Verwalten von Windows 10 in Ihrer Organisation – Übergang zum modernen Management

  • Artikel
  • 9 Minuten Lesedauer

Die Verwendung von persönlichen Geräten für die Arbeit und Von Mitarbeitern, die außerhalb des Büros arbeiten, kann dazu führen, dass ihre Organisation geräte verwaltet. Bestimmte Organisationsbereiche sind unter Umständen auf besonders präzise Steuerungsmöglichkeiten für Geräte angewiesen, während in anderen womöglich eine weniger komplexe, szenariobasierte Verwaltung vorzuziehen ist, die besser in ein modernes Arbeitsumfeld passt. Windows 10 bietet die Flexibilität, um auf diese sich ändernden Anforderungen zu reagieren, und kann problemlos in einer gemischten Umgebung bereitgestellt werden. Sie können den Prozentsatz von Windows 10-Geräten nach und nach erhöhen und sich dabei an die normalen Upgradezeitpläne Ihrer Organisation halten.

Ihre Organisation hat möglicherweise in Erwägung gezogen, Windows 10 Geräte zu integrieren und auf eine frühere Version von Windows herabzustufen, bis alles für einen formalen Upgradeprozess eingerichtet ist. Diese Herabstufung kann aufgrund der Standardisierung Kosten sparen. In der Regel sparen Sie jedoch mehr, wenn Sie kein Downgrade ausführen, und nutzen sofort die Kosteneinsparungen, die Windows 10 bieten können. Da Windows 10 Geräte mit denselben Prozessen und Technologien wie andere frühere Windows-Versionen verwaltet werden können, können Versionen problemlos gleichzeitig verwendet werden.

Ihre Organisation kann verschiedene Betriebssysteme für eine Vielzahl von Gerätetypen unterstützen und diese über einen gemeinsamen Satz von Tools wie Microsoft Configuration Manager, Microsoft Intune oder andere Drittanbieterprodukte verwalten. Diese "verwaltete Vielfalt" ermöglicht es Ihnen, Ihre Benutzer in die Lage zu versetzen, von den Produktivitätsverbesserungen zu profitieren, die auf ihren neuen Windows 10-Geräten verfügbar sind (einschließlich Rich Touch- und Tintenunterstützung), während Sie gleichzeitig Ihre Standards für Sicherheit und Verwaltbarkeit beibehalten. So können Sie und Ihre Organisation noch schneller von Windows 10 profitieren.

Dieses sechsminütige Video zeigt, wie Benutzer ein neues Mobilgerät mitbringen, ihre personalisierten Einstellungen verwenden und in wenigen Minuten in einer verwalteten Umgebung arbeiten können, ohne sich ins Firmennetz integrieren zu müssen. Außerdem wird veranschaulicht, wie IT-Administratoren durch Richtlinien und Konfigurationen sicherstellen können, dass die Geräte regelkonform verwendet werden.

Hinweis

Das Video veranschaulicht den Konfigurationsprozess mit dem klassischen Azure-Portal, der eingestellt wird. Kunden sollten das neue Azure-Portal verwenden. Hier erfahren Sie, wie mithilfe des neuen Azure-Portals Aufgaben ausführen, die Sie vorher im klassischen Azure-Portal ausgeführt haben.

Dieser Artikel enthält Anleitungen zu Strategien zum Bereitstellen und Verwalten von Windows 10, einschließlich der Bereitstellung von Windows 10 in einer gemischten Umgebung. Es werden Verwaltungsoptionen sowie die vier Phasen des Gerätelebenszyklus behandelt:

Überprüfen der Verwaltungsoptionen in Windows 10

Windows 10 bietet eine Reihe von Verwaltungsoptionen, wie im folgenden Diagramm dargestellt:

Diagramm des Pfads zur modernen IT.

Wie im Diagramm dargestellt, bietet Microsoft weiterhin Unterstützung für umfassende Verwaltbarkeit und Sicherheit durch Technologien wie Gruppenrichtlinien, Active Directory und Configuration Manager. Es bietet auch einen "Mobile-First, Cloud-First"-Ansatz der vereinfachten, modernen Verwaltung mit cloudbasierten Geräteverwaltungslösungen wie Microsoft Enterprise Mobility + Security (EMS). Künftige Windows-Innovationen, die über Windows as a Service bereitgestellt werden, werden durch Clouddienste wie Microsoft Intune, Azure Active Directory, Azure Information Protection, Office 365 und den Microsoft Store für Unternehmen ergänzt.

