Windows Autopilot: Neuerungen

Updates zur Fehlermeldung für manuelle Geräteuploads

Das Intune-Release 2310 sorgt für mehr Klarheit beim manuellen Hardwarehashupup in der Konsole. Wenn ein Gerät nicht importiert werden konnte, wird in einer Benachrichtigung der Importfehler zusammen mit den spezifischen Zeilen der CSV-Datei angezeigt, die den Fehler empfangen hat. Die Fehlercodes enthalten auch weitere Details dazu, warum das Gerät nicht hochgeladen werden konnte, ob das Gerät einem anderen Mandanten zugewiesen ist oder ob das Gerät bereits beim Mandanten registriert ist.

Screenshot des Importfehlers.

Importfehlerdetails.

Aufheben der Blockierung des Ausstehenden Zustands für den Selbstbereitstellungs- und Vorabbereitstellungsmodus für deaktivierte OEMs

Ab 2310 führen wir ein Update der Modi für selbstbereitstellung und Vorabbereitstellung für Hersteller durch, die sich nicht für den Nachweis der Entfernung von überholten Autopilot-Geräten entschieden haben. Kunden, die diese Hersteller verwenden, waren weiterhin dem einmaligen gerätebasierten Registrierungsblock in den Modi "Self-Deployment" und "Pre-Provisioning" unterworfen. Dieser Block bedeutet, dass das Gerät den Selbstbereitstellungs- oder Vorabbereitstellungsmodus einmal durchlaufen und dann daran gehindert wird, dies erneut zu tun. Dieses Verhalten kann Probleme verursachen, wenn das Gerät zurückgesetzt oder erneut bereitgestellt werden musste. Diese Änderung in 2310 ermöglicht es einer Schaltfläche im Abschnitt Autopilot-Geräte in Intune, diese Geräte manuell zu entsperren. Dieses Update funktioniert nur für OEMs, die nicht in der OEM-Liste enthalten sind, und funktioniert nicht bei der Korrektur, die status aussteht.

Aufheben der Blockierung von Geräten

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

  3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

  4. In den Fenstern | Windows-Gerätebildschirm , wählen Sie Windows-Registrierung aus.

  5. Wählen Sie unter Windows Autopilot Deployment Programmdie Option Geräte aus.

  6. Wählen Sie das Gerät aus, das Sie entsperren möchten, und wählen Sie oben auf der Seite die Schaltfläche Gerät entsperren aus.

Update auf den BitLocker-Wiederherstellungsschlüsselprozess für Windows Autopilot

Microsoft Intune ändert, wie BitLocker-Zurücksetzungen für wiederverwendete Windows Autopilot-Geräte im September -Dienstrelease (2309) erfolgen. Zuvor konnten Benutzer über den BitLocker-Self-Service auf den BitLocker-Wiederherstellungsschlüssel zugreifen, wenn sie Geräte wiederverwenden, die über Windows Autopilot konfiguriert wurden. Nach der Änderung müssen sich Benutzer jedoch an ihren IT-Administrator wenden, um eine Wiederherstellung anzufordern oder auf den BitLocker-Wiederherstellungsschlüssel zuzugreifen. IT-Administratoren haben sowohl vor als auch nach dieser Änderung weiterhin vollen Zugriff auf Wiederherstellungsschlüssel.

Benutzerauswirkungen

Diese Änderung betrifft neue primäre Benutzer des Autopilot-Geräts, denen die Self-Service-Wiederherstellung von BitLocker-Schlüsseln auf diesem Gerät erlaubt ist. Es gibt keine Auswirkungen, wenn sich der primäre Benutzer des Geräts bei der Gerätewiederherstellung oder -zurücksetzung nicht ändert.

Der Self-Service-BitLocker-Zugriff kann weiterhin genauso funktionieren, wenn der IT-Administrator eines der folgenden Aktionen ausführt:

Wenn der neue primäre Benutzer nicht auf BitLocker Self-Service zugreifen kann, nachdem er einen früheren primären Benutzer geändert hat, sollte der IT-Administrator den primären Benutzer in den Geräteeigenschaften aktualisieren. Der primäre Benutzer auf dem Gerät aktualisiert dann beim nächsten Einchecken auf den neuen Benutzer.

