerät aushändigen, es erscheint (wenn HW-ID korrekt hinterlegt und gefunden) eine Anmeldemaske wo sich der User mit seinen Creds anmeldet und entsprechende Policies & Apps bekommt.
4.1 OOBE Einstellungen in Intune prüfen und anpassen, ob z.B. ein User den Installationsprozess von Policies & Apps überspringen darf etc.
Zu 2)
Siehe 1. Wenn du ein bereits ausgerolltes System hast, dann setzte dieses einfach über Windows zurück. Zusätzlich musst die die Registrierung in Intune entfernen und den AutoPilot resetten. Siehe https://learn.microsoft.com/en-us/mem/intune/user-help/reset-device-comp ...
Zu 3)
Ja, arbeite mit Testgruppen. Ist Best-Practice.
Zu 4)
Wie vorab gesagt, ich habe leider kein Zugriff auf Intune for Education.
Guten Morgen,
zu 4.: Intune for Education ist im Prinzip nur eine abgespeckte Version des regulären Intune. Du kannst da, so wie ich das sehe, z.B. keine Konfigurationsprofile anlegen, um Zertifikate/WLAN zu verteilen oder z.B. den Zugriff auf die Einstellungen einzuschränken. Zudem tauchen (zumindest bei mir) auch die fully managed Android-Geräte nicht auf, nur Windows. Die Geräte aus dem normalen Intune werden auch in Intune for Education angezeigt - ich würde (abhängig vom gewünschten Funktionsumfang) lieber das normale Intune nehmen, schon allein wegen des deutlich mächtigeren Funktionsumfangs. In Intune for Education gibt es aber (im Gegensatz zum normalen Intune) den School Data Sync - falls ihr da also einen Anbieter für sowas habt, der die Schnittstelle unterstützt, muss man zumindest dafür dann dort rein.
zu 4.: Intune for Education ist im Prinzip nur eine abgespeckte Version des regulären Intune. Du kannst da, so wie ich das sehe, z.B. keine Konfigurationsprofile anlegen, um Zertifikate/WLAN zu verteilen oder z.B. den Zugriff auf die Einstellungen einzuschränken. Zudem tauchen (zumindest bei mir) auch die fully managed Android-Geräte nicht auf, nur Windows. Die Geräte aus dem normalen Intune werden auch in Intune for Education angezeigt - ich würde (abhängig vom gewünschten Funktionsumfang) lieber das normale Intune nehmen, schon allein wegen des deutlich mächtigeren Funktionsumfangs. In Intune for Education gibt es aber (im Gegensatz zum normalen Intune) den School Data Sync - falls ihr da also einen Anbieter für sowas habt, der die Schnittstelle unterstützt, muss man zumindest dafür dann dort rein.
Guten Morgen
Intune for Edu ist ein vereinfachter EndpointManager.
Dort findest Du einiges (brauchbares)
Intune for Edu ist ein vereinfachter EndpointManager.
Dort findest Du einiges (brauchbares)