Intune onboarding uden images: sådan får I Windows 11 klar
Hvis jeres Windows 11-pc’er stadig klargøres med USB, manuelle scripts og “den rigtige image”, betaler I i tid hver gang en medarbejder starter. I får også ujævn sikkerhed: nogle maskiner når BitLocker og opdateringer, andre gør ikke. Med Intune onboarding kan I standardisere Day 1-oplevelsen, så brugeren selv kan komme i gang – uden at IT rører hardwaren. Målet er enkelt: samme opsætning hver gang, og en enhed der først får adgang til data, når den er compliant.
Key takeaways: hvad I får, og hvad I gør
- Drop “golden images” → brug Windows Autopilot Device Preparation og udrul apps/policies via Intune.
- Cloud-native join → standardisér på Entra ID Join (Azure AD Join) og undgå hybrid-setup, der skaber fejl og drift.
- Sikkerhed før produktivitet → håndhæv BitLocker, Defender og baseline-politikker tidligt, så data ikke lander på en “halv” pc.
- Compliance-gate → brug Conditional Access, så kun compliant enheder kan tilgå Microsoft 365.
- Standardbruger fra dag 1 → fjern lokal admin og brug Endpoint Privilege Management til godkendte elevation-behov.
Hvorfor manuel klargøring stadig skaber huller i 2026
Windows 10 er EOL (oktober 2025). Når I alligevel er på Windows 11, giver det ikke mening at fortsætte en proces, der bygger på lokale images og “IT gør det lige”. Den manuelle model skaber især tre problemer:
- Uens opsætning: samme model-pc kan ende med forskellige drivere, apps og sikkerhedsindstillinger.
- Ingen entydig compliance: en pc kan nå at få adgang til Teams/SharePoint, før kryptering og politikker er på plads.
- Flaskehals i servicedesk: onboarding bliver et projekt, hver gang I ansætter, udskifter eller flytter medarbejdere.
Før → Efter (1): Før: IT laver image/USB, logger på lokalt og “fikser resten”. Efter: Brugeren tænder pc’en, logger på med Entra ID, og Intune leverer apps/policies automatisk – samme standard hver gang.
Sådan virker Windows Autopilot Device Preparation i praksis
Microsofts retning i 2025/2026 er tydelig: Windows Autopilot Device Preparation er den moderne måde at onboarde Windows 11 på (Microsoft Learn). Den store praktiske forskel for jer er, at metoden minimerer behovet for hardware-håndtering og giver en mere stabil første-opsætning end klassisk Autopilot-flow i mange miljøer.
Det er især relevant, hvis I vil køre Zero Touch Deployment: send pc’en direkte fra forhandler til medarbejderen, og lad Intune gøre resten.
Hvad “onboarding” bør dække (ikke kun Autopilot)
- Identitet: Entra ID Join + MFA/Conditional Access.
- Baselines: sikkerhedspolitikker, Windows Update ringe, BitLocker, Defender.
- Apps: M365 Apps, browser, PDF, VPN, evt. line-of-business apps.
- Brugerens Day 1: SSO til Microsoft 365, Company Portal til self-service, printere og standardprogrammer.
Tjekliste: det skal være på plads før I kører Zero Touch
Brug tjeklisten som en go/no-go før I bestiller 20 nye pc’er og sender dem direkte ud.
| Kontrolpunkt | Hvad I kigger efter | Go-kriterie |
|---|---|---|
| Entra ID Join (cloud-native) | Ingen afhængighed af on-prem AD under første logon | Bruger kan logge på fra eksternt net uden VPN |
| Intune enrollment | Automatisk tilmelding, korrekt device ownership og navngivning | Enhed ses i Intune med korrekt platform, bruger og compliance-status |
| BitLocker | Kryptering håndhæves tidligt; CIS Benchmarks (2025) anbefaler pre-provisioning | Recovery keys escrowes i Entra/Intune, og disk er krypteret på nye enheder |
| Endpoint security | Defender settings, firewall, attack surface reduction hvor relevant | Enheden er “secured” før adgang til data gives |
| Windows Update ringe | Udrulningsringe og deadlines, så nye pc’er ikke starter på forældede builds | Ny enhed lander på en understøttet build og opdaterer kontrolleret |
| Apps og afhængigheder | M365 Apps + de 5–10 mest kritiske apps (browser, VPN, PDF, møde-tilbehør) | Bruger kan arbejde uden at ringe til IT |
| 3.-parts app patching | Plan for løbende opdatering af fx Chrome/Adobe (ellers vokser sårbarheder) | Ansvar og værktøj er valgt (Intune/partner-værktøj), og opdatering er automatisk |
| Conditional Access | Adgang til M365 kræver compliant device | Ikke-compliant enheder bliver blokeret/limited, men bruger får klar vej til at rette |
| Lokale admin-rettigheder | Standardbruger som udgangspunkt | EPM-proces for godkendt elevation er defineret |
| Log og fejlhåndtering | Hvem kigger på fejl i enrollment/app install og hvor hurtigt? | SLA for “Day 1”-fejl + fast procedure for re-enroll/reset |
Før → Efter (2): Før: En ny pc kan være i drift, mens kryptering og sikkerhedspolitikker “kommer senere”. Efter: Conditional Access låser Microsoft 365 op, når Intune-compliance er opfyldt (kryptering, opdateringsniveau, sikkerhed).
