Häufig gestellte Fragen zum Roaming von Einstellungen und Daten für Administratoren

In Windows 8.1 wurden für die Einstellungssynchronisierung immer Microsoft-Benutzerkonten verwendet. Unternehmensbenutzer hatten die Möglichkeit, ein Microsoft-Konto mit ihrem Active Directory-Domänenkonto zu verbinden, um Zugriff auf die Einstellungssynchronisierung zu erhalten. In Windows 10 und höher wurde diese Funktion des verbundenen Microsoft-Kontos durch ein Framework mit primärem/sekundärem Konto ersetzt.

Das primäre Konto ist als das Konto definiert, das zum Anmelden bei Windows verwendet wird. Dies kann ein Microsoft-Konto, ein Microsoft Entra-Konto, ein lokales Active Directory-Konto oder ein lokales Konto sein. Zusätzlich zum primären Konto können Benutzer von Windows 10 und höher ihrem Gerät ein oder mehrere sekundäre Cloudkonten hinzufügen. Bei einem sekundären Konto handelt es sich im Allgemeinen um ein Microsoft-Konto, ein Microsoft Entra-Konto oder irgendein anderes Konto wie beispielsweise Gmail oder Facebook. Diese sekundären Konten ermöglichen den Zugriff auf andere Dienste, z. B. einmaliges Anmelden und den Windows Store, aber sie unterstützen keine Einstellungssynchronisierung.

Daten werden in Bezug auf die verschiedenen Benutzerkonten niemals gemischt. Es gibt zwei Regeln für die Synchronisierung von Einstellungen:

• Für Windows-Einstellungen wird das Roaming immer mit dem primären Konto durchgeführt.
• App-Daten sind mit dem Konto verknüpft, das zum Beschaffen der App verwendet wird. Es werden nur Apps synchronisiert, die mit dem primären Konto verknüpft („getaggt“) sind. Die App-Besitzmarkierung wird bestimmt, wenn eine App über den Windows Store oder die Verwaltung mobiler Geräte (Mobile Device Management, MDM) quergeladen wird.

Wenn der Besitzer einer Anwendung nicht identifiziert werden kann, wird das Roaming basierend auf dem primären Konto durchgeführt. Wenn ein Gerät von Windows 8 oder Windows 8.1 auf Windows 10 und höher aktualisiert wird, werden alle Apps als „mit diesem Microsoft-Konto erworben“ markiert. Dies liegt daran, dass die meisten Benutzer Apps über den Windows Store erwerben und es vor Windows 10 noch keine Windows Store-Unterstützung für Microsoft Entra-Konten gab. Wenn eine App per Offlinelizenz installiert wird, wird die App mit dem primären Konto auf dem Gerät verknüpft.

Nach dem Upgrade auf Windows 10 und neuer können Sie die Benutzereinstellungen weiterhin über das Microsoft-Konto synchronisieren, solange Sie ein domänenverbundener Benutzer sind und die Active Directory-Domäne nicht mit Microsoft Entra ID verbunden ist.

Falls die lokale Active Directory-Domäne eine Verbindung mit Microsoft Entra ID herstellt, versucht Ihr Gerät, die Einstellungen über das verbundene Microsoft Entra-Konto zu synchronisieren. Wenn der Microsoft Entra-Administrator Enterprise State Roaming nicht aktiviert, werden die Einstellungen Ihres verbundenen Microsoft Entra-Kontos nicht mehr synchronisiert. Wenn Sie Windows 10 und neuer verwenden und sich mit einer Microsoft Entra-Identität anmelden, beginnen Sie mit der Synchronisierung der Windows-Einstellungen, sobald Ihr Administrator die Synchronisierung der Einstellungen über die Microsoft Entra ID aktiviert.

