In diesem Blogpost zeige ich Ihnen Schritt für Schritt, wie Sie mit Autopilot und Autologin Microsoft Teams Rooms on Windows Systeme effizient und zeitsparend einrichten können.
Einleitung
Windows Autopilot mit Autologin ist eine Technologie, die den gesamten Prozess der Gerätebereitstellung vereinfacht und beschleunigt. Hier sind die wichtigsten Aspekte:
- Einfache Bereitstellung:
- Nach dem Auspacken des neuen Windows-Geräts wird es eingeschaltet und mit dem Internet verbunden.
- Windows Autopilot konfiguriert das Gerät automatisch über die Cloud, sodass es schnell einsatzbereit ist.
- Der entsprechende Ressourcen Account wird nach Abschluss der Installation automatisch auf dem Teams Room System angemeldet.
- Benutzerfreundlich:
- Endbenutzer können den Fortschritt der Konfiguration verfolgen und personalisieren.
- Die Einrichtung erfolgt ohne Zutun der IT-Abteilung.
- Skalierbarkeit:
- Windows Autopilot ermöglicht die gleichzeitige Bereitstellung mehrerer Geräte.
- Auch Bestandsgeräte können problemlos aktualisiert werden.
Voraussetzungen und Anforderungen für Teams Rooms on Windows mit Autopilot und Autologin
Um Microsoft Teams Rooms-Konsolen unter Windows mithilfe von Autopilot und Autologin zu bereitstellen, müssen Sie folgende Schritte durchführen:
- Lizenzanforderungen:
- Erwerben Sie ausreichend Teams Rooms Pro-Lizenzen für die bereitzustellenden Konsolen. Diese Lizenzen umfassen die erforderlichen Intune- und Microsoft Enterprise ID P1-Lizenzen1.
- Stellen Sie sicher, dass das Konto, das für die Bereitstellung verwendet wird, die richtigen Berechtigungen besitzt (Intune-Administrator oder Richtlinien- und Profil-Manager).
- Gerätevoraussetzungen:
- Teams Rooms-Computes müssen Windows 11 verwenden, um Autologin zu unterstützen1.
- Richten Sie das Windows-Automatic-Intune-Enrollment ein.
- Führen Sie eine Microsoft-Enterprise-ID-Anmeldung durch.
- Ressourcenkonten einrichten:
- Autopilot-Profil erstellen:
- Legen Sie ein Autopilot-Profil für die Teams Rooms-Computes fest und weisen Sie es zu.
- Legen Sie ein Autopilot-Profil für die Teams Rooms-Computes fest und weisen Sie es zu.
- Lokales Administratorkennwort festlegen:
- Erstellen Sie eine Richtlinie für lokale Administratorkennwörter.
- Erstellen Sie eine Richtlinie für lokale Administratorkennwörter.
- Autologin konfigurieren:
- Richten Sie Autologin im Pro-Verwaltungsportal ein.
- Richten Sie Autologin im Pro-Verwaltungsportal ein.
- Bereitstellung der Computes
- Die Teams Rooms-Computes installieren automatisch die Windows- und Teams-App und meldet sich ohne physischen Zugriff auf das Gerät an.
Step-By-Step Anleitung zur Autopilot & Autologin Einrichtung
Step 0:
MTR Hashwert identifizieren
Der Hash-Wert eines Teams Rooms Geräts ist eine eindeutige Kennung, die das Gerät identifiziert. Dieser Hash-Wert wird generiert, um die sichere und präzise Zuordnung des Geräts zum M365 Tenant eines Kunden zu ermöglichen. Der Hash-Wert umfasst spezifische Informationen des Geräts, wie Seriennummer und andere hardwarebezogene Daten, die zusammen einen einzigartigen Fingerabdruck bilden.
Sobald der Hash-Wert in den M365 Tenant hochgeladen wurde, kann das Gerät automatisch über AutoPilot registriert und konfiguriert werden. Dies bedeutet, dass die Geräte, sobald sie eingeschaltet und mit dem Internet verbunden sind, automatisch die richtigen Einstellungen und Software erhalten, ohne dass eine manuelle Konfiguration erforderlich ist.
Es gibt mehrere Möglichkeiten, wie die Hash-Werte von Teams Rooms Systemen in den M365 Tenant eines Kunden importiert werden können:
- OEM (Original Equipment Manufacturer): Die Hersteller der Geräte können die Hash-Werte direkt in den Tenant des Kunden hochladen, bevor die Geräte ausgeliefert werden. Dies erleichtert die Inbetriebnahme erheblich, da die Geräte sofort bereit für die Anmeldung sind.
