IT AdministrationUmgang mit Windows 10 Updates in Unternehmen

Viele Unternehmen arbeiten noch mit Windows 7 oder 8/8.1. Sie fürchten die halbjährlichen Updates von Windows 10. Doch der Support für Windows 7 endet im Jahr 2020 und ein Umstieg ist unvermeidlich. Dieser Beitrag erläutert, wie eine IT-Organisation mit den häufigen Updates von Windows 10 verfahren sollte. Und warum man auf Update-Prozesse statt auf die LTSB-Version (Long-Term Servicing Branch) setzen sollte.

Mit Windows 10 hat man in Redmond auch die Release-Politik modernisiert. In Anlehnung an agile Softwareentwicklung erfolgt bei Windows 10 eine kontinuierliche Aktualisierung nach dem „Rolling Releases“-Prinzip. „Windows-as-a-Service“ ist das Ziel. Jeweils im Frühjahr und im Herbst („semiannual channel“, also „halbjährlicher Kanal“ genannt) gibt es seither Updates für die Windows-10-Varianten Home, Pro, Enterprise sowie – für den Bildungssektor – Education. Diese Updates können nicht nur Bugfixes, sondern auch neue Funktionen enthalten. So sollen die Anwender laufend von funktionalen Neuerungen und Sicherheitsupdates profitieren.

Im Release-Track Current Branch (CB), gedacht für Privatanwender wie auch Unternehmen, lädt Windows dabei Updates automatisch herunter und installiert sie. Mit der Variante „Windows Update for Business“ können Administratoren Security Patches zu Testzwecken um bis zu 30 Tage aufschieben, Feature Upgrades um maximal 365 Tage. Lediglich der Release-Zweig „Long-Term Servicing Branch“ (LTSB) behält das vertraute Zwei- bis Drei-Jahres-Intervall zwischen Betriebssystem-Iterationen bei.

Mit dem halbjährlichen Erneuerungsrhythmus möchte Microsoft in den Unternehmen für Planbarkeit sorgen. Dennoch blieben bislang viele IT-Organisationen misstrauisch, hat man doch den Aufwand des unternehmensweiten Umstiegs auf Windows 7 oder Windows 8/8.1 noch gut in Erinnerung. Die Befürchtung: Aufgrund der stark verkürzten OS-Update-Zyklen könnte man künftig permanent mit der Aktualisierung der Client-Systeme zu kämpfen haben.

Manch eine IT-Leitung liebäugelt deshalb mit der Idee, einfach alle Clients auf Windows 10 LTSB zu migrieren – dann, so die Hoffnung, könnten die Update-Projekte so ablaufen wie gehabt. Von dieser Vorgehensweise ist jedoch abzuraten: Der Ansatz führt in die Sackgasse!

Denn Microsoft hat LTSB lediglich für solche Endpunkte vorgesehen, deren Software-Image dauerhaft praktisch unverändert bleibt, also zum Beispiel Kassensysteme oder Steuerungsrechner an Produktionsstraßen. Als Release-Option für Office-Rechner hingegen ist LTSB nicht gedacht – und das macht sich früher oder später bemerkbar.

So verfügt die LTSB-Variante zum Beispiel nicht über den modernen, schlanken Edge Browser, den Microsoft zusammen mit Windows 10 vorgestellt hatte. Dies könnte man als Detail abtun – es ist aber ein Indiz dafür, dass der LTSB-Kanal jederzeit von Neuerungen der Windows-Client-Welt abgeschnitten werden kann. Dadurch ist zum Beispiel nicht garantiert, dass auch die nächste LTSB-Version noch mit Microsoft Office 365 zusammenarbeitet.

Wenn also der vertraute Update-Prozess mittels LTSB kein gangbarer Weg ist, wie sollte sich eine IT-Abteilung dann auf Updates von Windows 10 vorbereiten? Wichtig ist es hier vor allem, den Modernisierungsschritt in Microsofts Release-Politik auf Organisationsseite nachzuvollziehen: Die IT-Abteilung muss sich vom Projekt OS-Migration verabschieden und es durch einen „Prozess OS-Migration“ ersetzen. Sie muss ein standardisiertes Verfahren etablieren, um die halbjährliche Aktualisierung des Client-Betriebssystems zu stemmen – wenn es sein muss, mittels mehrerer Rollout-Wellen schnell und doch unternehmensweit. Das individuelle Projekt muss zu einem Satz Standardaufgaben werden, die das Client-Management-Team „nach Schema F“ abarbeiten kann.

