Kaffeeundcode

Sektion 6: Autopilot Profiles – User-driven vs. Self-deploying vs. Pre-provisioning

5. Juli 2026 Bruno 0 Kommentare

Sektion 6: Autopilot Profiles – User-driven vs. Self-deploying vs. Pre-provisioning

In der Welt von Microsoft Intune ist das Autopilot Profil der entscheidende Mechanismus, der bestimmt, wie ein Gerät während des Out-of-Box Experience (OOBE) Prozesses konfiguriert wird. Während der Hardware-Hash das Gerät identifiziert, definiert das Profil das Verhalten des Setups.

1. User-Driven Mode (Benutzergesteuert)

Der klassische Autopilot-Modus. Hier ist der Endbenutzer der primäre Treiber des Prozesses. Das Gerät wird an den Nutzer geschickt, dieser schaltet es ein, verbindet es mit dem WLAN und meldet sich mit seinen Firmendaten an.

Der technische Ablauf:

  • Hardware-Identifikation: Das Gerät kontaktiert den Autopilot-Service.
  • Profil-Zuweisung: Intune erkennt den Hash und weist das User-Driven Profil zu.
  • Azure AD Join: Das Gerät wird im Hintergrund mit Entra ID verknüpft.
  • ESP (Enrollment Status Page): Der Nutzer sieht den Fortschritt der App- und Richtlinieninstallation.
# Check Autopilot Status on Client
Get-ItemProperty -Path „HKLM:\\SOFTWARE\\Microsoft\\Windows\\Autopilot\\Settings“ | Select-Object *

2. Self-Deploying Mode (Selbstbereitstellung)

Das „Zero-Touch“-Extrem. Das Gerät konfiguriert sich komplett autonom, ohne dass ein Benutzer jemals ein Passwort eingeben muss. Dies ist primär für Kiosksysteme oder geteilte Geräte (Shared Devices) gedacht.

Kritische Voraussetzungen:

  • TPM 2.0: Zwingend erforderlich für die Authentifizierung gegenüber Azure AD.
  • Netzwerk: Das Gerät muss eine stabile Verbindung haben (meist Ethernet).
  • Azure AD Join: Das Gerät tritt der Domain automatisch bei, ohne User-Interaktion.
# Typical Log Path for Self-Deploying Issues
C:\\Windows\\Panther\\unattend.xml
C:\\Windows\\Panther\\setupact.log

3. Pre-provisioning (ehem. White Glove)

Die Hybrid-Lösung. Hier wird das Gerät bereits durch einen Techniker im Lager oder beim Hardware-Partner vorbereitet, bevor es den Endnutzer erreicht. Das Ziel: Die „schweren“ Apps (Office, CAD, etc.) sind bereits installiert, wenn der Nutzer das Gerät zum ersten Mal einschaltet.

Der Workflow (Technician Flow):

Der Techniker bootet das Gerät und drückt 5x die Windows-Taste im OOBE-Bildschirm. Dadurch wird der Pre-provisioning Flow gestartet.

  • Technician Phase: Das Gerät führt den Azure AD Join durch und installiert alle „Required“ Apps und Profile.
  • Reseal: Der Techniker schaltet das Gerät aus (Reseal). Das Gerät bleibt in diesem Zustand, bis der Nutzer es erhält.
  • User Phase: Der Nutzer meldet sich an und sieht nur noch eine minimale ESP, da die Hauptlast bereits erledigt wurde.

Vergleichsmatrix: Deployment-Modi

Feature User-Driven Self-Deploying Pre-provisioning
User-Interaktion Hoch (Login nötig) Keine Minimal (am Ende)
TPM Requirement Optional (empfohlen) Zwingend 2.0 Empfohlen
Haupt-Use-Case Standard Laptop Kiosk / Digital Signage High-End Corporate Setup
AAD Join Zeitpunkt Beim User-Login Automatisch bei Boot Durch Techniker

Implementierung in Intune

Um ein Profil zu erstellen, navigieren Sie zu:
Devices > Windows > Windows enrollment > Deployment profiles

  • Zuweisung: Weisen Sie das Profil einer dynamischen Gruppe zu (z.B. basierend auf der ZT-Eigenschaft (device.devicePhysicalIds -any (_ -contains "[ZTDId]"))).
  • Konfiguration: Wählen Sie zwischen User-Driven, Self-Deploying oder aktivieren Sie im User-Driven Profil die Option „Allow pre-provisioning“.
# PowerShell check if Pre-provisioning is enabled in the profile (Graph API snippet)
GET https://graph.microsoft.com/v1.0/deviceManagement/windowsAutopilotDeploymentProfiles/{{profileId}}
# Look for „preProvisioningEnabled“: true

Kritische Pitfalls & Tipps

  • Network Latency: Self-Deploying scheitert oft an langsamen DNS-Auflösungen der Azure-Endpunkte.
  • TPM Issues: Wenn TPM 2.0 nicht im BIOS aktiviert ist, wird Self-Deploying sofort in einen Fehler laufen.
  • ESP Timeouts: Setzen Sie die Timeouts in der Enrollment Status Page großzügig, wenn Sie große Apps (z.B. Visual Studio) vorprovisionieren.

Academy

Weiterlernen in der Kaffeeundcode Academy

Wenn du diese Themen systematisch vertiefen willst, schau dir den ersten Academy-Kurs zur PSADT-Softwarepaketierung an. Im Fokus stehen .msi, .exe, Silent Switches, Detection, Logs und ein belastbarer Troubleshooting-Workflow.

Diskussion starten

Fragen, Ergänzungen und eigene Erfahrungen sind hier willkommen.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * markiert.