Allgemeines Planungshandbuch für den Umstieg auf cloud-native Endpunkte

Tipp

Wenn Sie über cloudnative Endpunkte lesen, werden die folgenden Begriffe angezeigt:

  • Endpunkt: Ein Endpunkt ist ein Gerät, z. B. ein Mobiltelefon, ein Tablet, ein Laptop oder ein Desktopcomputer. „Endpunkte“ und „Geräte“ werden austauschbar verwendet.
  • Verwaltete Endpunkte: Endpunkte, die Richtlinien von der Organisation mithilfe einer MDM-Lösung oder von Gruppenrichtlinienobjekten empfangen. Diese Geräte befinden sich in der Regel im Besitz der Organisation, können aber auch BYOD- oder persönliche Geräte sein.
  • Cloudnative Endpunkte: Endpunkte, die mit Microsoft Entra verknüpft sind. Sie sind nicht mit dem lokalen AD verknüpft.
  • Workload: Alle Programme, Dienste oder Prozesse.

Dieser hochrangige Planungsleitfaden enthält Ideen und Vorschläge, die Sie für Ihre Einführung und Migration zu cloud-nativen Endpunkten berücksichtigen müssen. In diesem Thema wird das Verwalten von Geräten, das Überprüfen & Übergang vorhandener Workloads, das Vornehmen von Organisationsänderungen, die Verwendung von Windows Autopilot und vieles mehr erläutert.

Diese Funktion gilt für:

  • Cloud-native Windows Endpunkte

Das Verschieben Ihrer Windows-Endpunkte zu cloudnativen Endpunkten hat viele Vorteile, einschließlich langfristiger Vorteile. Das geht nicht von heute auf morgen und muss geplant werden, um Probleme, Ausfälle und negative Auswirkungen auf die Benutzer zu vermeiden.

Weitere Informationen zu den Vorteilen für die Organisation und Ihre Benutzer finden Sie unter Was sind cloud-native Endpunkte.

Um erfolgreich zu sein, berücksichtigen Sie die in diesem Artikel beschriebenen Schlüsselbereiche für Ihre Planung und Bereitstellung. Mit ordnungsgemäßer Planung, Kommunikation und Prozessupdates kann Ihre Organisation cloud-native sein.

Verwalten von Geräten mithilfe eines cloud-nativen MDM-Anbieters

Die Verwaltung Ihrer Endpunkte, einschließlich cloud-nativer Endpunkte, ist eine wichtige Aufgabe für alle Organisationen. Bei cloud-nativen Endpunkten müssen die von Ihnen verwendeten Verwaltungstools die Endpunkte überall verwalten.

Wenn Sie derzeit keine Lösung für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) verwenden oder zu einer Microsoft-Lösung wechseln möchten, sind die folgenden Artikel gute Ressourcen:

Mit der Microsoft Intune-Produktfamilie von Produkten und Diensten stehen Ihnen die folgenden Optionen für die Endpunktverwaltung zur Verfügung:

Überprüfen ihrer Endpunkt- und Benutzerworkloads

Auf hoher Ebene erfordert die Bereitstellung cloud-nativer Endpunkte moderne Strategien für Identität, Softwareverteilung, Geräteverwaltung, Betriebssystemupdates und die Verwaltung von Benutzerdaten & Konfiguration. Microsoft verfügt über Lösungen, die diese Bereiche für Ihre cloud-nativen Endpunkte unterstützen.

Überprüfen Sie zunächst die einzelnen Workloads, und bestimmen Sie, wie sie Ihre cloud-nativen Endpunkte unterstützen oder unterstützen können. Einige Workloads unterstützen möglicherweise bereits cloud-native Endpunkte. Der native Support hängt von der spezifischen Workload, der Implementierung der Workloaddienste durch Ihre Organisation und der Nutzung der Dienste durch Ihre Benutzer ab.

Um festzustellen, ob Ihre Workloads cloud-native Endpunkte unterstützen, müssen Sie diese Dienste untersuchen und überprüfen.

Wenn ein Dienst oder eine Lösung cloud-native Endpunkte nicht unterstützt, bestimmen Sie deren Auswirkungen und Kritikalität für Ihre Benutzer und Ihre Organisation. Wenn Sie über diese Informationen verfügen, können Sie die nächsten Schritte ermitteln, die Folgendes umfassen können:

  • Zusammenarbeit mit dem Dienstanbieter
  • Aktualisieren auf eine neue Version
  • Verwenden eines neuen Diensts
  • Implementieren einer Umgebung für den Zugriff auf und die Verwendung dieses Diensts von einem cloud-nativen Endpunkt aus
  • Überprüfen der Dienstanforderungen
  • Akzeptieren, dass der Dienst nicht cloud-native freundlich ist, was für Ihre Benutzer und Ihre Organisation akzeptabel sein kann

In beiden Fällen sollten Sie planen, Ihre Workloads zu aktualisieren, um cloud-native Endpunkte zu unterstützen.

