Verwalten von Windows-Geräten in Ihrem organization – Übergang zur modernen Verwaltung

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Die Verwendung von persönlichen Geräten für die Arbeit und Mitarbeitern, die außerhalb des Büros arbeiten, kann dazu führen, dass ihre organization Geräte verwaltet. Bestimmte Organisationsbereiche sind unter Umständen auf besonders präzise Steuerungsmöglichkeiten für Geräte angewiesen, während in anderen womöglich eine weniger komplexe, szenariobasierte Verwaltung vorzuziehen ist, die besser in ein modernes Arbeitsumfeld passt. Windows bietet die Flexibilität, auf diese sich ändernden Anforderungen zu reagieren, und kann problemlos in einer gemischten Umgebung bereitgestellt werden. Sie können den Prozentsatz der Windows-Geräte schrittweise verschieben, indem Sie die normalen Upgradezeitpläne in Ihrem organization.

Ihr organization kann verschiedene Betriebssysteme für eine Vielzahl von Gerätetypen unterstützen und diese über einen gemeinsamen Satz von Tools wie Microsoft Configuration Manager, Microsoft Intune oder andere Drittanbieterprodukte verwalten. Diese "verwaltete Vielfalt" ermöglicht es Ihnen, Ihre Benutzer in die Lage zu versetzen, von den Produktivitätsverbesserungen zu profitieren, die auf ihren neuen Windows-Geräten (einschließlich rich touch- und freihandunterstützung) verfügbar sind, während Sie gleichzeitig Ihre Standards für Sicherheit und Verwaltbarkeit beibehalten. Es kann Ihnen und Ihren organization schneller von Windows profitieren.

Dieser Artikel enthält Anleitungen zu Strategien zum Bereitstellen und Verwalten von Windows-Geräten, einschließlich der Bereitstellung von Windows in einer gemischten Umgebung. Es werden Verwaltungsoptionen sowie die vier Phasen des Gerätelebenszyklus behandelt:

• Bereitstellung
• Identität und Authentifizierung
• Konfiguration
• Aktualisierung und Wartung

Überprüfen der Verwaltungsoptionen für Windows

Windows bietet eine Reihe von Verwaltungsoptionen, wie im folgenden Diagramm dargestellt:

Wie im Diagramm dargestellt, bietet Microsoft weiterhin Unterstützung für umfassende Verwaltbarkeit und Sicherheit durch Technologien wie Gruppenrichtlinien, Active Directory und Configuration Manager. Es bietet auch einen "Mobile-First, Cloud-First"-Ansatz der vereinfachten, modernen Verwaltung mit cloudbasierten Geräteverwaltungslösungen wie Microsoft Enterprise Mobility + Security (EMS). Zukünftige Windows-Innovationen, die über Windows as a Service bereitgestellt werden, werden durch Clouddienste wie Microsoft Intune, Microsoft Entra ID, Azure Information Protection und Microsoft 365 ergänzt.

Bereitstellung und Bereitstellung

Mit Windows können Sie weiterhin die herkömmliche Betriebssystembereitstellung verwenden, aber Sie können auch "sofort verwalten". Um neue Geräte in vollständig konfigurierte, vollständig verwaltete Geräte umzuwandeln, haben Sie folgende Möglichkeiten:

• Vermeiden Sie das Reimaging mithilfe der dynamischen Bereitstellung, die durch einen cloudbasierten Geräteverwaltungsdienst wie Windows Autopilot oder Microsoft Intune aktiviert wird.

• Erstellen Sie eigenständige Bereitstellungspakete, die mit dem Windows-Designer für die Imageerstellung und -konfiguration (Windows Imaging and Configuration Designer, ICD) erstellt werden. Weitere Informationen finden Sie unter Bereitstellen von Paketen für Windows.

• Verwenden Sie herkömmliche Bildverarbeitungstechniken, z. B. das Bereitstellen benutzerdefinierter Images mithilfe von Configuration Manager.

