Inhaltsverzeichnis
- Teil 2: Automatisierungen und Konfiguration – bis zur eigentlichen Installation
- Autopilot für Windows 11 einrichten und Geräte registrieren
- Windows 11 mit On-Prem-AD
- IT-Sicherheit: Windows-Defender & LAPS für Windows 11
- Images für die Migration auf Windows 11 erstellen und Daten sichern
- Es geht ans Eingemachte: Windows 11 auf den Geräten installieren
- Installation externer User in Windows 11
- Von W10 auf W11 umstellen: Test-User und deren Feedback
- Fazit: Windows 10 „geht End of Service“ – mit Volldampf auf zu Windows 11
Teil 2: Automatisierungen und Konfiguration – bis zur eigentlichen Installation
Der End of Service (EoS) für Windows 10 naht, die Umstellung auf Windows 11 wird in den nächsten Monaten Fahrt aufnehmen – eine gute Gelegenheit, Ihnen unsere eigene Geschichte zu erzählen: Sie kann Ihnen helfen die Sorge vor der Migration zu nehmen. Denn die Umstellung von Windows 10 auf Windows 11 ist im Grunde keine große Sache. Im ersten Teil haben wir Voraussetzungen und Vorbereitungen vorgestellt und sind auf erste Konfigurationen eingegangen; Teil 2 wird hieran anschließen und Automatisierungen sowie weitere Konfigurationen vorstellen.
Im ersten Teil unseres Referenzberichts haben wir bereits viel über Intune und seine Verwendung gesprochen. An dieser Stelle nehmen wir den Faden wieder auf, denn dieses Tool ist auch der Zugang, um über den Autopilot eine frische Windows-Installation automatisch zu konfigurieren. Hierbei werden die Geräte in der EntraID oder – wie im Fall bei EXRTA Computer – einem On-Prem-Active-Directory registriert. Folglich ist der nächste Schritt, eben jenen Autopilot für die Installation von Windows 11 zu konfigurieren.
Autopilot für Windows 11 einrichten und Geräte registrieren
Für die automatische Konfiguration von Windows wird der Windows Autopilot verwendet; der folgende Abschnitt bezieht sich auf ein reines Cloud-AD, für ein On-Prem-AD haben gibt es hier Info. Das Vorgehen hierfür ist wie folgt: Zunächst muss auf der Oberfläche des Autopilot eine entsprechende Gruppe mit dynamischem Wert erstellt werden, um alle „Autopilot-Geräte“ automatisch hinzufügen zu können: Geräte -> Windows -> Registrierung -> Bereitstellungsprofile ->Oberfläche des Autopilots einrichten. Danach geht es an die eigentliche Profilerstellung, und zwar über: Profil erstellen -> Windows PC. Die weiteren Schritte:
- Namen für die Richtlinie eingeben und „Convert all targeted devices to Autopilot“ auswählen, um alle Geräte den Autopilot durchlaufen zu lassen.
- Nächste Oberfläche auf Deployment Mode und „User Driven“ stellen; weiter mit „Join to Microsoft Entra ID“.
- Im Anschluss heißt es, die restlichen Einstellungen nach eigenen Bedürfnissen festzulegen – hier ist keine allgemeine Aussage möglich, die Einrichtung ist jedoch für Administratoren selbsterklärend.
- Diesen Teil des Vorgangs durch „Weiter“ sowie Zuweisung der Dynamischen Gruppe abschließen.
