Runbooks

Hardware-Hash auslesen

Falls der Hash nicht vom OEM geliefert wurde, auf dem Zielgerät als Administrator ausführen:

Install-Script -Name Get-WindowsAutopilotInfo -Force
Get-WindowsAutopilotInfo -OutputFile C:\Temp\AutopilotHash.csv

CSV in Intune importieren

Intune Admin Center → Devices → Enrollment → Windows enrollment → Devices → Upload der CSV-Datei → Import bestätigen.

Sync auslösen

Nach dem Import auf „Sync” klicken. Ca. 5-15 Minuten warten, bis das Gerät erscheint.

Gruppenzuweisung prüfen

Sicherstellen, dass das Gerät der richtigen dynamischen Gruppe (z. B. DEV-WIN-Alle) zugewiesen ist und damit das korrekte Autopilot-Profil erhält.

Gerät an Benutzer übergeben

User startet OOBE → meldet sich mit Firmen-Account an → Autopilot-Profil wird automatisch angewendet → ESP läuft durch.

Gerät im Admin Center suchen

Intune Admin Center öffnen → Devices → All devices → Gerät suchen (Name, Seriennummer oder User).

Aktion wählen

Je nach Szenario die passende Aktion auswählen:

Aktion bestätigen

Bei Wipe erscheint eine zusätzliche Sicherheitsabfrage. Bestätigen und fortfahren.

Status überwachen

Devices → Gerät → Device actions → Status der Aktion verfolgen bis „Completed”.

Gerät auswählen

Intune Admin Center → Devices → All devices → Gerät auswählen.

Umbenennung durchführen

Oben auf „…” Menü klicken → „Rename” wählen → Neuen Namen eingeben.

Wichtig: Maximal 15 Zeichen (NetBIOS-Limitierung)!

Sync & Neustart abwarten

Das Gerät muss sich einmal synchronisieren und neu starten. Den User vorab informieren, dass ein Neustart erforderlich ist.

Gerät im Admin Center suchen

Intune Admin Center → Devices → All devices → Gerätename oder Seriennummer eingeben.

Compliance-Status prüfen

Tab „Device compliance” öffnen → fehlgeschlagene Compliance-Policy identifizieren.

Ursache anhand der Tabelle beheben

Sync forcieren

Auf dem Gerät → Einstellungen → Konten → Auf Arbeit oder Schule zugreifen → Info → Sync.

Compliance-Status erneut prüfen

Im Admin Center nach ca. 10 Minuten prüfen, ob das Gerät wieder „Compliant” ist.

App-Typ auswählen

Intune Admin Center → Apps → Windows → Add → Windows app (Win32) auswählen.

Paket hochladen

.intunewin-Datei auswählen und hochladen.

App-Informationen ausfüllen

• Name: [AppName]_[Version]_[Arch] (z. B. AdobeReader_2024.001_x64)
• Publisher, Description, etc. ausfüllen

Install/Uninstall-Commands konfigurieren

Install:   powershell.exe -ExecutionPolicy Bypass -File .\Install.ps1
Uninstall: powershell.exe -ExecutionPolicy Bypass -File .\Uninstall.ps1

• Install behavior: System (bei HKLM-Installationen) oder User
• Restart behavior: Based on return codes

Requirements festlegen

• OS Architecture: 64-bit
• Minimum OS: Windows 10 21H2

Detection Rule konfigurieren

Gemäß Packaging-Richtlinien:

• Bevorzugt: MSI Product Code oder File/Folder mit Versionsprüfung
• Nur im Notfall: Custom Detection Script

Dependencies & Supersedence prüfen

Ersetzt die App eine ältere Version? Falls ja, im Tab „Supersedence” die alte App referenzieren.

Assignments konfigurieren

Gemäß Deployment-Regeln:

• Required: Nur für Basis-Software und sicherheitskritische Apps
• Available: Im Company Portal zur Selbstinstallation
• Immer über Gruppen zuweisen — keine Direct Assignments!

Review + Create

Konfiguration prüfen und mit Create abschließen.

Install-Status im Admin Center prüfen

Intune Admin Center → Apps → App auswählen → Device install status → Gerät des Users identifizieren.

