Direkt zum Hauptinhalt

Windows Devices - 2 - Intune optionale Konfigurationen

Vorarlberger Standardschulinstallation
Verfasser: Dietmar Köb, Lukas Franz, Kuno Sandholzer, Martin Schnetzer		© 2021 IT-Regionalbetreuer Vorarlberg
6900 Bregenz, Römerstraße 14
Alle Rechte vorbehalten

Diese Anleitung wurde im Jahr 2021 erstellt und ist in einigen Bereichen nicht mehr vollständig aktuell. Die grundlegenden Inhalte bleiben jedoch weiterhin gültig. Bei Fragen oder Unklarheiten verweisen wir auf die aktuelle Dokumentation zur Serverlosen Schule.

1 Windows Updates einrichten

1.1 Allgemeines

Für einen sicheren Betrieb sind aktuelle Systeme erforderlich. Diese können über vorgegebene Richtlinien konfiguriert werde.

1.2 Konfiguration

  • Öffnen des Endpoint Managers (https://endpoint.microsoft.com)  Geräte  Updateringe für Windows 10 und höher.
  • Profil erstellen mit dem Namen: Windows Updates für Schülergeräte
  • Standardmäßig kann alles so eingestellt bleiben – evtl. die Nutzungszeit des Gerätes, wenn nötig ändern.
  • Der Gruppe C_SuS zurordnen

Analog dazu kann auch ein Update-Profil für die Lehrer-Geräte konfiguriert werden (Gruppe: C_LuL).
Ein Bild, das Text enthält. Automatisch generierte BeschreibungEin Bild, das Text enthält. Automatisch generierte BeschreibungEin Bild, das Text enthält. Automatisch generierte BeschreibungEin Bild, das Text enthält.Automatisch generierte Beschreibung

2 Gesichtserkennung (Windows Hello for Business) einrichten

2.1 Allgemeines

Die Windows-SurfaceGo2-Tablets bzw. die eingebauten Kameras unterstützen die Anmeldung am Gerät (anstatt der Eingabe von Benutzername und Passwort) per Gesichtserkennung.

Um diese komfortable Loginvariante mit Gesichtserkennung überhaupt nutzen zu können, muss auf den Geräten „Windows Hello for Business“ über Intune aktiviert werden.

Wird die Gesichtserkennung in Intune aktiviert, muss verbindlich auch ein PIN (min. 6 Zahlen – und nur Zahlen) vergeben werden. Zusätzlich muss für die PIN-Einrichtung einmalig ein Handy (TAN per SMS oder Authenticator-App installieren) zur Verfügung stehen.

Die Einrichtung der Gesichtserkennung kann übersprungen werden (und später nach der erfolgreichen Anmeldung nachgeholt werden).

PIN und eingerichtete Gesichtserkennung gelten nur für den angemeldeten Benutzer und nur für dieses eine Gerät, auf dem es eingerichtet wird.

Grundsätzlich kann „Windows Hello for Business“ in Intune auf mehrere Arten / an mehreren Stellen konfiguriert werden – z. B.:

2.1.1 Gleich bei der Geräteregistrierung (also beim Rollout / beim ersten Login):

Standardeinstellung sieht dort so aus:

Wir belassen hier die Standardeinstellung bzw. stellen beim Punkt „Windows Hello for Business konfigurieren“ deaktiviert ein. Damit werden die „Windows Hello for Business“-Einstellungen nicht von Intune gesteuert. Bestehende Windows Hello for Business-Einstellungen auf Windows-Geräten werden nicht geändert.

Warum ist das unsere Empfehlung: Wird das hier aktiviert, muss 

1. Windows Hello for Business (bei uns Gesichtserkennung und PIN-Einrichtung mit Handy) gleich bei der Registrierung (beim zweiten Login auf dem Gerät) mit eingerichtet werden.

Diese Aufforderung bei der Anmeldung kann übersprungen werden:

 

aber: Diese Aufforderung zur Einrichtung erscheint bei jedem Login ☹.

