Verwalten von Windows10 in Ihrer Organisation – Übergang zum modernen Management

Die Verwendung persönlicher Geräte für die Arbeit sowie Mitarbeiter, die nicht im Büro arbeiten, können die Geräteverwaltung im Unternehmen verändern. Bestimmte Organisationsbereiche sind unter Umständen auf besonders präzise Steuerungsmöglichkeiten für Geräte angewiesen, während in anderen womöglich eine weniger komplexe, szenariobasierte Verwaltung vorzuziehen ist, die besser in ein modernes Arbeitsumfeld passt. Windows10 bietet die Flexibilität, um auf diese sich ändernden Anforderungen zu reagieren, und kann problemlos in einer gemischten Umgebung bereitgestellt werden. Sie können den Prozentsatz von Windows10-Geräten nach und nach erhöhen und sich dabei an die normalen Upgradezeitpläne Ihrer Organisation halten.

Ihre Organisation hat vielleicht die Verwendung von Windows10-Geräten und ein Downgrade auf Windows7 in Erwägung gezogen, bis der formale Upgradeprozess vorbereitet wurde. Durch dieses Vorgehen werden aufgrund der Standardisierung zwar scheinbar Kosten gespart, die Einsparungen sind jedoch höher, wenn Sie das Downgrade vermeiden und direkt von den Kostenminderungen profitieren, die Windows 10 ermöglicht. Da Windows10-Geräte mit den gleichen Prozessen und Technologien wie andere ältere Windows-Versionen verwaltet werden können, ist eine Koexistenz von Versionen ganz einfach.

Ihre Organisation kann verschiedene Betriebssysteme für eine Vielzahl von Gerätetypen unterstützen und diese über einen gemeinsamen Satz von Tools wie Microsoft Endpoint Configuration Manager, Microsoft Intune oder andere Drittanbieterprodukte verwalten. Dank dieser „kontrollierten Vielfalt“ profitieren Ihre Benutzer von den Produktivitätsoptimierungen ihrer neuen Windows 10-Geräte (einschließlich umfassender Unterstützung von Touch- und Freihandeingabe), ohne dass Sie dafür Kompromisse bei der Sicherheit und Verwaltbarkeit eingehen müssten. So können Sie und Ihre Organisation noch schneller von Windows10 profitieren.

Dieses sechsminütige Video zeigt, wie Benutzer ein neues Mobilgerät mitbringen, ihre personalisierten Einstellungen verwenden und in wenigen Minuten in einer verwalteten Umgebung arbeiten können, ohne sich ins Firmennetz integrieren zu müssen. Außerdem wird veranschaulicht, wie IT-Administratoren durch Richtlinien und Konfigurationen sicherstellen können, dass die Geräte regelkonform verwendet werden.

Hinweis

Das Video veranschaulicht den Konfigurationsprozess mithilfe des klassischen Azure-Portals, das eingestellt wird. Kunden sollten das neue Azure-Portal verwenden. Hier erfahren Sie, wie mithilfe des neuen Azure-Portals Aufgaben ausführen, die Sie vorher im klassischen Azure-Portal ausgeführt haben.

Dieses Thema enthält Anleitungen für Strategien zur Bereitstellung und Verwaltung von Windows10, einschließlich der Bereitstellung von Windows10 in einer gemischten Umgebung. In diesem Thema werden Verwaltungsoptionen sowie die vier Phasen des Gerätelebenszyklus behandelt:

Überprüfen der Verwaltungsoptionen in Windows10

Windows10 bietet eine Reihe von Verwaltungsoptionen, wie im folgenden Diagramm dargestellt:

The path to modern IT

Wie im Diagramm dargestellt, bietet Microsoft weiterhin Unterstützung für umfassende Verwaltbarkeit und Sicherheit durch Technologien wie Gruppenrichtlinien, Active Directory und Microsoft Configuration Manager. Microsoft verfolgt darüber hinaus einen Ansatz zur einfacheren modernen Verwaltung, bei dem Mobilgeräte und Clouddienste immer mehr an Bedeutung gewinnen. In diesem Rahmen werden cloudbasierte Geräteverwaltungslösungen wie Microsoft Enterprise Mobility + Security (EMS) verwendet. Künftige Windows-Innovationen, die über Windows as a Service bereitgestellt werden, werden durch Clouddienste wie Microsoft Intune, Azure Active Directory, Azure Information Protection, Office 365 und den Microsoft Store für Unternehmen ergänzt.

