Sådan ruller du Windows Autopilot ud i Intune: Fra hardware-hash til første login, uden bøvl

4. februar 2026

Når nye pc’er lander på kontoret, starter den klassiske kæde: udpakning, lokal admin, image, drivere, VPN, Office, sikkerhed, og så lige “den ene” bruger, der ikke kan logge ind. For mange mindre og mellemstore virksomheder bliver det hurtigt en flaskehals i både tid og it-sikkerhed.

Med Windows Autopilot Intune kan processen blive mere som at udlevere en nøgle til en færdig lejlighed. Enheden konfigurerer sig selv, når medarbejderen tænder den første gang. I praksis er det et sæt kontrollerede trin, fra hardware-hash til out-of-box experience og første login, styret via Microsoft Intune og Microsoft Entra ID.

I Netdk ser vi især behovet hos SMV’er i Århus og Lystrup , men også i Randers , Silkeborg og Herning , hvor der ofte er få interne IT-ressourcer, og hvor stabil drift og hurtig onboarding betyder mere end “smart” setup.

Hvorfor Autopilot giver mening i en SMV (også når man har travlt)

SMV’er har tit en enkel virkelighed: Der skal leveres it, der virker, og supporten skal kunne følge med. Når onboarding sker manuelt, bliver kvaliteten ujævn. Én pc får BitLocker, en anden gør ikke. Én bruger får MFA, en anden “senere”. Det er sjældent ond vilje, det er bare hverdagen.

Windows Autopilot i Intune, som er en del af det bredere Microsoft Endpoint Manager-økosystem, hjælper på tre klassiske områder:

1) it-support og drift
Mindre tid på klargøring med Windows Autopilot. Færre “special-cases”. Enheder kan sendes direkte til medarbejderen, også ved hjemmearbejde. Denne tilgang er ideel til at modernisere flåder af Windows 11- og Windows 10-enheder.

2) it-sikkerhed fra start
Policies bliver en del af første opsætning. Det gør det lettere at få ensartet kryptering, compliance og adgangskontrol, før brugeren når at gemme data lokalt.

3) Rådgivning og standarder
Autopilot tvinger jer til at tage stilling til standarder: navngivning, gruppebaseret tildeling, apps, opdateringer og roller. Det er sundt, også hvis I kører Microsoft 365 “som det plejer”.

Det er ikke kun for store organisationer. Tværtimod. Jo færre hænder, jo vigtigere er en forudsigelig proces.

Forberedelser i Intune og Entra ID, så udrulningen ikke stopper i døren

Autopilot virker bedst, når fundamentet er på plads. Det handler ikke om mange indstillinger, det handler om de rigtige.

Start med at afklare jeres join-model:

  • Microsoft Entra join (cloud-only) : Standardvalget for mange SMV’er. Mindre afhængighed af lokal AD.
  • Hybrid join : Bruges stadig, men kræver flere bevægelige dele og mere fejlsøgning.

Dernæst skal automatic enrollment til den primære MDM service, Intune, være sat op korrekt, så enheden ryger i Intune ved enrollment så snart brugeren logger ind. Microsoft beskriver flowet og forudsætningerne i deres guide til Windows automatic Intune enrollment.

Tre ting, der ofte rammer SMV’er i praksis:

  • Rettigheder og roller : Sørg for at de rette personer kan importere enheder og tildele profiler, uden at alle får global admin.
  • Grupper og dynamik : Planlæg, om enheder skal lande i en dynamisk gruppe (fx baseret på group tag) eller tildeles manuelt.
  • ESP og apps : For mange apps i første fase giver lange klargøringstider. For få giver en pc, der “mangler det hele”.

Det er her rådgivning giver værdi. En lille beslutning, fx hvordan I pakker apps, kan spare mange timers efterarbejde.

Hardware-hash: Sådan får du enhederne ind i Windows Autopilot

Hardware-hash (hardware identity), der består af serial number, hardware ID og Windows product ID, er “stregkoden”, der binder en fysisk pc til jeres Autopilot-setup. Uden den ved Autopilot ikke, at enheden tilhører jer, før brugeren rammer login.

Der er typisk tre veje:

OEM eller forhandler registrerer for jer
Den bedste løsning, når I køber nyt. Enhederne bliver registreret på forhånd, og kan sendes direkte til medarbejderen i Århus, Randers eller hvor de nu sidder.

