Microsoft-Technologien für die Consumerization of ITVeröffentlicht: 19. April 2011 Der Arbeitsplatz verändert sich. Die Grenzen zwischen dem beruflichen und dem privaten Leben der Menschen werden mehr und mehr verwischt. Die Arbeit wird nicht mehr nur im Büro geleistet. Die Mitarbeiter lesen die beruflichen E-Mails, wenn sie abends zuhause sind, und aktualisieren soziale Medien am Tag im Büro. Zusätzlich zu Desktop-PCs verwenden sie tragbare Computer, Netbooks und Smartphones. Zu dieser Entwicklung trägt die zunehmende Leistung bei, die für eine große Zahl von Geräten verfügbar ist. Geräte für Verbraucher einschließlich Smartphones und Medientablets werden zunehmend leistungsfähiger und können Anwendungen ausführen, die zuvor Desktop-PCs und tragbaren PCs vorbehalten waren. Für viele Benutzer stellen diese Geräte die Zukunft des Computings dar und helfen ihnen, ihre Aufgaben effizienter auszuführen. In einer Welt, in der stark verwaltete Informationstechnologie-Infrastrukturen als nicht flexibel empfunden werden können, bevorzugen Mitarbeiter die zahlreichen Verbrauchergeräte, die ihnen zur Verfügung stehen. Die Aufgabe für die IT-Abteilung besteht darin, die Anpassung an die Verbrauchergeräte vorzunehmen, wenn dies angebracht ist, und die Risiken für das Unternehmen und dessen Daten zu minimieren. Zahlreiche Verbrauchergeräte waren ursprünglich nicht für eine geschäftliche Verwendung vorgesehen. Daher müssen IT-Abteilungen den erforderlichen Grad an Verwaltung und Kontrolle sorgfältig planen. Als führender Anbieter von Geschäfts- und Verbrauchertechnologien ist Microsoft in der einzigartigen Lage, dies zu verstehen und Anleitungen bereitzustellen, wie die Consumerization of IT in Unternehmen auf verantwortungsvolle Weise durchgeführt werden kann. In einem früheren Whitepaper mit dem Titel Strategies for Embracing Consumerization (Strategien für die Anpassung an Verbrauchertechnologien) finden Sie Informationen zu bestimmten Strategien für die Anpassung an die neuesten Trends bei Verbrauchertechnologien. In diesem Artikel werden bestimmte Technologien beschrieben, die im eben genannten Whitepaper für die verschiedenen Szenarien empfohlen werden. In diesem Artikel:
Windows Optimized DesktopWindows Optimized Desktop stellt Optionen für das Clientcomputing bereit, um die Benutzerproduktivität zu verbessern, während gleichzeitig spezifische Geschäfts- und IT-Anforderungen erfüllt werden. Windows Optimized Desktop wurde auf der Basis von Windows 7 Enterprise entwickelt, wird mittels Microsoft System Center verwaltet und durch Microsoft Forefront Endpoint Protection geschützt. Die Technologie stellt Virtualisierungstechnologien mit integrierter Verwaltung für physische und virtuelle Computer bereit, einschließlich virtueller Desktopinfrastrukturen. Durch die Hinzufügung von Microsoft Office 2010, Windows Internet Explorer 9 und des Microsoft Desktop Optimization Pack (MDOP) werden die Produktivität, die Verwaltbarkeit und der Schutz der Mitarbeiter verbessert. Dieser Abschnitt behandelt die spezifischen Technologien in Windows Optimized Desktop, mit denen die IT-Abteilung Anpassungen auf leistungsfähigen Geräten vornehmen kann, auf denen Windows 7 ausgeführt wird. Diese Technologien unterstützen Aufgaben wie die Verwaltung von Anwendungen und Benutzerdaten sowie den Schutz von Daten, des Netzwerks und des geistigen Eigentums in Szenarien, in denen Verbrauchergeräte verwendet werden. AnwendungsverwaltungIn Szenarien mit Verbrauchergeräten besteht die Anwendungsverwaltung in der Bereitstellung von Anwendungen und in der Kontrolle darüber, welche Anwendungen von den Benutzern auf den Computern ausgeführt werden können. System Center Configuration Manager 2007 und Microsoft Application Virtualization (App-V) sind wesentliche Bereitstellungstechnologien. Zusätzlich können Sie mit AppLocker, einer Windows 7 Enterprise-Funktion, den Zugriff auf Anwendungen steuern. Configuration Manager stellt eine umfangreiche Palette von Tools und Ressourcen bereit, mit denen Sie die komplexen Aufgaben bewältigen können, die mit der Erstellung, Modifizierung und Verteilung von Anwendungspaketen auf den Computern des Unternehmens verbunden sind. Die Bereitstellung von Anwendungen mittels der vorhandenen Configuration Manager-Infrastruktur ist bemerkenswert einfach. Administratorworkflows für die Softwareverteilung auf TechNet beschreibt diesen Prozess im Detail:
Unternehmen, die über System Center Essentials verfügen, können es für die Verteilung von Anwendungen verwenden. Weitere Informationen zu Microsoft Essentials finden Sie unter System Center Essentials. Technische Anleitungen für die Bereitstellung von Anwendungen finden Sie im Betriebshandbuch für System Center Essentials 2010. Für die Steuerung des Zugriffs auf physische oder virtuelle Anwendungen enthält Windows 7 Enterprise die AppLocker-Funktion. AppLocker ist eine neue Funktion, die die Richtlinien für die Beschränkung von Software ersetzt, die Sie aus früheren Windows-Versionen kennen. Sie fügt Optionen hinzu, mit denen der Verwaltungaufwand reduziert wird und die Ihnen helfen, den Zugriff der Benutzer auf Programmdateien, Skripts und Windows Installer-Dateien zu steuern. Durch die Verwendung von AppLocker für die Steuerung des Zugriffs auf physische Anwendungen können Sie die Ausführung nicht lizenzierter, schädlicher und nicht autorisierter Anwendungen verhindern. Um AppLocker zu verwenden, müssen Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) erstellen und anschließend darin AppLocker-Regeln definieren. Innerhalb einer Regel können Sie für einen bestimmten Benutzer oder eine bestimmte Gruppe den Zugriff auf eine Programmdatei, ein Skript oder eine Windows Installer-Datei zulassen oder ablehnen. Sie identifizieren die Datei mittels der digitalen Signatur anhand von Dateiattributen, wie Hersteller, Produktname, Dateiname und Dateiversion. Sie können beispielsweise Regeln auf der Basis des Produktnamens und der Dateiversion erstellen. Diese Attribute bleiben für mehrere Updates gleich. Sie können z. B. auch Regeln erstellen, die für eine bestimmte Dateiversion gelten sollen. Zusätzlich zur Genehmigung oder Ablehnung des Zugriffs auf eine Datei können Sie