Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Windows & Microsoft 365 02.06.2026 · 9 min Lesezeit

Intune: Windows-Geräte per Autopilot ausrollen

So rollst du Windows-Geräte im KMU per Windows Autopilot über Intune aus: Hardware-Hash erfassen, Bereitstellungsprofil anlegen, ESP konfigurieren und automatische MDM-Enrollment aktivieren.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Mitarbeiter richtet neuen Windows-Laptop per Autopilot ein

Mit Windows Autopilot rollst du neue Windows-Geräte im KMU komplett ohne manuelles Image aus: Der Mitarbeiter packt den Laptop aus, meldet sich mit seinem Entra-ID-Konto an, und Intune konfiguriert das Gerät automatisch. Diese Anleitung zeigt dir den vollständigen Weg im Microsoft Intune admin center (intune.microsoft.com) – von der Geräteregistrierung per Hardware-Hash über das Bereitstellungsprofil und die Enrollment Status Page bis zur automatischen MDM-Enrollment. Zielgruppe sind Admins kleiner und mittlerer Unternehmen, die ohne separaten Imaging-Server arbeiten wollen.

Voraussetzungen

Bevor du startest, brauchst du die folgenden Lizenzen, Rollen und Komponenten. Autopilot ist eine Cloud-Funktion und setzt eine funktionierende Entra-ID- und Intune-Umgebung voraus.

  • Lizenzen: Entra ID P1 (für automatische MDM-Enrollment) plus eine Intune-Lizenz. Beides ist in Microsoft 365 Business Premium, E3 und E5 sowie in den Education-Plänen A1/A3/A5 enthalten. Jeder Benutzer, der ein Gerät erhält, braucht eine zugewiesene Lizenz.
  • Windows-Edition: Windows 11/10 Pro, Pro Education, Enterprise oder Enterprise LTSC. Windows Home und Windows in S-Mode werden nicht unterstützt.
  • Rollen: Ein Konto mit der Rolle Intune Administrator (oder Global Administrator) für Portal-Konfiguration und Hash-Upload.
  • PowerShell: Microsoft Graph PowerShell – nicht das veraltete AzureAD-Graph-Modul – für das Skript Get-WindowsAutopilotInfo.
  • Netzwerk: Ausgehend HTTPS 443, HTTP 80 und NTP 123. Erreichbar sein müssen unter anderem ztd.dds.microsoft.com, login.live.com und *.microsoftaik.azure.net (TPM-Zertifikate).

Schritt 1: Microsoft Graph PowerShell vorbereiten

Den Hardware-Hash erfasst du mit dem offiziellen Skript Get-WindowsAutopilotInfo. Installiere es aus dem PowerShell Gallery. Führe PowerShell als Administrator aus. Bei neuen Geräten kannst du das Skript auch direkt während der Erstinrichtung über die Eingabeaufforderung starten.

Install-Script -Name Get-WindowsAutopilotInfo -Force
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned

Bestätige eine eventuelle Rückfrage nach dem NuGet-Provider mit Y. Das Skript landet danach im Skriptverzeichnis und ist über den Namen aufrufbar.

Schritt 2: Hardware-Hash der Geräte erfassen

Für jedes Gerät benötigt Autopilot einen eindeutigen Hardware-Hash. Du hast zwei Wege: Export als CSV-Datei (für den manuellen Import) oder direkter Upload mit dem Parameter -Online. Der CSV-Export legt die Datei standardmäßig im aktuellen Verzeichnis ab; lege dir am besten einen Ordner C:\HWID an.

New-Item -Type Directory -Path "C:\HWID" -Force
Set-Location -Path "C:\HWID"
Get-WindowsAutopilotInfo -OutputFile AutopilotHWID.csv

Willst du das Gerät direkt registrieren (etwa während der OOBE per Shift+F10 und Aufruf von PowerShell), nutze den Online-Modus. Dafür ist eine Anmeldung mit Intune-Admin-Rechten nötig:

Get-WindowsAutopilotInfo -Online

Prüfe vor dem Upload, ob Hersteller und Seriennummer korrekt aus dem WMI gelesen werden – fehlen diese Werte, schlägt der Hash-Upload fehl:

Get-CimInstance Win32_BaseBoard | Select-Object Manufacturer, SerialNumber

Die CSV enthält je Gerät die Spalten Device Serial Number, Windows Product ID, Hardware Hash und optional Group Tag sowie Assigned User. Eine Importdatei fasst maximal 500 Geräte. Alternativ liefern viele OEM/Reseller die Hashes bereits direkt in deinen Tenant.

