Windows Devices - 4 - Intune Zurücksetzungsmöglichkeiten

Vorarlberger Standardschulinstallation
Verfasser: Kuno Sandholzer

Was passiert beim…

1 Vorwort – Was mache ich wann…?

Im Intune Admin Center werden für die eingebundenen Endgeräte verschiedene Fernwartungsoptionen angeboten. Diese unterscheiden sich oft nur im Detail. Dennoch eignen sich die Möglichkeiten für verschiedene Szenarien unterschiedlich gut.

Situation	Methode
Der Schüler verlässt unsere Schule.	Abkoppeln oder Entfernen Danach das Gerät aus den Autopilot-Profilen entfernen!
Der Schüler hat das Gerät verloren oder es wurde gestohlen.	Zurücksetzen (ohne oberes Häkchen, mit unterem Häkchen)
Das Gerät oder ein Programm funktioniert nicht wunschgemäß, möglicherweise ein Fehler bei einer Programminstallation.	Zurücksetzen (mit oberem Häkchen)
Das Gerät wird in unserer Schule von einem anderen Schüler verwendet werden.	Autopilot-Zurücksetzung
Ich möchte vorinstallierte Software vom Gerät entfernen, es hat sich bisher noch kein Schüler angemeldet. Windows wird dabei in der aktuellsten Version installiert.	Sauberer Start (ohne Häkchen)
Ich möchte vorinstallierte Software vom Gerät entfernen, ein Schüler hat das Gerät bereits verwendet. Windows wird dabei in der aktuellsten Version installiert.	Sauberer Start (mit Häkchen)
Ich habe den Eindruck, dass ein Schüler Schadsoftware auf dem Computer hat.	Windows Defender-Sicherheitsinformationen aktualisieren, danach Schnellüberprüfung und/oder vollständige Überprüfung
Ich möchte einem Problem an einem Gerät auf den Grund gehen, habe ausreichend Zeit und bin neugierig	Diagnosedaten sammeln

2 Abkoppeln

Abkoppeln wird verwendet, wenn ein Schüler die Schule verlässt. Die Bindung des Geräts zum Azure AD und zum Endpoint Manager wird beim nächsten Check-In des Geräts beendet.

Beim Abkoppeln wird das Gerät aus dem Microsoft Endpoint Manager entfernt und vom MDM losgelöst.

Vor dem Abkoppeln muss ein lokaler Administrator auf dem Gerät vorhanden sein – ansonsten ist keine administrative Anmeldung auf dem Gerät mehr möglich!

Das Gerät bleibt im Endpoint Manager aufgelistet, bis es das nächste Mal eincheckt. Es erhält dann den Abkoppel-Befehl und wird aus dem Azure AD entfernt.

Ist ein beliebiger Benutzer am Gerät angemeldet, erhält er (nach einer Weile) die Information, dass sein Zugriff auf die Schulressourcen beendet wurde.

Verlässt der Schüler/das Gerät die Schule, so muss das entsprechende Gerät auch aus der Registrierung der Autopilot-Geräte entfernt werden (Microsoft Endpoint Manager – Geräte – Geräte registrieren – Windows-Registrierung – Schaltfläche „Geräte“.
Wie üblich in Azure AD – Zeit lassen, es dauert ein paar Minuten.

Wird das nicht gemacht, meldet sich das Gerät beim nächsten Zurücksetzen wieder im Azure AD der Schule an.

Mit der Zeit verschwindet das Gerät dann auch aus den anderen Bereichen, dies kann von Hand beschleunigt werden, in dem das entsprechende Gerät händisch aus dem Gerätebereich das Azure Admin Centers und aus dem Gerätebereich des Azure Active Directory gelöscht wird. Letzteres funktioniert bei einem Autopilot-Gerät nur, wenn das Gerät, wie im oberen Absatz beschrieben, auch aus der Registrierung der Autopilot-Geräte entfernt wurde.

Was passiert:

Per Endpoint Manager verteilte Apps werden gelöscht.

Einstellungen und Policies der Schule werden nicht mehr weiter angewendet.

WLAN-Profile werden entfernt.

Benutzerprofile der Schule werden entfernt. Es kann nur noch mit einem lokal eingerichteten Benutzer gearbeitet werden.

Die Verbindung zum Azure AD der Schule wird getrennt.