Damit ist die Konfigurierung des Autopiloten noch nicht beendet. Es gilt, im nächsten Schritt die Richtlinie zu konfigurieren. Hierfür sind folgende Klicks nötig: Geräte -> Windows -> Registrierung -> „Registrierungsstatus“ aufrufen und den Vorgang starten. Dafür gilt es, zuerst den Namen einzugeben und danach unter „Show app and profile configuration progress“ mit „Yes“ zu bestätigen. Nun kann eine Zeit ausgewählt werden, nach deren Verstreichen der Autopilot etwaige Fehler anzeigen soll; empfehlenswert ist hier eine Dauer von etwa 20 Minuten „rein ENTRA joined (Anmerkung: Bei Hybrid-Stellung – s. Kasten – dauert die Registrierung in der lokalen AD etwas länger, bis zu einer Stunde ist normal). Eine weitere Empfehlung: „Block devices use until…“ auswählen und nur zwingend notwendige Apps auswählen – das beschleunigt den Ablauf; für die restlichen, nicht sofort erforderlichen Apps kann der Vorgang im Hintergrund ablaufen. Ein „Weiter“ schließt diesen Punkt gemeinsam mit der Zuweisung der dynamischen Gruppe ab.
Nachdem der Autopilot nun eingerichtet ist, müssen dort die Geräte über deren Hardware-ID registriert werden. Je nach Hersteller ist es möglich, diese automatisch im Intune-Portal einzutragen oder als csv-Datei anzufordern. Ist das Auslesen der Hardware-ID geschehen, lassen sich die Geräte den Abteilungen zuweisen. Sie sind im Anschluss für den Autopilot bereit. Das Auslesen ist über ein PowerShell-Skript möglich:
- „Set-ExecutionPolicy -Unrestricted“ – setzt die Execution Policy auf Unrestricted, damit das Skript nicht blockiert wird.
- Install-script -name Get-WindowsAutoPilotInfo – installiert das benötigte Skript auf dem Endgerät.
- Get-WindowsAutoPilotInfo.ps1 -outputfile c:\deviceid.csv – führt das Skript aus und legt die .csv mit der Hardware ID unter C:\ ab
Windows 11 mit On-Prem-AD
Bei On-Prem-ADs muss das jeweilige Gerät lokal und in Entra per Hybrid-Stellung hinterleg werden:Mit dem „Intune-Connector für AD“ EntraID/Intune und lokales AD verbinden; über Geräte -> Windows -> Registrierung -> Intune-Connector für Active Directory -> Hinzufügen. Diese Anleitung liefert weitere Erläuterungen. Danach unter Geräte -> Windows -> Konfiguration -> Konfiguration eine weitere Richtlinie erstellen -> „Windows 10 and later“ -> Vorlagen -> Domänenbeitritt auswählen sowie Namen und Präfix für den Computer-Namen vergeben; dieser wird systemseitig auf 15 Zeichen aufgefüllt.
Unter Domänenname den der lokalen Domain eingeben. Bei Organisationseinheit „Optional“ wählen und den Namen der Organisationseinheit angeben, in der die Geräte registriert werden sollen; danach der entsprechenden Gruppe zuweisen. Sollen unterschiedliche Gerätegruppen unterschiedliche Namen erhalten, muss diese Richtlinie jeweils einzeln erstellt werden. Die Geräte müssen diesen Gruppen manuell gemäß Hardware-ID-Registrierung hinzugefügt werden – VOR Durchlaufen des Autopilots. Das betrifft Windows-Geräte, nicht Android, iOS etc. Ein vollautomatischer Durchlauf ist nur möglich, wenn ein für alle Geräte gültiger Name verwendet werden kann.
IT-Sicherheit: Windows-Defender & LAPS für Windows 11
Die Local Administrator Password Solution (LAPS) ist eine Microsoft-Lösung, um auf Geräten lokale Administrator-Zugänge nutzen zu können; das gilt auch bei Remote Usern ohne VPN-Verbindung. Da es ein Sicherheitsrisiko wäre, wenn jedes Gerät einen lokalen Administrator mit demselben Passwort besitzt, lassen sich Passwörter durch LAPS automatisch generieren und über einen definierten Zeitraum automatisch wechseln; ein manueller Wechsel ist ergänzend möglich. Diese Passwörter können in Intune ausgelesen werden. Generell kann im Umgang mit LAPS der Standard-Admin-Zugang verwendet werden, empfehlenswert ist jedoch die Einrichtung eines zusätzlichen Admin User über ein PowerShell-Skript – einfach, weil der Standard Administrator ein leichteres Angriffsziel ist. Das Skript muss lediglich allen Intune-Geräten zugeordnet werden, etwa der Dynamic Group.
