Was ist Windows Autopilot?
Windows Autopilot ist Microsofts Antwort auf die klassische Frage: „Wie kriege ich 50 neue Laptops produktionsbereit, ohne sie alle einzeln anzufassen?”
Das Prinzip ist simpel aber mächtig: Ein neues Gerät wird eingeschaltet, verbindet sich mit dem Internet, identifiziert sich anhand seiner Hardware-ID bei Microsoft und bekommt vollautomatisch sein Profil, seine Apps und seine Konfiguration eingespielt – ohne dass ein IT-Admin das Gerät jemals in der Hand hatte.
Zero Touch. Out of the box. Direkt zum Mitarbeiter.
Voraussetzungen
Bevor es losgeht, müssen einige Grundlagen stimmen:
- Microsoft Intune Lizenz (z. B. über Microsoft 365 Business Premium oder EMS E3/E5)
- Azure AD (Entra ID) als Identity-Provider
- Windows 10 Pro/Enterprise 1903+ oder Windows 11
- Geräte-Hardware-IDs (CSV mit Serial, PKID, Hardware Hash) – lieferbar direkt vom OEM oder per PowerShell
Geräte-Hardware-Hash exportieren
Wenn du Geräte manuell registrieren musst, geht das per PowerShell:
# Autopilot-Diagnoseskript herunterladen
Install-Script -Name Get-WindowsAutoPilotInfo -Force
# Hardware-Hash exportieren
Get-WindowsAutoPilotInfo -OutputFile C:\Temp\AutopilotHWID.csv
Die generierte CSV enthält alle nötigen Felder. Diese lädst du anschließend im Microsoft Intune Admin Center unter Devices > Enrollment > Windows > Windows Autopilot Devices hoch.
Autopilot-Profil erstellen
Im Intune Admin Center unter Devices > Enrollment > Windows > Deployment profiles:
- Profil erstellen → Windows PC
- OOBE-Einstellungen konfigurieren:
- Sprachauswahl überspringen:
Ja - Lizenzvereinbarung automatisch akzeptieren:
Ja - Gerätetyp:
Azure AD joinedoderHybrid Azure AD joined
- Sprachauswahl überspringen:
- Scope Tags und Assignments auf die gewünschten Gerätegruppen setzen
Tipp: Bei Hybrid-Joins brauchst du zusätzlich den Intune Connector for Active Directory auf einem Domain Controller. Für Neuprojekte empfehle ich den reinen Azure AD Join – weniger Komplexität, mehr Zukunftssicherheit.
Deployment-Ablauf im Detail
Was passiert, wenn ein Autopilot-Gerät das erste Mal gestartet wird?
- OOBE startet – Windows erkennt die Netzwerkverbindung
- Zero-Touch-Check – Windows fragt beim Autopilot-Dienst (Microsofts Cloud) an
- Profil-Download – Das zugewiesene Deployment-Profil wird geladen
- AAD Join – Das Gerät verbindet sich mit Azure AD / Entra ID
- Intune Enrollment – Intune übernimmt das MDM-Management
- ESP (Enrollment Status Page) – Apps und Policies werden installiert
- Desktop – Der Nutzer landet auf einem vollständig konfigurierten Windows
Der Mitarbeiter muss nur seinen AAD-Account eingeben. Alles andere läuft im Hintergrund.
Enrollment Status Page (ESP) sinnvoll nutzen
Die ESP blockiert den Desktop so lange, bis definierte Apps und Policies installiert sind. Das verhindert, dass Nutzer ein halb-konfiguriertes System bekommen.
Intune Admin Center → Devices → Enrollment → Enrollment Status Page
Sinnvolle Einstellungen:
| Einstellung | Empfehlung |
|---|---|
| Apps und Profile im Tracking | Nur kritische Business-Apps |
| Timeout (Minuten) | 60 |
| Fehler-Seite anzeigen | Ja |
| Nutzer kann Gerät trotzdem nutzen | Nein (Prod) / Ja (Test) |
Self-Deploying Mode für Shared Devices
Für Kiosk-Geräte, Konferenzräume oder geteilte Workstations gibt es den Self-Deploying Mode. Hier ist keine Benutzeranmeldung nötig – das Gerät konfiguriert sich vollständig autonom.
# Gerät für Self-Deploying vorbereiten
# Wichtig: TPM 2.0 zwingend erforderlich!
Das Gerät muss über TPM 2.0 verfügen, da die Device-Attestation ohne User-Credentials darüber läuft.
Troubleshooting: Die häufigsten Fallstricke
Hardware-Hash nicht im Tenant gefunden
→ Prüfe, ob der Upload korrekt war. Im Intune Portal unter Devices > Windows Autopilot Devices sollte das Gerät mit Status “Assigned” erscheinen.
ESP hängt sich auf → Win32-Apps mit großen Paketen können Timeouts verursachen. Erhöhe den ESP-Timeout oder entferne unkritische Apps aus dem Tracking.
Hybrid Join schlägt fehl → Der Intune Connector braucht Line-of-Sight zum Domain Controller. Prüfe die Konnektivität und ob der Connector-Dienst läuft.
Gerät landet im falschen Profil → Autopilot-Profile haben eine Prioritätsreihenfolge. Prüfe die Assignment-Gruppen und stelle sicher, dass das Gerät in der richtigen dynamischen Gruppe ist.
Fazit
Windows Autopilot mit Intune ist ein echter Game-Changer für den IT-Betrieb. Die initiale Einrichtung kostet etwas Zeit – aber danach läuft das Onboarding neuer Geräte praktisch von selbst.
Kein Image-Bau. Kein manuelles Ausrollen. Kein Reisen zu Remote-Standorten.
Gerade in verteilten Organisationen mit mehreren Standorten oder vielen Remote-Mitarbeitern amortisiert sich der Aufwand schon nach wenigen Deployments. Kombiniert mit Dynamic Device Groups in Azure AD und einer sauberen App-Deployment-Strategie in Intune entsteht eine vollständig automatisierte Geräteverwaltung.
Fragen oder Erfahrungen dazu? Schreib mir: [email protected]