Ausnahmen definieren. Sie können zum Beispiel eine Regel erstellen, mit der die Ausführung aller Programme zugelassen wird, die mit Windows 7 ausgeliefert werden, mit Ausnahme des Registry-Editors (regedit.exe). AppLocker kann überraschend einfach konfiguriert und bereitgestellt werden. Die Funktion stellt Assistenten bereit, mit denen Regeln für Programmdateien, Skripts und Windows Installer-Dateien leicht definiert werden können. Da AppLocker Benutzer jedoch daran hindert, Dateien zu öffnen oder auszuführen, die nicht ausdrücklich in einer Regel definiert werden, sollten Sie die AppLocker-Bereitstellung nach der Analyse des Anwendungsbestands in Ihrer Umgebung einplanen. Weitere Informationen zu AppLocker finden Sie im Abschnitt AppLocker auf TechNet. Virtualisierung des BenutzerstatusEine besondere Herausforderung für die Anpassung an Verbrauchertechnologien stellt die Tatsache dar, dass Personen mit mehr als einem Computer arbeiten. Dieses Szenario kann sowohl Endbenutzern als auch IT-Experten Probleme bereiten. Die Dateien und Einstellungen der Benutzer folgen diesen nicht, wenn sie von Computer zu Computer wechseln. Wenn ein Benutzer ein Dokument auf dem Computer am Arbeitsplatz erstellt, ist dieses nicht sofort verfügbar, wenn der Benutzer sich an einem Netbook oder über einen virtuellen Computer anmeldet, bei dem es sich nicht um einen Windows-PC handelt. Die dezentrale Speicherung von Dateien und Einstellungen bedeutet noch größere Probleme für die IT. Die Sicherung der Dateien ist schwierig. Es ist nicht einfach, sie zu sichern. Und da sie über zahlreiche PCs verstreut sind, ist es schwierig, die Verfügbarkeit wichtiger Dateien sicherzustellen. Die Virtualisierung des Benutzerstatus löst diese Herausforderungen. Durch die zentrale Speicherung von Benutzerdateien und -einstellungen werden Sicherung und Schutz einfacher. Die Verfügbarkeit wichtiger Dateien kann sichergestellt werden. Durch die Virtualisierung des Benutzerstatus stehen die Dateien und Einstellungen den Benutzern stets zur Verfügung, wenn sie von einem PC zu einem anderen PC oder zu einem virtuellen Computer wechseln. In Windows 7 dienen drei Technologien der Unterstützung der Virtualisierung des Benutzerstatus:
Das Handbuch Infrastrukturplanung und -entwurf: Virtualisierung des Windows-Benutzerstatus kann Ihnen bei der Implementierung der Benutzerstatusvirtualisierung helfen. Sicherheit der lokalen DatenDie BitLocker-Laufwerkverschlüsselung ist ein wichtiges Sicherheitsfeature in Windows 7 Enterprise, das zum Schutz der Daten beiträgt, die auf Festplatten und auf dem Betriebssystemlaufwerk gespeichert sind. BitLocker hilft beim Schutz vor Offlineangriffen. Dies sind Angriffe, bei denen das installierte Betriebssystem deaktiviert oder umgangen wird bzw. die Festplatte physisch entfernt wird, um die Daten getrennt anzugreifen. BitLocker hilft sicherzustellen, dass die Benutzer die Daten auf dem Laufwerk nur dann lesen bzw. nur dann Daten auf das Laufwerk schreiben können, wenn sie entweder über das erforderliche Kennwort bzw. über Smartcard-Anmeldeinformationen verfügen oder das Datenlaufwerk auf einem durch BitLocker geschützten Computer verwenden, das über die korrekte Schlüssel verfügt. Der BitLocker-Schutz auf Betriebssystemlaufwerken unterstützt die Zwei-Faktor-Authentifizierung, indem ein Trusted Platform-Modul (TPM) zusammen mit einer persönlichen Identifikationsnummer (PIN) oder einem Startupschlüssel verwendet wird. Alternativ wird bei der Ein-Faktor-Authentifizierung ein Schlüssel auf einem USB-Laufwerk gespeichert oder einfach nur das TPM verwendet. Die Verwendung von BitLocker mit einem TPM sorgt für einen besseren Schutz der Daten und hilft, die Integrität der Komponenten zu Beginn des Startvorgangs sicherzustellen. Für diese Option muss der Computer über einen Mikroprozessor und ein BIOS verfügen, die beide mit TPM kompatibel sind:
Das TPM interagiert mit dem BitLocker-Schutz für das Betriebssystemlaufwerk, um das System bereits beim Systemstart zu schützen. Dies ist für den Benutzer nicht transparent, und die Benutzeranmeldung erfolgt unverändert. Wenn die Startdaten jedoch verändert wurden, wird BitLocker in den Wiederherstellungsmodus versetzt, und der Benutzer benötigt das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel, um wieder auf die Daten zugreifen zu können. Im Bereitstellungshandbuch für die BitLocker-Laufwerkverschlüsselung unter Windows 7 finden Sie detaillierte Anleitungen für die Bereitstellung von BitLocker. Zusätzlich sind zahlreiche Gruppenrichtlinieneinstellungen für die Verwaltung von BitLocker verfügbar. Informationen hierzu finden Sie in der BitLocker-Gruppenrichtlinienreferenz. Sie können BitLocker während der Bereitstellung mittels des Microsoft Deployment Toolkit (MDT) 2010 oder von Configuration Manager implementieren. Weitere Informationen finden Sie in der MDT 2010-Dokumentation. Windows 7 Home Premium und Windows 7 Professional enthalten BitLocker nicht. Wenn Sie Mitarbeitern die Verwendung von Geräten gestatten, auf denen diese Betriebssysteme ausgeführt werden, können Sie Encrypting File System (EFS) verwenden, um zum Schutz von Unternehmensdaten auf diesen Computern beizutragen. EFS ermöglicht jedoch keine Verschlüsselung kompletter Laufwerke, anders als BitLocker. Stattdessen können Benutzer die Ordner und Dateien aussuchen, die sie verschlüsseln möchten. Weitere Informationen zu EFS in Windows 7 finden Sie unter Das Verschlüsselungsdateisystem. Hinweis: Benutzer, die Windows 7 Home Premium oder Windows 7 Professional ausführen, können mittels Windows Anytime Upgrade gegen eine Gebühr auf Windows 7 Ultimate aktualisieren. Dadurch wird BitLocker bereitgestellt. Weitere Informationen zu Windows Anytime Upgrade finden Sie unter Windows Anytime Upgrade. WechselspeichermedienIn Windows 7 Enterprise erweitert BitLocker To Go die BitLocker-Funktion auf tragbare Laufwerke, wie USB-Wechselmedien. Die Benutzer können tragbare Laufwerke mittels eines Kennworts oder einer Smartcard entschlüsseln. Autorisierte Benutzer können die Informationen auf jedem PC mit Windows 7, Windows Vista oder Windows XP mittels BitLocker To Go Reader anzeigen. Durch die Verwendung von Gruppenrichtlinien