Wenn neue Mitarbeiter im Unternehmen anfangen, ist das für die IT-Abteilung mit großem Zeitaufwand verbunden. Sie muss jedes Endgerät mit den erforderlichen Rechten und Anwendungen ausstatten. Microsoft erleichtert diese Aufgabe mit dem Tool Windows Autopilot: Ein Gerät muss damit nicht mehr durch die IT-Abteilung. Die Nutzer packen es aus und Autopilot übernimmt den Rest.
Angenommen Ihr Unternehmen stellt neue Vertriebsmitarbeiter ein. Da diese oft unterwegs sind, erhalten sie zum Beispiel das 2-in-1-Gerät Surface Pro 9 – es hat lange Akkulaufzeiten, 5G-Unterstützung und einen 13-Zoll-Touchscreen. Für ihren Job benötigen die Vertriebsprofis ferner Microsoft Office, Teams, Outlook und eine CRM-Software. Am ersten Arbeitstag soll alles zur Verfügung stehen. Am liebsten würden die Mitarbeiter ihr Gerät einfach auspacken und loslegen. Aber für die IT-Abteilung bedeutet die Bereitstellung einen hohen Aufwand: Sie muss ein komplettes Image auf dem Endgerät ausrollen – entweder über das Netzwerk oder mit einem USB-Stick. Mitunter dauert es bis zu 24 Stunden, bis das neu angekommene Gerät beim Mitarbeiter einsatzbereit ist.
Mit dem Windows Autopilot fällt der Umweg über die IT-Abteilung weg. Autopilot ist Teil der Microsoft Enterprise Mobility + Security (EMS) Suite, einem Cloud-basierten Dienst für die Verwaltung mobiler Geräte und Anwendungen. Dieser Dienst macht das Zero Touch Deployment möglich. In diese Umgebung eingebettet, befähigt Autopilot eine IT-Abteilung, mit einfachen administrativen Tätigkeiten die Endgeräte (oder Clients) der Mitarbeiter zu verwalten. Mit dem Tool kann ein IT-Administrator das Gerät für den Einsatz vorbereiten, ohne es jemals in die Hand nehmen zu müssen. Zudem kann er Geräte updaten, zurücksetzen, wiederherstellen und für eine Wiederverwendung vorbereiten. Windows Autopilot vereinfacht somit den gesamten Lebenszyklus der Windows-Geräte von der ersten Bereitstellung bis zum Ende der Lebensdauer – sowohl aus Sicht der IT-Abteilung als auch der Endbenutzer.
Um zu verstehen, wie sehr Autopilot die IT-Abteilungen entlastet, lohnt sich ein Blick auf das klassische Vorgehen bei der Beschaffung neuer Geräte und dem anschließenden Deployment. Wenn ein Unternehmen zum Beispiel neue Mitarbeiter beschäftigt, muss sich die Geschäftsführung zunächst darüber Gedanken machen, welche Geräte zur Verfügung gestellt werden. Diesen Schritt sollte ein Unternehmen nicht unterschätzen: Die Trendstudie „Junge Deutsche“ verdeutlicht, dass Mitarbeiter immer mehr Wert auf eine gute Balance von Arbeit und Freizeit sowie eine gute Arbeitsatmosphäre legen. Spaß ist für sie ein entscheidender Motivator für Leistungen. Sie erwarten eine positive User-Experience mit ihren Geräten und außerdem hybride Arbeitsplätze.
Unternehmen sollten deshalb ein Gerät wählen, das zum Arbeitsprofil der Nutzer passt. Mobile Arbeitskräfte wie Vertriebs-, Kundendienst- oder Pflege-Mitarbeiter würden entweder von dem Surface Go 4 oder dem leichten Surface Pro 9 profitieren. Executives wie Finanzdirektoren würden sich eher für den schnelleren Surface Laptop 5 entscheiden. Für Produktdesigner wäre der auf Multimedia-Performance ausgelegte Surface Studio 2+ mit 28-Zoll-Touchscreen besser.
Hat sich das Unternehmen für das passende Gerät entschieden, würde dies beim klassischen Deployment zunächst in der IT-Abteilung ankommen. Die erstellt dann sogenannte Custom Windows Images, die neben dem Betriebssystem mit allen wichtigen Updates auch die im Unternehmen eingesetzte Software sowie spezielle Konfigurationen enthalten. Diese Images muss die IT-Abteilung dann auf jedem neuen Unternehmensrechner ausrollen. Konkret bedeutet dies: Die IT-Fachkräfte packen die erworbenen Rechner aus und nehmen sie in ihr Client-Management-Tool auf. Danach betanken sie die Computer mit dem erstellten Custom Image. Anschließend bauen sie die Geräte wieder ab und transportieren sie zum Arbeitsplatz der neuen Mitarbeiter oder zu deren Homeoffice. Dieser gesamte Einrichtungsprozess – von der Erstellung des Images bis zum Aufbau am Arbeitsplatz – nimmt viel Zeit in Anspruch. Zwischen Eintreffen der Rechner und deren Betriebsbereitschaft vergeht mit unter ein Arbeitstag oder sogar mehr, wenn die Abteilung mit anderen Tätigkeiten überlastet ist.
