Häufig gestellte Fragen zum Roaming von Einstellungen und Daten für Administratoren

In Windows 8.1 wurden für die Einstellungssynchronisierung immer Microsoft-Benutzerkonten verwendet. Unternehmensbenutzer hatten die Möglichkeit, ein Microsoft-Konto mit ihrem Active Directory-Domänenkonto zu verbinden, um Zugriff auf die Einstellungssynchronisierung zu erhalten. In Windows 10 und höher wurde diese Funktion des verbundenen Microsoft-Kontos durch ein Framework mit primärem/sekundärem Konto ersetzt.

Das primäre Konto ist als das Konto definiert, das zum Anmelden bei Windows verwendet wird. Dies kann ein Microsoft-Konto sein, ein Azure Active Directory-Konto (Azure AD), ein lokales Active Directory-Konto oder ein lokales Konto. Zusätzlich zum primären Konto können Benutzer von Windows 10 und höher ihrem Gerät ein oder mehrere sekundäre Cloudkonten hinzufügen. Bei einem sekundären Konto handelt es sich im Allgemeinen um ein Microsoft-Konto, ein Azure AD-Konto oder ein anderes Konto, z.B. Gmail oder Facebook. Diese sekundären Konten ermöglichen den Zugriff auf weitere Dienste, z. B. einmaliges Anmelden und den Windows Store, aber sie unterstützen keine Einstellungssynchronisierung.

Daten werden in Bezug auf die verschiedenen Benutzerkonten niemals gemischt. Es gibt zwei Regeln für die Synchronisierung von Einstellungen:

• Für Windows-Einstellungen wird das Roaming immer mit dem primären Konto durchgeführt.
• App-Daten werden mit dem Konto verknüpft, das zum Beschaffen der App verwendet wird. Es werden nur Apps synchronisiert, die mit dem primären Konto verknüpft („getaggt“) sind. Die App-Besitzmarkierung wird bestimmt, wenn eine App über den Windows Store oder die Verwaltung mobiler Geräte (Mobile Device Management, MDM) quergeladen wird.

Wenn der Besitzer einer Anwendung nicht identifiziert werden kann, wird das Roaming basierend auf dem primären Konto durchgeführt. Wenn ein Gerät von Windows 8 oder Windows 8.1 auf Windows 10 und höher aktualisiert wird, werden alle Apps als „mit diesem Microsoft-Konto erworben“ markiert. Dies liegt daran, dass die meisten Benutzer Apps über den Windows Store abrufen und es vor Windows 10 noch keine Windows Store-Unterstützung für Azure AD-Konten gab. Wenn eine App per Offlinelizenz installiert wird, wird die App mit dem primären Konto auf dem Gerät verknüpft.

Wenn Sie der Active Directory-Domäne beigetreten sind und Windows 8.1 mit einem verbundenen Microsoft-Konto ausführen, werden Ihre Einstellungen über Ihr Microsoft-Konto synchronisiert. Nach der Aktualisierung auf Windows 10 und höher werden Ihre Benutzereinstellungen so lange über das Microsoft-Konto synchronisiert, wie Sie ein in die Domäne eingebundener Benutzer sind und die Active Directory-Domäne keine Verbindung mit Azure AD herstellt.

Falls die lokale Active Directory-Domäne eine Verbindung mit Azure AD herstellt, versucht Ihr das Gerät, die Einstellungen über das verbundene Azure AD-Konto zu synchronisieren. Wenn der Azure AD-Administrator das Enterprise State Roaming nicht aktiviert hat, beendet Ihr verbundenes Azure AD-Konto die Synchronisierung von Einstellungen. Wenn Sie Windows 10 und höher ausführen und sich mit einer Azure AD-Identität anmelden, beginnt die Synchronisierung von Windows-Einstellungen, sobald Ihr Administrator die Einstellungssynchronisierung über Azure AD aktiviert.

