Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern

Übersicht über Windows 10 Enterprise E3 in CSP

Greg Lindsay|Zuletzt aktualisiert: 22.12.2016
|
1 Mitwirkender

Windows 10 Enterprise E3 wurde am 1. September 2016 über den Kanal für Cloud-Lösungsanbieter (Cloud Solution Provider, CSP) eingeführt. Windows 10 Enterprise E3 in CSP ist ein neues Angebot, das im Rahmen eines Abonnements exklusive Features bereitstellt, die der Windows 10 Enterprise-Edition vorbehalten sind. Dieses Angebot ist über den CSP-Kanal im Partner Center als Onlinedienst verfügbar. Windows 10 Enterprise E3 in CSP wird als flexibles, benutzerbasiertes Abonnement für kleine und mittelgroße Organisationen (von einzelnen bis hin zu mehreren hundert Benutzern) angeboten. Um dieses Angebot nutzen zu können, benötigen Sie Folgendes:

  • Windows 10 Pro, Version 1607 (auch als Windows 10 Anniversary Update bezeichnet) oder höher auf den Geräten, die aktualisiert werden sollen

  • Azure Active Directory (Azure AD) für die Identitätsverwaltung

Ab Windows 10, Version 1607 (Windows 10 Anniversary Update), können Sie einfacher als je zuvor von Windows 10 Pro zu Windows 10 Enterprise wechseln – keine Schlüssel und Neustarts erforderlich. Nachdem ein Benutzer die einer Windows 10 Enterprise E3-Lizenz zugeordneten Azure AD-Anmeldeinformationen eingegeben hat, wechselt das Betriebssystem von Windows 10 Pro zu Windows 10 Enterprise, und alle entsprechenden Windows 10 Enterprise-Features stehen zur Verfügung. Wenn eine Abonnementlizenz abläuft oder auf einen anderen Benutzer übertragen wird, wechselt das Windows 10 Enterprise-Gerät problemlos zurück zu Windows 10 Pro.

Bisher konnten nur Organisationen mit einem Microsoft-Volumenlizenzvertrag Windows 10 Enterprise für ihre Benutzer bereitstellen. Dank Windows 10 Enterprise E3 in CSP können nun kleine und mittelgroße Organisationen einfacher Windows 10 Enterprise-Features nutzen.

Wenn Sie Windows 10 Enterprise E3 über einen Partner erwerben, profitieren Sie von folgenden Vorteilen:

  • Windows 10 Enterprise Edition. Geräte, auf denen derzeit Windows 10 Pro, Version 1607, ausgeführt wird, können Windows 10 Enterprise Current Branch (CB) oder Current Branch for Business (CBB) beziehen. Dieser Vorteil enthält nicht Long Term Servicing Branch (LTSB).

  • Unterstützung von einzelnen bis hin zu mehreren hundert Benutzern. Beim Windows 10 Enterprise E3 in CSP-Programm gelten zwar keine Einschränkungen in Bezug auf die für eine Organisation zulässige Anzahl von Lizenzen, das Programm ist jedoch auf kleine und mittelgroße Unternehmen ausgerichtet.

  • Bereitstellung auf bis zu fünf Geräten. Für alle von der Lizenz abgedeckten Benutzer können Sie Windows 10 Enterprise Edition auf bis zu fünf Geräten bereitstellen.

  • Zeitlich flexible Ausführung eines Rollbacks auf Windows 10 Pro. Wenn das Abonnement eines Benutzers abläuft oder auf einen anderen Benutzer übertragen wird, wird das Gerät mit Windows 10 Enterprise nahtlos auf die Windows 10 Pro-Edition zurückgesetzt (nach einer Karenzzeit von bis zu 90Tagen).

  • Monatliches, benutzerbasiertes Preismodell. Dadurch wird Windows 10 Enterprise E3 für jede Organisation erschwinglich.

  • Verschieben von Lizenzen zwischen Benutzern. Lizenzen lassen sich schnell und einfach einem anderen Benutzer zuweisen. Dies ermöglicht eine optimale Verwendung der erworbenen Lizenzen bei veränderten Anforderungen.

Wie lässt sich das Windows 10 Enterprise E3 in CSP-Programm mit Microsoft-Volumenlizenzverträgen und Software Assurance vergleichen?

  • Programme für die Microsoft-Volumenlizenzierung decken ein größeres Spektrum ab und ermöglichen Organisationen den Zugriff auf Lizenzen für alle Microsoft-Produkte.

  • Software Assurance bietet Organisationen die folgenden Vorteile:

    • Bereitstellung und Wartung. Zu diesen Vorteilen zählen das Planen von Diensten, Microsoft Desktop Optimization (MDOP), Zugriffsrechte für den virtuellen Windows-Desktop, Windows To Go-Rechte, Nutzungsrechte für Windows-Roaming, Windows Thin PC, VDA-Rechte für WindowsRT-Begleiter und vieles mehr.

    • Schulungen. Hierzu zählen Schulungsgutscheine, Online-E-Learning und ein Programm für die Verwendung zu Hause.