Schritt 3: Geräte in Intune importieren

Lade die erfasste CSV nun ins Portal. Melde dich am Microsoft Intune admin center unter intune.microsoft.com an und navigiere wie folgt:

  1. Gehe zu Devices > Windows > Enrollment.
  2. Wähle unter Windows Autopilot den Punkt Devices.
  3. Klicke oben auf Import und wähle deine AutopilotHWID.csv aus.
  4. Bestätige mit Import und warte, bis der Vorgang abgeschlossen ist.
  5. Klicke anschließend auf Sync, damit Intune die Geräte verarbeitet. Die Synchronisierung kann einige Minuten dauern.

Nach erfolgreichem Sync erscheinen die Geräte in der Liste mit dem Profilstatus. Verwende für Notepad-Bearbeitungen der CSV ausschließlich den Editor und speichere als ANSI – dazu mehr im Troubleshooting.

Schritt 4: Automatische MDM-Enrollment aktivieren

Damit sich Geräte beim Entra-ID-Join automatisch in Intune einschreiben, muss der MDM-User-Scope gesetzt sein. Ohne diesen Schritt bricht das Enrollment ohne Benutzerkontext ab.

  1. Navigiere zu Devices > Enrollment > Windows enrollment.
  2. Öffne Automatic enrollment.
  3. Setze MDM user scope auf All (oder auf eine definierte Gruppe).
  4. Klicke auf Save.

Optional kannst du den Scope statt auf All auf eine Pilotgruppe begrenzen, wenn du den Rollout zunächst testen willst.

Schritt 5: Autopilot-Bereitstellungsprofil erstellen

Das Bereitstellungsprofil steuert, wie die OOBE (Out-of-Box Experience) aussieht und wie das Gerät beitritt. Für KMU ist der User-Driven-Modus mit Microsoft-Entra-ID-Join der Standard – das Gerät wird reiner Cloud-Mitglied, ohne lokale AD-Abhängigkeit.

  1. Gehe zu Devices > Windows > Enrollment > Windows Autopilot und wähle Deployment Profiles.
  2. Klicke auf Create profile > Windows PC.
  3. Vergib einen Namen, z. B. AP-User-Driven-EntraJoin, und eine Beschreibung.
  4. Stelle Convert all targeted devices to Autopilot nach deinem Bedarf ein.
  5. Im Reiter Out-of-box experience (OOBE): Deployment mode = User-Driven, Join to Microsoft Entra ID as = Microsoft Entra joined.
  6. Passe die OOBE an: EULA, Datenschutzeinstellungen und lokale Admin-Rechte je nach Richtlinie ausblenden bzw. einschränken. Lege bei Bedarf eine Namenskonvention für die Gerätenamen fest.
  7. Weise das Profil im Reiter Assignments einer Autopilot-Gerätegruppe zu (dynamische Gruppe, gefiltert nach Autopilot-Geräten oder Group Tag).

Eine dynamische Gerätegruppe lässt sich in Entra ID z. B. über die Mitgliedschaftsregel auf den Group Tag oder das ZTDID-Attribut filtern, sodass importierte Autopilot-Geräte automatisch Mitglied werden.

Schritt 6: Enrollment Status Page (ESP) konfigurieren

Die Enrollment Status Page zeigt dem Benutzer den Fortschritt der Einrichtung und blockiert den Desktop, bis die wichtigsten Richtlinien und Apps installiert sind. So startet niemand mit einem halb konfigurierten Gerät.

  1. Navigiere zu Devices > Device onboarding > Enrollment und öffne unter Windows Autopilot die Enrollment Status Page.
  2. Klicke auf Create und vergib einen Namen.
  3. Setze Show app and profile configuration progress auf Yes.
  4. Setze Block device use until all apps and profiles are installed auf Yes.
  5. Belasse den Timeout zunächst beim Standard von 60 Minuten und erhöhe ihn nur bei langsamen Verbindungen.
  6. Aktiviere optional Windows-Updates während OOBE installieren, wenn neue Geräte direkt aktuell sein sollen.
  7. Weise die ESP der gleichen Benutzer- oder Gerätegruppe zu wie das Profil.