Zunächst gilt es, hierfür in Intune eine neue Richtlinie zu erstellen: Endpunktsicherheit -> Kontoschutz -> Richtlinie erstellen -> Plattform Windows -> Profil Local admin password solution. Nun den Namen vergeben und ein Sicherungsverzeichnis auswählen – eine Empfehlung in AzureAD, um Passwörter von Intune abrufen zu können. An dieser Stelle auch das maximale Kennwortalter bis zur automatischen Änderung festlegen; bei AzureAD/EntraID sind sieben bis 30 Tage möglich, wobei ein kürzerer Zeitraum zu bevorzugen sein dürfte. Jetzt den Namen des Administrator-Kennworts aktivieren und den Name des lokalen Users eingeben, sofern nicht der Standard-Administrator verwendet wird.
Bei der Passwort-Sicherheit gelten die üblichen Empfehlungen – Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen, mindestens 14 Zeichen Länge. Unter „Aktionen nach der Authentifizierung“ – diese Einstellung gibt an, was Erreichen des maximalen Passwort-Alters passiert – das Kennwort zurücksetzen und verwaltetes Konto abmelden; das Kennwort wird hierdurch geändert, der User kann normal weiterarbeiten. Die Einstellung „Kennwort zurücksetzen und neu starten“ kann User beim Arbeiten behindern. Diesen Vorgang mit „Weiter und Gruppe zuweisen“ beenden. Das Passwort kann anschließend unter Geräte -> Windows-> GerätXY -> Lokales Administratorkennwort durch Intune ausgelesen werden.
So viel zu LAPS, weiter zum Windows Defender. Bequemerweise hat Intune für diesen eine direkte Integration, über die sich die entsprechenden Konfigurationen direkt verteilen lassen. Das Windows Defender Onboarding sieht daher wie folgt aus: Defender für Endpunkt-Connector-Status prüfen unter -> Endpunktsicherheit -> Übersicht -> „Defender für Endpunkt-Connector“ aktivieren. Anschließend die zugehörige Richtlinie erstellen unter Endpunktsicherheit -> Endpunkterkennung und -antwort -> Richtlinie erstellen -> Plattform Windows -> Profil Endpunkterkennung und -antwort. Dort „Pakettyp für die Microsoft Defender für Endpunkt-Clientkonfiguration“ auf „Automatisch von Conenctor“ stellen – so lassen sich die Einstellungen aus dem Microsoft-Defender-Portal verwenden. Den Vorgang abschließen und die Richtlinie der Gruppe zuweisen. Und damit beginnt so langsam die heiße Phase …
Images für die Migration auf Windows 11 erstellen und Daten sichern
Einer der letzten vorbereitenden Schritte für die Umstellung auf Windows 11 wegen des End of Service (EoS) für Windows 10 ist die Erstellung eigener Images für jeden Gerätetyp. Das vereinfacht den (Neu-)Installationsablauf. Hierfür zunächst ein blankes Windows 11-Image auf dem Gerät installieren, am einfachsten über das Microsoft Image Creation Tool. Dazu beim Windows-Setup wird Strg + Shift + F3 drücken, was den Audit-Modus von Windows startet – in diesem alle Treiber installieren, um diese im fertigen Image zur Verfügung zu haben. Das Image nun mit dem Windows-Sysprep-Tool vorbereiten -> %windir%\system32\sysprep; hierbei unbedingt den Haken bei „Generalize“ setzen. Anschließend das Image „aufzeichnen“. WICHTIG: Nicht mehr in das Image booten beziehungsweise Windows-Ersteinrichtung wählen – sonst muss das Image noch mal „Generalize“ gesetzt werden.
