Skip to main content

Microsoft-Technologien für die Consumerization of IT

Veröffentlicht: 19. April 2011

Der Arbeitsplatz verändert sich. Die Grenzen zwischen dem beruflichen und dem privaten Leben der Menschen werden mehr und mehr verwischt. Die Arbeit wird nicht mehr nur im Büro geleistet. Die Mitarbeiter lesen die beruflichen E-Mails, wenn sie abends zuhause sind, und aktualisieren soziale Medien am Tag im Büro. Zusätzlich zu Desktop-PCs verwenden sie tragbare Computer, Netbooks und Smartphones.

Zu dieser Entwicklung trägt die zunehmende Leistung bei, die für eine große Zahl von Geräten verfügbar ist. Geräte für Verbraucher einschließlich Smartphones und Medientablets werden zunehmend leistungsfähiger und können Anwendungen ausführen, die zuvor Desktop-PCs und tragbaren PCs vorbehalten waren. Für viele Benutzer stellen diese Geräte die Zukunft des Computings dar und helfen ihnen, ihre Aufgaben effizienter auszuführen.

In einer Welt, in der stark verwaltete Informationstechnologie-Infrastrukturen als nicht flexibel empfunden werden können, bevorzugen Mitarbeiter die zahlreichen Verbrauchergeräte, die ihnen zur Verfügung stehen. Die Aufgabe für die IT-Abteilung besteht darin, die Anpassung an die Verbrauchergeräte vorzunehmen, wenn dies angebracht ist, und die Risiken für das Unternehmen und dessen Daten zu minimieren. Zahlreiche Verbrauchergeräte waren ursprünglich nicht für eine geschäftliche Verwendung vorgesehen. Daher müssen IT-Abteilungen den erforderlichen Grad an Verwaltung und Kontrolle sorgfältig planen.

Als führender Anbieter von Geschäfts- und Verbrauchertechnologien ist Microsoft in der einzigartigen Lage, dies zu verstehen und Anleitungen bereitzustellen, wie die Consumerization of IT in Unternehmen auf verantwortungsvolle Weise durchgeführt werden kann. In einem früheren Whitepaper mit dem Titel Strategies for Embracing Consumerization (Strategien für die Anpassung an Verbrauchertechnologien) finden Sie Informationen zu bestimmten Strategien für die Anpassung an die neuesten Trends bei Verbrauchertechnologien. In diesem Artikel werden bestimmte Technologien beschrieben, die im eben genannten Whitepaper für die verschiedenen Szenarien empfohlen werden.

In diesem Artikel:


Windows Optimized Desktop

Windows Optimized Desktop stellt Optionen für das Clientcomputing bereit, um die Benutzerproduktivität zu verbessern, während gleichzeitig spezifische Geschäfts- und IT-Anforderungen erfüllt werden. Windows Optimized Desktop wurde auf der Basis von Windows 7 Enterprise entwickelt, wird mittels Microsoft System Center verwaltet und durch Microsoft Forefront Endpoint Protection geschützt. Die Technologie stellt Virtualisierungstechnologien mit integrierter Verwaltung für physische und virtuelle Computer bereit, einschließlich virtueller Desktopinfrastrukturen. Durch die Hinzufügung von Microsoft Office 2010, Windows Internet Explorer 9 und des Microsoft Desktop Optimization Pack (MDOP) werden die Produktivität, die Verwaltbarkeit und der Schutz der Mitarbeiter verbessert.

Dieser Abschnitt behandelt die spezifischen Technologien in Windows Optimized Desktop, mit denen die IT-Abteilung Anpassungen auf leistungsfähigen Geräten vornehmen kann, auf denen Windows 7 ausgeführt wird. Diese Technologien unterstützen Aufgaben wie die Verwaltung von Anwendungen und Benutzerdaten sowie den Schutz von Daten, des Netzwerks und des geistigen Eigentums in Szenarien, in denen Verbrauchergeräte verwendet werden.

Anwendungsverwaltung

In Szenarien mit Verbrauchergeräten besteht die Anwendungsverwaltung in der Bereitstellung von Anwendungen und in der Kontrolle darüber, welche Anwendungen von den Benutzern auf den Computern ausgeführt werden können. System Center Configuration Manager 2007 und Microsoft Application Virtualization (App-V) sind wesentliche Bereitstellungstechnologien. Zusätzlich können Sie mit AppLocker, einer Windows 7 Enterprise-Funktion, den Zugriff auf Anwendungen steuern.

Configuration Manager stellt eine umfangreiche Palette von Tools und Ressourcen bereit, mit denen Sie die komplexen Aufgaben bewältigen können, die mit der Erstellung, Modifizierung und Verteilung von Anwendungspaketen auf den Computern des Unternehmens verbunden sind. Die Bereitstellung von Anwendungen mittels der vorhandenen Configuration Manager-Infrastruktur ist bemerkenswert einfach. Administratorworkflows für die Softwareverteilung auf TechNet beschreibt diesen Prozess im Detail:

  1. Erstellen Sie ein Softwareverteilungspaket, das die Anwendungsinstallationsdateien enthält.
  2. Erstellen Sie ein Programm für das Paket. Neben anderen Dingen definiert dieses Programm den Befehl, der für die Installation des Anwendungspakets erforderlich ist.
  3. Verteilen Sie das Paket an den Verteilungspunkten.
  4. Kündigen Sie das Paket für die Computer des Unternehmens an.

Unternehmen, die über System Center Essentials verfügen, können es für die Verteilung von Anwendungen verwenden. Weitere Informationen zu Microsoft Essentials finden Sie unter  System Center Essentials. Technische Anleitungen für die Bereitstellung von Anwendungen finden Sie im  Betriebshandbuch für System Center Essentials 2010.

Für die Steuerung des Zugriffs auf physische oder virtuelle Anwendungen enthält Windows 7 Enterprise die AppLocker-Funktion. AppLocker ist eine neue Funktion, die die Richtlinien für die Beschränkung von Software ersetzt, die Sie aus früheren Windows-Versionen kennen. Sie fügt Optionen hinzu, mit denen der Verwaltungaufwand reduziert wird und die Ihnen helfen, den Zugriff der Benutzer auf Programmdateien, Skripts und Windows Installer-Dateien zu steuern. Durch die Verwendung von AppLocker für die Steuerung des Zugriffs auf physische Anwendungen können Sie die Ausführung nicht lizenzierter, schädlicher und nicht autorisierter Anwendungen verhindern.

Um AppLocker zu verwenden, müssen Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) erstellen und anschließend darin AppLocker-Regeln definieren. Innerhalb einer Regel können Sie für einen bestimmten Benutzer oder eine bestimmte Gruppe den Zugriff auf eine Programmdatei, ein Skript oder eine Windows Installer-Datei zulassen oder ablehnen. Sie identifizieren die Datei mittels der digitalen Signatur anhand von Dateiattributen, wie Hersteller, Produktname, Dateiname und Dateiversion. Sie können beispielsweise Regeln auf der Basis des Produktnamens und der Dateiversion erstellen. Diese Attribute bleiben für mehrere Updates gleich. Sie können z. B. auch Regeln erstellen, die für eine bestimmte Dateiversion gelten sollen. Zusätzlich zur Genehmigung oder Ablehnung des Zugriffs auf eine Datei können Sie Ausnahmen definieren. Sie können zum Beispiel eine Regel erstellen, mit der die Ausführung aller Programme zugelassen wird, die mit Windows 7 ausgeliefert werden, mit Ausnahme des Registry-Editors (regedit.exe).

AppLocker kann überraschend einfach konfiguriert und bereitgestellt werden. Die Funktion stellt Assistenten bereit, mit denen Regeln für Programmdateien, Skripts und Windows Installer-Dateien leicht definiert werden können. Da AppLocker Benutzer jedoch daran hindert, Dateien zu öffnen oder auszuführen, die nicht ausdrücklich in einer Regel definiert werden, sollten Sie die AppLocker-Bereitstellung nach der Analyse des Anwendungsbestands in Ihrer Umgebung einplanen. Weitere Informationen zu AppLocker finden Sie im Abschnitt  AppLocker auf TechNet.

Virtualisierung des Benutzerstatus

Eine besondere Herausforderung für die Anpassung an Verbrauchertechnologien stellt die Tatsache dar, dass Personen mit mehr als einem Computer arbeiten. Dieses Szenario kann sowohl Endbenutzern als auch IT-Experten Probleme bereiten. Die Dateien und Einstellungen der Benutzer folgen diesen nicht, wenn sie von Computer zu Computer wechseln. Wenn ein Benutzer ein Dokument auf dem Computer am Arbeitsplatz erstellt, ist dieses nicht sofort verfügbar, wenn der Benutzer sich an einem Netbook oder über einen virtuellen Computer anmeldet, bei dem es sich nicht um einen Windows-PC handelt. Die dezentrale Speicherung von Dateien und Einstellungen bedeutet noch größere Probleme für die IT. Die Sicherung der Dateien ist schwierig. Es ist nicht einfach, sie zu sichern. Und da sie über zahlreiche PCs verstreut sind, ist es schwierig, die Verfügbarkeit wichtiger Dateien sicherzustellen.

Die Virtualisierung des Benutzerstatus löst diese Herausforderungen. Durch die zentrale Speicherung von Benutzerdateien und -einstellungen werden Sicherung und Schutz einfacher. Die Verfügbarkeit wichtiger Dateien kann sichergestellt werden. Durch die Virtualisierung des Benutzerstatus stehen die Dateien und Einstellungen den Benutzern stets zur Verfügung, wenn sie von einem PC zu einem anderen PC oder zu einem virtuellen Computer wechseln. In Windows 7 dienen drei Technologien der Unterstützung der Virtualisierung des Benutzerstatus:

  • Mittels des Roamings von Benutzerprofilen können Sie Benutzerprofile (d. h. Dateien, die in C:\Benutzer\Benutzername gespeichert sind, einschließlich der Registry-Hivedatei) in einem Netzwerkverzeichnis speichern. Windows 7 synchronisiert die lokalen und Remotebenutzerprofile, wenn sich Benutzer am Computer anmelden oder von diesem abmelden. Weitere Informationen finden Sie unter Neues bei Ordnerumleitung und Benutzerprofilen.
  • Mittels der Ordnerumleitung werden Ordner wie Dokumente, Bilder und Videos von einem Benutzerprofil zu einem Netzwerkverzeichnis umgeleitet. Durch die Umleitung von Ordnern wird die Größe der Roaming-Benutzerprofile reduziert. Die Leistung bei Anmeldung und Abmeldung kann verbessert werden. Sie konfigurieren die Ordnerumleitung mittels Gruppenrichtlinien. Der wichtige Unterschied zwischen Roaming-Benutzerprofilen und Ordnerumleitung besteht darin, dass Sie Roaming-Benutzerprofile vor allem für Einstellungen, und die Ordnerumleitung vor allem für Dokumente verwenden sollten. Weitere Informationen finden Sie unter Neues bei Ordnerumleitung und Benutzerprofilen.
  • Offlinedateien ist eine Standardfunktion in Windows 7, die Ihnen das Arbeiten mit umgeleiteten Ordnern und anderen freigegebenen Netzwerkinhalten ermöglicht, wenn Sie keine Verbindung mit dem Netzwerk haben. Dies erfolgt mittels des lokalen Zwischenspeicherns von Kopien. Mittels dieser Funktion werden Änderungen synchronisiert, sobald wieder eine Verbindung vorhanden ist. Weitere Informationen finden Sie unter  Neues bei Offlinedateien.

Das Handbuch  Infrastrukturplanung und -entwurf: Virtualisierung des Windows-Benutzerstatus kann Ihnen bei der Implementierung der Benutzerstatusvirtualisierung helfen.

