Unified Endpoint Management: Ein kurzer Leitfaden

Lesezeit
3 Minuten
Bis jetzt gelesen

Unified Endpoint Management: Ein kurzer Leitfaden

02.06.2021 - 14:00
Veröffentlicht in:
Nur wenige Anlässe strapazieren die Nerven von Anwendern so sehr wie langwierige Updates der IT-Systeme, die schlimmstenfalls auch noch zur Unzeit ausgerollt werden. Der Beitrag bietet IT-Teams einen Leitfaden, wie sich die Kommunikation zwischen ihnen und den Nutzern bestmöglich gestalten lässt. Zudem gibt er IT-Administratoren nützliche Ratschläge an die Hand, was es in Sachen Unified Endpoint Management generell zu beachten gilt.
"Never change a running system" ist eine unter IT-Experten noch immer häufig gebrauchte Binsenweisheit. Wie andere Binsenweisheiten auch ist sie (leider) falsch. Gerade in der aktuellen Cybersecurity-Situation müssen Systeme regelmäßig auf den neuesten Stand gebracht werden, schon um die Sicherheit der IT-Infrastruktur und den Datenschutz zu gewährleisten. Schließlich haben nicht wenige der in letzter Zeit umfangreichsten und gefährlichsten Angriffe durch Cyberkriminelle ungepatchte Systeme als Einfallstor genutzt.

Es gibt also viele gute Gründe für Unternehmen mit einer umfangreichen IT-Infrastruktur, ein Werkzeug zum Unified Endpoint Management (UEM) einzusetzen – die gesteigerte Sicherheit allein sollte Motivation genug sein. Um eine UEM-Software optimal zu nutzen, sind jedoch einige Punkte zu beachten, nicht zuletzt, um die Performance aller Systeme zu gewährleisten und Akzeptanz unter den Nutzern der verwalteten Systeme zu erreichen.

Inventarisierung zuerst
Eine Inventarisierung steht ohnehin am Beginn eines UEM-Einsatzes. Es muss sichergestellt sein, dass tatsächlich alle Endgeräte mit Zugriff auf das Unternehmensnetz erfasst und mit dem UEM-System gekoppelt werden. Gegebenenfalls kann dies auch dazu führen, dass beispielsweise alte Geräte ausgemustert werden müssen, weil sie mit einer modernen UEM-Plattform nicht kompatibel sind.

Wichtig ist eine detaillierte Inventarisierung aber auch vor jeder Aktualisierung, die mittels der UEM-Software durchgeführt wird, ob es sich nun um ein Betriebssystemupdate oder einen Sicherheitspatch handelt. Nicht nur müssen die Admins sicherstellen, dass sie auch wirklich jedes System erfassen, für das die geplante Aktualisierung relevant ist. Sie müssen weiterhin wissen, welche (andere) Software auf diesen Systemen läuft, wie und wann diese mit dem Netzwerk verbunden sind und ob alle Anwender das Update tatsächlich benötigen. Bei nicht sicherheitsrelevanten Updates kommt es häufiger vor, dass bestimmte Nutzer gut ohne Systemaktualisierung auskommen oder Systeme nicht aktualisiert werden, weil es beispielsweise zu Inkompatibilitäten kommen könnte.

Heterogene IT-Systeme administrieren
Spätestens bei der Inventarisierung stellen viele Unternehmen fest, wie heterogen ihre eigene IT-Landschaft tatsächlich ist. Angefangen mit dem Windows-Verzeichnisdienst über den Linux-Dateiserver bis hin zum Apple TV im Konferenzraum gilt es, alle Systeme und Anwendungen beziehungswese Apps, die darauf installiert sind, aktuell zu halten. Ein modernes UEM-System sollte daher Administratoren Mittel an die Hand geben, Updates für die verschiedenen Systeme und Anwendungen bestmöglich zu automatisieren. Damit sind sie in der Lage, neben den Sicherheitsupdates für die Betriebssysteme im Rahmen desselben Prozesses und ohne Mehraufwand die installierten Anwendungen stets aktuell zu halten.

Kommunikation mit den Anwendern
Kaum zu überschätzen ist die die Rolle der Anwender bei einem Updateprojekt. Schon um die Akzeptanz des UEM-Werkzeugs zu gewährleisten, ist es wichtig, die Anwender in die Projekte einzubinden. Je umfangreicher die geplanten Änderungen sind, desto wichtiger ist dieses Element der Updatestrategie und desto wichtiger sind sorgfältige Tests. So empfiehlt es sich, den Prozess vor der allgemeinen Umsetzung zunächst mit einer kleinen Gruppe Power-User zu proben. Diese wissen es im Übrigen besonders zu schätzen, wenn sie ein Update nicht einfach vorgesetzt beziehungsweise untergeschoben bekommen, sondern frühzeitig einbezogen werden.

Auch die Frage der Updatemethode fällt unter das Kapitel Kommunikation. So ist in jedem einzelnen Fall zu entscheiden, ob das Update mittels Push-Verfahren erzwungen wird oder die Anwender den Start des Updates selbst in der Hand haben. Die Push-Methode ist nur bei kleinen Updates zu empfehlen, die vollständig im Hintergrund ablaufen können, ohne die Anwender zu beeinträchtigen. Aber auch in diesem Fall ist es angeraten, die Anwender zu informieren, dass und vor allem wann es zur Aktualisierung kommt. Dies schafft Transparenz unter den Nutzern und sorgt dafür, dass sich Probleme gezielt angehen lassen, sollte es wider Erwarten doch zu einer Störung in Folge des Updates kommen.

Generell sollten Admins eine Aktualisierung immer zuvor ankündigen, ihren Sinn und die erwartete Updatedauer erklären, und den Nutzern ein gewisses Zeitfenster anbieten, in dem sie den Prozess selbst auslösen können. Kaum etwas führt zu so viel Unmut über die IT-Abteilung wie eine unerwartete Systemaktualisierung, die den Arbeitsprozess gezwungenermaßen unterbricht. Darüber hinaus sollten Administratoren in Erwägung ziehen, Updates außerhalb der Geschäftszeiten auszurollen und die zu aktualisierenden Systeme eigens zu diesem Zweck zentral hochzufahren, beispielsweise in der Nacht. Allerdings unterstützen nicht alle UEM-Werkzeuge und Endgeräte diese Option.

Bandbreite und Ressourcen beachten
Gerade bei größeren Updates spielen die Internetbandbreite und die interne Netzwerkperformance eine große Rolle. Im Home Office oder an kleineren Standorten können die Endgeräte die Updates meist problemlos von einem zentralen, oftmals entfernten Depot über das Internet beziehen. In KMU oder größeren Umgebungen sollte jedoch ein lokales Depot die zu installierenden Updates vorhalten und intern den Zielgeräten zur Verfügung stellen. Hier gilt es zu beachten, dass ausreichend lokale Depots vorhanden sind, um zusätzlich zu den Updates genügend Ressourcen (Netzwerkbandbreite, Speicherplatz und Rechenleistung) für die alltäglichen Anwendungen vorzuhalten.

Erfolgskontrolle nicht vergessen
Erfolgskontrolle ist ein wichtiger, integraler Bestandteil jedes Updateprojekts. Es gilt nicht nur, ein Reporting zu erstellen, um Compliance zu gewährleisten und zu beurteilen, ob die Aktualisierung in allen Fällen erfolgreich war. Weil dies meistens nicht der Fall ist, müssen die Admins die Möglichkeit zum Rollback einplanen. Grundsätzlich sollte der Rollout der Updates in Etappen geschehen, damit die IT-Abteilung die Möglichkeit hat, den Prozess zu stoppen, falls sich unerwartete Probleme ergeben. Zu guter Letzt ist eine neue Inventarisierung erforderlich. Das gilt vor allem bei Security-Patches, um sicherzugehen, dass tatsächlich keine Schwachstellen mehr bestehen. Selbst ein erfolgreicher Updateprozess garantiert nämlich nicht, dass wirklich alle Schwachstellen beseitigt sind.

Fazit
Je umfangreicher und komplexer eine IT-Umgebung, desto mehr Fallstricke birgt ein Systemupdate. Beim Befolgen der genannten Punkte sollte es allerdings zu keinen größeren Problemen mehr kommen. So ist gewährleistet, dass die Investition in eine UEM-Software sich amortisiert und sowohl die IT-Abteilung als auch das Management und die Anwender zufrieden sind.

ln/Timo Weberskirch, EMEA Sales Engineering Team Lead bei Quest Software

Ähnliche Beiträge

Im Test: Heimdal Patch & Asset Management

Ein zeitgemäßes Patchmanagement darf sich angesichts der vielfältigen Bedrohungen nicht allein auf die Microsoft-Produkte konzentrieren, sondern muss sich auch verbreiteten Drittanbieteranwendungen widmen. Der dänische Anbieter Heimdal Security geht noch einen Schritt weiter und hat eine ganze Suite zum Schutz vor Cyberbedrohungen im Programm. Mit dem Fokus auf das Patchen haben wir uns das cloudbasierte Angebot genauer angesehen.

Device-Management mit Microsoft Intune und Office 365 - Zwei Wege, ein Ziel

Um Geräte im Netzwerk oder mobile Geräte, die auf das Netzwerk zugreifen, zu verwalten, bietet sich für Unternehmen entweder Office 365 Mobile Device Management oder Microsoft Intune an. Ein Unterschied zwischen den beiden Lösungen besteht vor allem im Preis. Während das Device-Management zu vielen Abonnements in Office 365 gehört, muss Microsoft Intune gesondert abonniert werden. In diesem Beitrag stellen wir beide Ansätze vor.