Bereitstellung

Windows10 kann zwar weiterhin auf herkömmliche Weise bereitgestellt werden, bietet aber auch ein sofort einsatzbereites Verwaltungsmodell. Halten Sie sich an folgende Punkte, um aus neuen Geräten vollständig konfigurierte und verwaltete Geräte zu machen:

Ihnen stehen mehrere Optionen für das Upgrade auf Windows 10 zur Verfügung. Bei vorhandenen Geräten mit Windows7 oder Windows8.1 können Sie den vorhandenen stabilen Upgradeprozess zur schnellen und zuverlässigen Migration zu Windows10 nutzen und dabei alle vorhandenen Apps, Daten und Einstellungen automatisch beibehalten. Dies kann deutlich niedrigere Bereitstellungskosten und eine höhere Produktivität bedeuten, da Endbenutzer umgehend produktiv arbeiten können – alle Elemente befinden sich an der gleichen Stelle wie zuvor. Selbstverständlich können Sie auch die herkömmliche Wipe-and-Load-Methode verwenden und dabei die gleichen Tools nutzen wie derzeit unter Windows7.

Identität und Authentifizierung

Windows10 und Dienste wie Azure Active Directory bieten neue Möglichkeiten für cloudbasierte Identität, Authentifizierung und Verwaltung. Sie können Benutzern erlauben, ihr eigenes Gerät mitzubringen (Bring Your Own Device, BYOD) oder ein eigenes Gerät auszuwählen (Choose Your Own Device, CYOD). Für Letzteres können Sie eine Auswahl zur Verfügung stellen, aus der Benutzer wählen können. Gleichzeitig kümmern Sie sich möglicherweise um die Verwaltung von PCs und Tablets, die aufgrund von bestimmten Anwendungen oder Ressourcen, die darauf verwendet werden, in die Domäne eingebunden sein müssen.

Benutzer- und Geräteverwaltung können etwa in die folgenden zwei Kategorien unterteilt werden:

  • Unternehmensgeräte (CYOD) oder persönliche Geräte (BYOD), die von mobilen Benutzern für SaaS-Apps wie Office365 verwendet werden. Unter Windows 10 können Ihre Mitarbeiter ihre Geräte selbst bereitstellen:

    • Bei Unternehmensgeräten können sie den Unternehmenszugriff mit Azure AD Join einrichten. Wenn Sie den Mitarbeitern Azure AD Join mit der automatischen Intune-MDM-Registrierung anbieten, können sie direkt in der Cloud in nur einem Schritt die Verwaltung ihrer Geräte durch das Unternehmen einrichten.
      Azure AD Join ist zudem eine hervorragende Lösung für Aushilfspersonal, vorübergehende Partner oder andere Teilzeitmitarbeiter. Ihre Konten können getrennt von der lokalen AD-Domäne gehalten werden, sie können aber dennoch auf erforderliche Unternehmensressourcen zugreifen.

    • Darüber hinaus können Mitarbeiter für persönliche Geräte die neue, vereinfachte BYOD-Umgebung nutzen, um ihr Geschäftskonto zu Windows hinzuzufügen und anschließend über das Gerät auf Arbeitsressourcen zuzugreifen.

  • In die Domäne eingebundene PCs und Tablets, die für herkömmliche Anwendungen und den Zugriff auf wichtige Ressourcen verwendet werden. Dabei kann es sich um herkömmliche Anwendungen und Ressourcen, für die die Authentifizierung erforderlich ist, und um den Zugriff auf hochsensible oder vertrauliche lokale Ressourcen handeln. Unter Windows10 verfügen Sie über eine lokale Active Directory-Domäne, die in Azure AD integriert ist. Wenn Mitarbeitergeräte hinzugefügt werden, werden sie automatisch bei Azure AD registriert. Dies ermöglicht Folgendes:

    In die Domäne eingebundene PCs und Tablets können weiterhin mit dem Configuration Manager-Client oder der Gruppenrichtlinie verwaltet werden.

