Microsoft hat gerade seine neueste Variante von Windows Autopilot veröffentlicht – Autopilot Device Preparation – und diese sorgt aktuell für jede Menge Gesprächsstoff. Manche nennen es Autopilot V2, andere halten es für halbgar, und einige gehen mit ihrer Kritik sogar noch weiter. Doch egal, wie man dazu steht – es ist da, und wir haben es bereits intensiv getestet.
In diesem ersten Beitrag zeige ich dir, wie du loslegst und deine erste Device-Preparation-Richtlinie erstellst.
Mandanten vorbereiten: Persönliche Registrierung zulassen
Der erste Schritt besteht darin sicherzustellen, dass die Registrierung von persönlichen Windows-Geräten in Intune erlaubt ist. Das ist aktuell die einzige Möglichkeit, um Autopilot Device Preparation (APV2) zu testen.
Wie in der offiziellen Microsoft-Dokumentation angekündigt, wird es in Zukunft möglich sein, Hersteller, Modell und Seriennummer eines Geräts zur Liste der unternehmenseigenen Gerätekennungen (Corporate Identifiers) hinzuzufügen – um damit persönliche Geräte gezielt zu blockieren.
Bis dahin muss die Registrierung persönlicher Geräte aktiviert sein. Du kannst das über die Standard-Plattformbeschränkungen erledigen. Alternativ kannst du auch eine eigene Plattformrichtlinie zum Testen erstellen – eine Anleitung dazu findest du hier.
So geht’s:
Melde dich bei https://intune.microsoft.com an.
Navigiere zu Geräte > Registrierung > Einschränkungen für Geräteplattformen
Wähle Windows (MDM) aus der Liste
Klicke auf Alle Benutzer
Klicke oben auf Eigenschaften
Scrolle zum Abschnitt Gerätebesitz und stelle sicher, dass Persönlich auf Zulassen gesetzt ist
Nur so ist gewährleistet, dass du mit persönlichen Geräten testen und APV2 vollständig ausprobieren kannst.
Wähle in der Liste die Windows-Einschränkungen aus und klicke anschließend auf Alle Benutzer.
Wähle Windows-Einschränkungen aus der Liste und klicke dann auf Alle Benutzer.
Eine spezielle Gerätegruppe erstellen
Eine der neuen Funktionen des Bereitstellungsprofils in Autopilot Device Preparation (APV2) besteht darin, dass ein Gerät während der Bereitstellung automatisch einer Gerätegruppe zugewiesen wird.
Ich nenne sie bewusst eine „besondere“ Gruppe, denn sie muss folgenden Anforderungen entsprechen:
Es muss sich um eine Sicherheitsgruppe handeln
Der Mitgliedschaftstyp muss auf Zugewiesen (Assigned) gesetzt sein
Die Gruppe muss im Besitz des Intune Autopilot ConfidentialClient-Dienstprinzipals sein
Die ersten beiden Punkte sind einfach umzusetzen – aber was hat es mit dem dritten Punkt auf sich? Keine Sorge, ich erkläre das noch genauer.
Um die Gruppe in Intune zu erstellen, gehst du wie folgt vor:
Melde dich bei https://intune.microsoft.com an
Navigiere zu Gruppen > Alle Gruppen
Klicke auf Neue Gruppe
Fülle die folgenden Felder aus:
Gruppentyp: Wähle im Dropdown-Menü Sicherheit aus
Gruppenname: Gib der Gruppe einen aussagekräftigen Namen – hier kannst du frei wählen
Gruppenbeschreibung: Optional, aber hilfreich – z. B. zur späteren Zuordnung
Mitgliedschaftstyp: Wähle Zugewiesen (Assigned)
Besitzer: Klicke auf Keine Besitzer ausgewählt
Auf der Seite „Besitzer hinzufügen“ gib im Suchfeld Intune ein und wähle Intune Autopilot ConfidentialClient aus.
⚠️ WICHTIG:
Stelle sicher, dass die Service Principal ID für den Besitzer f1346770-5b25-470b-88bd-d5744ab7952c lautet.
Der Anzeigename kann Intune Provisioning Client oder Intune Autopilot ConfidentialClient sein – das spielt keine Rolle, solange die ID korrekt ist.
