Es gibt unterschiedliche Philosophien bei der Vereinfachung der Umstellung von Windows 10 auf 11. Während einige Admins dedizierte Tools von spezialisierten Anbietern bevorzugen, verfügt Microsoft auch über eigene Werkzeuge. Dieser Beitrag richtet sich an IT-Verantwortliche, die gern das Motto "alles aus einer Hand" verfolgen und dabei auf die Microsoft-Welt setzen möchten. Dabei ist zu beachten, dass Tipps und Vorgehensweise je nach Umgebung ein wenig anders aussehen können; das Grundgerüst sollte jedoch übergreifend tragfähig sein.

Damit die angestrebte, möglichst weitreichende Automatisierung greifen kann, sind zuvor ein paar Hausaufgaben zu erledigen. Eine entsprechende Planung umfasst als ersten Schritt die Analyse beziehungsweise die Inventarisierung der aktuell vorhandenen Hardware. Das ist wichtig, um erstens die Zahl der Lizenzen präzise zu ermitteln. Denn die Kosten und der Aufwand für eine Unter- samt folgender Nachlizenzierung beziehungsweise Überlizenzierung sind nicht zu unterschätzen. Und zweitens lässt sich so natürlich prüfen, ob die Geräte überhaupt updatefähig sind; die zugehörigen Anforderungen und eine offizielle Kompatibilitätsprüfung sind bei Microsoft zu finden. Und nicht zuletzt gilt es, die Unterstützung der im Unternehmen verwendeten Software zu überprüfen. Eine Checkliste könnte hier folgendermaßen aussehen:

• Welche Software ist in welcher Version im Bestand?
• Was verwenden die User wirklich?
• Welche Anwendungen finden künftig Verwendung?
• Passt die Lizenzierung zu diesen Anforderungen?
• Ist die Software unter Windows 11 lauffähig?

Möglichst einfach werden Umstieg und Konfiguration zukünftiger Geräte mit einem Tool für das Clientmanagement. Microsoft hat hierfür Intune im Programm, das nach User und Funktionsumfang lizenziert wird. Mit ihm lässt sich Software zentral verwalten, standortunabhängig verteilen und auf Clients installieren – direkt aus dem Microsoft Store oder über ein Unternehmensportal. Zudem lassen sich mit Intune Gruppenrichtlinien und Windows Defender überwachen beziehungsweise konfigurieren. Neue Geräte können Sie durch den Microsoft Autopilot recht einfach einrichten, der große Teile des Windows-Setups übernimmt.

Automatisierung vorbereiten: Intune und WinAppUtil
Intune benötigt zunächst eine Ordnerstruktur. Also heißt es: den Geräten einzelne Ordner zuzuweisen – und zwar so, dass im Anschluss die erforderliche, freigegebene Software dazu passt. Eben jenen Ordnern werden also die App-Pakete zugeschrieben. Pro Gerät lässt sich ein Filter ergänzen, was den Vorgang schneller gestaltet als die Durchführung einer Ordnerabfrage. Im Zweifel ist eine Kombination beider Maßnahmen der richtige Weg. Nun lässt sich unter "Gruppen" und "Neue Gruppe" prüfen, ob die Verzeichnisse für die einzelnen Geräte/Abteilungen angelegt sind. Eine leichtere Zuordnung gelingt per entsprechender Namensgebung, etwa "Intune-Software-AbteilungXY".

Sind Applikationen nicht im Microsoft Store verfügbar, müssen Sie sie mithilfe des Microsoft-Programms "WinAppUtil" als Win32-Pakete für die Automatisierung vorbereiten und entsprechend installieren. Dieses Tool verpackt Installationspakete in eine "Intunewin"-Datei – sprich, einen Ordner, den Intune verarbeiten kann; auf diese Weise lässt sich sogar eine ganze Ordnerstruktur in eine solche Datei legen und verwenden.

