Die Bedeutung von Windows 10 für das moderne Unternehmen

Für Entwickler von Unternehmensanwendungen bedeutet das, dass sie Anwendungen nur noch einmal programmieren müssen und diese unabhängig von Gerätegröße und Bildschirmgröße auf jedem Gerät laufen. Unter Windows 10 werden auch die Benutzeroberflächen zusammengeführt, sodass die Benutzer auf jedem Gerät eine vertraute Oberfläche vorfinden. Die Freigabe von Windows 10 ist somit ein enormer Entwicklungsschritt für Windows im Unternehmen; um die Konsequenzen voll zu erfassen, ist es jedoch wichtig, zuerst die Ausgangslage zu berücksichtigen.

In den vergangenen 20+ Jahren konzentrierte sich die traditionelle IT-Architektur im Unternehmen auf Windows-Desktops mit einem offenen Dateisystem und einem Betriebssystemkern, der von anderen Apps modifiziert werden konnte. Um die Sicherheit der Desktops zu gewährleisten, konzentrierte sich die IT auf die Kontrolle des Datenflusses durch Abschottung des Netzwerks und Einsatz eines Arsenals von Sicherheitstechnologien, beispielsweise zur Bekämpfung von Malware, zur Systemverwaltung, Virtualisierung, für VPN und entfernte Desktops.

Um die Rechte von Benutzern auf einem Computersystem zu kontrollieren, müssen bei dem traditionellen Modell außerdem alle Geräte einer Domain mit einem Satz GPOs beitreten. Eine GPO kann beispielsweise bestimmen, dass Benutzer kein allzu einfaches Passwort definieren dürfen oder der Benutzerzugriff auf bestimmte Ordner beschränkt ist. Dieses Modell funktioniert, wenn alle Geräte permanent mit einem LAN verbunden sind, ist jedoch nicht flexibel genug für Geräte, die wie in modernen mobilen Unternehmen nur hin und wieder eine Verbindung mit dem Netzwerk haben. Windows 10 löst dieses Problem durch die Verlagerung der Geräteverwaltung in ein MDM-Konzept, auf das wir in diesem White Paper noch im Detail eingehen.

Entwicklung der modernen Unternehmensarchitektur

Die Unternehmensarchitektur hat sich seit ihrer Einführung ständig weiterentwickelt, die heutige Technologielandschaft ändert sich jedoch deutlich dynamischer als je zuvor. In der Vergangenheit lieferte die IT unternehmenseigene Desktops und Laptops, bei denen ein bestimmtes System-Image eingebrannt war. Die gesamte Software war vorinstalliert und auf dem Gerät liefen bestimmte Sicherheitsagenten, um das System zu schützen. Dadurch war jedoch oft die Leistung beeinträchtigt. Heute können Mitarbeiter ihre Geräte selbst bestimmen, aus einem Katalog IT-Dienste auswählen und das Betriebssystem auf ihren eigenen Geräten aktualisieren. Diese Entwicklung wurde durch fundamentale Veränderungen der zugrunde-liegenden Architektur möglich:

• Sandbox-Architektur und geschützter Betriebssystem Kernel: eine der größten Veränderungen in der modernen Unternehmens-IT ist der Wechsel zu einer Sandbox-Architektur und zu einem geschützten Betriebssystem – Kernel in modernen Betriebssystemen wie Windows 10. Moderne Betriebssysteme benutzen für jede App isolierte Arbeitsspeicher und isolierten Speicherplatz, sodass die Daten jeder App vor Aktionen der anderen Apps auf dem Gerät geschützt sind. Dieses Modell eines geschützten Dateisystems und eines geschützten Kernels schützt auch gegen die üblichen Bedrohungen durch Malware, sodass Antivirussoftware auf Mobilgeräten seltener benötigt wird.
• Verwaltungsroutinen (MDM APIs): Die modernen mobilen Architekturen, beispielsweise Windows 10, haben das Konzept der Unternehmensverwaltungsroutinen eingeführt. Verwaltungsroutinen können sicherstellen, dass bestimmte Aktionen auf Betriebssystemebene, beispielsweise die Installation oder Deinstallation einer App, die Speicherung eines Zertifikats oder die Konfiguration der Konnektivität, nur durch eine vertrauenswürdige EMM-Plattform ausgeführt werden dürfen. Verwaltungsroutinen definieren damit EMM als Kernsicherheitsplattform für das moderne Betriebssystem, sie sichern den Betriebssystemkern laufend ab und bieten dem Unternehmen entsprechende Kontrollen.