Sie haben mehrere Optionen für das Upgrade auf Windows 10 und Windows 11. Für vorhandene Geräte, auf denen Windows 10 ausgeführt werden, können Sie den stabilen direkten Upgradeprozess verwenden, um schnell und zuverlässig zu Windows 11 zu wechseln und dabei automatisch alle vorhandenen Apps, Daten und Einstellungen beizubehalten. Diese Prozessnutzung kann zu geringeren Bereitstellungskosten und einer verbesserten Produktivität führen, da Endbenutzer sofort produktiv sein können – alles ist genau dort, wo sie es verlassen haben. Sie können auch einen herkömmlichen Ansatz zum Zurücksetzen und Laden verwenden, wenn Sie die gleichen Tools verwenden, die Sie heute verwenden.

Identität und Authentifizierung

Sie können Windows und Dienste wie Microsoft Entra ID auf neue Weise für cloudbasierte Identität, Authentifizierung und Verwaltung verwenden. Sie können Ihren Benutzern die Möglichkeit bieten, "Bring Your Own Device" (BYOD) oder "Choose Your Own Device" (CYOD) aus einer auswahl, die Sie zur Verfügung stellen. Gleichzeitig kümmern Sie sich möglicherweise um die Verwaltung von PCs und Tablets, die aufgrund von bestimmten Anwendungen oder Ressourcen, die darauf verwendet werden, in die Domäne eingebunden sein müssen.

Benutzer- und Geräteverwaltung können etwa in die folgenden zwei Kategorien unterteilt werden:

• Unternehmensgeräte (CYOD) oder persönliche Geräte (BYOD), die von mobilen Benutzern für SaaS-Apps wie Office 365 verwendet werden. Mit Windows können Ihre Mitarbeiter ihre Geräte selbst bereitstellen:

  • Für Unternehmensgeräte kann der Unternehmenszugriff mit Microsoft Entra Join eingerichtet werden. Wenn Sie ihnen anbieten, Microsoft Entra mit automatischer Intune MDM-Registrierung teilzunehmen, können sie Geräte in einem Schritt in einen vom Unternehmen verwalteten Zustand versetzen, alles aus der Cloud.

    Microsoft Entra ist auch eine hervorragende Lösung für Zeitmitarbeiter, Partner oder andere Teilzeitmitarbeiter. Ihre Konten können getrennt von der lokalen AD-Domäne gehalten werden, sie können aber dennoch auf erforderliche Unternehmensressourcen zugreifen.

  • Darüber hinaus können Mitarbeiter für persönliche Geräte die neue, vereinfachte BYOD-Umgebung nutzen, um ihr Geschäftskonto zu Windows hinzuzufügen und anschließend über das Gerät auf Arbeitsressourcen zuzugreifen.

• In die Domäne eingebundene PCs und Tablets, die für herkömmliche Anwendungen und den Zugriff auf wichtige Ressourcen verwendet werden. Bei diesen Anwendungen und Ressourcen kann es sich um herkömmliche Anwendungen und Ressourcen handelt, die eine Authentifizierung oder den Zugriff auf hochsensible oder klassifizierte Ressourcen erfordern.

  Wenn Sie unter Windows über eine lokale Active Directory-Domäne verfügen, die in Microsoft Entra ID integriert ist, registrieren sich Mitarbeitergeräte automatisch bei Microsoft Entra ID. Diese Registrierung bietet Folgendes:

  • Ortsunabhängiges einmaliges Anmelden bei cloudbasierten und lokalen Ressourcen
  • Unternehmens-Roaming von Einstellungen
  • Bedingter Zugriff auf Unternehmensressourcen basierend auf der Integrität oder Konfiguration des Geräts
  • Windows Hello for Business
  • Windows Hello

  In die Domäne eingebundene PCs und Tablets können weiterhin mit Configuration Manager Client- oder Gruppenrichtlinie verwaltet werden.