Sicherheit der lokalen Daten

Die BitLocker-Laufwerkverschlüsselung ist ein wichtiges Sicherheitsfeature in Windows 7 Enterprise, das zum Schutz der Daten beiträgt, die auf Festplatten und auf dem Betriebssystemlaufwerk gespeichert sind. BitLocker hilft beim Schutz vor Offlineangriffen. Dies sind Angriffe, bei denen das installierte Betriebssystem deaktiviert oder umgangen wird bzw. die Festplatte physisch entfernt wird, um die Daten getrennt anzugreifen. BitLocker hilft sicherzustellen, dass die Benutzer die Daten auf dem Laufwerk nur dann lesen bzw. nur dann Daten auf das Laufwerk schreiben können, wenn sie entweder über das erforderliche Kennwort bzw. über Smartcard-Anmeldeinformationen verfügen oder das Datenlaufwerk auf einem durch BitLocker geschützten Computer verwenden, das über die korrekte Schlüssel verfügt.

Der BitLocker-Schutz auf Betriebssystemlaufwerken unterstützt die Zwei-Faktor-Authentifizierung, indem ein Trusted Platform-Modul (TPM) zusammen mit einer persönlichen Identifikationsnummer (PIN) oder einem Startupschlüssel verwendet wird. Alternativ wird bei der Ein-Faktor-Authentifizierung ein Schlüssel auf einem USB-Laufwerk gespeichert oder einfach nur das TPM verwendet. Die Verwendung von BitLocker mit einem TPM sorgt für einen besseren Schutz der Daten und hilft, die Integrität der Komponenten zu Beginn des Startvorgangs sicherzustellen. Für diese Option muss der Computer über einen Mikroprozessor und ein BIOS verfügen, die beide mit TPM kompatibel sind:

  • Ein kompatibles TPM ist als TPM in der Version 1.2 definiert.
  • Ein kompatibles BIOS muss das TPM und Static Root of Trust Measurement gemäß der von der Trusted Computing Group vorgegebenen Definition unterstützen. Weitere Informationen zu TPM-Spezifikationen finden Sie im Abschnitt zu TPM-Spezifikationen auf der Website der  Trusted Computing Group.

Das TPM interagiert mit dem BitLocker-Schutz für das Betriebssystemlaufwerk, um das System bereits beim Systemstart zu schützen. Dies ist für den Benutzer nicht transparent, und die Benutzeranmeldung erfolgt unverändert. Wenn die Startdaten jedoch verändert wurden, wird BitLocker in den Wiederherstellungsmodus versetzt, und der Benutzer benötigt das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel, um wieder auf die Daten zugreifen zu können.

Im  Bereitstellungshandbuch für die BitLocker-Laufwerkverschlüsselung unter Windows 7 finden Sie detaillierte Anleitungen für die Bereitstellung von BitLocker. Zusätzlich sind zahlreiche Gruppenrichtlinieneinstellungen für die Verwaltung von BitLocker verfügbar. Informationen hierzu finden Sie in der  BitLocker-Gruppenrichtlinienreferenz. Sie können BitLocker während der Bereitstellung mittels des Microsoft Deployment Toolkit (MDT) 2010 oder von Configuration Manager implementieren. Weitere Informationen finden Sie in der MDT 2010-Dokumentation.

Windows 7 Home Premium und Windows 7 Professional enthalten BitLocker nicht. Wenn Sie Mitarbeitern die Verwendung von Geräten gestatten, auf denen diese Betriebssysteme ausgeführt werden, können Sie Encrypting File System (EFS) verwenden, um zum Schutz von Unternehmensdaten auf diesen Computern beizutragen. EFS ermöglicht jedoch keine Verschlüsselung kompletter Laufwerke, anders als BitLocker. Stattdessen können Benutzer die Ordner und Dateien aussuchen, die sie verschlüsseln möchten. Weitere Informationen zu EFS in Windows 7 finden Sie unter Das Verschlüsselungsdateisystem.

Hinweis: Benutzer, die Windows 7 Home Premium oder Windows 7 Professional ausführen, können mittels Windows Anytime Upgrade gegen eine Gebühr auf Windows 7 Ultimate aktualisieren. Dadurch wird BitLocker bereitgestellt. Weitere Informationen zu Windows Anytime Upgrade finden Sie unter  Windows Anytime Upgrade.

Wechselspeichermedien

In Windows 7 Enterprise erweitert BitLocker To Go die BitLocker-Funktion auf tragbare Laufwerke, wie USB-Wechselmedien. Die Benutzer können tragbare Laufwerke mittels eines Kennworts oder einer Smartcard entschlüsseln. Autorisierte Benutzer können die Informationen auf jedem PC mit Windows 7, Windows Vista oder Windows XP mittels  BitLocker To Go Reader anzeigen. Durch die Verwendung von Gruppenrichtlinien können Sie den Schutz der Daten beim Schreiben auf alle Wechselmedien erforderlich machen. Gleichzeitig können Sie durchsetzen, dass nicht geschützte Speichergeräte nur im Lesemodus verwendet werden können.

Im  Bereitstellungshandbuch für die BitLocker-Laufwerkverschlüsselung unter Windows 7 finden Sie detaillierte Anleitungen für die Verwendung von BitLocker To Go. Zusätzlich sind zahlreiche Gruppenrichtlinieneinstellungen für die Verwaltung von BitLocker To Go verfügbar, die in der BitLocker-Gruppenrichtlinienreferenz beschrieben werden.

Sicherungen

Die Windows 7-Funktion für Sicherung und Wiederherstellung erstellt Sicherheitskopien der wichtigsten persönlichen Dateien der Benutzer. Die Benutzer überlassen Windows die Entscheidung, welche Dateien gesichert werden, oder wählen die Ordner, Bibliotheken und Laufwerke selbst aus, die gesichert werden sollen, je nach den Anforderungen. Windows unterstützt die Sicherung auf einem anderen Laufwerk oder einer DVD. Windows 7 Professional, Windows 7 Ultimate und Windows 7 Enterprise unterstützen außerdem die Sicherung von Dateien an einem Netzwerkspeicherort.

Windows 7 stellt eine integrierte Sicherungsfunktion bereit, die Benutzer auf den eigenen Geräten verwenden können, System Center Data Protection Manager (DPM) 2010. Diese Funktion ermöglicht IT-Abteilungen die Erstellung einer Sicherungslösung mit zwei Stufen, die die Vorteile und die Zuverlässigkeit eines Laufwerks für die kurzfristige Sicherung – wenn die meisten Wiederherstellungsanforderungen auftreten – mit der Sicherheit einer Bandsicherung oder der Sicherung auf einem anderen Wechselmedium für die langfristige Archivierung verbindet. Dieses zweistufige System dient zur Vermeidung von Problemen mit Bandsicherungslösungen, ermöglicht jedoch trotzdem die langfristige Wartung von Offsitearchiven.

DPM 2010 fügt die Unterstützung für den Schutz von Clientcomputern wie Laptopcomputern und Slate-Computer hinzu, die nicht ständig mit dem Netzwerk verbunden sind. Dies ist wichtig für die Szenarien, in denen Verbrauchertechnologien verwendet werden. Außerdem können Benutzer die eigenen Daten wiederherstellen, ohne auf den Sicherungsadministrator warten zu müssen. Weitere Informationen zu DPM 2010 erhalten Sie unter  System Center Data Protection Manager 2010.

Netzwerkzugriff

Forefront Unified Access Gateway (UAG) ermöglicht Remoteclient-Endpunkten den Zugriff auf Unternehmensanwendungen, Netzwerke und interne Ressourcen über eine Website. Zu Clientendpunkten zählen nicht nur Computer, auf denen Windows ausgeführt wird, sondern auch Geräte, auf denen kein Windows ausgeführt wird. Die Anwendung unterstützt die folgenden Szenarios:

  • Forefront UAG als Veröffentlichungsserver. Sie können Forefront UAG für die Veröffentlichung von Unternehmensanwendungen und -ressourcen konfigurieren und Remotebenutzern den Zugriff auf diese Anwendungen und Ressourcen von einer großen Zahl von Endpunkten und Standorten aus auf kontrollierte Weise ermöglichen.
  • Forefront UAG als DirectAccess-Server. Sie können Forefront UAG als einen DirectAccess-Server konfigurieren und so die Vorteile von DirectAccess auf die gesamte Infrastruktur erweitern, Um die Skalierbarkeit zu verbessern und die Bereitstellung und laufende Verwaltung zu vereinfachen. Forefront UAG DirectAccess stellt internen Netzwerkbenutzern, die über Internetzugriff verfügen, eine nahtlose Umgebung für die Verbindung mit dem internen Netzwerk bereit. Die Anforderungen für interne Ressourcen werden sicher zum internen Netzwerk geleitet, ohne dass eine VPN-Verbindung erforderlich ist.
  • Bereitstellen einzelner und mehrerer Server. Sie können einen einzelnen Server als Veröffentlichungsserver und als Forefront UAG DirectAccess-Server konfigurieren oder eine Reihe von Servern bereitstellen, um Skalierbarkeit und hohe Verfügbarkeit zu erzielen.

Infrastrukturplanung und -entwurf: Forefront Unified Access Gateway auf TechNet stellt Anleitungen für die Planung der Forefront UAG-Bereitstellung bereit. Weitere technische Anleitungen finden Sie unter  Forefront Unified Access Gateway (UAG) auf TechNet.

Netzwerksicherheit

Netzwerkzugriffsschutz (Network Access Protection, NAP) enthält Client- und Serverkomponenten, mit denen Sie Richtlinien für die Integrität erstellen und durchsetzen können, die die erforderlichen Software- und Systemkonfigurationen für Computer festlegen, die eine Verbindung mit dem Netzwerk herstellen. NAP setzt die Integritätsanforderungen durch die Prüfung und Bewertung der Integrität von Clientcomputern durch und schränkt den Netzwerkzugriff für Clientcomputer ein, die diese Anforderungen nicht erfüllen. Clientcomputer, die diese Anforderungen nicht erfüllen, werden außerdem für den unbegrenzten Netzwerkzugriff eingerichtet. NAP setzt Integritätsanforderungen auf Clientcomputern durch, die versuchen, eine Verbindung mit dem Netzwerk herzustellen. NAP kann außerdem die laufend die Kompatibilität mit den Integritätsanforderungen durchsetzen, während ein Computer mit dem Netzwerk verbunden sind.

Die Durchsetzung mittels NAP erfolgt, wenn Clientcomputer versuchen, auf das Netzwerk über Netzwerkzugriffsserver zuzugreifen wie z. B. einen Server für virtuelle private Netzwerke (VPN), auf dem Routing and Remote Access (RRAS) ausgeführt wird, oder wenn Clients versuchen, mit anderen Netzwerkressourcen zu kommunizieren. Die Art der NAP-Durchsetzung ist von der von Ihnen gewählten Durchsetzungsmethode abhängig. NAP setzt die Integritätsanforderungen in den folgenden Fällen durch:

  • Durch Internet Protocol Security (IPsec) geschützten Kommunikation
  • Mittels Institute of Electrical and Electronics Engineers (IEEE) 802.1X authentifizierte Verbindungen
  • VPN-Verbindungen
  • Dynamic Host Configuration Protocol (DHCP)-Konfiguration
  • Verbindungen mittels Terminaldienstegateway (TS-Gateway)

Das Network Access Protection-Entwurfshandbuch kann Ihnen bei der Planung der NAP-Bereitstellung helfen. Das  Network Access Protection-Bereitstellungshandbuch stellt detaillierte technische Anleitungen für die oben genannten Szenarien bereit.

Mittels NAP können Sie in Configuration Manager Softwareupdates in die Anforderungen an die Systemintegrität einschließen. Die NAP-Richtlinien in Configuration Manager definieren, welche Softwareupdates enthalten sein sollen. Ein Configuration Manager System Health Validator-Punkt übergibt die Informationen, ob ein Clientstatus den Anforderungen entspricht oder nicht, an den Network Policy Server (NPS). Der NPS entscheidet anschließend, ob der Client vollen oder eingeschränkten Zugriff auf das Netzwerk erhält und ob Clients, die die Anforderungen nicht erfüllen, für die Erfüllung der Anforderungen eingerichtet werden sollen. Weitere Informationen zu NAP in Configuration Manager finden Sie unter  Netzwerkzugriffsschutz in Configuration Manager.

