Windows Intune Agent in Image integrieren (Offline-Szenario)
Mit der ersten Version von Windows Intune musste beim Deployment eines Images mit anschließender Installation des Windows Intune Agents eine aktive Internetverbindung bestehen, da ansonsten die Installation fehlgeschlagen ist.
Hierzu gibt es nun eine dringend erwartete Neuerung in der nächsten Version, über deren Erscheinungsdatum mein Kollege Tobias Trapp bereits gebloggt hat: https://blogs.technet.com/b/windows_intune_deutschland/archive/2011/09/07/windows-intune-update-ab-17-oktober-verf-252-gbar.aspx. Ich möchte Ihnen in diesem Blog zeigen, welche Schritte Sie mit der neuen Version vollziehen müssen, um den Windows Intune Agent während Ihres OS Deployments zu installieren. Dazu nutze ich das Microsoft Deployment Toolkits 2010 (kurz: MDT).
Wie bereits in dem Blogeintrag https://blogs.technet.com/b/windows_intune_deutschland/archive/2011/03/23/der-windows-intune-client.aspx beschrieben kann für die Installation des Clients die exe-Datei bzw. die architekturabhängigen msi-Dateien genutzt werden. Hier nutzen wir die exe-Datei.
Die Setupdateien (exe und accountcert) legen wir auf dem Referenzcomputer ab.
Sollten Sie bereits über ein Image verfügen, so können Sie z.B. mit
DISM.exe /Mount-Wim /WimFile:C:\test\images\myimage.wim /index:1 /MountDir:C:\test\offline
nachträglich die entsprechenden Dateien hinzufügen, ohne ein neues Referenzimage zu erzeugen.
Wir legen die Dateien in dem Zielorder %Systemdrive%\Temp\Windows_Intune_Setup ab:
Als nächsten Schritt müssen wir das Referenzimage so vorbereiten, dass es nach erfolgreichem Deployment (also der Installation des Windowsimage auf dem Zielcomputer) den Windows Intune Agent installiert, und zwar auch dann, wenn keine Internetverbindung besteht.
Hierzu existieren mehrere Varianten. Sie können im Verzeichnes %WINDIR%\Setup\Scripts\ eine Datei SetupComplete.cmd ablegen, die nach der Installation von Windows ausgeführt wird. Mehr Informationen unter https://technet.microsoft.com/de-de/library/cc766314(WS.10).aspx.
Wir führen die Initialisierung der Installation über zwei Task in unserer MDT Task Sequence aus. D.h. sollten Sie noch kein Image erzeugt haben, dann noch Sysprep und ein Capture-Image ausführen.
Bereiten wir nun die Task Sequence vor. Unter "State Restore\Custom Tasks" benötigen wir zwei neue Tasks.
Fügen wir dazu zwei neue "Run Command Line" Tasks hinzu:
Der erste "Run Command Line" Task setzt den WindowsIntuneEnrollPending Registry Key unter HKEY_LOCAL_MACHINE\Software\Microsoft\Onlinemanagement\Deployment. Solange dieser Eintrag besteht, wird die Installation des Windows Intune Agents erneut gestartet. Sobald die Installation erfolgreich abgeschlossen ist, wird dieser Key automatisch gelöscht.
Fügen Sie folgenden Befehl in die "Command Line" ein, um den Key zu setzen:
%windir%\system32\reg.exe add HKEY_LOCAL_MACHINE\Software\Microsoft\Onlinemanagement\Deployment /v WindowsIntuneEnrollPending /t REG_DWORD /d 1
In dem zweiten "Run Command Line" Task wird nun der Computer vorbereitet, um automatisiert Windows Intune auszurollen. Hinterlegen Sie in der "Command Line" folgenden Befehl:
%systemdrive%\temp\Windows_Intune_Setup>Windows_Intune_Setup.exe /PrepareEnroll
Der Schalter "/PrepareEnroll" führt dazu, dass beim Aufruf geprüft wird, ob der Agent bereits ausgerollt wurde. Wenn nein, wird der "Windows Intune Automatic Enrollment Task" erstellt:
Der Windows Intune Automatic Enrollment Task prüft nun, ob der Registry Key WindowsIntuneEnrollPending exisitiert und versucht den Windows Intune Agent zu installieren. Bei einem Fehler (z.B. fehlende Internetverbindung) wird die Installation erneut versucht, sobald der Task erneut abläuft. Diese Schritte werden maximal einen Monat lang wiederholt, danach werden die Versuche abgebrochen.
Nach einer erfolgreichen Installation wird der "Windows Intune Automatic Enrollment Task" sowie der Registry Key automatisch entfernt und Ihr Computer kann durch Windows Intune verwaltet werden.,