Ein Autopilot für das Onboarding neuer Mitarbeitender

Viele Systemadministratoren stehen wahrscheinlich vor derselben Herausforderung: Wie richte ich kurzfristig für neue Mitarbeitende Geräte ein, ohne unverhältnismäßig viel Zeit zu investieren? Wie kann ich mehrere Geräte für neue Mitarbeitende gleichzeitig und insbesondere rechtzeitig einrichten und fertigstellen? Wie kann ich während Corona und meiner Arbeit von Zuhause aus einen neuen Mitarbeiter mit Technik beglücken?!

Diese Fragen haben wir uns ebenfalls des Öfteren gestellt und eine lange Zeit keine für uns brauchbare Lösung gefunden, bis wir auf Microsofts "Autopilot" gestoßen sind. Das Konzept ist – wie umgangssprachlich gesagt wird – schlichtweg "geil": Gerät bestellen, auspacken, einschalten und warten bis Autopilot seine "Magie" vollendet hat, um anschließend dem neuen Mitarbeitenden das Gerät zu überreichen. Oder noch besser: Der Mitarbeitende darf das Gerät selbst auspacken und die Befriedigung erleben, die es macht, Schutzfolien selbst abzuziehen… So haben wir uns das vorgestellt!

 

Die ersten Schritte …

Nun gut, dann haben wir mal angefangen, uns weiter in die Einrichtung einzulesen und haben die Voraussetzungen überprüft.

  • Azure Tenant mit Device Management. (check!)
  • Azure AD Sync. (check!)
  • Einstellungen für eine Hybride Domänenmitgliedschaft. (check!)

Soweit so gut. Anschließend haben wir uns die Konfiguration vorgenommen. Diese ist soweit auch kein großes Hexenwerk, hier eine neue Gruppe in Azure anlegen, da eine Richtlinie schreiben. Geräte-ID importieren … Stopp, hatte ich nicht zu Beginn geschrieben: Bestellen, auspacken, anschalten und Glücklich sein?!

 

… sind bekanntlich die schwersten.

Ja, das ist korrekt, jedoch nicht ganz trivial und auch nicht von uns oder Ihnen abhängig. Die Azure Cloud muss wissen, wem das Gerät gehört und welche Richtlinie angewendet werden müssen. Dazu verwendet Microsoft einen String aus diversen Eigenschaften eines Geräts. Dieser String ist leider so aufgebaut, dass es nicht möglich ist diesen in einer vertretbaren Zeit selbst zu erstellen und hochzuladen, wenn es überhaupt möglich ist.

Für diesen Schritt gibt’s es zwei Möglichkeiten:

  1. Die erste Möglichkeit ist, dass Sie Ihrem Distributor das Recht einräumen diese Geräte-IDs bei Bestellung in Ihren Tannaten einzutragen. Dadurch entsteht das zuvor beschriebene Vorgehen und Sie müssen das Gerät nur einschalten.
  2. Möglichkeit zwei ist: Sie generieren den String selbst. Dazu stellt Microsoft ein paar PowerShell-Zeilen bereit, die eine csv-Datei generieren, die in das Portal hochgeladen werden können.

Nach unseren Recherchen, schafft die distributions-gestützte Provisionierung in Deutschland derzeit aber nur die ALSO – und auch nur für Microsoft Surface-Geräte. Das hat uns dennoch nicht davon abgehalten, das Konstrukt nach einem erfolgreichen Import zu testen. Dabei ging der erste Schuss leider nach hinten los. Meist klappen solche neuen Techniken nicht auf Anhieb – sonst könnte es ja auch jeder! ;-)

Schnell war klar, dass etwas mit dem hybriden Domänenbeitritt nicht funktioniert. Nach einigen Recherchen haben wir noch mal ein paar Stellschrauben in Azure gedreht und erneut getestet. Siehe da, es funktioniert! Gerät eingeschaltet und etwa eine halbe Stunde später begrüßte uns fröhlich das neu eingerichtete Profil der R.iT GmbH. An dieser Stelle ist es ausreichend, sich mit seiner E-Mail-Adresse und seinem Kennwort anzumelden. Dabei spielt es keine Rolle wer die erste Anmeldung vornimmt. Bedenken Sie, dass das erste Anmelden je nach Menge und Größe der Anwendungen dann im Rahmen von 45-60min liegen wird. Allerdings habe Sie mit diesem Vorgehen die bequeme Position, die Zeit, die Sie warten, sinnvoller zu nutzen.

Beitrag teilen: