# Windows HWID einfach und schneller bei Intune hinzufügen

🔧 Windows HWID für Intune bereitstellen – So geht’s einfacher! ✅ Schritt-für-Schritt-Anleitung für IT-Admins. Jetzt lesen & Zeit sparen!

---

<p>Das Hinzufügen vorhandener Geräte zu Intune, Windows-Autopilot, kann mühsam und zeitaufwändig sein. Microsoft hat zwar ein Skript zur Verfügung gestellt, aber bei der Dokumentation etwas gespart. Mit der folgenden Anleitung sollte es jedem Administrator möglich sein, schnell und einfach sehr viele Geräte auf einmal zu Autopilot hinzuzufügen.</p><p><img src="TODO-asset:/fileadmin/user\_upload/Intune/Intune\_Logo\_SVG.svg" alt="Microsoft Intune"></p><h2>Vorwort</h2><p>Die folgende Dokumentation, Anleitung ist für Administratoren gedacht, die bereits Erfahrung im Microsoft 365 Umfeld haben. Es geht ausschließlich um das Hinzufügen von Hardware Hashes zu Intune im Massenverfahren (Geräte > 50). Die folgenden Schritte gehen von einem Szenario aus, in dem die entsprechenden Lizenzen, z.B. M365 Business Premium, bereits im Einsatz sind und alle notwendigen Einstellungen für Intune, Gerätegruppen etc. bereits vorgenommen wurden.</p><h2>Welche Methoden stehen zur Verfügung?</h2><ul><li>Export der Hardware Hashes (HWID) als csv-Datei und manueller Upload zu Intune.</li><li>Hardware Hashes direkt in Intune hochladen. Zugangsdaten des Administrators müssen jedes Mal am Gerät eingegeben werden.</li><li>Hardware Hash Upload direkt zu Intune ohne Eingabe von Administrator Benutzername und Passwort. Einmaliges erstellen einer App Registrierung</li></ul><p>Wir werden uns auf den letzten Punkt konzentrieren, da für <a href="https://learn.microsoft.com/en-us/autopilot/add-devices#powershell">1 und 2 Microsoft Learns</a> gut dokumentiert ist.</p><h2>Folgende Punkte führen zum Erfolg</h2><ol><li>Registrierung der Anwendung in Entra ID (ehemals Azure AD)</li><li><a href="/how-to/windows-hwid-leichter-bei-intune-hinzufuegen/#c2600">Erstellung des Skripts </a></li><li><a href="/how-to/windows-hwid-leichter-bei-intune-hinzufuegen/#c2601">Ausführung des Skripts </a></li><li><a href="/how-to/windows-hwid-leichter-bei-intune-hinzufuegen/#c2602">Optionale Erweiterung der Skriptfunktionen</a></li></ol><h2>1. Registierung der Anwendung in Entra ID</h2><p>Eine App Registrierung wird in Entra ID erstellt. Dazu öffnet der Administrator -> entra.microsoft.com -> Anwendungen -> App-Registrierung und klickt auf "+ Neue Registrierung" oder klickt einfach auf folgenden Link: <a href="https://entra.microsoft.com/#view/Microsoft\_AAD\_RegisteredApps/CreateApplicationBlade/quickStartType~/null/isMSAApp~/false">Anwendung registrieren</a></p><ol><li>Als Name kann "Autopilot HWID App Reg" verwendet werden. Der Name spielt später keine Rolle.</li></ol><p> Alle anderen einstellungen können voreingestellt gelassen werden.