Das Erstellen solcher Installationspakete gelingt im Detail wie folgt:

1. Microsoft WinAppUtil von GitHub herunterladen
2. Input-Ordner erstellen
3. Output-Ordner erstellen
4. Software beziehungsweise erforderlichen Ordner in Input-Ordner ablegen
5. WinAppUtil starten
6. Input-Ordner angeben
7. Anwendung auswählen
8. Output angeben
9. Input-Ordner leeren

Intunewin: Nach Möglichkeit MSI bevorzugen
Eine Intunewin-Datei muss stets ein ausführbares File enthalten – ob Skript, EXE oder MSI. Das eigentliche Vorgehen beim Verpacken ist dasselbe, der Unterschied liegt in der Erstellung der Anwendung in Intune selbst. Bei EXE-Dateien sind aber mehr Felder selbst auszufüllen. Zudem müssen Sie die (De-)Installationsbefehle testen und selbst manuell hinterlegen. Einige weitere Punkte bedeuten ebenfalls ein Mehr an Aufwand. Die Beschreibung ginge über den Umfang dieser Darstellung hinaus. Ein Tipp: Es gibt Drittanbieter, die eine direkte Intune-Integration sowie vorgefertigte zugehörige Apps anbieten.

Bei MSI-Dateien können mehr Informationen von Intune selbst ausgelesen werden, was den Ablauf erleichtert beziehungsweise den Aufwand reduziert; sie sind daher zu bevorzugen, sofern möglich. Der Grund: MSI ermöglicht – bis auf sehr wenige Ausnahmen – einen sogenannten Silent Install. Voraussetzung ist ein WinAppUtil-Paket, das einen MSI-Installer enthält. Bei der Durchführung gilt es, zunächst Intune aufzurufen und zu den Apps zu navigieren. Dort lässt sich unter "Hinzufügen" der Punkt "Windows-App (Win32)" auswählen. Hier gilt es, die entsprechende Datei auszuwählen und die erforderlichen Einträge zu ergänzen: Name, Beschreibung, Herausgeber.

Der nächste Schritt, das Hochladen eines zugehörigen Logos beziehungsweise Icons, ist zwar nicht erforderlich, jedoch für eine bessere Handhabung empfehlenswert. Danach heißt es, die Befehle für die Installation/Deinstallation zu hinterlegen, die bei MSI-Dateien automatisch vorgeschlagen werden sollten; wählen Sie "Verfügbare Deinstallation zulassen" aus, so lässt sich die Anwendung wieder aus dem Unternehmensportal deinstallieren – ebenfalls empfehlenswert. Es folgt die Auswahl des Betriebssystems sowie mindestens eines Patchstands. Vor der Zuweisung gilt es noch, über eine Erkennungsregel festzulegen, wie Intune die erfolgreiche Installation beziehungsweise Deinstallation feststellen kann. Ist dies erledigt, kann die Software auf drei Arten zugewiesen werden:

1. erforderlich: für eine automatische Installation ohne Deinstallationsoption für User
2. verfügbar: zur Aufnahme ins Unternehmensportal, von wo aus User selbst eine Installation/Deinstallation vornehmen können
3. Deinstallation: zur Entfernung der Anwendung vom Gerät, sofern erkannt; dies gilt unabhängig von einer Intune-Installation.

Anwendungen auswählen
Naturgemäß am einfachsten ist die Zuweisung von Standardsoftware, die direkt im Microsoft Store hinterlegt ist. Hier genügt es, zum Intune-Menüpunkt "Apps wechseln" zu navigieren, dort auf "Hinzufügen" zu klicken und "Microsoft-Store-App (neu)" auszuwählen. Nun können Sie die App suchen, wiederum Logo oder Icon ergänzen, und definieren, ob eine system- oder userbezogene Installation erfolgen soll. Der letzte Schritt: die fraglichen Apps dem entsprechenden Ordner hinzufügen, der die Geräte enthält, mit welchen die Anwendung versorgt werden soll.

Es ist zudem möglich PowerShell-Skripte über Intune auszuführen. Die Einrichtung ist schnell durchgeführt: Gehen Sie zu "Geräte / Skripts und Wartung / Plattformskripts / Windows 10 und höher" navigieren, vergeben Sie einen Namen und laden Sie das Skript in Intune hoch. Der Befehl "Dieses Skript mit den Anmeldeinformationen […]" führt dieses über den aktuell angemeldeten User aus; sollte – was in der Regel der Fall sein wird – der User keine Admin-Rechte haben, müssen Sie für eine systembezogene Ausführung des Skripts lediglich auf "Nein" klicken. Der letzte Schritt ist die eigentliche Zuweisung.

