Sektion 6: Autopilot Profiles – User-driven vs. Self-deploying vs. Pre-provisioning
In der Welt von Microsoft Intune ist das Autopilot Profil der entscheidende Mechanismus, der bestimmt, wie ein Gerät während des Out-of-Box Experience (OOBE) Prozesses konfiguriert wird. Während der Hardware-Hash das Gerät identifiziert, definiert das Profil das Verhalten des Setups.
1. User-Driven Mode (Benutzergesteuert)
Der klassische Autopilot-Modus. Hier ist der Endbenutzer der primäre Treiber des Prozesses. Das Gerät wird an den Nutzer geschickt, dieser schaltet es ein, verbindet es mit dem WLAN und meldet sich mit seinen Firmendaten an.
Der technische Ablauf:
- Hardware-Identifikation: Das Gerät kontaktiert den Autopilot-Service.
- Profil-Zuweisung: Intune erkennt den Hash und weist das User-Driven Profil zu.
- Azure AD Join: Das Gerät wird im Hintergrund mit Entra ID verknüpft.
- ESP (Enrollment Status Page): Der Nutzer sieht den Fortschritt der App- und Richtlinieninstallation.
Get-ItemProperty -Path „HKLM:\\SOFTWARE\\Microsoft\\Windows\\Autopilot\\Settings“ | Select-Object *
2. Self-Deploying Mode (Selbstbereitstellung)
Das „Zero-Touch“-Extrem. Das Gerät konfiguriert sich komplett autonom, ohne dass ein Benutzer jemals ein Passwort eingeben muss. Dies ist primär für Kiosksysteme oder geteilte Geräte (Shared Devices) gedacht.
Kritische Voraussetzungen:
- TPM 2.0: Zwingend erforderlich für die Authentifizierung gegenüber Azure AD.
- Netzwerk: Das Gerät muss eine stabile Verbindung haben (meist Ethernet).
- Azure AD Join: Das Gerät tritt der Domain automatisch bei, ohne User-Interaktion.
C:\\Windows\\Panther\\unattend.xml
C:\\Windows\\Panther\\setupact.log
3. Pre-provisioning (ehem. White Glove)
Die Hybrid-Lösung. Hier wird das Gerät bereits durch einen Techniker im Lager oder beim Hardware-Partner vorbereitet, bevor es den Endnutzer erreicht. Das Ziel: Die „schweren“ Apps (Office, CAD, etc.) sind bereits installiert, wenn der Nutzer das Gerät zum ersten Mal einschaltet.
Der Workflow (Technician Flow):
Der Techniker bootet das Gerät und drückt 5x die Windows-Taste im OOBE-Bildschirm. Dadurch wird der Pre-provisioning Flow gestartet.
- Technician Phase: Das Gerät führt den Azure AD Join durch und installiert alle „Required“ Apps und Profile.
- Reseal: Der Techniker schaltet das Gerät aus (Reseal). Das Gerät bleibt in diesem Zustand, bis der Nutzer es erhält.
- User Phase: Der Nutzer meldet sich an und sieht nur noch eine minimale ESP, da die Hauptlast bereits erledigt wurde.
Vergleichsmatrix: Deployment-Modi
| Feature | User-Driven | Self-Deploying | Pre-provisioning |
|---|---|---|---|
| User-Interaktion | Hoch (Login nötig) | Keine | Minimal (am Ende) |
| TPM Requirement | Optional (empfohlen) | Zwingend 2.0 | Empfohlen |
| Haupt-Use-Case | Standard Laptop | Kiosk / Digital Signage | High-End Corporate Setup |
| AAD Join Zeitpunkt | Beim User-Login | Automatisch bei Boot | Durch Techniker |
Implementierung in Intune
Um ein Profil zu erstellen, navigieren Sie zu:
Devices > Windows > Windows enrollment > Deployment profiles
- Zuweisung: Weisen Sie das Profil einer dynamischen Gruppe zu (z.B. basierend auf der ZT-Eigenschaft
(device.devicePhysicalIds -any (_ -contains "[ZTDId]"))). - Konfiguration: Wählen Sie zwischen User-Driven, Self-Deploying oder aktivieren Sie im User-Driven Profil die Option „Allow pre-provisioning“.
GET https://graph.microsoft.com/v1.0/deviceManagement/windowsAutopilotDeploymentProfiles/{{profileId}}
# Look for „preProvisioningEnabled“: true
Kritische Pitfalls & Tipps
- Network Latency: Self-Deploying scheitert oft an langsamen DNS-Auflösungen der Azure-Endpunkte.
- TPM Issues: Wenn TPM 2.0 nicht im BIOS aktiviert ist, wird Self-Deploying sofort in einen Fehler laufen.
- ESP Timeouts: Setzen Sie die Timeouts in der Enrollment Status Page großzügig, wenn Sie große Apps (z.B. Visual Studio) vorprovisionieren.
Academy
Weiterlernen in der Kaffeeundcode Academy
Wenn du diese Themen systematisch vertiefen willst, schau dir den ersten Academy-Kurs zur PSADT-Softwarepaketierung an. Im Fokus stehen .msi, .exe, Silent Switches, Detection, Logs und ein belastbarer Troubleshooting-Workflow.
Diskussion starten
Fragen, Ergänzungen und eigene Erfahrungen sind hier willkommen.