Bereitstellung und Bereitstellung

Mit Windows 10 können Sie weiterhin die herkömmliche Betriebssystembereitstellung verwenden, aber Sie können auch "sofort verwalten". Um neue Geräte in vollständig konfigurierte, vollständig verwaltete Geräte umzuwandeln, haben Sie folgende Möglichkeiten:

  • Vermeiden Sie das Reimaging mithilfe der dynamischen Bereitstellung, die durch einen cloudbasierten Geräteverwaltungsdienst wie Windows Autopilot oder Microsoft Intune aktiviert wird.

  • Erstellen Sie eigenständige Bereitstellungspakete, die mit dem Windows-Designer für die Imageerstellung und -konfiguration (Windows Imaging and Configuration Designer, ICD) erstellt werden. Weitere Informationen finden Sie unter Bereitstellen von Paketen für Windows.

  • Verwenden Sie herkömmliche Bildverarbeitungstechniken, z. B. das Bereitstellen von benutzerdefinierten Images mithilfe von Configuration Manager.

Ihnen stehen mehrere Optionen für das Upgrade auf Windows 10 zur Verfügung. Für vorhandene Geräte, auf denen Windows 8.1 ausgeführt werden, können Sie den stabilen direkten Upgradeprozess für eine schnelle, zuverlässige Umstellung auf Windows 10 verwenden und gleichzeitig alle vorhandenen Apps, Daten und Einstellungen automatisch beibehalten. Diese Prozessnutzung kann zu geringeren Bereitstellungskosten und einer verbesserten Produktivität führen, da Endbenutzer sofort produktiv sein können – alles ist genau dort, wo sie es verlassen haben. Sie können auch einen herkömmlichen Ansatz zum Zurücksetzen und Laden verwenden, wenn Sie die gleichen Tools verwenden, die Sie heute verwenden.

Identität und Authentifizierung

Windows 10 und Dienste wie Azure Active Directory bieten neue Möglichkeiten für cloudbasierte Identität, Authentifizierung und Verwaltung. Sie können Ihren Benutzern die Möglichkeit bieten, "Bring Your Own Device" (BYOD) oder "Choose Your Own Device" (CYOD) aus einer auswahl, die Sie zur Verfügung stellen. Gleichzeitig kümmern Sie sich möglicherweise um die Verwaltung von PCs und Tablets, die aufgrund von bestimmten Anwendungen oder Ressourcen, die darauf verwendet werden, in die Domäne eingebunden sein müssen.

Benutzer- und Geräteverwaltung können etwa in die folgenden zwei Kategorien unterteilt werden:

  • Unternehmensgeräte (CYOD) oder persönliche Geräte (BYOD), die von mobilen Benutzern für SaaS-Apps wie Office 365 verwendet werden. Unter Windows 10 können Ihre Mitarbeiter ihre Geräte selbst bereitstellen:

    • Für Unternehmensgeräte kann der Unternehmenszugriff mit Azure AD Join eingerichtet werden. Wenn Sie ihnen Azure AD Join mit automatischer Intune MDM-Registrierung anbieten, können geräte in einem Schritt in einen unternehmensseitig verwalteten Zustand versetzt werden, alles aus der Cloud.

    Azure AD Join ist auch eine hervorragende Lösung für temporäre Mitarbeiter, Partner oder andere Teilzeitmitarbeiter. Ihre Konten können getrennt von der lokalen AD-Domäne gehalten werden, sie können aber dennoch auf erforderliche Unternehmensressourcen zugreifen.

    • Darüber hinaus können Mitarbeiter für persönliche Geräte die neue, vereinfachte BYOD-Umgebung nutzen, um ihr Geschäftskonto zu Windows hinzuzufügen und anschließend über das Gerät auf Arbeitsressourcen zuzugreifen.

  • In die Domäne eingebundene PCs und Tablets, die für herkömmliche Anwendungen und den Zugriff auf wichtige Ressourcen verwendet werden. Bei diesen Anwendungen und Ressourcen kann es sich um herkömmliche Anwendungen und Ressourcen handelt, die eine Authentifizierung oder den Zugriff auf hochsensible oder klassifizierte Ressourcen erfordern.