Wenn Sie persönliche Daten auf Ihren Unternehmensgeräten gespeichert haben, sollten Sie wissen, dass für die Windows-Betriebssystem- und Anwendungsdaten die Synchronisierung mit Microsoft Entra ID durchgeführt wird. Dies hat folgende Auswirkungen:

• Die Einstellungen Ihres persönlichen Microsoft-Kontos werden von den Einstellungen Ihres Microsoft Entra-Geschäfts-, Schul- oder Unikontos abweichen. Dies liegt daran, dass die Microsoft-Konto- und Microsoft Entra-Einstellungen jetzt über getrennte Konten synchronisiert werden.
• Persönliche Daten wie WLAN-Kennwörter, Webanmeldeinformationen und Internet Explorer-Favoriten, die bislang über das verbundene Microsoft-Konto synchronisiert wurden, werden nun per Microsoft Entra ID synchronisiert.

In den Windows 10-Versionen ab November 2015 wird Enterprise State Roaming nur für jeweils ein Konto unterstützt. Wenn Sie sich bei Windows mit einem Microsoft Entra-Konto für die Arbeit oder Schule anmelden, werden alle Daten über die Microsoft Entra ID synchronisiert. Wenn Sie sich mit einem persönlichen Microsoft-Konto bei Windows anmelden, werden alle Daten über das Microsoft-Konto synchronisiert. Für universelle App-Daten wird das Roaming nur mit dem primären Anmeldekonto auf dem Gerät durchgeführt – und nur dann, wenn sich die Lizenz der App im Besitz des primären Kontos befindet. Universelle App-Daten für die Apps, die sich im Besitz von sekundären Konten befinden, werden nicht synchronisiert.

Wenn sich mehrere Microsoft Entra-Konten von verschiedenen Microsoft Entra-Mandanten auf demselben Gerät befinden, müssen Sie die Registrierung des Geräts aktualisieren, um für jeden Microsoft Entra-Mandanten mit dem Azure Rights Management-Dienst zu kommunizieren.

1. Suchen Sie die GUID für jeden Microsoft Entra-Mandanten. Melden Sie sich beim Microsoft Entra Admin Center an, und navigieren Sie zu Identität>Übersicht>Eigenschaften>Mandanten-ID.
2. Nachdem Sie die GUID ermittelt haben, müssen Sie den folgenden Registrierungsschlüssel hinzufügen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<Mandanten-ID-GUID>. Erstellen Sie im Schlüssel Mandanten-ID-GUID einen neuen mehrteiligen Zeichenfolgenwert (REG-MULTI-SZ) namens AllowedRMSServerUrls. Geben Sie als Daten die URLs der Lizenzverteilungspunkte der anderen Azure-Mandanten an, auf die das Gerät zugreift.
3. Sie können die Lizenzverteilungspunkt-URLs ermitteln, indem Sie das Cmdlet Get-AadrmConfiguration aus dem AADRM-Modul ausführen. Falls sich die Werte für LicensingIntranetDistributionPointUrl und LicensingExtranetDistributionPointUrl unterscheiden, müssen Sie beide Werte angeben. Wenn die Werte gleich sind, müssen Sie den Wert einmal angeben.

Roaming kann nur für universelle Windows-Apps verwendet werden. Das Roaming für eine bereits vorhandene Windows-Desktopanwendung kann auf zwei Arten aktiviert werden:

• Mithilfe der Desktop-Brücke können Sie bereits vorhandene Windows-Desktop-Apps zur universellen Windows-Plattform migrieren. Ab hier sind nur noch minimale Code-Änderungen erforderlich, um die Vorteile von Microsoft Entra App Data Roaming zu nutzen. Die Desktop-Brücke versieht Ihre Apps mit einer App-Identität. Diese wird benötigt, um das App-Datenroaming für bereits vorhandene Desktop-Apps zu ermöglichen.
• User Experience Virtualization (UE-V) können Sie eine Vorlage mit benutzerdefinierten Einstellungen für bereits vorhandene Windows-Desktop-Apps erstellen und das Roaming für Win32-Apps ermöglichen. Bei dieser Option muss der App-Entwickler keine Änderungen am App-Code vornehmen. UE-V ist auf lokales Active Directory-Roaming für Kunden beschränkt, die das Microsoft Desktop Optimization Pack haben.

