MDM-Webinar zu Microsoft-Geräten
Technische Fragen & Antworten
Die Fragen wurden von Experten der ACP eduWerk beantwortet.
Geräte müssen bei teilverwalteten Geräten bloß abgekoppelt werden, damit die Schulverwaltung vom Gerät entfernt wird.
Eine Vollverwaltung ist kein Problem oder Fehler. Geräte in der Vollverwaltung sind, wie der Name bereits sagt, voll verwaltet und können dadurch präziser gesteuert werden.
Geräte in einer Vollverwaltung müssen im Enrollment Profil entfernt werden (Intune). Sofern der Admin berechtigt ist, die Vollverwaltung zu trennen, kann dies natürlich auch vom Schüler oder der Schülerin durchgeführt werden - sauberer ist es aber, wenn es der Kustode oder die Kustodin macht, da es sich um seine Microsoft Umgebung handelt.
Diverse Verwaltungsoptionen sind limitiert. Manche Gerätesteuerungsoptionen sind nicht vorhanden und das Gerät hat die Option, die Verwaltung eigenständig zu verlassen (spätestens mit einem Device Reset).
Dies wurde in der Präsentation vorgeführt. Sie können es gerne in der Aufzeichnung noch einmal ansehen.
Korrekt. Ein lokales, nicht Microsoft verknüpftes, Konto, damit der User nicht ausgesperrt ist und weiterhin Daten sichern kann.
Ja. Es ist immer sinnvoll direkt im Onboardingprozess einen lokalen User zu hinterlegen, da dieser im Notfall genutzt werden kann.
Profil wird dies umgangen. Alternativ gibt es Möglichkeiten mit einem Geräte-Admin am Gerät selbst einen lokalen User zu erstellen.
Beide Zeilen müssen erstellt werden. Die erste Zeile dient zur Erstellung des Kontos, während die zweite Zeile zur Festlegung des Passworts der erstellten Accounts dient. Wenn es zu Problemen oder Fehlermeldungen in Ihrer Verwaltung kommt, melden Sie sich bitte beim MDM-Support, damit dieser das Problem gemeinsam mit Ihnen lösen kann.
Sofern der/die Schüler/in die Zugangsdaten für den lokalen Admin hat, kann das Gerät bedenkenlos beim Verlassen der Schule aus dem MDM entfernt werden. Andernfalls müssen diese Daten dem/der Schüler/in übergeben werden.
Es ist am lokalen Benutzer nicht ersichtlich, ob das Gerät verwaltet wird.
Sofern das Konto mithilfe einer Konfigurationsrichtlinie erstellt wurde, kann das Passwort in dieser Richtlinie ausgelesen werden. Ansonsten sollte der Admin das Passwort in seinen Aufzeichnungen notiert haben.
Ja. Da die Schüler/innen mit dem lokalen Admin am Gerät sind, können Anmeldedaten geändert werden.
Am lokalen User mit dem (noch vorhandenen) AD Account anmelden und Daten aus der Cloud sichern.
Es ist möglich dies per PowerShell Skript zu automatisieren. Bitte führen Sie das aber nur mit entsprechender Erfahrung mit der Materie durch, da es ansonsten zu gröberen Fehlern kommen kann.
Die Lizenz für die Office Programme ist nicht gleich dem Windows Schlüssel. Die Geräte behalten Ihre Win 10/11 Version
Korrekt. Es wird dem Userkonto die Lizenz entzogen und dieser verliert dadurch Zugang zu den O365 Services.
Die Office Lizenzen werden vom jeweiligen Kustoden entzogen. Diese sollten erst zum Schluss des Offboardings entzogen werden.
Alle Daten, die innerhalb einer Lizenz bei Microsoft angelegt wurden (Mailverkehr / OneDrive / etc.) werden nach 30 Tagen endgültig gelöscht, wenn die Lizenz entzogen wird. Unsere (ACP eduWERK) Empfehlung: Keine Lizenz entziehen für längere Ausfälle.
Wir empfehlen, die Lizenzen erst zu entziehen, wenn es zu 100% sicher ist, dass die Schüler/innen auch die Schule verlassen. Es spricht nichts dagegen, die Lizenzen erst zu Schulbeginn im Herbst zu entziehen.
Für jedes Offboarding aus der Verwaltung gelten die Best Practices anhand der technischen Anleitung. Selbst wenn die Schüler/innen an der Schule (Oberstufe) bleiben, gilt es, die Geräte sauber aus dem System zu entfernen. Solange die M365 Accounts lizenziert bleiben, können diese weiterhin verwendet werden. Bezüglich Administratorenrechten: Wir raten ab, das M365 Konto mit Administratorenrechten auszustatten, da dieses dann entsprechende Rechte in Ihrer Admin-Umgebung bekommt (Beispiel: Lokaler Admin bei Azure Joined Devices = Dieses Konto hat auf jedem Gerät Ihrer Schule, das verwaltet wird, lokale Admin Rechte)
Alle Daten, die in der Cloud gesichert werden, sind im Nachgang wieder herunterzuladen. Programme kann man ebenso sichern, die meisten Programme sichern Fortschritte mittlerweile über die Accounts, die für die Benutzung dieser verwendet werden müssen.