    • Support. Hierzu gehören rund um die Uhr zur Verfügung stehender Support für die Problemlösung, Sicherungsfunktionen für die Notfallwiederherstellung, System Center Global Service Monitor und eine passive sekundäre Instanz von SQL Server.

    • Spezielle Vorteile. Zu diesen Vorteilen zählen die Verfügbarkeit von Step-Up-Licensing (ermöglicht das Migrieren von Software von einer älteren Edition auf eine höhere Edition) und die Aufteilung der Lizenz- und Software Assurance-Zahlungen auf drei gleich große jährliche Beträge.

    Darüber hinaus kann in Windows 10 Enterprise E3 in CSP ein Partner Ihre Lizenzen für Sie verwalten. Mit Software Assurance können Sie als Kunde Ihre Lizenzen selbst verwalten.

Zusammenfassend lässt sich sagen, dass es sich beim Windows 10 Enterprise E3 in CSP-Programm um ein Upgradeangebot handelt, das kleinen und mittelgroßen Unternehmen die einfachere, flexiblere Nutzung der Vorteile der Windows 10 Enterprise-Edition ermöglicht. Microsoft Volume Licensing-Programme und Software Assurance hingegen decken ein größeres Spektrum ab und bieten neben dem Zugriff auf die Windows 10 Enterprise-Edition noch weitere Vorteile.

Vergleichen der Windows 10 Pro- und der Enterprise-Edition

Die Windows 10 Enterprise-Edition bietet eine Reihe von Funktionen, die in Windows 10 Pro nicht verfügbar sind. Tabelle1 enthält die Windows 10 Enterprise-Features, die in Windows 10 Pro nicht zur Verfügung stehen. Viele dieser Features beziehen sich auf die Sicherheit, während andere eine differenziertere Geräteverwaltung ermöglichen.

Tabelle 1 Windows 10 Enterprise-Features, die in Windows 10 Pro nicht zur Verfügung stehen

FeatureBeschreibung

Credential Guard*

Dieses Feature nutzt virtualisierungsbasierte Sicherheit, um zum Schutz von geheimen Sicherheitsschlüsseln (beispielsweise NTLM-Kennworthashes, Kerberos-TGT) beizutragen, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Dadurch werden Pass-the-Hash- oder Pass-The-Ticket-Angriffe verhindert.

Credential Guard bietet die folgenden Features:

  • Hardwaresicherheit.  Mit Credential Guard wird mithilfe von Plattformsicherheitsfeatures wie dem sicheren Start und Virtualisierung die Sicherheit von abgeleiteten Anmeldeinformationen für Domänen erhöht.

  • Virtualisierungsbasierte Sicherheit  Windows-Dienste, die auf abgeleitete Domänenanmeldeinformationen und andere geheime Schlüssel zugreifen, werden in einer virtualisierten, geschützten Umgebung isoliert ausgeführt.

  • Verbesserter Schutz vor dauerhaften Bedrohungen.  Credential Guard arbeitet mit anderen Technologien (z.B. Device Guard), um auch bei dauerhaften Angriffen besseren Schutz zu bieten.

  • Verbesserte Verwaltbarkeit.  Credential Guard kann mit Gruppenrichtlinien, mit der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) und mit Windows PowerShell verwaltet werden.

Weitere Informationen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Credential Guard.

* Für Credential Guard ist mindestens UEFI 2.3.1 mit vertrauenswürdigem Start erforderlich. Virtualisierungserweiterungen wie Intel VT-x, AMD-V und SLAT müssen aktiviert sein. x64-Version von Windows. IOMMU wie Intel VT-d, AMD-Vi. BIOS-Sperrmodus. TPM 2.0 für den Nachweis über Geräteintegrität empfohlen (Ist TPM 2.0 nicht vorhanden, wird Software verwendet.)

Device Guard

Device Guard vereint Hardware- und Softwaresicherheitsfeatures und lässt nur die Ausführung von vertrauenswürdigen Anwendungen auf einem Gerät zu. Auch wenn ein Angreifer die Kontrolle über den Windows-Kernel übernimmt, hat er deutlich weniger Möglichkeiten, ausführbaren Code auszuführen. Device Guard kann die virtualisierungsbasierte Sicherheit (Virtualization-Based Security, VBS) in der Windows 10 Enterprise-Edition verwenden, um den Codeintegritätsdienst vom eigentlichen Windows-Kernel zu isolieren. Auch wenn Schadsoftware Zugriff auf den Kernel erhält, können die Auswirkungen mithilfe der VBS stark eingeschränkt werden, da der Hypervisor die Schadsoftware am Ausführen von Code hindern kann.

Device Guard dient zu Folgendem:

  • Trägt zum Schutz vor Malware bei.

  • Trägt zum Schutz des Windows-Systemkerns vor Exploits in Bezug auf Sicherheitsrisiken und Zero-Day-Angriffen bei.

  • Lässt nur die Ausführung vertrauenswürdiger Apps zu.

Weitere Informationen finden Sie unter Einführung in Device Guard.