Falls diese ID nicht vorhanden ist, musst du den Service Principal manuell hinzufügen. Wie das funktioniert, zeige ich dir im nächsten Abschnitt.
Den Client manuell hinzufügen (nur falls erforderlich)
Wenn du die Gruppe wie im vorherigen Abschnitt beschrieben erstellst und versuchst, den Intune Autopilot ConfidentialClient / Provisioning Client als Besitzer hinzuzufügen, kann es sein, dass er nicht auffindbar ist.
Falls das der Fall ist, gehe wie folgt vor:
PowerShell starten
Führe diesen Befehl aus, um das AzureAD-Modul zu installieren
Install-Module AzureAD -Confirm:$false -Force
Importiere das Modul: Import-Module AzureAD
Stelle die Verbindung zur Microsoft Graph API her und melde dich mit einem Globalen Administrator oder einer Rolle mit ausreichenden Berechtigungen an: Connect-AzureAD
Füge anschließend den benötigten Service Principal mit folgendem Befehl hinzu: New-AzureADServicePrincipal -AppId f1346770-5b25-470b-88bd-d5744ab7952c
Wiederhole nun die Schritte aus dem vorherigen Abschnitt, um den Client als Besitzer der Gruppe festzulegen.
Hinweis: Der Name kann als Intune Provisioning Client oder Intune Autopilot ConfidentialClient angezeigt werden – solange die ID stimmt, passt alles.
Device Preparation konfigurieren
Jetzt, wo der Mandant vorbereitet ist, können wir mit der Konfiguration der Device-Preparation-Richtlinie beginnen.
Melde dich bei https://intune.microsoft.com an und navigiere zu:
Geräte > Registrierung > Device Preparation-Richtlinien
Dort erstellen wir im nächsten Schritt eine neue Richtlinie und gehen gemeinsam alle Phasen durch.
Auf erstellen drücken.
Einführung
Der erste Abschnitt „Einführung“ gibt dir einen kurzen Überblick über den Ablauf der Geräteeinrichtung mit Autopilot Device Preparation.
Hier musst du nichts weiter tun – klicke einfach auf Weiter, um fortzufahren.
Grundlagen
Im Abschnitt „Grundlagen“ füllst du die folgenden Felder aus:
Name: Vergib einen eindeutigen Namen für deine Richtlinie – ganz wie du möchtest
Beschreibung: Optional – hier kannst du z. B. den Einsatzzweck oder den Testzweck beschreiben
Gerätegruppe
Die Gruppe, die du hier auswählst, ist genau die, die wir im vorherigen Abschnitt erstellt haben. Sobald sich der Benutzer am Gerät anmeldet, wird das Gerät durch Autopilot automatisch in diese Gruppe verschoben.
Gib im Suchfeld den Namen der speziellen Gruppe ein, die du zuvor erstellt hast, und wähle sie aus.
Wähle deine Gruppe aus, sobald sie angezeigt wird, und klicke auf Weiter, um fortzufahren.
Konfigurationseinstellungen
Die Konfigurationseinstellungen bilden den Kern der gesamten Richtlinie.
Dieser Abschnitt besteht aus vier Teilbereichen:
Apps
Skripte
Bereitstellungseinstellungen
Einstellungen für das Out-of-Box-Erlebnis (OOBE)
Apps
Klicke im Abschnitt Apps auf + Hinzufügen, um das Menü Apps auswählen zu öffnen.
Apps (Fortsetzung)
Dieser Schritt ähnelt der ESP (Enrollment Status Page) aus Autopilot V1. Hier kannst du bis zu 10 Anwendungen auswählen, deren Installation während der Bereitstellung überwacht wird.
Wichtig: Damit die Apps auch wirklich installiert werden, müssen sie der Gerätegruppe zugewiesen sein, die du im vorherigen Abschnitt erstellt hast.
Klicke bei jeder gewünschten App auf + Hinzufügen
Die ausgewählten Apps erscheinen anschließend unten im Bereich Ausgewählte Apps
Wenn du alle gewünschten Anwendungen hinzugefügt hast, klicke auf Speichern, um fortzufahren.
