Windows Information Protection – WIP

Was ist Windows Information protection – WIP?

Windows Information Protection oder auch WIP ist eine Methode, um Ihre Geschäftsdaten zu schützen. Ihre Daten werden in Geschäftsdaten (Sharepoint / Outlook / Fileshares etc.) und private Daten (persönliche Mails etc) unterteilt.

Der Administrator kann den Zugriff auf geschäftliche Daten einschränken in dem man entsprechende Berechtigungen zuweist. Nur weil jemand Zugriff auf die Daten hat, heisst das aber nicht, dass die Daten im geschützten Bereich ihrer Unternehmung bleiben. Alle Administratoren wissen, wenn Benutzer etwas nicht machen können/dürfen, dann finden Sie, meist sehr erfinderisch, einen anderen Weg. Kann ein Benutzer die Daten beispielsweise nicht mit jemand anderem direkt ‘teilen’, dann werden die Daten einfach irgendwo in einen öffentlichen Bereich hochgeladen und von dort zugänglich gemacht.

Hier hilft WIP:

Windows Information protection, kurz WIP unterstützt Sie als IT Verantwortlichen für die Datensicherheit, indem sie entsprechende Regeln definieren:

  • Welche Daten sind geschäftlich und schützenswert und wo sind diese abgelegt?
  • Welche Programme dürfen auf diese Daten zugreifen?
  • Was soll passieren, wenn eine Regel verletzt wird?

Microsoft Office:

Microsoft Office sowie der Microsoft Edge Chromium Browser sind sogenannte ‘Fully enlightened’ Applikationen, das heisst, hier ist es möglich, innerhalb der Applikation, zu entscheiden welche Daten geschäftlich oder privat sind. Ein schönes Beispiel ist Microsoft Outlook. Nehmen wir an, ein Benutzer hat in Outlook sowohl den geschäftlichen Account wie auch einen privaten Account aktiv. Ohne WIP könnte der Benutzer geschäftliche Daten sowohl mit dem Firmen Account wie auch mit dem privaten Account verschicken. Mit WIP ist dies nicht möglich. Outlook lässt in diesem Fall (sofern entsprechend konfiguriert) den Zugriff auf die Firmendaten nur noch via Firmen Account zu. Auch ein ‘Copy/Paste’ Versuch von einem Firmenmail in ein privates Mail, wird unterbunden.

Der Zugriff auf die Geschäftsdaten muss in jeder Applikation explizit erlaubt werden. Um den Aufwand diesbezüglich zu minimieren, kann man prinzipiell die Signaturen der Applikationen nutzen und sowohl Wildcards in den Versionen oder Applikationsnamen wie auch ganze Hersteller pauschal freischalten, sofern diese als vertrauenswürdig gelten.

In den letzten Jahren tauchten auch immer wieder diverse ‘Verschlüsselungstrojaner’ auf. WIP ist auch ein guter Schutz gegen diese Methode, da sämtliche Programme, welche nicht explizit freigeschaltet werden, keinerlei Zugriff auf geschäftlichen Daten haben.

Benutzer Erfahrung:

Wird versucht ein geschütztes Dokument an einen nichtgeschützten Ort zu laden, beispielsweise auf den persönlichen Gmail Account, so erhält der Benutzer eine entsprechende Warnung:

Windows Information Policy part 2

Wird versucht mit Copy/Paste geschäftliche Inhalte in ein privates Dokument zu kopieren so erscheint folgende Meldung:

Windows Information Protection policy

Wird dem Benutzer erlaubt, die Aktion zu überschreiben, so sieht die Meldung folgendermassen aus:

Windows Information Policy part 3

Zusätzlich kann auch festgelegt werden, ob geschäftliche Dokument als solches lokal mittels Icon ersichtlich sein sollen:

Windows Information Protection

WIP Voraussetzung:

Damit sie WIP einsetzen können benötigen sie eine Mobile Device Management (MDM) Lösung – optimalerweise Microsoft Intune.