I indsamler hash på eksisterende enheder
Bruges ved overgang fra “manuelt setup” til Autopilot. Det kan gøres med manual registration: tryk Shift+F10 for at åbne en command prompt, kør derefter Install-Script og sæt execution policy med Set-ExecutionPolicy, før du kører PowerShell scriptet Get-WindowsAutopilotInfo. Brug online switch for automatisk upload, eller generér en CSV file til senere brug. Hvis I vil samle hardware-id’er i større skala, er der gode pointer i denne tråd om hardware hash på eksisterende Windows-enheder.

Manuel import via CSV i Intune
I Microsoft Intune admin center importerer I CSV for at import devices, hvorefter enhederne dukker op under Autopilot Devices. Herfra kan I sætte Group Tag (praktisk til afdelinger, lokationer eller “standard-laptop”).

To faldgruber, der rammer ofte:

Den første er timing. Import og synk kan tage tid, så enhederne skal være registreret før de pakkes ud hos brugeren. Den anden er håndtering af CSV. Behandl den som følsom konfigurationsdata, ikke som et bilag i en mailtråd.

Deployment profile, ESP og sikkerhed, sådan ser første login ud i praksis

Når enhederne er registreret, skal de have en deployment profile. Det er profilen, der bestemmer, hvad brugeren ser i OOBE, og hvad der sker i baggrunden.

Microsoft har en trin-for-trin beskrivelse af oprettelse og tildeling i Create and assign a Windows Autopilot profile. Det centrale er ikke menupunkterne, men at profilen matches til de rigtige enheder, via gruppe eller direkte assignment.

Illustration af enhed og cloud med fokus på BitLocker, Conditional Access og MFA, skabt med AI.

Et praktisk “fra kasse til desktop” forløb ser ofte sådan ud:

  1. Brugeren tænder pc’en, vælger sprog og netværk.
  2. Windows Autopilot genkender enheden og viser jeres virksomhedslogin.
  3. Brugeren logger ind med arbejds-konto (Entra ID).
  4. Enrollment Status Page (ESP) kører: policies, sikkerhed og udvalgte apps installeres.
  5. Første login gennemføres, og brugeren lander i en standardiseret Windows-opsætning.

Hvis ESP hænger under processen, brug diagnostics page til fejlfinding. Skulle hele opsætningen fejle eller skulle gentages, kan admin vælge reset this PC for at starte out-of-box experience igen.

Her giver det mening at tænke sikkerhed ind som standard, ikke som projekt:

  • BitLocker aktiveres, så data på disken er krypteret.
  • Conditional Access kan kræve compliant enhed, før der gives adgang til Microsoft 365.
  • MFA (Multi-Factor Authentication) kan håndhæves ved login, især ved nye enheder.

Som status i februar 2026 er der ikke meldt om store skift i selve Windows Autopilot-kæden fra hardware-hash til login. Til gengæld har Microsoft løbende forbedret styring omkring OOBE i Intune, blandt andet mere kontrol i ESP over håndtering af Windows quality updates under klargøring.

Valg af udrulningsmodel betyder også noget. User-driven passer godt til de fleste kontorbrugere. Pre-provisioned (tidligere “white glove”) passer bedre, hvis I vil have IT til at klargøre enheder før de udleveres, fx ved større batches til en afdeling.

Hvis I vil have det fulde overblik over user-driven forløbet, ligger der en samlet gennemgang i Overview for Autopilot user-driven Entra join.

Konklusion: Standardiser onboarding, og få ro i driften

Windows Autopilot i Intune handler om kontrol og gentagelighed, hvilket giver færre fejl og bedre it-sikkerhed. Hardware-hash er indgangspunktet til sikkerheden og får enheden ind i jeres system. Autopilot-profilen styrer oplevelsen, mens Intune leverer politikker, apps og sikkerhed, før arbejdet for alvor starter.

For SMV’er i Århus, Lystrup og nærområder som Randers, Silkeborg og Herning giver det typisk færre support-sager, stærkere it-sikkerhed og en onboarding, der kan skaleres. Group tag gør det lettere at organisere enhederne og simplificere it-support. Næste skridt er at beslutte en standardprofil, og holde den enkel, især i første rulle ud. Det er dér it-support bliver lettere i praksis.