Weitere Informationen dazu, wie Windows10 und AzureAD den Zugriff auf Arbeitsressourcen bei verschiedenen Geräten und Szenarien optimieren, finden Sie unter Verwenden von Windows10-Geräten an Ihrem Arbeitsplatz.

Bei der Überprüfung der Rollen in Ihrer Organisation können Sie mithilfe des folgenden generalisierten Entscheidungsbaums Benutzer oder Geräte ermitteln, die in die Domäne eingebunden werden müssen. Ziehen Sie die Migration der verbleibenden Benutzer zu Azure AD in Betracht.

Entscheidungsstruktur für Geräteauthentifizierungsoptionen.

Einstellungen und Konfiguration

Ihre Konfigurationsanforderungen werden durch mehrere Faktoren bestimmt. Zu diesen zählen u.a. die erforderliche Verwaltungsstufe, die verwalteten Geräte und Daten und Ihre Branchenanforderungen. Mitarbeiter sind häufig beunruhigt, dass die IT-Abteilung strikte Richtlinien auf ihre persönlichen Geräte anwendet, möchten aber dennoch Zugriff auf Unternehmens-E-Mails und -Dokumente. Dank Windows10 können Sie einen einheitlichen Satz von Konfigurationen auf PCs, Tablets und Telefone über die allgemeine MDM-Ebene erstellen.

MDM: Mit MDM verfügen Sie über eine Möglichkeit, Einstellungen zu konfigurieren, mit denen Sie Ihre Verwaltungsaufgaben ausführen können, ohne jede mögliche Einstellung verfügbar zu machen. (Im Gegensatz dazu machen die Gruppenrichtlinien differenzierte Einstellungen verfügbar, die Sie einzeln steuern.) Ein Vorteil von MDM besteht darin, dass Sie über einfachere und effizientere Tools allgemeinere Einstellungen für Datenschutz-, Sicherheits- und Anwendungsverwaltung anwenden können. MDM ermöglicht es Ihnen auch, mit dem Internet verbundene Geräte zum Verwalten von Richtlinien zu verwenden, ohne GP zu verwenden, für die lokale Geräte erforderlich sind, die in die Domäne eingebunden sind. Daher ist MDM die beste Wahl für Geräte, die ständig unterwegs verwendet werden.

Gruppenrichtlinie und Microsoft Endpoint Configuration Manager: Ihre Organisation muss computer, die der Domäne beigetreten sind, möglicherweise weiterhin präzise verwalten, z. B. die konfigurierbaren Gruppenrichtlinieneinstellungen von Internet Explorer 1.500. Wenn ja, sind Gruppenrichtlinien und Configuration Manager weiterhin hervorragende Verwaltungsoptionen:

  • Gruppenrichtlinien eignen sich optimal dazu, mit Windows-basierten Tools in die Domäne eingebundene Windows-PCs und -Tablets genauer zu konfigurieren, die mit dem Unternehmensnetzwerk verbunden sind. Microsoft fügt mit jeder neuen Version von Windows Gruppenrichtlinieneinstellungen hinzu.

  • Configuration Manager bleibt die empfohlene Lösung für Konfigurationen mit höherer Granularität für eine stabile Softwarebereitstellung, für Windows-Updates und Betriebssystembereitstellungen.

Aktualisierung und Wartung

Mit Windows as a Service muss Ihre IT-Abteilung nicht mehr bei jeder neuen Windows-Version komplexe Imageerstellungsprozesse (Wipe and Load) ausführen. Bei Current Branch (CB) oder Current Branch for Business (CBB) erhalten Geräte die aktuellen Feature- und Qualitätsupdates über einfache (meist automatische) Patchvorgänge. Weitere Informationen finden Sie unter Szenarien für die Bereitstellung von Windows 10.