AppLocker-Verwaltung

Mit diesem Feature können IT-Experten ermitteln, welche Anwendungen und Dateien Benutzer auf einem Gerät ausführen können (auch als „Erstellen einer Whitelist“ bezeichnet). Zu den verwaltbaren Anwendungen und Dateien zählen ausführbare Dateien, Skripts, Windows Installer-Dateien, Dynamic Link Libraries (DLL-Dateien), App-Pakete und App-Installer-Pakete.

Weitere Informationen finden Sie unter AppLocker.

Application Virtualization (App-V)

Dieses Feature macht Anwendungen für Endbenutzer verfügbar, ohne dass die Anwendungen direkt auf den Geräten des Benutzers installiert werden müssen. App-V wandelt Anwendungen in zentral verwaltete Dienste um, die nie installiert werden und keine Konflikte mit anderen Anwendungen verursachen. Mit diesem Feature kann auch sichergestellt werden, dass für Anwendungen die neuesten Sicherheitsupdates installiert werden.

Weitere Informationen finden Sie unter Erste Schritte mit App-V für Windows 10.

User Experience Virtualization (UE-V)

Mit diesem Feature können Sie benutzerdefinierte Windows- und Anwendungseinstellungen aufzeichnen und auf einem zentral verwalteten Netzlaufwerk speichern. Wenn sich Benutzer anmelden, werden ihre persönlichen Einstellungen für ihre Arbeitssitzung übernommen, unabhängig davon, an welchem Gerät bzw. an welcher VDI-Sitzung (virtuelle Desktopinfrastruktur) die Anmeldung erfolgt.

UE-V ermöglicht Folgendes:

  • Angeben, welche Anwendungs- und Windows-Einstellungen auf Benutzergeräten synchronisiert werden

  • Orts- und zeitunabhängige Bereitstellung der Einstellungen im Unternehmen

  • Erstellen benutzerdefinierter Vorlagen für Drittanbieter- oder Branchenanwendungen

  • Wiederherstellen von Einstellungen nach einem Hardwareaustausch, Upgrade oder Reimaging für einen virtuellen Computer zur Wiederherstellung des ursprünglichen Zustands

Weitere Informationen finden Sie unter User Experience Virtualization (UE-V) für Windows 10 – Überblick.

Verwaltete Benutzeroberfläche

Mit diesem Feature kann zur Beschränkung auf eine bestimmte Aufgabe die Benutzeroberfläche eines Windows-Geräts angepasst und gesperrt werden. Sie können beispielsweise ein Gerät für ein gesteuertes Szenario wie Kiosk- oder Schulungsgeräte konfigurieren. Die Benutzeroberfläche würde automatisch zurückgesetzt werden, sobald sich ein Benutzer abmeldet. Sie können den Zugriff auch auf Dienste, einschließlich Cortana oder Windows Store, beschränken und Startlayoutoptionen verwalten, z.B.:

  • Entfernen der Befehle „Herunterfahren“, „Neu starten“, „Energie sparen“ und „Ruhezustand“ und Verweigern des Zugriffs auf diese Befehle

  • Entfernen von „Abmelden“ (Benutzerkachel) aus dem Startmenü

  • Entfernen häufig verwendeter Programme aus dem Startmenü

  • Entfernen der Liste „Alle Programme“ aus dem Startmenü

  • Hindern der Benutzer am Anpassen ihres Startbildschirms

  • Erzwingen des Startmenüs in Vollbild- oder Menügröße

  • Verhindern der Änderung von Einstellungen für die Taskleiste und das Startmenü

Vorbereiten auf die Bereitstellung von Windows 10 Enterprise E3-Lizenzen

Sie besitzen wahrscheinlich lokale Active Directory Domain Services (AD DS)-Domänen. Benutzer verwenden ihre domänenbasierten Anmeldeinformationen für die Anmeldung bei der ADDS-Domäne. Bevor Sie mit der Bereitstellung von Windows 10 Enterprise E3-Lizenzen für Benutzer beginnen, müssen Sie die Identitäten in der lokalen ADDS-Domäne mit AzureAD synchronisieren.

Sie fragen sich vielleicht, warum diese Identitäten synchronisiert werden müssen. Die Antwort lautet: Benutzer haben dadurch eine einzige Identität, mit der Sie auf ihre lokalen Apps sowie auf Clouddienste zugreifen können, die Azure AD verwenden (etwa Windows 10 Enterprise E3). Das bedeutet, dass Benutzer ihre vorhandenen Anmeldeinformationen verwenden können, um sich bei AzureAD anzumelden und auf die Clouddienste zuzugreifen, die Sie für sie bereitstellen und verwalten.

In Abbildung1 wird die Integration zwischen der lokalen AD DS-Domäne und Azure AD veranschaulicht. Microsoft Azure Active Directory Connect (Azure AD Connect) ist für die Synchronisierung der Identitäten zwischen der lokalen ADDS-Domäne und AzureAD zuständig. Bei Azure AD Connect handelt es sich um einen Dienst, den Sie lokal oder auf einem virtuellen Computer in Azure installieren können.