Ein Image kann einfach in einem sogenannten Windows Preinstallation Environment (Windows PE) aufgezeichnet werden; alternativ lässt sich bei vorhandenen Windows Deployment Services (WDS) ein Image erstellen. Für die Nutzung von Windows PE lässt sich das des Windows Setup verwenden: Statt auf „Jetzt installieren“ die „Computer-Reparaturoptionen“ und dort die „Problembehandlung“ wählen. Über „Eingabeaufforderung“ kann ein CMD-Fenster in der Windows PE geöffnet werden und durch das Deployment Image Servicing and Management per DISM-Eingabe „DISM /image:C:\ /optimize-image /boot“ das Image optimiert werden – empfehlenswert für die Installation auf mehreren Geräten. Mit „DISM /Capture-Image /ImageFile:“D:\Images\Fabrikam.wim“ /CaptureDir:C:\ /Name:Fabrikam“ wird das Image aufgezeichnet; die Pfade müssen gegebenenfalls angepasst werden. Unter diesem Link lassen sich die Befehlszeilen nochmals nachlesen. Anschließend muss die Image-Datei selbst noch angepasst werden, je Weg, über den es ausgerollt wird.
Nachdem das Image nun erstellt ist, geht es an die Sicherung der Daten – wichtig, da die Geräte für einen sauberen Umzug auf Windows 11 zurückgesetzt werden. Wir haben hierfür bei EXTRA Computer OneDrive verwendet, da in unserem Unternehmen ohnehin Lizenzen für Microsoft 365 E5 mit OneDrive vorhanden sind. Der selbstsynchronisierende Cloud-Speicher von Microsoft erlaubt einen einfachen Umzug der Geräte bzw. der Neuinstallation, da es die wichtigsten Ordner eben automatisch sichert und auf einem neuen Gerät bzw. einer neuen Instanz wiederherstellen kann: Desktop, Dokumente, Bilder usw. Selten verwendete Dateien lassen sich komplett in die Cloud auslagern und Speicherplatz auf den Geräten freigeben. Eine finale Vollständigkeitsprüfung durch den jeweiligen Mitarbeiter ist dennoch ratsam.
Es geht ans Eingemachte: Windows 11 auf den Geräten installieren
Für einen möglichst fehlerfreien Betrieb ist es empfehlenswert, Tabula rasa zu machen und die Geräte komplett neu zu installieren. Unser Upgrade-Test hat zwar reibungslos geklappt, aber Code- und Datenleichen, inkompatible Treiber etc. lassen sich so nicht garantiert ausschließen. Bei Geräten, die nicht im Netzwerk laufen, ist eine manuelle Installation erforderlich – sie haben ja keinen Zugang zum WDS-Server; wir haben uns hierbei daher der Einfachheit halber für den USB-Stick entschieden. Das sollte jedoch nur auf eine kleine Minderheit zutreffen. In der Regel sind die Geräte im Netz eingebunden, so dass eine WDS-angestoßene Installation funktioniert, für die ein Windows Server mit installierter WDS-Rolle sowie ein entsprechendes Boot Image benötigt werden; dieses kann aus jeder Windows-ISO unter Sources erstellt werden. Die Datei Boot.wim stellt dem Server in diesem Fall das Windows PE zur Verfügung, das von den Clients nach Verbindung mit dem WDS gebootet wird.
Alternativ heißt es nun, die Install.wim aus dem manuell aufgezeichneten Image zu exportieren und dem WDS zur Installation hinzuzufügen – übrigens eine datensparsame Variante, da der WDS nur wirklich benötigte Informationen aus der Install.wim Datei zieht. WDS unterstützt zudem Unanttend.xml-Dateien, mit denen sich die Installation automatisieren lässt. Hier muss lediglich dem WDS-Boot-Image und dem Image selbst eine solche Unanttend.xml hinzugefügt werden; sie formatiert das Gerät automatisch, erstellt eine Partition und installiert das Image. Übrigens: Die Installation der Treiber lässt sich ebenfalls über den WDS durchführen; somit müssen diese nicht im Image gecaptured werden. Wir haben diese Option nicht gewählt, es spricht jedoch nichts dagegen.