Ihre Workloads sollten die folgenden Merkmale aufweisen:

  • Sicherer Zugriff auf Apps und Daten von überall aus, wo sich Benutzer befinden. Access erfordert keine Verbindung mit einem Unternehmens- oder internen Netzwerk.
  • Gehostet in, gehostet von oder gehostet über einen Clouddienst.
  • Erfordert oder hängt nicht von einem bestimmten Gerät ab.

Allgemeine Workloads und Lösungen

Cloud-native Endpunkte umfassen auch die Dienste und Workloads, die die Endpunkte unterstützen.

Die folgenden Workloads sind Konfiguration, Tools, Prozesse und Dienste zur Aktivierung der Benutzerproduktivität und der Endpunktverwaltung.

Ihre genauen Workloads, Details und die Aktualisierung der Workloads für cloud-native Endpunkte können unterschiedlich sein. Außerdem müssen Sie nicht jede Workload umstellen. Sie müssen jedoch jede Workload, ihre Auswirkungen auf die Benutzerproduktivität und die Geräteverwaltungsfunktionen berücksichtigen. Das Konvertieren einiger Workloads zur Verwendung cloud-nativer Endpunkte kann länger dauern als andere. Workloads können auch gegenseitige Abhängigkeiten aufweisen.

  • Geräteidentität

    Die Identität eines Geräts wird von den Identitätsanbietern (IdP) bestimmt, die über Kenntnisse des Geräts und eine Sicherheitsvertrauensstellung mit dem Gerät verfügen. Bei Windows-Endpunkten sind die gängigsten IdP-Werte lokales Active Directory (AD) und Microsoft Entra ID. Endpunkte mit Identitäten von einem dieser IdP werden in der Regel mit einem oder mit beiden verknüpft.

    • Für cloudnative Endpunkte ist Microsoft Entra Join die beste Wahl für die Identität des Geräts. Es ist keine Verbindung mit einem lokalen Netzwerk, einer Ressource oder einem Dienst erforderlich.
    • Für die lokale AD-Einbindung und die Microsoft Entra-Hybrideinbindung ist eine Verbindung mit einem lokalen Domänencontroller erforderlich. Sie benötigen Konnektivität für die anfängliche Benutzeranmeldung, zum Bereitstellen von Gruppenrichtlinien und zum Ändern von Kennwörtern. Diese Optionen eignen sich nicht für cloudnative Endpunkte.

    Hinweis

    Die Microsoft Entra-Registrierung, manchmal auch als Arbeitsplatzbeitritt bezeichnet, ist nur für BYOD-Szenarien (Bring Your Own Device) vorgesehen. Es sollte nicht für organisationseigene Windows Endpunkte verwendet werden. Einige Funktionen werden möglicherweise nicht unterstützt oder funktionieren auf bei Microsoft Entra registrierten Windows-Endpunkten nicht wie erwartet.

  • Bereitstellen ihrer Endpunkte

    Verwenden Sie für neu bereitgestellte Microsoft Entra Join-Endpunkte Windows Autopilot, um Geräte vorzukonfigurieren. Der Beitritt zu Microsoft Entra ist in der Regel eine benutzergesteuerte Aufgabe, und Windows Autopilot ist für Benutzer konzipiert. Windows Autopilot ermöglicht die Bereitstellung über die Cloud von überall im Internet und von jedem Benutzer.

    Weitere Informationen finden Sie unter:

  • Bereitstellen von Software und Anwendungen

    Die meisten Benutzer benötigen und verwenden Software und Anwendungen, die nicht im Kernbetriebssystem enthalten sind. In vielen Fällen kennt oder versteht die IT die spezifischen App-Anforderungen nicht. Die Bereitstellung und Verwaltung dieser Anwendungen liegt jedoch weiterhin in der Verantwortung Ihres IT-Teams. Benutzer sollten in der Lage sein, die Anwendungen anzufordern und zu installieren, die sie für ihre Arbeit benötigen, unabhängig vom Endpunkt, den sie verwenden oder von wo aus sie ihn verwenden.

    • Um Software und Anwendungen bereitzustellen, verwenden Sie ein cloudbasiertes System, z. B. Intune oder Configuration Manager (mit CMG und Co-Management).

    • Erstellen Sie einen Basisplan für Apps, über die Ihre Endpunkte verfügen müssen, z. B. Microsoft Outlook und Teams. Für andere Apps können Benutzer ihre eigenen Apps installieren.

      Auf Ihren Endpunkten können Sie die Unternehmensportal-App als App-Repository verwenden. Oder verwenden Sie ein benutzerorientiertes Portal, in dem die Apps aufgelistet sind, die installiert werden können. Diese Self-Service-Option verkürzt die Bereitstellungszeit neuer und vorhandener Geräte. Es verringert auch die It-Belastung, und Sie müssen keine Apps bereitstellen, die Benutzer nicht benötigen.