Notwendige Vorbereitungen

Um einen reibungslosen Übergang zu gewährleisten, benachrichtigen Sie Ihren Helpdesk über diese Änderung. Aktualisieren Sie außerdem Ihre Dokumentation auf eine der folgenden Optionen:

  1. Notieren Sie sich vorübergehend den BitLocker-Wiederherstellungsschlüssel vor einer Wiederherstellung, wie im BitLocker-Wiederherstellungshandbuch dokumentiert.
  2. Wenden Sie sich an den Helpdesk oder die IT-Admin, um den BitLocker-Self-Service-Zugriff zu entsperren.

Update: Temporäre Änderung

Wenn Geräte, die Windows Autopilot verwenden, wiederverwendet werden und ein neuer Gerätebesitzer vorhanden ist, muss sich dieser neue Gerätebesitzer an einen Administrator wenden, um den BitLocker-Wiederherstellungsschlüssel für dieses Gerät zu erhalten. Administratoren im Bereich der Verwaltungseinheit verlieren den Zugriff auf BitLocker-Wiederherstellungsschlüssel, nachdem sich der Gerätebesitz geändert hat. Diese bereichsbezogenen Administratoren müssen sich für die Wiederherstellungsschlüssel an einen nicht bereichsbezogenen Administrator wenden. Diese Änderung ist eine temporäre Änderung für bereichsbezogene Administratoren und wird aktualisiert, sobald eine Lösung vorhanden ist.

Die konfigurierbare Installationszeit der Win32-App wirkt sich auf die Seite "Registrierungsstatus" aus.

Win32-Apps in Intune 2308 ermöglichen es Ihnen, eine Installationszeit pro App zu konfigurieren. Diese Zeit wird in Minuten angegeben. Wenn die Installation der App länger dauert als die festgelegte Installationszeit, schlägt die Installation der App fehl. Um Esp-Timeoutfehler (Enrollment Status Page) zu vermeiden, müssen alle Änderungen an Timeouts, die Sie an Ihren Win32-Apps vornehmen, auch das ESP-Timeout erhöhen, um diese Änderungen widerzuspiegeln.

Resilienz des Autopilot-Profils

Das Herunterladen der Windows Autopilot-Richtlinie wurde gerade resilienter! Ein neues Update wird eingeführt, das die Wiederholungsversuche zum Anwenden der Windows Autopilot-Richtlinie erhöht, wenn eine Netzwerkverbindung möglicherweise nicht vollständig initialisiert ist. Durch die erhöhten Wiederholungsversuche wird sichergestellt, dass das Profil angewendet wird, bevor der Benutzer mit dem Setup beginnt, und die Zeitsynchronisierung wird verbessert. Installieren Sie die folgenden Qualitätsupdates für dieses Feature:

Ein Schritt Entfernung der Windows Autopilot-Registrierung

Ab 2307 erleichtert Windows Autopilot die Verwaltung von Geräten, indem ein Gerät in Autopilot-Geräten in Intune entfernt wird. Ein Schritt Entfernung eines Geräts bedeutet, dass Sie jetzt die Autopilot-Registrierung eines Geräts entfernen können, ohne den Datensatz in Intune löschen zu müssen. Wenn das Gerät weiterhin in Intune aktiv ist, wird durch den Löschvorgang nur die Registrierung entfernt, aber es wird weiterhin verwaltet. So verwenden Sie dieses Feature in Intune:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

  3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

  4. In den Fenstern | Windows-Gerätebildschirm , wählen Sie Windows-Registrierung aus.

  5. Wählen Sie unter Windows Autopilot Deployment Programmdie Option Geräte aus.

  6. Wählen Sie das Gerät aus, das Sie entfernen möchten, und klicken Sie dann oben auf der Symbolleiste auf Löschen .

Die Gerätebenennung erfolgt während der Technikerphase für die Vorabbereitstellung.

