Massendeployment über Microsoft Intune

Verteilen Sie die Zeuslock-Browsererweiterung und den Desktop-Agent über Microsoft Intune auf Ihre gesamte Windows-Flotte. ADMX-Vorlagen, Win32-LOB-Paket, Ring-Rollout und die Fehlerbilder, die Ihnen tatsächlich begegnen.

Was Sie ausrollen

Zwei Artefakte landen auf jedem verwalteten Endpunkt: die Zeuslock-Browsererweiterung (per ADMX erzwungen in Edge und Chrome) und der Zeuslock-Desktop-Agent (eine Win32-LOB-Anwendung, die native KI-Clients erfasst, die der Browser nicht sieht). Beide Installationen sind unbeaufsichtigt. Beide melden sich in derselben Operator-Konsole unter app.zeuslock.ai.

Diese Anleitung begleitet einen Endpoint-Engineer durch einen sauberen Intune-Rollout — rund eine Stunde Admin-Zeit, anschließend ein ringbasierter Rollout über ein bis zwei Wochen.

Voraussetzungen

  • Microsoft-365-E3-, E5- oder Intune-Standalone-Lizenzen für jedes Gerät, das eingebunden werden soll.
  • Ein Konto mit der Rolle Intune-Administrator oder Endpoint Security Manager in Entra ID (vormals Azure AD).
  • Geräte bereits per MDM eingebunden — Autopilot, hybrider AAD-Beitritt oder Co-Management mit Configuration Manager funktionieren alle.
  • Edge und/oder Chrome bereits auf den Zielgeräten vorhanden (Edge ist Bestandteil von Windows 10/11; Chrome wird üblicherweise separat verteilt).
  • Ein vorab erstelltes Enrollment-Token aus Zeuslock. Erstellen Sie es vor Beginn: Operator-Konsole → Einstellungen → Geräte → Flotten-Enrollment → Token generieren. Setzen Sie optional eine Gerätegrenze und ein Ablaufdatum, das Ihr Rollout-Fenster überspannt (90 Tage sind ein vernünftiger Default).

Das Enrollment-Token ist ein Bearer-Geheimnis. Behandeln Sie es wie einen API-Schlüssel — speichern Sie es in Ihrem Secret-Manager, niemals im Klartext in einem versionierten Skript, und rotieren Sie es nach Abschluss des Rollouts.

Teil 1: Browsererweiterung per ADMX erzwingen

Schritt 1 — Zeuslock-ADMX-Vorlagen importieren

Laden Sie das aktuelle ADMX-Bundle herunter und entpacken Sie es in den Central Store von Intune:

Invoke-WebRequest -Uri "https://download.zeuslock.ai/admx/latest" -OutFile "$env:TEMP\zeuslock-admx.zip"
Expand-Archive -Path "$env:TEMP\zeuslock-admx.zip" -DestinationPath "$env:TEMP\zeuslock-admx" -Force
Copy-Item "$env:TEMP\zeuslock-admx\*.admx" "\\$env:USERDNSDOMAIN\SYSVOL\$env:USERDNSDOMAIN\Policies\PolicyDefinitions\"
Copy-Item "$env:TEMP\zeuslock-admx\de-DE\*.adml" "\\$env:USERDNSDOMAIN\SYSVOL\$env:USERDNSDOMAIN\Policies\PolicyDefinitions\de-DE\"

In reinen Intune-Umgebungen ohne AD-Central-Store sind die ADMX-Vorlagen für Edge und Chrome bereits in Intune eingespielt. Die Zeuslock-ADMX werden nur benötigt, wenn Sie die benutzerdefinierten Zeuslock-Richtlinienknoten verwenden möchten (Telemetrie-Endpoint-Override, Debug-Logging). Für reines Force-Install gehen Sie direkt zu Schritt 2.