    Wenn Sie mit Windows 10 über eine lokale Active Directory-Domäne verfügen, die in Azure AD integriert ist, werden Mitarbeitergeräte automatisch bei Azure AD registriert. Diese Registrierung bietet Folgendes:

    In die Domäne eingebundene PCs und Tablets können weiterhin mit der Configuration Manager Client- oder Gruppenrichtlinie verwaltet werden.

Weitere Informationen dazu, wie Windows 10 und Azure AD den Zugriff auf Arbeitsressourcen bei verschiedenen Geräten und Szenarien optimieren, finden Sie unter Verwenden von Windows 10-Geräten an Ihrem Arbeitsplatz.

Bei der Überprüfung der Rollen in Ihrer Organisation können Sie mithilfe des folgenden generalisierten Entscheidungsbaums Benutzer oder Geräte ermitteln, die in die Domäne eingebunden werden müssen. Ziehen Sie die Migration der verbleibenden Benutzer zu Azure AD in Betracht.

Diagramm der Entscheidungsstruktur für Geräteauthentifizierungsoptionen.

Einstellungen und Konfiguration

Ihre Konfigurationsanforderungen werden durch mehrere Faktoren bestimmt. Zu diesen zählen u. a. die erforderliche Verwaltungsstufe, die verwalteten Geräte und Daten und Ihre Branchenanforderungen. Mitarbeiter sind häufig beunruhigt, dass die IT-Abteilung strikte Richtlinien auf ihre persönlichen Geräte anwendet, möchten aber dennoch Zugriff auf Unternehmens-E-Mails und -Dokumente. Dank Windows 10 können Sie einen einheitlichen Satz von Konfigurationen auf PCs, Tablets und Telefone über die allgemeine MDM-Ebene erstellen.

MDM: Mit MDM verfügen Sie über eine Möglichkeit, Einstellungen zu konfigurieren, mit denen Sie Ihre Verwaltungsaufgaben ausführen können, ohne jede mögliche Einstellung verfügbar zu machen. (Im Gegensatz dazu macht die Gruppenrichtlinie differenzierte Einstellungen verfügbar, die Sie einzeln steuern.) Ein Vorteil von MDM besteht darin, dass Sie mit einfacheren und effizienteren Tools umfassendere Einstellungen für Datenschutz, Sicherheit und Anwendungsverwaltung anwenden können. MDM ermöglicht es Ihnen auch, mit dem Internet verbundene Geräte als Ziel zu verwenden, um Richtlinien zu verwalten, ohne Gruppenrichtlinien zu verwenden, die lokale, in die Domäne eingebundene Geräte erfordern. Diese Bestimmung macht MDM zur besten Wahl für Geräte, die ständig unterwegs sind.

Gruppenrichtlinie und Configuration Manager: Möglicherweise muss Ihre Organisation computer, die in die Domäne eingebunden sind, weiterhin auf einer granularen Ebene verwalten, z. B. die konfigurierbaren Gruppenrichtlinieneinstellungen von Internet Explorer mit 1.500. Wenn ja, sind Gruppenrichtlinien und Configuration Manager weiterhin hervorragende Verwaltungsoptionen:

  • Gruppenrichtlinien sind die beste Möglichkeit, um in die Domäne eingebundene Windows-PCs und -Tablets, die mit dem Unternehmensnetzwerk verbunden sind, mithilfe von Windows-basierten Tools präzise zu konfigurieren. Microsoft fügt weiterhin Gruppenrichtlinieneinstellungen mit jeder neuen Version von Windows hinzu.

  • Configuration Manager bleibt die empfohlene Lösung für Konfigurationen mit höherer Granularität für eine stabile Softwarebereitstellung, für Windows-Updates und Betriebssystembereitstellungen.

Aktualisieren und Warten

Mit Windows as a Service muss Ihre IT-Abteilung nicht mehr bei jeder neuen Windows-Version komplexe Imageerstellungsprozesse (Wipe and Load) ausführen. Ob auf Current Branch (CB) oder Current Branch for Business (CBB), Geräte erhalten die neuesten Feature- und Qualitätsupdates durch einfache - oft automatische - Patchprozesse. Weitere Informationen finden Sie unter Szenarien für die Bereitstellung von Windows 10.