Information Protection

Zusätzlich zum Schutz des Zugriffs auf lokale Daten und das Netzwerk stellt der Schutz des Zugriffs auf Unternehmensdaten – wie geistiges Eigentum – eine wichtige Überlegung dar, wenn Sie Verbrauchertechnologien verwenden. Für den Schutz dieser Informationen sind zwei Technologien verfügbar:

  • Rechteverwaltungsdienste (Rights Management Services, RMS). Dank der Verwendung von Active Directory Rights Management Services (AD RMS) und des AD RMS-Clients können Sie die Sicherheitsstrategie des Unternehmens erweitern, indem Sie Daten mittels persistenter Nutzungsrichtlinien schützen. Diese begleiten die Daten unabhängig davon, wohin diese verschoben werden. Sie können AD RMS für den Schutz sensibler Daten verwenden, wie Finanzberichte, Produktspezifikationen, Kundendaten und vertrauliche E-Mail-Nachrichten, gleichgültig, ob diese absichtlich oder zufällig in die falschen Hände gelangen. Microsoft Exchange Server 2010 und Microsoft Office SharePoint Server 2010 sind Beispiele für Anwendungen, die mit AD RMS integriert werden können. Weitere Informationen zu AD RMS erhalten Sie unter  Active Directory Rights Management Services.
  • File Classification Infrastructure. Um die Kosten und Risiken zu senken, die mit dieser Art der Datenverwaltung verknüpft sind, stellt File Classification Infrastructure in Windows Server 2008 R2 eine Plattform bereit, auf der Sie Dateien klassifizieren und basierend auf dieser Klassifizierung Richtlinien anwenden können. Das Speicherlayout ist von den Anforderungen an die Datenverwaltung nicht betroffen, und Sie können die Umgebung leichter an geänderte geschäftliche Bedingungen und gesetzliche Vorschriften anpassen. Dateien können auf verschiedene Arten klassifiziert werden. Außerdem können Sie basierend auf der Klassifizierung der betreffenden Datei Richtlinien für die Dateiverwaltung angeben und Unternehmensvorgaben für die Verwaltung von Daten automatisch anwenden, abhängig vom Geschäftswert. Sie können die Richtlinien auf einfache Weise modifizieren und Tools verwenden, die die Klassifizierung unterstützen, um die Dateien zu verwalten. Sie können z. B. die Rechte für Dateien, die das Wort vertraulich enthalten, automatisch verwalten. Weitere Informationen zu File Classification Infrastructure finden Sie unter  Arbeiten mit File Classification.

Windows Cloud Services

Unternehmen, die nicht über ausreichend Ressourcen oder nicht über die nötige Infrastruktur verfügen, um Windows Optimized Desktop zu unterstützen, kann Windows Intune helfen, die wesentlichen Grundlagen für die Verwaltung und die Sicherheit zu schaffen. Unternehmen, die Windows Optimized Desktop bereitgestellt haben, können Bereiche mit nicht verwalteten Computern (Computer im Heimbüro und Verbrauchergeräte, auf denen Windows ausgeführt wird und die Mitarbeiter mit zur Arbeit bringen) mittels Windows Intune verwalten (Abbildung 1).

Windows Intune-Oberfläche

Abbildung 1. Windows Intune

Windows Intune hilft Ihnen, die Computer in Ihrer Umgebung mittels einer Kombination aus Windows Cloud Services und Upgradelizenzierung zu verwalten und zu schützen. Windows Intune stellt über eine zentrale webbasierte Administrationskonsole cloudbasierte Verwaltungs- und Sicherheitsfunktionen bereit. Mit Windows Intune können Sie Computer von beinahe überall aus verwalten. Alles, was Sie hierfür benötigen, ist eine Internetverbindung und den Windows Intune-Client auf jedem der verwalteten Computer. Außerdem verfügen Sie mit einem aktiven Windows Intune-Abonnement über die Berechtigung, auf zukünftige Versionen von Windows zu aktualisieren und können die gleichen Vorteile wie im Fall des Microsoft Software Assurance-Programms für Windows nutzen.

Mittels der Windows Intune-Administratorkonsole werden Verwaltungsaufgaben in die folgenden Arbeitsbereiche organisiert, die Sie über beinahe jeden Browser mit Unterstützung für Microsoft Silverlight verwalten können:

  • Systemübersicht. Der Arbeitsbereich für die Systemübersicht stellt den Ausgangspunkt für die Bewertung der Integrität der Computer im Unternehmen insgesamt, die Identifizierung von Problemen sowie die Durchführung einfacher Verwaltungsaufgaben wie die Erstellung von Computergruppen und die Anzeige von Berichten dar.
  • Computer. Mittels des Arbeitsbereichs für Computer erstellen und verwalten Sie Computergruppen für deren einfache und flexible Verwaltung. Sie können die Gruppen entsprechend Ihren organisatorischen Voraussetzungen erstellen (z. B. nach geografischem Standort, nach Abteilung oder nach Hardwaremerkmalen) und die Computer zwischen den Gruppen verschieben.
  • Updates. Sie verwenden den Arbeitsbereich für Updates für die effiziente Verwaltung der Softwareupdates für alle verwalteten Computer im Unternehmen. Die Windows Intune-Administratorkonsole unterstützt und schlägt bewährte Verfahren für die Updateverwaltung vor, sodass Sie sich auf die Umgebung und Ihre Aufgaben konzentrieren können.
  • Endpoint Protection. Windows Intune Endpoint Protection unterstützt die Optimierung der Sicherheit der verwalteten Computer im Unternehmen, indem es Echtzeitschutz vor möglichen Bedrohungen bietet. Die Definitionen für schädliche Software werden laufend aktualisiert, und die Prüfungen werden automatisch durchgeführt. Die Windows Intune-Administratorkonsole stellt Endpoint Protection-Statusübersichten bereit. Wenn schädliche Software auf einem verwalteten Computer entdeckt wird oder ein Computer nicht geschützt ist, können Sie den betreffenden Computer schnell identifizieren und die geeigneten Maßnahmen ergreifen.
  • Benachrichtigungen. Mittels des Arbeitsbereichs für Benachrichtigungen können Sie schnell die Integrität der verwalteten Computer des Unternehmens im Ganzen bewerten. Dieser Arbeitsbereich ermöglicht Ihnen die Identifizierung möglicher oder aktueller Probleme und das Ergreifen von Maßnahmen, um die negativen Auswirkungen auf die Geschäftsprozesse zu verhindern oder zu minimieren. Sie können z. B. alle aktuellen Benachrichtigungen anzeigen, um ein grobes Bild der Computerintegrität zu erhalten. Sie können auch bestimmte Probleme untersuchen, die bei Mitgliedern einer bestimmten Computergruppe oder in bestimmten Arbeitsbereichen gemeldet werden, wie z. B. im Arbeitsbereich für den Endpunktschutz. Mittels Filtern können Sie alle Benachrichtigungen mit einem bestimmten Schweregrad sowie alle aktiven oder geschlossenen Benachrichtigungen anzeigen.
  • Software. Im Arbeitsbereich für Software werden alle Programme aufgelistet, die auf den Clientcomputern installiert sind, die Sie mittels Windows Intune verwalten. Sie können diese Listen nach dem Hersteller, dem Namen, der Anzahl der Installationen oder nach der Kategorie sortieren. Jeder eindeutige Softwarename ist als einzelner Eintrag in der Liste vorhanden. Sie können auch nach einer bestimmten Software suchen.
  • Lizenzen. Im Arbeitsbereich für Lizenzen können Sie Microsoft Software License Terms-Informationen zu Microsoft Volume Licensing Services (MVLS) hochladen und die Lizenzberechtigungen ermitteln, über die Sie im Rahmen Ihrer Microsoft Volume Licensing-Verträge verfügen.
  • Richtlinie. Im Arbeitsbereich für Richtlinien können Sie die Windows Intune-Richtlinien konfigurieren, mit denen die Einstellungen für Updates, Endpoint Protection, die Windows-Firewall und das Windows Intune Center auf den Computern verwaltet werden. Sie können Richtlinien auf der Basis von Vorlagen erstellen, die Richtlinieneinstellungen konfigurieren und die Richtlinien anschließend auf Gruppen von Computern bereitstellen. Die Richtlinienvorlagen enthalten Beschreibungen und empfohlene Werte für Richtlinien. Zusätzlich können Sie anhand des Namens oder der Beschreibung nach Richtlinien suchen.
  • Berichte. Andere Bereiche der Windows Intune-Administratorkonsole stellen zwar ebenfalls Such- und Filterfunktionen bereit. Der Arbeitsbereich für Berichte bietet jedoch detailliertere Berichte und die Möglichkeit, diese auszudrucken oder zu exportieren. Der Arbeitsbereich für Berichte stellt Berichte zu Updates, zur Software und zur Lizenzierung bereit. Der Bericht zum Lizenzabgleich stellt Ihnen beispielsweise eine detaillierte Liste der vorhandenen Software im Vergleich zu den Lizenzen bereit, über die Sie verfügen.
  • Administration. Im Arbeitsbereich für die Administration können Sie die aktuellste Version der Clientsoftware herunterladen, Details zum Windows Intune-Konto anzeigen (wie den Namen des Kontos, den Status und die Anzahl der aktiven Lizenzen) und dem Konto Administratoren hinzufügen. Sie finden im Arbeitsbereich für die Administration auch Tools für die Konfigurierung der Art von Updates, die Sie auf den verwalteten Computern des Unternehmens bereitstellen möchten, und für das Senden von E-Mail-Benachrichtigungen andere Personen im Unternehmen, wenn bestimmte Benachrichtigungen generiert werden. Außerdem können Sie Benachrichtigungen eines bestimmten Typs aktivieren oder deaktivieren, sodass Sie sich auf die für Ihre Umgebung wichtigsten Benachrichtigungen konzentrieren können.

Benachrichtigungen für die Remoteunterstützung stellen ein wichtiges Tool für die Behebung von Problemen dar, die auf verwalteten Computern auftreten. Ein Benutzer an einem verwalteten Computer kann eine Anforderung für Remoteunterstützung initiieren, die dann eine Benachrichtigung generiert. Wenn Sie die Benachrichtigung in der Windows Intune-Administratorkonsole anzeigen, können Sie die Anforderung akzeptieren. Durch die Akzeptierung der Anforderung wird eine Microsoft Easy Assist-Sitzung geöffnet, sodass Sie die Fehlerbehebung auf dem Computer des Benutzers durchführen können.

Windows Intune stellt außerdem Upgradeberechtigungen für Windows 7 Enterprise mit Software Assurance bereit. Mittels der Upgradeberechtigungen, die von Windows Intune bereitgestellt werden, können Sie jeden von Windows Intune verwalteten Computer auf Windows 7 Enterprise aktualisieren, der die Mindestanforderungen für Windows 7 erfüllt. Windows Intune stellt Ihnen außerdem sämtliche Vorteile des Microsoft Software Assurance-Programms für Windows zur Verfügung, darunter:

  • Rechte für neue Versionen
  • TechNet-Benefits über Software Assurance
  • Erweiterte Unterstützung für Hotfixes
  • 24x7-Unterstützung für die Problemlösung
  • Employee Purchase-Programm
  • E-Learning
  • Gutscheine für Schulungen

Weitere Informationen zu Windows Intune finden Sie auf der Website  Windows Azure Compute. Technische Informationen zu Windows Intune finden Sie außerdem im  Windows Intune TechCenter.


Anwendungsvirtualisierung

Virtuelle Anwendungen werden in Form von Netzwerkdiensten an Computer übertragen. Sie benötigen keinen Speicherplatz auf den Systemen und können einfach aktualisiert werden. Sie sind außerdem verpackt. Dies trägt zur Vermeidung von Konflikten zwischen privaten und geschäftlichen Anwendungen bei, die zu Ausfallzeiten führen und Unterstützung durch das Supportteam erfordern würden.