Schritt 2 — Konfigurationsprofil erstellen

  1. Öffnen Sie das Microsoft Intune Admin Center: Geräte → Konfigurationsprofile → Profil erstellen.
  2. Plattform: Windows 10 und höher. Profiltyp: Vorlagen → Administrative Vorlagen.
  3. Benennen Sie es Zeuslock - Browsererweiterung Force-Install.
  4. Navigieren Sie in der Einstellungsauswahl zu Computerkonfiguration → Microsoft Edge → Erweiterungen und öffnen Sie Steuert, welche Erweiterungen unbeaufsichtigt installiert werden (die Richtlinie ExtensionInstallForcelist).
  5. Aktivieren Sie sie und fügen Sie den Eintrag hinzu: iicgcadhcgbckmpapjihechjpgcdamhd;https://clients2.google.com/service/update2/crx.
  6. Wiederholen Sie das Verfahren für Chrome unter Computerkonfiguration → Google → Google Chrome → Erweiterungen → Liste der zwangsweise installierten Apps und Erweiterungen konfigurieren.

Die obige Erweiterungs-ID ist ein Platzhalter — kopieren Sie die Produktiv-ID aus Einstellungen → Geräte → Browsererweiterung in der Operator-Konsole. Der Teil vor dem Semikolon ist die Erweiterungs-ID, die URL danach ist das Update-Manifest.

Schritt 3 — Zuweisen

Weisen Sie das Profil Allen Benutzern zu oder, besser, einer Entra-Pilot-Sicherheitsgruppe mit ausschließlich Ihrem IT-Team. Klicken Sie auf Überprüfen + erstellen. Die erste Synchronisierung erreicht die Geräte innerhalb von 8 Stunden; Sie können sie am Gerät mit dsregcmd /refreshprt und anschließend Einstellungen → Konten → Auf Arbeits- oder Schulkonto zugreifen → Synchronisieren erzwingen.

Teil 2: Desktop-Agent als Win32-LOB-App verteilen

Schritt 1 — MSI verpacken

Laden Sie ZeuslockAgent.msi von https://download.zeuslock.ai/agent/windows/latest sowie das Microsoft Win32 Content Prep Tool aus dem Microsoft-GitHub. Dann verpacken:

.\IntuneWinAppUtil.exe -c "C:\Packaging\Zeuslock\source" -s "ZeuslockAgent.msi" -o "C:\Packaging\Zeuslock\output" -q

Sie erhalten ZeuslockAgent.intunewin im Ausgabeordner.

Schritt 2 — Win32-App in Intune anlegen

  1. Apps → Windows → Hinzufügen → App-Typ: Windows-App (Win32).
  2. Laden Sie das .intunewin-Paket hoch.
  3. App-Informationen: Name Zeuslock Desktop Agent, Herausgeber Zeuslock, Kategorie Sicherheit.
  4. Programm: tragen Sie die unten stehenden Installations- und Deinstallationsbefehle ein.
  5. Anforderungen: Betriebssystemarchitektur 64-Bit, Mindest-OS Windows 10 1809, Freier Speicherplatz 500 MB, Mindest-RAM 4096 MB.
  6. Erkennungsregeln: Erkennungsregeln manuell konfigurieren → Regeltyp: Datei → Pfad C:\Program Files\Zeuslock\Agent, Datei zeuslock-agent.exe, Erkennungsmethode Datei oder Ordner ist vorhanden.
  7. Zuweisungen: Erforderlich → Alle Geräte (oder Ihre Pilot-Gerätegruppe).

Installations- und Deinstallationsbefehle

msiexec /i "ZeuslockAgent.msi" /qn ZEUS_ENROLL_TOKEN=<Ihr-Token>
msiexec /x {a8f4c2e0-9b1d-4d5e-8c3f-7e6b9d2a1c8f} /qn

Ersetzen Sie <Ihr-Token> durch das oben erstellte Enrollment-Token. Die Produkt-GUID bleibt versionsübergreifend stabil — verifizieren Sie sie aus HKLM:\SOFTWARE\Classes\Installer\Products auf einem Testrechner nach einer manuellen Installation.