können Sie den Schutz der Daten beim Schreiben auf alle Wechselmedien erforderlich machen. Gleichzeitig können Sie durchsetzen, dass nicht geschützte Speichergeräte nur im Lesemodus verwendet werden können. Im Bereitstellungshandbuch für die BitLocker-Laufwerkverschlüsselung unter Windows 7 finden Sie detaillierte Anleitungen für die Verwendung von BitLocker To Go. Zusätzlich sind zahlreiche Gruppenrichtlinieneinstellungen für die Verwaltung von BitLocker To Go verfügbar, die in der BitLocker-Gruppenrichtlinienreferenz beschrieben werden. SicherungenDie Windows 7-Funktion für Sicherung und Wiederherstellung erstellt Sicherheitskopien der wichtigsten persönlichen Dateien der Benutzer. Die Benutzer überlassen Windows die Entscheidung, welche Dateien gesichert werden, oder wählen die Ordner, Bibliotheken und Laufwerke selbst aus, die gesichert werden sollen, je nach den Anforderungen. Windows unterstützt die Sicherung auf einem anderen Laufwerk oder einer DVD. Windows 7 Professional, Windows 7 Ultimate und Windows 7 Enterprise unterstützen außerdem die Sicherung von Dateien an einem Netzwerkspeicherort. Windows 7 stellt eine integrierte Sicherungsfunktion bereit, die Benutzer auf den eigenen Geräten verwenden können, System Center Data Protection Manager (DPM) 2010. Diese Funktion ermöglicht IT-Abteilungen die Erstellung einer Sicherungslösung mit zwei Stufen, die die Vorteile und die Zuverlässigkeit eines Laufwerks für die kurzfristige Sicherung – wenn die meisten Wiederherstellungsanforderungen auftreten – mit der Sicherheit einer Bandsicherung oder der Sicherung auf einem anderen Wechselmedium für die langfristige Archivierung verbindet. Dieses zweistufige System dient zur Vermeidung von Problemen mit Bandsicherungslösungen, ermöglicht jedoch trotzdem die langfristige Wartung von Offsitearchiven. DPM 2010 fügt die Unterstützung für den Schutz von Clientcomputern wie Laptopcomputern und Slate-Computer hinzu, die nicht ständig mit dem Netzwerk verbunden sind. Dies ist wichtig für die Szenarien, in denen Verbrauchertechnologien verwendet werden. Außerdem können Benutzer die eigenen Daten wiederherstellen, ohne auf den Sicherungsadministrator warten zu müssen. Weitere Informationen zu DPM 2010 erhalten Sie unter System Center Data Protection Manager 2010. NetzwerkzugriffForefront Unified Access Gateway (UAG) ermöglicht Remoteclient-Endpunkten den Zugriff auf Unternehmensanwendungen, Netzwerke und interne Ressourcen über eine Website. Zu Clientendpunkten zählen nicht nur Computer, auf denen Windows ausgeführt wird, sondern auch Geräte, auf denen kein Windows ausgeführt wird. Die Anwendung unterstützt die folgenden Szenarios:
Infrastrukturplanung und -entwurf: Forefront Unified Access Gateway auf TechNet stellt Anleitungen für die Planung der Forefront UAG-Bereitstellung bereit. Weitere technische Anleitungen finden Sie unter Forefront Unified Access Gateway (UAG) auf TechNet. NetzwerksicherheitNetzwerkzugriffsschutz (Network Access Protection, NAP) enthält Client- und Serverkomponenten, mit denen Sie Richtlinien für die Integrität erstellen und durchsetzen können, die die erforderlichen Software- und Systemkonfigurationen für Computer festlegen, die eine Verbindung mit dem Netzwerk herstellen. NAP setzt die Integritätsanforderungen durch die Prüfung und Bewertung der Integrität von Clientcomputern durch und schränkt den Netzwerkzugriff für Clientcomputer ein, die diese Anforderungen nicht erfüllen. Clientcomputer, die diese Anforderungen nicht erfüllen, werden außerdem für den unbegrenzten Netzwerkzugriff eingerichtet. NAP setzt Integritätsanforderungen auf Clientcomputern durch, die versuchen, eine Verbindung mit dem Netzwerk herzustellen. NAP kann außerdem die laufend die Kompatibilität mit den Integritätsanforderungen durchsetzen, während ein Computer mit dem Netzwerk verbunden sind. Die Durchsetzung mittels NAP erfolgt, wenn Clientcomputer versuchen, auf das Netzwerk über Netzwerkzugriffsserver zuzugreifen wie z. B. einen Server für virtuelle private Netzwerke (VPN), auf dem Routing and Remote Access (RRAS) ausgeführt wird, oder wenn Clients versuchen, mit anderen Netzwerkressourcen zu kommunizieren. Die Art der NAP-Durchsetzung ist von der von Ihnen gewählten Durchsetzungsmethode abhängig. NAP setzt die Integritätsanforderungen in den folgenden Fällen durch:
Das Network Access Protection-Entwurfshandbuch kann Ihnen bei der Planung der NAP-Bereitstellung helfen. Das Network Access Protection-Bereitstellungshandbuch stellt detaillierte technische Anleitungen für die oben genannten Szenarien bereit. Mittels NAP können Sie in Configuration Manager Softwareupdates in die Anforderungen an die Systemintegrität einschließen. Die NAP-Richtlinien in Configuration Manager definieren, welche Softwareupdates enthalten sein sollen. Ein Configuration Manager System Health Validator-Punkt übergibt die Informationen, ob ein Clientstatus den Anforderungen entspricht oder nicht, an den Network Policy Server (NPS). Der NPS entscheidet anschließend, ob der Client vollen oder eingeschränkten Zugriff auf das Netzwerk erhält und ob Clients, die die Anforderungen nicht erfüllen, für die Erfüllung der Anforderungen eingerichtet werden sollen. Weitere Informationen zu NAP in Configuration Manager finden Sie unter Netzwerkzugriffsschutz in Configuration Manager. Information ProtectionZusätzlich zum Schutz des Zugriffs auf lokale Daten und das Netzwerk stellt der Schutz des Zugriffs auf Unternehmensdaten – wie geistiges Eigentum – eine wichtige Überlegung dar, wenn Sie Verbrauchertechnologien verwenden. Für den Schutz dieser Informationen sind zwei Technologien verfügbar:
Windows Cloud ServicesUnternehmen, die nicht über ausreichend Ressourcen oder nicht über die nötige Infrastruktur verfügen, um Windows Optimized Desktop zu unterstützen, kann Windows Intune helfen, die wesentlichen Grundlagen für die Verwaltung und die Sicherheit zu schaffen. Unternehmen, die Windows Optimized Desktop bereitgestellt haben, können Bereiche mit nicht verwalteten Computern (Computer im Heimbüro und Verbrauchergeräte, auf denen Windows ausgeführt wird und die Mitarbeiter mit zur Arbeit bringen) mittels Windows Intune verwalten (Abbildung 1).
