SCCM Task Sequenz für Intune Enrollment (Entfernen des Config Manager Agents)

Möchte man von Windows 7 auf Windows 10 wechseln und dabei zeitgleich Microsoft Intune als MDM-Lösung einsetzen, so gestaltet sich dies für Neugeräte mit einem meines Erachtens noch viel zu unpopulären Feature namens Autopilot meist sehr komfortabel.

Als kleiner Exkurs: Autopilot ist ein Intune-Feature, welches bei der Semi-Annual Windows 10 Release 1703 eingeführt wurde und eine Out-of-the-Box Experience ermöglicht, in der der User beim Auspacken des Gerätes direkt die Möglichkeit hat, dieses in den Intune-MDM-Tenant der Firma aufzunehmen und von dort die Software und Richtlinien der Firma zu bekommen. Technisch funktioniert dies wie folgt:

  1. Rechner wird vom Unternehmen direkt zum Anwender bestellt
  2. Der Distributor bekommt vom Hersteller den sogenannten Hardware Hash des Gerätes und registriert diesen im Intune Autopilot Tenant des Kunden
  3. Der Anwender packt den gelieferten Computer aus, verbindet ihn mit dem Internet und startet in die Windows 10 Out-of-the-Box Experience (OOBE)
  4. Der Rechner fragt Azure ab, ob sein Hardware Hash in einem Intune Tenant registriert ist und bietet dem Anwender an, sich direkt in diesem über seinen Azure Active Directory User mit aktivierter Enterprise Mobility Management Lizenz anzumelden
  5. An diesem Punkt ist der Rechner im Intune MDM aufgenommen, kann die Unternehmenssoftware installieren und unterliegt den Geräterichtlinien des Unternehmens

Seit neustem ist auch Hybrid Domain Join über Autopilot aus der Preview heraus und generell verfügbar. „SCCM Task Sequenz für Intune Enrollment (Entfernen des Config Manager Agents)“ weiterlesen

Remote Desktop Services und vertraute Domains

Nutzt man die Remote Desktop Services von Windows Server 2012/2016/2019 und befindet sich zeitgleich in einer Multi-Domain- oder Multi-Forest-Umgebung, so wird man schnell feststellen, dass sich in den Assistenten zur Autorisierung von Benutzern und Gruppen ein Fehler eingeschlichen hat. Versucht man dort eine Gruppe hinzuzufügen, die sich nicht in derselben Domain befindet wie der Server von dem man die Konfiguration vornimmt, so bekommt man die folgende Fehlermeldung:

An diesem Punkt würde man normalerweise überprüfen, ob die Domain-Konnektivität so wie die Trusts in Ordnung sind, allerdings ist das in diesem Fall (wahrscheinlich) nicht das Problem.

Um diesen Schritt erfolgreich durchführen zu können, muss jede zu autorisierende Domain der DNS Suffix Search List auf einem beliebigen Netzwerk Adapter des aktuellen Verwaltungshosts (auf dem die Konsole ausgeführt wird), hinzugefügt werden.

Diese Konfiguration kann zum Beispiel wie folgt aussehen:

Azure AD Identity umziehen

Hat man in der heutigen Zeit mit einer Active-Directory-Migration zu tun, so ist meist die eigentliche Migration der Computer und User das kleinste Übel. Durch die Anbindung diverser Systeme muss aber jede Identität eines Users in jedem angebundenen System berücksichtigt werden. Ein sehr gutes Beispiel hierfür ist Office 365, respektive die Azure-Active-Directory-Identität eines Benutzers, an der in der durchschnittlichen Umgebung mindestens eine Mailbox, ein Sharepoint-Profil und ein Skype-for-Business-/Teams-Account hängt.

Bis November letzten Jahres war es problemlos möglich, die ImmutableID, sprich das „Ankerattribut“ im Azure Active Directory ohne weitere Maßnahmen anzupassen. Somit musste man nur sicherstellen, dass der vorherige Account nicht mehr synchronisiert wird, sobald der Quellanker auf den neuen Benutzer umgezogen wurde. Gemäß verschiedenen Beiträgen im Technet, war dies allerdings ein Bug, welcher nun behoben wurde. „Azure AD Identity umziehen“ weiterlesen