Warum sollten sie WIP einsetzen:

  • Sicheres lokales Speichern von Firmendaten
    • Wenn Benutzer beispielsweise Daten von ihrem Sharepoint lokal abspeichern oder auf einem USB Device ablegen, so werden diese automatisch verschlüsselt
  • Geschützte Applikationen
    • Nur ihre (verwalteten) Applikationen haben Zugriff auf die Firmendaten. Benutzer können keine Firmendaten in eine nichtverwalteten Applikation kopieren oder innerhalb dieser nutzen
  • Verwaltete Applikationen
    • Definieren sie, welche Applikationen Zugriff auf ihre Daten haben
  • Entscheiden Sie über die Art des Schutzes
    • WIP erlaubt es entweder den Datenaustausch zu blockieren, nachzufragen oder einfach nur ‘still’ aufzuzeichnen
  • Datenverschlüsselung auf Nummer sicher
    • Wird beispielsweise ein Word Dokument von einem geschützten Bereich geöffnet und in einen privaten Bereich mit einem anderen Namen gespeichert, so erkennt Word (mittels WIP) dies und klassifiziert dieses Dokument ebenfalls als geschäftliches Dokument
  • Schutz gegen versehentliches veröffentlichen von Dokumenten
    • Firmen Daten können nicht aus versehen auf einen USB Stick oder auf einen öffentlichen Web Upload kopiert werden
  • Löschen von geschäftlichen Daten bei Austritt eines Benutzers
    • Der Zugriff auf WIP geschützte Daten wird automatisch blockiert, wenn ein entsprechendes Device in Intune gelöscht wird. Dadurch kann der Zugriff auf die geschäftlichen Daten gesperrt werden, während gleichzeitig der Zugriff auf die persönlichen Daten vorhanden bleibt

Wie funktioniert WIP:

WIP verschlüsselt alle geschäftlichen Daten transparent mittels IRM Technologie auf lokalen Datenträgern (Harddisk/USB usw.), welche nicht direkt zum geschützten Bereich gehören (Sharepoint, Fileserver usw). Kopiert ein Benutzer bspw. ein Dokument von ihrem Fileserver auf ein USB Laufwerk, so kann dieses Dokument nur noch auf einem Firmengerät mit einem Firmenbenutzer gelesen werden, nicht aber auf privaten oder öffentlichen Devices. Ein zusätzlicher Schutz mittels separater Verschlüsselung ist nicht mehr notwendig. Ausserdem wird die ‘Applocker’ Methode benutzt für Zugriffslimitierung der Applikationen.

WIP hat drei Grundfunktionen

  • Blockieren – der Austausch von geschäftlichen zu privaten Daten wird unterbunden
  • Allow Override – Wenn eine Regel anschlägt, so erfolgt eine Warnung an den Benutzer, dieser hat jedoch die Möglichkeit die Aktion zu überschreiben
  • Silent – Alle Aktionen und Regeln werden protokolliert, es erfolgt jedoch keine Aktion beim Benutzer
  • Off – WIP ist deaktiviert und es ist kein Schutz aktiv

WIP kann jederzeit deaktiviert werden, ohne dass ein Datenverlust erfolgt. Allfällige verschlüsselte lokale Dokumente werden automatisch entschlüsselt.

Conditional Access (hybrid Umgebung inkl. Mac)

Ausgangslage Conditional Access

In diesem Blog beschreiben wir Conditional Access mit Microsoft Intune in einer hybriden Umgebung. Als Ausgangslage dient eine Umgebung, die hybrid betrieben wird und noch den einen oder anderen Apple Mac PC beinhaltet. Die bestehenden File-Server wurden durch SharePoint Online abgelöst. Nun muss jedoch sichergestellt werden, dass die Bibliotheken nur auf Firmengeräten synchronisiert werden dürfen. Wie lässt sich dies unter diesen Voraussetzungen sicherstellen?

Was ist die Lösung?

Die Lösung hierfür lautet Conditional Access. Mit der Verwendung von Conditional Access Policies lassen sich entsprechende Zugriffskontrollen erstellen. Dabei lassen sich weit komplexere und umfassendere Policies erstellen, als wir es in diesem Beispiel tun.

Lizenzierung

Um Conditional Access verwenden zu können, müssen die erforderlichen Benutzer mindestens über eine Azure AD Premium P1 Lizenz verfügen. (*Azure AD Premium P1 steht auch mit Microsoft 365 Business Premium zur Verfügung.)

Ziel

Das Ziel ist es, sicherzustellen, dass ein Benutzer der auf eine SharePoint Online Bibliothek zugreift, diese nur mit OneDrive synchronisieren kann, wenn sein Gerät der Firma gehört. Somit soll verhindert werden, dass Firmenbibliotheken auf privaten, unsicheren Computern synchronisiert werden.