Windows Autopilot automatisiert diesen Prozess. Das Tool bedient sich an dem bereits auf dem Gerät vorhandenen Betriebssystem und passt es an die Compliance-Vorgaben des Unternehmens an, sodass die IT-Abteilung nicht mehr für jedes Gerätemodell eigene Images und Treiber pflegen muss. Stattdessen müssen die IT-Mitarbeiter Autopilot nur einmal konfigurieren. Und selbst dies ist ein einfacher Vorgang: Soll Autopilot neben den Applikationen die komplette Hardware mit Richtlinien und Einschränkungen des Betriebssystems verwalten? Wie viel Geräte dürfen einzelne Nutzer mit einer Lizenz registrieren? Dürfen Mitarbeiter ihre persönlichen Geräte (Bring Your Own Device) einbinden? Der Administrator erstellt auf Basis dieser Angaben entweder für eine Gruppe von Geräten oder direkt für alle Geräte ein Profil, in dem er festlegt, welche Apps Autopilot installieren soll.
Ist Autopilot einmal eingerichtet, kann die IT-Abteilung bei sämtlichen Neuanschaffungen alle notwendigen Prozesse entspannt laufen lassen. Der Verkäufer des Geräts übermittelt Autopilot dann die Device-ID. Diese ID ist weltweit einmalig und wird somit dem Unternehmen zugeordnet. Das Azure Active Directory (Azure AD) – eine vollständige Identitäts- und Zugriffsmanagementlösungmit integrierter Security – koppelt das Endgerät an die Lizenz des Unternehmens und an das Nutzerprofil. Der Lieferant schickt schließlich das Gerät direkt zum Endnutzer, ohne über die IT-Abteilung zu gehen.
Da Windows Autopilot lediglich die OEM-optimierte Version des Windows-Clients verändert, die auf dem Gerät vorinstalliert ist, ergeben sich zwei entscheidende Vorteile: Der User muss das Betriebssystem nicht neu installieren, und er kann Autopilot von überall aus eigenständig aktivieren – auch im Homeoffice. Der Nutzer erhält in diesem Fall lediglich das Gerät und vom Arbeitgeber die Zugangsdaten. Er schließt das Gerät an das heimische Netzwerk an, und sobald dies erledigt ist, startet umgehend der Autopilot-Modus.
Der Deployment-Prozess dauert somit nur noch wenige Minuten. Für Mitarbeiter, die keine hohen Bandbreiten oder eine instabile Internetverbindung haben, bietet Autopilot auch einen White-Gloves-Modus. Ist dieser ausgewählt, würde die IT-Abteilung das Gerät in Empfang nehmen, die Apps und Richtlinien vorab herunterladen und erst dann das Gerät an den Nutzer weitergeben – dort übernimmt Autopilot die Finalisierung. Scheidet ein Mitarbeiter aus dem Unternehmen aus, entfernt Autopilot persönliche Dateien, Anwendungen und Einstellungen und setzt das Gerät auf die Werkseinstellungen zurück. Dabei bleibt die Geräte-Identität in Azure AD erhalten, sodass ein neuer Nutzer das Gerät problemlos übernehmen kann.
Windows Autopilot ist somit ein Tool, das zur rechten Zeit kommt. Das World Economic Forum befragte deutsche Unternehmen, welche Strategien sie aufgrund der Corona-Pandemie verfolgen. Zu den wichtigsten gehört, mobiles Arbeiten zu ermöglichen sowie die Digitalisierung von Arbeitsprozessen und die Automatisierung von Aufgaben zu beschleunigen. Autopilot leistet zu allen drei Punkten einen relevanten Beitrag.
Windows Autopilot hängt von bestimmten Funktionen ab, die in Windows Client und Azure Active Directory (Azure AD) verfügbar sind. Es ist auch ein MDM-Dienst wie Microsoft Intune erforderlich.
Um die erforderlichen Azure Active Directory-(automatische MDM-Registrierung und Unternehmens-Branding-Funktionen) und MDM-Funktionen bereitzustellen, ist eines der folgenden Abonnements erforderlich:
Microsoft 365 Business Premium-Abonnement
Microsoft 365 F1 oder F3-Abonnement
Microsoft 365 Academic A1-, A3- oder A5-Abonnement
Microsoft 365 Enterprise E3- oder E5-Abonnement, das alle Windows Client-, Microsoft 365- und EMS-Features (Azure AD und Intune) umfasst
Enterprise Mobility + Security E3 oder E5-Abonnement, das alle erforderlichen Azure AD- und Intune-Features enthält
Intune for Education-Abonnement, das alle erforderlichen Azure AD- und Intune-Features enthält
Azure Active Directory Premium P1 oder P2 und Microsoft Intune-Abonnement (oder ein alternativer MDM-Dienst)
Auch wenn Sie Microsoft-365-Abonnements verwenden, müssen Sie den Benutzern weiterhin Intune-Lizenzen zuweisen