Windows 11: automatische Konfiguration per Autopilot
Für die automatische Konfiguration von Windows kommt das Autopilot-Tool des Herstellers zum Einsatz. Das Vorgehen erläutern wir in diesem Abschnitt. Wichtig: Die zugehörigen Aussagen beziehen sich auf ein reines Cloud-Active-Directory (Cloud-AD); für ein On-Prem-AD/Hybrid-AD gibt es bei Microsoft eine genauere Anleitung.

Das Procedere hierfür ist wie folgt: Zunächst müssen Sie auf der Oberfläche des Autopilot eine entsprechende Gruppe mit dynamischem Wert erstellen, um alle "Autopilot-Geräte" automatisch hinzufügen zu können. Der Klickweg führt über "Geräte / Windows / Registrierung / Bereitstellungsprofile / Oberfläche des Autopilots einrichten". Danach geht es in wenigen Klicks an die eigentliche Profilerstellung: "Profil erstellen / Windows PC". Die weiteren Schritte sehen so aus:

1. Namen für die Richtlinie eingeben und "Convert all targeted devices to Autopilot" auswählen, um alle Geräte den Autopilot durchlaufen zu lassen.
2. Nächste Oberfläche auf "Deployment Mode" und "Automatische Bereitstellung" stellen.
3. Sprache und Tastatur einstellen. Falls gewollt, auch eine Vorlage für die Namensgenerierung vorgeben.
4. Diesen Teil des Vorgangs durch "Weiter" sowie Zuweisung der Dynamischen Gruppe abschließen.

Richtlinie erstellen
Anschließend müssen Sie noch eine zugehörige Richtlinie konfigurieren. Hierfür sind folgende Schritte nötig: "Geräte / Windows / Registrierung / Registrierungsstatus" aufrufen und den Vorgang starten. Geben Sie zuerst den Namen ein und je nach Bedarf bestätigen Sie ja nach Bedarf "Show app and profile configuration progress" mit "Yes"; dies zeigt im Setup den aktuellen Stand an. Nun wählen Sie eine Zeit aus, nach deren Verstreichen der Autopilot etwaige Fehler anzeigen soll. Empfehlenswert ist hier eine Dauer von etwa 20 Minuten. Eine weitere Empfehlung: Legen Sie "Block devices use until…" fest und wählen Sie dort nur zwingend notwendige Apps aus – das beschleunigt den Ablauf. Für die restlichen, nicht sofort erforderlichen Apps kann der Vorgang im Hintergrund ablaufen. Ein "Weiter" schließt diesen Punkt gemeinsam mit der Zuweisung der dynamischen Gruppe ab.

Nachdem der Autopilot nun eingerichtet ist, müssen Sie dort schließlich noch die Geräte über deren Hardware-ID registrieren. Je nach Hersteller ist es in der Regel zeitsparend möglich, diese automatisch im Intune-Portal einzutragen oder als CSV-Datei anzufordern. Ist das Auslesen der Hardware-ID erst einmal geschehen, lassen sich die Geräte den jeweiligen Abteilungen zuweisen. Auch sie sind damit im Anschluss für den Autopilot bereit. Damit heißt es: Die automatische Konfiguration kann nun durchgeführt werden – cleared for takeoff!

Das Auslesen von Geräten ist auch über ein PowerShell-Skript möglich. Der Befehl Set-ExecutionPolicy -Unrestricted setzt die Execution Policy zunächst auf "Unrestricted", damit das Skript nicht blockiert wird. Install-script -name Get-WindowsAutoPilotInfo installiert das benötigte Skript auf dem Endgerät und Get-WindowsAutoPilotInfo.ps1 -outputfile c:\deviceid.csv führt das Skript aus und legt die CSV-Datei mit der Hardware-ID unter C:\ ab.

Fazit:
Die Migration auf Windows 11 kann technische und organisatorische Herausforderungen mit sich bringen. Frühzeitige Planung, Prüfung der Hardware-Kompatibilität, Standardisierung von Prozessen: allesamt sinnvoll für eine reibungslose Umstellung. Vor allem aber können Automatisierungstools wie Intune und Autopilot helfen, den Administrationsaufwand zu reduzieren – für eine konsistente Systemumgebung.

ln/Christopher Weit und Julian Pflugmacher, IT-Systemadministration bei EXTRA Computer