Mancher denkt sich jetzt, «ist ja einfach und lässt sich ganz simpel im SharePoint Admin Center einstellen» Sicher ja, dies könnte es sein. Doch eine Umgebung, bei welcher einige Geräte Azure AD joined sind, andere sich in der lokalen Active Directory befinden und zusätzlich noch Apple Macs existieren, wird es dann doch etwas komplizierter. Aus diesem Grund kommt eine Lösung mit Conditional Access zum Zug.

Übersicht Zugriffe

In folgender Tabelle abgebildet ist die Zugriffsübersicht.

  Zugriff
Gerät (Besitzer) Browser OneDrive-Client
Desktop (Firma) Ja Ja
Laptop (Firma) Ja Ja
iMac (Firma) Ja Ja
Desktop (Privat) Ja Nein
Laptop (Privat) Ja Nein
iMac (Privat) Ja Nein
Übrige (Privat) Ja Nein

Conditional Access Policy

Basierend auf vorgehender Tabelle, wird nun eine Conditional Access Policy erstellt, die den Zugriff auf SharePoint Online regelt.

Dafür wird eine neue Policy erstellt, die auf alle Benutzer angewandt wird. Weiters wird die Policy auf die Cloud App Office 365 SharePoint Online angewandt, und zwar für jedes Device von jeder Location. Der Browser wird ausgeschlossen. Was nun wichtig ist: Die Richtlinie wird für alle Device states gesetzt, ausgenommen werden aber Geräte die a) Hybrid Azure AD joined oder b) als «compliant» markiert sind. Dazu im nächsten Abschnitt mehr. Weiters wählen wir Block access und !WICHTIG! erst einmal «Report only». Dadurch sperren wir uns nicht gleich selbst aus und können erst einmal mit What-if ein paar Szenarien prüfen.

Folgend ein paar Szenarien im Test. (Benutzer im Azure AD)

 

  • Zugriff von privatem Windows 10 Gerät via Browser: Erlaubt
What-if private Windows 10 Browser
  • Zugriff von privatem Windows 10 Gerät via OneDrive: Blockiert
What-if private Windows 10 OneDrive
  • Zugriff von Firmengerät, Windows 10 via OneDrive: Erlaubt
What-if company Win 10 OneDrive

Device State compliant oder Hybrid Azure AD joined

Wichtig ist, dass die Firmengeräte einer dieser beiden Status erhalten. Hybrid Azure AD joined erhält ein Gerät, wenn es aus der lokalen AD ins Azure AD synchronisiert wird. Somit wird davon ausgegangen, dass diese Geräte auch der Firma gehörten. Was aber nun mit den Azure AD joined-Geräten und den Macs, die sich nicht in der lokalen AD befinden?

Intune

Da kommt nun Intune zum Einsatz. In Intune wird eine Device Compliance Policy erstellt und anschliessend wird bei allen Azure AD-joined Geräte eine MDM-Registrierung durchgeführt. Für das Enrollment der iMacs und MacBooks muss erst ein Apple MDM Push certificate erstellt werden, worauf sich aber auch die Mac-Geräte im Intune registrieren lassen. Da alle diese Geräte nun compliant sind (sofern sie die Kriterien der Policy erfüllen), können die SharePoint Bibliotheken nun ebenfalls auf diesen Geräten synchronisiert werden.

Device Compliance Intune with iMac

Fazit

Mit dem Einsatz von Conditional Access lässt sich auch in einer gemischten Umgebung der Zugriff auf SharePoint Bibliotheken einschränken. Klar, in dem beschriebenen Szenario könnte der Mitarbeiter den Ordner auch im Browser öffnen und die Datei lokal herunterladen. Es könnte sogar noch weiter gegangen werden und auch den Zugriff via Browser verboten werden, wenn es sich nicht um ein Firmengerät handelt. Wie restriktiv die angewandten Richtlinien sind, hängt immer von der Firma und ihrer Philosophie ab.

PRINTIX – Cloud-Druckmanagement-Lösung

PRINTIX – Cloud-Druckmanagement-Lösung: Es wird migriert in die Cloud, keine Frage, aber was macht man eigentlich mit den unbeliebten lokalen Druckservern? Wie kriegt man das Printer Management und die Steuerung der Druckertreiber auf den Clients einfach in den Griff? Gibt es eine Lösung, die das Printer Management einfacher und effizienter macht? Ja sowas gibt’s, nicht weitersuchen!