Bei der Überprüfung der Rollen in Ihrer Organisation können Sie mithilfe des folgenden generalisierten Entscheidungsbaums Benutzer oder Geräte ermitteln, die in die Domäne eingebunden werden müssen. Erwägen Sie, die verbleibenden Benutzer auf Microsoft Entra ID zu wechseln.

Einstellungen und Konfiguration

Ihre Konfigurationsanforderungen werden durch mehrere Faktoren bestimmt. Zu diesen zählen u. a. die erforderliche Verwaltungsstufe, die verwalteten Geräte und Daten und Ihre Branchenanforderungen. Mitarbeiter sind häufig beunruhigt, dass die IT-Abteilung strikte Richtlinien auf ihre persönlichen Geräte anwendet, möchten aber dennoch Zugriff auf Unternehmens-E-Mails und -Dokumente. Sie können über die gemeinsame MDM-Ebene einen konsistenten Satz von Konfigurationen auf PCs, Tablets und Smartphones erstellen.

• MDM: Mit MDM verfügen Sie über eine Möglichkeit, Einstellungen zu konfigurieren, mit denen Sie Ihre Verwaltungsaufgaben ausführen können, ohne jede mögliche Einstellung verfügbar zu machen. (Im Gegensatz dazu macht die Gruppenrichtlinie differenzierte Einstellungen verfügbar, die Sie einzeln steuern.) Ein Vorteil von MDM besteht darin, dass Sie mit einfacheren und effizienteren Tools umfassendere Einstellungen für Datenschutz, Sicherheit und Anwendungsverwaltung anwenden können. MDM ermöglicht es Ihnen auch, mit dem Internet verbundene Geräte als Ziel zu verwenden, um Richtlinien zu verwalten, ohne Gruppenrichtlinien zu verwenden, die lokale, in die Domäne eingebundene Geräte erfordern. Diese Bestimmung macht MDM zur besten Wahl für Geräte, die ständig unterwegs sind.

• Gruppenrichtlinie und Configuration Manager: Ihre organization müssen möglicherweise weiterhin in die Domäne eingebundene Computer mithilfe von Gruppenrichtlinieneinstellungen präzise verwalten. Wenn ja, sind Gruppenrichtlinien und Configuration Manager weiterhin hervorragende Verwaltungsoptionen:

  • Gruppenrichtlinien sind die beste Möglichkeit, um in die Domäne eingebundene Windows-PCs und -Tablets, die mit dem Unternehmensnetzwerk verbunden sind, mithilfe von Windows-basierten Tools präzise zu konfigurieren. Microsoft fügt weiterhin Gruppenrichtlinieneinstellungen mit jeder neuen Version von Windows hinzu.

  • Configuration Manager bleibt die empfohlene Lösung für eine präzise Konfiguration mit robuster Softwarebereitstellung, Windows-Updates und Betriebssystembereitstellung.

Aktualisieren und Warten

Mit Windows as a Service muss Ihre IT-Abteilung nicht mehr bei jeder neuen Windows-Version komplexe Imageerstellungsprozesse (Wipe and Load) ausführen. Ob im Kanal für allgemeine Verfügbarkeit oder Long-Term Servicing Channel, Geräte erhalten die neuesten Feature- und Qualitätsupdates durch einfache - oft automatische - Patchprozesse. Weitere Informationen finden Sie unter Windows-Bereitstellungsszenarien.

MDM mit Intune stellt Tools für die Anwendung von Windows-Updates auf Clientcomputern in Ihrer Organisation bereit. Configuration Manager enthält umfangreiche Verwaltungs- und Nachverfolgungsfunktionen für diese Updates, u. a. Wartungsfenster und Regeln für die automatische Bereitstellung.

