Categories
Intune

Mandatory Profile unter Microsoft Intune

Früher waren Mandatory Profiles ziemlich beliebt. Sie wurden häufig in Bildungseinrichtungen oder Kioskumgebungen verwendet oder überall dort, wo die Kopie des Benutzerprofils bei der Abmeldung verworfen werden musste. Auf diese Weise wurde sichergestellt, dass alle Benutzer den gleichen Desktop vorfinden, unabhängig davon, was sie während der Sitzung mit ihrem Profil gemacht haben.

Die Anforderung

Das Ziel ist es, ein Profil für Schulungszwecke zu erstellen, welches administrative Berechtigungen hat und vorgenommene Einstellungen nach der Abmeldung verwirft. Zusätzlich sollen die Computer das Profil über Intune erhalten und dieses dort verwaltbar sein.

Vorbereitung des Windows Standardprofil

Ausgangspunkt für ein Mandatory Profile ist ein Standardprofil. Das Standardprofil wird in zwei unabhängig voneinander stattfindenden Prozessen vorbereitet, der Audit Modus zum Vorbereiten des Profils und Windows Assessment and Deployment Kit zum Erstellen einer Antwortdatei (unattend.xml). Um ein Mandatory Profile zu erstellen ist eine VM oder ein PC notwendig mit einem Windows 10/11 Image. Dieser Beitrag basiert auf einer Hyper-V VM mit Windows 10 Pro 21H2.

Audit Modus

Im ersten Fenster der Out-of-Box Experience kann der Audit Modus gestartet werden mit der Tastenkombination Strg + Shift + F3. Die VM startet im Anschluss mit dem vordefinierten Administrator in den Windows Desktop mit offenem System Preparation Tool Fenster. Dieses Fenster kann vorerst geschlossen werden.

System Prepartion Tool Win

Jetzt beginnt die Anpassung des zukünftigen Mandator Profile z.B. mit dem Ändern des Desktophintergrunds, Startmenüs oder der Installation von Programmen oder Treibern.

Windows Assessment and Deployment Kit

Parallel zum Erstellen des Windows Profils muss eine Antwortdatei (unattend.xml) erstellt werden. Dies geschieht mit dem Windows Assessment and Deployment Kit.

Windows Assessment and Deployment Kit

Um eine unattend.xml Datei für Windows 10 zu erstellen ist eine install.wim Datei notwendig. Diese ist auf dem Installationsmedium unter \sources zu finden und wird in das Windows Assessment and Deployment Kit eingebunden.

Nun kann die Komponente amd64_Microsoft-Windows_Shell-Setup ausgewählt werden, womit das Standardprofil erstellt wird.

Windows_Shell-Setup

Im Beispiel des Beitrags muss nur CopyProfile auf true gesetzt werden, um die vorgenommenen Einstellungen aus Schritt 2.1 in das Standardprofil zu übernehmen.

Copy Profile

Die fertige unattend.xml Datei ist im folgenden Screenshot zu sehen:

Fertige unattend.xml

Sysprep

Nun werden die beiden Schritte auf der VM zusammengeführt. Die unattend.xml wurde dazu unter C:\ abgelegt und mit folgendem PowerShell Command ausgeführt:

c:\windows\system32\sysprep\sysprep.exe /oobe /generalize /reboot /unattend:c:\unattend.xml

Systemvorbereitung

Extrahieren des Profils

Nach einem Neustart der VM befindet man sich erneut in der OOBE, die diesmal durchgeklickt werden muss. Auf dem Desktop angekommen kann mit dem Extrahieren des Profils begonnen werden. In den erweiterten Systemeinstellungen ist die Exportfunktion zu finden.

Benutzerprofile

Das Profil wird als profile.v6 nach C:\tmp kopiert. Wichtig ist, dass die Berechtigungen für „Jeder“ gesetzt werden sowie „Verbindliches Profil“ angeklickt wird.

Profil kopieren

Im angegebenen Pfad ist eine versteckte Datei ntuser.dat zu finden. Hier muss die Endung in .man angepasst werden um das Profil als Mandatory zu definieren.

Profile in Intune nutzen

Dieses Profil kann nun genutzt werden, um es mit Intune zu verteilen.

Vorbereitung Intune Softwarepaket

Das Intune Paket wurde mit dem PowerShell App Deployment Toolkit erstellt, welches in einem früheren Beitrag ausführlich beschrieben wurde. https://blog.iteracon.de/softwarepaketierung-mit-dem-powershell-app-deployment-toolkit/

Im Pre-Installation Bereich wird der Profilordner des Mandatory Profile unter C:\tmp angelegt. Dazu wurden folgende Befehle hinterlegt:

Pre-Installation Befehle

Im zweiten Schritt muss ein lokaler Benutzer angelegt werden, der dieses Mandatory Profile nutzt. Mit den folgenden Befehlen wird das Anlegen des Benutzers initiiert:

Befehle - Benutzer anlegen

Im Beispiel wurde der MandatoryAdmin als lokaler Administrator mit Passwort123! angelegt und diesem das Profil von C:\tmp zugewiesen.

Das Ergebnis

Das Profil kann als erforderliche oder optionale Installation zugewiesen werden. Das fertige Softwarepaket in Intune sieht nun wie folgt aus:

Mandatory Profile Eigenschaften
Mandatory Profile Erkennungsregeln

Der zeitliche Aufwand zum Erstellen des Mandatory Profile beläuft sich auf ungefähr einen Arbeitstag.

nach oben