- Partner: Partnerunternehmen, die die Geräte im Auftrag des Kunden verwalten und bereitstellen, können ebenfalls die Hash-Werte hochladen. Diese Option ist besonders nützlich für Unternehmen, die mit spezialisierten IT-Dienstleistern zusammenarbeiten.
- Manueller Upload: Administratoren können die Hash-Werte manuell in das M365 Admin Center hochladen. Dies erfolgt in der Regel über eine CSV-Datei, die die entsprechenden Informationen enthält. Diese Methode erfordert mehr manuelle Arbeit, bietet aber maximale Flexibilität.
- Automatisierte Tools: Es gibt verschiedene Tools und Skripte, die entwickelt wurden, um den Prozess des Hochladens der Hash-Werte zu automatisieren. Diese Tools können von IT-Administratoren verwendet werden, um den Prozess zu beschleunigen und Fehler zu minimieren.
How i do it – Lab Approach
In meinem Fall werden wir den Hash Wert direkt am MTR mit Hilfe eines Scripts und einem USB Stick auslesen, ohne den Out of Box Process durchlaufen zu müssen. An dieser Stelle einen Dank an einen Blogger Kollegen von „The Lazy Administrator“ , der diesen Weg beschrieben hat.
Los gehts…
Öffnen Sie Ihre PowerShell als Administrator.
Führen Sie das folgende Kommando aus:
Install-Script -Name Get-WindowsAutoPilotInfo
Bestätigen Sie die Abfrage mit „A“ .
Öffnen Sie den Installationsordner und kopieren Sie die Datei mit dem Namen „WindowsAutoPilotInfo.ps1“ aus diesem Ordner auf Ihren USB Stick ins Root Verzeichnis.
Erstellen Sie eine neue Textdatei mit dem folgenden Inhalt auf dem USB Stick im Root Verzeichnis.
@ECHO OFF
echo Enabling WinRM
PowerShell -NoProfile -ExecutionPolicy Unrestricted -Command Enable-PSRemoting -SkipNetworkProfileCheck -Force
echo Gathering AutoPilot Hash
PowerShell -NoProfile -ExecutionPolicy Unrestricted -Command %~dp0Get-WindowsAutoPilotInfo.ps1 -ComputerName $env:computername -OutputFile %~dp0compHash.csv -append
echo Done!
pause
Speichern Sie die Datei mit dem folgenden Namen ab: „GetAutoPilot.CMD“
Auf Ihrem USB Stick sollten sich nun die beiden folgenden Dateien befinden:
Stecken Sie den USB Stick in einen freien USB Port an Ihrem MTR und starten Sie den Rechner. Führen Sie den OOB Wizard nicht aus.
Drücken Sie „Shift+F10“ auf Ihrer Tastatur um die Eingabeaufforderung zu öffnen.
- Ändern Sie das Verzeichnis und switchen Sie auf Ihren USB Stick (normalerweise „D“).
- Führen Sie das folgende Kommando aus „GetAutoPilot.cmd“
- Warten Sie bis der Prozess abgeschlossen ist und entnehmen Sie dann den Stick.
Auf Ihrem Stick finden Sie nun eine neue Datei: „compHash.csv“ . Diese beinhaltet den Hash-Wert Ihres MTR.
Step 1:
Erstellen einer dynamischen Gruppe in Microsoft Intune
Hintergrund:
Die Verwendung dynamischer Gruppen in Intune für Windows Autopilot bietet mehrere Vorteile:
- Automatische Gerätezuweisung:
- Dynamische Gruppen verwenden Regeln, um Geräte automatisch hinzuzufügen.
- Bei der Verwaltung vieler Geräte ist dies effizienter als manuelles Hinzufügen.
- Einfache Verwaltung:
- Dynamische Gruppen passen sich automatisch an Änderungen an.
- Neue Autopilot-Geräte werden automatisch erkannt und hinzugefügt.
- Effizienz und Skalierbarkeit:
- Regeln basieren auf Autopilot-Geräteattributen (z. B. OrderID oder Purchase Order ID).
- Gruppen wachsen dynamisch, ohne manuellen Aufwand.