Ab 2303 erzwingt eine neue Funktionsänderung die Umbenennung des Geräts während der Technikerphase für die Vorabbereitstellung für Microsoft Entra Join-Geräte. Nachdem der Techniker die Schaltfläche "Bereitstellen" ausgewählt hat, führen wir sofort die Geräteumbenennung und den Neustart des Geräts durch und wechseln dann zur Geräte-ESP. Während des Benutzerflows wird die Umbenennung des Geräts dann übersprungen, damit Ressourcen, die vom Gerätenamen abhängig sind (z. B. SCEP-Zertifikate), erhalten bleiben. Um diese Änderung anzuwenden, installieren Sie für Windows 10 Qualitätsupdates KB5023773 oder höher. Installieren Sie für Windows 11 qualitätsupdates KB5023778 oder höher.

Installieren erforderlicher Apps während der Vorabbereitstellung

Im ESP-Profil (Enrollment Status Page) ist ein neuer Umschalter verfügbar, mit dem Sie auswählen können, ob Sie versuchen möchten, erforderliche Anwendungen während der Phase des Technikers vor der Bereitstellung zu installieren. Wir wissen, dass die Installation so vieler Anwendungen wie möglich während der Vorabbereitstellung gewünscht wird, um die Einrichtungszeit des Endbenutzers zu verkürzen. Damit Sie während der Vorabbereitstellung so viele Anwendungen wie möglich installieren können, wurde eine Option implementiert, mit der sie versuchen können, alle erforderlichen Apps zu installieren, die einem Gerät während der Technikerphase zugewiesen sind. Wenn ein Fehler bei der App-Installation auftritt, wird ESP mit Ausnahme der im ESP-Profil angegebenen Apps fortgesetzt. Um diese Funktion zu aktivieren, bearbeiten Sie Ihr Profil der Registrierungsstatusseite, indem Sie in der neuen Einstellung Nur ausgewählte Apps in der Technikerphase aufJa klicken. Diese Einstellung wird nur angezeigt, wenn Sie blockierende Apps ausgewählt haben. Weitere Informationen finden Sie unter Update auf Windows Autopilot-Vorabbereitstellungsprozess für App-Installationen.

Neue Microsoft Store-Apps werden jetzt mit der Registrierungsstatusseite unterstützt

Die Registrierungsstatusseite (ESP) unterstützt jetzt die neuen Microsoft Store-Anwendungen während Windows Autopilot. Dieses Update ermöglicht eine bessere Unterstützung für die neue Microsoft Store-Benutzeroberfläche und sollte ab Intune 2303 für alle Mandanten eingeführt werden. Weitere Informationen finden Sie unter Einrichten der Seite "Registrierungsstatus".

Verbesserungen der Esp-Ablösung von Win32-Apps

Ab Januar 2023 sind wir derzeit dabei, win32-App-Ablösungs-GA einzuführen. Dadurch werden Verbesserungen des ESP-Verhaltens im Bereich App-Nachverfolgung und App-Verarbeitung eingeführt. Insbesondere Administratoren bemerken möglicherweise eine Änderung der App-Anzahl. Weitere Informationen finden Sie unter Verbesserungen bei der Ablösung von Win32-Apps und Hinzufügen der Ablösung von Win32-Apps.

Unterstützung für den befristeten Zugriffspass

Ab Windows Autopilot 2301 unterstützt Autopilot die Verwendung des temporären Zugriffspasses für Microsoft Entra eingebundenen benutzergesteuerten, vorab bereitgestellten und selbst bereitstellenden Modus für gemeinsam genutzte Geräte. Ein befristeter Zugriffspass ist eine zeitlich begrenzte Kennung, die für die mehrfache oder einmalige Verwendung konfiguriert werden kann, um Benutzern das Onboarding anderer Authentifizierungsmethoden zu ermöglichen. Zu diesen Authentifizierungsmethoden gehören kennwortlose Methoden wie Microsoft Authenticator, FIDO2 oder Windows Hello for Business.