Error Code nachschlagen

Error Code notieren und in der Tabelle nachschlagen:

IME-Logs am Gerät analysieren

Remote-Session oder vor Ort zum Gerät verbinden. Log-Datei öffnen:

C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log

Log mit CMTrace öffnen und nach dem App-Namen oder Error Code filtern.

Korrektur durchführen und Retry auslösen

Nach Korrektur des Problems: Sync am Gerät auslösen oder im Admin Center „Retry” klicken.

Neues Paket erstellen und testen

Neues .intunewin-Paket für die neue Version erstellen und auf einem Test-Gerät validieren (Install + Uninstall + Detection).

Methode wählen: Supersedence oder In-Place

Bevorzugte Methode — App Supersedence:

• Neue App in Intune anlegen (siehe Runbook 2.1)
• Im Tab „Supersedence”: Die alte Version als ersetzt markieren
• Intune entfernt die alte Version automatisch und installiert die neue

Alternative — In-Place-Update:

• Bestehende App im Admin Center öffnen → Properties → Edit
• Neue .intunewin-Datei hochladen
• Detection Rule und Version anpassen
• Save → App wird bei nächstem Sync aktualisiert

Rollout überwachen

Apps → App-Name → Device install status prüfen. Sicherstellen, dass die neue Version auf allen Zielgeräten erfolgreich installiert wurde.

Gerät im Entra ID suchen

Entra ID Admin Center öffnen → Devices → All devices → Gerätename oder Seriennummer eingeben.

Recovery Keys öffnen

Gerät auswählen → Tab „Recovery keys” öffnen.

Key ID vom User erfragen

Die Key ID wird auf dem BitLocker-Wiederherstellungsbildschirm des Geräts angezeigt. User nach dieser ID fragen, um den passenden Key zu identifizieren.

Recovery Key herausgeben

Passenden 48-stelligen Recovery Key dem User mitteilen — nur telefonisch und nach Identitätsprüfung (Name, E-Mail, Personalnummer).

Erfolg bestätigen

User gibt den Key ein → Gerät startet. Das Gerät generiert automatisch einen neuen Recovery Key und speichert diesen in Entra ID.

Gerät im Entra ID suchen

Entra ID Admin Center → Devices → All devices → Gerät suchen.

LAPS-Passwort anzeigen

Tab „Local administrator password” öffnen → auf „Show local administrator password” klicken.

Passwort für Support-Sitzung verwenden

Passwort notieren und für die laufende Support-Sitzung verwenden.

Passwort-Rotation abwarten

Nach Abschluss der Sitzung wird das Passwort automatisch rotiert (Post-authentication action: Reset + Logoff, Standard nach 30 Tagen oder nach Nutzung).

Identität des Users verifizieren

Zwingend: Manager-Bestätigung oder persönliches Erscheinen mit Ausweiskontrolle. Niemals nur auf Basis eines Anrufs oder einer E-Mail.

Authentication Methods öffnen

Entra ID Admin Center → Users → User auswählen → Tab „Authentication methods”.

Bestehende MFA-Methoden löschen

Alte Telefonnummer, alte Authenticator-Registrierung und andere veraltete Methoden entfernen.

User zur Neuregistrierung auffordern

User meldet sich erneut an → MFA-Registrierung wird automatisch ausgelöst (durch Conditional Access CA-001).

User bei der Einrichtung begleiten

• Microsoft Authenticator App (bevorzugt — Push + Passwordless)
• FIDO2 Security Key (falls vom Kunden bereitgestellt)
• Telefonnummer (Fallback — nur SMS/Anruf)

Sicherstellen, dass mindestens 2 Authentifizierungsmethoden registriert werden.

Account sperren

Entra ID Admin Center → Users → User suchen → Properties → „Block sign in” → Yes → Save.

Alle aktiven Sessions invalidieren

# PowerShell (Microsoft Graph):
Revoke-MgUserSignInSession -UserId "user@domain.com"

Oder: Entra ID → User → „Revoke sessions”.