Rufen Sie das Intune Portal unter https://intune.microsoft.com/#home auf und loggen Sie sich ein.
Klicken Sie links in der Navigation auf „Groups“ .
Klicken Sie im rechten Bereich auf „New Group“ .
Konfigurieren Sie die folgenden Settings:
- Group Type – „Security“
- Group Name – frei wählbar
- Group Description – frei wählbar
- Microsoft Entra roles can be assigned to the Group – „No“
- Membership type: „Dynamic Device“
Klicken Sie unter „Dynamic device members“ auf „Add dynamic query“ .
Klicken Sie im mittleren Bereich ganz rechts neben „Rule Syntax“ auf „Edit“ .
Geben Sie den folgenden Text im „Rule Syntax“ Feld ein und klicken Sie auf „Ok“ .
(device.devicePhysicalIds -any _ -startswith"[OrderID]:MTR-")
Klicken Sie auf „Save“ um die neue Regel zu speichern.
Klicken Sie auf „Create“ um die Erstellung der dynamischen Gruppe abzuschließen.
Step 2:
Automatisches Intune Enrollment einrichten
Klicken Sie links in der Navigation auf „Devices“ .
Klicken Sie unter „Manage devices by platform“ auf den „Windows Button“ .
Klicken Sie links auf „Windows Enrollment“ .
Klicken Sie unter „Enrollment Options“ auf „Automatic Enrollment“ .
Unter „MDM user scope“ wählen Sie „Some“ .
Klicken Sie nun unter „Groups“ auf „No Group selected„.
Wählen Sie nun die zuvor neu erstellte Gruppe aus und klicken Sie auf „Select“ .
Klicken Sie auf „Save“ um den Vorgang abzuschließen.
Step 3
Erstellung und Zuweisung einer Enrollment Status Page (ESP)
Die Enrollment Status Page (ESP) ist eine Funktion, die bei der Bereitstellung von Windows-Geräten über Autopilot und den ersten Anmeldevorgang eine wichtige Rolle spielt. Sie zeigt Benutzern den Fortschritt der Geräteeinrichtung an und kann so konfiguriert werden, dass die Gerätenutzung blockiert wird, bis alle erforderlichen Richtlinien und Anwendungen installiert sind. Die ESP verbessert die Benutzererfahrung und stellt sicher, dass das Gerät den erwarteten Zustand erreicht, bevor Benutzer auf das Systemzugreifen können .
Klicken Sie links in der Navigation auf „Devices“ und anschließend auf den „Windows Button“ .
Klicken Sie auf „Windows Enrollment“ .
Rechts, unter „Windows Autopilot“, klicken Sie auf „Enrollment Status Page“ .
Klicken Sie auf „Create“ .
Vergeben Sie einen aussagekräftigen Namen und eine entsprechende Beschreibung.
Klicken Sie auf „Next“ .
Stellen Sie „Show app and profile configuration process“ auf „Yes“ .
Konfigurieren Sie die folgenden Werte:
- Show app and profile configuration Progress – „Yes“
- Allow users to reset device if Installation error occurs – „Yes“
Klicken Sie auf „Save“.
Unter „Included Groups“ klicken Sie auf „Add Groups“ .
Wählen Sie die erstelle Gruppe aus und klicken Sie auf „Select“ .
Klicken Sie auf „Next“ .
Klicken Sie auf „Next“ .
Klicken Sie auf „Create“ .
Step 4
Erstellung eines Autopilot Profiles
Klicken Sie links in der Navigation auf „Devices“ und anschließend auf den „Windows Button“ .
Klicken Sie auf „Windows Enrollment“ .
Unter „Windows Autopilot“ klicken Sie bitte auf „Deployment profiles“ .
Klicken Sie auf „Create Profile“ .
Wählen Sie „Windows PC“ .
Vergeben Sie einen Namen und eine Beschreibung.
„Convert all targeted devices to Autopilot“ sollte auf „No“ stehen.
Klicken Sie auf „Next“ .
Konfigurieren Sie den „Deployment mode“ als „Self-Deploying“, sowie „Apply device Name template“ als „Yes“ .
Unter „Enter a Name“ geben Sie bitte „MTR-%SERIAL%“ ein und klicken Sie auf „Next“ .
Klicken Sie auf „Add Groups“ .
Wählen Sie die zuvor erstelle Gruppe und klicken Sie auf „Select“ .
Klicken Sie auf „Next“ .