    Weitere Informationen finden Sie unter:

  • Konfigurieren von Geräteeinstellungen mithilfe von Richtlinien

    Richtlinien- und Sicherheitsverwaltung ist der Kern der Endpunktverwaltung. Endpunktrichtlinien ermöglichen Es Ihrer Organisation, eine bestimmte Sicherheitsbaseline und eine Standardkonfiguration auf Ihren verwalteten Endpunkten zu erzwingen. Es gibt viele Einstellungen, die Sie auf Ihren Endpunkten verwalten und steuern können. Erstellen Sie Richtlinien, die nur konfigurieren, was in Ihrer Baseline erforderlich ist. ERSTELLEN SIE KEINE Richtlinien, die allgemeine Benutzereinstellungen steuern.

  • Bereitstellen von Sicherheits-, Feature- und App-Updates

    Viele lokale Lösungen können keine Updates für cloud-native Endpunkte bereitstellen oder effizient bereitstellen. Aus Sicherheitssicht ist diese Workload möglicherweise die wichtigste. Es sollte die erste Workload sein, die Sie zur Unterstützung cloud-nativer Windows Endpunkte migrieren.

  • Verwalten von Benutzerdaten und -einstellungen

    Benutzerdaten umfassen die folgenden Elemente:

    • Benutzerdokumente
    • Mail-App-Konfiguration
    • Webbrowser-Favoriten
    • Branchenspezifische Daten
    • Branchenspezifische Konfigurationseinstellungen

    Benutzer müssen ihre Daten von jedem Endpunkt aus erstellen und darauf zugreifen. Diese Daten müssen ebenfalls geschützt werden und müssen möglicherweise für andere Benutzer freigegeben werden.

    • Store Benutzerdaten und -einstellungen in einem Cloudspeicheranbieter, z. B. Microsoft OneDrive. Cloudspeicheranbieter können Datensynchronisierung, Freigabe, Offlinezugriff, Konfliktlösung und vieles mehr verarbeiten.

      Weitere Informationen finden Sie in OneDrive Leitfaden für Unternehmen.

    Wichtig

    Einige Benutzereinstellungen, z. B. Betriebssystemeinstellungen oder anwendungsspezifische Einstellungen, werden in der Registrierung gespeichert. Der Zugriff auf diese Einstellungen von einem beliebigen Ort aus ist möglicherweise nicht realistisch, und die Synchronisierung mit verschiedenen Endpunkten ist möglicherweise nicht möglich.

    Es ist möglich, dass diese Einstellungen exportiert und dann auf einem anderen Gerät importiert werden. Beispielsweise können Sie Benutzereinstellungen aus Outlook, Word und anderen Office-Apps exportieren.

  • Zugriff auf lokale Ressourcen

    Einige Organisationen können einige Workloads nicht auf cloud-native Lösungen umsteigen. Die einzige Option kann der Zugriff auf vorhandene lokale Ressourcen oder Dienste von einem cloud-nativen Endpunkt aus sein. Für diese Szenarien benötigen Benutzer Zugriff.

    Berücksichtigen Sie für diese lokalen Dienste, Ressourcen und Anwendungen die folgenden Aufgaben:

    Hinweis

    Microsoft Entra unterstützt das Kerberos-Authentifizierungsprotokoll nicht. Lokales AD unterstützt das Kerberos-Authentifizierungsprotokoll. In Ihrer Planung können Sie mehr über Microsoft Entra Kerberos erfahren. Bei der Konfiguration melden sich Benutzer mit ihrem Microsoft Entra-Konto bei einem cloudnativen Endpunkt an und können auf lokale Apps oder Dienste zugreifen, die die Kerberos-Authentifizierung verwenden.

    Microsoft Entra Kerberos:

    • Wird in cloud-nativen Lösungen nicht verwendet.
    • Löst keine Konnektivitätsprobleme für Ressourcen, die eine Authentifizierung über Microsoft Entra erfordern.
    • Ist nicht die Antwort oder Problembegehung für Domänenauthentifizierungsanforderungen über Microsoft Entra.
    • Behebt nicht die Computerauthentifizierungsprobleme, die unter Bekannte Probleme und wichtige Informationen aufgelistet sind.

    Ein tieferes Verständnis von Microsoft Entra Kerberos und den Szenarien, die damit behandelt werden können, finden Sie in den folgenden Blogs:

Phasenweises Wechseln Ihrer Workloads

Für die Modernisierung von Workloads und die Einführung cloudnativer Endpunkte sind Änderungen an betrieblichen Prozessen und Verfahren erforderlich. Beispiel:

  • Administratoren müssen verstehen, wie Änderungen an vorhandenen Workloads ihre Prozesse ändern können.
  • Der Service Desk muss die neuen Szenarien verstehen, die er unterstützen wird.

Wenn Sie Ihre Endpunkte und Workloads überprüfen, unterteilen Sie den Übergang in Phasen. Dieser Abschnitt enthält eine Übersicht über einige empfohlene Phasen, die Ihre Organisation verwenden kann. Diese Phasen können beliebig oft wiederholt werden.