Abbildung 1. Windows Intune Windows Intune hilft Ihnen, die Computer in Ihrer Umgebung mittels einer Kombination aus Windows Cloud Services und Upgradelizenzierung zu verwalten und zu schützen. Windows Intune stellt über eine zentrale webbasierte Administrationskonsole cloudbasierte Verwaltungs- und Sicherheitsfunktionen bereit. Mit Windows Intune können Sie Computer von beinahe überall aus verwalten. Alles, was Sie hierfür benötigen, ist eine Internetverbindung und den Windows Intune-Client auf jedem der verwalteten Computer. Außerdem verfügen Sie mit einem aktiven Windows Intune-Abonnement über die Berechtigung, auf zukünftige Versionen von Windows zu aktualisieren und können die gleichen Vorteile wie im Fall des Microsoft Software Assurance-Programms für Windows nutzen. Mittels der Windows Intune-Administratorkonsole werden Verwaltungsaufgaben in die folgenden Arbeitsbereiche organisiert, die Sie über beinahe jeden Browser mit Unterstützung für Microsoft Silverlight verwalten können:
Benachrichtigungen für die Remoteunterstützung stellen ein wichtiges Tool für die Behebung von Problemen dar, die auf verwalteten Computern auftreten. Ein Benutzer an einem verwalteten Computer kann eine Anforderung für Remoteunterstützung initiieren, die dann eine Benachrichtigung generiert. Wenn Sie die Benachrichtigung in der Windows Intune-Administratorkonsole anzeigen, können Sie die Anforderung akzeptieren. Durch die Akzeptierung der Anforderung wird eine Microsoft Easy Assist-Sitzung geöffnet, sodass Sie die Fehlerbehebung auf dem Computer des Benutzers durchführen können. Windows Intune stellt außerdem Upgradeberechtigungen für Windows 7 Enterprise mit Software Assurance bereit. Mittels der Upgradeberechtigungen, die von Windows Intune bereitgestellt werden, können Sie jeden von Windows Intune verwalteten Computer auf Windows 7 Enterprise aktualisieren, der die Mindestanforderungen für Windows 7 erfüllt. Windows Intune stellt Ihnen außerdem sämtliche Vorteile des Microsoft Software Assurance-Programms für Windows zur Verfügung, darunter:
Weitere Informationen zu Windows Intune finden Sie auf der Website Windows Azure Compute. Technische Informationen zu Windows Intune finden Sie außerdem im Windows Intune TechCenter. AnwendungsvirtualisierungVirtuelle Anwendungen werden in Form von Netzwerkdiensten an Computer übertragen. Sie benötigen keinen Speicherplatz auf den Systemen und können einfach aktualisiert werden. Sie sind außerdem verpackt. Dies trägt zur Vermeidung von Konflikten zwischen privaten und geschäftlichen Anwendungen bei, die zu Ausfallzeiten führen und Unterstützung durch das Supportteam erfordern würden. App-V ist Teil von MDOP und unterstützt die Verpackung, die Bereitstellung und die Verwaltung virtueller Anwendungen. App-V kann Anwendungen für die Computer von Endbenutzern verfügbar machen, ohne dass diese Anwendungen direkt auf den Computern installiert werden müssen. Dies wird durch einen Prozess ermöglicht, der als Sequenzierung der Anwendung bekannt ist. Die einzelnen Anwendungen können in einer eigenen abgeschlossenen virtuellen Umgebung auf dem Clientcomputer ausgeführt werden. Sequenzierte Anwendungen sind voneinander isoliert. Dieses Szenario verhindert Anwendungskonflikte. Die Anwendungen können jedoch mit dem Clientcomputer interagieren. Der App-V-Client ist die Funktion, die den Endbenutzern die Interaktion mit Anwendungen ermöglicht, nachdem diese für den Computer veröffentlicht wurden. Der App-V-Client verwaltet die virtuelle Umgebung, in der die virtualisierten Anwendungen auf den einzelnen Computern ausgeführt werden. Nach der Installation des Clients auf dem Computer müssen die Anwendungen für den Computer mittels eines Prozesses verfügbar gemacht werden, der als Veröffentlichung bekannt ist. Dieser ermöglicht dem Endbenutzer die Ausführung der virtuellen Anwendungen. Während des Veröffentlichtungsprozesses werden die Symbole und Shortcuts für die virtuelle Anwendungen auf den Computer kopiert, in der Regel auf den Windows-Desktop oder in das Startmenü. Außerdem werden die Informationen für die Paketdefinition und die Dateitypverknüpfung auf den Computer kopiert. Durch die Veröffentlichung wird außerdem der Inhalt des Anwendungspakets für die Computer der Endbenutzer zur Verfügung gestellt. Die Inhalte virtueller Anwendungen können auf einen oder mehr App-V-Server repliziert werden, sodass sie bei Bedarf an die Clients übertragen und lokal zwischengespeichert werden können. Auch Datei- und Webserver können als Streamingserver verwendet werden. Der Inhalt kann auch direkt auf die Computer der Endbenutzer kopiert werden. In einer Implementierung mit mehreren Servern erfordern die Pflege des Paketinhalts und die Aktualisierung auf allen Streamingservern eine umfassende Lösung für die Paketverwaltung. Je nach Größe des Unternehmens müssen Sie möglicherweise Endbenutzern auf der ganzen Welt zahlreiche virtuelle Anwendungen verfügbar machen. Die Verwaltung der Pakete, sodass die richtigen Inhalte für alle Benutzer verfügbar sind, wann und wo diese benötigt werden, stellt daher eine wichtige Aufgabe dar. KomponentenWie in Abbildung 2 gezeigt, sind die primären Komponenten von App-V:
Abbildung 2. Anwendungsvirtualisierung App-V 4.6 ist die neueste Version des Produkts. Mit App-V 4.6 können Sie 32- und 64-Bit-Anwendungen auf der 64-Bit-Version von Windows sequenzieren und ausführen. Die Version unterstützt neue Windows 7-Funktionen wie die Taskleiste, Jumplisten, AppLocker, BranchCache und BitLocker To Go. App-V 4.6 fügt Unterstützung für 12 weitere Sprachen hinzu. Zur Unterstützung von Microsoft Virtual Desktop Infrastructure (VDI) stellt App-V 4.6 einen schreibgeschützten freigegebenen Zwischenspeicher bereit, der zur Optimierung des Festplattenspeichers auf dem Server beiträgt. Schließlich verbessert App-V 4.6 die Sequenzierung und stellt Unterstützung für die Sequenzierung von 32- und 64-Bit-Anwendugnen bereit. Weitere Informationen zu App-V finden Sie auf der Website für das Microsoft Desktop Optimization Pack. Detaillierte technische Informationen sind auf TechNet unter Application Virtualization verfügbar. Hinweis: Citrix XenApp ist eine Microsoft Partner-Lösung, die die Unterstützung für traditionelle und virtuelle App-V-Anwendungen auf eine große Bandbreite an Geräten erweitert, darunter Smartphones und andere Geräte, auf denen kein Windows ausgeführt wird. Sie ermöglicht die bedarfsbasierte Bereitstellung von Anwendungen und kann beinahe jede Anwendung im Rechenzentrum virtualisieren, zentralisieren und verwalten. Mit XenApp können Sie die Anwendungen im Rechenzentrum zentralisieren, den Zugriff auf Daten und Anwendungen steuern und verschlüsseln und die Anwendungen den Benutzern beinahe überall sofort zur Verfügung stellen. Weitere Informationen zu Citrix XenApp finden Sie auf der Website für Citrix XenApp. Zusätzlich wird im Artikel Veröffentlichen einer App-V-fähigen Anwendung in Citrix XenApp beschrieben, wie XenApp für die Veröffentlichung von App-V-Anwendungen verwendet