IT Blog

Client Rollout und Softwareverteilung mit Intune und Autopilot

Fr, 29. November 2019

Denkt man an die Bereitstellung neu beschaffter Clientsysteme, ist dies meist mit wenig Freude und dafür hohem Zeitaufwand verbunden. Traditionell findet kein neues Gerät den direkten Weg zum User – der Umweg über die IT ist unumgänglich. Und das war er bisher aus gutem Grund.

Client Rollout bisher: manuell und langwierig

Ein neuer Client kann ohne die übliche Bereitstellung nicht an den Nutzer gegeben werden. Es gibt Applikationen, die zum Arbeiten benötigt werden; Einstellungen, die die Sicherheit und den zuverlässigen Betrieb gewährleisten und schließlich zu entfernende Bloatware, mit der das Gerät ausgeliefert wurde.

Um sicherzustellen, dass das System einsatzbereit ist, sind diese Schritte vorab durchzuführen. Das Deployment kann auf verschiedene Weisen geschehen: manch einer nutzt ein eigenes Windows-Image, welches Konfigurationen und vielleicht auch Software enthält, um die Clients einsatzbereit zu machen. Ein anderer bevorzugt den Weg über ein Softwareverteilungs-Tool und nimmt die vorgeschriebenen Einstellungen über Gruppenrichtlinien vor. Möglicherweise gibt es auch den ein oder anderen, der mit einem USB-Stick voller Installationsdateien von Rechner zu Rechner wandert und die Einbindung in die Unternehmensumgebung gänzlich manuell durchführt – eventuell vergessene Programme oder Einstellungen inklusive.

Eine Handvoll Systeme ließe sich so zwar in einem berechenbaren Zeitrahmen abspeisen. Jedoch ist es auch klar, dass der zeitliche Aufwand für einen solchen manuellen Rollout schnell ins Unermessliche steigen kann. Mehrere Geräte zeitgleich aufsetzen zu können schafft dem typischen IT-Mitarbeiter hier bereits einige Erleichterung. Steht jedoch eine größere Neubeschaffung an, haben die Wenigsten den Platz, Dutzende oder gar Hunderte Maschinen gleichzeitig anzuschließen und vorzubereiten.

Dem kommt hinzu, dass die oben genannten Methoden allesamt einen entscheidenden Nachteil teilen: die Bereitstellung muss im eigenen Netzwerk geschehen.

Modern Desktop – Modern Deployment

Gewohntes Arbeiten von überall – diese Idee des Modern Desktop erstreckt sich über den gesamten Lifecycle eines Geräts und beginnt somit bereits bei der Anschaffung. Mit dem Zusammenspiel aus Windows Autopilot und Intune bietet Microsoft die Möglichkeit, den Prozess der Bereitstellung agil und flexibel zu gestalten.

Windows Autopilot ermöglicht es, den klassischen Setup-Prozess vorwegzunehmen. Die üblichen Schritte wie die Annahme der Lizenzvereinbarung, Einstellungen zur Sammlung von Telemetriedaten oder Beitritt zur Domäne werden durch ein einmalig angelegtes Autopilot-Profil automatisiert vorgenommen.

Mittels Intune kann die Konfiguration der Geräte, ähnlich wie man es bereits von Gruppenrichtlinien kennt, auf einer sehr granularen Ebene vorgenommen werden. Hinzu kommt die Funktion der Softwarepaketierung und -verteilung. Auf Basis von Richtlinien werden Kriterien festgelegt, mit denen der Zugriff auf Unternehmensressourcen gesteuert werden kann (zum Beispiel: „Wurde die Festplatte erfolgreich mit Bitlocker verschlüsselt?“).

Drastische Aufwandsminderung für Admins im Endpoint Management

Während Admins die Konfigurationsprofile und Softwarepakete beim klassischen Deployment sowohl konfigurieren als auch selbst anwenden, beschränkt sich die Tätigkeit mit Intune und Windows Autopilot lediglich auf Ersteres.

Die Geräte können bereits vor Zustellung verwaltet werden. So werden vom Hardwarehändler die sogenannten Hardware-Hashwerte der einzelnen Systeme übermittelt, mit denen das jeweilige Device eindeutig identifiziert wird. Diese Werte werden in Intune importiert, woraufhin das Gerät sofort in der Geräteverwaltung verfügbar ist. Viele Hersteller bieten auch die Möglichkeit, nach einer Berechtigung sämtliche Hardware-Hashes einer Bestellung automatisch zu importieren. Das bedeutet, die Zuweisung der eingerichteten Profile und Applikationen zu den Geräten ist schon möglich, bevor diese auch nur einmal hochgefahren wurden. Bindet man besagte Konfigurationen an eine Gerätegruppe aus dem Azure Active Directory (AD), bleibt also nach Import der Geräte nichts weiter zu tun, als diese in die Gruppe mit aufzunehmen.

Der Registrierungsstatus kann durch die Admins jederzeit in Intune nachverfolgt werden. Nachträgliche Anpassungen lassen sich selbstverständlich auch dann durchführen, wenn das Device bereits in Benutzung ist.

Client Rollout zukünftig: benutzerfreundliches Setup beim ersten Start

Durch die vorab durchgeführte Aufnahme der Geräte in die Verwaltung kann dieses vom Endnutzer ausgepackt und gestartet werden. Über das Internet wird abgeglichen, ob der Hardware-Hashwert des Systems in einer Intune-Umgebung hinterlegt ist. Wenn ja, werden sämtliche zugewiesenen Konfigurationen angewandt.

All das geschieht in modernster Manier über die Cloud. Heißt konkret: ob sich der Anwender nun im Firmennetzwerk, im Home-Office oder auf Reisen aufhält, ist irrelevant. Solange eine Internetverbindung verfügbar ist, wird das neue Gerät konform und voll funktionsfähig einsatzbereit gemacht, inklusive sämtlicher Anwendungen. Lediglich die bevorzugte Sprache und das Tastaturlayout muss vom Nutzer gewählt werden.

Ressourceneinsparung durch Automatisierung und Wiederverwendbarkeit

Der Vorteil liegt auf der Hand: einmal konfiguriert und zugewiesen, werden alle Schritte der Bereitstellung zuverlässig ausgeführt. Durch eine modulare Einrichtung verschiedener Konfigurationen oder Softwarepakete nach dem Baukastenprinzip lassen sich diese wiederverwerten. Eine bestimmte Anzahl der Geräte benötigt abteilungsspezifische Software, oder soll weniger eingeschränkt werden? Kein Problem, dank der verständlichen Gruppenstruktur, mit denen diese Zuweisungen geschehen.

Zusammenfassend lässt sich sagen, dass das moderne Deployment einem jeden Unternehmen Zeit und somit Geld sparen kann. Die Übergabe der Verantwortung von der IT an die Endnutzer entlastet die IT-Mitarbeiter, aber stellt dennoch sicher, dass das Gerät wie vorgeschrieben zur Verfügung gestellt wird.