2. „Windows Hello for Business“ auf allen Geräten und von allen Benutzern eingerichtet werden
Das wollen wir so nicht, weil einerseits die Einrichtung und Verwendung von „Windows Hello for Business“ nicht auf allen Geräten (z. B. Lehrergeräte, die von verschiedenen Benutzern verwendet werden) verbindlich gefordert werden soll und andererseits während des Rollout-Prozesses viele andere Dinge zu erledigen sind.

Mit dieser Einstellung alleine ist jedoch „Windows Hello for Business“ (eine Variante davon ist die „Gesichtserkennung“ als Anmeldeoption) auf allen Geräten deaktiviert und kann selbst vom lokalen Administrator auf den Geräten nicht aktiviert werden.

2.2 Wunschkonfiguration

Unser Wunschkonfiguration wäre: Die „Windows Hello for Business“ – Aufforderung zur ersten Einrichtung soll während des Anmeldevorganges nie erscheinen. Es soll aber jedem User vorbehalten und möglich sein, die Gesichtserkennung nach der Anmeldung mit dem Kennwort jederzeit nachträglich einzurichten.

2.2.1 Wunschkonfiguration umsetzen

  1. „Windows Hello for Business“ über ein Konfigurationsprofil aktivieren

„Geräte“ -> „Konfigurationsprofile -> „+Profil erstellen“
C:\Users\d\AppData\Local\Temp\SNAGHTMLb338dfe.PNG

> keine Anwendbarkeitsregeln > „Erstellen“

Damit wird „Windows Hello for Business“ nur für die Schüler-Gerätegruppe aktiviert.

Wichtiger Hinweis: Diese Einstellung bitte erst nach dem großen Rollout (= Geräte an die SuS verteilen, Erstregistrierung durchführen, alle Win-Updates machen ….) „scharf“ stellen (= erst dann eine Gerätegruppe (siehe oben „C_SUS“) dieser Richtlinie zuordnen). Ansonsten kann es passieren, dass während der Anmeldung die Aufforderung zum Einrichten der Gesichtserkennung und des PINs erfolgt, weil die Registryeinträge (siehe unten) noch nicht vorhanden sind bzw. noch nicht greifen. Die „Einrichtungs-Aufforderung“ kann zwar übersprungen werden (siehe oben), stört aber während des Rollouts.

Damit die Aufforderung zur Einrichtung der Gesichtserkennung nicht bei jedem Login erscheint, müssen wir auch noch einen Registryeintrag setzen:

  1. „Registryeintrag“:

Folgende zwei Registryeinträge sind dazu notwendig:
"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork" /v Enabled /t REG_DWORD /d 1 /f
"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork" /v DisablePostLogonProvisioning /t REG_DWORD /d 1 /f

Das kann z. B. über ein Powershellscript gemacht werden - Inhalt des Powershellscripts:

 

$Path = "HKLM:\SOFTWARE\Policies\Microsoft\PassportForWork"
If (!(Test-Path $Path)) {
  New-Item -Path $Path
  }
Set-ItemProperty -Path $Path -Name 'DisablePostLogonProvisioning' -Type "DWORD" -Value "1" -FORCE
Set-ItemProperty -Path $Path -Name "Enabled" -Type 'DWORD' -Value "1" -FORCE

Diese drei Befehlszeilen in eine Textdatei kopieren und z. B. als „No_HelloEinrichtung_bei_Logon.ps1“ abspeichern.
… oder hier herunterladen: No_HelloEinrichtung_bei_Logon.ps1

.. und das dann in Intune implementieren:
„Geräte“ > „Windows“ > „PowerShell-Skripts“ > „+Hinzufügen“:


> „Hinzufügen“

Die Zuordnung zur Gerätegruppe kann und soll hier sehr wohl sofort gemacht werden (also schon bevor die Richtlinie oben scharf geschaltet wird).

