Funktionsweise der Bereitstellung in Windows

Die Bereitstellung von Paketen im Windows-Client bietet IT-Administratoren eine vereinfachte Möglichkeit, Konfigurationseinstellungen auf Windows-Clientgeräte anzuwenden. Der Windows-Konfigurations-Designer ist ein Tool, das die Erstellung von Bereitstellungspaketen erleichtert. Windows Configuration Designer kann aus dem Microsoft Store installiert werden.

Bereitstellungspakete

Ein Bereitstellungspaket enthält bestimmte Konfigurationen/Einstellungen und Ressourcen, die über ein Wechselmedium bereitgestellt oder auf das Gerät heruntergeladen werden können.

Um das Hinzufügen mehrerer Sätze von Einstellungen oder Konfigurationen zu aktivieren, basieren die vom Bereitstellungsmodul verwendeten Konfigurationsdaten aus mehreren Konfigurationsquellen, die aus separaten Bereitstellungspaketen bestehen. Jedes Bereitstellungspaket enthält die Bereitstellungsdaten aus einer anderen Quelle.

Ein Bereitstellungspaket (.ppkg) ist ein Container für eine Sammlung von Konfigurationseinstellungen. Die Paket weist das folgende Format auf:

  • Paketmetadaten: Die Metadaten enthalten grundlegende Informationen zum Paket, z. B. Paketname, Beschreibung, Version, Rangfolge usw.

  • XML-Deskriptoren: Jeder Deskriptor definiert ein Anpassungsobjekt oder eine Konfigurationseinstellung, die im Paket enthalten ist.

  • Ressourcennutzlasten: Die Nutzlasten einer Anpassungsressource oder einer Konfigurationseinstellung, die einer App oder Datenressource zugeordnet ist.

Sie können Bereitstellungspakete für die Laufzeitgerätebereitstellung verwenden, indem Sie auf das Paket auf einem an das Gerät angeschlossenen Wechselmedium zugreifen, über Near Field Communication (NFC) oder durch Herunterladen von einem Remotequellspeicherort.

Rangfolge von Bereitstellungspaketen

Wenn mehrere Bereitstellungspakete für die Gerätebereitstellung verfügbar sind, wird die Kombination aus Paketbesitzertyp und Paketrangfolge, die im Paketmanifest definiert sind, verwendet, um Einstellungskonflikte zu lösen. Die vordefinierten Paketbesitzertypen sind im Folgenden von der in der niedrigsten zur höchsten Besitzertyprangfolge aufgeführt:

  1. Microsoft

  2. Silicon Vendor

  3. OEM

  4. Systemintegrator

  5. Mobilfunkanbieter

  6. IT-Administrator

Der gültige Wertebereich für die Paketrangfolge ist 0 bis 99.

Wenn Einstellungskonflikte auftreten, werden die endgültigen, auf dem Gerät bereitgestellten Werte von der Besitzertyprangfolge und der Rangfolge der Pakete mit den Einstellungen bestimmt. Für Pakete mit demselben Besitzer bestimmt der Paketrang das Paket, aus dem Einstellungswerte auf dem Gerät bereitgestellt werden.

Windows-Bereitstellungs-XML

Windows-Bereitstellungs-XML ist das Framework, mit dem Microsoft- und OEM-Komponenten von Endbenutzern konfigurierbare Einstellungen und die Infrastruktur auf dem Gerät zum Anwenden der Einstellungen mit minimalem Aufwand für den Komponentenbesitzer deklarieren.

Einstellungen für jede Komponente können in Paketmanifestdatei dieser Komponente deklariert werden. Diese Deklarationen werden in Einstellungsschemas konvertiert, die von Windows-Konfigurations-Designer verwendet werden, um die potenziellen Einstellungen für Benutzer zur Verfügung zu stellen, um Anpassungen im Image oder in Bereitstellungspaketen zu erstellen. Windows-Konfigurations-Designer übersetzt die Benutzerkonfiguration, die über Antwortdateien der Windows-Bereitstellung deklariert wird, in das Bereitstellungsformat auf dem Gerät.