Weitere Informationen zu unterstützten Szenarien finden Sie unter Befristeter Zugriffspass.

Automatische Automatische Geräteerfassung Diagnose

Ab Intune 2209 erfasst Intune automatisch Diagnose, wenn bei Geräten während des Autopilot-Prozesses unter Windows 10 Version 1909 oder höher und mit Windows 11 ein Fehler auftritt. Wenn die Verarbeitung von Protokollen auf einem fehlerhaften Gerät abgeschlossen ist, werden sie automatisch erfasst und in Intune hochgeladen. Die Diagnose kann benutzeridentifizierbare Informationen wie Benutzer- oder Gerätename enthalten. Wenn die Protokolle in Intune nicht verfügbar sind, überprüfen Sie, ob das Gerät eingeschaltet ist und Zugriff auf das Internet hat. Diagnosen sind 28 Tage lang verfügbar, bevor sie entfernt werden.

Weitere Informationen finden Sie unter Sammeln von Diagnose von einem Windows-Gerät.

Updates zur Autopilot-Gerätezielinfrastruktur

Mit Intune 2208 aktualisieren wir die Autopilot-Infrastruktur, um sicherzustellen, dass die zugewiesenen Profile und Anwendungen konsistent bereit sind, wenn die Geräte bereitgestellt werden. Diese Änderung reduziert die Datenmenge, die pro Autopilot-Gerät synchronisiert werden muss. Darüber hinaus werden Ereignisse zum Ändern des Gerätelebenszyklus verwendet, um die Zeit zu reduzieren, die für die Wiederherstellung nach dem Zurücksetzen von Geräten für Microsoft Entra und Microsoft Entra hybrid eingebundenen Geräten benötigt wird. Es ist keine Aktion erforderlich, um diese Änderung zu aktivieren. Es wird ab August 2022 für alle Clients eingeführt.

Aktualisieren des Intune-Connectors für Active Directory für Microsoft Entra hybrid eingebundenen Geräten

Ab September 2022 erfordert der Intune-Connector für Active Directory (ODJ-Connector) .NET Framework Version 4.7.2 oder höher. Wenn Sie .NET 4.7.2 oder höher noch nicht verwenden, funktioniert der Intune-Connector möglicherweise nicht für Autopilot-Hybridbereitstellungen Microsoft Entra, die zu Fehlern führen. Wenn Sie einen neuen Intune-Connector installieren, verwenden Sie nicht das zuvor heruntergeladene Connectorinstallationspaket. Bevor Sie einen neuen Connector installieren, aktualisieren Sie den .NET Framework auf Version 4.7.2 oder höher. Laden Sie eine neue Version aus dem Abschnitt Intune-Connector für Active Directory des Microsoft Intune Admin Center herunter. Wenn Sie nicht die neueste Version verwenden, funktioniert dies möglicherweise weiterhin, aber das Feature für automatische Upgrades zum Bereitstellen von Updates für den Intune-Connector funktioniert nicht.

Melden Sie sich bei der Mitverwaltung von Windows Autopilot an

Mit dem Intune-Release 2205 können Sie die Geräteregistrierung in Intune so konfigurieren, dass die Co-Verwaltung aktiviert wird. Dies geschieht während des Autopilot-Prozesses. Dieses Verhalten lenkt die Arbeitslastautorität in einer orchestrierten Weise zwischen Konfigurationsmanager und Intune.

Wenn auf das Gerät eine Richtlinie für die Autopilot-Registrierung status Seite (ESP) festgelegt ist, wartet das Gerät auf Configuration Manager. Der Configuration Manager-Client wird installiert, bei der Site registriert und die Produktions-Co-Management-Richtlinie angewendet. Dann setzt der Autopilot ESP fort.

Weitere Informationen finden Sie unter Registrieren für die Co-Verwaltung mit Autopilot.