Auf organisatorischer Ebene bietet sich für das Change- und Release-Management eine Orientierung an den Standardprozessen des Service Management Frameworks ITIL an, alternativ der Rückgriff auf das Microsoft Operations Framework (MOF). Auch für Cobit-erfahrene IT-Organisationen (Cobit: Control Objects for IT and Related Technology) sollte der Übergang zu einem Standard-OS-Migrationsprozess ein Leichtes sein. Ergänzend ist auf technischer Ebene Softwareunterstützung gefragt, um die geplanten Prozesse möglichst hochgradig automatisiert umsetzen zu können.

Den Goldstandard für eine solche Automation regelmäßiger OS-Aktualisierungen stellen heutzutage sogenannten UEM-Lösungen dar (Unified-Endpoint-Management). „Unified“ dürfen sich Endpoint-Management-Werkzeuge nennen, wenn sie in der Lage sind, die zentrale Verwaltung und Kontrolle für traditionelle Clients (PCs, Notebooks) ebenso zu ermöglichen wie für moderne mobile Endgeräte (Smartphones und Tablets mit iOS oder Android).

Wichtig ist eine solche, die Gerätegattungen überspannende Verwaltungsfunktionalität aus einem einheitlichen Dashboard heraus, um eine Dopplung der Management-Tools zu vermeiden. Zudem gibt es immer mehr moderne Geräte wie etwa Microsofts Surface Pro, die bestehende Grenzen zwischen den traditionellen Gerätegattungen sprengen. Derlei Hybridgeräte dürften künftig zunehmend Alltag werden, nicht zuletzt dank der mit Windows 10 eingeführten Verwaltung über den modernen Mobility Management Layer und den „Universal Apps“, die sich je nach Gerät oder Vorliebe per Touch oder per Tastatur und Maus bedienen lassen.

Moderne UEM-Lösungen basieren auf einer Workflow Engine. Mit ihr kann die IT-Organisation Abläufe definieren, die das UEM-Werkzeug dann automatisiert abarbeitet. Im Idealfall erlaubt eine UEM-Lösung eine programmierungsfreie Erstellung und Anpassung von Workflows über ein intuitives grafisches Interface. Damit könnte letztlich sogar eine Mitarbeiterin oder ein Mitarbeiter einer Fachabteilung erforderliche Workflows selbst festlegen, ohne dafür die Hilfe der IT-Abteilung in Anspruch nehmen zu müssen.

Eine State-of-the-Art-UEM-Lösung unterstützt für die OS-Migration nicht nur Wipe and Load, also das Löschen neu beschaffter Geräte mit anschließendem Aufspielen unternehmenseigener Software-Images. Ebenso muss es eine In-Place-Migration unterstützen, also das Upgrade von Windows 7 oder Windows 8/8.1 oder einer älteren Windows 10 Version unter Beibehaltung der Applikationen und Einstellungen. Nicht minder wichtig ist die Unterstützung für das Verfahren der Reprovisionierung, das Microsoft neu eingeführt hat.

Hierbei wird ein neu beschafftes Endgerät gleich beim Hersteller oder Lieferanten für das Kundenunternehmen registriert. So kann es der Vertriebspartner zum Endanwender liefern. Der Endanwender muss dann lediglich einige wenige Eckdaten wie die Landessprache und seine Firmen-E-Mail-Adresse eingeben. Das neue Endgerät wird automatisch von vorinstallierter unnötiger Software (Bloatware) befreit und mit der Software bespielt, die für seine Anwenderrolle vorgesehen ist (reprovisioniert).

Des Weiteren muss eine moderne UEM-Lösung auf die heute üblichen Self-Service-Prozesse ausgelegt sein: Sobald das unternehmenseigene Software-Image provisioniert ist, kann der Endanwender über einen Enterprise Self-Service Store gewünschte Softwarepakete und Services ordern – im Rahmen der von der IT-Abteilung vorgegebenen Möglichkeiten. Ein solcher Enterprise Self-Service vereint die Wünsche heutiger Anwender nach selbsttätiger Gestaltung ihres Arbeitsumfeldes mit der zentralen Kontrolle durch die IT-Organisation, die aus Sicherheitsgründen wie auch im Hinblick auf die EU-DSGVO (Datenschutz-Grundverordnung) zwingend nötig ist.

Mittels Prozessorientierung und UEM-gestützter Automation ist die Einführung und Aktualisierung von Windows 10 kein Berg mehr, den es zu erklimmen gilt, sondern nur noch ein bequem begehbarer Hügel. Zugleich verschafft Self-Service-basiertes UEM der IT neue Freiräume für die Konzentration auf ihr Kerngeschäft: das Business mit effizienten Lösungen zu unterstützen.