3 Zurücksetzen

Zurücksetzen (ohne oberes Häkchen) wird verwendet, wenn das Gerät den Besitzer wechselt, verloren oder gestohlen wurde. Alle Daten werden unwiederbringlich gelöscht, sofern die erste Option nicht ausgewählt wurde.
Zurücksetzen (mit oberem Häkchen) wird verwendet, wenn das Gerät vom gleichen Besitzer weiterverwendet werden soll, aber eine komplette Zurücksetzung sinnvoll erscheint. Alle Apps und Richtlinien werden gelöscht, nur die Zuordnung zum Benutzer und seine Daten bleiben erhalten.

Ein Bild, das Text enthält.

Automatisch generierte Beschreibung Zurücksetzen, alle Benutzerprofile, MDM Policies und Einstellungen werden gelöscht. Windows wird auf Werkseinstellungen zurückgesetzt.

Ein Bild, das Text enthält.

Automatisch generierte Beschreibung
Zurücksetzen, aber Registrierungsstatus und zugeordnetes Benutzerkonto beibehalten

🡪 Gerät wird auf Werkseinstellungen zurückgesetzt, Windows neu installiert, aber das zugeordnete Benutzerkonto bleibt erhalten 🡪 ideal, um Schülergeräte in einen definierten Zustand zurückzuversetzen

Bis die Aktion auf dem Gerät ankommt und umgesetzt wird, vergehen ein paar Minuten (in Tests bis zu 10 Minuten, kann aber scheinbar auch mehr sein).

Ein Bild, das Text enthält.

Automatisch generierte Beschreibung
Wird das untere Häkchen gesetzt, kann der Zurücksetzungsvorgang nicht durch Ausstecken oder Abschalten des Geräts abgebrochen werden. Sobald das Gerät wieder Strom hat, wird das Zurücksetzen fortgesetzt.

Das kann jedoch Windows unter Umständen in einem undefinierten Zustand zurücklassen.

Zurücksetzen entspricht dem manuellen Zurücksetzen über die Einstellungen direkt am Gerät.

Was passiert:

Gerät wird auf Werkszustand (inkl. allenfalls vorinstallierter Programme) zurückgesetzt, je nach Häkchen mit oder ohne Beibehaltung der Benutzerkonten. Wurde auf diesem Gerät einmal ein „Sauberer Start“ (siehe 8.) durchgeführt, so fehlen die ab Werk installierten Programme weiterhin.

Nach dem Zurücksetzen wird das Gerät wieder ins Azure AD der Schule eingebunden.

Benutzerdaten, die nicht innerhalb des Profils (OneDrive) gespeichert wurden sowie privat installierte Apps werden gelöscht.

Daten im Profil (OneDrive) bleiben erhalten. Daten, die noch nicht ins OneDrive synchronisiert wurden, bleiben scheinbar auch auf der Festplatte erhalten (nicht getestet).

4 Entfernen

Entfernen wird verwendet, wenn ein Schüler die Schule verlässt. Die Bindung des Geräts zum Azure AD und zum Endpoint Manager wird sofort beendet.

Grundsätzlich funktioniert „Entfernen“ ähnlich wie „Abkoppeln“, aber man kann sich nicht darauf verlassen, ob über den Endpoint Manager bereitgestellte Apps und Einstellungen gelöscht oder zurückgesetzt werden oder nicht. Kann sein, kann aber auch nicht sein.

Beim Abkoppeln werden diese Apps definitiv entfernt.

„Entfernen“ löscht das Gerät sofort aus dem Azure Active Directory, ohne auf den nächsten Check-In des Geräts zu warten. Auch hier muss das Autopilot-Profil entfernt werden, damit sich das Gerät nicht beim nächsten Zurücksetzen wieder im Azure AD der Schule zurückmeldet.

Auch beim „Entfernen“ muss ein lokaler Administrator auf dem Gerät eingerichtet sein!

Ist ein beliebiger Benutzer am Gerät angemeldet, erhält er (nach einer Weile) die Information, dass sein Zugriff auf die Schulressourcen beendet wurde.

5 Synchronisieren

Synchronisieren wird verwendet, um Einstellungen, Konfigurationen, Richtlinien oder Apps möglichst schnell auf Geräte zu übertragen.

Einstellungen, Konfigurationen, Apps usw. werden „irgendwann“ auf die Geräte übertragen – meistens eh recht zeitnah, aber es braucht Geduld. Mit der Option „Synchronisieren“ werden diese Vorgänge beschleunigt, allerdings nur, wenn das Gerät online und erreichbar ist.