App-V ist Teil von MDOP und unterstützt die Verpackung, die Bereitstellung und die Verwaltung virtueller Anwendungen. App-V kann Anwendungen für die Computer von Endbenutzern verfügbar machen, ohne dass diese Anwendungen direkt auf den Computern installiert werden müssen. Dies wird durch einen Prozess ermöglicht, der als Sequenzierung der Anwendung bekannt ist. Die einzelnen Anwendungen können in einer eigenen abgeschlossenen virtuellen Umgebung auf dem Clientcomputer ausgeführt werden. Sequenzierte Anwendungen sind voneinander isoliert. Dieses Szenario verhindert Anwendungskonflikte. Die Anwendungen können jedoch mit dem Clientcomputer interagieren.

Der App-V-Client ist die Funktion, die den Endbenutzern die Interaktion mit Anwendungen ermöglicht, nachdem diese für den Computer veröffentlicht wurden. Der App-V-Client verwaltet die virtuelle Umgebung, in der die virtualisierten Anwendungen auf den einzelnen Computern ausgeführt werden. Nach der Installation des Clients auf dem Computer müssen die Anwendungen für den Computer mittels eines Prozesses verfügbar gemacht werden, der als Veröffentlichung bekannt ist. Dieser ermöglicht dem Endbenutzer die Ausführung der virtuellen Anwendungen. Während des Veröffentlichtungsprozesses werden die Symbole und Shortcuts für die virtuelle Anwendungen auf den Computer kopiert, in der Regel auf den Windows-Desktop oder in das Startmenü. Außerdem werden die Informationen für die Paketdefinition und die Dateitypverknüpfung auf den Computer kopiert. Durch die Veröffentlichung wird außerdem der Inhalt des Anwendungspakets für die Computer der Endbenutzer zur Verfügung gestellt.

Die Inhalte virtueller Anwendungen können auf einen oder mehr App-V-Server repliziert werden, sodass sie bei Bedarf an die Clients übertragen und lokal zwischengespeichert werden können. Auch Datei- und Webserver können als Streamingserver verwendet werden. Der Inhalt kann auch direkt auf die Computer der Endbenutzer kopiert werden. In einer Implementierung mit mehreren Servern erfordern die Pflege des Paketinhalts und die Aktualisierung auf allen Streamingservern eine umfassende Lösung für die Paketverwaltung. Je nach Größe des Unternehmens müssen Sie möglicherweise Endbenutzern auf der ganzen Welt zahlreiche virtuelle Anwendungen verfügbar machen. Die Verwaltung der Pakete, sodass die richtigen Inhalte für alle Benutzer verfügbar sind, wann und wo diese benötigt werden, stellt daher eine wichtige Aufgabe dar.

Komponenten

Wie in Abbildung 2 gezeigt, sind die primären Komponenten von App-V:

  • Client. Der Client stellt die virtuelle Umgebung auf den Client-PCs bereit und verwaltet diese. Er verwaltet den Zwischenspeicher, die Veröffentlichungsaktualisierung, den Transport und sämtliche Interaktionen mit den App-V-Servern.
  • Datenspeicher. Der Datenspeicher ist eine Microsoft SQL-Datenbank, in er alle Informationen für die App-V-Infrastruktur gespeichert werden. Zu diesen Informationen zählen alle Anwendungsdatensätze, Anwendungszuweisungen sowie die Gruppen, die für die Verwaltung der App-V-Umgebung verantwortlich sind.
  • Verwaltungskonsole. Die Verwaltungskonsole ist ein Microsoft Management Console (MMC) 3.0-Snap-In, das für die Administration der App-V-Infrastruktur verwendet wird. Sie können dieses Tool auf dem App-V-Server oder auf einem eigenen PC installieren.
  • Verwaltungsserver. Der Verwaltungsserver überträgt den Paketinhalt und veröffentlicht die Shortcuts und Dateitypverknüpfungen für den Client. Er unterstützt Upgrades, Lizenzverwaltung und eine Datenbank, die für die Berichterstellung verwendet werden kann.
  • Verwaltungswebdienst. Der Verwaltungswebdienst kommuniziert die Lese- und Schreibanfragen an den Datenspeicher. Sie können den Verwaltungswebdienst auf dem Verwaltungsserver oder auf einem getrennten PC installieren, auf dem Microsoft Internet Information Services (IIS) installiert ist.
  • Sequenzierer. Mit dem Sequenzierer wird die Installation der Anwendungen überwacht und erfasst, um virtuelle Anwendungspakete zu erstellen. Die Ausgabe enthält die Symbole für die Anwendung, eine .osd-Datei, die die Paketdefinitioninformationen enthält, eine Paketmanifestdatei sowie die .sft-Datei, die die Inhaltsdateien des Anwendungsprogramms enthält.
  • Streamingserver. Der Streamingserver hostet die App-V-Pakete für die Übertragung an die Clients in Zweigniederlassungen, wenn die Verbindung zum Verwaltungsserver langsam ist. Dieser Server verfügt nur über Streamingfunktionalität und stellt weder die Verwaltungskonsole noch den Webverwaltungsdienst bereit.
  • Inhaltsordner. Der Inhaltsordner ist der Ort, an dem die für die Übertragung verfügbaren App-V-Pakete gespeichert werden. Sie können diesen Ordner in einem Verzeichnis auf dem Verwaltungsserver anlegen, müssen dies jedoch nicht.

Application Virtualization-Diagramm

Abbildung 2. Anwendungsvirtualisierung

App-V 4.6 ist die neueste Version des Produkts. Mit App-V 4.6 können Sie 32- und 64-Bit-Anwendungen auf der 64-Bit-Version von Windows sequenzieren und ausführen. Die Version unterstützt neue Windows 7-Funktionen wie die Taskleiste, Jumplisten, AppLocker, BranchCache und BitLocker To Go. App-V 4.6 fügt Unterstützung für 12 weitere Sprachen hinzu. Zur Unterstützung von Microsoft Virtual Desktop Infrastructure (VDI) stellt App-V 4.6 einen schreibgeschützten freigegebenen Zwischenspeicher bereit, der zur Optimierung des Festplattenspeichers auf dem Server beiträgt. Schließlich verbessert App-V 4.6 die Sequenzierung und stellt Unterstützung für die Sequenzierung von 32- und 64-Bit-Anwendugnen bereit. Weitere Informationen zu App-V finden Sie auf der Website für das  Microsoft Desktop Optimization Pack. Detaillierte technische Informationen sind auf TechNet unter  Application Virtualization verfügbar.

Hinweis: Citrix XenApp ist eine Microsoft Partner-Lösung, die die Unterstützung für traditionelle und virtuelle App-V-Anwendungen auf eine große Bandbreite an Geräten erweitert, darunter Smartphones und andere Geräte, auf denen kein Windows ausgeführt wird. Sie ermöglicht die bedarfsbasierte Bereitstellung von Anwendungen und kann beinahe jede Anwendung im Rechenzentrum virtualisieren, zentralisieren und verwalten. Mit XenApp können Sie die Anwendungen im Rechenzentrum zentralisieren, den Zugriff auf Daten und Anwendungen steuern und verschlüsseln und die Anwendungen den Benutzern beinahe überall sofort zur Verfügung stellen. Weitere Informationen zu Citrix XenApp finden Sie auf der Website für  Citrix XenApp. Zusätzlich wird im Artikel  Veröffentlichen einer App-V-fähigen Anwendung in Citrix XenApp beschrieben, wie XenApp für die Veröffentlichung von App-V-Anwendungen verwendet wird.

System Center Configuration Manager 2007

Configuration Manager ermöglicht IT-Experten die Bereitstellung, Aktualisierung und Überwachung der Verwendung physischer und virtueller Anwendungen in einer zentralen Verwaltungsumgebung. Durch die nahtlose Integration virtueller Anwendungsformate in die Configuration Manager-Funktion für die Softwareverteilung können IT-Experten bekannte Prozesse und Workflows anwenden, um Endbenutzern virtuelle Anwendungen bereitzustellen. So können IT-Abteilungen die Anwendungen schneller bereitstellen und gleichzeitig verhindern, dass sich Anwendungen gegenseitig beeinträchtigen. Die Integration von Configuration Manager und App-V fügt zusätzliche Skalierbarkeit hinzu und ermöglicht der IT-Abteilung, vorhandene Verteilungspunkte auch für die Übertragung virtueller Anwendungen zu nutzen. Dies macht eine eigene App-V-Infrastruktur überflüssig. Mittels Configuration Manager können virtuelle Anwendungen für Computer oder Benutzer bereitgestellt werden. Die Administratoren können virtuelle Anwendungen inventarisieren und diese als Teil von Tasksequenzen bei der Betriebssystembereitstellung verfügbar machen.

Configuration Manager übernimmt die Aufgabe des Veröffentlichens und Übertragens von Komponenten in einer typischen vollständigen App-V-Infrastruktur mittels der Integration in die vorhandene Configuration Manager-Infrastruktur, in der bereits traditionelle Anwendungen, Updates und mehr bereitgestellt werden. Abbildung 3 zeigt die Prozesse und Komponenten von Configuration Manager and App-V, die für die Verwaltung virtueller Anwendungen mit Configuration Manager mindestens vorhanden sein müssen. Der App-V Sequencer produziert Pakete, die über die Configuration Manager-Infrastruktur an die Configuration Manager-Clients verteilt werden können. Dies beseitigt die Notwendigkeit für zwei getrennte Infrastrukturen zur Unterstützung der Anwendungsbereitstellung. Traditionelle und virtuelle Anwendungen können von der gleichen Konsole aus bereitgestellt werden.

Diagramm für die Configuration Manager- und App-V-Infrastruktur

Abbildung 3. Configuration Manager- und App-V-Infrastruktur

Die Verwendung von Configuration Manager für die Veröffentlichung virtueller Anwendungen erfordert die Befolgung eines einfachen Prozesses. Grundsätzlich bedeutet die Verwaltung virtueller Anwendungen mittels Configuration Manager, dass die Anwendungen sequenziert, mittels Configuration Manager-Annkündigungen veröffentlicht und den Endbenutzern bereitgestellt werden. Der folgende Prozess muss mindestens befolgt werden, damit App-V in einer Configuration Manager-Infrastruktur unterstützt wird:

  1. Sequenzierung. Ähnlich wie im Fall von traditionellem App-V beginnt die Verwaltung virtueller Anwendungen in Configuration Manager mit der Umwandlung der Anwendung in ein sequenziertes Format. Configuration Manager erfordert die Sequenzierung von Anwendungen mittels eines App-V 4.5-Sequenzierers oder höher, um die notwendigen Dateien (Manifest.xml-Datei) für die Veröffentlichung und Bereitstellung zu erstellen.
  2. Veröffentlichung. Die Veröffentlichung ist der Prozess der Bereitstellung virtueller Anwendungen für Benutzer oder Computer in Configuration Manager. Configuration Manager verwendet Verteilungspunkte für die Bereitstellung von Anwendungen im Streamingformat oder im Format für das Herunterladen und Ausführen.
  3. Bereitstellung. Die Bereitstellung ist der Prozess der Verschiebung virtueller Anwendungsressourcen auf die Clientcomputer. Dieser Prozess wird in einer vollständigen App-V-Infrastruktur normalerweise als Streaming bezeichnet. Configuration Manager stellt für die Bereitstellung virtueller Anwendungen zwei Optionen bereit (Streaming und Herunterladen und Ausführen). Das voreingestellte Bereitstellungsformat ist Herunterladen und Ausführen, um Abhängigkeiten von der Verbindung zu vermeiden.