✅ Phase 1: Abrufen von Informationen zu Ihren Workloads

Diese Phase ist die Phase der Informationssammlung. Es hilft Ihnen, den Umfang festzulegen, den Sie berücksichtigen müssen, damit Ihre Organisation auf cloud-native umsteigen kann. Es geht darum, genau zu definieren, welche Dienste, Produkte und Anwendungen mit den einzelnen Workloads in Ihrer Umgebung verbunden sind.

In dieser Phase:

  1. Inventarisieren Sie Ihre aktuellen Workloadinformationen und -details. Kennen Sie beispielsweise ihren aktuellen Status, was sie bereitstellen, wen sie bedienen, wer sie verwaltet, ob sie für cloudnativ wichtig sind und wie sie gehostet werden.

    Wenn Sie über diese Informationen verfügen, können Sie das Endziel verstehen und definieren, das wie folgt sein sollte:

    • So unterstützen Sie cloud-native Endpunkte
    • Informationen zu den Diensten, Produkten und Anwendungen, die von den einzelnen Workloads verwendet werden

    Sie müssen sich mit den Besitzern der verschiedenen Dienste, Produkte und Anwendungen abstimmen. Sie möchten sicherstellen, dass cloud-native Endpunkte die Benutzerproduktivität ohne Konnektivitäts- oder Standortbeschränkungen unterstützen.

    Beispiele für gemeinsame Dienste und Anwendungen sind Branchenanwendungen, interne Websites, Dateifreigaben, Authentifizierungsanforderungen, Anwendungs- und Betriebssystemupdatemechanismen und Anwendungskonfiguration. Im Grunde genommen enthalten sie alles, was Benutzer benötigen, um ihre Aufgaben vollständig zu erledigen.

  2. Überprüfen Sie den Endzustand für jede Workload. Identifizieren Sie bekannte Blocker, die den Zugriff auf diesen Endzustand verhindern oder die Unterstützung von cloud-nativen Endpunkten verhindern.

    Einige Workloads und ihre Dienste & Anwendungen sind möglicherweise bereits cloud-freundlich oder aktiviert. Einige möglicherweise nicht. Das Erreichen des Endzustands für jede Workload kann investitionen & Aufwand der Organisation erfordern. Dies kann das Aktualisieren von Software, das "Heben und Verschieben" auf eine neue Plattform, die Migration zu einer neuen Lösung oder das Vornehmen von Konfigurationsänderungen umfassen.

    Die für die einzelnen Workloads erforderlichen Schritte unterscheiden sich bei jeder Organisation. Sie hängen davon ab, wie der Dienst oder die Anwendung gehostet wird und auf die Benutzer zugegriffen wird. Dieser Endzustand sollte die primäre Herausforderung angehen, Benutzer die Arbeit an einem cloud-nativen Endpunkt zu ermöglichen, unabhängig vom Standort oder der Konnektivität mit dem internen Netzwerk.

    Basierend auf jedem definierten Endzustand können Sie feststellen oder definieren, dass die Cloud-Aktivierung eines Diensts oder einer Anwendung schwierig oder blockiert ist. Diese Situation kann aus verschiedenen Gründen auftreten, einschließlich technischer oder finanzieller Einschränkungen. Diese Einschränkungen müssen klar und verständlich sein. Sie müssen deren Auswirkungen überprüfen und bestimmen, wie jede Workload so verschoben werden kann, dass sie cloudnativ ist.

✅ Phase 2: Priorisieren aller Blocker

Nachdem Sie die wichtigsten Workloads und deren Endzustandsblocker identifiziert haben, gehen Sie wie folgt vor:

  1. Priorisieren Sie jeden Blocker, und bewerten Sie jeden Blocker für die Auflösung.

    Möglicherweise möchten oder müssen Sie nicht alle Blocker adressieren. Beispielsweise kann Ihre Organisation über Workloads oder einen Teil von Workloads verfügen, die Ihre cloudnativen Endpunkte nicht unterstützen. Dieser Mangel an Support kann für Ihre Organisation oder Ihre Benutzer von Bedeutung sein oder nicht. Sie und Ihre Organisation können diese Entscheidung treffen.

  2. Um Tests und Machbarkeitsnachweise (POC) zu unterstützen, beginnen Sie mit einem Minimalsatz von Workloads. Das Ziel besteht darin, ein Beispiel für Ihre Workloads zu testen und zu validieren.

    Identifizieren Sie im Rahmen des POC eine Reihe von Benutzern und Geräten in einem Pilotprojekt, um ein reales Produktionsszenario auszuführen. Dieser Schritt hilft zu beweisen, ob der Endzustand die Benutzerproduktivität ermöglicht.

