Ein pragmatischer Ansatz für moderne Geräteverwaltung via Intune
Ausgangslage
Unternehmen fusionieren, Organisationen restrukturieren – und mittendrin: Geräte, Benutzerprofile und Policies, die tenantgebunden verwaltet werden. Bei einer Migration von einem Microsoft Intune-Tenant in einen anderen stellt sich zwangsläufig die Frage: Wie bringen wir bestehende Geräte sauber rüber – und das möglichst ohne Benutzerfrust?
Die Lösung: Windows Autopilot – richtig eingesetzt, ermöglicht er sogar bei einem Tenant-Wechsel ein durchgängiges, automatisiertes Benutzererlebnis.
Herausforderungen
Bevor ein Gerät im neuen Ziel-Tenant registriert werden kann, benötigt man die Hardware Hashes. Diese kann man entweder:
- per PowerShell lokal exportieren (
Get-WindowsAutopilotInfo), - über SCCM via CMPivot sammeln,
- oder automatisiert aus Intune heraus extrahieren (nur begrenzt praktikabel bei vielen Geräten).
Doch was tun, wenn man viele Clients migrieren muss – ohne physischen Zugriff auf alle Endgeräte?
Die Lösung: Autopilot JSON-Datei platzieren
Windows 10/11 respektiert während eines Resets (Wipe) das VerzeichnisC:\Windows\Provisioning\Autopilot.
Wird dort eine AutopilotConfigurationFile.json abgelegt, übernimmt das System beim nächsten Start die enthaltenen Parameter – inklusive Ziel-Tenant!
Ablauf:
- Gerät aus Autopilot-Geräteliste im Quell-Tenant entfernen
- JSON-Datei mit Ziel-Tenant-Config erzeugen (s. unten)
- Datei + Script als Win32-App bereitstellen
- Wipe auslösen (remote oder lokal)
- Gerät meldet sich im neuen Tenant an – ganz ohne Handarbeit!
JSON-Datei erstellen
Install-Module WindowsAutopilotIntune
Connect-AutopilotIntune
Get-AutopilotProfile -Id <Ziel-Profil-ID> | ConvertTo-AutopilotConfigurationJson | `
Out-File -FilePath "AutopilotConfigurationFile.json" -Encoding ASCII
Bereitstellung per PowerShell + Intune Win32-App
1. PowerShell Script: Invoke-AutopilotJSONDrop.ps1
$AutopilotJSON = "AutopilotConfigurationFile.json"
$JSONDropDirectory = "$env:windir\Provisioning\Autopilot"
if (Test-Path $AutopilotJSON) {
if (-not (Test-Path $JSONDropDirectory)) {
New-Item -Path $JSONDropDirectory -Type Directory -Force | Out-Null
}
Copy-Item -Path $AutopilotJSON -Destination $JSONDropDirectory -Force
}
Optional mit Logging erweitern (siehe Originalartikel für vollständige Logfunktion).
2. Win32-App erstellen
Inhalte in Ordner kopieren:
Invoke-AutopilotJSONDrop.ps1AutopilotConfigurationFile.json
Verpacken mit Microsoft Win32 Content Prep Tool
IntuneWinAppUtil.exe
App in Intune hochladen:
- Install command:
powershell.exe -ExecutionPolicy Bypass -File .\Invoke-AutopilotJSONDrop.ps1 - Uninstall command:
powershell.exe -Command "Remove-Item -Path 'C:\Windows\Provisioning\Autopilot\AutopilotConfigurationFile.json'"
Detection Rule:
Pfad: C:\Windows\Provisioning\Autopilot\AutopilotConfigurationFile.json
Existenzprüfung
Durchführung: Migration live
- App installieren (z. B. über Company Portal oder via Zuweisung)
- Verifikation: JSON liegt korrekt unter
C:\Windows\Provisioning\Autopilot - Gerät aus Autopilot-Device-List des Quell-Tenants entfernen
- Gerät zurücksetzen (Wipe)
Nach dem Neustart zeigt das Gerät Branding und Join-Logik des Ziel-Tenants – inklusive korrekter Autopilot-Experience.
Autopilot Device Import automatisieren
Im Ziel-Tenant sollte im Deployment Profile die Option
„Convert all targeted devices to Autopilot“ aktiviert sein.
Dies stellt sicher, dass das Gerät bei künftigen Resets korrekt dem Tenant zugewiesen bleibt – dauerhaft.
Fazit
Die Kombination aus JSON-Drop, Win32-App und kontrolliertem Wipe bietet einen pragmatischen und skalierbaren Migrationsweg – ohne USB-Sticks, ohne physikalischen Zugriff. Ideal für Fusionen, Tenant-Trennungen oder internationale Restrukturierungen.
💡 Tipp aus der Praxis:
Kombiniert mit OneDrive Known Folder Move (KFM) wird auch die Datenmigration elegant gelöst.