Die Verwaltung virtueller Anwendungen mittels Configuration Manger erfordert den App-V-Sequenzierer für die Erstellung von Paketen, einen Configuration Manager-Siteserver, Configuration Manager-Verteilungspunkte für die Bereitstellung der Pakete sowie Configuration Manager-Clientcomputer, auf denen der App-V-Client installiert ist. Die folgenden Komponenten sind mindestens erforderlich, damit App-V in einer Configuration Manager-Infrastruktur unterstützt wird:

  • Microsoft App-V-Sequenzierer. Ähnlich wie im Fall einer App-V-Infrastruktur wird der App-V-Sequenzierer verwendet, um virtuelle Anwendungen für die Bereitstellung mit Configuration Manager zu verpacken.
  • Configuration Manager Site Server. Als Teil der Configuration Manager-Sitehierarchie verwaltet der Configuration Manager-Siteserver die Verteilung virtueller Anwendungen auf Zielsystemen mittels Configuration Manager-Verteilungspunkten als Streamingdienst oder als lokal bereitgestellte Pakete.
  • Configuration Manager Distribution Point. Configuration Manager Distribution Point-Siterollen stellen Verwaltungsdienste wie Hardware- und Softwareinventarisierung, Betriebssystembereitstellung und Softwareupdates sowie die Verteilung von physischen und virtuellen Anwendungen auf durch Configuration Manager verwalteten Zielsystemen bereit.
  • Configuration Manager-Clientpaket/App-V-Clients. Zu Clientgeräten zählen Desktop- und Laptopcomputer sowie Terminalserver und VDI-Clients. Configuration Manager-Clients, auf denen virtuelle Anwendungen über eine Configuration Manager-Infrastruktur bereitgestellt werden, setzen die Installation und Konfiguration der Configuration Manager-Client- und der App-V-Client-Software voraus. Die Configuration Manager- und die App-V-Clientsoftware arbeiten zusammen, um virtuelle Anwendungspakete bereitzustellen, zu interpretieren und zu starten. Der Configuration Manager-Client verwaltet die Bereitstellung virtueller Anwendungspakete für den App-V-Client. Der App-V-Client führt die virtuelle Anwendung auf dem Clientcomputer aus.
System Center Configuration Manager 2012

Configuration Manager 2012 ist nun als Beta-2-Version verfügbar und hilft IT-Abteilungen, die Benutzer mit den Geräten und Anwendungen auszustatten, die diese benötigen, um produktiv zu sein. Gleichzeitig behalten sie die Kontrolle, die für den Schutz der Unternehmensressourcen erforderlich ist. Die Anwendung stellt eine einheitliche Infrastruktur für die Verwaltung mobiler, physischer und virtueller Umgebungen bereit. IT-Abteilungen können die Benutzerumgebungen auf der Basis von Benutzeridentität, Konnektivität und Gerätemerkmalen bereitstellen und steuern. Zusammen mit der hervorragenden Inventarisierungsfunktion, der Betriebssystembereitstellung, der Updateverwaltung und der Einstellungsdurchsetzung, die Sie von Configuration Manager gewohnt sind, bietet Ihnen die neue Version:

  • Integration der Verwaltung mobiler, physischer und virtueller Umgebungen. Sie stellt ein einziges, einheitliches Tool dar, mit dem Sie alle Clientdesktops, Thin Clients, mobilen Geräte und virtuellen Desktops verwalten können.
  • Angepasste Anwendungsumgebung. Hiermit werden die Identität des Unternehmens, der Gerätetyp und die Netzwerkkapazitäten evualiert, um den Benutzern die Anwendungen auf optimale Weise bereitzustellen, unabhängig davon, ob es sich um eine lokale Installation, eine Übertragung mittels App-V oder um eine Bereitstellung über einen Präsentationsserver handelt. Diese Funktion kann in Citrix XenApp integriert werden, um Benutzern von einer großen Zahl mobiler Plattformen aus den Zugriff auf Geschäftsanwendungen zu ermöglichen.
  • Anwendungs-Selfservice. Ermöglicht Benutzern die sichere Selbstbereitstellung von Anwendungen von allen Standorten aus und verfügt über einen benutzerfreundlichen Webkatalog.
  • Integrierte Sicherheit und Kompatibilität. Die Integration mit Forefront Endpoint Protection stellt eine zentrale Lösung für den Schutz vor schädlicher Software sowie für die Erkennung und Behebung von Sicherheitslücken bereit. Systeme, die die Voraussetzungen nicht erfüllen, werden transparent.
  • Laufende Durchsetzung der Einstellungen. Identifiziert automatisch physische oder virtuelle Computer, die die Voraussetzungen nicht erfüllen, und richtet diese entsprechend ein.

Weitere Informationen zu den neuen aktualisierten Funktionen einschließlich der Bereitstellung virtueller Anwendungen in System Center Configuration Manager 2012 Beta 2 finden Sie unter  Einführung in die Anwendungsverwaltung in Configuration Manager 2012.


Virtual Desktop Infrastructure

Aufgrund der Einführung von Verbrauchertechnologien verwenden Benutzer am Arbeitsplatz auch Geräte, auf denen kein Windows ausgeführt wird. Slate- und Tablet-PCs, auf denen kein Windows ausgeführt wird, führen eine Reihe von Betriebssystemen aus, wie Apple iOS, Google Android, Linux usw. Diese Geräte stellen unterschiedliche Benutzeroberflächen, Sicherheitsstufen und Verwaltungsfunktionen bereit. Für Verbrauchergeräte sind zahlreiche Betriebssysteme verfügbar. Die Anwendung eines systematischen Verfahrens für deren Verwaltung und Schutz ist von wesentlicher Bedeutung.

Microsoft bietet Technologien an, die Verwaltungs- und Schutzfunktionen für eine Reihe verschiedener Verbrauchergeräte bereitstellen. Für Geräte, die nicht in der Lage sind, die vollständige Umgebung und Sicherheit von Windows 7 bereitzustellen, können Sie eine VDI-basierte Strategie verwenden, um den sicheren Zugriff auf einen von einem Server gehosteten, Windows-basierten Desktop zu ermöglichen. Dieser Ansatz ist für tragbare Computer und Slate-PCs, die nicht auf Windows basieren, am effektivsten. Eine VDI-basierte Strategie kann jedoch auch nützlich sein, wenn Mitarbeiter ihre eigenen tragbaren Windows-Computer mit an den Arbeitsplatz bringen. In diesem Fall wird VDI für die Bereitstellung eines sicheren Unternehmens-Desktops verwendet, während alle persönlichen Daten und Anwendungen nicht für das Netzwerk zugelassen werden.

VDI ist eine zentrale Lösung für die Bereitstellung von Desktops. Wie in Abbildung 4 gezeigt, besteht das Konzept von VDI in der Speicherung und Ausführung von Desktopauslastungen, einschließlich des Windows-Clientbetriebssystems, Anwendungen und Daten, auf einem serverbasierten virtuellen Computer in einem Rechenzentrum. Dies ermöglicht den Benutzern die Interaktion mit dem Desktop, der über Remote Desktop Protocol (RDP) und RemoteFX auf einem Benutzergerät dargestellt wird. VDI ist Teil der umfassenden und alle Komponenten enthaltenden Virtualisierungsstrategie für die gesamte IT-Infrastruktur und unterstützt die Vision von Microsoft für eine dynamische IT. VDI ist keine isolierte Architektur, sondern eine der zahlreichen Technologien, die für die Optimierung von Unternehmensdesktops zur Verfügung stehen.

Für Geräte, die nicht in der Lage sind, die vollständige Windows 7-Umgebung bereitzustellen, kann VDI den sicheren Zugriff auf einen servergehosteten Windows 7-Desktop bereitstellen. Im Fall von Computern und Slate-PCs, auf denen kein Windows ausgeführt wird (z. B. Apple Mac, Apple iPad und Netbooks auf der Basis von Linux) kann VDI die effektivste Lösung sein. VDI kann jedoch auch dann nützlich sein, wenn Mitarbeiter ihre eigenen tragbaren Windows-Computer mit an den Arbeitsplatz bringen. VDI kann einen sicheren Unternehmensdesktop bereitstellen, während die persönlichen Daten und Anwendungen nicht für das Netzwerk zugelassen werden.

Virtual Desktop Infrastructure-Diagramm

Abbildung 4. Virtual Desktop Infrastructure

Weitere Informationen zu VDI finden Sie unter  Virtualisierungsprodukte und -technologien.

Umgebung

Als Bestandteil von Windows Server 2008 R2 stellt Remote Desktop Services (RDS) den Remote Desktop Connection Broker (RD Connection Broker) bereit. RD Connection Broker ist ein systemeigener VDI-Verbindungsmakler, der eine konsistente Umgebung für den Zugriff auf VDI und auf traditionelle sitzungsbasierte Remotedesktops bereitstellt. RD Connection Broker stellt virtuelle Desktops auf ähnliche Weise wie RemoteApp bereit. Beispielsweise greift ein Benutzer auf http://rds-all.contoso.corp/rdweb zu, um eine Webseite mit den autorisierten und den nicht autorisierten Anwendungen und Desktops anzuzeigen, wenn er authentifiziert wurde.

Abbildung 5 zeigt drei Office 2007-Anwendungen, die mittels RemoteApp veröffentlicht wurden. In Windows Server 2008 R2 können die RemoteApp-Programme, die an einer URL angezeigt werden, aus mehreren Quellen bestehen. Sie müssen nicht auf demselben Remote Desktop Session Host (RD Session Host)- oder Terminal Services-Server installiert sein. Sie können aus mehreren RD-Sitzungshosts und Terminaldienstservern stammen, jedoch zusammengefügt und mit der gleichen URL angezeigt werden. Die Anwesenheit eines RemoteApp-Programms basiert auf der Zugriffssteuerungsliste (Access Control List) der veröffentlichten Anwendung auf dem RD Session Host. Per Voreinstellung können alle authentifizierten Benutzer auf die veröffentlichten RemoteApp-Programme zugreifen.

Screenshot der Remotedesktopverbindung

Abbildung 5. Remote Desktop Connection Broker

Das Symbol „Mein Desktop“ wird nur für diejenigen Benutzer angezeigt, denen ein persönlicher virtueller Desktop zugewiesen ist. Die Zuweisung kann in RD Connection Broker oder im Benutzerobjekt in AD DS durchgeführt werden. Wenn ein Benutzer auf dieses Symbol klickt, wird dem Gerät des Benutzers ein virtueller Desktop bereitgestellt, nachdem der Benutzer authentifiziert wurde.

Das Contoso-Desktopsymbol dient für den Zugriff auf einen virtuellen Desktop, der auf einem virtuellen Computer ausgeführt wird, der dynamisch aus einem in RD Connection Broker definierten Pool virtueller Computer ausgewählt wird. Nachdem der Pool virtueller Computer definiert wurde, wird das Symbol für den Zugriff auf einen virtuellen Computer für alle authentifizierten Benutzer auf der RDS-Webseite angezeigt, unabhängig davon, ob ein Benutzer auf den Pool zugreifen kann. Sowohl der Anzeigename der Seite als auch der Anzeigename des Symbols für den Zugriff auf den Pool virtueller Computer kann in RD Connection Broker auf einfache Weise angepasst werden. In diesem Beispiel stellen „Contoso Wonder LAN“ und „Contoso Desktop“ angepasste Anzeigenamen dar. Weitere Informationen zur RDS-Architektur und zur zentralen Rolle von RD Connection Broker für VDI-Lösungen finden Sie unter  Erläuterung der Remote Desktop Services (RDS)-Architektur.

Eine neue Funktion in Windows Server 2008 R2 ist RemoteApp and Desktop Connection. Diese ermöglicht den Zugriff auf RemoteApp-Programme, Remotedesktops und virtuelle Desktops vom Startmenü eines Computers aus, auf dem Windows 7 ausgeführt wird. Sie konfigurieren RemoteApp und Desktop Connection wie folgt:

  • Manuell in der Systemsteuerung. Für den Abschluss des Prozesses sind die URL einer RDS-Webseite und die Anmeldeinformationen des Benutzers erforderlich. Wenn RemoteApp und Desktop Connection im Auftrag eines Benutzers auf eine RDS-Webseite zugreifen, werden diese nach den Anmeldeinformationen gefragt.
  • Manuell mittels einer Clientkonfigurationsdatei (.wcx). Sie können eine Clientkonfigurationsdatei für Benutzer erstellen und verteilen, mit der RemoteApp und Desktop Connection konfiguriert werden.
  • Automatisch mittels eines Skripts. Sie können ein Skript verteilen, um die Clientkonfiguration automatisch durchzuführen, sodass RemoteApp und Desktop Connection automatisch eingerichtet werden, wenn sich Benutzer an ihren Windows 7-Computern anmelden. Die Automatisierung ist einfach, minimiert den Aufwand für die Administratoren und führt zu großer Benutzerzufriedenheit.

