Geräte schnell bereitstellen und einrichten
Geräte schnell einrichten mit Windows Autopilot

Geräte schnell bereitstellen und einrichten

Veröffentlicht am 14. Oktober 2019 um 09:46 Uhr von Andreas Dresen

Schnelle Einrichtung und Bereitstellung von Geräten (Windows, iOS und Android) 

 In der heutigen Zeit, in der die Mehrzahl von Nutzern mobil sein will, muss auch die Mehrzahl der Geräte mobil optimiert sein. Dazu gehören in erster Linie iPhones, iPads, Android Handys, aber auch Notebooks und Laptops verschiedenster Hersteller. Diese werden unter Umständen auch unter den Mitarbeitern getauscht oder neue Geräte in regelmäßigen Abständen verteilt. Unabhängig davon, was der Grund auch sein magkann es ein großer Aufwand für eine IT-Abteilung sein, diese Geräte vorzubereiten und einzurichten. 

Mittlerweile gibt es jedoch verschiedene Möglichkeiten für IT-Abteilungen, im Vorfeld eines Austausches oder einer Neuverteilung von Geräten bereits Maßnahmen zu treffen, die ein Eingreifen der IT-Abteilung nur noch in Ausnahmefällen oder bei sehr spezialisierten Verwendungen der Geräte notwendig machen. Beispielhaft stellen wir hier einige der unterschiedlichen Möglichkeiten für die oben genannten Geräte dar unter Verwendung eines Mobile Device Management (MDM) Systems wie etwa Microsoft Intune. 

Die Lösung: Windows Autopilot

Für die Verwendung von Windows Autopilot ist mindestens die Version 1703 von Windows 10 erforderlichJe nachdem welche Funktionen man verwenden möchte, wird auch eine höhere Version benötigt. Verfügbar ist Windows Autopilot in den Windows 10 Pro Versionen und höherAlle Anforderungen für Windows Autopilot finden Sie hier. 

Damit besteht für neue Notebooks, Laptops und Fat-Clients die Möglichkeitdiese vom Hersteller direkt zu versenden oder direkt an das Unternehmen zu schicken, das die Verteilung an die Mitarbeiter übernimmt. Windows Autopilot ermöglicht es, dass die Mitarbeiter nicht warten müssen, bis die IT-Abteilung die Geräte eingerichtet hat, sondern dies bei der Inbetriebnahme durch die Mitarbeiter geschieht. Dafür benötigen die Mitarbeiter nur eine Netzwerkverbindung. Ob es sich dabei um das Firmennetzwerk, das Netzwerk zu Hause oder einen Hotspot handelt, spielt keine Rolle. 

Nach grundlegenden Einstellungen wie Sprache, Region und Tastatur-Layout wird erkannt, dass es sich um ein Corporate Device handeltMöglich ist es dadurch, dass der Händler die Seriennummern der bei ihm gekauften Geräte dem Unternehmen mitteilt, das diese dann entsprechend in seiner MDM-Lösung hinzufügt. Damit wird das Gerät dem Unternehmen und dem Windows Autopilot Deployment hinzugefügt. Die nachfolgenden Schritte, die der Mitarbeiter noch durchführen muss, sind abhängig davon, was die IT-Abteilung bei der Bereitstellung von Windows Autopilot festgelegt hat. Am Ende hat der Mitarbeiter schnell ein fertig eingerichtetes Unternehmensgerät vor sich und kann mit der Arbeit beginnen. 

Alternativ kann man mit Windows Autopilot auch Bestandsgeräte zurücksetzen und so schnell für einen neuen Mitarbeiter vorbereiten. Entsprechende Anforderungen finden Sie auf microsoft.com

Für den Fall, dass das Gerät ein Problem hat, kann man dieses mit Windows Autopilot verhältnismäßig schnell wieder in einen betriebsbereiten Zustand versetzen; vorausgesetzt das Problem ist nicht zu gravierend. Eine gute Übersicht über die verschiedenen Möglichkeiten, die Windows Autopilot bietet, enthält folgende Grafik. 

Bildquelle: microsoft.com 

  •  Weitere allgemeine und weiterführende Informationen zu Windows Autopilot finden Sie unter microsoft.com

Lösung für iOS Geräte: DEP (Device Enrollment Programm) 

Für iOS-Geräte gibt es das DEP-Programm von Apple. Damit können neue iOS-Geräte den Mitarbeitern ohne großen Aufwand für die IT-Abteilung und ohne diese durchlaufen zu müssen bereitgestellt werden. Voraussetzung ist die Registrierung beziehungsweise die Anmeldung bei Apple für das DEP-Programm. Weiterhin muss im Unternehmen ein MDM-Server vorhanden sein. Weiterführende Informationen zum DEP-Programm von Apple finden Sie im Link. 