    In vielen Organisationen gibt es eine Rolle oder Eine Geschäftsgruppe, die einfacher zu migrieren ist. Sie können z. B. die folgenden Szenarien in Ihrem POC als Ziel festlegen:

    • Hoch mobiles Vertriebsteam, dessen primäre Anforderungen Produktivitätstools und eine Onlinelösung für das Kundenbeziehungsmanagement sind
    • Wissensarbeiter, die in erster Linie auf Inhalte zugreifen, die sich bereits in der Cloud befinden und stark auf Microsoft 365-Apps angewiesen sind
    • Mitarbeitergeräte in Service und Produktion, die hochgradig mobil sind oder sich in Umgebungen befinden, in denen sie keinen Zugriff auf das Organisationsnetzwerk haben

    Überprüfen Sie für diese Gruppen ihre Workloads. Bestimmen Sie, wie diese Workloads in die moderne Verwaltung umstiegen werden können, einschließlich Identität, Softwareverteilung, Geräteverwaltung und mehr.

    Für jeden der Bereiche in Ihrem Pilotprojekt sollte die Anzahl der Elemente oder Aufgaben niedrig sein. Dieses erste Pilotprojekt hilft Ihnen beim Erstellen der Prozesse und Verfahren, die für weitere Gruppen erforderlich sind. Es hilft auch bei der Erstellung Ihrer langfristigen Strategie.

    Weitere Anleitungen und Tipps finden Sie im Microsoft Intune Planungsleitfaden. Sie gilt für Intune, enthält aber auch einige Anleitungen bei der Verwendung von Pilotgruppen und beim Erstellen von Rollout-Plänen.

✅ Phase 3: Übergang Ihrer Workloads

In dieser Phase können Sie Ihre Änderungen implementieren.

  1. Verschieben Sie nicht blockierte Workloads in Ihre geplanten cloud-nativen Lösungen oder den Endzustand. Im Idealfall wird dieser Schritt in kleinere Arbeitselemente unterteilt. Ziel ist es, den Geschäftsbetrieb mit minimalen Unterbrechungen fortzusetzen.

  2. Nachdem die erste Gruppe von Workloads cloud-native Endpunkte unterstützt hat, identifizieren Sie weitere Workloads, und setzen Sie den Prozess fort.

✅ Phase 4: Vorbereiten ihrer Benutzer

Benutzer haben unterschiedliche Erfahrungen beim Empfangen, Bereitstellen und Unterstützen auf ihren Geräten. Administratoren sollten:

  • Überprüfen Sie vorhandene Prozesse und Dokumentation, um zu ermitteln, wo Änderungen für Benutzer sichtbar sind.
  • Dokumentation aktualisieren.
  • Eine Bildungsstrategie erstellen, um die Änderungen und Vorteile zu teilen, die Benutzer erfahren werden.

Phasenweises Umstieg auf Ihre Organisation

Die folgenden Phasen stellen einen allgemeinen Ansatz für Organisationen zum Verschieben ihrer Umgebung zur Unterstützung cloud-nativer Windows Endpunkte bereit. Diese Phasen sind parallel zu Übergangsendpunkten und Benutzerworkloads. Sie können davon abhängig sein, dass bestimmte Workloads teilweise oder vollständig übertragen werden, um cloud-native Windows Endpunkte zu unterstützen.

✅ Phase 1: Definieren von Endpunkten, Abhängigkeiten und Meilensteinen

Diese Phase ist der erste Schritt, in dem die Migration Ihrer Organisation vollständig cloud-native ist. Überprüfen Sie, was Sie derzeit haben, definieren Sie Erfolgskriterien, und beginnen Sie mit der Planung, wie Ihre Geräte zu Microsoft Entra hinzugefügt werden sollen.

  1. Definieren der Endpunkte, die eine Cloudidentität erfordern

    • Endpunkte, die Internetzugriff verwenden, erfordern eine Cloudidentität. Sie fügen diese Endpunkte microsoft Entra hinzu.
    • Endpunkte, die das Internet nicht verwenden oder nur lokal verwendet werden, sollten keine Cloudidentität aufweisen. Migrieren Sie diese Szenarien nicht, um cloud-native zu sein.
  2. Definieren von Abhängigkeiten

    Workloads, Benutzer und Geräte weisen technische und nicht technische Abhängigkeiten auf. Um mit minimalen Auswirkungen auf Benutzer und die Organisation umsteigen zu können, müssen Sie diese Abhängigkeiten berücksichtigen.

    Eine Abhängigkeit kann beispielsweise Folgendes sein:

    • Geschäftsprozesse und Kontinuität
    • Sicherheitsstandards
    • Lokale Gesetze und Vorschriften
    • Benutzerwissen und -verwendung der Workload
    • Kapital, Betriebskosten und Budget

    Fragen Sie für jede Workload: "Was ist betroffen, wenn wir etwas an den diensten ändern, die von dieser Workload bereitgestellt werden?" Sie müssen die Auswirkungen dieser Änderung berücksichtigen.