Abbildungvon Azure Active Directory Connect

Abbildung1. In Azure AD integrierte lokale AD DS-Domäne

Weitere Informationen zum Integrieren lokaler ADDS-Domänen in Azure AD finden Sie in den folgenden Ressourcen:

Vorbereiten der Bereitstellung: Überprüfen der Anforderungen

Auf den Geräten muss Windows 10 Pro, Version 1607, ausgeführt werden. Sie müssen mit Azure Active Directory verbunden sein oder mit Azure AD Connect in die Domäne eingebunden worden sein. Kunden, die sich in einem Verbund mit Azure Active Directory befinden, sind ebenfalls zulässig. Weitere Informationen finden Sie weiter unten in diesem Thema unter Überprüfen der Geräteanforderungen.

Informationen zum Upgradeprozess

Ihr Abonnement wurde (von Ihrem Partner) eingerichtet, und Windows 10 Enterprise E3-Lizenzen wurden Benutzern zugewiesen. Die Benutzer können nun also ihre Geräte mit Windows 10 Pro, Version 1607, auf die Windows 10 Enterprise-Edition aktualisieren. Welche Aktionen müssen die Benutzer ausführen? Wie aktualisieren sie ihre Geräte?

Schritt1: Verknüpfen der Benutzergeräte mit Azure AD

Benutzer können ein Gerät mit Azure AD verknüpfen, wenn Sie das Gerät zum ersten Mal starten (beim Setup), oder ein bereits verwendetes Gerät verknüpfen, auf dem Windows 10 Pro, Version 1607, ausgeführt wird.

So verknüpfen Sie beim ersten Start eines Geräts das Gerät mit Azure AD

  1. Wählen Sie bei der Ersteinrichtung auf der Seite Wem gehört dieser PC? die Option My organization, und klicken Sie dann auf Weiter, wie in Abbildung2 dargestellt.

    Who owns this PC? page in Windows 10 setup

    Abbildung2. Die Seite „Wem gehört dieser PC?“ bei der Ersteinrichtung von Windows 10

  2. Wählen Sie auf der Seite Wählen Sie, wie eine Verbindung hergestellt werden soll die Option Azure AD beitreten, und klicken Sie dann auf Weiter, wie in Abbildung3 dargestellt.

    Choose how you'll connect - page in Windows 10 setup

    Abbildung3. Die Seite „Wählen Sie, wie eine Verbindung hergestellt werden soll“ bei der Ersteinrichtung von Windows 10

  3. Geben Sie auf der Anmeldeseite die AzureAD-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden, wie in Abbildung4 dargestellt.

    Let's get you signed in - page in Windows 10 setup

    Abbildung 4 Die Anmeldeseite bei der Ersteinrichtung von Windows 10

Das Gerät ist jetzt in Azure AD eingebunden und mit dem Abonnement des Unternehmens verknüpft.

So verknüpfen Sie ein Gerät mit Azure AD, wenn auf dem Gerät Windows 10 Pro, Version 1607, bereits installiert und eingerichtet ist

  1. Navigieren Sie zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen, wie in Abbildung5 dargestellt.

    Connect to work or school configuration

    Abbildung5. Konfiguration von „Mit Arbeit, Schule oder Uni verbinden“ unter „Einstellungen“

  2. Klicken Sie unter Geschäfts-, Schul- oder Unikonto einrichten auf Dieses Gerät in Azure Active Directory einbinden, wie in Abbildung6 dargestellt.

    Set up a work or school account

    Abbildung6. Geschäfts-, Schul- oder Unikonto einrichten

  3. Geben Sie auf der Anmeldeseite die AzureAD-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden, wie in Abbildung7 dargestellt.

    Let's get you signed in - dialog box

    Abbildung7. Anmeldeseite

Das Gerät ist jetzt in Azure AD eingebunden und mit dem Abonnement des Unternehmens verknüpft.

Schritt2: Anmelden mit einem Azure AD-Konto

Nachdem das Gerät mit dem AzureAD-Abonnement verknüpft wurde, meldet sich der Benutzer mit seinem AzureAD-Konto an, wie in Abbildung8 dargestellt. Die dem Benutzer zugeordnete Windows 10 Enterprise E3-Lizenz aktiviert die Funktionen der Windows 10 Enterprise-Edition auf dem Gerät.

Sign in, Windows 10

Abbildung 8 Anmelden mit einem Azure AD-Konto

Schritt3: Überprüfen, ob die Enterprise-Edition aktiviert ist

Sie können das Abonnement für Windows 10 Enterprise E3 unter Einstellungen > Update und Sicherheit > Aktvierung überprüfen, wie in Abbildung9 dargestellt.

Abbildung9: Windows 10 Enterprise E3-Abonnement in den Einstellungen

Windows 10 activated and subscription active

Wenn Probleme mit der Windows 10 Enterprise E3-Lizenz oder bei der Aktivierung der Lizenz auftreten, wird im Bereich Aktivierung die entsprechende Fehlermeldung oder der Status angezeigt. Anhand dieser Informationen können Sie eine Diagnose für den Lizenzierungs- und Aktivierungsprozess ausführen.

Problembehandlung

In einigen Fällen können bei Benutzern Probleme mit dem Windows 10 Enterprise E3-Abonnement auftreten. Nachfolgend sind die Probleme aufgeführt, die bei Benutzern am häufigsten auftreten:

  • Das vorhandene Betriebssystem Windows 10 Pro, Version 1607, wird nicht aktiviert.

  • Das Windows 10 Enterprise E3-Abonnement ist abgelaufen oder wurde entfernt.

Die folgenden Abbildungen unterstützen Sie bei der Problembehandlung, wenn bei Benutzern diese allgemeinen Probleme auftreten:

  • In Abbildung9 ist ein Gerät in fehlerfreiem Zustand dargestellt, auf dem Windows 10 Pro, Version 1607, und das Windows 10 Enterprise E3-Abonnement aktiviert sind.

  • In Abbildung10 ist ein Gerät in dargestellt, auf dem Windows 10 Pro, Version 1607, nicht aktiviert, aber das Windows 10 Enterprise E3-Abonnement aktiv ist.

  • In Abbildung11 ist ein Gerät in dargestellt, auf dem Windows 10 Pro, Version 1607, nicht aktiviert ist, aber das Windows 10 Enterprise E3-Abonnement abgelaufen ist oder entfernt wurde.

  • In Abbildung12 ist ein Gerät dargestellt, auf dem die Lizenz für Windows 10 Pro, Version 1607, nicht aktiviert ist und das Windows 10 Enterprise E3-Abonnement abgelaufen ist oder entfernt wurde.

Abbildung10 – Windows 10 Pro, Version 1607, wurde nicht aktiviert (unter „Einstellungen“).

Windows 10 not activated and subscription active

Abbildung11 – Das Windows 10 Enterprise E3-Abonnement ist abgelaufen oder wurde entfernt (unter „Einstellungen“).

Windows 10 activated and subscription not active

Abbildung12: Windows 10 Pro, Version 1607, wurde nicht aktiviert, und das Windows 10 Enterprise E3-Abonnement ist abgelaufen oder wurde entfernt (unter „Einstellungen“).

Windows 10 not activated and subscription not active

Überprüfen der Geräteanforderungen

Auf den Geräten muss Windows 10 Pro, Version 1607, ausgeführt werden. Sie müssen mit Azure Active Directory verbunden sein oder mit Azure AD Connect in die Domäne eingebunden worden sein. Kunden, die sich in einem Verbund mit Azure Active Directory befinden, sind ebenfalls zulässig. Sie können anhand der folgenden Verfahren überprüfen, ob ein bestimmtes Gerät die Anforderungen erfüllt.

So ermitteln Sie, ob ein Gerät mit Azure Active Directory verknüpft ist:

  1. Öffnen Sie eine Eingabeaufforderung, und geben Sie dsregcmd /status ein.

  2. Überprüfen Sie die Ausgabe unter „Gerätestatus“. Wenn der Status AzureAdJoined YES lautet, ist das Gerät mit Azure Active Directory verknüpft.

So ermitteln Sie die Version von Windows 10:

  • Geben Sie an einer Eingabeaufforderung winver ein.

    In einem Popupfenster werden die Windows 10-Versionsnummer und ausführliche Informationen zum Betriebssystembuild angezeigt.

    Wenn auf einem Gerät eine ältere Version von Windows 10 Pro (z.B. Version 1511) ausgeführt wird, wird das Gerät nicht auf Windows 10 Enterprise aktualisiert, wenn sich ein Benutzer anmeldet, auch wenn dem Benutzer ein Abonnement im CSP-Portal zugewiesen wurde.

Bereitstellen von Windows 10 Enterprise-Features

Die Windows 10 Enterprise-Edition wird nun auf Geräten ausgeführt. Wie nutzen Sie die Features und Funktionen der Enterprise-Edition? Welche Schritte müssen als Nächstes für die einzelnen in Tabelle1 aufgeführten Features ausgeführt werden?

Die folgenden Abschnitten enthalten die allgemeinen Aufgaben, die in Ihrer Umgebung ausgeführt werden müssen, damit Benutzer die Features der Windows 10 Enterprise-Edition nutzen können.

Credential Guard*

Sie können Credential Guard auf Windows 10 Enterprise-Geräten implementieren, indem Sie Credential Guard auf diesen Geräten aktivieren. Credential Guard verwendet virtualisierungsbasierte Windows 10-Sicherheitsfunktionen (Hyper-V-Funktionen), die auf den einzelnen Geräten aktiviert werden müssen, damit Sie Credential Guard aktivieren können. Sie können Credential Guard mit einer der folgenden Methoden aktivieren:

  • Automatisch. Sie können Credential Guard mithilfe von Gruppenrichtlinien automatisch für ein oder mehrere Geräte aktivieren. Die Gruppenrichtlinieneinstellungen fügen die virtualisierungsbasierten Sicherheitsfunktionen automatisch hinzu und konfigurieren die Credential Guard-Registrierungseinstellungen auf verwalteten Geräten.