Wenn Sie persönliche Daten auf Ihren Unternehmensgeräten gespeichert haben, sollten Sie wissen, dass für die Windows-Betriebssystem- und Anwendungsdaten die Synchronisierung mit Azure AD durchgeführt wird. Dies hat folgende Auswirkungen:

• Die Einstellungen Ihres persönlichen Microsoft-Kontos werden von den Einstellungen Ihres Azure AD-Geschäfts-, Schul- oder Unikontos abweichen. Dies liegt daran, dass die Microsoft-Konto- und Azure AD-Einstellungen jetzt über getrennte Konten synchronisiert werden.
• Persönliche Daten wie WLAN-Kennwörter, Webanmeldeinformationen und Internet Explorer-Favoriten, die bislang über das verbundene Microsoft-Konto synchronisiert wurden, werden nun per Azure AD synchronisiert.

In den Windows 10-Versionen ab November 2015 wird Enterprise State Roaming nur für jeweils ein Konto unterstützt. Wenn Sie sich mit einem Azure AD-Geschäfts-, Schul- oder Unikonto bei Windows anmelden, werden alle Daten über Azure AD synchronisiert. Wenn Sie sich mit einem persönlichen Microsoft-Konto bei Windows anmelden, werden alle Daten über das Microsoft-Konto synchronisiert. Für universelle App-Daten wird das Roaming nur mit dem primären Anmeldekonto auf dem Gerät durchgeführt – und nur dann, wenn sich die Lizenz der App im Besitz des primären Kontos befindet. Universelle App-Daten für die Apps, die sich im Besitz von sekundären Konten befinden, werden nicht synchronisiert.

Wenn sich mehrere Azure AD-Konten von verschiedenen Azure AD-Mandanten auf demselben Gerät befinden, müssen Sie die Registrierung des Geräts aktualisieren, um mit dem Azure Rights Management-Dienst für jeden Azure AD-Mandanten zu kommunizieren.

1. Suchen Sie die GUID für jeden Azure AD-Mandanten. Öffnen Sie das Azure-Portal, und wählen Sie einen Azure AD-Mandanten aus. Die GUID für den Mandanten befindet sich auf der Seite „Eigenschaften“ für den ausgewählten Mandanten (https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Properties) mit der Bezeichnung Verzeichnis-ID.
2. Nachdem Sie die GUID ermittelt haben, müssen Sie den folgenden Registrierungsschlüssel hinzufügen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<Mandanten-ID-GUID>. Erstellen Sie im Schlüssel Mandanten-ID-GUID einen neuen mehrteiligen Zeichenfolgenwert (REG-MULTI-SZ) namens AllowedRMSServerUrls. Geben Sie als Daten die URLs der Lizenzverteilungspunkte der anderen Azure-Mandanten an, auf die das Gerät zugreift.
3. Sie können die Lizenzverteilungspunkt-URLs ermitteln, indem Sie das Cmdlet Get-AadrmConfiguration aus dem AADRM-Modul ausführen. Falls sich die Werte für LicensingIntranetDistributionPointUrl und LicensingExtranetDistributionPointUrl unterscheiden, müssen Sie beide Werte angeben. Wenn die Werte gleich sind, müssen Sie den Wert nur einmal angeben.

Roaming kann nur für universelle Windows-Apps verwendet werden. Das Roaming für eine bereits vorhandene Windows-Desktopanwendung kann auf zwei Arten aktiviert werden:

• Mithilfe der Desktop-Brücke können Sie bereits vorhandene Windows-Desktop-Apps zur universellen Windows-Plattform migrieren. Anschließend sind nur minimale Codeänderungen erforderlich, um das Roaming von Azure AD-App-Daten zu nutzen. Die Desktop-Brücke versieht Ihre Apps mit einer App-Identität. Diese wird benötigt, um das App-Datenroaming für bereits vorhandene Desktop-Apps zu ermöglichen.
• User Experience Virtualization (UE-V) können Sie eine Vorlage mit benutzerdefinierten Einstellungen für bereits vorhandene Windows-Desktop-Apps erstellen und das Roaming für Win32-Apps ermöglichen. Bei dieser Option muss der App-Entwickler keine Änderungen am App-Code vornehmen. UE-V ist auf lokales Active Directory-Roaming für Kunden beschränkt, die das Microsoft Desktop Optimization Pack erworben haben.