  3. Definieren von Meilensteinen und Erfolgskriterien für jede Workload

    Jede Workload hat ihre eigenen Meilensteine und Erfolgskriterien. Sie können auf der Nutzung der Workload durch die Organisation und ihrer Anwendbarkeit auf bestimmte Endpunkte und Benutzer basieren.

    Um den Fortschritt des Übergangs zu verstehen und zu definieren, verfolgen und überwachen Sie diese Informationen.

  4. Planen Ihrer Windows Autopilot-Bereitstellung

    • Bestimmen Sie, wie und wann Geräte in Ihrer Organisation registriert werden.
    • Bestimmen und erstellen Sie die erforderlichen Gruppentags für Ihre Windows Autopilot-Richtlinien.
    • Erstellen Sie Ihr Windows Autopilot-Profil mit den Konfigurationseinstellungen, und richten Sie sich an die Geräte, die Ihr Profil erhalten.

    Weitere Informationen finden Sie unter:

✅ Phase 2: Aktivieren der Endpunkt-Cloudhybrididentität (optional)

Um vollständig cloudnativ zu sein, empfiehlt Microsoft, dass vorhandene Windows-Endpunkte im Rahmen eines Hardwareaktualisierungszyklus zurückgesetzt werden. Beim Zurücksetzen wird der Endpunkt wieder auf die Werkseinstellungen zurückgesetzt. Alle Apps, Einstellungen und persönlichen Daten auf dem Gerät werden gelöscht.

Wenn Sie nicht bereit sind, Ihre Endpunkte zurückzusetzen, können Sie die hybride Microsoft Entra-Einbindung aktivieren. Eine Cloudidentität wird für hybride Microsoft Entra-Einbindungsendpunkte erstellt. Denken Sie daran, dass die hybride Microsoft Entra-Einbindung weiterhin lokale Konnektivität erfordert.

Denken Sie daran, dass die hybride Microsoft Entra-Einbindung ein Übergang zum cloudnativen Schritt ist und nicht das Endziel ist. Das Endziel besteht darin, dass alle vorhandenen Endpunkte vollständig cloud-native sind.

Wenn Endpunkte vollständig cloud-native sind, werden Benutzerdaten wie OneDrive in einem Cloudspeicheranbieter gespeichert. Wenn also ein Endpunkt zurückgesetzt wird, sind die Benutzeranwendungen, die Konfiguration und die Daten weiterhin zugänglich und können auf einen neu bereitgestellten Endpunkt repliziert werden.

Weitere Informationen finden Sie unter:

Hinweis

Microsoft verfügt nicht über ein Migrationshilfsprogramm zum Konvertieren vorhandener Endpunkte aus einer lokalen Domäne oder hybriden Microsoft Entra-Einbindung in Microsoft Entra. Microsoft empfiehlt, dass diese Geräte im Rahmen einer Hardwareaktualisierung zurückgesetzt und erneut bereitgestellt werden.

✅Phase 3: Cloud Attach Configuration Manager (optional)

Wenn Sie Configuration Manager verwenden, fügen Sie Ihre Umgebung in der Cloud an Microsoft Intune an. Wenn Sie Configuration Manager nicht verwenden, überspringen Sie diesen Schritt.

Bei der Cloudanfügung können Sie Ihre Clientendpunkte remote verwalten, Ihre Endpunkte mit Intune (Cloud) und Configuration Manager (lokal) gemeinsam verwalten und auf das Intune Admin Center zugreifen.

Genauere Informationen finden Sie unter Cloudanfügung Ihrer Configuration Manager-Umgebung und Exemplarische Vorgehensweise im Microsoft Intune Admin Center.

✅ Phase 4: Erstellen eines in Microsoft Entra eingebundenen Proof of Concept

Diese kritische Phase kann jederzeit beginnen. Es hilft dabei, potenzielle Probleme, unbekannte Probleme zu identifizieren und die allgemeine Funktionalität und Lösung dieser Probleme zu überprüfen. Wie bei allen POCs besteht das Ziel darin, die Funktionalität in einer tatsächlichen Unternehmensumgebung anstelle einer Lab-Umgebung zu beweisen und zu validieren.

Wichtige Schritte für diese Phase sind:

  1. Implementieren einer Grundlegenden Mindestkonfiguration mithilfe von Intune

    Dieser Schritt ist wichtig. Sie möchten keine Endpunkte in Ihr Netzwerk oder die Produktion einführen, die folgende Aktionen ausführen:

    • Befolgen Sie nicht die Sicherheitsstandards Ihrer Organisation.
    • Sind nicht für Benutzer konfiguriert, um ihre Arbeit zu erledigen.

    Für diese Mindestkonfiguration werden nicht alle möglichen Konfigurationen angewendet. Denken Sie daran, dass die Absicht darin besteht, weitere Konfigurationen zu ermitteln, die für den Erfolg der Benutzer erforderlich sind.