Administratoren können UE-V so konfigurieren, dass das Roaming nur für Daten von Windows-Desktop-Apps stattfindet, indem sie mithilfe von UE-V-Gruppenrichtlinien das Roaming von Windows-Betriebssystemeinstellungen und von Daten universeller Apps deaktivieren. Dies betrifft folgende Einstellungen und Daten:

• Gruppenrichtlinie „Roaming von Windows-Einstellungen“
• Gruppenrichtlinie „Windows-Apps nicht synchronisieren“
• Internet Explorer-Roaming im Abschnitt „Anwendungen“

Enterprise State Roaming speichert alle synchronisierten Daten in der Microsoft-Cloud. UE-V bietet eine Lösung für lokales Roaming.

Vor November 2022 wurden alle Benutzerdaten mithilfe von Azure Rights Management gesichert.

Ab November 2022 verwendet Microsoft Azure Rights Management nicht mehr für die gesamte Datenverschlüsselung. Microsoft liegt der Schutz von Kundendaten am Herzen. Bestimmte sensible Daten wie Kennwörter werden clientseitig mit Schlüsseln verschlüsselt, die vom Microsoft Entra-Mandanten stammen, um eine zusätzliche Sicherheitsebene zu gewährleisten. Alle Benutzerdaten (einschließlich nicht vertraulicher Daten) werden während der Übertragung und im Ruhezustand in der Cloud verschlüsselt. Eine Liste mit vertraulichen und nicht vertraulichen übertragenen Datenelementen finden Sie in der Referenz zu Roamingeinstellungen unter Windows.

In Windows 10 oder höher können Administratoren die Synchronisierung für alle Einstellungssynchronisierungsgruppen auf einem verwalteten Gerät mit MDM oder Gruppenrichtlinie deaktivieren.

Navigieren Sie in der App Einstellungen zu Konten>Einstellungen synchronisieren. Auf dieser Seite sehen Sie, welches Konto für das Roaming von Einstellungen verwendet wird, und Sie können einzelne Gruppen mit Einstellungen für das Roaming aktivieren oder deaktivieren.

Microsoft bietet verschiedene Lösungen für das Roaming von Einstellungen einschließlich UE-V und Enterprise State Roaming. Wenn Ihre Organisation für das Verschieben von Daten in die Cloud noch nicht bereit oder mit diesem Vorgang noch nicht vertraut ist, empfehlen wir die Verwendung von UE-V als Ihre primäre Roamingtechnologie. Falls Ihr Unternehmen Roamingunterstützung für bereits vorhandene Windows-Desktopanwendungen benötigt, aber an einer schnellen Nutzung der Cloud interessiert ist, empfiehlt Microsoft die parallele Verwendung von Enterprise State Roaming und UE-V. Obwohl UE-V und Enterprise State Roaming sehr ähnliche Technologien sind, schließen sie sich nicht gegenseitig aus. Sie ergänzen sich, sodass Sie sicherstellen können, dass Ihre Organisation genau die Roamingdienste bereitstellt, die Ihre Benutzer benötigen.

Bei Verwendung sowohl von Enterprise State Roaming als auch UE-V ist Enterprise State Roaming der primäre Roaming-Agent auf dem Gerät. UE-V wird verwendet, um Win32-Anwendungen zu ergänzen.

• Enterprise State Roaming ist der primäre Roaming-Agent auf dem Gerät. UE-V wird zum Schließen der „Win32-Lücke“ verwendet.
• Das UE-V-Roaming für Windows-Einstellungen und Daten aus modernen UWP-Apps sollte deaktiviert werden, wenn Sie die UE-V-Gruppenrichtlinien verwenden. Diese Einstellung wird bereits durch Enterprise Status Roaming abgedeckt.

Enterprise State Roaming wird nur für Client-SKUs für Windows 10 oder höher unterstützt, nicht für Server-SKUs. Wenn ein virtueller Clientcomputer auf einem Hypervisorcomputer gehostet wird und Sie sich remote bei dem virtuellen Computer anmelden, wird das Roaming für Ihre Benutzerdaten durchgeführt. Wenn mehrere Benutzer das gleiche Betriebssystem verwenden und sich remote bei einem Server anmelden, um uneingeschränkte Desktopfeatures zu nutzen, findet möglicherweise kein Roaming statt. Dieses sitzungsbasierte Szenario wird offiziell nicht unterstützt.

Nächste Schritte

Sehen Sie sich die Übersicht zum Enterprise State Roaming an.