Infolge dieser fundamentalen Architekturveränderungen verliert das alte Modell des Windows Desktop Computing mit Antivirussoftware, laufenden Patches, Lizenzverwaltung, langen Bereitstellungszyklen und gesperrten Geräten an Bedeutung. Windows PCs müssen keiner Domain mehr beitreten, um eine hohe Sicherheit zu gewährleisten und die Zugangsrichtlinien von GPOs und Desktopagenten zu erfüllen. Als zentraler Mechanismus zur Geräteverwaltung wird statt einer Domain eine EMMPlattform bevorzugt. Auf diese Weise können Unternehmen von den traditionellen, zeitaufwändigen und kostenintensiven Komplettkonfigurationen eines Geräts zu einem verteilten Sicherheitsmodell wechseln, bei dem die Benutzer im Unternehmen Unternehmensdaten von beliebigen Speicherorten hoch- und auf mehrere verschiedene Geräte herunterladen. All diese Daten lassen sich mit Anwendungs-Sandboxes sowie einem geschützten Kernel und schnelleren Betriebssystem-Upgrades, wie sie bei moderneren Betriebssystemen möglich sind, leichter absichern und verwalten.

Windows 10 unterstützt die neue  Unternehmensarchitektur

Die Freigabe von Windows 10 ist eine der wichtigsten Säulen zur Unterstützung der modernen Unternehmensarchitektur, bei der mobile Sicherheit und die freie Wahl der Verbraucher höchste Priorität haben. Mit der Bereitstellung eines vereinheitlichten Betriebssystems und eines einheitlichen Satzes von MDM-APIs kann die IT mit Windows 10 alle WindowsGeräte verwalten sowie Universalanwendungen entwickeln und verwalten, die auf jedem WindowsGerät laufen, beispielsweise auf Smartphones, Tablets, Laptops und PCs.

Durch Bereitstellung einer einzigen zusammengeführten Plattform und eines vereinheitlichten Satzes von MDM-APIs kann die IT mit Windows 10 Windows-Geräte jeder Art verwalten sowie Universal-Apps entwickeln und verteilen, die auf allen Windows-Geräten laufen, beispielsweise Smartphones, Tablets, Laptops und PCs.

Windows 10: eine vereinheitlichte Plattform für das moderne Unternehmen

In der alten Unternehmensarchitektur wurde das GPO-Konzept vor allem eingesetzt, weil die meisten Computer mit einem LAN verbunden waren und die Benutzer ihre Workstations regelmäßig hoch- und herunterfuhren, um die für das Gerät konfigurierten Verwaltungsrichtlinien zu übernehmen. Auf diese Weise konnten die IT-Administratoren Tausende von GPOs für die Benutzer, Anwendungen, weitere computerspezifische Gruppen und das Unternehmen als Ganzes erstellen, ändern und verwenden.

Im modernen Unternehmen ist das GPO-Sicherheitsmodell zunehmend veraltet, weil die Benutzer weder ständig mit den Firmen-LANs verbunden sind noch ihre Geräte regelmäßig ein- und ausschalten. Mit dem Aufkommen der Cloud-Dienste und Cloud-Anwendungen greifen die mobilen Mitarbeiter nicht allein auf das Firmennetzwerk zu, sondern brauchen Zugriff auf Unternehmenscontent, unabhängig davon, wo dieser sich befindet. MDM-Protokolle wurden speziell entwickelt, um Mobilgeräte abzusichern und zu verwalten, unabhängig davon, wie diese auf Unternehmensressourcen zugreifen. Infolgedessen ist MDM der Weg zur zukünftigen modernen Unternehmensarchitektur.

Vereinheitlichter Satz MDM-APIs

Die Freigabe von Windows 10 unterstützt den allgemeinen Trend der Branche in Richtung MDM. Windows 10 führt die traditionellen WindowsBetriebssysteme zusammen, so dass Absicherung und Verwaltung für Mobilgeräte, Desktops und integrierte Produkte über einen einheitlichen Satz MDM-APIs erfolgen können. Zwar hatte Microsoft

MDM-Protokolle schon für Windows Phone 8.1 und Windows 8.1 für Laptops und Tablets freigegeben, diese waren jedoch nicht identisch, sodass separate APIs und Kontrollschnittstellen benötigt wurden.

