Windows Autopilot Profile
Standard-Einrichtung für Windows Autopilot Deployments nach dem Concat Standard. Autopilot ersetzt das klassische OS-Deployment (Imaging, PXE, USB) vollständig — das Gerät konfiguriert sich beim ersten Einschalten automatisch.
Deployment-Modi im Vergleich
| Kriterium | User-driven (Standard) | Pre-provisioned (White Glove) | Self-deploying (Kiosk) |
|---|---|---|---|
| Use Case | Normales Mitarbeiter-Gerät | IT bereitet vor, User schließt ab | Shared Device, Kiosk, Konferenzraum |
| User Affinity | Ja (1:1 Zuordnung) | Ja | Nein |
| Wer startet? | User (OOBE) | IT (5x Windows-Taste) → User | Gerät (vollautomatisch) |
| TPM Attestation | Nicht erforderlich | Erforderlich | Erforderlich |
| Eignung für Home-Office | ✅ Ja | ❌ Nein (IT braucht Zugriff) | ❌ Nein |
| Concat Standard | ✅ Regelfall | ⚠️ Bei Bedarf | ⚠️ Nur für Kiosk/Shared |
User-driven (Standard)
User-driven — Concat Standard
Der Regelfall für alle normalen Mitarbeiter-Geräte (1:1 Zuweisung). Der User erhält das Gerät, schaltet es ein, meldet sich an — fertig.
Autopilot-Flow
Profil-Einstellungen
| Einstellung | Wert | BegrĂĽndung |
|---|---|---|
| Deployment Mode | User-driven | User meldet sich selbst an |
| Join Type | Entra ID joined | Cloud-native (kein Hybrid) |
| OOBE: Privacy | Überspringen | Kein User-Input nötig |
| OOBE: License | Ăśberspringen | Automatisch akzeptiert |
| OOBE: Cortana | Ăśberspringen | Nicht relevant |
| Account Type | Standard (kein Admin) | Kein lokaler Admin |
| Naming Template | MW-%SERIAL% | Max. 15 Zeichen (NetBIOS-Limit) |
| Allow Pre-provisioning | Ja | Erlaubt White Glove bei Bedarf |
| Language | OS-Default | User wählt Sprache im OOBE |
Profil erstellen
Intune Admin Center → Devices → Enrollment → Windows Autopilot deployment profiles → Create profile → Windows PC.
Einstellungen konfigurieren
Alle Werte gemäß der obigen Tabelle setzen. Name: AP-UserDriven-Standard.
Zielgruppe zuweisen
Dem Profil die Gruppe DEV-WIN-Autopilot-Standard zuweisen (dynamische Gerätegruppe aller importierten Autopilot-Geräte).
Hardware-Hash importieren
OEM liefert die Hardware-Hashes (CSV) → Intune → Devices → Enrollment → Windows enrollment → Devices → Import → CSV hochladen.
Enrollment Status Page (ESP)
Die ESP zeigt dem User (oder der IT bei White Glove) den Fortschritt der Geräteeinrichtung an und blockiert den Zugriff auf den Desktop, bis kritische Apps und Policies installiert sind.
ESP-Einstellungen (Concat Standard)
| Einstellung | Wert | BegrĂĽndung |
|---|---|---|
| Show app and profile configuration progress | Ja | User sieht Fortschritt |
| Block device use until required apps are installed | Ja — nur kritische Apps | Nicht alle Apps blockierend! |
| Timeout | 60 Minuten | Puffer fĂĽr langsame Verbindungen |
| Allow users to reset device | Ja | User kann bei Problemen neu starten |
| Allow users to collect logs | Ja | Erleichtert Troubleshooting |
| Show error when timeout | Ja | Klare Fehlermeldung statt Endlosschleife |
Welche Apps blockierend auf der ESP?
| App | Blockierend? | BegrĂĽndung |
|---|---|---|
| VPN-Client | âś… Ja | Netzwerkzugriff erforderlich |
| Security Agent (Defender) | âś… Ja | Schutz ab dem ersten Moment |
| LAPS Deployment | âś… Ja | Admin-Passwort muss im Entra ID sein |
| Company Portal | ❌ Nein | Wird im Hintergrund nachinstalliert |
| Microsoft 365 Apps | ❌ Nein | Dauert zu lange, User kann Teams Web nutzen |
| Adobe Reader | ❌ Nein | Nicht kritisch für den ersten Start |
App-Typen niemals mischen! Auf der ESP dĂĽrfen ausschlieĂźlich Win32-Apps (.intunewin) installiert werden. Das Mischen von Win32 und LOB-Apps (.msi) fĂĽhrt zu Trusted Installer Konflikten und Autopilot-Timeouts. Siehe ADR-002.
Hardware-Hash Management
Optionen fĂĽr den Hash-Import
| Methode | Wann? | Details |
|---|---|---|
| OEM-Registrierung | Concat Standard — Neugeräte | OEM (Dell, HP, Lenovo) importiert Hashes direkt in den Kunden-Tenant |
| CSV-Import (manuell) | Bestehende Geräte | Hash auf dem Gerät auslesen und in Intune importieren |
| Partner Center | CSP-Partner | Über das Microsoft Partner Center Geräte registrieren |
Hash manuell auslesen
# Auf dem Gerät als Administrator:
Install-Script -Name Get-WindowsAutopilotInfo -Force
Get-WindowsAutopilotInfo -OutputFile "C:\temp\autopilot-hash.csv"
# Direkt in den Tenant hochladen (ohne CSV):
Get-WindowsAutopilotInfo -OnlineOEM-Registrierung bevorzugen! Mit autorisierten Resellern (Dell, HP, Lenovo, etc.) vereinbaren, dass die Hashes direkt beim Kauf in den Kunden-Tenant importiert werden. So kann das Gerät per Post an den User geschickt werden — Zero-Touch.
Querverweise
| Thema | Verwandte Seite |
|---|---|
| Konfigurationsprofile (BitLocker, WHfB, KFM) | Konfiguration |
| Autopilot Troubleshooting | Troubleshooting 1.1-1.4 |
| Neues Gerät registrieren | Runbook 1.1 |
| Win32 Packaging (fĂĽr ESP) | Packaging-Richtlinien |
Namenskonvention (MW-%SERIAL%) | Naming Conventions |
| Go-Live PrĂĽfung ESP | Go-Live Checkliste Punkt 2.3 |