6 Neu starten

Neu starten wird verwendet, wenn ein Problem auf einen fehlenden Neustart zurückgeführt werden könnte und dieser Neustart aus der Ferne ausgelöst werden soll.

Startet das Gerät neu, wenn es eingeschaltet und über das Internet erreichbar ist. Wie üblich, dauert das etwas, bis der Befehl beim Gerät ankommt. Ein angemeldeter Benutzer erhält die Information, dass er in Kürze abgemeldet wird, da der Geräteadministrator einen Neustart geplant hat.

7 Diagnosedaten sammeln

Diagnosedaten sammeln wird ausgeführt, wenn zur Problemanalyse möglichst viele Informationen des Geräts aus der Ferne gesammelt werden sollen.

Dieser Befehl sammelt umfangreiche Daten vom angegebenen Gerät. Es werden dabei keine benutzerbezogenen Daten erfasst, sondern ausschließlich technische Informationen (Zertifikate, installierte Programme, Netzwerkeinstellungen, diverse Konfigurationen, …)

8 Sauberer Start

Sauberer Start wird verwendet, um mitgelieferte, vorinstallierte Software (Bloatware) zu entfernen und auf dem Gerät gleichzeitig auf die aktuellste Windows-Version zu installieren.

Ein Bild, das Text enthält.

Automatisch generierte Beschreibung Damit werden alle Apps deinstalliert. Im Anschluss werden die Apps über die Richtlinie wieder installiert. Hat man die lokalen Benutzerdaten im Verdacht ein Problem zu verursachen, so können diese ebenfalls entfernt werden. Setzt man das Häkchen, bleiben sie erhalten.

Wird dieses Häkchen aktiviert, so wird nach der Neueinrichtung die Anmeldung des bisherigen Benutzers angeboten. Danach erscheint die Meldung, dass die Eingabe einer PIN zur Anmeldung notwendig sei.
Dieses Fenster kann jedoch einfach geschlossen werden bzw. mit „Später erledigen“ quittiert werden. Danach kann sich der Benutzer wie gewohnt mit dem Kennwort am Gerät anmelden.
Die Ursache für die Aufforderung zur PIN-Eingabe ist uns noch nicht bekannt.

9 Autopilot-Zurücksetzung

Autopilot-Zurücksetzung wird verwendet, um ein Gerät eines Schülers in einen definierten Zustand zu versetzen. Das Gerät soll zukünftig von einem anderen Schüler der Schule verwendet werden.

Ein Bild, das Text enthält.

Automatisch generierte Beschreibung
Per Autopilot-Zurücksetzung werden alle per Endpoint Manager ausgespielten Programme, Einstellungen und Benutzerprofile gelöscht. Die Regionseinstellungen, Anbindung ans Azure AD sowie die WLAN-Einstellungen bleiben erhalten.

10 Schnellüberprüfung

Eine Schnellüberprüfung wird bei Verdacht auf Schadsoftware durchgeführt.

Die Registry und die Windows-Startordner werden auf bekannte Schadsoftware überprüft.

11 Vollständige Überprüfung

Eine vollständige Überprüfung wird bei Verdacht auf Schadsoftware durchgeführt.

Die vollständige Überprüfung untersucht den kompletten Massenspeicher auf bekannte Schadsoftware. Dieser Vorgang kann mehrere Stunden in Anspruch nehmen.

12 Windows Defender-Sicherheitsinformationen aktualisieren

Dieser Vorgang wird durchgeführt, um eine Aktualisierung der Windows Defender – Updates auf dem Gerät zu erzwingen.

Das Gerät wird angewiesen, die Windows Defender-Sicherheitsinformationen auf den aktuellen Stand zu bringen.

13 Quellen:

https://karstenkleinschmidt.de/2020/09/09/intune-what-is-retire-wipe-delete-fresh-start-autopilot-reset/

https://www.petervanderwoude.nl/post/factory-reset-fresh-start-autopilot-reset-so-many-options/

https://call4cloud.nl/2021/04/to-retire-or-not-to-wipe/

https://docs.microsoft.com/en-us/mem/intune/remote-actions/devices-wipe

https://docs.microsoft.com/de-de/mem/intune/remote-actions/collect-diagnostics