Beispielsweise mussten Administratoren für ein Gerät mit Windows Phone und einen Windows PC separate Richtlinien für komplexe Passwörter konfigurieren. Angenommen, die IT wollte die Verwendung komplexer Passwörter durch eine Richtlinie für Geräte mit Windows Phone erzwingen. Die gleiche Richtlinie konnte dann für Windows PCs nicht verwendet werden, dafür war eine abweichende Konfiguration erforderlich. Die Notwendigkeit, je nach Gerät verschiedene Konfigurationen zu verwenden, führte mitunter zu Richtlinienkonflikten, wenn beispielsweise der Administrator für Tablets eine Richtlinie für ein komplexes Passwort erstellte, der Administrator für Mobiltelefone jedoch eine andere Richtlinie, die keine komplexen Passwörter verlangte. In diesem Fall war es nicht einfach, den Konflikt zu finden und zu beseitigen.

Um solche Probleme zu verhindern, führt Windows 10 alle MDM-APIs und Anwendungs-entwicklungs-Tools in einer Plattform zusammen. Dadurch kann die IT vereinheitlichte MDM-Protokolle über einen EMM-Anbieter abrufen und alle Geräte unter Windows 10 verwalten. Infolgedessen können die MDM-Richtlinien für Windows 10 für alle Windows-Geräte einheitlich verwendet werden. Das heißt, wenn die IT ein komplexes Passwort erzwingen will, wird diese Richtlinie für Tablets, PCs und Smartphones durchgesetzt, ohne dass separate Richtlinienkonfigurationen für jede Geräteart erstellt werden müssen. Wenn die IT trotzdem noch GPO- und MDM-Konfigurationen für verschiedene Geräte in konventionellen Architekturen verwenden muss, löst das Gerät unter Windows 10 den Konflikt selbst, indem es automatisch die sicherste Konfiguration auswählt. In der Vergangenheit war es so, dass Microsoft ähnliche Richtlinienkonflikte durch Kombination von Active Sync und MDM-Richtlinien gelöst hat. Wenn eine Active-Sync-Richtlinie beispielsweise für ein Gerät ein Passwort mit sechs Zeichen vorschrieb und die MDM-Richtlinie acht Zeichen, wurde die Active-Sync-Richtlinie durch die sicherere MDM-Richtlinie überschrieben. Microsoft hat diese Fähigkeit zur Konfliktlösung mit MDM und GPO in Windows 10 erweitert.

Konsistente Benutzeroberfläche für alle Geräte mit Windows 10

Windows 10 beseitigt eines der größten Hindernisse für Endanwender durch Aktivierung einer vereinheitlichten Benutzeroberfläche für alle Windows-Geräte. Das heißt, der Desktop besitzt die gleiche Benutzeroberfläche wie Windows Phone, sodass der Benutzer auf jedem Gerät eine ähnliche Benutzerumgebung vorfindet. Dies spart Zeit, weil der Benutzer nicht neu lernen muss, wie er auf verschiedenen Geräten navigieren kann.

Die neuen Funktionen der Benutzeroberfläche in Windows 10 erlauben außerdem eine Anpassung des Gerätedisplays für bestimmte Unternehmensszenarien. Ein Einzelhändler kann beispielsweise mehrere Kiosk-Geräte für die Mitarbeiter ausgeben, um im Ladengeschäft Fragen von Kunden zu beantworten und Käufe abzuwickeln. Besonders wichtig bei diesen Geräten ist die Konfiguration mit einer vertrauten Benutzeroberfläche und konsistenten Anwendungen speziell für die betreffende Aufgabe. In Windows 10 kann die Benutzeroberfläche durch MDM mit dem Layout der Kacheln, dem Startbildschirm und den Anwendungsfiltern so konfiguriert werden, dass die Benutzerumgebung auf allen Geräten gleich ist, die für diese Benutzergruppe ausgegeben wurden.