Klicken Sie auf „Create“ .
Step 5
Teams Rooms Update tool App Deployment
Das Teams Rooms App-Update-Tool aktualisiert die Teams Rooms App auf eine Version, die AutoPilot und Autologin unterstützt. Zunächst muss das Update-Tool heruntergeladen und dann in Intune hochgeladen werden. Dadurch kann Intune das Update-Tool an die Teams Rooms verteilen, die sich über AutoPilot anmelden. Das Update-Tool aktualisiert anschließend automatisch die Teams App auf der Konsole, sodass diese sich selbständig einloggen kann. Um das Teams Rooms App-Update-Tool auf Ihren Computes bereitzustellen, gehen Sie wie folgt vor:
Downloaden Sie das Win32 Package des Update Tool über diesen Link:
https://mmrprodglobstor.blob.core.windows.net/public/softwareupdates/onboarding/MTRPUpdater/ProvisioningToolInstaller.intunewin
In Intune klicken Sie links in der Navigation auf „Apps“ .
Klicken Sie auf „Windows“ .
Klicken Sie auf „Add“ .
Unter „Select App Type“ wählen Sie bitte „Windows app (Win32)“ und klicken Sie auf „Select“ .
Klicken Sie neben „Select file“ auf „Select app package file“ .
Unter „App package file“ klicken Sie rechts neben „Select a file“ auf den „Ordner Button“ .
Wählen Sie die vorab heruntergelandene Datei aus und klicken Sie auf „Open“ .
Klicken Sie auf „Ok“ .
Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung.
Konfigurieren Sie „Microsoft“ als „Publisher“ und klicken Sie auf „Next“ .
Klicken Sie auf „Next“ .
Unter „Operating System Architecture“ wählen Sie bitte „32-bit“ und „64-bit“ aus.
Unter „Minimum operating System“ wählen Sie bitte „Windows 10 21H2“ aus.
Klicken Sie auf „Next“ .
Als „Rules Format“ wählen Sie bitte „Manually configure detection rules“ aus.
Klicken Sie auf „Add“ .
Als „Rule type“ wählen Sie bitte „MSI“ aus.
Stellen Sie „MSI product version check“ auf „No“ .
Klicken Sie auf „Ok“ .
Klicken Sie auf „Next“ .
Klicken Sie auf „Next“ ,
Klicken Sie auf „Next“ .
Klicken Sie auf „Add Group“ .
Wählen Sie die zuvor erstellte Gruppe aus und klicken Sie „Select“ .
Klicken Sie auf „Next“ .
Klicken Sie auf „Create“ um den Vorgang abzuschließen.
Step 6
MTR als Autopilot Device anlegen
Klicken Sie auf „Devices“ .
Klicken Sie auf „Windows“ .
Klicken Sie auf „Windows Enrollment“ .
Unter „Windows Autopilot“ klicken Sie auf „Devices“ .
Klicken Sie auf „Import“ .
Klicken Sie rechts auf den „Ordner Button“ .
Wählen Sie nun die „compHash.csv“ auf Ihrem USB Stick aus und klicken Sie auf „Öffnen“ .
Klicken Sie auf „Import“ .
Die Informationen werden nun importiert. Dies kann ein paar Minuten dauern.
Sobald der Vorgang abgeschlossen ist, sollte Ihr MTR PC nun in der Device Liste erscheinen. Sollte dies nicht automatisch passieren, klicken Sie oben in der Navigation auf „Refresh“ .
Wie Sie sehen können, ist dem Rechner noch kein Profil zugeordnet. Dies ändern wir nun, indem wir ihm den MTR- Group Tag geben, welcher ihn dann automatisch in unsere erstellte dynamische Gruppe aufnimmt.
Alternativ dazu können Sie diesen Wert auch in der im ersten Schritt erstellten Hash CSV Datei einfügen. Fügen Sie ein Feld „Group Tag“ in der Kopfzeile hinzu und fügen Sie „MTR-ConsoleName“ als Daten für dieses Feld ein. Ein Beispiel finden Sie nachfolgend:
Klicken Sie auf die Seriennummer.
Vergeben Sie nun einen aussagekräftigen Namen für Ihren MTR und tragen Sie das Group Tag „MTR-“ ein. Klicken Sie anschließend auf „Save“ .
Der Status des Devices sollte sich nun direkt, oder nach sehr kurzer Zeit, zu „Pending“ und anschließend zu „Assigned“ ändern.