Verifizierung auf einem Testgerät

Bevor Sie skalieren, weisen Sie an einem Gerät nach, dass alles funktioniert. Wählen Sie einen Pilot-Ring-Endpunkt, erzwingen Sie eine Synchronisierung und prüfen Sie:

  1. Tray-Symbol: der Zeuslock-Schild erscheint innerhalb von fünf Minuten nach der Richtlinienzustellung neben der Uhr.
  2. Agent-Status aus einer erhöhten PowerShell-Eingabeaufforderung:
    & "C:\Program Files\Zeuslock\Agent\zeuslock-agent.exe" status
    Erwartet: Status: Connected | Tenant: <Ihr-Mandant> | Policy version: <n>.
  3. Browsererweiterung: öffnen Sie edge://extensions. Der Zeuslock-Eintrag muss Vom Unternehmen installiert ohne Entfernen-Schaltfläche anzeigen.
  4. Operator-Konsole → Geräte: der Hostname erscheint innerhalb von zwei Minuten mit Status Online.

Rollout in Wellen

Weisen Sie nicht am ersten Tag Allen Geräten zu. Staffeln Sie:

  • Ring 0 — IT (Tag 0): Ihre eigenen Laptops. Fangen Sie Verpackungsprobleme ab, bevor Endanwender sie sehen.
  • Ring 1 — 10 % einer Abteilung (Tag 3): wählen Sie ein wohlgesonnenes Team mit einem klaren Ansprechpartner.
  • Ring 2 — 50 % (Tag 7): auf mehrere Abteilungen ausweiten. Beobachten Sie Vorfälle und Falsch-Positive in der Operator-Konsole.
  • Ring 3 — 100 % (Tag 10-14): gesamte Flotte. Belassen Sie Richtlinien für die ersten zwei Wochen im Modus Monitor, bevor Sie auf Anonymize oder Block umschalten.

Häufige Intune-Probleme

  • Zuweisungsverzögerung. Intune ist nicht sofort. Änderungen an Gruppenmitgliedschaften können bis zu 8 Stunden brauchen. Erzwingen Sie für ungeduldige Tests eine Sync vom Gerät aus.
  • ADMX nicht synchronisiert. Fehlt die Erweiterungs-Richtlinie in edge://policy, führen Sie gpupdate /force aus und starten Sie Edge neu. In reinem MDM prüfen Sie Ereignisanzeige → Anwendungs- und Dienstprotokolle → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider.
  • MSI-Exit-Code 1603. Fast immer ein fehlendes oder fehlerhaftes ZEUS_ENROLL_TOKEN. Sehen Sie sich C:\Windows\Temp\zeuslock-install.log an — der Agent-Installer schreibt es immer.
  • Konfligierende Edge-Erweiterungsrichtlinie. Setzt eine andere Richtlinie ExtensionInstallBlocklist mit einem Wildcard, wird die Zeuslock-Erweiterung trotz Force-Install blockiert. Tragen Sie die Zeuslock-ID explizit in ExtensionInstallAllowlist ein.
  • Win32-App hängt bei Wartet auf Installationsstatus. Erkennungsregel passt nicht — der angegebene Dateipfad existiert nach der Installation nicht. Melden Sie sich an einem Testrechner an und bestätigen Sie, dass der Agent in C:\Program Files\Zeuslock\Agent installiert wird, nicht in Program Files (x86).

Sobald Ring 3 grün ist und die Vorfallswarteschlange in der Operator-Konsole stabil läuft, ist Ihr Intune-Deployment abgeschlossen. Wenden Sie sich dem Feintuning der Richtlinien zu — die empfohlene Monitor → Anonymize → Block-Progression beschreibt das Dokument Erste Erkennung Schritt für Schritt.