Wenn das Bereitstellungsmodul eine Konfiguration auswählt, ist die Windows-Bereitstellungs-XML in den ausgewählten Bereitstellungsdaten enthalten und wird über den Konfigurations-Manager und dann an den Windows-Bereitstellungs-CSP übergeben. Der Windows-Bereitstellungs-CSP wendet die Bereitstellung dann auf den korrekten Speicherort an, damit die tatsächliche Komponente diese verwenden kann.

Bereitstellungsmodul

Die Bereitstellungs-Engine ist die Kernkomponente für die Verwaltung der Bereitstellung und Konfiguration zur Laufzeit auf einem Gerät, auf dem Windows 10/11 ausgeführt wird.

Das Bereitstellungsmodul bietet folgende Funktionen:

  • Bereitstellen der Konfiguration zu einem beliebigen Zeitpunkt, wenn das Gerät ausgeführt wird, einschließlich erstem Start und Setup oder Windows-Willkommensseite. Es ist außerdem auf andere Punkte während der Laufzeit des Geräts erweiterbar.
  • Lesen und Kombinieren von Einstellungen aus mehreren Konfigurationsquellen, die möglicherweise von Microsoft, dem OEM oder Systemintegrator zu einem Image hinzugefügt werden, oder die während der Laufzeit von IT-/Schulungsadministratoren oder Benutzern zum Gerät hinzugefügt werden. Konfigurationsquellen können in das Image integriert sein oder aus Bereitstellungspaketen stammen, die dem Gerät hinzugefügt werden.
  • Reagieren auf Auslöser oder Ereignisse und Initiieren einer Bereitstellungsphase
  • Authentifizieren der Bereitstellungspakete
  • Auswählen eines Konfigurationssatzes basierend auf der Phase und einer Reihe von Schlüsseln wie SIM, MCC/MNC, IMSI-Bereich usw. –, die einer bestimmten Konfiguration zugeordnet sind und dann Übergeben dieser Konfiguration an die Konfigurationsverwaltungsinfrastruktur, damit sie angewendet wird
  • Arbeiten mit der Windows-Willkommensseite und der Benutzeroberfläche der Systemsteuerung, damit der Benutzer eine Konfiguration auswählen kann, wenn keine bestimmte Übereinstimmung ermittelt werden kann

Konfigurations-Manager

Der Konfigurations-Manager bietet die einheitliche Möglichkeit, Windows 10/11-Geräte zu verwalten. Die Konfiguration erfolgt in erster Linie über die Protokolle Open Mobile Alliance (OMA) Device Management (DM) und Client Provisioning (CP). Der Konfigurations-Manager verarbeitet und analysiert diese Protokollanforderungen aus unterschiedlichen Kanälen und übergibt sie an Konfigurationsdienstanbieter (CSPs), um die spezifischen Verwaltungsanforderungen und Einstellungen durchzuführen.

Das Bereitstellungsmodul überlässt dem Konfigurations-Manager die gesamte tatsächliche Verarbeitung und Anwendung einer ausgewählten Konfiguration. Das Bereitstellungsmodul bestimmt die Bereitstellungsphase und legt basierend auf einem Satz von Schlüsseln den Konfigurationssatz fest, der an den Konfigurations-Manager gesendet wird. Der Konfigurations-Manager wiederum analysiert und ruft die CSPs auf, damit die Einstellung angewendet wird.

Unter dem Konfigurations-Manager befinden sich die CSPs. Jeder Abschnitt der Konfiguration wird in einen bestimmten CSP übersetzt, der die Interpretation in eine Aktion auf dem Gerät übernimmt. Jeder CSP übersetzt die Anweisungen in der Konfiguration und ruft die entsprechenden APIs und Komponenten auf, um die angeforderten Bereitstellungsaktionen durchzuführen.