Installation externer User in Windows 11
Die Installation externer User erfordert einen zusätzlichen Schritt: Damit die Geräte den Autopilot durchlaufen können und sich in Intune integrieren, erhalten sie zunächst über die entsprechende Windows-Funktion einen Reset. Danach durchlaufen auch diese Geräte den Autopilot-Ablauf. Danach muss das Upgrade für Windows 11 durchgeführt werden Die Möglichkeit inkompatibler Treiber etc. lässt sich nicht ganz ausschließen, doch wir haben bisher keine Probleme gesehen.
Von W10 auf W11 umstellen: Test-User und deren Feedback
Damit ist die Umstellung nun im Grunde unternehmensweit möglich. Doch weil jeder gute IT-Administrator weiß, dass der Teufel im Detail steckt, ist der Einsatz von Test-Usern empfehlenswert: Statt ganze Abteilungen bzw. die EXTRA Computer GmbH auf einmal umzustellen, haben wir die Probe aufs Exempel gemacht. So lassen sich der saubere Ablauf und eine korrekte Installation der Software gewährleisten. Bei diesen Test-Usern haben wir den kompletten Ablauf durchgeführt und anschließend ihr Feedback eingeholt. Dabei haben sich im Grunde nur zwei Herausforderungen ergeben:
- Externe User brauchen eine VPN-Verbindung für die erste Anmeldung auf Windows 11, da es sich um eine Hybridstellung handelt. Nur so können die Anmeldedaten des Users vom AD-Controller geladen werden. Das ließ sich gut lösen, denn unser VPN-Client erlaubt, eine VPN-Verbindung bereits vom Login-Screen aufzubauen; dieser wird als benötigte App in der Richtlinie für Registrierungsstatus hinterlegt. Er ist somit verfügbar, sobald der Login-Bildschirm erscheint.
- Das Unternehmensportal, eine Art Kiosk/interner MS Store zur Installation von Software durch die User, war erst nach ein bis zwei Stunden zu erreichen. Da einige Anwendungen wie Browser hier angeboten werden, wollten die Mitarbeiter diese natürlich unmittelbar beziehen können. Als Lösung haben wir das Unternehmensportal nun ebenfalls in der Richtlinie für den Registrierungsstatus als benötigt hinterlegt.
Fazit: Windows 10 „geht End of Service“ – mit Volldampf auf zu Windows 11
Davon abgesehen gab es keine Verbesserungsvorschläge der Mitarbeiter. Die Test-User haben vielmehr den Installationsablauf insgesamt gelobt, da er unterbrechungsfrei und ohne eigenes Zutun vonstattenging. Auch wir als IT-Team sind vom Vorgehen wegen der vergleichsweise geringen erforderlichen personellen und Zeit-Ressourcen überzeugt. Ohne unsere Hybrid-Stellung würde es noch etwas schneller klappen, und das ist ja auch die Empfehlung von Microsoft. Damit ist die EXTRA Computer GmbH bereit für Windows 11. Die finale Umstellung werden wir voraussichtlich gegen Ende des ersten Quartals 2025 in mehreren Wellen vornehmen – samt der goldenen Regel: Erst informieren, dann migrieren. Die User danken es einem. Viel Erfolg!
Kontaktieren Sie uns jetzt kostenfrei und unverbindlich - unser Expertenteam hilft Ihnen jederzeit gern und kompetent weiter.
Sie erreichen uns telefonisch Montag – Freitag von 08:30 Uhr bis 17:00 Uhr oder 24/7 bequem per Mail oder über unser Kontaktformular.
Christopher Weith
Systemadministrator bei EXTRA Computer GmbH
Christopher Weith, Systemadministrator der EXTRA Computer GmbH, verfügt über langjährige IT Erfahrung und konnte in verschiedenen Rollen und Projekten umfassende Kenntnisse und Fähigkeiten erwerben. Seine Expertise umfasst die Entwicklung und Implementierung von IT-Lösungen, die Verwaltung von Netzwerken und Systemen sowie die Unterstützung und Schulung von Anwendern.