Der Geräte-Lebenszyklus unter Windows 10

Windows 10 unterstützt den Lebenszyklus eines typischen unternehmenseigenen Geräts mit folgenden Phasen:

• Registrierung: Das Setup wird mit Windows 10 deutlich vereinfacht. Da die Benutzerplattform jetzt zusammengeführt ist, profitieren die Benutzer von einer vereinheitlichten Benutzeroberfläche und konsistenten Registrierungsanweisungen für jedes Gerät. Für die IT wird der Registrierungsprozess durch die EMM-Konsole und die Anmeldung am Active Directory oder Azure Active Directory (Azure AD) automatisiert.

• Massenbereitstellung: Wenn die IT mehrere Geräte für eine Benutzergruppe gleichzeitig bereitstellen muss, können die Geräte durch die Massenbereitstellungsfunktion in Windows 10 vorkonfiguriert werden. Dabei werden alle MDMKonfigurationen auf mehreren Geräten vorgeladen; die IT registriert das Gerät dann im Namen des Benutzers. Sobald das Gerät eingeschaltet wird, wird es automatisch durch eine Zertifikat-Authentifizierung registriert, der Benutzer muss keine Aktionen auf dem Gerät zur Registrierung ausführen.

• Bestandsaufnahme: In Windows 10 gibt es eine zusätzliche Gerätebestandsaufnahme für wichtige Geräteparameter wie Sicherheits- und Compliance-Status, Passwort-Compliance auf Desktops, Batteriestatus und Seriennummern sowie Adressen für die Medienzugriffskontrolle (MAC) sowohl für LAN- als auch für Bluetooth-Geräte. Der IT-Administrator kann diese Daten über die EMM-Konsole abrufen und Berichte erstellen oder bei Bedarf Compliance-Maßnahmen auf einem Gerät ergreifen.
• Granulare MDM-Kontrollen: Windows 10 bietet mehr als 100 neue Richtlinien für die granulare Geräteverwaltungskontrolle – zusätzlich zu denen, die bereits in Windows Phone 8.1 und Windows 8.1 für Laptops und PCs verfügbar sind. Einige dieser Richtlinien enthalten neue Kontrollen für E-Mail-Profile und Fernlöschung – Richtlinien, die zwar bereits in Windows Phone existierten, aber nun in Windows 10 auch für PCs verfügbar sind. All diese neuen Richtlinien können von EMM-Anbietern umfassend genutzt werden, beispielsweise die Microsoft Passport for WorkRichtlinien, die Bereitstellung der E-Mail-Funktion für Desktops, Synchronisationseinstellungen, Richtlinien für Firewall und Defender auf Desktops sowie AppLocker-fähige Whitelists und Blacklists für Anwendungen, Treiber und dynamische Link-Bibliotheken (DLLs).

• Anwendungsverwaltung: Windows 10 integriert voll in den Windows Store und den Business Store, damit eine automatische App-Verwaltung möglich ist. Die IT profitiert von der Volumenlizenzierung im Windows Store und kann Hunderte oder Tausende von Anwendungslizenzen über einen EMM-Anbieter verteilen. Die Administratoren können auch Verbots- und Erlaubnislisten für Anwendungen mit AppLocker konfigurieren und durchsetzen und einen exakten Bestand der Apps auf dem Gerät pflegen.
• Fernunterstützung: Wenn ein Mitarbeiter ein Gerät verliert, kann die IT das Gerät anrufen oder lokalisieren, damit es der Benutzer wiederfindet. Wurde das Gerät gestohlen, kann die IT die PIN zurücksetzen, das Gerät sperren oder eine Komplettlöschung durchführen, damit Unbefugte nicht auf Unternehmensdaten zugreifen können. Die IT kann außerdem laufend Bestandsaufnahmen durchführen, um die Compliance des Geräts sicherzustellen.
• Deregistrierung: Wenn ein Mitarbeiter aus dem Unternehmen ausscheidet oder in Zukunft ein anderes Gerät verwendet, kann die IT das aktuelle Gerät abschalten und alle Unternehmenskonfigurationen, einschließlich Apps, Zertifikate, VPN-Zugriff, WLAN, E-Mail-Profilen, Richtlinien und mit EDP verschlüsselte Daten auf dem Gerät löschen.