Richtlinien- und Ressourcen-Manager

Die Richtlinien-, Ressourcen- und Kontext-Manager-Komponenten verwalten die Registrierung und Aufhebung der Registrierung von Geräten in Unternehmensumgebungen. Der Registrierungsprozess bei einem Unternehmen ist im Wesentlichen die Bereitstellung der Konfiguration und Geräteverwaltungsrichtlinien, die das Unternehmen auf dem Gerät erzwingen möchte. Dies erfolgt in der Regel durch die explizite Registrierung des Geräts bei einem Geräteverwaltungsserver des Unternehmens über eine Netzwerkverbindung. Damit erhält der Benutzer die Möglichkeit, über das Gerät auf die Ressourcen des Unternehmens zuzugreifen. Das Unternehmen erhält ein Mittel, um den Zugriff und das Gerät selbst zu verwalten und zu kontrollieren.

Zwischen der Unternehmensregistrierung und der vom Bereitstellungsmodul durchgeführten Konfiguration bestehen die folgenden Hauptunterschiede:

  • Die Registrierung erzwingt einen begrenzten und kontrollierten Richtliniensatz auf dem Gerät, über den der Benutzer möglicherweise keine vollständige Kontrolle hat. Das Bereitstellungsmodul stellt eine größere Anzahl von Einstellungen bereit, die mehr Aspekte des Geräts konfigurieren und im Allgemeinen vom Benutzer angepasst werden können.
  • Der Richtlinien-Manager verwaltet Richtlinieneinstellungen von mehreren Entitäten und führt eine Auswahl der Einstellung basierend auf der Priorität der Entitäten durch. Das Bereitstellungsmodul wendet die Einstellungen an und bietet keine Möglichkeit, Einstellungen aus verschiedenen Quellen zu priorisieren. Die spezifischere Bereitstellung ist die zuletzt angewendete und die, die verwendet wird.
  • Einzelne Richtlinieneinstellungen, die von anderen Registrierungsentitäten angewendet wurden, werden gespeichert, damit sie später während der Aufhebung der Registrierung entfernt werden können. Dadurch kann der Benutzer eine Unternehmensrichtlinie entfernen und das Gerät in einen Zustand ohne Unternehmenseinschränkungen und vertrauliche Daten zurücksetzen. Das Bereitstellungsmodul behält keine einzelnen Bereitstellungseinstellungen bei oder bietet keine Methode für ein Rollback aller angewendeten Einstellungen.

In Windows 10 ist die Anwendung der Richtlinie und Registrierung während der Bereitstellung erforderlich, um Fälle zu unterstützen, in denen ein Unternehmen oder eine Bildungseinrichtung nicht über einen DM-Server für die vollständige Geräteverwaltung verfügt. Das Bereitstellungsmodul unterstützt die Bereitstellungsregistrierung und Richtlinie über seine Konfiguration und wird direkt oder über den Konfigurations-Manager in die vorhandenen Richtlinien- und Ressourcen-Manager-Komponenten integriert.

Trigger und Phasen

Trigger sind Ereignisse während der Lebensdauer des Systems, die eine Bereitstellungsphase starten. Einige Beispiele für Trigger sind: Start, Windows-Willkommensseite, Wechsel der SIM-Karte, hinzugefügter Benutzer, hinzugefügter Administrator, Benutzeranmeldung, Geräteupdate und verschiedene manuelle Trigger (wie die Bereitstellung über USB oder ein Start über eine E-Mail-Anlage oder einen USB-Speicherstick).

Wenn ein Trigger auftritt, wird die Bereitstellung für eine bestimmte Bereitstellungsphase initiiert. Die Phasen sind in Sätze gruppiert, die auf dem Umfang der Einstellungen basieren:

  • Statisch: Erste für die Bereitstellung ausgeführte Phase, um Konfigurationseinstellungen auf dem System zum Einrichten der Windows-Willkommensseite oder geräteweite Einstellungen anzuwenden, die nicht durchgeführt werden können, wenn das Image erstellt wird
  • System: Ausgeführt während der Windows-Willkommensseite und konfiguriert systemweite Einstellungen
  • UICC: UICC-Phasen werden für jede neue UICC in einem Gerät ausgeführt, um die Konfiguration und das Branding basierend auf der Identität der UICC oder SIM-Karte zu verarbeiten. Dies ermöglicht Laufzeitkonfigurationsszenarien, in denen ein OEM ein Image verwalten kann, das für mehrere Operatoren konfiguriert werden kann.
  • Update: Wird nach einem Update ausgeführt, um potenziell aktualisierte Einstellungen anzuwenden.
  • Benutzer: Wird während der ersten Ausführung eines Benutzerkontos ausgeführt, um benutzerspezifische Einstellungen zu konfigurieren.