MDM mit Intune stellt Tools für die Anwendung von Windows-Updates auf Clientcomputern in Ihrer Organisation bereit. Configuration Manager enthält umfangreiche Verwaltungs- und Nachverfolgungsfunktionen für diese Updates, u.a. Wartungsfenster und Regeln für die automatische Bereitstellung.

Nächste Schritte

Es gibt eine Vielzahl von Schritten, mit denen Sie die Modernisierung der Geräteverwaltung in Ihrer Organisation anstoßen können:

Bewerten Sie die derzeitigen Verwaltungsverfahren, und suchen Sie nach Investitionen, die Sie heute vornehmen können. Welche aktuellen Verfahren müssen gleich bleiben, welche können geändert werden? Genauer gesagt: Welche Elemente der herkömmlichen Verwaltung müssen Sie beibehalten, und in welchen Bereichen können Sie Modernisierungen vornehmen? Unabhängig davon, ob Sie die benutzerdefinierte Imageerstellung minimal halten, die Einstellungsverwaltung neu auswerten oder Authentifizierung und Compliance überdenken – die Vorteile spüren Sie unter Umständen sofort. Sie können das MDM-Migrationsanalysetool (MMAT) verwenden, um zu bestimmen, welche Gruppenrichtlinien für einen Zielbenutzer/Computer festgelegt sind, und sie mit der Liste der verfügbaren MDM-Richtlinien zu referenzieren.

Bewerten Sie die verschiedenen Anwendungsfälle und Verwaltungsanforderungen in Ihrer Umgebung. Gibt es Gerätegruppen, die von einer schlankeren und einfacheren Verwaltung profitieren könnten? BYOD-Geräte sind beispielsweise prädestiniert für die cloudbasierte Verwaltung. Benutzer oder Geräte, die stärker regulierte Daten verarbeiten, benötigen unter Umständen eine lokale Active Directory-Domäne für die Authentifizierung. Dank Configuration Manager und EMS können Sie moderne Verwaltungsszenarien phasenweise implementieren. Dabei können Sie verschiedene Geräte auf genau die Weise einbinden, die am besten zu den Anforderungen Ihres Unternehmens passt.

Sehen Sie sich die Entscheidungsbäume in diesem Artikel an. Dank der verschiedenen Optionen in Windows10, Configuration Manager und Enterprise Mobility + Security können Sie Imageerstellung, Authentifizierung, Einstellungen und Verwaltungstools für alle Szenarien verwalten.

Gehen Sie in kleinen Schritten vor. Sie müssen nicht über Nacht auf moderne Geräteverwaltung umstellen. Neue Betriebssysteme und Geräte können zusätzlich zu älteren Systemen und Geräten verwendet werden. Dank dieser „kontrollierten Vielfalt“ profitieren Ihre Benutzer von den Produktivitätsoptimierungen neuer Windows 10-Geräte, während Sie weiterhin ältere Geräte gemäß Ihren Anforderungen an Sicherheit und Verwaltbarkeit verwalten. Ab Windows 10 Version 1803 wurde die neue Richtlinie MDMWinsOverGP hinzugefügt, damit MDM-Richtlinien Vorrang vor GP haben, wenn sowohl GP als auch die entsprechenden MDM-Richtlinien auf dem Gerät festgelegt werden. Sie können mit der Implementierung von MDM-Richtlinien beginnen und gleichzeitig Ihre GP-Umgebung beibehalten. Hier ist die Liste der MDM-Richtlinien mit der entsprechenden GP - Richtlinien, die von GP unterstützt werden.

Optimieren Sie vorhandene Investitionen. Nutzen Sie bei der Umstellung von der herkömmlichen lokalen Verwaltung auf eine moderne cloudbasierte Verwaltung die flexible Hybridarchitektur von Configuration Manager und Intune. Ab Configuration Manager 1710 können Sie mithilfe der Co-Verwaltung Windows 10 Geräte gleichzeitig mit Configuration Manager und Intune verwalten. Weitere Informationen finden Sie in den folgenden Themen:

Verwandte Themen