Nächste Schritte

Es gibt verschiedene Schritte, die Sie ausführen können, um mit der Modernisierung der Geräteverwaltung in Ihrem organization zu beginnen:

Bewerten Sie die derzeitigen Verwaltungsverfahren, und suchen Sie nach Investitionen, die Sie heute vornehmen können. Welche aktuellen Verfahren müssen gleich bleiben, welche können geändert werden? Genauer gesagt: Welche Elemente der herkömmlichen Verwaltung müssen Sie beibehalten, und in welchen Bereichen können Sie Modernisierungen vornehmen? Unabhängig davon, ob Sie Maßnahmen ergreifen, um die benutzerdefinierte Abbildung zu minimieren, die Einstellungsverwaltung neu zu bewerten oder Authentifizierung und Compliance neu zu bewerten, können die Vorteile unmittelbar sein. Mithilfe von Gruppenrichtlinienanalysen in Microsoft Intune können Sie ermitteln, welche Gruppenrichtlinien von cloudbasierten MDM-Anbietern unterstützt werden, einschließlich Microsoft Intune.

Bewerten Sie die verschiedenen Anwendungsfälle und Verwaltungsanforderungen in Ihrer Umgebung. Gibt es Gerätegruppen, die von einer schlankeren und einfacheren Verwaltung profitieren könnten? BYOD-Geräte sind beispielsweise prädestiniert für die cloudbasierte Verwaltung. Benutzer oder Geräte, die stärker regulierte Daten verarbeiten, benötigen unter Umständen eine lokale Active Directory-Domäne für die Authentifizierung. Configuration Manager und EMS bieten Ihnen die Flexibilität, die Implementierung moderner Verwaltungsszenarien durchzuführen und gleichzeitig verschiedene Geräte so zu gestalten, wie es Ihren Geschäftsanforderungen am besten entspricht.

Sehen Sie sich die Entscheidungsbäume in diesem Artikel an. Mit den verschiedenen Optionen in Windows sowie Configuration Manager und Enterprise Mobility + Security haben Sie die Flexibilität, Imageerstellung, Authentifizierung, Einstellungen und Verwaltungstools für jedes Szenario zu verarbeiten.

Gehen Sie in kleinen Schritten vor. Die Umstellung auf eine moderne Geräteverwaltung muss keine Transformation über Nacht sein. Neue Betriebssysteme und Geräte können zusätzlich zu älteren Systemen und Geräten verwendet werden. Mit dieser "verwalteten Vielfalt" können Benutzer von Produktivitätsverbesserungen auf modernen Windows-Geräten profitieren, während Sie ältere Geräte weiterhin gemäß Ihren Standards für Sicherheit und Verwaltbarkeit verwalten. Die CSP-Richtlinie MDMWinsOverGP ermöglicht ES MDM-Richtlinien, Vorrang vor Gruppenrichtlinien zu haben, wenn sowohl Gruppenrichtlinien als auch die entsprechenden MDM-Richtlinien auf dem Gerät festgelegt sind. Sie können mit der Implementierung von MDM-Richtlinien beginnen und gleichzeitig Ihre Gruppenrichtlinienumgebung beibehalten. Weitere Informationen, einschließlich der Liste der MDM-Richtlinien mit entsprechenden Gruppenrichtlinien, finden Sie unter Von Gruppenrichtlinien unterstützte Richtlinien.

Optimieren Sie vorhandene Investitionen. Nutzen Sie bei der Umstellung von der herkömmlichen lokalen Verwaltung auf eine moderne cloudbasierte Verwaltung die flexible Hybridarchitektur von Configuration Manager und Intune. Mit der Co-Verwaltung können Sie Windows-Geräte gleichzeitig mithilfe von Configuration Manager und Intune verwalten. Weitere Informationen finden Sie in den folgenden Artikeln:

• Co-Verwaltung für Windows-Geräte
• Vorbereiten von Windows-Geräten für die Co-Verwaltung
• Umstellen Configuration Manager Workloads auf Intune
• Co-Management-Dashboard in Configuration Manager

Verwandte Artikel

• Was ist Intune?
• Richtlinien-Konfigurationsdienstanbieter
• Referenz zu Konfigurationsdienstanbietern