Gerätebereitstellung während der Windows-Willkommensseite

Das Bereitstellungsmodul wendet immer Bereitstellungspakete an, die im Ordner C:\Recovery\Customizations auf der Betriebssystempartition gespeichert sind. Wenn das Bereitstellungsmodul Bereitstellungspakete im Ordner %ProgramData%\Microsoft\Provisioning anwendet, werden bestimmte Laufzeiteinstellungsanwendungen wie die Einstellung zum Installieren und Konfigurieren von Windows-Apps möglicherweise über die Phase der Windows-Willkommensseite erweitert und kontinuierlich im Hintergrund verarbeitet, wenn das Gerät zum Desktop kommt. Einstellungen für die Konfiguration von Richtlinien und bestimmte wichtige Systemkonfigurationen werden immer vor dem ersten Punkt abgeschlossen, an dem sie wirksam sein müssen.

Gerätebenutzer können ein Bereitstellungspaket aus einer Remotequelle anwenden, wenn das Gerät erstmals mit der Windows-Willkommensseite gestartet wird. Die Gerätebereitstellung während der Windows-Willkommensseite wird erst ausgelöst, nachdem die Sprache, das Gebietsschema, die Zeitzone und andere Einstellungen auf der ersten Benutzeroberflächenseite der Windows-Willkommensseite konfiguriert wurden. Wenn die Gerätebereitstellung ausgelöst wird, wird die Bereitstellungsbenutzeroberfläche auf der Windows-Willkommensseite angezeigt. Über die Bereitstellungsbenutzeroberfläche können Benutzer ein Bereitstellungspaket auswählen, das über eine Remotequelle wie NFC oder ein Wechselmedium abgerufen wurde.

In der folgenden Tabelle ist gezeigt, wie die Gerätebereitstellung initiiert werden kann, wenn ein Benutzer erstmal mit der Windows-Willkommensseite startet.

Paketbereitstellung Initiierungsmethode Unterstütztes Gerät
Wechselmedien – USB-Laufwerk oder SD-Karte
(Pakete müssen im Stammmedium platziert werden)		 Fünf schnelles Tippen auf die Windows-Taste zum Starten der Bereitstellungs-Ui Alle Windows-Geräte
Von einem Administratorgerät über machine-to-machine NFC oder NFC-Tag
(Das Administratorgerät muss eine App ausführen, die das Paket über NFC übertragen kann)		 Fünf schnelles Tippen auf die Windows-Taste zum Starten der Bereitstellungs-Ui Windows IoT Core-Geräte

Das Bereitstellungsmodul kopiert die erworbenen Bereitstellungspakete immer in den Ordner %ProgramData%\Microsoft\Provisioning, bevor sie während der Windows-Willkommensseite verarbeitet werden. Das Bereitstellungsmodul wendet Bereitstellungspakete, die im installierten Windows-Image eingebettet sind, immer während der Phase der Windows-Willkommensseite an, unabhängig davon, ob das Paket signiert und vertrauenswürdig ist. Wenn das Bereitstellungsmodul ein verschlüsseltes Bereitstellungspaket auf ein Endbenutzergerät während der Windows-Willkommensseite anwendet, müssen Benutzer zuerst ein gültiges Kennwort zum Entschlüsseln des Pakets angeben. Das Bereitstellungsmodul überprüft auch, ob ein bereitgestelltes Bereitstellungspaket signiert und vertrauenswürdig ist. Wenn das nicht der Fall ist, muss der Benutzer seine Zustimmung geben, bevor das Paket auf das Gerät angewendet wird.

Wenn das Bereitstellungsmodul Bereitstellungspakete während der Windows-Willkommensseite anwendet, werden nur die Laufzeiteinstellungen aus dem Paket auf das Gerät angewendet. Laufzeiteinstellungen können systemweite Konfigurationseinstellungen sein, einschließlich der Sicherheitsrichtlinie, Installation/Deinstallation von Windows-Apps, Netzwerkkonfiguration, Bootstrapping der MDM-Registrierung, Bereitstellung von Dateiressourcen, Konto- und Domänenkonfiguration, Upgrade der Windows-Edition und mehr. Das Bereitstellungsmodul überprüft auch die Konfigurationseinstellungen auf dem Gerät, z. B. Region/Gebietsschema oder SIM-Karte, und wendet die multivarianten Einstellungen mit übereinstimmenden Bedingungen an.

Gerätebereitstellung zur Laufzeit

Zur Gerätelaufzeit können eigenständige Bereitstellungspakete durch Benutzerinitiierung angewendet werden. In der folgenden Tabelle wird gezeigt, wann die Bereitstellung zur Gerätelaufzeit initiiert werden kann.

Paketbereitstellung Initiierungsmethode Unterstütztes Gerät
Wechselmedien – USB-Laufwerk oder SD-Karte
(Pakete müssen am Medienstamm platziert werden)		 Einstellungen>Konten>Auf Arbeits- oder Schulkonto zugreifen>Bereitstellungspaket hinzufügen oder entfernen Alle Windows-Geräte
Von einer Netzwerkverbindung heruntergeladen und in einen lokalen Ordner kopiert Doppelklicken Sie auf die Paketdatei. Geräte des Windows-Clients für Desktopeditionen
Von einem über USB-Tethering mit dem Zielgerät verbundenen Administratorgerät Legen Sie die Paketdatei per Drag & Drop auf dem Zielgerät ab. Windows IoT Core-Geräte

Beim Anwenden von Bereitstellungspaketen von einem mit dem Gerät verbundenen Wechselmedium ermöglicht die Einstellungsbenutzeroberfläche das Anzeigen des Inhalts eines Pakets, bevor das Paket für die Bereitstellung ausgewählt wird. Um das Risiko eines Geräte-Spamming durch Anwenden von Bereitstellungspaketen aus unbekannten Quellen zu minimieren, kann ein Bereitstellungspaket signiert und verschlüsselt werden. Partner können außerdem Richtlinien zum Einschränken der Anwendung von Bereitstellungspaketen zur Gerätelaufzeit festlegen. Für das Anwenden von Bereitstellungspaketen zur Gerätelaufzeit sind Administratorrechte erforderlich. Wenn das Paket nicht signiert oder vertrauenswürdig ist, muss ein Benutzer seine Zustimmung geben, bevor das Paket auf das Gerät angewendet wird. Wenn das Paket verschlüsselt ist, ist ein gültiges Kennwort zum Entschlüsseln des Pakets erforderlich, bevor es auf das Gerät angewendet werden kann.

Wenn mehrere Bereitstellungspakete auf ein Gerät angewendet werden, löst das Bereitstellungsmodul Einstellungen mit widersprüchlichen Konfigurationswerten aus verschiedenen Paketen auf, indem der Paketrang mithilfe der in den Paketmetadaten enthaltenen Kombination aus Paketbesitzertyp und Paketrang bewertet wird. Eine von einem Bereitstellungspaket mit dem höchsten Paketrang angewendete Konfigurationseinstellung ist der endgültige Wert, der auf das Gerät angewendet wird.

Nachdem ein eigenständiges Bereitstellungspaket auf das Gerät angewendet wurde, wird das Paket im Ordner %ProgramData%\Microsoft\Provisioning auf dem Gerät gespeichert. Bereitstellungspakete können von einem Administrator mithilfe der Option Bereitstellungspaket hinzufügen oder entfernen unter Einstellungen>Konten>Auf Arbeits- oder Schulkonto zugreifen entfernt werden.