Administratoren können UE-V so konfigurieren, dass das Roaming nur für Daten von Windows-Desktop-Apps stattfindet, indem sie mithilfe von UE-V-Gruppenrichtlinien das Roaming von Windows-Betriebssystemeinstellungen und von Daten universeller Apps deaktivieren. Dies betrifft folgende Einstellungen und Daten:

• Gruppenrichtlinie „Roaming von Windows-Einstellungen“
• Gruppenrichtlinie „Windows-Apps nicht synchronisieren“
• Internet Explorer-Roaming im Abschnitt „Anwendungen“

Enterprise State Roaming speichert alle synchronisierten Daten in der Microsoft-Cloud. UE-V bietet eine Lösung für lokales Roaming.

Vor November 2022 wurden alle Benutzerdaten mithilfe von Azure Rights Management gesichert.

Ab November 2022 verwendet Microsoft Azure Rights Management nicht mehr für die gesamte Datenverschlüsselung. Microsoft liegt der Schutz von Kundendaten am Herzen. Bestimmte vertrauliche Daten wie Kennwörter werden clientseitig mit Schlüsseln verschlüsselt, die vom Azure AD-Mandanten abgeleitet werden, um eine zusätzliche Sicherheitsebene zu gewährleisten. Alle Benutzerdaten (einschließlich nicht vertraulicher Daten) werden während der Übertragung und im Ruhezustand in der Cloud verschlüsselt. Eine Liste mit vertraulichen und nicht vertraulichen übertragenen Datenelementen finden Sie in der Referenz zu Roamingeinstellungen unter Windows.

In Windows 10 oder höher können Administratoren die Synchronisierung für alle Einstellungssynchronisierungsgruppen auf einem verwalteten Gerät mit MDM oder Gruppenrichtlinie deaktivieren.

Navigieren Sie in der App Einstellungen zu Konten>Einstellungen synchronisieren. Auf dieser Seite sehen Sie, welches Konto für das Roaming von Einstellungen verwendet wird, und Sie können einzelne Gruppen mit Einstellungen für das Roaming aktivieren oder deaktivieren.

Microsoft bietet verschiedene Lösungen für das Roaming von Einstellungen einschließlich UE-V und Enterprise State Roaming. Wenn Ihre Organisation für das Verschieben von Daten in die Cloud noch nicht bereit oder mit diesem Vorgang noch nicht vertraut ist, empfehlen wir die Verwendung von UE-V als Ihre primäre Roamingtechnologie. Falls Ihr Unternehmen Roamingunterstützung für bereits vorhandene Windows-Desktopanwendungen benötigt, aber an einer schnellen Nutzung der Cloud interessiert ist, empfiehlt Microsoft die parallele Verwendung von Enterprise State Roaming und UE-V. Obwohl UE-V und Enterprise State Roaming sehr ähnliche Technologien sind, schließen sie sich nicht gegenseitig aus. Sie ergänzen sich, sodass Sie sicherstellen können, dass Ihre Organisation genau die Roamingdienste bereitstellt, die Ihre Benutzer benötigen.

Bei Verwendung sowohl von Enterprise State Roaming als auch UE-V ist Enterprise State Roaming der primäre Roaming-Agent auf dem Gerät. UE-V wird verwendet, um Win32-Anwendungen zu ergänzen.

• Enterprise State Roaming ist der primäre Roaming-Agent auf dem Gerät. UE-V wird zum Schließen der „Win32-Lücke“ verwendet.
• Das UE-V-Roaming für Windows-Einstellungen und Daten aus modernen UWP-Apps sollte deaktiviert werden, wenn Sie die UE-V-Gruppenrichtlinien verwenden. Diese Einstellung wird bereits durch Enterprise Status Roaming abgedeckt.

Enterprise State Roaming wird nur für Client-SKUs für Windows 10 oder höher unterstützt, nicht für Server-SKUs. Wenn ein virtueller Clientcomputer auf einem Hypervisorcomputer gehostet wird und Sie sich remote bei dem virtuellen Computer anmelden, wird das Roaming für Ihre Benutzerdaten durchgeführt. Wenn mehrere Benutzer das gleiche Betriebssystem verwenden und sich remote bei einem Server anmelden, um uneingeschränkte Desktopfeatures zu nutzen, findet möglicherweise kein Roaming statt. Dieses sitzungsbasierte Szenario wird offiziell nicht unterstützt.

Nächste Schritte

Sehen Sie sich die Übersicht zum Enterprise State Roaming an.