Schritt 7: Grund-Compliance und Konfigurationsprofile anlegen

Damit die Geräte nicht nur eingeschrieben, sondern auch grundlegend abgesichert sind, lege eine einfache Compliance-Richtlinie und ein paar Basis-Konfigurationsprofile an. Diese werden über die ESP gleich beim ersten Start angewendet.

Compliance-Richtlinie erstellen:

  1. Gehe zu Devices > Compliance > Policies und klicke auf Create policy (Platform = Windows 10 and later).
  2. Aktiviere sinnvolle Mindestanforderungen, z. B. BitLocker erforderlich, Secure Boot, TPM sowie eine Mindest-Betriebssystemversion.
  3. Definiere unter Actions for noncompliance, was bei Nichteinhaltung passiert (z. B. als nicht konform markieren).
  4. Weise die Richtlinie der Benutzer- bzw. Gerätegruppe zu.

Konfigurationsprofil (Settings Catalog) erstellen:

  1. Gehe zu Devices > Configuration > Create > New Policy (Platform = Windows 10 and later, Profile type = Settings catalog).
  2. Füge Basis-Einstellungen hinzu, etwa Windows-Update-Verhalten, Bildschirmsperre oder Defender-Grundschutz.
  3. Weise das Profil zu und speichere.

Tipp: Mische bei Apps nicht beliebig Win32- und LOB-MSI-Pakete – das kann zu TrustedInstaller-Konflikten führen. Halte die ESP-Pflicht-Apps schlank.

Schritt 8: Ablauf aus Nutzersicht testen

Setze ein Pilotgerät auf Werkszustand zurück oder nutze ein frisch ausgepacktes Gerät und durchlaufe die OOBE. So sieht der Ablauf für den Mitarbeiter aus:

  1. Gerät einschalten, Sprache und Tastatur wählen, mit dem Netzwerk verbinden.
  2. Autopilot erkennt das Gerät und zeigt die firmeneigene Anmeldeseite (Tenant-Branding) statt der privaten Microsoft-Anmeldung.
  3. Der Benutzer meldet sich mit seinem Entra-ID-Konto (UPN und Passwort, anschließend MFA) an.
  4. Die Enrollment Status Page läuft durch: Gerätevorbereitung, Geräte-Setup und Konto-Setup mit Apps und Richtlinien.
  5. Nach Abschluss landet der Benutzer direkt auf dem fertig konfigurierten Desktop und kann arbeiten.

Funktioniert der Pilot, kannst du den Rollout auf weitere Geräte und Benutzergruppen ausweiten.

Troubleshooting

  • Problem: CSV-Importfehler. Bearbeite die CSV nur mit Notepad, speichere als ANSI (kein Unicode). Die Header sind case-sensitive, und es dürfen keine Anführungszeichen enthalten sein. Excel verändert das Format und macht die Datei unbrauchbar.
  • Problem: ZtdDeviceDuplicated. Der Hardware-Hash ist bereits vorhanden. Entferne das Duplikat aus der CSV und importiere erneut.
  • Problem: InvalidZtdHardwareHash. In WMI fehlen Hersteller oder Seriennummer. Prüfe mit Get-CimInstance Win32_BaseBoard und korrigiere ggf. das BIOS/UEFI bzw. die Hardware.
  • Problem: Gerätezugriff blockiert (UPN-Fehler). Ein ungültiger Benutzername in der Spalte Assigned User sperrt das Gerät. Entferne oder korrigiere die Zuweisung im Portal unter Windows Autopilot > Devices.
  • Problem: OOBE-Neustart-Schleife. Zu viele fehlgeschlagene Versuche. Setze den Registry-Wert zurück: 
    Set-ItemProperty -Path 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\UserOOBE' -Name Retry -Value 1
  • Problem: ESP läuft in den Timeout (Hybrid Join). Der On-Premises-AD-Sync kostet rund 40 Minuten extra. Erhöhe den ESP-Timeout oder bevorzuge den reinen Entra-ID-Join.
  • Problem: Pre-Provisioning schlägt fehl. Die TPM-Zertifikats-URLs *.microsoftaik.azure.net sind blockiert. Gib sie in Firewall/Proxy frei.
  • Problem: Enrollment ohne Benutzerkontext. Der MDM-User-Scope ist nicht aktiv. Setze ihn unter Devices > Enrollment > Windows enrollment > Automatic enrollment auf All.