Erweiterte Sicherheit und Schutz vor Datenverlust

Damit Unternehmens-Apps und Unternehmensdaten auf Windows-Geräten geschützt sind, führte Microsoft in Windows 10 EDP ein. Diese Funktion ist Teil des Betriebssystems und kann über die EMMKonsole eines Unternehmens verwaltet werden. Hierbei kann die IT genau festlegen, was Unternehmensdaten sind, welche Apps Unternehmens-Apps sind und wie Daten geteilt werden dürfen. So funktioniert es: Wenn das Gerät durch eine der bereits beschriebenen Registrierungsoptionen konfiguriert wurde, verhindert EDP Datenverlust durch dieses Mobilgerät mit erweiterten Sicherheitskontrollen für:

1. Ressourcen: Ein IT-Administrator kann eine Liste von Unternehmensressourcen im MDM-Server konfigurieren. Diese Liste kann die IP-Adressen, Domänen und Konten enthalten, beispielsweise eine Firmen-E-Mail-Adresse. Immer, wenn Informationen über eine dieser Ressourcen übertragen werden, beispielsweise an die IP-Adresse eines Dateiservers, einer SharePoint-Domain oder eines Firmen-E-Mail-Kontos, werden diese Daten im Betriebssystem automatisch als Unternehmensdaten erkannt. Das heißt, Microsoft verschlüsselt und schützt die Informationen standardmäßig und speichert die Daten in einem sicheren virtuellen Container auf dem Gerät.
2. Autorisierte Anwendungen: Diese Liste wird im MDM-Server erstellt. Die IT kann festlegen, dass Content in der Ressourcenliste nur durch autorisierte Anwendungen abgerufen werden kann, beispielsweise Microsoft Suite, Outlook, PowerPoint, SharePoint, Salesforce und hauseigene Anwendungen (beispielsweise zur Erstellung von Ausgabenberichten).

Wenn die Listen einmal erstellt sind, kann das Gerät sehen, welche Apps auf bestimmte Daten oder Dateien zugreifen dürfen. Wenn ein Mitarbeiter beispielsweise einen Dateianhang mit Unternehmensdaten in Outlook herunterlädt und dann versucht, ein Bild dieses Anhangs auf einer persönlichen Facebook-Seite zu veröffentlichen, kann das Gerät diese Aktion sperren.

Beschränkungen der Kopier- und Einfügeoption

EDP kann auch die Kopier- und Einfügefunktion beschränken. Wenn ein Benutzer Content aus einem Word-Dokument oder einer anderen Unternehmens-App kopiert, verhindert das System, dass dieser Content in eine andere Anwendung eingefügt wird, wenn diese nicht autorisiert ist. Das System kann auch ein Einfügen des Contents erlauben, den Benutzer aber warnen, dass ein Audit-Protokoll zur Dokumentation dieser Aktion erstellt wird. EDP verhindert den Verlust kritischer Daten, weil Mitarbeitern sensitive Unternehmensdaten nicht über ein persönliches E-Mail-Konto oder eine andere, nicht autorisierte App verteilen können.

Sicherheit der Daten, unabhängig vom Speicherort

Als Teil des EDP-Konzepts in Windows 10 können die Geräte bestimmen, ob Daten geschützt werden müssen, je nachdem, woher diese stammen. EDP kann beispielsweise Daten aus SharePoint automatisch verschlüsseln, nicht jedoch Daten von einem persönlichen E-Mail-Konto auf dem Gerät. Das heißt, unabhängig davon, wie die Daten übertragen werden – von einem Tablet oder PC auf ein USB-Laufwerk, ein E-Mail-Konto oder in die Cloud – bleiben die Daten trotzdem gesichert. Damit wird nicht nur eine dringend benötigte Schutzebene auf Dateiebene ergänzt, der Sicherheitsmechanismus ist zudem unsichtbar und behindert den Endbenutzer nicht. Es werden keine Sonderaktionen, besonderen Apps oder gesperrten Geräte benötigt, um die Anforderungen an die Unternehmenssicherheit zu erfüllen. Die IT muss damit Sicherheitsfragen nicht den Mitarbeitern überlassen, sondern kann die Sicherheit der Unternehmensdaten immer gewährleisten, einerlei, wohin sie übertragen werden.