Step 7
LAPS Policy erstellen
LAPS steht bei Microsoft für Local Administrator Password Solution. Diese Lösung dient dazu, die lokalen Administratorkennwörter auf den Computern in einem Netzwerk automatisch und regelmäßig zu ändern. Dabei wird das Kennwort sicher im Active Directory gespeichert und kann nur von autorisierten Benutzern ausgelesen werden.
LAPS verbessert die Sicherheit, indem es verhindert, dass alle Computer dasselbe lokale Administratorkennwort verwenden, was das Risiko eines umfassenden Sicherheitsvorfalls verringert, falls ein Kennwort kompromittiert wird.
Klicken Sie links in der Navigation auf „Endpoint Security“ .
Unter „Manage“ klicken Sie bitte auf „Account Protection“ .
Klicken Sie auf „Create Policy“ .
Unter „Platform“ wählen Sie bitte „Windows 10 and later“ und unter „Profile“ „Local Admin passwort solution (Windows LAPS)“. Klicken Sie anschließend auf „Create“ .
Vergeben Sie einen aussagekräftigen Namen, sowie eine Beschreibung und klicken Sie auf „Next“ .
Stellen Sie „Backup Directory“ auf „Not configured„.
Aktivieren Sie „Administrator Account Name“ und tragen Sie „Admin“ in das Feld ein.
Klicken Sie auf „Next“ .
Klicken Sie auf „Next“ .
Klicken Sie auf „Add Groups“ .
Wählen Sie Ihre dynamische Gruppe aus und klicken Sie auf „Select“ .
Klicken Sie auf „Next“ .
Klicken Sie abschließend auf „Create“ .
Step 8
Autologin Account für den MTR festlegen
Öffnen Sie das Teams Pro Portal unter „https://portal.rooms.microsoft.com/“.
Klicken Sie auf „Planning“ und anschließend auf „Autopilot Devices“ .
Sie sehen nun Ihren MTR Rechner. Klicken Sie in der Navigation oben auf „Assign Account“ oder auf den Rechner Namen / die Seriennummer.
Klicken Sie ggf. abermals auf „Assign Account“ .
Aktivieren Sie die Box vor dem MTR, welchem Sie einen Account zuordnen wollen und drücken Sie anschließend auf „Next“ .
Wählen Sie den Resourcen Account, den Sie dem System zuordnen wollen und klicken Sie auf „Next“ .
Sie können nun wählen, ob Sie das bestehende beibehalten wollen oder lieber ein random generiertes Passwort nutzen möchten.
Ich empfehle, wie in meinem Beispiel, ein automatisch erstelltes neues Passwort zu nutzen, da dies ungemein zur Sicherheit der Systeme beiträgt. Klicken Sie auf „Next“ .
Bestätigen Sie den Vorgang, indem Sie auf „Finish“ klicken.
Sie können nun noch die Accounts inkl. Passwort als Datei herunterladen. Ich empfehle dies zu tun.
Der Vorgang ist nun abgeschlossen und Sie können Ihren MTR starten. Dieser sollte nun automatisch eingerichtet, upgedated und angemeldet werden.
Nun ist es endlich Zeit den MTR zu starten und den Erfolg unserer Konfiguration zu geniessen 🙂
Mein Fazit:
Der Rollout von Microsoft Teams Rooms on Windows mit Hilfe von Autopilot und Autologin ist unglaublich zeitsparend und einfach, sobald alles einmal konfiguriert ist. Durch Autopilot werden neue Geräte direkt aus der Cloud eingerichtet, was manuelle Installationen überflüssig macht und Fehlerquellen minimiert. Mit Autologin starten die Teams Rooms automatisch, ohne dass jemand vor Ort eingreifen muss. Dadurch sind lokale IT-Ressourcen nach der Ersteinrichtung kaum noch notwendig, da die Verwaltung und Wartung zentral und remote erfolgen können. Die zentrale Bereitstellung ist ein fantastisches Feature, das eine konsistente und standardisierte Konfiguration aller Geräte ermöglicht, egal wo sie sich befinden. Dies führt zu einem einheitlichen Nutzererlebnis und vereinfacht das Management der IT-Infrastruktur erheblich. Insgesamt sparen Autopilot und Autologin viel Zeit und Ressourcen beim Rollout von Microsoft Teams Rooms on Windows.
Done 🙂
No responses yet