Häufige Fragen

Brauche ich Entra ID P2 für Autopilot?

Nein. Für die automatische MDM-Enrollment genügt Entra ID P1, das in Microsoft 365 Business Premium, E3 und E5 enthalten ist. P2 brauchst du nur für zusätzliche Funktionen wie risikobasierte Conditional-Access-Richtlinien.

Funktioniert Autopilot mit Windows Home?

Nein. Du brauchst mindestens Windows 11/10 Pro, Pro Education, Enterprise oder Enterprise LTSC. Windows Home und der S-Mode werden nicht unterstützt.

Muss ich den Hardware-Hash selbst erfassen?

Nicht zwingend. Viele OEM und Reseller registrieren neue Geräte direkt in deinem Tenant. Für Bestandsgeräte oder kleine Mengen ist die Erfassung mit Get-WindowsAutopilotInfo der schnellste Weg.

Was ist der Unterschied zwischen Entra-ID-Join und Hybrid Join?

Entra-ID-Join macht das Gerät zum reinen Cloud-Mitglied – ideal für KMU ohne lokale Domäne. Hybrid Join bindet zusätzlich an ein lokales Active Directory an, kostet aber wegen des AD-Syncs rund 40 Minuten mehr und ist fehleranfälliger.

Wie viele Geräte kann ich pro CSV importieren?

Maximal 500 Geräte pro Importdatei. Bei größeren Mengen teilst du die Liste auf mehrere CSV-Dateien auf.

Warum bleibt die Enrollment Status Page hängen?

Meist sind zu viele oder konfliktbehaftete Apps als Pflicht-Apps hinterlegt. Halte die ESP-Pflichtliste schlank und mische keine Win32- und LOB-MSI-Pakete. Bei langsamen Verbindungen erhöhst du den Timeout über die 60-Minuten-Standardgrenze.

Fazit

Mit Windows Autopilot richtest du neue Geräte ohne Imaging-Server ein: Hardware-Hash erfassen und importieren, MDM-User-Scope aktivieren, ein User-Driven-Profil mit Entra-ID-Join plus Enrollment Status Page anlegen und einer Gerätegruppe zuweisen. Ergänzt um eine Grund-Compliance-Richtlinie erhalten deine Mitarbeiter ein abgesichertes, einsatzbereites Gerät – sie müssen sich nur anmelden. Für den Produktivbetrieb empfiehlt sich ein Pilotgerät, bevor du den Rollout breit ausrollst.

Weiterführende Anleitungen und Quellen

Passend zu einem sicheren Geräte-Rollout solltest du auch den Zugriffsschutz härten. Ergänzend hilfreich:

Quellen: Microsoft Learn – Manually register devices with Windows Autopilot, Windows Autopilot requirements, Set up the Enrollment Status Page in the admin center sowie Windows Autopilot user-driven Microsoft Entra join workflow.

Verwandt

Weiter lesen

Alle Artikel →
Administrator richtet Phishing-Schutz für Microsoft 365 am Bildschirm ein
02.06.2026 ·9 min

Microsoft Defender for Office 365: Phishing-Schutz einrichten

Phishing-Schutz mit Microsoft Defender for Office 365 einrichten: voreingestellte Sicherheitsrichtlinien, Anti-Phishing, Safe Links und Safe Attachments im Defender-Portal und per PowerShell.
Symbolbild IT-Sicherheit: Schloss-Symbol vor Programmcode für eine kritische Exchange-Schwachstelle
02.06.2026 ·10 min

SharePoint und OneDrive: Freigaben und externe Gäste sicher konfigurieren

So steuerst du externe Freigaben in SharePoint und OneDrive sicher: Freigabeebenen im SharePoint admin center, Link-Typen, Gast-Ablauf, Entra B2B sowie DLP und Download-Sperren per PowerShell und Portal.
Symbolbild für VPS-Absicherung: Vorhängeschloss vor einem Server als Sinnbild für Firewall, SSH-Keys und Brute-Force-Schutz
02.06.2026 ·9 min

Microsoft 365: MFA und Conditional Access in Entra ID einrichten

MFA für alle Nutzer erzwingen und Conditional Access in Entra ID einrichten: vier praxiserprobte Richtlinien, Report-only-Test und Break-Glass-Konto.