Das Tool nennt sich Printix und mit diesem Werkzeug erhalten Sie einen serverlosen, einfachen Cloud-Service. Dieser lässt sich in Office 365 & Azure AD oder in der Google G Suite integrieren. Zudem bietet er Ihnen ein Single-Sign-On-Erlebnis. Printix bietet ein zentrales Verwaltungsportal mit Unterstützung für alle USB- und Netzwerkdrucker. Mobiles und sicheres Drucken, hohe Dokumentensicherheit und Print Anywhere sind zu jeder Zeit möglich. Das Setup ist einfach und Sie können es praktisch sofort benutzen.

Printix

Wie funktioniert das also mit der PRINTIX – Cloud-Druckmanagement-Lösung

Anstelle von dedizierten Druckservern nutzt Printix die Cloud zusammen mit dem Printix-Client (Agent) auf einem Gerät Ihrer Wahl (Windows, Mac, Chrome OS, Android, iOS). Das heisst, die Konfiguration jedes Druckers und dessen Queues befindet sich in der Printix Cloud und wird auf jedem Client automatisch konfiguriert, sobald sich ein Benutzer anmeldet. Der Agent selbst meldet den Benutzer via Azure AD Credentials seamless an der Printix Cloud an. Gesteuert wird die automatische Druckerqueue Konfiguration mittels Netzwerk- oder Azure AD Gruppenzugehörigkeit. Das heisst, je nach in welchem Netzwerk Sie sich befinden, erhalten Sie automatisch die entsprechenden Druckerqueues und deren Einstellungen. Auf Wunsch werden diese auch wieder automatisch entfernt, sobald sie das Netzwerk verlassen (z.B. wenn Sie zwischen mehreren Offices hin und her reisen). Soll ein Drucker oder eine Druckerqueue nur einer bestimmten Gruppe von Benutzern zugänglich gemacht werden, wird dies mittels Azure AD Gruppenzugehörigkeit gesteuert.

Ok, aber wie kommt mein Drucker und dessen Queues in die Cloud?

Grundsätzlich lädt jeder Agent beim Start alle lokal vorhanden Druckertreiber in die Printix Cloud hoch. Meldet sich ein Benutzer mit Printix Administratorenrechten an, schaltet der Agent in den Admin Modus. Soll jetzt für einen bestimmten Drucker oder Queue eine Konfiguration erstellt werden, lädt der Agent den entsprechenden Treiber herunter und konfiguriert einen temporären Windows Drucker mit allen Einstellungen, so wie wir das heute bereits kennen. Der Administrator konfiguriert entsprechend allen Einstellungen wie Farbe, Druckqualität, Papierart usw. auf diesem temporären Drucker und lädt im Anschluss die Konfiguration in die Printix Cloud hoch. Ab da kann dieser Drucker automatisch inklusive Druckertreiber an alle Geräte mit einem Printix Agenten verteilt werden.

Tönt gut, aber meine Druckdaten gehen dann auch in die Cloud?

Nein, standardmässig druckt jeder Agent direkt auf den jeweiligen Drucker. Die Daten bleiben in Ihrem lokalen Netzwerk. Es gibt aber eine Cloud Print Option, welche es Ihnen erlaubt, Dokumente über die Cloud zu drucken, z.B. von Daheim direkt auf den Drucker der Sekretärin im Büro oder von Office zu Office ohne das diese eine aktive Netzwerkverbindung untereinander haben müssen. Diese Druckdaten machen dann den Weg über die Printix Cloud. Aber auch das können Sie, wenn gewünscht Ihren eigenen Azure Storage Account verwenden, um die Daten in der Cloud zwischen zu speichern.

Printix

Ok, aber wenn ich mit Secure Print oder Print-Later arbeite, müssen die ja in die Cloud?

Nein, auch da erfolgt das Spooling immer auf ihrem Client mit Printix Agent und wird von dort standardmässig direkt an den Drucker gesendet. Secure Print oder Print Later bedeutet einfach, Sie können den Druckjob auf ihrem Client starten, ohne dass dieser direkt gedruckt wird und jemand falsches den Ausdruck sehen könnte.

Sie starten den Druckjob und gehen, wenn Sie Zeit haben zum Drucker. Dort Scannen Sie mit der Android oder iPhone App den QR Code des jeweiligen Druckers und «Releasen» ihre Dokumente.

Printix

Da steht noch was von Print Anywhere?

Print Anywhere bedeutet, Ihr Dokument wird grundsätzlich in ein PDF konvertiert, um es so zu drucken. Es müssen keine Queue-Spezifischen Daten dazu gesendet werden. Sie gehen im Anschluss an einen beliebigen Drucker in Ihrer Organisation und Drucken das Dokument über den QR Code oder durch Auswahl des jeweiligen Druckers in der Android oder iPhone App aus.