  • Manuell. Sie können Credential Guard wie folgt manuell aktivieren:

    • Fügen Sie die virtualisierungsbasierten Sicherheitsfunktionen über „Programme und Funktionen” oder mit der Abbildverwaltung für die Bereitstellung (Deployment Image Servicing and Management, DISM) hinzu.

    • Konfigurieren Sie Credential Guard-Registrierungseinstellungen mithilfe des Registrierungs-Editors oder des Device Guard- und Credential Guard-Hardware-Vorbereitungstools.

    Sie können diese manuellen Schritte mithilfe eines Verwaltungstools wie etwa System Center Configuration Manager automatisieren.

Weitere Informationen zur Implementierung von Credential Guard finden Sie in den folgenden Ressourcen:

* Mindestens UEFI 2.3.1 mit vertrauenswürdigem Start erforderlich. Virtualisierungserweiterungen wie Intel VT-x, AMD-V und SLAT müssen aktiviert sein. x64-Version von Windows. IOMMU wie Intel VT-d, AMD-Vi. BIOS-Sperrmodus. TPM 2.0 für den Nachweis über Geräteintegrität empfohlen (Ist TPM 2.0 nicht vorhanden, wird Software verwendet.)

Device Guard

Auf den Geräten ist nun Windows 10 Enterprise verfügbar. Sie können jetzt also Device Guard auf den Windows 10 Enterprise-Geräten implementieren, indem Sie die folgenden Schritte ausführen:

  1. Optional ein Signaturzertifikat für Codeintegritätsrichtlinien erstellen. Bei der Bereitstellung von Codeintegritätsrichtlinien kann es erforderlich sein, Katalogdateien oder Codeintegritätsrichtlinien intern zu signieren. Dazu benötigen Sie entweder ein öffentlich ausgestelltes Codesignaturzertifikat (das Sie kaufen müssen) oder eine interne Zertifizierungsstelle. Wenn Sie eine interne Zertifizierungsstelle verwenden möchten, müssen Sie ein Codesignaturzertifikat erstellen.

  2. Codeintegritätsrichtlinien anhand von goldenen PCs erstellen. Wenn Sie bestimmte Abteilungen oder Rollen ermittelt haben, die besondere oder teilweise unterschiedliche Sätze von Hardware und Software verwenden, können Sie „goldene“ PCs mit der betreffenden Software und Hardware einrichten. Das Erstellen und Verwalten von Codeintegritätsrichtlinien gemäß den Anforderungen von Rollen oder Abteilungen kann ähnlich erfolgen wie die Verwaltung von Unternehmensimages. Auf jedem „goldenen“ Computer können Sie eine Codeintegritätsrichtlinie erstellen und festlegen, wie diese verwaltet wird. Sie können Codeintegritätsrichtlinien auch zu einer umfassenderen oder Hauptrichtlinie zusammenführen. Alternativ können Sie jede Richtlinie einzeln verwalten und bereitstellen.

  3. Codeintegritätsrichtlinie überwachen und Informationen über Anwendungen sammeln, die nicht von der Richtlinie abgedeckt sind. Es wird empfohlen, jede Codeintegritätsrichtlinie mithilfe des „Überwachungsmodus“ eingehend zu testen, bevor sie erzwungen wird. Im Überwachungsmodus wird keine Anwendung blockiert. Die Richtlinie protokolliert nur ein Ereignis, wenn eine Anwendung außerhalb der Richtlinie gestartet wird. Später können Sie die Richtlinie nach Bedarf ausweiten, um diese Anwendungen zuzulassen.

  4. „Katalogdatei“ für nicht signierte Branchenanwendungen erstellen. Verwenden Sie das Paketprüfungstool, um eine Katalogdatei für nicht signierte Branchenanwendungen zu erstellen und zu signieren. In späteren Schritten können Sie die Signatur der Katalogdatei in Ihrer Codeintegritätsrichtlinie zusammenführen, damit die Anwendungen im Katalog von der Richtlinie zugelassen werden.

  5. Erforderliche Richtlinieninformationen aus dem Ereignisprotokoll erfassen und die Informationen nach Bedarf in der vorhandenen Richtlinie zusammenführen. Nachdem eine Codeintegritätsrichtlinie eine Zeit lang im Überwachungsmodus ausgeführt wurde, enthält das Ereignisprotokoll Informationen zu den Anwendungen, die nicht von der Richtlinie abgedeckt sind. Wenn Sie die Richtlinie erweitern möchten, sodass sie diese Anwendungen zulässt, können Sie mithilfe von Windows PowerShell-Befehlen die erforderlichen Richtlinieninformationen aus dem Ereignisprotokoll erfassen. Fügen Sie diese Informationen anschließend in die vorhandene Richtlinie ein. Außerdem können Sie Codeintegritätsrichtlinien aus anderen Quellen zusammenführen. Dies ermöglicht Ihnen die flexiblere Erstellung der endgültigen Codeintegritätsrichtlinien.

  6. Codeintegritätsrichtlinien und Katalogdateien bereitstellen. Nachdem Sie alle vorangehenden Schritte abgeschlossen haben, können Sie damit beginnen, Katalogdateien bereitzustellen und den Überwachungsmodus für Codeintegritätsrichtlinien aufzuheben. Es wird dringend empfohlen, diese Schritte zunächst für eine Gruppe von Testbenutzern auszuführen. Dadurch nehmen Sie eine letzte Qualitätskontrolle vor, bevor die Katalogdateien und Codeintegritätsrichtlinien einem größeren Benutzerkreis bereitgestellt werden.

  7. Die gewünschten Hardwaresicherheitsfeatures aktivieren. Hardwarebasierte Sicherheitsfeatures – auch als virtualisierungsbasierte Sicherheitsfeatures bezeichnet – erhöhen den durch Codeintegritätsrichtlinien bereitgestellten Schutz.

Weitere Informationen zur Implementierung von Device Guard finden Sie in den folgenden Ressourcen:

AppLocker-Verwaltung

Sie können AppLocker in Windows 10 Enterprise mithilfe von Gruppenrichtlinien verwalten. Bei der Verwendung von Gruppenrichtlinien ist erforderlich, dass ADDS eingerichtet ist und die Windows 10 Enterprise-Geräte in die ADDS-Domäne eingebunden sind. Sie können AppLocker-Regeln mithilfe von Gruppenrichtlinien erstellen und dann diese Regeln auf die entsprechenden Geräte anwenden.

Weitere Informationen zur AppLocker-Verwaltung mithilfe von Gruppenrichtlinien finden Sie unter AppLocker-Bereitstellungsanleitung.

App-V

App-V erfordert für die Unterstützung von App-V-Clients eine App-V-Serverinfrastruktur. Sie benötigen die folgenden primären App-V-Komponenten:

  • App-V-Server. Der App-V-Server stellt Funktionen zur App-V-Verwaltung und zur Veröffentlichung virtualisierter Apps sowie App-Streaming und Dienste zur Berichterstellung bereit. Alle diese Dienste können auf einem Server oder einzeln auf mehreren Servern ausgeführt werden. Sie können beispielsweise mehrere Streamingserver einrichten. App-V-Clients kontaktieren App-V-Server, um zu ermitteln, welche Apps für den Benutzer oder das Gerät veröffentlicht werden. Anschließend führen sie vom Server aus die virtualisierte App aus.

  • App-V-Sequencer. Beim App-V-Sequencer handelt es sich um ein typisches Clientgerät, das zum Sequenzieren (Erfassen) von Apps und ihrer Vorbereitung für das Hosten vom App-V-Server verwendet wird. Sie installieren Apps auf dem App-V-Sequencer, und die App-V-Sequencer-Software bestimmt die Dateien und Registrierungseinstellungen, die während der App-Installation geändert werden. Der Sequencer erfasst dann diese Einstellungen, um eine virtualisierte App zu erstellen.

  • App-V-Client. Der App-V-Client muss vom App-V-Server auf allen Clientgeräten aktiviert werden, auf denen Apps ausgeführt werden. Dabei handelt es sich um die Windows 10 Enterprise E3-Geräte.

Weitere Informationen zum Implementieren des App-V-Servers, App-V-Sequencers und App-V-Clients finden Sie in den folgenden Ressourcen:

UE-V

UE-V erfordert server- und clientseitige Komponenten, die Sie herunterladen, aktivieren und installieren müssen. Zu diesen Komponenten zählen Folgende:

  • UE-V-Dienst. Der UE-V-Dienst überwacht (bei Aktivierung auf Geräten) registrierte Anwendungen und Windows für alle Einstellungsänderungen und synchronisiert anschließend diese Einstellungen zwischen Geräten.

  • Einstellungspakete. Vom UE-V-Dienst erstellte Einstellungen speichern Anwendungseinstellungen und Windows-Einstellungen. Einstellungspakete werden erstellt, lokal gespeichert und an den Speicherort für die Einstellungen kopiert.

  • Speicherort für die Einstellungen. Dieser Speicherort ist eine Standardnetzwerkfreigabe, auf die Ihre Benutzer zugreifen können. Der UE-V-Dienst überprüft den Speicherort und erstellt einen versteckten Systemordner zum Speichern und Abrufen von Benutzereinstellungen.

  • Einstellungsortvorlagen. Bei Einstellungsortvorlagen handelt es sich um XML-Dateien, mit denen UE-V Desktopanwendungseinstellungen und Windows-Desktopeinstellungen überwachen und zwischen Benutzercomputern synchronisieren. In UE-V sind standardmäßig einige Einstellungsortvorlagen enthalten. Mithilfe des UE-V-Vorlagengenerators können Sie auch benutzerdefinierte Einstellungsortvorlagen erstellen, bearbeiten oder überprüfen. Für Windows-Anwendungen sind keine Einstellungsortvorlagen erforderlich.