MDM mit Intune stellt Tools für die Anwendung von Windows-Updates auf Clientcomputern in Ihrer Organisation bereit. Configuration Manager enthält umfangreiche Verwaltungs- und Nachverfolgungsfunktionen für diese Updates, u. a. Wartungsfenster und Regeln für die automatische Bereitstellung.

Nächste Schritte

Es gibt verschiedene Schritte, die Sie ausführen können, um mit der Modernisierung der Geräteverwaltung in Ihrer Organisation zu beginnen:

Bewerten Sie die derzeitigen Verwaltungsverfahren, und suchen Sie nach Investitionen, die Sie heute vornehmen können. Welche aktuellen Verfahren müssen gleich bleiben, welche können geändert werden? Genauer gesagt: Welche Elemente der herkömmlichen Verwaltung müssen Sie beibehalten, und in welchen Bereichen können Sie Modernisierungen vornehmen? Unabhängig davon, ob Sie Maßnahmen ergreifen, um die benutzerdefinierte Abbildung zu minimieren, die Einstellungsverwaltung neu zu bewerten oder Authentifizierung und Compliance neu zu bewerten, können die Vorteile unmittelbar sein. Mithilfe von Gruppenrichtlinienanalysen in Microsoft Intune können Sie ermitteln, welche Gruppenrichtlinien von cloudbasierten MDM-Anbietern unterstützt werden, einschließlich Microsoft Intune.

Bewerten Sie die verschiedenen Anwendungsfälle und Verwaltungsanforderungen in Ihrer Umgebung. Gibt es Gerätegruppen, die von einer schlankeren und einfacheren Verwaltung profitieren könnten? BYOD-Geräte sind beispielsweise prädestiniert für die cloudbasierte Verwaltung. Benutzer oder Geräte, die stärker regulierte Daten verarbeiten, benötigen unter Umständen eine lokale Active Directory-Domäne für die Authentifizierung. Dank Configuration Manager und EMS können Sie moderne Verwaltungsszenarien phasenweise implementieren. Dabei können Sie verschiedene Geräte auf genau die Weise einbinden, die am besten zu den Anforderungen Ihres Unternehmens passt.

Sehen Sie sich die Entscheidungsbäume in diesem Artikel an. Dank der verschiedenen Optionen in Windows 10, Configuration Manager und Enterprise Mobility + Security können Sie Imageerstellung, Authentifizierung, Einstellungen und Verwaltungstools für alle Szenarien verwalten.

Gehen Sie in kleinen Schritten vor. Die Umstellung auf eine moderne Geräteverwaltung muss keine Transformation über Nacht sein. Neue Betriebssysteme und Geräte können zusätzlich zu älteren Systemen und Geräten verwendet werden. Mit dieser "verwalteten Vielfalt" können Benutzer von Produktivitätssteigerungen auf neuen Windows 10-Geräten profitieren, während Sie ältere Geräte weiterhin gemäß Ihren Standards für Sicherheit und Verwaltbarkeit verwalten. Die CSP-Richtlinie MDMWinsOverGP ermöglicht ES MDM-Richtlinien, Vorrang vor Gruppenrichtlinien zu haben, wenn sowohl Gruppenrichtlinien als auch die entsprechenden MDM-Richtlinien auf dem Gerät festgelegt sind. Sie können mit der Implementierung von MDM-Richtlinien beginnen und gleichzeitig Ihre Gruppenrichtlinienumgebung beibehalten. Weitere Informationen, einschließlich der Liste der MDM-Richtlinien mit entsprechenden Gruppenrichtlinien, finden Sie unter Von Gruppenrichtlinien unterstützte Richtlinien.

Optimieren Sie vorhandene Investitionen. Nutzen Sie bei der Umstellung von der herkömmlichen lokalen Verwaltung auf eine moderne cloudbasierte Verwaltung die flexible Hybridarchitektur von Configuration Manager und Intune. Mit der Co-Verwaltung können Sie gleichzeitig Windows 10 Geräte mithilfe von Configuration Manager und Intune verwalten. Weitere Informationen finden Sie in den folgenden Artikeln: