Unified-Endpoint-Management: Client-Verwaltung geht nicht immer per Autopilot

https://pixabay.com/de/

Die Art und Weise, wie IT-Organisationen Endgeräte verwalten, ändert sich massiv. Das heute flächendeckend übliche Verfahren, neue Geräte komplett zu löschen und mit unternehmenseigenen Standard-Installationen zu versehen, wird in einigen Jahren die Ausnahme darstellen. Dafür sorgen Microsoft mit Windows AutoPilot oder auch Apple mit DEP (Device Enrollment Program). Auf absehbare Zeit muss eine UEM-Lösung (Unified-Endpoint-Management) deshalb beides beherrschen: modernes und klassisches Client Management.

 

Mit Windows 10 führte Microsoft 2015 nicht nur den Sprachassistenten Cortana, den Edge-Browser sowie innovative Biometrie- und Holographie-Funktionen ein: Aus IT-Abteilungssicht relevante Neuerungen waren vor allem die für diverse Gerätetypen geeigneten »Universal Apps« (also Anwendungen, die der Benutzer je nach Endgerät mal nach PC- und mal nach Smartphone-Manier bedient), ein zusätzlicher Mechanismus für initiale Geräte-Setups und das aktualisierte Release-Modell.

Denn mit Windows 10 wechselte man in Redmond zu kontinuierlichen Updates in schnelleren und vor allem vordefinierten Update-Zyklen – nicht umsonst »Windows-as-a-Service« genannt. Zudem gibt es mit »AutoPilot« nun ein Verfahren, das die Inbetriebnahme neuer Windows Clients – Microsoft spricht hier von der »Out-Of-Box-Experience« (OOBE) – deutlich vereinfachen soll.

Reprovisionieren statt betanken

IT-Abteilungen verbringen viel Zeit damit, frisch beschaffte Endgeräte immer sofort nach dem Auspacken neu aufzusetzen: Sie »betanken« die unternehmenseigenen Clients mit der gewünschten Betriebssystemversion und ergänzen das um die Anwendungen, die für die jeweilige Anwenderrolle erforderlich sind, und richten Benutzerprofile sowie Systemeinstellungen gemäß den Unternehmensrichtlinien ein. Mit dem auch »wipe & load« genannten Verfahren wird das eigentlich auf dem Gerät befindliche Windows komplett gelöscht und neu installiert. Hier kommen teils Skripte zum Einsatz, teils aufgabenspezifische Tools, teils CLM- (Client-Lifecycle-Management) oder gar moderne UEM-Suiten, die das Management von Windows- und Smart Devices zusammenführen.

Je nach genutzter Lösung lässt sich dieser Prozess verschlanken, mit einer modernen Suite sogar hochgradig automatisieren. Dennoch besteht der Ablauf stets darin, ein Endgerät mit einem bereits gut funktionierenden vorinstallierten Betriebssystem zunächst auf die reine Hardware zu reduzieren, um es dann mittels hauseigener Software-Images Schritt für Schritt in den Sollzustand zu überführen.

In Redmond keimte deshalb die Überzeugung, dass das einfacher gehen muss. So präsentierte Microsoft mit AutoPilot ein Verfahren, um Windows-10-Geräte in Zusammenarbeit mit dem Hardwarehersteller so auszuliefern, wie iPhone-Nutzer dies von Apples DEP her bereits kennen: Der Hersteller liefert das Gerät vorkonfiguriert direkt zu Händen des Endanwenders, und dieser gelangt dann mit wenigen Self-Service-Schritten zu »seinem« Endgerät.

DEP für die Windows-Welt

Das Autopilot-Prinzip ist schnell erklärt: Die IT-Organisation registriert die Geräte vorab für das eigene Unternehmen und erstellt eine Windows-10-Willkommensseite im Corporate Design. Die Geräteregistrierung kann im Anschluss auch der Hardwarelieferant selbst vornehmen. Weitere Voraussetzungen sind nur Windows 10 Professional oder Enterprise ab Build 1703 und eine Netzwerkverbindung. Dies kann das Unternehmens-LAN oder -WLAN ebenso sein wie das WLAN im Home Office des Endanwenders – im Prinzip reicht sogar ein WLAN-Hot-Spot.

Der Endanwender packt das Gerät aus und muss nur einige wenige Angaben machen: Er wählt Sprache und Tastaturlayout aus, verbindet das Gerät mit dem WLAN und gibt seine Unternehmens-E-Mail-Adresse ein. Weitere Eingaben – Lizenzvertrag etc. – werden übersprungen, da das Gerät automatisch erkennt, zu welchem Unternehmen es gehört. Auch die Einbindung in die Infrastruktur und die UEM-Lösung des Unternehmens erfolgen für den Endanwender unsichtbar im Hintergrund. Dieses elegante »Modern Management« soll, geht es nach Microsoft, das klassische Client Management bald ablösen.

AutoPilot: pro und kontra

Ganz so neu, wie es scheint, ist Self-Service-orientiertes Device Enrollment in der Windows-Welt nicht: Matrix42 hatte schon 2008 ein »Self-Provisioning« vorgestellt, das nach einem ähnlichen Prinzip funktioniert. Auf der Basis dieser nunmehr zehnjährigen Erfahrung mit Self-Service Device Enrollment ist festzustellen: Ja, modernes Management sorgt in der Tat für Zeit- und Kostenersparnis, effiziente Provisionierung und zufriedene Endanwender. Schließlich sind diese den Self-Service heute vom privaten Smartphone und Tablet längst gewohnt und wollen ihre Endgeräte selbstverantwortlich, aber eben auch schnell und reibungslos einrichten. Windows-as-a-Service sorgt im Anschluss dafür, dass das Betriebssystem samt zugehöriger Microsoft-Tools bequem auf dem aktuellen Stand bleibt.

Zugleich gilt aber: Nein, das moderne Management wird das klassische Client Management so bald nicht ersetzen, sondern nur ergänzen können. Denn in praktisch jedem mittelständischen oder großen Unternehmen gibt es zahlreiche Fälle, in denen die klassische Bestückung von Endpunkten mit Betriebssystem, Anwendungen und Profilen auf absehbare Zeit unverzichtbar bleibt.

Dies betrifft längst nicht nur die Serverseite, also den – trotz zunehmender Beliebtheit der Public Cloud – beachtlichen Bestand an Applikations-, Web- und Datenbankservern im Unternehmens-RZ. Vielmehr setzt das Gros der deutschen Unternehmen auf branchenspezifische und/oder selbstgeschriebene Applikationen. Diese lassen sich oft weder als SaaS-Lösung beziehen, noch kann man Installation oder Update dem Anwender-Self-Service überlassen. Denn erstens ist eine solche Lösung unternehmenskritisch, zweitens sollen die Changes außerhalb der Geschäftszeiten erfolgen: Self-Service würde wertvolle Arbeitszeit kosten und den Betrieb unnötig aufhalten.

Ebenso nachteilig wirkt sich beim AutoPilot-Verfahren aus, dass die von den Herstellern vorkonfigurierten Windows 10 Versionen häufig mit sogenannter »Bloatware« versehen sind. Testlizenzen für AntiVirus, werbefinanzierte Browser-Plugins oder Ähnliches. Diese sollen im Unternehmenseinsatz natürlich nicht zum Einsatz kommen. An einer Lösung für dieses Problem arbeitet Microsoft bereits.

So bleibt hier klassisches Client Management gefragt: ein zentral gemanagter, stufenweiser Rollout nach gründlichen Tests – abends oder am Wochenende und je nach Unternehmensstruktur mit Verteilservern, um alle Zweigstellen zeitgleich mit der neuen Softwareversion zu versorgen.

Self-Service nicht immer möglich

Hinzu kommt, dass stets ein Teil der Anwenderschaft für Self-Service nicht zu begeistern ist – sei dies nun der Vorstand, der ein fix und fertig konfiguriertes Endgerät erwartet, oder der hochspezialisierte Experte wie etwa ein Broker in der Finanzindustrie, dessen Arbeitszeit einfach zu teuer ist, als dass man ihn mit Software-Managementaufgaben belasten könnte. Je nach Unternehmen und Aufgabenbereich sind solche Fälle nicht die Ausnahme, sondern die Regel.

Ein weiterer Faktor gewinnt heute an Gewicht: In der Ära von digitaler Transformation und Industrie 4.0 werden immer mehr Geräte, Maschinen und Anlagen ins Unternehmensnetz eingebunden, an denen gar kein klassischer Endanwender sitzt. Solche Endpunkte müssen Software-Updates, Patches und Hotfixes von zentraler Stelle erhalten, da in der Fabrikhalle niemand zuständig oder auch nur verfügbar ist, um benötigte Eingaben zu machen.

Oft nutzen vernetzte Geräte im industriellen Umfeld zudem Betriebssysteme, die deutlich älter sind als Windows 10 – selbst Windows 95 trifft man in manchen Werkshallen noch an. Und wenn angesichts zu knapp bemessener Speicherressourcen plötzlich das Update unmöglich ist, dann ist der Client-Management-Spezialist gefordert – denn nun muss die Störungsbehebung schnell gehen, aus der Ferne, mit Detaildaten aus der Asset-Datenbank und gesteuert vom Second-Level-Fachmann. Hier ist sogar der Self-Service-willigste Endanwender endgültig außen vor.

IT der zwei Geschwindigkeiten

Das Analystenhaus Gartner hat 2015 – also etwa zeitgleich mit dem Marktstart von Windows 10 – die These aufgestellt, dass die rasanten Fortschritte in der IT-Branche zu einer »bimodalen IT« – einer IT der zwei Geschwindigkeiten – führen. Denn so elegant die Neuerungen auch sein mögen: Meist können sie Bestehendes nur in Teilen oder nur allmählich ersetzen. Dies trifft auch auf das Endpoint Management zu. IT-Organisationen sollten deshalb auf eine UEM-Lösung setzen, die beides gleich gut beherrscht: das moderne, Self-Service-getriebene Unified Endpoint Management wie auch das klassische Client Management. Autopiloten werden die bewährte Client-Verwaltung vorerst nicht ablösen sondern ergänzen – und das ist für die IT-Abteilungen gar keine so schlechte Nachricht.

Horst Droege ist Chief Product Architect bei Matrix42 in Frankfurt/Main.

 


 

Hohes Potenzial bei Lizenzverwaltung und Unified Endpoint Management

67 Prozent der IT-Experten wünschen sich Unified Endpoint Management (UEM)

Cloud Service und Unified Endpoint Management – Maßgeschneidertes IT-Management aus der Suite

Endpoint Management – Das Fundament muss stimmen

Standardprozess statt Update-Projekt: Entscheidung für Windows 10

Paradigmenwechsel durch das IoT – Private IT-Sicherheit wird geschäftlich, geschäftliche IT-Sicherheit wird privat

Weitere Artikel zu