Einstellungen für das Out-of-Box-Erlebnis (OOBE)
Fülle in diesem Abschnitt die folgenden Felder und Optionen aus:
Minuten bis zur Anzeige einer Installationsfehlermeldung:
Gibt an, wie viel Zeit du den Apps und Skripten für die Bereitstellung einräumen möchtest, bevor dem Benutzer ein Fehler angezeigt wird.
Benutzerdefinierte Fehlermeldung:
Hier kannst du eine eigene Nachricht eingeben, die dem Benutzer angezeigt wird, falls die Bereitstellung fehlschlägt.
Benutzer darf Einrichtung nach mehreren Fehlversuchen überspringen:
Wenn die Bereitstellung mehrmals fehlschlägt, darf der Benutzer den Einrichtungsprozess überspringen und direkt zum Desktop gelangen.
Achtung: In diesem Fall arbeitet der Benutzer möglicherweise mit einem unvollständig konfigurierten Gerät – ohne wichtige Apps oder Einstellungen.
Link zu Diagnosedaten anzeigen:
Bei einem Fehler kann ein Link eingeblendet werden, über den der Benutzer ein Diagnoselog erzeugen kann – hilfreich für die spätere Fehlersuche.
Skripte
Klicke im Abschnitt Skripte auf + Hinzufügen, um das Menü Skripte auswählen zu öffnen.
Skripte (Fortsetzung)
Dieser Teil ist komplett neu in Autopilot:
Früher wurden alle PowerShell-Skripte, die einem Gerät zugewiesen waren, automatisch während der Bereitstellung ausgeführt.
Jetzt – genau wie bei den Apps – kannst du gezielt auswählen, welche Skripte während der Autopilot Device Preparation angewendet werden sollen, sofern sie der zuvor erstellten Gerätegruppe zugewiesen wurden.
Klicke bei jedem gewünschten Skript auf + Hinzufügen
Die ausgewählten Skripte erscheinen anschließend unten im Bereich Ausgewählte Skripte
Bereitstellungseinstellungen
Die Einstellungen Bereitstellungsmodus, Bereitstellungstyp und Beitrittstyp sind derzeit fest vorgegeben und nicht änderbar.
Autopilot Device Preparation (APV2) ist aktuell ausschließlich für Geräte vorgesehen, die von einem einzelnen Benutzer verwendet werden und per Entra ID (ehemals Azure AD) eingebunden werden.
Benutzerkontotyp:
Hier kannst du wählen, welche Rechte der Benutzer nach Abschluss der Bereitstellung erhalten soll:
Standardbenutzer (empfohlen für normale Endanwender)
Administrator (z. B. für IT-Personal oder spezielle Szenarien)
Wähle die passende Option je nach deinem Einsatzzweck.
Bereichstags (Scope Tags)
In diesem Abschnitt kannst du Scope Tags (Bereichstags) anwenden, die du in deinem Mandanten verwendest.
Damit lässt sich steuern, welche Administratoren oder Rollen Zugriff auf dieses Bereitstellungsprofil haben – basierend auf deren zugewiesenen Bereichen.
Zuweisungen
Die Einstellungen in Autopilot Device Preparation (APV2) sind so konzipiert, dass sie benutzerbasiert angewendet werden.
In diesem Abschnitt wählst du die Benutzergruppe(n) aus, die die Device-Preparation-Richtlinie erhalten sollen.
Gib im Suchfeld den Namen der gewünschten Benutzergruppe ein
Wähle die Gruppe aus, sobald sie angezeigt wird
Klicke anschließend auf Weiter, um fortzufahren
Überprüfen + Erstellen
Nimm dir einen Moment Zeit, um alle Einstellungen zu überprüfen, die du in den einzelnen Abschnitten konfiguriert hast.
Wenn alles passt, klicke auf Erstellen, um die Device-Preparation-Richtlinie zu speichern und bereitzustellen.
Damit ist deine erste Autopilot Device Preparation-Konfiguration abgeschlossen!
Geschafft für heute!
Gut gemacht! Du hast Autopilot Device Preparation erfolgreich in deinem Mandanten eingerichtet.
In Teil 2 schauen wir uns an, wie man physische PCs und virtuelle Maschinen für Tests vorbereitet – inklusive einem vollständigen Durchlauf des Registrierungsprozesses.
Bleib dran!
Mattia