Teams Daten werden auf einem eigenen SharePoint abgelegt. Es ist möglich, Daten aus Teams lokal herunterzuladen und im eigenen OneDrive zu sichern.
Der jeweilige angemeldete User hat entsprechende Rechte auf dem Gerät. Eine Erstinbetriebnahme bei vollverwalteten Geräten mit einem Administratorkonto hat keine Auswirkungen auf die Berechtigungen eines Schüler/innen-Kontos.
Es sollten nur dann Geräte entfernt werden, wenn es 100% sicher ist, dass die Schüler/innen die Schule verlassen. Für Schüler/innen mit Wiederholungsprüfung empfehlen wir, diese vorerst in der Verwaltung zu lassen und erst nach dem Resultat zu agieren. Eine Sortierung mithilfe von Gruppen kann hier helfen.
Geräte können in Gruppen unterteilt bzw. mit Tags ausgestattet werden. Für Massengeräteaktionen gibt es leider keine Gruppierungsoption von Microsoft.
> Falls sehr versiert: PowerShell Skripte können hier helfen.
Die Geräte müssen sich in einem Netzwerk mit Internetzugang befinden, damit der Entkopplungsbefehl auch am Gerät ankommen kann. Dieser Befehl bleibt auf „Ausstehend“ in der Verwaltung, bis dieser am Gerät angekommen ist.
Die Aktion Abkoppeln entfernt die Daten aus verwalteten Apps (falls zutreffend), Einstellungen und E-Mail-Profilen, die mithilfe von Intune zugewiesen wurden. Das Gerät wird aus der Intune-Verwaltung entfernt. Das Entfernen erfolgt, wenn das Gerät das nächste Mal eincheckt und die Remoteaktion „Außer Betrieb nehmen“ empfängt. Das Gerät wird weiterhin in Intune angezeigt, bis das Gerät eincheckt. Wenn Sie veraltete Geräte sofort entfernen möchten, verwenden Sie stattdessen die Aktion Löschen.
Unterschied gibt es keinen, da das Gerät die Schulverwaltung komplett verlassen muss um entweder komplett privat genutzt bzw. im nächsten MDM verwendet werden zu können.
Alle Unternehmensspezifischen Daten werden beim Abkoppeln gelöscht
Abkoppeln eines Geräts und Löschen eines M365 Accounts erfüllen verschiedene Ziele und sollten nicht als Ersatz für das andere verwendet werden. Das Abkoppeln der Geräte dient dem Zweck, alle Unternehmensspezifischen Daten (Apps / Restriktionen / Konfigurationen) des MDMs zu entfernen. Das Löschen des M365 Accounts dient dem Zweck, Daten aus der assoziierten OneDrive und E-Mails zu löschen (als auch den Zugang zu deaktivieren). Beim Offboarding ist es wichtig, beides durchzuführen sobald ein/e Schüler/in die Schule verlässt.
Bei Vollverwalteten Geräten ist es nicht möglich, die Verwaltung am Gerät selbst zu verlassen. Es können jedoch gemeinsam mit den Schüler/innen die Geräte zurückgesetzt werden.
Mit PowerShell Skripten ist es möglich, diverse Daten aus dem MDM auslesen zu können. PowerShell Skripte sollten nur mit Expertise und mit Vorsicht ausgeführt werden. Empfehlenswert: Zuerst in einer Testumgebung testen.
Falls das Gerät bereits aus der Verwaltung entfernt wurde, gibt es die Möglichkeit, den Bitlocker Key noch über Entra ID auszulesen. Falls das Gerät ebenso nicht mehr in Entra ID existiert, ist der Bitlocker Key verloren.
Geräte aus einer Vollverwaltung können nicht per Sysprep einfach getrennt werden. Eine Nachlese dazu gibt es hier.
PowerShell Skripte sollten nur von Personen mit gewisser Expertise verwendet werden. Möglich ist es.
Ja, das ist möglich. Geräte können im AutoPilot entweder einzeln oder im Bulk entfernt werden.
Um Geräte im AutoPilot zur Verfügung stehen zu haben, ist es notwendig, diese dem AutoPilot selbstständig zuzuweisen (Per Import im AutoPilot Portal) oder von einem MSP (Microsoft Partner) zuweisen zu lassen.