  2. Konfigurieren von Windows Autopilot für in Microsoft Entra eingebundene Endpunkte

    Die Verwendung von Windows Autopilot zum Bereitstellen neuer Endpunkte und zum erneuten Bereitstellen vorhandener Endpunkte ist die schnellste Möglichkeit, in Microsoft Entra eingebundene Systeme in Ihrer Organisation einzuführen. Es ist ein wichtiger Teil des POC.

  3. Bereitstellen eines POC für in Microsoft Entra eingebundene Systeme

    • Verwenden Sie eine Kombination aus Endpunkten, die unterschiedliche Konfigurationen und Benutzer darstellen. Sie möchten so viele Überprüfungen dieses neuen Systemzustands wie möglich durchführen.

    • Nur echte Produktionsbenutzer überprüfen die Workloads und ihre Funktionalität vollständig. Durch die natürliche, tägliche Verwendung der POC Microsoft Entra-Endpunkte testen und überprüfen Benutzer Ihre Workloads organisch.

    • Erstellen Sie Prüflisten mit geschäftskritischen Funktionen und Szenarien, und geben Sie diese Listen ihren POC-Benutzern. Die Prüflisten sind für jede Organisation spezifisch und können sich ändern, wenn Workloads auf cloud-native freundliche Workloads umgestellt werden.

  4. Überprüfen der Funktionalität

    Die Überprüfung ist ein sich wiederholender Prozess. Es basiert auf den Workloads und deren Konfiguration innerhalb Ihrer Organisation.

    • Sammeln Sie Benutzerfeedback zu den POC-Endpunkten, Workloads und deren Funktionalität. Dieses Feedback sollte von Benutzern stammen, die die cloud-nativen Endpunkte verwendet haben.

      Andere Blocker und zuvor unbekannte oder nicht gezählte Arbeitslasten/Szenarien werden möglicherweise ermittelt.

    • Verwenden Sie die Meilensteine und Erfolgskriterien, die zuvor für jede Workload festgelegt wurden. Sie helfen dabei, den Fortschritt und Umfang der POC zu ermitteln.

✅ Phase 5: Einbinden Ihrer vorhandenen Windows-Endpunkte durch Microsoft Entra

In dieser Phase wird die Bereitstellung neuer Windows-Endpunkte in Microsoft Entra eingebunden. Nachdem alle Blocker und Probleme behoben wurden, können Sie vorhandene Geräte vollständig cloud-native verschieben. Sie haben folgende Optionen:

  • Option 1: Ersetzen Sie Ihre Geräte. Wenn die Geräte das Ende der Lebensdauer haben oder keine moderne Sicherheit unterstützen, ist es die beste Wahl, sie zu ersetzen. Moderne Geräte unterstützen neue und erweiterte Sicherheitsfeatures, einschließlich der Trusted Platform Module (TPM)-Technologie.

  • Option 2: Zurücksetzen der Windows Geräte. Wenn Ihre vorhandenen Geräte die neueren Sicherheitsfeatures unterstützen, können Sie die Geräte zurücksetzen. Während der Out-of-Box-Benutzeroberfläche (OOBE) oder wenn sich Benutzer anmelden, können sie die Geräte mit Microsoft Entra verbinden.

    Stellen Sie vor dem Zurücksetzen eines vorhandenen Windows Endpunkts Folgendes sicher:

    1. Löschen Sie das Gerät in Intune.
    2. Löschen Sie die Windows Autopilot-Geräteregistrierung.
    3. Löschen Sie das vorhandene Microsoft Entra-Geräteobjekt.

    Setzen Sie dann das Gerät zurück, und stellen Sie den Endpunkt erneut bereit.

Wenn die Geräte bereit sind, verbinden Sie diese Geräte mit Microsoft Entra, indem Sie die Option verwenden, die für Ihre Organisation am besten geeignet ist. Ausführlichere Informationen finden Sie unter In Microsoft Entra eingebundene Geräte und Vorgehensweise: Planen Ihrer Microsoft Entra Join-Implementierung.

Verschieben von Gruppenrichtlinienobjekten (GPOs)

Viele Organisationen verwenden GPOs, um ihre Windows Endpunkte zu konfigurieren und zu verwalten.

Im Laufe der Zeit wird es aufgrund fehlender Dokumentation, mangelnder Klarheit in Bezug auf den Zweck oder die Anforderungen der Richtlinie, die Verwendung älterer oder nicht funktionaler Richtlinien und die Verwendung komplexer Features kompliziert. Es kann z. B. Richtlinien geben, die WMI-Filter enthalten, komplexe OU-Strukturen aufweisen und Vererbungsblockierung, Loopback oder Sicherheitsfilterung verwenden.

Verwalten von OneDrive-Einstellungen mithilfe von Intune

Microsoft Intune verfügt über viele integrierte Einstellungen, die konfiguriert und für Ihre cloud-nativen Endpunkte bereitgestellt werden können. Wenn Sie zu Intune für die Richtlinienverwaltung wechseln, haben Sie einige Optionen.