Nachdem man die Geräte bei einem entsprechenden Händler gekauft hat, teilt einem dieser entweder die Seriennummern der Geräte oder die zugehörige Bestellnummer mit, die man im Apple Business Manager  oder Apple School Manager eingeben muss. Dadurch werden die Geräte dem MDM-Server des Unternehmens zugeordnet, der das Profil für sie enthält. Früher waren diese Manager unter dem Namen Apple Bereitstellungsprogramm bekannt. Die Apple Bereitstellungsprogramme werden jedoch zum 1. Dezember 2019 eingestellt.

DEP

Die IT-Abteilung legt in ihrem MDM-System ein Profil an, das die entsprechenden Einstellungen, Richtlinien, Anwendungen und sonstigen Details beinhaltet, die dem Gerät zugewiesen werden sollen. So kann das neue Gerät direkt dem Mitarbeiter übergeben werden, der die Einrichtung selbst durchführen kann. Bei dabei auftretenden Fragen kann die IT-Abteilung natürlich unterstützen. Andernfalls wurde bereits im Vorfeld für die häufigsten Fragen während der Testphase ein entsprechendes Dokument erstellt, das diese beantwortet. 

Für die Einrichtung von Bestandsgeräten, die noch nicht dem DEP-Programm zugeordnet sind, muss jedoch leider der Umweg über die IT-Abteilung genommen werden. Diese müssen mithilfe des Apple Configurator 2 zuerst zurückgesetzt werdenDie so vorbereiteten iOS-Geräte erscheinen im entsprechenden Manager Portal unter den Einstellungen und dort unter dem Punkt MDM-Server -> Apple Configurator 2Das folgende Bild stammt aus dem Apple Business Manager Portal. 

Apple Configurator 2

Im Nachgang kann man diese iOS Geräte dem MDM System zuordnen. Danach kann es mit dem dort bereitgestellten Profil durch den Mitarbeiter eingerichtet werden, so wie es auch bei Neugeräten möglich ist. 

Lösung für Android-Geräte: Zero-Touch Enrollment Programm 

Auch neue Android-Geräte kann man mittlerweile mit entsprechender Vorbereitung durch die IT-Abteilung durch die Erstellung eines Profils an die Mitarbeiter des Unternehmens verteilen, ohne dass die IT-Abteilung die Geräte selbst vorher zu Gesicht bekommen hat. Bei Android-Geräten heißt dieses Programm Zero-Touch-Registrierung.

Das Verfahren selbst ist angelehnt an das DEP-Programm von Apple. Im Gegensatz dazu sind die Bezugsquellen für Geräte, die darüber eingerichtet werden können, noch nicht so umfangreich wie bei Apple. Es werden aber stetig mehr. Auch hier ist eine Anbindung an ein MDM-System eine Voraussetzung, damit nach erfolgter Registrierung der Geräte im Zero-Touch Enrollment Programm ein Profil auf die Geräte verteilt werden kann. Den Ablauf zeigt das folgende Bild:

Bildquelle: developers.google.com 

Einen Eindruck des Zero-Touch Enrollment Programm Portals kann man durch dieses Video erhalten. Wie bereits oben beschriebenist die Oberfläche vergleichbar mit der des DEP-Programms von Apple. Zugang zum Portal erhält man über den folgenden Link: partner.android.com . Hilfestellungen können ebenfalls entgegengenommen werden.

Fazit 

Mit Enrollment Programmen, wie den hier vorgestellten DEP von Apple und Zero-Touch von Android oder Windows Autopilot von Microsoft können heute die verschiedensten Geräte einfacher und schneller an die Mitarbeiter verteilt oder ausgetauscht werden, als dies früher noch der Fall war. Die IT-Abteilung muss die Geräte nicht zwangsläufig zu Gesicht bekommen, um sie einzurichten. 

Auch der Bau und die Anpassung von Task-Sequenzen an bestimmte Geräte ist nicht mehr notwendig bei der Verwendung von Windows Autopilot, außer man möchte Windows Bestandsgeräte in Verbindung mit Windows Autopilot aktualisierenBei neuen Geräten werden die bereits auf dem Gerät befindlichen Treiber genutzt. Theoretisch muss nur ein Profil pro Plattform erstellt werden, wenn man von speziellen Anforderungen einmal absieht.

Dies spart Kosten und auch Zeit der Mitarbeiter der IT-Abteilung, da nach der ersten Erstellung eines Profils im Normalfall nur noch marginale Änderungen daran vorgenommen werden müssen, die sich aufgrund von Anforderungen oder bei der Nutzung ergeben haben. Wenn man iOS Bestandsgeräte in das DEP Programm hinzufügen will, fallen jedoch Kosten an, da die Geräte entsprechend vorbereitet werden müssen. Hier wäre abzuwägen, welcher Weg der Beste ist; Investition in Zeit und Kosten oder eine Neuanschaffung von Geräten. 

Andreas Dresen Cyber Security Cloud Infrastruktur synalis

Andreas Dresen, Experte für IT-Security und Cloud-Infrastruktur
Tel. +49 228 9268 0
E-Mail: andreas.dresen@synalis.de