</p><ol><li>Auf "Registrieren" klicken (Der Button ist unten links)</li><li>In der Übersicht "<a href="https://entra.microsoft.com/#view/Microsoft\_AAD\_RegisteredApps/ApplicationsListBlade/quickStartType~/null/sourceType/Microsoft\_AAD\_IAM">Alle Anwendung</a>" die zuvor erstellte Anwendung auswählen</li><li>Links im Menü "API-Berechtigungen" anklicken</li></ol><p> "+ Berechtigung hinzufügen" -> Microsoft Graph -> "Anwendungsberechtigungen" Suche nach "DeviceManagementServiceConfig.ReadWrite.All" Die Berechtigung auswählen und auf "Berechtigung hinzufügen" klicken</p><ol><li>Anschließend die "Administratorzustimmung für Tennant XY erteilen" anklicken</li><li>Nun muss unter "Zertifikate und Geheimnisse" ein geheimer Clientschlüssel erstellt werden</li></ol><p> "+ Neuer geheimer Clientschlüssel" anklicken Das Feld "Beschreibung" kann leer bleiben. Für die Gültigkeit kann ein Ablaufdatum / Zeitraum gewählt werden.</p><ol><li>Klicken Sie das Copy Icon hinter der Wert Spalte</li></ol><p> Der Wert ist das App Secret</p><ol><li>Für das Script benötigen wir noch App ID und Tennant ID</li></ol><p> Die AppID finden Sie in der Übersicht "Alle Anwendungen" Die Tennatn ID finden Sie <a href="https://entra.microsoft.com/#view/Microsoft\_AAD\_IAM/TenantOverview.ReactView">hier</a> unter dem Punkt "Mandanten ID"</p><p><a href="/fileadmin/\_processed\_/b/6/csm\_Screenshot\_2024-01-31\_105005\_f419566983.png"> <img src="TODO-asset:/fileadmin/\_processed\_/b/6/csm\_Screenshot\_2024-01-31\_105005\_0f7189f1e6.png" alt=""> </a></p><h2>2. Scripte erstellen und anpassen</h2><p>Nachdem die Anwendung erstellt wurde und alle notwendigen Informationen zur Verfügung stehen, kann mit der Bearbeitung der Scripte begonnen werden. Die scripte können auf einem USB Stick gespeichert werden und anschließend mit einem rechtsklick "Als Administrator ausführen" gestartet werden.</p><p>Die "right-click-\_run\_as\_admin.bat" Datei führt in Powershell die Datei hwid.ps1 mit Administratorrechten aus. Somit kann gewährleistet werden das alle notwendigen Module, etc installiert werden können</p><p>right-click-\_run\_as\_admin.bat</p><pre><code>@setlocal enableextensions@cd /d "%~dp0"powershell.exe -executionpolicy bypass -file .\\hwid.ps1</code></pre><p>Die Datei "hwid.ps1" enthält das eigentliche Skript, das leicht angepasst werden muss. XYZ muss mit den im ersten Teil der Anleitung generierten Werten gefüllt werden.</p><pre><code>\[Net.ServicePointManager\]::SecurityProtocol = \[Net.SecurityProtocolType\]::Tls12$env:Path += ";C:\\Program Files\\WindowsPowerShell\\Scripts"Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSignedInstall-PackageProvider -Name NuGet -MinimumVersion 2.8.5.208 -Confirm:$false -Force:$trueInstall-Script get-windowsautopilotinfo -Confirm:$false -Force:$trueGet-windowsautopilotInfo -Online -TenantId XYZ -AppId XYZ -AppSecret XYZ</code></pre><p>Wenn Sie die BAT-Datei auf einem Computer ausführen, wird der Computer bzw. sein Hardware-Hash direkt zu Intune hochgeladen.</p><p>Das Skript und damit der Grad der Automatisierung kann bei Bedarf weiter angepasst werden. Mehr dazu im letzten Teil der Anleitung</p><p>Folgende Argumente akzeptiert das Script</p><pre><code>-AssignedComputerName \[string\]-GroupTag \[string\]-AssignedUser \[string\] (UPN des Benutzers)-Partner-AddToGroup \[string\]Beispiel Get-windowsautopilotInfo -Online -TenantId XYZ -AppId XYZ -AppSecret XYZ -AssignedComputerName Computer123 -GroupTag ComputerVertrieb -AssigendUser erica.musterfrau@schmittel-it.de</code></pre><h2>3. Ausführen des Scripts</h2><p>Es gibt mehrere Methoden/Szenarien für die ausführung des Scripts.