Unternehmen sollten außerdem wissen, dass in Windows 10 keine „Zeitbomben”-Option für Unternehmensdaten vorhanden ist. Das heißt, es gibt keinen Mechanismus, der UnternehmensApps und Unternehmensdaten löscht, wenn das Gerät nicht innerhalb eines bestimmten Zeitraums, beispielsweise einer Woche, überprüft wurde. Unternehmen sollten ihre Sicherheitsrichtlinien prüfen, um zu klären, ob sie eine andere Option benötigen, um Datenverlust zu vermeiden.

Sichere Konnektivität und sicherer Fernzugriff

Der weitverbreitete Einsatz von Mobilgeräten in Unternehmen hat zu zahlreichen Herausforderungen für jede IT-Abteilung geführt. Einerseits muss die IT sicherstellen, dass jedes private oder unternehmenseigene Gerät, das im Unternehmen eingesetzt wird, sicher sowie frei von Jailbreaks und Malware ist, um die Unternehmensdaten nicht zu gefährden. Andererseits ändert sich die Rolle der IT im modernen Unternehmen schnell – es geht nicht mehr allein um Technik und Sicherheit, sondern um Unternehmensproduktivität und mehr Entscheidungsfreiheit für die Benutzer. Zwar verliert das traditionelle Konzept zur Unternehmenssicherheit mit gesperrten Geräten und Desktop-VPN an Bedeutung gegenüber sicheren Mobilgeräten, die IT muss aber dennoch die Anforderungen an die Unternehmenssicherheit sowie den Datenschutz der mobilen Mitarbeiter erfüllen.

Windows 10 berücksichtigt diese Bedenken mit neuen Sicherheits-Upgrades. Beispielsweise:

• Liste mit erlaubten/verbotenen Anwendungen: In Windows 10 können erstmals sowohl Apps aus dem Windows Store als auch Win-32-Apps Listen mit erlaubten/verbotenen Anwendungen über AppLocker ausführen. AppLocker ist eine Windows-Funktion, mit der die IT-Administratoren definieren können, welche Anwendungen erlaubt oder verboten sind. Dazu werden eindeutige Dateiidentitäten, die Gruppenrichtlinie bzw. die Benutzerrolle ausgewertet.
• Neue VPN-Plattform: Diese Plattform steht für Windows Phone, Windows Laptops und Windows PCs zur Verfügung und bietet unabhängigen VPN-Lösungsanbietern eine zuverlässige Möglichkeit, ihr VPN innerhalb von Windows zu implementieren. Die VPN-Client-App läuft in dem gleichen sicheren App-Container auf dem Gerät wie jede andere App aus dem Windows Store. Damit kann die IT auch eine Liste der sicheren Anwendungen erstellen, die auf einem Gerät mit Windows 10 Zugriff auf das VPN haben.

• Zertifikatsverwaltung: Zur erstmaligen Gerätebereitstellung und Registrierung kann die IT das Simple Certificate Enrollment Protocol (SCEP) statt der üblichenAnmeldeinformationen mit Benutzername und Passwort verwenden. Der MDM-Server sendet die SCEP-Anweisungen und eine Anfrage an das Gerät, das diese Anfrage dann zur Anforderung eines Zertifikats vom SCEP-Server verwendet. In Windows 10 kann die IT außerdem direkt ein Zertifikat über MDM installieren, wenn sie das Zertifikat und einen privaten Schlüssel über den MDM-Kanal versendet. Bei diesem Prozess wird kein SCEPServer benötigt, da eine eigene Zertifizierungsstelle verwendet werden kann.
• Microsoft Passport for Work: Wenn die IT sicherstellen will, dass das Gerät durch den richtigen Benutzer registriert wird, kann die IT ein Microsoft Passport for Work-Zertifikat über MDM bereitstellen. In diesem Fall muss der Benutzer Anmeldedaten eingeben, beispielsweise eine PIN oder einen Fingerabdruck, um zur Registrierung des Geräts seine Benutzeridentität zu authentifizieren.
• Gerätestatusbestätigung: Die Statusbestätigung ist eine Standardprozedur zur Verifizierung der Integrität jedes Schritts beim Gerätestart. Zu Windows 10 gehört ein Dienst zur Prüfung des Gerätestatus, den die Kunden über eine EMM-Konsole aufrufen können, um sicherzustellen, dass gefährdete Geräte keinen Zugriff auf Unternehmensressourcen erhalten.