wird. System Center Configuration Manager 2007Configuration Manager ermöglicht IT-Experten die Bereitstellung, Aktualisierung und Überwachung der Verwendung physischer und virtueller Anwendungen in einer zentralen Verwaltungsumgebung. Durch die nahtlose Integration virtueller Anwendungsformate in die Configuration Manager-Funktion für die Softwareverteilung können IT-Experten bekannte Prozesse und Workflows anwenden, um Endbenutzern virtuelle Anwendungen bereitzustellen. So können IT-Abteilungen die Anwendungen schneller bereitstellen und gleichzeitig verhindern, dass sich Anwendungen gegenseitig beeinträchtigen. Die Integration von Configuration Manager und App-V fügt zusätzliche Skalierbarkeit hinzu und ermöglicht der IT-Abteilung, vorhandene Verteilungspunkte auch für die Übertragung virtueller Anwendungen zu nutzen. Dies macht eine eigene App-V-Infrastruktur überflüssig. Mittels Configuration Manager können virtuelle Anwendungen für Computer oder Benutzer bereitgestellt werden. Die Administratoren können virtuelle Anwendungen inventarisieren und diese als Teil von Tasksequenzen bei der Betriebssystembereitstellung verfügbar machen. Configuration Manager übernimmt die Aufgabe des Veröffentlichens und Übertragens von Komponenten in einer typischen vollständigen App-V-Infrastruktur mittels der Integration in die vorhandene Configuration Manager-Infrastruktur, in der bereits traditionelle Anwendungen, Updates und mehr bereitgestellt werden. Abbildung 3 zeigt die Prozesse und Komponenten von Configuration Manager and App-V, die für die Verwaltung virtueller Anwendungen mit Configuration Manager mindestens vorhanden sein müssen. Der App-V Sequencer produziert Pakete, die über die Configuration Manager-Infrastruktur an die Configuration Manager-Clients verteilt werden können. Dies beseitigt die Notwendigkeit für zwei getrennte Infrastrukturen zur Unterstützung der Anwendungsbereitstellung. Traditionelle und virtuelle Anwendungen können von der gleichen Konsole aus bereitgestellt werden.
Abbildung 3. Configuration Manager- und App-V-Infrastruktur Die Verwendung von Configuration Manager für die Veröffentlichung virtueller Anwendungen erfordert die Befolgung eines einfachen Prozesses. Grundsätzlich bedeutet die Verwaltung virtueller Anwendungen mittels Configuration Manager, dass die Anwendungen sequenziert, mittels Configuration Manager-Annkündigungen veröffentlicht und den Endbenutzern bereitgestellt werden. Der folgende Prozess muss mindestens befolgt werden, damit App-V in einer Configuration Manager-Infrastruktur unterstützt wird:
Die Verwaltung virtueller Anwendungen mittels Configuration Manger erfordert den App-V-Sequenzierer für die Erstellung von Paketen, einen Configuration Manager-Siteserver, Configuration Manager-Verteilungspunkte für die Bereitstellung der Pakete sowie Configuration Manager-Clientcomputer, auf denen der App-V-Client installiert ist. Die folgenden Komponenten sind mindestens erforderlich, damit App-V in einer Configuration Manager-Infrastruktur unterstützt wird:
System Center Configuration Manager 2012Configuration Manager 2012 ist nun als Beta-2-Version verfügbar und hilft IT-Abteilungen, die Benutzer mit den Geräten und Anwendungen auszustatten, die diese benötigen, um produktiv zu sein. Gleichzeitig behalten sie die Kontrolle, die für den Schutz der Unternehmensressourcen erforderlich ist. Die Anwendung stellt eine einheitliche Infrastruktur für die Verwaltung mobiler, physischer und virtueller Umgebungen bereit. IT-Abteilungen können die Benutzerumgebungen auf der Basis von Benutzeridentität, Konnektivität und Gerätemerkmalen bereitstellen und steuern. Zusammen mit der hervorragenden Inventarisierungsfunktion, der Betriebssystembereitstellung, der Updateverwaltung und der Einstellungsdurchsetzung, die Sie von Configuration Manager gewohnt sind, bietet Ihnen die neue Version:
Weitere Informationen zu den neuen aktualisierten Funktionen einschließlich der Bereitstellung virtueller Anwendungen in System Center Configuration Manager 2012 Beta 2 finden Sie unter Einführung in die Anwendungsverwaltung in Configuration Manager 2012. Virtual Desktop InfrastructureAufgrund der Einführung von Verbrauchertechnologien verwenden Benutzer am Arbeitsplatz auch Geräte, auf denen kein Windows ausgeführt wird. Slate- und Tablet-PCs, auf denen kein Windows ausgeführt wird, führen eine Reihe von Betriebssystemen aus, wie Apple iOS, Google Android, Linux usw. Diese Geräte stellen unterschiedliche Benutzeroberflächen, Sicherheitsstufen und Verwaltungsfunktionen bereit. Für Verbrauchergeräte sind zahlreiche Betriebssysteme verfügbar. Die Anwendung eines systematischen Verfahrens für deren Verwaltung und Schutz ist von wesentlicher Bedeutung. Microsoft bietet Technologien an, die Verwaltungs- und Schutzfunktionen für eine Reihe verschiedener Verbrauchergeräte bereitstellen. Für Geräte, die nicht in der Lage sind, die vollständige Umgebung und Sicherheit von Windows 7 bereitzustellen, können Sie eine VDI-basierte Strategie verwenden, um den sicheren Zugriff auf einen von einem Server gehosteten, Windows-basierten Desktop zu ermöglichen. Dieser Ansatz ist für tragbare Computer und Slate-PCs, die nicht auf Windows basieren, am effektivsten. Eine VDI-basierte Strategie kann jedoch auch nützlich sein, wenn Mitarbeiter ihre eigenen tragbaren Windows-Computer mit an den Arbeitsplatz bringen. In diesem Fall wird VDI für die Bereitstellung eines sicheren Unternehmens-Desktops verwendet, während alle persönlichen Daten und Anwendungen nicht für das Netzwerk zugelassen werden. VDI ist eine zentrale Lösung für die Bereitstellung von Desktops. Wie in Abbildung 4 gezeigt, besteht das Konzept von VDI in der Speicherung und Ausführung von Desktopauslastungen, einschließlich des Windows-Clientbetriebssystems, Anwendungen und Daten, auf einem serverbasierten virtuellen Computer in einem Rechenzentrum. Dies ermöglicht den Benutzern die Interaktion mit dem Desktop, der über Remote Desktop Protocol (RDP) und RemoteFX auf einem Benutzergerät dargestellt wird. VDI ist Teil der umfassenden und alle Komponenten enthaltenden Virtualisierungsstrategie für die gesamte IT-Infrastruktur und unterstützt die Vision von Microsoft für eine dynamische IT. VDI ist keine isolierte Architektur, sondern eine der zahlreichen Technologien, die für die Optimierung von Unternehmensdesktops zur Verfügung stehen. Für Geräte, die nicht in der Lage sind, die vollständige Windows 7-Umgebung bereitzustellen, kann VDI den sicheren Zugriff auf einen servergehosteten Windows 7-Desktop bereitstellen. Im Fall von Computern und Slate-PCs, auf denen kein Windows ausgeführt wird (z. B. Apple Mac, Apple iPad und Netbooks auf der Basis von Linux) kann VDI die effektivste Lösung sein. VDI kann jedoch auch dann nützlich sein, wenn Mitarbeiter ihre eigenen tragbaren Windows-Computer mit an den Arbeitsplatz bringen. VDI kann einen sicheren Unternehmensdesktop bereitstellen, während die persönlichen Daten und Anwendungen nicht für das Netzwerk zugelassen werden.