</p><p>Szenario 1: Sie haben neue Geräte bestellt, aber vergessen, die Windows Product Key ID beim Hersteller anzufordern. Bei vielen Herstellern finden Sie diese auf jeder Geräteverpackung.</p><p>Szenario 2: Sie haben Geräte welche noch nicht eingerichtet wurden, die Verpackung wurde bereits entsorgt. Starten Sie das Gerät normal. Sobald im OOBE die Sprachabfrage erscheint drücken Sie "Shift" + "F10", es öffnet sich ein CMD-Fenster. Wechseln Sie nun auf den USB Stick. Je nach Gerät kann der USB Stick einen anderen Laufwerksbuchstaben besitzen. Mit D: wechseln Sie auf das Laufwerk mit dem Laufwerksbuchstaben D. Führen Sie nun folgenden Befehl in CMD aus. Das Gerät kann anschließend heruntergefahren werden.</p><pre><code>powershell.exe -executionpolicy bypass -file .\\hwid.ps1</code></pre><p>Szenario 3: Die Geräte sind bereits beim Anwender im Einsatz. Die Geräte sollen alle auf einen einheitlichen Stand gebracht und daher komplett neu konfiguriert werden. Sie haben weder Intune noch AD DS zur Verfügung. Laden Sie das Skript auf ein Netzlaufwerk, einen USB-Stick oder senden Sie es als ZIP-Archiv per E-Mail an die Benutzer. Auf dem Gerät klicken Sie mit der rechten Maustaste auf die BAT-Datei und wählen Ausführen als Administrator.</p><p>Szenario 4: Die Geräte sind bereits beim Nutzer im Einsatz, aber ein AD DS ist verfügbar. In diesem Fall haben Sie die Qual der Wahl. Entweder Sie erstellen ein GPO mit dem PS Script oder Sie führen den Befehl über WMI Remote aus.</p><h2>4. Optionales anpassen des Scripts</h2><p>Durch die Anpassung des Skripts kann der Grad der Automatisierung und Standardisierung deutlich erhöht werden. Es lohnt daher die folgenden Optionen in betracht zu ziehen.</p><p>-AssigendUser weist das Gerät einem Benutzer zu. Die Zuweisung des Geräts an einen Benutzer verbessert die Benutzererfahrung, da der Benutzer nur noch sein Kennwort eingeben muss.</p><pre><code>$email = Read-Host "Bitte geben Sie ihren E-Mail-Adresse (UPN) ein"\[Net.ServicePointManager\]::SecurityProtocol = \[Net.SecurityProtocolType\]::Tls12$env:Path += ";C:\\Program Files\\WindowsPowerShell\\Scripts"Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSignedInstall-PackageProvider -Name NuGet -MinimumVersion 2.8.5.208 -Confirm:$false -Force:$trueInstall-Script get-windowsautopilotinfo -Confirm:$false -Force:$trueGet-windowsautopilotInfo -Online -TenantId XYZ -AppId XYZ -AppSecret XYZ -AssignedUser $email</code></pre><p>-GroupTag setzt das Gruppen-Tag für das Gerät. Gruppen-Tags können verwendet werden, um dynamische Gruppen in EntraID zu erstellen. Hier kann mit einer Abfrage oder mit einer statischen Variablen gearbeitet werden</p><pre><code>Get-windowsautopilotInfo -Online -TenantId XYZ -AppId XYZ -AppSecret XYZ -GroupTag $gTagoderGet-windowsautopilotInfo -Online -TenantId XYZ -AppId XYZ -AppSecret XYZ -GroupTag GruppeXYZ</code></pre>