2.3 Gesichtserkennung auf dem Gerät einrichten

Auf dem Gerät im Suchfeld links unten „Anmeldeoptionen“ eigegeben:
  C:\Users\d\AppData\Local\Temp\SNAGHTMLfd55dfc.PNG

Die Kamera erscheint und richtet Gesichtsmerkmale ein …
Zusätzlich muss verbindlich eine PIN eingerichtet werden (min. 6 Zahlen – und nur Zahlen):
  C:\Users\d\AppData\Local\Temp\SNAGHTMLfd7c72c.PNG C:\Users\d\AppData\Local\Temp\SNAGHTMLfd8b371.PNG

C:\Users\d\AppData\Local\Temp\SNAGHTMLfdbe1e5.PNG

erledigt:

3 Microsoft Edge Konfiguration

3.1 Allgemeines

Die Startseite kann nicht über die Standardrichtlinie für EDU konfiguriert werden, sondern muss zusätzlich mit einem Konfigurationsprofil eingerichtet werden.

3.2 Konfiguration - Startseite

Öffnen des Endpoint Managers (https://endpoint.microsoft.com)
> Geräte > Konfigurationsprofile > Profil erstellen
 Ein Bild, das Text enthält.Automatisch generierte BeschreibungEin Bild, das Text enthält.Automatisch generierte Beschreibung

Name: MS Edge Startseite
Beschreibung: Konfiguration der Startseite und Schaltfläche Startseite auf Symbolleiste
Ein Bild, das Text enthält.Automatisch generierte Beschreibung

Fünf Konfigurationen für Microsoft Edge:
Ein Bild, das Text enthält. Automatisch generierte Beschreibung

  • Aktion, die beim Start ausgeführt werden soll
  • Aktivieren und Neuen Tab öffnen

Ein Bild, das Text enthält. Automatisch generierte Beschreibung

  • URL für die neue Tabseite konfigurieren
  • Aktivieren und gewünschte Seite angeben „https://www.vobs.at

Ein Bild, das Text enthält. Automatisch generierte Beschreibung

  • Die Standardwebsites der obersten Ebene auf der neuen Tabseite ausblenden
  • Aktivieren

Ein Bild, das Text enthält. Automatisch generierte Beschreibung

  • Schaltfläche „Startseite“ auf Symbolleiste anzeigen
  • Aktivieren

Ein Bild, das Text enthält. Automatisch generierte Beschreibung

  • Neue Tabseite als Startseite festlegen
  • Aktivieren

Zuweisung der Gruppe C_Autopilot
Ein Bild, das Text enthält. Automatisch generierte Beschreibung

3.3 Konfiguration – Favoriten

Erstellen eines neuen Geräte-Konfigurationsprofil
Ein Bild, das Text enthält. Automatisch generierte Beschreibung

Name des Konfigurationsprofils: MS Edge Favoriten – Administratives Template
Beschreibung: Favoriten mit Liste bereitstellen
Nach dem „Erstellen“ klicken - Microsoft Edge in der Liste auswählen. Danach die „Favoriten“ im Suchfeld suchen.
Ein Bild, das Text enthält.Automatisch generierte Beschreibung

Im Feld „Favoriten konfigurieren“ wird nun folgender Eintrag hinzugefügt.

Beispiel:
Fügt einen Ordner in der Favoritenleiste ein
Hier werden die Seiten und der Name der Verknüpfung definiert.

[
{
"toplevel_name": "Schul-Favoriten"
},
{
"url": "https://www.webseite1.at",
"name": "Seite 1"
},
{
"url": "https://www.webseite2.at",
"name": " Seite 2"
},
{
"url": "https://www.webseite3.at/",
"name": " Seite 3"
},
{
"url": "https://www.webseite4.at/",
"name": " Seite 4"
},
{
"url": "https://www.webseite5.at/",
"name": " Seite 5"
},
]

Im Anschluss wird noch die Favoritenleiste aktiviert
Ein Bild, das Text, Screenshot, drinnen enthält. Automatisch generierte Beschreibung

Im letzten Schritt fügen wir wiederum die entsprechende Gruppe hinzu. Z.B. C_Autopilot
Ein Bild, das Text enthält.Automatisch generierte Beschreibung

Zum Schluss alles nochmals Überprüfen und erstellen.

4 Anhang

Die Kapitel Proaktive Korrekturen (Wartungen) und McAffee Remover sind veraltet und wurden hier entfernt! Zum Thema Wartungen sind Anleitungen im BEreich der Serverlosen SChule zu finden!

 

nach oben