Skip to content
Close
Suche
CYBER SECURITY
WORKPLACE
NETWORK
DATA CENTER

Verschaffen Sie sich einen Überblick über unsere branchenübergreifenden IT Services für den Mittelstand.

Zur Übersicht
CHECKS & AUDITS
CYBER SECURITY
INFRASTRUKTUR PROJEKTE
BERATUNG & KONZEPT
Verschaffen Sie sich einen Überblick über unsere branchenübergreifenden IT Services für den Mittelstand.
Zur Übersicht
HELPDESK & SUPPORT
KMU
IT-Services speziell für kleine und mittelständische Unternehmen.
IT SECURITY
NETZWERK
CLOUD
DATA CENTER
WORKPLACE & ENDGERÄTE

Verschaffen Sie sich einen Überblick über unsere IT-Services für den Mittelstand.

Zur Übersicht
Blog Menü Bild
Unser IT Blog
Bleiben Sie auf dem Laufenden und erhalten Sie regelmäßig neue Impulse zur Digitalen Transformation.
Zum Blog

ARBEITEN BEI MICHAEL WESSEL

Karriere_Stellenangebote
Jobs & Karriere
Aktuelle Stellenangebote
INFORMATIONEN & KONTAKT
Infotag
Deine Ausbildung bei uns
Jetzt informieren
Netzwerk
06.20193 min Lesezeit

SCCM Task Sequenz Intune Enrollment (Entfernen Config Manager Agent)

Möchte man die Windowsversion aktualisieren (bspw. von Windows 7 auf Windows 10) und dabei zeitgleich Microsoft Intune als MDM-Lösung einsetzen, gestaltet sich dieses Vorhaben für Neugeräte mit einem meines Erachtens noch viel zu unpopulären Feature namens Autopilot meist sehr komfortabel.

Was ist Autopilot?

Als kleiner Exkurs: Autopilot ist ein Intune-Feature, welches bei der Semi-Annual Windows 10 Release 1703 eingeführt wurde und eine Out-of-the-Box Experience ermöglicht, in der der User beim Auspacken des Gerätes direkt die Möglichkeit hat, dieses in den Intune-MDM-Tenant der Firma aufzunehmen und von dort die Software und Richtlinien der Firma zu bekommen. Technisch funktioniert dies wie folgt:

  1. Der Rechner wird vom Unternehmen direkt zum Anwender bestellt
  2. Der Distributor bekommt vom Hersteller den sogenannten Hardware Hash des Gerätes und registriert diesen im Intune Autopilot Tenant des Kunden
  3. Der Anwender packt den gelieferten Computer aus, verbindet ihn mit dem Internet und startet in die Windows 10 Out-of-the-Box Experience (OOBE)
  4. Der Rechner fragt Azure ab, ob sein Hardware Hash in einem Intune Tenant registriert ist und bietet dem Anwender an, sich direkt in diesem über seinen Azure Active Directory User mit aktivierter Enterprise Mobility Management Lizenz anzumelden
  5. An diesem Punkt ist der Rechner im Intune MDM aufgenommen, kann die Unternehmenssoftware installieren und unterliegt den Geräterichtlinien des Unternehmens

Seit Neustem ist auch Hybrid Domain Join über Autopilot aus der Preview heraus und generell verfügbar.

Was kann der Hybrid Domain Join über Autopilot?

Dieses Feature ermöglicht, dass der Client über einen Azure AD Connector ebenfalls dem normalen On-Prem-Active-Directory beitritt, somit kann man auch weiterhin auf Features wie Direct Access und Group Policies zurückgreifen.

Möchte man wiederum einen vorhandenen Client von Windows 7 auf Windows 10 aufrüsten, so steht man oft vor mehreren Schwierigkeiten, dies beinhaltet die Umstellung von BIOS auf UEFI, das Aktualisieren der UEFI Firmware so wie das Aktivieren von SecureBoot und ggf. anderen UEFI Einstellungen. Abhilfe hierbei kann z.B. eine Task-Sequenz über den System Center Configuration Manager schaffen, dieser unterstützt sowohl das Setzen von UEFI Einstellungen als auch das Aktualisieren der UEFI Firmware.

Der Weg hierbei könnte also wie folgt aussehen:

  1. User/IT Support startet Task-Sequenz über PXE
  2. Task-Sequenz stellt das System auf UEFI um, aktualisiert die Firmware und aktiviert SecureBoot
  3. Windows-10-Installation wird durchgeführt
  4. Rechner tritt per Task-Sequenz dem lokalen Active Directory bei
  5. Der Computer verarbeitet die Group Policy „Auto MDM Enrollment with AAD Token“ unter „Administrative Templates > Windows Components > MDM“ und registriert sich wie ein Neugerät (mit dem aktuell angemeldeten User) im Azure AD und da einhergehend auch im MDM.

Klingt einfach, oder?

Der „Aha“-Effekt kommt leider erst danach, sind die Geräte nämlich in Intune registriert, wird einem Folgendes auffallen:

SCCM Task Sequenz Intune

Richtig: Intune MDM hat den Config Manager Agent bemerkt und stellt, da kein Co-Managed Szenario konfiguriert ist, den Dienst auf dem Gerät ein. Wir müssen also dafür sorgen, dass am Ende der Task Sequenz der SCCM Agent deinstalliert wird.

Hinweis an dieser Stelle: Der SCCM Agent Uninstaller arbeitet leider nicht ganz sauber, daher bleiben z.B Startmenü-Einträge zurück und die WMI Namespaces müssen ebenfalls per Powershell bereinigt werden.

Entfernen des Config Manager Agents

Um den Zielzustand zu erreichen, erstellen wir zuerst ein Config Manager Package und legen in diesem die beiden Files aus diesem Ordner ab.

Im Anschluss erstellen wir ein „Run Command Line“ Task und kopieren diese Datei nach „%SystemRoot%\Remove-SCCMAgent.ps1“:

Erklärung SCCM Task Sequenz 2

Das gleiche tun wir für die Definition des Scheduled Tasks:

Erklärung SCCM Task Sequenz 3

Nun, da wir beide Dateien auf dem Client haben, können wir den Scheduled Task erstellen:

Erklärung SCCM Task Sequenz 4

Da wir der Task Definition bewusst keinen Trigger definiert haben, fügen wir diesen Trigger nun in die SMSTSPostAction Variable ein, welche vom Config Manager am Ende der Task Sequenz ausgeführt wird und somit den SCCM Agent deinstalliert:

Erklärung SCCM Task Sequenz 5

Wenn alle beschriebenen Schritte durchgeführt wurden, wird am Ende der Task Sequenz der SCCM Agent deinstalliert und der Rechner neugestartet.

Sobald nun die oben genannte Gruppenrichtlinie angewandt wird und ein User mit EMS Lizenz angemeldet ist, wird der Rechner, ohne dass der vorher installierte SCCM Agent erkannt wird, in Intune eingebucht und kann von da aus verwaltet werden.
avatar

Team von michael wessel

KOMMENTARE

VERWANDTE ARTIKEL