Abbildung 4. Virtual Desktop Infrastructure Weitere Informationen zu VDI finden Sie unter Virtualisierungsprodukte und -technologien. UmgebungAls Bestandteil von Windows Server 2008 R2 stellt Remote Desktop Services (RDS) den Remote Desktop Connection Broker (RD Connection Broker) bereit. RD Connection Broker ist ein systemeigener VDI-Verbindungsmakler, der eine konsistente Umgebung für den Zugriff auf VDI und auf traditionelle sitzungsbasierte Remotedesktops bereitstellt. RD Connection Broker stellt virtuelle Desktops auf ähnliche Weise wie RemoteApp bereit. Beispielsweise greift ein Benutzer auf http://rds-all.contoso.corp/rdweb zu, um eine Webseite mit den autorisierten und den nicht autorisierten Anwendungen und Desktops anzuzeigen, wenn er authentifiziert wurde. Abbildung 5 zeigt drei Office 2007-Anwendungen, die mittels RemoteApp veröffentlicht wurden. In Windows Server 2008 R2 können die RemoteApp-Programme, die an einer URL angezeigt werden, aus mehreren Quellen bestehen. Sie müssen nicht auf demselben Remote Desktop Session Host (RD Session Host)- oder Terminal Services-Server installiert sein. Sie können aus mehreren RD-Sitzungshosts und Terminaldienstservern stammen, jedoch zusammengefügt und mit der gleichen URL angezeigt werden. Die Anwesenheit eines RemoteApp-Programms basiert auf der Zugriffssteuerungsliste (Access Control List) der veröffentlichten Anwendung auf dem RD Session Host. Per Voreinstellung können alle authentifizierten Benutzer auf die veröffentlichten RemoteApp-Programme zugreifen.
Abbildung 5. Remote Desktop Connection Broker Das Symbol „Mein Desktop“ wird nur für diejenigen Benutzer angezeigt, denen ein persönlicher virtueller Desktop zugewiesen ist. Die Zuweisung kann in RD Connection Broker oder im Benutzerobjekt in AD DS durchgeführt werden. Wenn ein Benutzer auf dieses Symbol klickt, wird dem Gerät des Benutzers ein virtueller Desktop bereitgestellt, nachdem der Benutzer authentifiziert wurde. Das Contoso-Desktopsymbol dient für den Zugriff auf einen virtuellen Desktop, der auf einem virtuellen Computer ausgeführt wird, der dynamisch aus einem in RD Connection Broker definierten Pool virtueller Computer ausgewählt wird. Nachdem der Pool virtueller Computer definiert wurde, wird das Symbol für den Zugriff auf einen virtuellen Computer für alle authentifizierten Benutzer auf der RDS-Webseite angezeigt, unabhängig davon, ob ein Benutzer auf den Pool zugreifen kann. Sowohl der Anzeigename der Seite als auch der Anzeigename des Symbols für den Zugriff auf den Pool virtueller Computer kann in RD Connection Broker auf einfache Weise angepasst werden. In diesem Beispiel stellen „Contoso Wonder LAN“ und „Contoso Desktop“ angepasste Anzeigenamen dar. Weitere Informationen zur RDS-Architektur und zur zentralen Rolle von RD Connection Broker für VDI-Lösungen finden Sie unter Erläuterung der Remote Desktop Services (RDS)-Architektur. Eine neue Funktion in Windows Server 2008 R2 ist RemoteApp and Desktop Connection. Diese ermöglicht den Zugriff auf RemoteApp-Programme, Remotedesktops und virtuelle Desktops vom Startmenü eines Computers aus, auf dem Windows 7 ausgeführt wird. Sie konfigurieren RemoteApp und Desktop Connection wie folgt:
Mit RemoteApp und Desktop Connection können Benutzer auf RemoteApp-Programme und virtuelle Desktops direkt vom Startmenü aus zugreifen, ohne die RDS-URL angeben zu müssen. Diese Funktionalität minimiert den Aufwand für Benutzerschulungen und stellt Benutzern eine konsistente Umgebung für Windows-Anwendungen bereit. KomponentenMit VDI wird ein virtueller Desktop vom Clientgerät isoliert und auf einem virtuellen Computer ausgeführt, der in einem Rechenzentrum gewartet wird. Bei dem Gerät kann es sich um einen Desktop, einen Laptop, einen Slate-PC oder einen Thin-Client-Computer handeln, auf denen Windows oder ein anderes Betriebssystem ausgeführt werden. Benutzer interagieren mit den virtuellen Desktops mittels RDP und RemoteFX. Dies sorgt für eine hoch funktionale Desktopumgebung. Vergleichbar sitzungsbasierten Remotedesktops (d. h. Terminaldiensten), stellt VDI eine Serversitzung mit einer vollständig getreuen Desktopumgebung bereit, die innerhalb eines serverbasierten Hypervisors ausgeführt wird. Die Voraussetzung für VDI ist, dass alle Benutzer virtuelle Desktops auf virtuellen Computern ausführen. Wichtige technische Komponenten der VDI sind:
ModelleEs gibt zwei Bereitstellungsmodelle für VDI:
LizenzierungVDI stellt im Wesentlichen einen Desktop dem Benutzergerät über eine Netzwerkverbindung und bedarfsorientiert bereit. Dies unterscheidet sich von der Ausführung eines herkömmlichen Desktop-PCs, bei dem eine OEM-Lizenz an die Hardware gebunden ist und nicht dynamisch zugewiesen werden kann, wie dies bei VDI der Fall ist. Die traditionelle Lizenzierung reicht nicht mehr aus, um die Anzahl der Lizenzen korrekt darzustellen, die in einer VDI-Bereitstellung genutzt werden. Um neue Bereitstellungsszenarien zu ermöglichen, hat Microsoft zwei neue Lösungen für VDI eingeführt:
Sowohl die VDI Standard Suite als auch die VDI Premium Suite werden pro Clientgerät lizenziert, das auf die VDI-Umgebung zugreift. Dies ermöglicht Flexibilität bei Serverinfrastruktur und Serveranzahl. Weitere Informationen zur Lizenzierung über die VDI-Suiten finden Sie auf der Microsoft-Website für Remote Desktop Services. Zusätzliche Informationen zur Lizenzierung von Remote Desktop Services finden Sie unter Lizenzierung von Remote Desktop Services in Windows Server 2008 R2. ÜberlegungenSowohl RDS als auch VDI sind Kernkomponenten der Desktopvirtualisierung. Sie sind für spezifische Computinganforderungen und -szenarien bestimmt, die eine schnelle und flexible Bereitstellung erfordern. Für Remotebenutzer, die Zugriff auf eine bestimmte Anwendung benötigen, um eine klar definierte Aufgabe durchzuführen – wie z. B. für die Eingabe von Daten oder von Statusberichten zur Arbeitszeit, die Aktualisierung von Inventarlisten oder die Erstellung von Berichten zu Vorfällen – genügt möglicherweise App-V. Mitarbeitern, die komplexe oder nicht strukturierte Aufgaben, wie z. B. die Analyse von Daten, die Architektur von Lösungen, die Konzipierung von Produkten, das Erstellen von Code oder die Behebung von Systemfehlern durchführen, benötigen wahrscheinlich vollständigen Zugriff auf einen Desktop, um die Produktivität sicherzustellen. Die Bereitstellung eines virtuellen Desktops stellt hier eine Lösung dar. Obwohl VDI eine flexible Lösung ist, erfordert sie die Bereitstellung einer größeren Zahl von Serverhardwareressourcen als dies bei herkömmlichen sitzungsbasierten Remotedesktops der Fall ist. In Tabelle 1 wird die sitzungsbasierte Virtualisierung mit VDI verglichen. Grundsätzlich erfordert VDI eine Anfangsinvestition in Server- und Speicherhardware, um alle benötigten virtuellen Computer zu speichern und auszuführen. Um sicherzustellen, dass die Benutzer auf die virtuellen Desktops zugreifen können, muss das Netzwerk, das die VDI unterstützt, hoch verfügbar sein. Im Allgemeinen ist die Anforderung an die Netzwerkbandbreite höher als bei Terminaldiensten, wenn VDI unterstützt werden soll. Die Software für die Verwaltung der virtuellen Computer spielt ebenfalls eine wichtige Rolle bei der Verwaltung der virtuellen Desktops im Unternehmen.