Mit RemoteApp und Desktop Connection können Benutzer auf RemoteApp-Programme und virtuelle Desktops direkt vom Startmenü aus zugreifen, ohne die RDS-URL angeben zu müssen. Diese Funktionalität minimiert den Aufwand für Benutzerschulungen und stellt Benutzern eine konsistente Umgebung für Windows-Anwendungen bereit.

Komponenten

Mit VDI wird ein virtueller Desktop vom Clientgerät isoliert und auf einem virtuellen Computer ausgeführt, der in einem Rechenzentrum gewartet wird. Bei dem Gerät kann es sich um einen Desktop, einen Laptop, einen Slate-PC oder einen Thin-Client-Computer handeln, auf denen Windows oder ein anderes Betriebssystem ausgeführt werden. Benutzer interagieren mit den virtuellen Desktops mittels RDP und RemoteFX. Dies sorgt für eine hoch funktionale Desktopumgebung. Vergleichbar sitzungsbasierten Remotedesktops (d. h. Terminaldiensten), stellt VDI eine Serversitzung mit einer vollständig getreuen Desktopumgebung bereit, die innerhalb eines serverbasierten Hypervisors ausgeführt wird. Die Voraussetzung für VDI ist, dass alle Benutzer virtuelle Desktops auf virtuellen Computern ausführen. Wichtige technische Komponenten der VDI sind:

  • Windows Server 2008 R2 with Hyper-V. Dies ist ein Virtualisierungshost, auf dem virtuelle Computer ausgeführt werden. Es handelt sich im Wesentlichen um ein Raster in der Infrastruktur für die Virtualisierungslösung. Es ist ein Repository mit Virtualisierungsressourcen wie virtuellen Computern, virtuellen Festplatten (Virtual Hard Disks, VHDs), Hardware- und Softwareprofilen usw.
  • Microsoft App-V: App-V ist ein dynamisches Tool für die Anwendungsbereitstellung, das auf Benutzerprofilen beruht und für das lokale Betriebssystem transparent ist. Weitere Informationen zu App-V finden Sie im Abschnitt „Application Virtualization“ in diesem Whitepaper.
  • Microsoft RDS. RDS stellt eine einzelne und konsistente URL für den Zugriff auf Ressourcen bereit, die auf mehreren Remote Desktop Session Hosts (RDSHs) und Terminalservern veröffentlicht wurden.
  • Microsoft RemoteFX. RemoteFX ist Teil von Windows 7 und Windows Server 2008 R2 mit Service Pack 1 und ermöglicht die Bereitstellung einer vollständigen Windows-Benutzerumgebung für eine Reihe von Clientgeräten, einschließlich Verbrauchergeräten. RemoteFX stellt eine hoch funktionale Benutzerumgebung für VDI bereit, in der ein virtueller 3D-Adapter, intelligente Codecs sowie der direkte Anschluss von USB-Geräten an virtuelle Computer enthalten sind. Das Tool ist in RDP integriert. Dies ermöglicht die Freigabe der Verschlüsselung, die Authentifizierung, die Verwaltung und die Geräteunterstützung.
  • System Center Management Suite. Die Suite stellt eine umfassende Verwaltungslösung für die Verwaltung des gesamten IT-Lebenszyklus bereit. Sie kann die Bereitstellung, die Aktivierung und die Verwaltung von Virtualisierungshosts und virtuellen Computern vereinfachen. Zu den Funktionen zählen:
    • Verwaltung virtueller Desktops und Anwendungen. Configuration Manager stellt die Verwaltung von Ressourcen, Anwendungen, Nutzung und der gewünschten Konfiguration für physische und virtuelle Computer bereit.
    • Durchgängige Verwaltung der VDI-Infrastruktur. System Center Operations Manager überwacht den Status, die Integrität und die Leistung, um die Betriebsbereitschaft sicherzustellen und die Verwaltungskosten insgesamt zu senken.
    • Verwaltung der VDI anderer Anbieter. Im Fall von Unternehmen, die VDI-Lösungen von Citrix verwenden, verwaltet System Center Virtual Machine Manager virtuelle Computer und die Servernutzung für das gesamte Rechenzentrum. Virtual Machine Manager ist in Operations Manager integriert, um Verwaltung von VDI-Szenarien zu optimieren. Dies ermöglicht die leistungs- und ressourcenbasierte Zuteilung virtueller Computer.
    • Einblicke in die Kompatibilität System Center Service Manager und IT GRC Process Management Pack verwenden Informationen aus Configuration Manager, Operations Manager und Active Directory, um die einheitliche Berichterstellung und transparente Kompatibilität in VDI-Umgebungen sicherzustellen.
Modelle

Es gibt zwei Bereitstellungsmodelle für VDI:

  • Ein statischer oder persistenter virtueller Desktop. In einer statischen Architektur gibt es eine 1:1-Zuordnung von virtuellen Computern und Benutzern. Jedem Benutzer wird ein designierter virtueller Computer zugewiesen. Da virtuelle Computer in der Regel in einem Storage Area Network (SAN) gespeichert und auf einem Server ausgeführt werden, führt eine große Anzahl von Benutzern wahrscheinlich zu erheblichen SAN-Anforderungen.
  • Ein dynamischer oder nicht persistenter virtueller Desktop. In einer dynamischen Architektur gibt es nur ein einziges Masterabbild des gespeicherten Desktops. Alle Benutzerpersonalisierungen, Profile, Anwendungen usw. werden getrennt vom Desktop gespeichert. Wenn ein Benutzer einen Desktop anfordert, wird ein virtueller Computer bereitgestellt, der einen Klon des Masterabbilds darstellt und mit den persönlichen Daten und Anwendungen des Benutzers kombiniert wurde. Dieser wird dem Benutzergerät dynamisch auf der Basis von Roamingprofilen und App-V bereitgestellt. Dies stellt eine personalisierte Desktopumgebung bereit, indem ein Basisabbild dynamisch bereitgestellt wird. Die Verwaltung der virtuellen Computer wird insgesamt vereinfacht, indem die Anzahl der Desktopabbilder reduziert wird.
Lizenzierung

VDI stellt im Wesentlichen einen Desktop dem Benutzergerät über eine Netzwerkverbindung und bedarfsorientiert bereit. Dies unterscheidet sich von der Ausführung eines herkömmlichen Desktop-PCs, bei dem eine OEM-Lizenz an die Hardware gebunden ist und nicht dynamisch zugewiesen werden kann, wie dies bei VDI der Fall ist. Die traditionelle Lizenzierung reicht nicht mehr aus, um die Anzahl der Lizenzen korrekt darzustellen, die in einer VDI-Bereitstellung genutzt werden.

Um neue Bereitstellungsszenarien zu ermöglichen, hat Microsoft zwei neue Lösungen für VDI eingeführt:

  • Microsoft Virtual Desktop Infrastructure Standard Suite (VDI Standard Suite)
  • Microsoft Virtual Desktop Infrastructure Premium Suite (VDI Premium Suite)

Sowohl die VDI Standard Suite als auch die VDI Premium Suite werden pro Clientgerät lizenziert, das auf die VDI-Umgebung zugreift. Dies ermöglicht Flexibilität bei Serverinfrastruktur und Serveranzahl. Weitere Informationen zur Lizenzierung über die VDI-Suiten finden Sie auf der Microsoft-Website für  Remote Desktop Services. Zusätzliche Informationen zur Lizenzierung von Remote Desktop Services finden Sie unter  Lizenzierung von Remote Desktop Services in Windows Server 2008 R2.

Überlegungen

Sowohl RDS als auch VDI sind Kernkomponenten der Desktopvirtualisierung. Sie sind für spezifische Computinganforderungen und -szenarien bestimmt, die eine schnelle und flexible Bereitstellung erfordern. Für Remotebenutzer, die Zugriff auf eine bestimmte Anwendung benötigen, um eine klar definierte Aufgabe durchzuführen – wie z. B. für die Eingabe von Daten oder von Statusberichten zur Arbeitszeit, die Aktualisierung von Inventarlisten oder die Erstellung von Berichten zu Vorfällen – genügt möglicherweise App-V. Mitarbeitern, die komplexe oder nicht strukturierte Aufgaben, wie z. B. die Analyse von Daten, die Architektur von Lösungen, die Konzipierung von Produkten, das Erstellen von Code oder die Behebung von Systemfehlern durchführen, benötigen wahrscheinlich vollständigen Zugriff auf einen Desktop, um die Produktivität sicherzustellen. Die Bereitstellung eines virtuellen Desktops stellt hier eine Lösung dar.

Obwohl VDI eine flexible Lösung ist, erfordert sie die Bereitstellung einer größeren Zahl von Serverhardwareressourcen als dies bei herkömmlichen sitzungsbasierten Remotedesktops der Fall ist. In Tabelle 1 wird die sitzungsbasierte Virtualisierung mit VDI verglichen. Grundsätzlich erfordert VDI eine Anfangsinvestition in Server- und Speicherhardware, um alle benötigten virtuellen Computer zu speichern und auszuführen. Um sicherzustellen, dass die Benutzer auf die virtuellen Desktops zugreifen können, muss das Netzwerk, das die VDI unterstützt, hoch verfügbar sein. Im Allgemeinen ist die Anforderung an die Netzwerkbandbreite höher als bei Terminaldiensten, wenn VDI unterstützt werden soll. Die Software für die Verwaltung der virtuellen Computer spielt ebenfalls eine wichtige Rolle bei der Verwaltung der virtuellen Desktops im Unternehmen.

Tabelle für den Vergleich der sitzungsbasierten Virtualisierung mit VDI

Tabelle 1. Sitzungsbasierte Virtualisierung im Vergleich zu VDI

Außerdem sollten die Benutzer nicht erwarten, dass ein Remotedesktop oder ein virtueller Desktop genau wie ein lokal installierter Desktop funktionieren. Die Audio-, Video und USB-Leistung auf einem Remotedesktop ist möglicherweise nicht so umfassend wie im Fall von Anwendungen oder Geräten, die direkt auf einem Benutzergerät ausgeführt werden oder direkt an ein solches angeschlossen sind. Ein leistungsfähiger Client wird Benutzern stets eine bessere Umgebung bereitstellen als ein Client, der über VDI bereitgestellt wird. Insgesamt sollten Überlegungen hinsichtlich einer VDI-Lösung mindestens die folgenden Punkte berücksichtigen, ohne auf diese beschränkt zu sein:

  • Anwendungsbereitstellung
  • Verbindungsverwaltung
  • Rechenzentrumskapazitäten
  • Abbildverwaltung
  • Infrastruktur mit Hypervisorhosts
  • Lizenzierung
  • VM-Verwaltung

Hinweis: Citrix XenDesktop ist eine Microsoft Partner-Lösung, die virtuelle Desktops und Anwendungen Benutzern auf jedem von diesen verwendeten Gerät bedarfsorientiert und an jedem Ort bereitstellt. Weitere Informationen zu Citrix XenDesktop finden Sie auf der Website für  Citrix XenDesktop. Außerdem wird im Blogbeitrag  Die Nutzung von Citrix XenDesktop als Makler durch Microsoft Virtual Desktop Infrastructure (VDI) detailliert beschrieben, wie XenDesktop in VDI-Architekturen passt und diese optimiert.


Auswahl der richtigen Technologien

In diesem Artikel wurden vier Technologien beschrieben, die Ihrem Unternehmen bei der Einführung von Verbrauchertechnologien helfen können. Diese Technologien sind Windows Optimized Desktop, Windows Intune, Application Virtualization und VDI. In der folgenden Liste wird beschrieben, welchen Verbrauchertechnologieszenarien diese Technologien jeweils entsprechen.

