Tag: Microsoft 365

  • Remote Device Management: Herausforderungen & Lösungen mit Intune

    Remote Device Management spielt in Zeiten hybrider und verteilter Arbeitsmodelle eine immer wichtigere Rolle. Mit Microsoft Intune steht Unternehmen eine leistungsstarke Lösung zur Verfügung, um mobile Endgeräte und Desktops zentral zu verwalten und abzusichern. Doch gerade die Implementierung und der Betrieb von Intune stellen IT-Teams vor diverse Herausforderungen – von der Geräte-Kompatibilität über Datenschutzanforderungen bis hin zur Benutzerakzeptanz. In diesem Beitrag zeigen wir, wie Sie mit bewährten Lösungen und Best Practices diese Stolpersteine meistern.

    Geräte-Kompatibilität und Plattform-Vielfalt 🔄

    Unternehmen arbeiten heute mit einer heterogenen Mischung aus Windows, macOS, iOS und Android-Geräten. Unterschiedliche OS-Versionen, Update-Zyklen und Hardwareanforderungen erschweren den Überblick. Falsch konfigurierte Richtlinien können dazu führen, dass Geräte nicht oder unvollständig im Intune-Portal auftauchen – ein Sicherheitsrisiko!

    Lösungsansätze:

    • 🖥️ Automatisierte Geräte-Inventarisierung
    • 📊 Standardisierte OS-Versionen
    • 🧪 Getestete Rollouts in Testumgebung

    Datenschutz und Compliance 🔒

    Strenge Datenschutz- und Compliance-Vorgaben sind im RDM essenziell, besonders in regulierten Branchen. Fehlkonfigurationen bedeuten Bußgelder und Vertrauensverlust.

    Lösungsansätze:

    • 🔐 Configuration Profiles & App Protection Policies
    • 🛡️ Entra ID Conditional Access (ehemals Azure AD Conditional Access)
    • 📈 Audit-Logs aktivieren & Monitoring

    Benutzerakzeptanz und Schulung 👩‍💻

    Die beste Technik nutzt nichts, wenn die Endanwender nicht mitziehen. Skepsis entsteht leicht, wenn der Nutzen unklar ist oder Unsicherheit bei der Bedienung herrscht.

    Lösungsansätze:

    • 🎓 Interaktive Schulungsprogramme
    • 🌟 Champions-Programme im Team
    • 🔄 Regelmäßige Updates & Newsletter

    Skalierbarkeit & Performance ⚙️

    Mit steigender Gerätezahl wachsen Anforderungen an Performance und Verfügbarkeit. Verzögerungen bei Updates können den Workflow stören und Support-Anfragen nach sich ziehen.

    Lösungsansätze:

    • 🚀 Dynamische Gerätegruppen
    • 📊 Service-Limits im Blick
    • 🌐 Content-Delivery & Caching

    Fehlerbehebung & Support 🛠️

    Troubleshooting gehört zum Alltag: Enrollment-Fehler, Compliance-Abweichungen oder App-Deploy-Probleme. Ein strukturierter Support-Prozess ist unverzichtbar.

    Lösungsansätze:

    • 🕵️‍♂️ Troubleshoot-Blade im Admin Center
    • 📂 Zentrale Log-Sammlung via SIEM
    • 🤖 Automatisierte Runbooks (PowerShell & Graph-API)
    • 📚 Support-Portal & Knowledge Base

    Fazit & Best Practices 

    Remote Device Management mit Intune bietet eine starke Grundlage für zentrale Geräteverwaltung und IT-Sicherheit. Mit konsequenter Planung, gezielter Automatisierung, proaktiver Schulung und kontinuierlichem Monitoring minimieren Sie Ausfallzeiten und fördern die digitale Zusammenarbeit.

    Kerntipps auf einen Blick:

    1. 📋 Klare Geräte- & OS-Policies definieren
    2. ⚙️ Inventarisierung & Compliance automatisieren
    3. 👥 Mitarbeitereinbindung durch Schulung & Champions
    4. 📈 Performance-Monitoring & Service-Limits beachten
    5. 🛠️ Strukturierten Support-Prozess etablieren

  • Windows-Geräte manuell in Autopilot registrieren

    Warum Windows-Geräte manuell in Autopilot registrieren?

    Du möchtest Windows-Geräte manuell in Autopilot registrieren? Kein Problem! Auch ohne OEM-Anbindung kannst du Geräte ganz einfach über PowerShell und Intune nachträglich einbinden.

    Windows Autopilot ist der Gamechanger für alle, die keine Lust mehr auf langweilige Image-Bastelei und ewiges Setup-Geklicke haben. Plug & play – so zumindest die Theorie. In der Praxis fehlt oft der entscheidende Schritt: Das Gerät muss erstmal in Intune landen, damit Autopilot überhaupt loslegen kann.

    Und was, wenn das Gerät nicht direkt vom Hersteller kommt oder schon länger in Betrieb ist? Kein Problem. Denn auch ohne OEM-Integration kannst du Geräte manuell in Autopilot aufnehmen – ganz entspannt über ein paar gezielte PowerShell-Handgriffe und ein bisschen Upload-Magie.

    Was ist Windows Autopilot überhaupt?

    Windows Autopilot ist Microsofts Antwort auf moderne Gerätebereitstellung – ganz ohne klassische IT-Ballast wie Imaging, PXE-Boot oder manuelles Setup. Stattdessen werden neue (oder zurückgesetzte) Windows-Geräte direkt übers Internet mit der Cloud verbunden, automatisch konfiguriert und dem richtigen Benutzer zugewiesen.

    Das heißt konkret:
    Du gibst dem Gerät nur Strom und WLAN – den Rest erledigen Entra ID und Intune. Autopilot sorgt dafür, dass Geräte:

    • automatisch einem Benutzer zugewiesen werden
    • Sicherheitsrichtlinien und Apps erhalten
    • komplett hands-off und standardisiert bereitgestellt werden

    Wann lohnt sich die manuelle Aufnahme in Autopilot?

    Nicht jedes Gerät landet wie von Zauberhand in Intune – und genau dafür ist die manuelle Registrierung da. Hier sind typische Situationen aus dem Admin-Alltag, in denen du zur manuellen Methode greifen solltest:

    • Direktimportierte Geräte aus dem Lager
      Du hast Geräte auf Vorrat bestellt, aber der OEM hat sie nicht vorregistriert? Kein Problem – du kannst sie selbst hinzufügen.
    • Bereits genutzte Geräte (Re-Enrollment)
      Ein Mitarbeiter hat das Notebook zwei Jahre lang genutzt, jetzt soll es neu aufgesetzt und sauber mit Autopilot eingebunden werden – auch das geht.
    • Testgeräte für Piloten oder Proof of Concepts
      Du willst Autopilot erstmal in kleiner Runde testen, bevor du es groß ausrollst? Perfekter Anwendungsfall für die manuelle Methode.
    • Sonderbeschaffungen oder BYOD-Szenarien
      Ein Gerät wurde außerhalb der Standardprozesse beschafft – auch dafür ist die manuelle Aufnahme ideal.
    Superheld ruft nach Autopilot

    So registrierst du Windows-Geräte manuell in Autopilot

    Du hast ein Gerät, das Autopilot noch nicht kennt – aber du willst es trotzdem sauber in Intune integrieren? Kein Problem. Mit dem richtigen PowerShell-Tool kannst du dir alle nötigen Geräteinformationen (Stichwort: Hardware-Hash) ganz easy auslesen und dann in Intune hochladen.

    Keine Sorge: Du brauchst dafür kein Entwicklerwissen und auch keine komplexe Infrastruktur – nur ein bisschen PowerShell, ein Internetzugang und den passenden Befehl zur richtigen Zeit.

    Direkter Upload in den Autopilot-Service

    Sobald das Gerät nach der Installation die Out-of-the-Box Experience (OOBE) erreicht hat, drücken wir Shift+F10 gleichzeitig, es öffnet sich eine Kommandozeile.

    OOBE CMD mit Shift + F10

    Idealerweise sollte man zur PowerShell wechseln 💡

    Set-ExecutionPolicy Bypass

    Damit das Script aus ausgeführt werden kann, muss die ExecutionPolicy angepasst werden.

    Install-Script Get-WindowsAutoPilotInfo

    Mit dem Befehl “Get-WindowsAutoPilotInfo” wird das Script aus der PowerShell-Gallery heruntergeladen, lokal abgelegt und in die Umgebungsvariablen hinzugefügt. Im nächsten Schritt kann das Script ausgeführt werden.

    💡Damit der Hash hinzugefügt werden kann, wird ein Account mit der Intune-Administrator Rolle oder einer vergleichbaren Custom-RBAC Rolle benötigt

    Befehl, um Gerät zu Autopilot hinzuzufügen
    • Online: Der Hardwarehash wird nicht lokal abgelegt, sondern direkt in den Autopilot-Service hochgeladen und mit dem Tenant synchronisiert
    • Assign: Das jeweilige Deploymentprofil wird dem Gerät direkt zugewiesen
    • Reboot: Das Gerät startet nach Zuweisung des Deploymentproflis neu

    Die Befehle als Codeblock:

    powershell
Set-ExecutionPolicy Bypass
Install-Script Get-WindowsAutoPilotInfo
Get-WindowsAutoPilotInfo.ps1 -Online -Assign -Reboot

    Weitere Infos zum Script und weitere Parameter findet ihr in der offiziellen Dokumentation: Registrieren Sie Geräte manuell mit Windows Autopilot | Microsoft Learn

    Anmeldung am Tenant

    Nach der ersten Anmeldung werden einmalig Berechtigungen für die Graph PowerShell App-Registration angefragt. Diese werden benötigt, um den Gerätehash hinzuzufügen.

    Hinzufügen des Geräts

    Nun wird der Hash hochgeladen. Sobald dies erfolgt ist und das Profil zugewiesen, startet das Gerät neu und bootet wieder in die OOBE.

    Installation von Windows Updates

    Bevor es dann weitergeht, wird nach Updates gesucht und auch installiert, sodass die Anwender mit einem top-aktuellen Gerät starten können.

    Anmeldung am Autopilot-Gerät

    Nun kann der entsprechende Anwender seine Credentials angeben und das Gerät enrolled sich in Intune unter dem entsprechenden User.

    Was tun mit Geräten, die schon in Intune sind – aber noch nicht in Autopilot?

    Typischer Fall: Die Geräte wurden manuell (oder via hybrid-join) in Intune ongeboardet, jedoch nie bei Autopilot registriert.

    Deployment-Profile

    Im Deployment-Profile gibt es die Option, alle Zielgeräte in Autopilot-Geräte zu konvertieren.

    Das Profil wird allen (zukünftigen) Autopilot-Geräten zugewiesen. Geräte, die Ihren Hash noch nicht an Autopilot reported haben, machen dies nun automatisch. Bei der nächsten Zurücksetzung, wird das Gerät mit dem Deployment-Profile als Autopilot-Gerät installiert.

    🚀Bonus: Diese Einstellung hat keinerlei Auswirkung auf bestehende Geräte und kann ohne Probleme direkt auf alle Geräte angewandt werden.

    Abschluss Meme