Verbesserungen an der Seite "Registrierung status"

Mit dem Intune 2202-Release wurde die Funktionalität der Registrierungsseite status verbessert. Die Anwendungsauswahl zum Auswählen von blockierenden Apps weist die folgenden Verbesserungen auf:

  • Enthält ein Suchfeld zur einfacheren Auswahl von Apps.
  • Behebt ein Problem, bei dem nicht zwischen Store-Apps im Online- oder Offlinemodus unterschieden werden konnte.
  • Fügt eine neue Spalte für Version hinzu, um zu sehen, welche Version der Anwendung ausgewählt ist.

Die Registrierungs- status Anwendungsauswahl.

Einmalige Selbstbereitstellung und Vorabbereitstellung

Wir haben den Windows Autopilot-Selbstbereitstellungsmodus und den Vorabbereitstellungsmodus geändert und einen Schritt hinzugefügt, um den Gerätedatensatz im Rahmen des Gerätewiederverwendungsprozesses zu löschen. Diese Änderung wirkt sich auf alle Windows Autopilot-Bereitstellungen aus, bei denen das Autopilot-Profil auf den Modus zur Selbstbereitstellung oder Vorabbereitstellung festgelegt ist. Diese Änderung wirkt sich nur auf ein Gerät aus, wenn es wiederverwendet oder zurückgesetzt wird und versucht wird, es erneut bereitzustellen.

Weitere Informationen finden Sie unter Änderungen am Windows Autopilot-Anmelde- und Bereitstellungsablauf.

Update auf die Windows Autopilot-Anmeldeoberfläche

Benutzer müssen ihre Anmeldeinformationen bei der ersten Anmeldung während der Registrierung eingeben. Wir lassen keine Vorabauffüllung des Microsoft Entra Benutzerprinzipalnamens (UPN) mehr zu.

Weitere Informationen finden Sie unter Updates zur Windows Autopilot-Anmelde- und Bereitstellungsumgebung.

Multi-Faktor-Authentifizierung: Änderungen am Windows Autopilot-Registrierungsablauf

Um die Baselinesicherheit für Microsoft Entra-ID zu verbessern, haben wir Microsoft Entra Verhalten für die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) während der Geräteregistrierung geändert. Wenn ein Benutzer zuvor die MFA im Rahmen seiner Geräteregistrierung abgeschlossen hat, wurde der MFA-Anspruch nach Abschluss der Registrierung in den Benutzerstatus übertragen.

Jetzt wird der MFA-Anspruch nach der Registrierung nicht beibehalten. Benutzer werden aufgefordert, die MFA für alle Apps zu wiederholen, die MFA gemäß Richtlinie erfordern.

Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung: Änderungen am Windows Autopilot-Registrierungsablauf.

Seite "Windows Autopilot Diagnose"

Wenn Sie Windows 11 mit Autopilot bereitstellen, können Sie Benutzern ermöglichen, detaillierte Informationen zur Problembehandlung zum Autopilot-Bereitstellungsprozess anzuzeigen. Eine neue Windows Autopilot-Diagnose-Seite ist verfügbar, die eine benutzerfreundliche Ansicht zum Beheben von Windows Autopilot-Fehlern bietet.

Das folgende Beispiel zeigt Details zu Bereitstellungsinformationen, einschließlich Netzwerkkonnektivität, Autopilot-Einstellungen und Registrierungsstatus. Sie können auch Protokolle für eine detaillierte Problembehandlungsanalyse exportieren.

Windows Autopilot Diagnose Seite erweitert, um Details anzuzeigen.

Um die seite Diagnose zu aktivieren, wechseln Sie zum ESP-Profil. Stellen Sie sicher, dass Fortschritt der App- und Profilkonfiguration anzeigen auf Ja ausgewählt ist, und wählen Sie dann Ja neben Protokollsammlung aktivieren und seite Diagnose für Endbenutzer aus.

Die Diagnose Seite wird derzeit für kommerzielle OOBE und den benutzergesteuerten Autopilot-Modus unterstützt. Es ist derzeit auf Windows 11 verfügbar. Windows 10 Können Benutzer weiterhin Diagnoseprotokolle sammeln und exportieren, wenn diese Einstellung in Intune aktiviert ist.

Nächste Schritte