  • Liste der universellen Windows-Anwendungen. UE-V ermittelt mithilfe einer verwalteten Anwendungsliste, welche Windows-Anwendungen für die Einstellungssynchronisierung aktiviert sind. Diese Liste enthält standardmäßig den Großteil der Windows-Anwendungen.

Weitere Informationen zum Bereitstellen von UE-V finden Sie in den folgenden Ressourcen:

Verwaltete Benutzeroberfläche

Beim Feature für die verwaltete Benutzeroberfläche handelt es sich um eine Reihe von Features der Windows 10 Enterprise-Edition und entsprechenden Einstellungen, die Sie zur Verwaltung der Benutzeroberfläche verwenden können. In Tabelle2 sind die Einstellungen für die verwaltete Benutzeroberfläche (nach Kategorie) beschrieben. Sie sind nur in der Windows 10 Enterprise-Edition verfügbar. Die zum Konfigurieren der einzelnen Features verwendeten Verwaltungsmethoden sind jeweils vom Feature abhängig. Einige Features werden mithilfe von Gruppenrichtlinien konfiguriert, andere hingegen mithilfe von Windows PowerShell, der Abbildverwaltung für die Bereitstellung oder anderen Befehlszeilentools. Für die Gruppenrichtlinieneinstellungen benötigen Sie AD DS, und die Windows 10 Enterprise-Geräte müssen mit der ADDS-Domäne verknüpft sein.

Tabelle2. Features der verwalteten Benutzeroberfläche

FeatureBeschreibung
Anpassung des StartlayoutsSie können ein benutzerdefiniertes Startlayout für Benutzer in einer Domäne bereitstellen. Dazu ist kein Reimaging erforderlich, und das Startlayout kann einfach durch Überschreiben der XML-Datei, die das Layout enthält, aktualisiert werden. Dadurch können Sie mit minimalem Verwaltungsaufwand die Startlayouts für verschiedene Abteilungen oder Organisationen anpassen.
Weitere Informationen zu diesen Einstellungen finden Sie unter Anpassen des Startmenüs und der Taskleiste in Windows 10 mit der Gruppenrichtlinie.
Nicht markierter StartSie können Windows-Elemente, die beim Starten oder Fortsetzen von Windows angezeigt werden, sowie den Absturzbildschirm unterdrücken, wenn in Windows ein Fehler auftritt, der nicht behoben werden kann.
Weitere Informationen zu diesen Einstellungen finden Sie unter Nicht markierter Start.
Benutzerdefinierte AnmeldungMithilfe des Features für die benutzerdefinierte Anmeldung können Sie Windows 10-Benutzeroberflächenelemente für die Willkommensseite und den Herunterfahren-Bildschirm unterdrücken. Sie können beispielsweise alle Elemente der Benutzeroberfläche der Willkommensseite unterdrücken und eine benutzerdefinierte Anmeldebenutzeroberfläche bereitstellen. Darüber hinaus können Sie den Bildschirm des Konfliktlösers für das blockierte Herunterfahren (Blocked Shutdown Resolver, BSDR) unterdrücken und Anwendungen automatisch beenden, während das Betriebssystem wartet, bis Anwendungen vor dem Herunterfahren geschlossen wurden.
Weitere Informationen zu diesen Einstellungen finden Sie unter Benutzerdefinierte Anmeldung.
Shell-StartprogrammErmöglicht dem zugewiesenen Zugriff ausschließlich die Ausführung einer klassischen Windows-App über das Shell-Startprogramm zum Ersetzen der Shell.
Weitere Informationen zu diesen Einstellungen finden Sie unter Shell-Startprogramm.
TastaturfilterMit dem Tastaturfilter können Sie nicht erwünschte Eingaben über die Tastatur oder Tastenkombinationen unterdrücken. In der Regel können Benutzer mit bestimmten Windows-Tastenkombinationen wie STRG+ALT+DEL oder STRG+UMSCHALT+TAB ein Gerät steuern, indem Sie den Bildschirm sperren oder Task-Manager zum Schließen einer ausgeführten Anwendung verwenden. Dies ist auf Geräten, die für eine bestimmte Funktion vorgesehen sind, nicht wünschenswert.
Weitere Informationen zu diesen Einstellungen finden Sie unter Tastaturfilter.
Einheitlicher SchreibfilterSie können einheitliche Schreibfilter (Unified Write Filter, UWF) auf Ihrem Gerät verwenden, um zum Schutz Ihres physischen Speichermediums beizutragen. Zu diesen Speichermedien zählen die meisten Standardtypen beschreibbarer Speicher, die von Windows unterstützt werden, beispielsweise physische Festplatten, Festkörperlaufwerke, interne USB-Geräte und externe SATA-Geräte. Mithilfe von UWF können Sie ein schreibgeschütztes Medium für ein Betriebssystem auch als beschreibbares Volume darstellen.
Weitere Informationen zu diesen Einstellungen finden Sie unter Einheitlicher Schreibfilter.

Verwandte Themen

Verknüpfen von in die Domäne eingebundenen Geräten mit Azure AD für Windows 10

Vergleichen von Windows 10-Editionen

Windows Updates für Unternehmen

© 2017 Microsoft