Printix

Einverstanden, aber was mache ich mit meinen heutigen Queues? Muss ich die alle nochmals konfigurieren?

Nein, nur wenn Sie auf der «grünen Wiese» starten möchten. Für alle andern bietet sich folgender Weg an:

Sie installieren auf Ihren heutigen Druckservern den Printix Client. Alle bestehenden Queues werden mit der aktuellen Konfiguration in die Printix Cloud hochgeladen.

Printix

Sie installieren den Agenten auf all Ihren Clients und drucken neue via Printix Agent.

Printix

Sie bauen ihre Druckserver ab.

Printix

Na gut, und wie kommt der Agent auf meine Clients?

Den Printix Client kann selbstverständlich via Intune an die Computer verteilt werden und die User können Ihre Office 365 Anmeldedaten für die Authentifizierung nutzen.

Alles klar, aber bei einer Cloud Lösung gibt es sicher auch ein Admin Portal?

Über das Printix Dashboard können Sie alles konfigurieren, was mit Ihrer Druckumgebung zusammenhängt: Druckwarteschlangen, Benutzereinstellungen, Netzwerkeinstellungen, Cloud-Speicher, Analysen, Herunterladen des Printix-Clients und vieles mehr.

Printix

Genial, und was kostet das Ganze?

Die Lizenzmethode ist benutzerbezogen und kann als ein Monats- oder Jahresabonnement eingerichtet werden. Ein aktiver Benutzer ist jeder Benutzer, der sich mindestens einmal während des monatlichen Abrechnungszyklus angemeldet hat.

Wenn wir schon bei den Preisen sind, diese sind für alle gleich – anbei das Pricing (allerdings in EURO, die Abrechnung erfolgt aber wie gewohnt in CHF, sofern Sie die Lösung über uns beziehen, wir sind ja seit längerem printix Partner).

Wann kann ich loslegen?

Spannend? Wenn ja, man darf auch einen 30 Tage Trial mit uns machen. Als offizieller Printix Partner unterstützen wie Sie gerne bei einem Test oder gleich auch bei der Inbetriebnahme.

Liebe Blogleser/innen, Sie haben den obigen Blogartikel gelesen, herzlichen Dank hierfür. Wie Sie wissen entwickeln sich Cloud und SaaS Lösungen rasant weiter. Zum Zeitpunkt des Artikels war der Inhalt bestimmt aktuell, es kann aber sein, dass die Infos bereits überholt sind. Da wir geschriebene Blogs nur selten anpassen, haben wir Ihnen anbei den Link zu unserer Printix Seite mit allen aktuellen Informationen zu der Cloud Printing Lösung bereitgestellt.

 

 

 

Windows Autopilot? Flugzeug, Schiff und Auto

Windows Autopilot? Flugzeug, Schiff und Auto​Willkommen zu unserem ersten Blog Beitrag aus der TwinCap 100% Cloud Blog-Serie.

Das Thema: Windows Autopilot.
Überall ist über das Thema zu lesen, doch was bedeutet das eigentlich und wie kann das ein Schweizer KMU ohne grosse interne IT Ressourcen nutzen?

Flugzeug, Schiff und Auto ist ja ok, aber warum brauchts den Windows Autopilot?

Ganz einfach, damit das Windows 10 Gerät beim Installieren selbst nach Hause findet.

Vereinfacht gesagt, soll ein Windows 10 Gerät beim OOBE Setup (out of the box experience) und einer aktiven Netzwerkverbindung wissen, zu welcher  Firma (sprich Azure AD Tenant) es gehört und was es machen soll, wenn sich ein Benutzer dieser Firma das erste Mal während der OOBE Phase anmeldet.

Hier sprechen wir von einem sogenannten User-Driven Autopilot Deployment und ich werde weiter unten darauf eingehen. Neu und aktuell im Preview gibt es ein Self-Deploying, bei welchem auf den zweiten Schritt der Benutzeranmeldung verzichtet werden kann. Das Gerät wird hier automatisch im zugehörigen Azure AD und der konfigurierten MDM Lösung registriert.

Zurück zum User-Driven Autopilot. Das Gerät zeigt dem Benutzer während des OOBE Setups eine Login-Maske der eigenen Firma an. Nach erfolgter Anmeldung des Benutzers wird dieses automatisch «Azure AD joined», im Intune registriert und die zugewiesenen Profile werden appliziert und Applikationen werden installiert. Ready…

Windows Autopilot

Anmeldung mit dem Benutzerkonto

Windows Autopilot

Gerät bleibt gesperrt bis alle Sicherheitsrichtlinien appliziert wurden und die Mandatory-Apps installiert wurden

Windows Autopilot

Ready… Benutzer kann arbeiten.