Vil I have en Intune onboarding, der fungerer første gang? Vi kan lave en 60-minutters workshop, hvor vi gennemgår jeres Autopilot/Device Preparation, compliance og app-pakker – og giver en konkret plan for Windows 11 udrulning, drift og sikkerhed. Start via /kontakt eller se vores setup for /drift og /it-sikkerhed.
Fejl der koster tid: de typiske årsager til Autopilot-onboarding der går i stå
1) Netværk og adgang til Microsoft endpoints
Hvis brugeren sidder på et gæstenetværk med hård filtrering, kan enrollment og app-installation timeoute. Løsning: test Device Preparation på et “realistisk hjemmenet” og på jeres kontor-wifi, og dokumentér et minimumskrav til netværk (DNS, TLS inspection undtagelser hvor nødvendigt).
2) Drivere og firmware på hardwaremodeller
Enheder kan være stabile i drift, men fejle i første opsætning pga. BIOS/firmware eller drivere. Løsning: standardisér på få hardwaremodeller, og lav en test-enhed pr. model, der altid kører nyeste firmware før masseindkøb.
3) App-pakker, der blokerer brugerens første login
Store apps eller fejlende install-scripts kan fastholde brugeren i provisioning. Løsning: gør de kritiske apps Required (M365 Apps, VPN), og flyt resten til Available i Company Portal, så brugeren kan arbejde, mens “nice-to-have” installeres senere.
Hvordan vælger I mellem “hurtig onboarding” og “hård sikkerhed”?
I behøver ikke vælge. I skal prioritere rækkefølgen og sætte en tydelig adgangsmodel.
- Håndhæv først: Entra ID Join, BitLocker, Defender, firewall, baseline, compliance policy.
- Gør resten fleksibelt: apps via Company Portal, printere og tilvalg som self-service.
- Brug EPM når I fjerner lokal admin: Endpoint Privilege Management (Intune Suite) kan reducere rettigheds-relaterede sager markant (Microsoft TechCommunity). Lav en liste over “tilladte elevation-scenarier” og log dem.
FAQ: Intune onboarding til Windows 11
Hvad betyder “Intune onboarding” i praksis?
For Windows 11 betyder det typisk: Entra ID Join, automatisk Intune enrollment, udrulning af sikkerhedspolitikker (BitLocker/Defender/Update) og apps, plus en adgangsregel i Conditional Access der kræver compliant enhed.
Skal vi stadig bruge images til Windows 11 deployment?
Som tommelfingerregel: nej, ikke til standard kontor-pc’er. Brug Intune til konfiguration og app-udrulning. Images giver ofte hurtig “første boot”, men mere arbejde bagefter med opdateringer, variation og fejlsøgning.
Hvad er forskellen på klassisk Windows Autopilot og Device Preparation?
Device Preparation er Microsofts nyere onboarding-model (Microsoft Learn) med fokus på enklere klargøring og færre hardware-afhængige trin. Beslutningsregel: Hvis I starter nyt i 2026, så design til Device Preparation og hold klassisk Autopilot kun til konkrete legacy-krav.
Skal vi vælge Entra ID Join eller Hybrid Azure AD Join?
Vælg Entra ID Join som standard, medmindre I har en dokumenteret applikationsafhængighed, der kræver traditionel domæne-join. Hybrid øger kompleksitet og fejlpunkter i onboarding. Hvis I er i tvivl: lav en 10-bruger pilot på Entra ID Join og mål hvor mange processer der reelt kræver on-prem AD.
Hvordan sikrer vi, at en ny pc er krypteret, før brugeren får adgang?
Kombinér BitLocker-policy med compliance policy og Conditional Access. Go-kriterie: recovery key er gemt centralt, og enheden er compliant, før den kan tilgå Exchange/Teams/SharePoint.
Kan vi fjerne lokal admin uden at ødelægge hverdagen?
Ja, hvis I planlægger elevationsbehov. Start med standardbruger, og brug Endpoint Privilege Management til godkendte elevation-scenarier (fx specifikke drivere eller godkendte installationsprogrammer). Beslutningsregel: hvis en app kræver admin, så afklar om den kan pakkes og udrulles centralt i stedet.
Hvor passer NIS2 ind i Intune onboarding?
NIS2 lægger vægt på asset management og kontrol med adgang. Praktisk tommelfingerregel: En enhed, der ikke er registreret og compliant i Intune, skal ikke kunne tilgå virksomhedsdata. Det løser I med device inventory i Intune + Conditional Access som “dørmand”.
Sådan kommer I i gang (konkrete skridt)
- Auditér nuværende onboarding: kortlæg hvilke trin der er manuelle, og hvor ofte de fejler (enrollment, apps, rettigheder).
- Standardisér på Entra ID Join: definér hvilke få undtagelser der må være, og hvorfor.
- Byg en minimal “Day 1” app-pakke: M365 Apps + sikkerheds-/netværkskritiske apps. Flyt resten til Company Portal.
- Håndhæv compliance: BitLocker, Defender, update ringe, og Conditional Access der kræver compliant device for Microsoft 365.
- Fjern lokal admin planlagt: implementér EPM eller en anden kontrolleret elevationsproces, og log alle elevation-regler.
- Kør en pilot: 10 brugere, 2 hardwaremodeller, 2 netværkstyper (kontor/hjem). Dokumentér fejl og ret politikker.
- Gør det til drift: fast ejerskab, månedlig review af compliance, app-fejl og patching for 3.-parts apps.