Tabelle 1. Sitzungsbasierte Virtualisierung im Vergleich zu VDI Außerdem sollten die Benutzer nicht erwarten, dass ein Remotedesktop oder ein virtueller Desktop genau wie ein lokal installierter Desktop funktionieren. Die Audio-, Video und USB-Leistung auf einem Remotedesktop ist möglicherweise nicht so umfassend wie im Fall von Anwendungen oder Geräten, die direkt auf einem Benutzergerät ausgeführt werden oder direkt an ein solches angeschlossen sind. Ein leistungsfähiger Client wird Benutzern stets eine bessere Umgebung bereitstellen als ein Client, der über VDI bereitgestellt wird. Insgesamt sollten Überlegungen hinsichtlich einer VDI-Lösung mindestens die folgenden Punkte berücksichtigen, ohne auf diese beschränkt zu sein:
Hinweis: Citrix XenDesktop ist eine Microsoft Partner-Lösung, die virtuelle Desktops und Anwendungen Benutzern auf jedem von diesen verwendeten Gerät bedarfsorientiert und an jedem Ort bereitstellt. Weitere Informationen zu Citrix XenDesktop finden Sie auf der Website für Citrix XenDesktop. Außerdem wird im Blogbeitrag Die Nutzung von Citrix XenDesktop als Makler durch Microsoft Virtual Desktop Infrastructure (VDI) detailliert beschrieben, wie XenDesktop in VDI-Architekturen passt und diese optimiert. Auswahl der richtigen TechnologienIn diesem Artikel wurden vier Technologien beschrieben, die Ihrem Unternehmen bei der Einführung von Verbrauchertechnologien helfen können. Diese Technologien sind Windows Optimized Desktop, Windows Intune, Application Virtualization und VDI. In der folgenden Liste wird beschrieben, welchen Verbrauchertechnologieszenarien diese Technologien jeweils entsprechen.
In allen Fällen kann die Anwendungsvirtualisierung Benutzern den Zugriff auf die Anwendungen bereitstellen, die sie benötigen. Weitere Informationen finden Sie im Abschnitt „Application Virtualization“ in diesem Artikel. Unterstützung für Smartphones und für Betriebssysteme für MobilgeräteEs gibt Tools für die Verwaltung von Smartphones in Unternehmen. Sie können z. B. Exchange ActiveSync verwenden, um zahlreiche Smartphones mit Windows und anderen Betriebssystemen zu verwalten. Exchange ActiveSync ist ein Microsoft Exchange Server-Synchronisierungsprotokoll, das Netzwerke mit hoher Latenz und niedriger Bandbreite optimiert ist. Dieses Protokoll basiert auf HTTP und XML und ermöglicht Geräten den Zugriff auf Informationen wie E-Mail, Kalender und Kontakte auf einem Exchange Server-System. Exchange ActiveSync stellt darüber hinaus über Exchange ActiveSync-Postfachrichtlinien und verwandte Tools Verwaltungsfunktionen bereit. Beispielsweise unterstützt Windows Phone 7 Verwaltungsrichtlinien wie die Anforderung von Kennwörtern und die Durchsetzung der Kennwortstärke. Es ermöglicht außerdem die Remotelöschung von Daten auf dem Gerät und die Wiederherstellung der herstellerseitigen Einstellungen, wenn die Entsperrung mehrfach misslingt. Die Verwaltung mittels Exchange ActiveSync ist ein Branchenstandard für Smartphones und andere Kleingeräte. Plattformen wie Apple iPhone und iPad, Google Android, Nokia Symbian und Palm unterstützen Exchange ActiveSync und Postfachrichtlinien in unterschiedlichem Umfang. Im Blogbeitrag Aktualisierung – Vergleich von Exchange ActiveSync-Clients (Windows Phone, Windows Mobile, Android, Nokia, Apple, Palm) wird die Unterstützung für Exchange ActiveSync auf zahlreichen verschiedenen Plattformen behandelt. In diesem Abschnitt werden einige der Postfachrichtlinien und Tools in Exchange ActiveSync beschrieben, die Sie für die Verwaltung von Smartphones verwenden können. Weitere Informationen zu Exchange ActiveSync finden Sie auf TechNet unter Verwalten von Exchange ActiveSync-Geräten. Remotegerätebereinigung Auf Mobiltelefonen können sensible Unternehmensdaten gespeichert sein. Sie können außerdem den Zugriff auf Unternehmensressourcen ermöglichen. Wenn ein Gerät verloren geht oder gestohlen wird, sind möglicherweise Unternehmensdaten gefährdet. Mittels Exchange ActiveSync-Richtlinien können Sie für Mobiltelefone Kennwortanforderungen einrichten. Benutzer müssen ein Kennwort eingeben, um auf das Telefon zuzugreifen. Microsoft empfiehlt, dass Sie die Mobiltelefone nicht nur für Gerätekennwörter einrichten, sondern auch für die Anforderung eines Kennworts, wenn das Gerät eine Zeitlang nicht aktiv war. Die Kombination eines Gerätekennworts und einer Sperrung bei Inaktivität sorgt für eine höhere Sicherheit für die Unternehmensdaten. Weitere Informationen finden Sie im Abschnitt „Geräteverwaltung“ weiter unten in diesem Artikel. Zusätzlich zu diesen Funktionen verfügt Microsoft Exchange Server 2010 über eine Funktion zur Remotebereinigung. Sie können von der Exchange-Verwaltungskonsole (Exchange Management Console, EMC) einen Befehl zur Remotebereinigung des Geräts senden. Benutzer können eigene Befehle zur Gerätebereinigung von der Microsoft Office Outlook Web App-Benutzeroberfläche aus senden. Die Funktion zur Remotebereinigung enthält außerdem eine Bestätigungsfunktion, die einen Zeitstempel in den Synchronisierungsstatus des Postfachs des Benutzers schreibt. Dieser Zeitstempel wird in Outlook Web App und im Dialogfeld für die Eigenschaften des Mobiltelefons des Benutzers in der EMC angezeigt. Zusätzlich zum Zurücksetzen des Mobiltelefons auf die Werkseinstellungen werden durch die Bereinigung eines Remotegeräts auch alle Daten auf allen Speicherkarten im Mobiltelefon gelöscht. Wichtig: Nach einer Remotebereinigung ist die Wiederherstellung der Daten sehr schwierig. Kein Prozess zur Datenentfernung versetzt ein Gerät jedoch in den gleichen datenfreien Zustand, den es hatte, als es neu war. Die Wiederherstellung von Daten auf dem Gerät ist möglicherweise mittels spezieller Tools möglich. Sie können die Remotebereinigung auf drei Arten durchführen:
Weitere Informationen zur Remotebereinigung in Exchange Server 2010 finden Sie auf TechNet unter Durchführung einer Remotebereinigung auf einem Mobiltelefon. GeräteverwaltungSie können eine Exchange ActiveSync-Postfachrichtlinie erstellen, um eine Reihe von Sicherheitsoptionen für Benutzer und Geräte zu konfigurieren. Zusätzlich zu Kennwortanforderungen und -einstellungen können Sie auf der Registerkarte „Allgemein“ für die Richtlinie die Arten von Mobiltelefonen angeben, die eine Verbindung mit dem Exchange Server-System herstellen dürfen und ob Anlagen synchronisiert werden dürfen. Im Folgenden werden die verfügbaren Richtlinien zusammengefasst:
Die vollständige Liste der Postfachrichtlinien finden Sie auf TechNet unter Verwalten von Exchange ActiveSync mittels Richtlinien. Dort wird auch beschrieben, wie Sie diese mittels der EMC und der Shell konfigurieren. Die Verwaltung von Geräten mittels Exchange Active Synch wird auch eine Kernfunktion von System Center Configuration Manager 2012 sein. Diese Anwendung befindet sich zurzeit in der Beta-2-Phase. Wert für das LeerlaufzeitlimitBei der Direct Push-Technologie wird Exchange ActiveSync zur Synchronisierung der Daten auf einem Smartphone mit den Daten auf einem Microsoft Exchange Server verwendet. Bei Firewalls gibt der Timeoutwert für Leerlaufzeit des Netzwerks an, wie lange eine Verbindung ohne Datenverkehr bestehen darf, nachdem eine Transmission Control Protocol (TCP)-Verbindung hergestellt wurde. Sie müssen diesen Timeoutwert korrekt festlegen, damit das Exchange ActiveSync-Taktintervall und das Unternehmenssitzungsintervall effektiv kommunizieren können. Wenn die Firewall die Sitzung beendet, werden keine E-Mails übermittelt, bis der Client die Verbindung wieder herstellt. Außerdem ist es möglich, dass über einen langen Zeitraum keine Synchronisierung stattfindet. Microsoft empfiehlt, dass Unternehmen die Timeoutwerte für eingehende Firewalls auf 30 Minuten einstellen. Weitere Informationen finden Sie unter Direct Push und Exchange Server 2010. Automatische Erkennung von EinstellungenExchange Server enthält die automatische Erkennung von Einstellungen. Dies vereinfacht die Bereitstellung von Mobiltelefonen, da nach der Eingabe der E-Mail-Adresse und des Kennworts durch den Benutzer die erforderlichen Systemeinstellungen zurückgegeben werden. Die automatische Erkennung ist in Exchange Server 2010 per Voreinstellung aktiviert (Abbildung 6).
Abbildung 6. Automatische Erkennung mit Exchange ActiveSync Der in Abbildung 6 beschriebene Prozess ist wie folgt:
Die Fähigkeit, die automatische Erkennung zu verwenden, ist vom Betriebssystem des Mobiltelefons abhängig, das Sie verwenden. Nicht alle Betriebssysteme für Mobiltelefone, die die Synchronisierung mit Exchange Server unterstützen, unterstützen auch die automatische Erkennung. Weitere Informationen zu den Betriebssystemen, die die automatische Erkennung unterstützen, finden Sie im Blogeintrag Aktualisierung – Vergleich von Exchange ActiveSync-Clients (Windows Phone, Windows Mobile, Android, Nokia, Apple, Palm). Anleitungen zur Konfigurierung der automatischen Erkennung in Exchange Server finden Sie unter Konfigurieren der Exchange ActiveSync-Einstellungen für die automatische Erkennung. SchlussbemerkungDie IT-Abteilung muss die Anpassung an Verbrauchertechnologien vornehmen können, wenn dies angebracht ist, und gleichzeitig die Risiken für das Unternehmen und dessen Daten minimieren. Wenn Sie Ihre Benutzer analysieren und verstehen, und nicht nur die Geräte betrachten, die diese verwenden möchten, können Sie dazu beitragen, dass Verbrauchertechnologien dem Unternehmen Vorteile verschaffen und diese Vorteile gemessen und evaluiert werden können. Durch die Einführung von Verbrauchertechnologien können Unternehmen die Produktivität steigern und Wettbewerbsvorteile erzielen. Verbrauchertechnologien stellen eine große Chance dar, wenn die in diesem Whitepaper beschriebenen Strategien befolgt werden. Unternehmensressourcen können geschützt werden, und die Mitarbeiter und die IT-Abteilung werden zu Partnern. Microsoft bietet eine Reihe von Lösungen für Unternehmen an, die Ihnen helfen können, die Anforderungen Ihrer Benutzer an Verbrauchertechnologien zu erfüllen, von der Bereitstellung von Windows Optimized Desktop über die cloudbasierte Verwaltung mittels Windows Intune bis hin zu Smartphones, auf denen Windows oder andere Betriebssysteme ausgeführt werden. | Top TasksVerwandte Ressourcen
Bleiben Sie auf dem Laufenden |
.png "Windows Intune")
.png "Anwendungsvirtualisierung")
.png "Configuration Manager- und App-V-Infrastruktur")
.png "Virtual Desktop Infrastructure")
.png "Remote Desktop Connection Broker")
.png "Sitzungsbasierte Virtualisierung im Vergleich zu VDI")
.png "Automatische Erkennung mit Exchange ActiveSync")
.png)
.png)