Diese Optionen schließen sich nicht unbedingt gegenseitig aus. Sie können eine Teilmenge von Richtlinien migrieren und für andere neu beginnen.

  • Option 1: Neu starten (empfohlen): Intune verfügt über viele Einstellungen zum Konfigurieren und Verwalten Ihrer Endpunkte. Sie können eine Richtlinie erstellen, Einstellungen in der Richtlinie hinzufügen und konfigurieren und dann die Richtlinie bereitstellen.

    Viele vorhandene Gruppenrichtlinien umfassen Richtlinien, die möglicherweise nicht für cloud-native Endpunkte gelten. Mit "Neu starten" kann eine Organisation ihre vorhandenen erzwungenen Richtlinien überprüfen und vereinfachen, während ältere, vergessene oder sogar schädliche Richtlinien beseitigt werden. Intune verfügt über integrierte Vorlagen, die allgemeine Einstellungen wie VPN, WLAN, Endpunktschutz und vieles mehr gruppieren.

  • Option 2: Migrieren: Bei dieser Option werden die vorhandenen Richtlinien aufgehoben und in das Intune-Richtlinienmodul verschoben. Es kann umständlich und zeitaufwändig sein. Sie können z. B. viele vorhandene Gruppenrichtlinien haben, und es gibt Unterschiede bei den lokalen Einstellungen im Vergleich zu in der Cloud.

    Wenn Sie diese Option auswählen, müssen Sie Ihre vorhandenen Gruppenrichtlinien überprüfen und analysieren und ermitteln, ob sie auf Ihren cloud-nativen Endpunkten noch benötigt oder gültig sind. Sie möchten unnötige Richtlinien vermeiden, einschließlich der Richtlinien, die zu Mehraufwand führen oder die Systemleistung oder die Benutzerfreundlichkeit beeinträchtigen können. Verschieben Sie Ihre Gruppenrichtlinien erst dann in Intune, wenn Sie wissen, was sie tun.

Intune Features, die Sie kennen sollten

Intune verfügt auch über integrierte Features, mit denen Sie Ihre cloud-nativen Endpunkte konfigurieren können:

Verwenden von Windows Autopilot zum Bereitstellen neuer oder vorhandener Windows Endpunkte

Wenn Sie Endpunkte von einem OEM oder Partner erwerben, sollten Sie Windows Autopilot verwenden.

Einige Vorteile sind:

  • Integrierter Windows Setup-Prozess: Er bietet eine markenspezifische, geführte und vereinfachte Endbenutzererfahrung.

  • Drop-Ship-Endpunkte direkt an Endbenutzer: Anbieter und OEMs können Endpunkte direkt an Ihre Benutzer senden. Benutzer erhalten die Endpunkte, melden sich mit ihrem Organisationskonto (user@contoso.com) an und Windows Autopilot stellt den Endpunkt automatisch zur Bereitstellung vor.

    Dieses Feature hilft, den Aufwand und die Kosten für interne IT-Prozesse und den Versand mit hoher Toucheingabe zu begrenzen.

    Um optimale Ergebnisse zu erzielen, registrieren Sie Ihre Endpunkte vorab bei den OEMs oder Lieferanten. Durch die Vorabregistrierung können Verzögerungen vermieden werden, die beim manuellen Registrieren von Endpunkten auftreten können.

  • Benutzer können vorhandene Endpunkte selbst zurücksetzen: Wenn Benutzer über vorhandene Windows Endpunkte verfügen, können sie die Geräte selbst zurücksetzen. Wenn sie zurückgesetzt werden, werden die Endpunkte auf einen minimalen Basisplan und verwalteten Zustand wiederhergestellt. Es erfordert keine kostspieligen IT-Eingriffe oder physischen Zugang zum Endgerät.

Hinweis

Es wird nicht empfohlen, Windows Autopilot zu verwenden, um neu bereitgestellte Endpunkte mit Microsoft Entra zu hybriden. Es funktioniert, aber es gibt einige Herausforderungen. Verwenden Sie auf neu bereitgestellten Endpunkten windows Autopilot to Microsoft Entra join (keine hybride Microsoft Entra-Einbindung).

Um die richtige Joinmethode für Ihre Organisation zu bestimmen, wechseln Sie zu Microsoft Entra eingebunden oder hybrid in Microsoft Entra eingebunden.

Weitere Informationen zu Windows Autopilot finden Sie unter:

Befolgen Sie die Anleitungen für cloud-native Endpunkte

  1. Überblick: Was sind cloudnative Endpunkte?
  2. Tutorial: Erste Schritte mit cloudnativen Windows-Endpunkten
  3. Konzept: In Microsoft Entra eingebunden im Vergleich zu hybriden Microsoft Entra-Einbindungen
  4. Konzept: Cloud-native Endpunkte und lokale Ressourcen
  5. 🡺 Planungshandbuch auf hoher Ebene (Sie sind hier)
  6. Bekannte Probleme und wichtige Informationen