Ok, aber so was macht meine IT Abteilung heute ja auch schon?

Genau, aber die Idee ist ja nun, dass eben nicht mehr die IT Abteilung dies machen muss, sondern der Endbenutzer dies selbst machen kann. Zweitens soll das Windows 10 Gerät selbst nicht mehr zwingend in der IT Abteilung vorbeimüssen, sondern der Endbenutzer kann dies bequem, von jedem beliebigen Ort aus, mit einer aktiven Internetverbindung, selber durchführen. Bedeutet auch, dass das Gerät eigentlich vom Hersteller oder Distributor direkt an den Endbenutzer oder die Aussenstelle versendet werden kann.

Schauen wir uns doch den heutigen «altbewährten» Prozess kurz an:

Windows Autopilot

 

Mit Windows Autopilot kann der Schritt über die interne IT Abteilung ausgelassen werden. Der Hersteller / Distributor kann das neue Geräte direkt im Tenant des jeweiligen Kunden registrieren und das Gerät direkt dem Endbenutzer im In- oder Ausland zustellen:

Windows Autopilot

Optimal für Firmen beliebiger Grösse, welche Aussendienstmitarbeiter, Consultants usw. oder kleinere Offices ohne IT vor Ort haben. Der zusätzliche Schritt über die interne IT entfällt.

Wenn ich jetzt aber nur so wenig Geräte bestelle, dass der Hersteller mir keinen Autopilot Support anbietet?

Aktuell bieten nicht alle Hersteller Autopilot Support. Und auch diese nur für eine gewissen Anzahl bestellter Geräte. Hier kommt der lokale Distributor wie zum Beispiel Brack.ch ins Spiel.

Sie erstellen selbst oder lassen durch uns ein Autopilot-spezifisches Powershell-Script erstellen, welches auf einem neuen Gerät im Admin-Mode während der OOBE Phase ausgeführt werden kann, und die gewünschten Autopilot Informationen direkt in ihren Tenant schreibt. Für einen Aufpreis wird ihr Distributor die neuen Geräte für sie öffnen, das Powershell-Script ausführen und das Gerät an den Endbenutzer senden. Voila…

Gut, was habe ich sonst noch für Vorteile?

Im Vergleich zu einer normalen OOBE Setup Phase eines Windows 10 Gerätes, bietet Windows Autopilot vor allem folgende Vorteile:

  • Administrative Rechte können gesteuert werden: Bei einem normalen «Azure AD join» ist der aktuelle Benutzer immer auch lokaler Administrator
  • Account Optionen nicht anzeigen, sondern nur den Azure AD join mit einem Benutzerkonto der Firma erlauben. Normalerweise kann ein Standard Windows 10 OOBE Setup über folgende Pfade abgeschlossen werden:
    – Es wird ein lokaler Account erstellt und verwendet (Windows 10 standalone)
    – Ein «Active Directory join» wird durchgeführt (Windows domain joined)
    – Ein «Azure AD join» wird durchgeführt (Azure AD joined)
  • Gerät sperren, bis die Konfiguration abgeschlossen ist. Nach der Benutzeranmeldung wird das Gerät gesperrt bis alle Firmenpolicies appliziert sind und alle Mandatory-Apps installiert wurden.
Windows Autopilot

Aha, aber eigentlich, wenn ich das Setup schon dem Benutzer delegiere, könnte er auch Admin-Rechte haben?

Stimmt und ja, unterstützen wir voll und ganz! Die Kunst besteht darin, dass 100% Cloud Client Setup so zu konfigurieren, dass der Benutzer jederzeit sein Gerät wieder zurücksetzen kann (Windows 10 Reset) und im Anschluss wieder beim Autopilot Setup landet.
Dadurch erhält er wieder einen Standard Windows 10 Client «out-of-the-Box», inkl. persönlicher Daten, Drucker, Applikationen usw.

Das tönt interessant, wo starte ich?

Nehmen Sie Kontakt mit uns auf. Wir beraten Sie gerne über alle nötigen Schritte und Lizenzen, um mit Ihrem spezifischen Autopilot Setup starten zu können…

Nächster Blog in unserer 100% Cloud Serie: Der TwinCap 100% Cloud Client.