Möchte man die Windowsversion aktualisieren (bspw. von Windows 7 auf Windows 10) und dabei zeitgleich Microsoft Intune als MDM-Lösung einsetzen, gestaltet sich dieses Vorhaben für Neugeräte mit einem meines Erachtens noch viel zu unpopulären Feature namens Autopilot meist sehr komfortabel.
Als kleiner Exkurs: Autopilot ist ein Intune-Feature, welches bei der Semi-Annual Windows 10 Release 1703 eingeführt wurde und eine Out-of-the-Box Experience ermöglicht, in der der User beim Auspacken des Gerätes direkt die Möglichkeit hat, dieses in den Intune-MDM-Tenant der Firma aufzunehmen und von dort die Software und Richtlinien der Firma zu bekommen. Technisch funktioniert dies wie folgt:
Seit Neustem ist auch Hybrid Domain Join über Autopilot aus der Preview heraus und generell verfügbar.
Dieses Feature ermöglicht, dass der Client über einen Azure AD Connector ebenfalls dem normalen On-Prem-Active-Directory beitritt, somit kann man auch weiterhin auf Features wie Direct Access und Group Policies zurückgreifen.
Möchte man wiederum einen vorhandenen Client von Windows 7 auf Windows 10 aufrüsten, so steht man oft vor mehreren Schwierigkeiten, dies beinhaltet die Umstellung von BIOS auf UEFI, das Aktualisieren der UEFI Firmware so wie das Aktivieren von SecureBoot und ggf. anderen UEFI Einstellungen. Abhilfe hierbei kann z.B. eine Task-Sequenz über den System Center Configuration Manager schaffen, dieser unterstützt sowohl das Setzen von UEFI Einstellungen als auch das Aktualisieren der UEFI Firmware.
Der Weg hierbei könnte also wie folgt aussehen:
Klingt einfach, oder?
Der „Aha“-Effekt kommt leider erst danach, sind die Geräte nämlich in Intune registriert, wird einem Folgendes auffallen:
Richtig: Intune MDM hat den Config Manager Agent bemerkt und stellt, da kein Co-Managed Szenario konfiguriert ist, den Dienst auf dem Gerät ein. Wir müssen also dafür sorgen, dass am Ende der Task Sequenz der SCCM Agent deinstalliert wird.
Hinweis an dieser Stelle: Der SCCM Agent Uninstaller arbeitet leider nicht ganz sauber, daher bleiben z.B Startmenü-Einträge zurück und die WMI Namespaces müssen ebenfalls per Powershell bereinigt werden.
Um den Zielzustand zu erreichen, erstellen wir zuerst ein Config Manager Package und legen in diesem die beiden Files aus diesem Ordner ab.
Im Anschluss erstellen wir ein „Run Command Line“ Task und kopieren diese Datei nach „%SystemRoot%\Remove-SCCMAgent.ps1“:
Das gleiche tun wir für die Definition des Scheduled Tasks:
Nun, da wir beide Dateien auf dem Client haben, können wir den Scheduled Task erstellen:
Da wir der Task Definition bewusst keinen Trigger definiert haben, fügen wir diesen Trigger nun in die SMSTSPostAction Variable ein, welche vom Config Manager am Ende der Task Sequenz ausgeführt wird und somit den SCCM Agent deinstalliert:
Wenn alle beschriebenen Schritte durchgeführt wurden, wird am Ende der Task Sequenz der SCCM Agent deinstalliert und der Rechner neugestartet.
Sobald nun die oben genannte Gruppenrichtlinie angewandt wird und ein User mit EMS Lizenz angemeldet ist, wird der Rechner, ohne dass der vorher installierte SCCM Agent erkannt wird, in Intune eingebucht und kann von da aus verwaltet werden.