Windows Autopilot opsætning: en realistisk “Light” model
En ny PC bør ikke kræve en IT-tekniker, en VPN og en halv dag med “næste, næste, næste”. Det skaber kø ved onboarding og efterlader jer med enheder, der ikke er korrekt managed fra start. Med en “Autopilot Light” tilgang kan I sende PC’en direkte til brugeren, få den i Intune ved første login og komme i mål med en standard, der kan dokumenteres.
Key takeaways
- Skær kompleksitet væk: Vælg Entra ID Join (cloud-only) frem for Hybrid Join, så I slipper for AD/VPN-afhængigheder i udrulningen.
- Drop hash-upload: Brug Windows Autopilot Device Preparation, så I undgår CSV/hardware hash-processer og får en lettere drift (Microsoft Learn, 2024/2025).
- Installer kun “core” under Autopilot: Office + browser + sikkerhed som krævede apps. Læg resten som Available i Company Portal for at undgå timeouts (Microsoft TechCommunity/Intune).
- Gør compliance målbart: Håndhæv kryptering, opdateringer og baseline-politikker via Intune og dokumentér status med compliance reports.
- Husk 3. parts apps: Aftal en patch-strategi for Chrome/Adobe/Zoom, ellers får I huller i sikkerheden (Patch My PC).
Hvorfor “Autopilot Light” ofte slår den klassiske Autopilot
“Light” handler ikke om at gå på kompromis med sikkerhed. Det handler om at være realistiske med, hvad der skal ske før brugeren kan arbejde. Den typiske fejl er at gøre Autopilot til et mini-SCCM-projekt, hvor alt skal installeres, scripts skal køre, og ESP (Enrollment Status Page) skal vente på “alt”.
Før → Efter #1
Før: 12–20 apps tvangsinstalleres under Autopilot, onboarding ender i timeouts og “genstart og prøv igen”.
Efter: 3–5 core apps under Autopilot, resten i Company Portal. Brugeren kan logge ind hurtigere, og IT får færre fejlsager på dag 1.
Sådan hænger Device Preparation, Entra ID Join og Intune sammen
Den nye Windows Autopilot Device Preparation er designet til at gøre udrulning lettere ved bl.a. at fjerne kravet om at uploade hardware hashes på forhånd (Microsoft Learn, 2024/2025). Kombinér det med Entra ID Join og Microsoft Intune, så enheden bliver managed med det samme og får jeres politikker, apps og sikkerhedsindstillinger.
Tommelfingerregel for SMB
- Hvis I vil sende PC’en direkte til brugeren: gå efter cloud-only og hold Autopilot-profilen enkel.
- Hvis I er afhængige af on-prem filshares/legacy apps: planlæg en kontrolleret overgang, men undgå at bygge en “Hybrid Join” udrulning bare af vane.
Tjekliste: Windows Autopilot opsætning som “Light” (det I faktisk skal sætte op)
Brug tjeklisten som beslutnings- og implementeringsgrundlag. Hvis et punkt ikke kan krydses af, så stop og ret designet, før I ruller ud bredt.
| Område | Check | Hvad I kigger efter |
|---|---|---|
| Identitet | Entra ID Join (cloud-only) | Ingen afhængighed af lokal AD for login. MFA og Conditional Access kan håndhæves. |
| Autopilot | Device Preparation valgt | Proces uden hardware hash/CSV. Standardiseret udrulning pr. enhedstype. |
| Apps | Core apps som “Required” | Office + browser + sikkerhed. Maksimér stabilitet i ESP (Intune/IME anbefalinger fra Microsoft TechCommunity). |
| Self-service | Resterende apps som “Available” | Company Portal er jeres ventil: brugeren bliver produktiv, og IT undgår at blokere login. |
| Patch | Windows Update policy + ringe | Definér opdateringsringe og deadlines. Kend jeres “max dage” før patch er påkrævet. |
| 3. parts patch | Strategi for Chrome/Adobe/Zoom | Enten Intune add-on/3. part. Uden dette får I hurtigt sårbarheder (Patch My PC). |
| Sikkerhed | Baseline + kryptering | BitLocker, Defender, firewall og minimumsstandarder håndhæves med politikker og compliance rules. |
| Compliance | Rapportering og afvigelser | Hvem får alarmer? Hvad er jeres handling ved “non-compliant” (blokér adgang vs. grace period)? |
| Lifecycle | Wipe/Reset proces dokumenteret | Offboarding kan gennemføres remote, og enheden kan klargøres til næste bruger uden manuelt bøvl. |
Fejl der koster tid: Hybrid Join og “for mange tvangsapps”
1) Hybrid Join som default
Hybrid Join kan virke “trygt”, fordi det ligner jeres gamle setup. I praksis skaber det flere afhængigheder: linje til domain controllers, timing med synk, ofte VPN, og flere steder noget kan fejle. CISA’s Zero Trust Maturity Model peger på et skift fra perimeter/VPN til identitet og policy-styring, hvilket matcher cloud-only designet.
2) Autopilot som image-erstatning
Hvis I forsøger at installere alt under Autopilot, rammer I typisk problemer med Intune Management Extension og app-installationer, der trækker ud (Microsoft TechCommunity). Autopilot Light er i stedet: stabil kerne, selvbetjening for resten.