Geräte remote wipen

Intune Admin Center → Devices → Geräte des Users filtern → Für jedes Gerät: Wipe auslösen (siehe Runbook 1.2).

Lizenzen entziehen

User aus allen Lizenzgruppen entfernen (oder direkte Lizenz entziehen).

Drittsysteme sperren

Zugriff auf Systeme außerhalb des Single Sign-On manuell entziehen (ERP, CRM, etc.).

Revisionssicher dokumentieren

Alle Schritte mit Zeitstempel im Ticketsystem protokollieren. DSGVO / ISO 27001: Nachweis der vollständigen Rechtentziehung.

Credentials aus dem Tresor entnehmen

Passwort und FIDO2 Key aus dem physischen Tresor entnehmen. Vier-Augen-Prinzip — mindestens zwei autorisierte Personen.

Am Tenant anmelden

Anmeldung unter https://entra.microsoft.com mit dem Break-Glass Account.

Problem beheben

Z. B. fehlerhafte Conditional Access Policy deaktivieren oder korrigieren, MFA-Konfiguration reparieren, etc.

Session beenden & Key sichern

Session beenden, Browser-Cache leeren, Security Key zurück in den Tresor legen.

Dokumentation & Passwort-Rotation

Sofort dokumentieren:

• Grund der Nutzung
• Durchgeführte Änderungen
• Beteiligte Personen

Anschließend das Passwort rotieren.

Quality Updates öffnen

Intune Admin Center → Devices → Windows → Windows 10/11 quality updates.

Expedited Profile erstellen

Create profile → „Expedite quality updates” auswählen.

Update auswählen

Das spezifische KB auswählen, das beschleunigt installiert werden soll.

Zielgruppe zuweisen

Die betroffene Gerätegruppe(n) zuweisen (z. B. alle Windows-Geräte oder nur den Broad Ring).

Deadline setzen und bestätigen

Anzahl Tage bis zur erzwungenen Installation festlegen (Empfehlung: 1-2 Tage bei Zero-Day) → Create.

Update Ring öffnen

Intune Admin Center → Devices → Windows → Update rings for Windows 10 and later.

Betroffenen Ring auswählen

Den Ring auswählen, der pausiert werden soll (z. B. „1 - Pilot”).

Ring pausieren

Oben auf „Pause” klicken → Feature Updates oder Quality Updates auswählen.

Hinweis: Updates können maximal 35 Tage pausiert werden, danach erzwingt Windows die Installation.

Problem analysieren und Resume

Problem analysieren und nach Lösung die Pause über „Resume” aufheben.

Verbindung zum Connector-Server herstellen

Per RDP auf den Connector-Server verbinden.

Service-Status prüfen

# Intune Connector for AD:
Get-Service -Name "ODJConnectorSvc" | Select-Object Status, StartType
 
# Certificate Connector:
Get-Service -Name "IntuneCertificateConnector" | Select-Object Status, StartType

Service neustarten (falls gestoppt)

Restart-Service -Name "ODJConnectorSvc" -Force
# oder
Restart-Service -Name "IntuneCertificateConnector" -Force

Event Logs prüfen

# Certificate Connector Logs:
Get-WinEvent -LogName "Microsoft-Intune-CertificateConnectors/Operational" -MaxEvents 20
 
# Allgemeine Application Logs:
Get-WinEvent -LogName "Application" -MaxEvents 50 | Where-Object { $_.ProviderName -like "*Intune*" }

Netzwerk-Konnektivität testen

Ausgehend Port 443 zu den Intune-Endpoints prüfen:

Test-NetConnection -ComputerName "manage.microsoft.com" -Port 443
Test-NetConnection -ComputerName "login.microsoftonline.com" -Port 443

Sync-Fehler im Entra Connect Health prüfen

Entra ID Admin Center → Entra Connect → Connect Sync → Sync errors.

Fehler identifizieren und beheben

Delta-Sync manuell auslösen

Auf dem Entra Connect Server:

Start-ADSyncSyncCycle -PolicyType Delta

Ergebnis prüfen

Get-ADSyncConnectorRunStatus

Sicherstellen, dass der Sync-Lauf ohne Fehler abgeschlossen wurde.