  • Verwaltete Windows PCs. Windows Optimized Desktop kann IT-Experten die nötige Kontrolle über die PC-Konfigurationen bereitstellen und gibt gleichzeitig den Benutzern die nötige Flexibilität, um ihre Aufgaben zu erledigen. Weitere Informationen finden Sie im Abschnitt „Windows Optimized Desktop“ in diesem Artikel.
  • Nicht verwaltete Windows PCs. Die Bereitstellung von Windows Intune ist einfach. Sie können diese Technologie für die Verwaltung nicht verwalteter Windows-PCs verwenden, die Benutzer mit an den Arbeitsplatz bringen. Weitere Informationen zu Windows Intune finden Sie im Abschnitt „Windows Cloud Services“ in diesem Artikel.
  • Geräte, auf denen kein Windows ausgeführt wird. Für Geräte, auf denen kein Windows ausgeführt wird, kann VDI Benutzern die vollständige Windows-Umgebung bereitstellen. Weitere Informationen zu VDI finden Sie im Abschnitt „Virtual Desktop Infrastructure“ in diesem Artikel.

In allen Fällen kann die Anwendungsvirtualisierung Benutzern den Zugriff auf die Anwendungen bereitstellen, die sie benötigen. Weitere Informationen finden Sie im Abschnitt „Application Virtualization“ in diesem Artikel.


Unterstützung für Smartphones und für Betriebssysteme für Mobilgeräte

Es gibt Tools für die Verwaltung von Smartphones in Unternehmen. Sie können z. B. Exchange ActiveSync verwenden, um zahlreiche Smartphones mit Windows und anderen Betriebssystemen zu verwalten. Exchange ActiveSync ist ein Microsoft Exchange Server-Synchronisierungsprotokoll, das Netzwerke mit hoher Latenz und niedriger Bandbreite optimiert ist. Dieses Protokoll basiert auf HTTP und XML und ermöglicht Geräten den Zugriff auf Informationen wie E-Mail, Kalender und Kontakte auf einem Exchange Server-System.

Exchange ActiveSync stellt darüber hinaus über Exchange ActiveSync-Postfachrichtlinien und verwandte Tools Verwaltungsfunktionen bereit. Beispielsweise unterstützt Windows Phone 7 Verwaltungsrichtlinien wie die Anforderung von Kennwörtern und die Durchsetzung der Kennwortstärke. Es ermöglicht außerdem die Remotelöschung von Daten auf dem Gerät und die Wiederherstellung der herstellerseitigen Einstellungen, wenn die Entsperrung mehrfach misslingt.

Die Verwaltung mittels Exchange ActiveSync ist ein Branchenstandard für Smartphones und andere Kleingeräte. Plattformen wie Apple iPhone und iPad, Google Android, Nokia Symbian und Palm unterstützen Exchange ActiveSync und Postfachrichtlinien in unterschiedlichem Umfang. Im Blogbeitrag  Aktualisierung – Vergleich von Exchange ActiveSync-Clients (Windows Phone, Windows Mobile, Android, Nokia, Apple, Palm) wird die Unterstützung für Exchange ActiveSync auf zahlreichen verschiedenen Plattformen behandelt.

In diesem Abschnitt werden einige der Postfachrichtlinien und Tools in Exchange ActiveSync beschrieben, die Sie für die Verwaltung von Smartphones verwenden können. Weitere Informationen zu Exchange ActiveSync finden Sie auf TechNet unter  Verwalten von Exchange ActiveSync-Geräten.

Remotegerätebereinigung

Auf Mobiltelefonen können sensible Unternehmensdaten gespeichert sein. Sie können außerdem den Zugriff auf Unternehmensressourcen ermöglichen. Wenn ein Gerät verloren geht oder gestohlen wird, sind möglicherweise Unternehmensdaten gefährdet. Mittels Exchange ActiveSync-Richtlinien können Sie für Mobiltelefone Kennwortanforderungen einrichten. Benutzer müssen ein Kennwort eingeben, um auf das Telefon zuzugreifen. Microsoft empfiehlt, dass Sie die Mobiltelefone nicht nur für Gerätekennwörter einrichten, sondern auch für die Anforderung eines Kennworts, wenn das Gerät eine Zeitlang nicht aktiv war. Die Kombination eines Gerätekennworts und einer Sperrung bei Inaktivität sorgt für eine höhere Sicherheit für die Unternehmensdaten. Weitere Informationen finden Sie im Abschnitt „Geräteverwaltung“ weiter unten in diesem Artikel.

Zusätzlich zu diesen Funktionen verfügt Microsoft Exchange Server 2010 über eine Funktion zur Remotebereinigung. Sie können von der Exchange-Verwaltungskonsole (Exchange Management Console, EMC) einen Befehl zur Remotebereinigung des Geräts senden. Benutzer können eigene Befehle zur Gerätebereinigung von der Microsoft Office Outlook Web App-Benutzeroberfläche aus senden. Die Funktion zur Remotebereinigung enthält außerdem eine Bestätigungsfunktion, die einen Zeitstempel in den Synchronisierungsstatus des Postfachs des Benutzers schreibt. Dieser Zeitstempel wird in Outlook Web App und im Dialogfeld für die Eigenschaften des Mobiltelefons des Benutzers in der EMC angezeigt. Zusätzlich zum Zurücksetzen des Mobiltelefons auf die Werkseinstellungen werden durch die Bereinigung eines Remotegeräts auch alle Daten auf allen Speicherkarten im Mobiltelefon gelöscht.

Wichtig: Nach einer Remotebereinigung ist die Wiederherstellung der Daten sehr schwierig. Kein Prozess zur Datenentfernung versetzt ein Gerät jedoch in den gleichen datenfreien Zustand, den es hatte, als es neu war. Die Wiederherstellung von Daten auf dem Gerät ist möglicherweise mittels spezieller Tools möglich.

Sie können die Remotebereinigung auf drei Arten durchführen:

  • Sie verwenden die EMC zur Remotebereinigung eines Mobiltelefons.
  • Sie verwenden Outlook Web App zur Remotebereinigung eines Mobiltelefons.
  • Sie verwenden die Exchange Management Shell zur Remotebereinigung eines Mobiltelefons.

Weitere Informationen zur Remotebereinigung in Exchange Server 2010 finden Sie auf TechNet unter  Durchführung einer Remotebereinigung auf einem Mobiltelefon.

Geräteverwaltung

Sie können eine Exchange ActiveSync-Postfachrichtlinie erstellen, um eine Reihe von Sicherheitsoptionen für Benutzer und Geräte zu konfigurieren. Zusätzlich zu Kennwortanforderungen und -einstellungen können Sie auf der Registerkarte „Allgemein“ für die Richtlinie die Arten von Mobiltelefonen angeben, die eine Verbindung mit dem Exchange Server-System herstellen dürfen und ob Anlagen synchronisiert werden dürfen. Im Folgenden werden die verfügbaren Richtlinien zusammengefasst:

  • Allgemeine Richtlinien geben die Arten von Mobiltelefonen an, die eine Verbindung mit dem Exchange Server-System herstellen dürfen, und ob Anlagen synchronisiert werden dürfen.
    • Zulassen von nicht bereitstellbaren Geräten. Lässt Mobiltelefone zu, die nicht automatisch bereitgestellt werden können. Auf diesen Mobiltelefonen können möglicherweise nicht alle Exchange ActiveSync-Richtlinieneinstellungen durchgesetzt werden. Durch die Aktivierung dieser Richtlinie können Sie diesen Mobiltelefonen die Synchronisierung gestatten, auch wenn einige Richtlinieneinstellungen möglicherweise nicht angewendet werden können.
    • Aktualisierungsintervall Zwingt den Server, die Richtlinie in festen Abständen erneut an die Clients zu senden. Die Abstände werden durch die Anzahl der Stunden definiert, die zwischen den Aktualisierungsereignissen für die Richtlinie liegen.
  • Kennwortanforderungen für Exchange ActiveSync-Clients:
    • Fordert ein Kennwort an. Fordert ein Kennwort für das Mobiltelefon an. Wenn Kennwörter erforderlich sind, werden die folgenden Richtlinien verfügbar:
    • Alphanumerisches Kennwort anfordern. Gibt an, dass das Mobiltelefonkennwort nicht numerische Zeichen enthalten muss. Die Anforderung nicht numerischer Zeichen erhöht die Kennwortsicherheit.
    • Mindestanzahl von Zeichensätzen. Gibt die Komplexität des alphanumerischen Kennworts an und zwingt Benutzer, eine Auswahl der folgenden Zeichensätze zu verwenden: Kleinbuchstaben, Großbuchstaben, Symbole und Ziffern.
    • Kennwortwiederherstellung aktivieren. Aktiviert die Kennwortwiederherstellung für das Mobiltelefon. Benutzer können Outlook Web App verwenden, um das Wiederherstellungskennwort anzuzeigen und das Mobiltelefon zu entsperren. Administratoren können die EMC verwenden, um das Wiederherstellungskennwort eines Benutzers anzuzeigen.
    • Verschlüsselung auf dem Gerät anfordern. Erfordert Verschlüsselung auf dem Mobilelement. Dies erhöht die Sicherheit, da alle Informationen auf dem Mobiltelefon verschlüsselt werden.
    • Verschlüsselung auf Speicherkarten anfordern. Fordert die Verschlüsselung auf der austauschbaren Speicherkarte des Mobiltelefons an. Dies erhöht die Sicherheit, da alle Informationen auf den Speicherkarten des Mobiltelefons verschlüsselt werden.
    • Einfaches Kennwort zulassen. Ermöglicht Benutzern das Sperren der Mobiltelefone mit einfachen Kennwörtern wie 1111 or 1234. Wenn Sie die Markierung für dieses Kontrollkästchen entfernen, müssen Benutzer Kennwortsequenzen mit höherer Sicherheit verwenden.
    • Anzahl der zulässigen Fehlversuche. Begrenzt die Anzahl der Versuche für die Eingabe von Kennwörtern, die ein Mobiltelefon akzeptiert, bevor alle Informationen auf dem Mobiltelefon gelöscht werden und das Mobiltelefon auf die ursprünglichen Werkseinstellungen zurückgesetzt wird. Dies reduziert das Risiko, dass ein nicht autorisierter Benutzer auf Informationen auf einem verloren gegangenen oder gestohlenen Mobiltelefon zugreift, das ein Kennwort erfordert.
    • Mindestlänge für das Kennwort. Legt eine Mindestlänge für das Kennwort für das Mobiltelefon fest. Lange Kennwörter können zusätzliche Sicherheit bieten. Lange Kennwörter können jedoch die Verwendbarkeit eines Mobiltelefons einschränken. Eine Kennwortlänge von vier bis sechs Zeichen wird empfohlen.
    • Zeitraum ohne Benutzereingabe, bis das Kennwort erneut eingegeben werden muss (in Minuten). Wenn für das Mobiltelefon ein Kennwort erforderlich ist, wird der Benutzer nach dem Kennwort gefragt, wenn das Mobiltelefon für einen bestimmten Zeitraum inaktiv war. Wenn diese Einstellung z. B. auf 15 Minuten festgelegt ist, muss der Benutzer das Kennwort für das Mobiltelefon eingeben, wenn das Mobiltelefon 15 Minuten lang inaktiv war. Wenn das Mobiltelefon für 10 Minuten inaktiv war, muss der Benutzer das Kennwort nicht erneut eingeben.
    • Kennwortablauf (in Tagen). Zwingt Benutzer, das Kennwort für das Mobiltelefon in bestimmten Zeitabständen zurückzusetzen. Der Zeitabstand wird in Tagen angegeben.
    • Kennwortverlauf erzwingen. Zwingt das Mobiltelefon, die erneute Verwendung früherer Kennwörter durch den Benutzer zu abzulehnen. Die von Ihnen festgelegte Anzahl bestimmt, wie viele frühere Kennwörter der Benutzer nicht wieder verwenden darf.
  • Die Richtlinien für die Synchronisierungseinstellungen legen eine Reihe von synchronisierungsspezifischen Einstellungen fest:
    • Vergangene Kalendereinträge einschließen. Wählt den Datumsbereich für die Kalendereinträge aus, die mit dem Mobiltelefon synchronisiert werden sollen. Zu den verfügbaren Optionen gehören: Alle, Zwei Wochen, Ein Monat, Drei Monate und Sechs Monate. Wenn Sie andere Optionen benötigen, können Sie diese in der Shell konfigurieren.
    • Vergangene E-Mail-Einträge einschließen. Wählt den Datumsbereich für die E-Mail-Einträge aus, die mit dem Mobiltelefon synchronisiert werden sollen. Zu den verfügbaren Optionen gehören: Alle, Ein Zag, Drei Tage, Eine Woche, Zwei Wochen und Ein Monat. Wenn Sie andere Optionen benötigen, können Sie diese in der Shell konfigurieren.
    • E-Mail-Größe beschränken (KB). Begrenzt die Größe der Nachricht, die auf das Mobiltelefon heruntergeladen werden kann. Mach der Aktivierung dieser Richtlinie müssen Sie die maximale Nachrichtengröße in Kilobyte (KB) angeben.
    • Direkten Push beim Roaming zulassen. Ermöglicht dem Mobiltelefon die Synchronisierung mit neuen Einträgen, wenn Sie mit dem Telefon roamen. Wenn Sie sich außerhalb des normalen Dienstbereichs befinden, führt das Telefon ein Roaming durch. Informieren Sie sich bei Ihrem Mobiltelefonanbieter über den normalen Dienstbereich. Bei Deaktivierung dieser Richtlinie müssen Sie die Synchronisierung manuell starten, wenn das Telefon ein Roaming durchführt, und die Datenraten sind traditionell höher.
    • HTML-E-Mails zulassen. Ermöglicht E-Mail-Nachrichten, die in HTML formatiert sind, die Synchronisierung mit dem Mobiltelefon. Wenn diese Richtlinie nicht aktiviert ist, werden alle E-Mail-Nachrichten vor der Synchronisierung zu einfachen Textnachrichten konvertiert. Diese Richtlinie hat keine Auswirkungen darauf, ob Nachrichten auf dem Mobiltelefon empfangen werden können.
    • Das Herunterladen von Anlagen auf das Gerät zulassen. Ermöglicht das Herunterladen von Anlagen auf das Mobiltelefon. Wenn diese Richtlinie deaktiviert ist, wird der Name der Anlage in der E-Mail-Nachricht angezeigt. Diese kann jedoch nicht auf das Mobiltelefon heruntergeladen werden.
    • Maximale Größe der Anlage (KB). Legt die maximale Größe der Anlagen fest, die auf das Mobiltelefon heruntergeladen werden können. Mach der Aktivierung dieser Richtlinie müssen Sie die maximale Größe der Anlage in Kilobyte (KB) angeben. Wenn diese Richtlinie aktiviert ist, können Anlagen, die die angegebene Größe überschreiten, nicht auf das Gerät heruntergeladen werden.
  • Geräterichtlinien legen eine Reihe von gerätespezifischen Einstellungen fest:
    • Wechselspeichermedien zulassen. Ermöglicht den Zugriff auf Speicherkarten von einem Mobiltelefon aus. Wenn diese Richtlinie nicht aktiviert ist, kann von einem Mobiltelefon nicht auf Speicherkarten zugegriffen werden.
    • Kamera zulassen. Ermöglicht die Verwendung der Kamera des Mobiltelefons.
    • Wi-Fi zulassen. Ermöglicht dem Mobiltelefon die Verwendung eines Wi-Fi-Anschlusses für den Internetzugriff. Der direkte Push wird nicht von Wi-Fi unterstützt.
    • Infrarot zulassen. Ermöglicht dem Mobiltelefon die Herstellung einer Infrarotverbindung mit anderen Geräten oder Computern.
    • Internetfreigabe auf dem Gerät zulassen. Ermöglicht einem anderen Gerät die Nutzung der Internetverbindung auf dem Mobiltelefon. Die Internetfreigabe wird häufig dann verwendet, wenn das Gerät als Modem für einen Laptop oder einen Desktopcomputer verwendet wird.
    • Remotedesktop auf dem Gerät zulassen. Ermöglicht dem Mobiltelefon die Herstellung einer Remotedesktopverbindung mit einem anderen Computer.
    • Desktopsynchronisierung zulassen. Ermöglicht dem Mobiltelefon die Synchronisierung mit einem Desktopcomputer über ActiveSync oder das Windows Mobile Device Center.
    • Bluetooth zulassen. Steuert die Bluetooth-Funktionalität des Mobiltelefons. Sie können Bluetooth zulassen, deaktivieren oder nur Bluetooth Hands Free aktivieren.
  • Richtlinien für Geräteanwendungen aktivieren oder deaktivieren bestimmte Funktionen auf einem Mobiltelefon:
    • Browser zulassen. Ermöglicht Mobiltelefonen die Verwendung von Pocket Internet Explorer. Diese Richtlinie steuert nicht den Zugriff auf die Browser anderer Anbieter.
    • Verbraucher-E-Mail zulassen. Ermöglicht dem Mobiltelefon den Zugriff auf andere E-Mail-Konten als Exchange Server-Konten. Zu Verbraucher-E-Mail-Konten gehören Konten, auf die über POP3 und IMAP4 zugegriffen wird. Diese Richtlinie steuert nicht den Zugriff auf die E-Mail-Anwendungen anderer Anbieter für Mobiltelefone.
    • Nicht signierte Anwendungen zulassen. Lässt die Installierung nicht signierter Anwendungen auf dem Mobiltelefon zu.
    • Nicht signierte Installationspakete zulassen. Lässt die Ausführung nicht signierter Installationspakete auf dem Mobiltelefon zu.
  • Andere Richtlinien geben zulässige und gesperrte Anwendungen an:
    • Zulässige Anwendungen. Fügt Anwendungen der Liste zulässiger Anwendungen hinzu oder entfernt diese von der Liste. Zulässige Anwendungen dürfen auf dem Mobiltelefon installiert und ausgeführt werden. Durch das Klicken auf „Hinzufügen“ wird eine Anwendung hinzugefügt. Durch das Klicken auf „Löschen“ wird eine Anwendung entfernt.
    • Gesperrte Anwendungen. Fügt Anwendungen der Liste gesperrter Anwendungen hinzu oder entfernt diese von der Liste. Gesperrte Anwendungen dürfen auf dem Mobiltelefon nicht ausgeführt werden. Durch das Klicken auf „Hinzufügen“ wird eine Anwendung hinzugefügt. Durch das Klicken auf „Löschen“ wird eine Anwendung entfernt.

Die vollständige Liste der Postfachrichtlinien finden Sie auf TechNet unter  Verwalten von Exchange ActiveSync mittels Richtlinien. Dort wird auch beschrieben, wie Sie diese mittels der EMC und der Shell konfigurieren. Die Verwaltung von Geräten mittels Exchange Active Synch wird auch eine Kernfunktion von System Center Configuration Manager 2012 sein. Diese Anwendung befindet sich zurzeit in der Beta-2-Phase.

Wert für das Leerlaufzeitlimit

Bei der Direct Push-Technologie wird Exchange ActiveSync zur Synchronisierung der Daten auf einem Smartphone mit den Daten auf einem Microsoft Exchange Server verwendet. Bei Firewalls gibt der Timeoutwert für Leerlaufzeit des Netzwerks an, wie lange eine Verbindung ohne Datenverkehr bestehen darf, nachdem eine Transmission Control Protocol (TCP)-Verbindung hergestellt wurde. Sie müssen diesen Timeoutwert korrekt festlegen, damit das Exchange ActiveSync-Taktintervall und das Unternehmenssitzungsintervall effektiv kommunizieren können. Wenn die Firewall die Sitzung beendet, werden keine E-Mails übermittelt, bis der Client die Verbindung wieder herstellt. Außerdem ist es möglich, dass über einen langen Zeitraum keine Synchronisierung stattfindet. Microsoft empfiehlt, dass Unternehmen die Timeoutwerte für eingehende Firewalls auf 30 Minuten einstellen. Weitere Informationen finden Sie unter  Direct Push und Exchange Server 2010.

Automatische Erkennung von Einstellungen

Exchange Server enthält die automatische Erkennung von Einstellungen. Dies vereinfacht die Bereitstellung von Mobiltelefonen, da nach der Eingabe der E-Mail-Adresse und des Kennworts durch den Benutzer die erforderlichen Systemeinstellungen zurückgegeben werden. Die automatische Erkennung ist in Exchange Server 2010 per Voreinstellung aktiviert (Abbildung 6).

Diagramm für die automatische Erkennung in Exchange ActiveSync

Abbildung 6. Automatische Erkennung mit Exchange ActiveSync

Der in Abbildung 6 beschriebene Prozess ist wie folgt:

  1. Der Benutzer gibt den Benutzernamen und das Kennwort auf dem Mobiltelefon ein.
  2. Das Mobiltelefon stellt eine Verbindung mit einem Root-DNS-Server her, um die URL für die automatische Erkennung sowie die IP-Adresse für die Domäne des Benutzers abzurufen.
  3. Das Mobiltelefon verwendet eine Secure Sockets Layer (SSL)-Verbindung für die Verbindung über die Firewall mit dem virtuellen Verzeichnis für die automatische Erkennung. Die automatische Erkennung erstellt die XML-Antwort, basierend auf den Synchronisierungseinstellungen des Servers.
  4. Die automatische Erkennung sendet die XML-Antwort über die Firewall per SSL. Diese XML-Antwort wird durch das Mobiltelefon interpretiert, und die Synchronisierungseinstellungen werden automatisch auf dem Mobiltelefon konfiguriert.

Die Fähigkeit, die automatische Erkennung zu verwenden, ist vom Betriebssystem des Mobiltelefons abhängig, das Sie verwenden. Nicht alle Betriebssysteme für Mobiltelefone, die die Synchronisierung mit Exchange Server unterstützen, unterstützen auch die automatische Erkennung. Weitere Informationen zu den Betriebssystemen, die die automatische Erkennung unterstützen, finden Sie im Blogeintrag  Aktualisierung – Vergleich von Exchange ActiveSync-Clients (Windows Phone, Windows Mobile, Android, Nokia, Apple, Palm).

Anleitungen zur Konfigurierung der automatischen Erkennung in Exchange Server finden Sie unter  Konfigurieren der Exchange ActiveSync-Einstellungen für die automatische Erkennung.


Schlussbemerkung

Die IT-Abteilung muss die Anpassung an Verbrauchertechnologien vornehmen können, wenn dies angebracht ist, und gleichzeitig die Risiken für das Unternehmen und dessen Daten minimieren. Wenn Sie Ihre Benutzer analysieren und verstehen, und nicht nur die Geräte betrachten, die diese verwenden möchten, können Sie dazu beitragen, dass Verbrauchertechnologien dem Unternehmen Vorteile verschaffen und diese Vorteile gemessen und evaluiert werden können.

Durch die Einführung von Verbrauchertechnologien können Unternehmen die Produktivität steigern und Wettbewerbsvorteile erzielen. Verbrauchertechnologien stellen eine große Chance dar, wenn die in diesem Whitepaper beschriebenen Strategien befolgt werden. Unternehmensressourcen können geschützt werden, und die Mitarbeiter und die IT-Abteilung werden zu Partnern. Microsoft bietet eine Reihe von Lösungen für Unternehmen an, die Ihnen helfen können, die Anforderungen Ihrer Benutzer an Verbrauchertechnologien zu erfüllen, von der Bereitstellung von Windows Optimized Desktop über die cloudbasierte Verwaltung mittels Windows Intune bis hin zu Smartphones, auf denen Windows oder andere Betriebssysteme ausgeführt werden.

Verwandte Ressourcen