Før → Efter #2
Før: IT kloner en “golden image”, bruger tid på vedligehold og retter småting pr. PC.
Efter: Intune-politikker og app-pakker versionstyres. Ny PC = standardiseret policy. Drift skifter fra “klargøring pr. enhed” til “styring pr. standard”.
Få et gratis Endpoint Check (30 min.)
Vi gennemgår jeres nuværende Microsoft 365-licenser, Intune-setup og onboarding-flow. I får en kort liste med: hvad der mangler for Windows Autopilot opsætning (Light), hvilke politikker der bør være “must-have”, og hvad I bør gøre de næste 14 dage.
Book via /kontakt eller skriv, hvor mange PC’er I onboarder pr. måned.
Hvordan vælger I mellem “Zero Touch” og “Low Touch” i praksis?
Beslutningen bør styres af risikoniveau og supportkapacitet, ikke af ambitioner.
- Vælg Zero Touch (send direkte til brugeren), når: brugerne kan logge på med MFA, I har core apps + policies stabile, og I har en klar “hvis noget fejler”-plan.
- Vælg Low Touch (IT verificerer først), når: I stadig justerer policies, har få men kritiske legacy apps, eller når første udrulning skal være en kontrolleret pilot.
Uanset valg: mål time-to-productivity. Hvis en ny medarbejder bruger sin første dag på at vente på installationer, finder de alternative værktøjer. Det ender som Shadow IT, og så bliver sikkerhed og compliance dyrere.
FAQ: spørgsmål vi ofte får om Autopilot Light
Hvad er primært søgeord: “Windows Autopilot opsætning” – og hvad dækker det her?
Her dækker det en cloud-native udrulning: Entra ID Join + Intune + Autopilot (Device Preparation), hvor I minimerer tvang under setup og bruger Company Portal til resten.
Skal vi vælge Windows Autopilot Device Preparation eller den “klassiske” Autopilot?
Vælg Device Preparation, hvis I vil reducere administration og undgå hash/CSV-processer (Microsoft Learn, 2024/2025). Brug klassisk Autopilot, hvis I har helt særlige krav til pre-provisioning/white-glove eller avanceret scenarier, som I ved I skal bruge.
Hvad er den største forskel på Entra ID Join og Hybrid Join?
Entra ID Join gør enheden cloud-native og mindre afhængig af netværk til on-prem. Hybrid Join binder jer til lokal AD og ofte VPN og timing-problemer under provisioning. Hvis målet er automatisk PC installation, er cloud-only typisk den mest stabile vej.
Hvor mange apps bør være “Required” i en Light opsætning?
Hold jer til det, der er nødvendigt for at arbejde sikkert: Office-pakken, en browser (hvis I standardiserer), sikkerhedsværktøjer og evt. VPN-klient kun hvis den stadig er nødvendig. Læg resten som “Available” i Company Portal for at reducere fejl (Microsoft TechCommunity/Intune anbefaling).
Hvordan hænger det sammen med NIS2 krav til endpoints?
NIS2 presser på for dokumentérbar sikkerhed og driftskontrol. Med Intune kan I håndhæve opdateringspolitikker, kryptering og compliance, og I kan dokumentere afvigelser. Microsoft Digital Defense Report 2024/25 fremhæver, at basal hygiejne som MFA og opdaterede enheder stopper langt de fleste angreb.
Hvad gør vi med 3. parts patching (Chrome, Adobe, Zoom)?
Aftal en fast model: enten en Microsoft-baseret løsning med relevant licens/add-on eller en 3. parts service. Hvis I ikke kan pege på, hvem der ejer 3. parts patching og hvordan det rapporteres, så er det et hul (Patch My PC).
Hvilken licens skal vi typisk have for Intune og endpoint-sikkerhed?
Som tommelfingerregel: Hvis I vil have Intune og stærk baseline-sikkerhed i SMB, er Microsoft 365 Business Premium eller E3/E5 ofte udgangspunktet. Start med at kortlægge jeres nuværende licenser og slå op, om Intune og Defender-komponenter er inkluderet, før I køber ekstra.
Sådan kommer I i gang de næste 10 arbejdsdage
- Kortlæg onboarding-flowet: hvem bestiller PC, hvem tildeler bruger, og hvornår skal brugeren kunne arbejde?
- Beslut join-strategi: sæt en dato for Entra ID Join som standard for nye enheder (og definér undtagelser).
- Byg “core apps” kataloget: vælg 3–5 Required apps og flyt alt andet til Company Portal.
- Opsæt compliance og access-regler: definér hvad der sker ved non-compliant (blokering vs. grace period) og hvem der får alarmer.
- Planlæg patch: Windows Update ringe + en konkret plan for 3. parts apps.
- Kør en pilot på 5–10 brugere: mål time-to-productivity og ret de 2–3 ting, der faktisk skaber friktion.
- Dokumentér lifecycle: wipe/reset-proces, så offboarding og genbrug af enheder bliver en standardopgave.
Hvis I vil have en håndholdt, praktisk udrulning (inkl. politikker, app-pakning, drift og rapportering), kan vi hjælpe via vores drift-setup og endpoint-sikkerhed, så Autopilot Light bliver stabilt i hverdagen.
