Fachartikel

Unified Endpoint Management: Ein kurzer Leitfaden

Nur wenige Anlässe strapazieren die Nerven von Anwendern so sehr wie langwierige Updates der IT-Systeme, die schlimmstenfalls auch noch zur Unzeit ausgerollt werden. Der Beitrag bietet IT-Teams einen Leitfaden, wie sich die Kommunikation zwischen ihnen und den Nutzern bestmöglich gestalten lässt. Zudem gibt er IT-Administratoren nützliche Ratschläge an die Hand, was es in Sachen Unified Endpoint Management generell zu beachten gilt.
Das Aktualisieren einer Vielzahl von Endgeräten sollte keinen Admin vor große Hürden stellen.
"Never change a running system" ist eine unter IT-Experten noch immer häufig gebrauchte Binsenweisheit. Wie andere Binsenweisheiten auch ist sie (leider) falsch. Gerade in der aktuellen Cybersecurity-Situation müssen Systeme regelmäßig auf den neuesten Stand gebracht werden, schon um die Sicherheit der IT-Infrastruktur und den Datenschutz zu gewährleisten. Schließlich haben nicht wenige der in letzter Zeit umfangreichsten und gefährlichsten Angriffe durch Cyberkriminelle ungepatchte Systeme als Einfallstor genutzt.

Es gibt also viele gute Gründe für Unternehmen mit einer umfangreichen IT-Infrastruktur, ein Werkzeug zum Unified Endpoint Management (UEM) einzusetzen – die gesteigerte Sicherheit allein sollte Motivation genug sein. Um eine UEM-Software optimal zu nutzen, sind jedoch einige Punkte zu beachten, nicht zuletzt, um die Performance aller Systeme zu gewährleisten und Akzeptanz unter den Nutzern der verwalteten Systeme zu erreichen.

Inventarisierung zuerst
Eine Inventarisierung steht ohnehin am Beginn eines UEM-Einsatzes. Es muss sichergestellt sein, dass tatsächlich alle Endgeräte mit Zugriff auf das Unternehmensnetz erfasst und mit dem UEM-System gekoppelt werden. Gegebenenfalls kann dies auch dazu führen, dass beispielsweise alte Geräte ausgemustert werden müssen, weil sie mit einer modernen UEM-Plattform nicht kompatibel sind.

Wichtig ist eine detaillierte Inventarisierung aber auch vor jeder Aktualisierung, die mittels der UEM-Software durchgeführt wird, ob es sich nun um ein Betriebssystemupdate oder einen Sicherheitspatch handelt. Nicht nur müssen die Admins sicherstellen, dass sie auch wirklich jedes System erfassen, für das die geplante Aktualisierung relevant ist. Sie müssen weiterhin wissen, welche (andere) Software auf diesen Systemen läuft, wie und wann diese mit dem Netzwerk verbunden sind und ob alle Anwender das Update tatsächlich benötigen. Bei nicht sicherheitsrelevanten Updates kommt es häufiger vor, dass bestimmte Nutzer gut ohne Systemaktualisierung auskommen oder Systeme nicht aktualisiert werden, weil es beispielsweise zu Inkompatibilitäten kommen könnte.
Heterogene IT-Systeme administrieren
Spätestens bei der Inventarisierung stellen viele Unternehmen fest, wie heterogen ihre eigene IT-Landschaft tatsächlich ist. Angefangen mit dem Windows-Verzeichnisdienst über den Linux-Dateiserver bis hin zum Apple TV im Konferenzraum gilt es, alle Systeme und Anwendungen beziehungswese Apps, die darauf installiert sind, aktuell zu halten. Ein modernes UEM-System sollte daher Administratoren Mittel an die Hand geben, Updates für die verschiedenen Systeme und Anwendungen bestmöglich zu automatisieren. Damit sind sie in der Lage, neben den Sicherheitsupdates für die Betriebssysteme im Rahmen desselben Prozesses und ohne Mehraufwand die installierten Anwendungen stets aktuell zu halten.

Kommunikation mit den Anwendern
Kaum zu überschätzen ist die die Rolle der Anwender bei einem Updateprojekt. Schon um die Akzeptanz des UEM-Werkzeugs zu gewährleisten, ist es wichtig, die Anwender in die Projekte einzubinden. Je umfangreicher die geplanten Änderungen sind, desto wichtiger ist dieses Element der Updatestrategie und desto wichtiger sind sorgfältige Tests. So empfiehlt es sich, den Prozess vor der allgemeinen Umsetzung zunächst mit einer kleinen Gruppe Power-User zu proben. Diese wissen es im Übrigen besonders zu schätzen, wenn sie ein Update nicht einfach vorgesetzt beziehungsweise untergeschoben bekommen, sondern frühzeitig einbezogen werden.

Auch die Frage der Updatemethode fällt unter das Kapitel Kommunikation. So ist in jedem einzelnen Fall zu entscheiden, ob das Update mittels Push-Verfahren erzwungen wird oder die Anwender den Start des Updates selbst in der Hand haben. Die Push-Methode ist nur bei kleinen Updates zu empfehlen, die vollständig im Hintergrund ablaufen können, ohne die Anwender zu beeinträchtigen. Aber auch in diesem Fall ist es angeraten, die Anwender zu informieren, dass und vor allem wann es zur Aktualisierung kommt. Dies schafft Transparenz unter den Nutzern und sorgt dafür, dass sich Probleme gezielt angehen lassen, sollte es wider Erwarten doch zu einer Störung in Folge des Updates kommen.

Generell sollten Admins eine Aktualisierung immer zuvor ankündigen, ihren Sinn und die erwartete Updatedauer erklären, und den Nutzern ein gewisses Zeitfenster anbieten, in dem sie den Prozess selbst auslösen können. Kaum etwas führt zu so viel Unmut über die IT-Abteilung wie eine unerwartete Systemaktualisierung, die den Arbeitsprozess gezwungenermaßen unterbricht. Darüber hinaus sollten Administratoren in Erwägung ziehen, Updates außerhalb der Geschäftszeiten auszurollen und die zu aktualisierenden Systeme eigens zu diesem Zweck zentral hochzufahren, beispielsweise in der Nacht. Allerdings unterstützen nicht alle UEM-Werkzeuge und Endgeräte diese Option.

Bandbreite und Ressourcen beachten
Gerade bei größeren Updates spielen die Internetbandbreite und die interne Netzwerkperformance eine große Rolle. Im Home Office oder an kleineren Standorten können die Endgeräte die Updates meist problemlos von einem zentralen, oftmals entfernten Depot über das Internet beziehen. In KMU oder größeren Umgebungen sollte jedoch ein lokales Depot die zu installierenden Updates vorhalten und intern den Zielgeräten zur Verfügung stellen. Hier gilt es zu beachten, dass ausreichend lokale Depots vorhanden sind, um zusätzlich zu den Updates genügend Ressourcen (Netzwerkbandbreite, Speicherplatz und Rechenleistung) für die alltäglichen Anwendungen vorzuhalten.

Erfolgskontrolle nicht vergessen
Erfolgskontrolle ist ein wichtiger, integraler Bestandteil jedes Updateprojekts. Es gilt nicht nur, ein Reporting zu erstellen, um Compliance zu gewährleisten und zu beurteilen, ob die Aktualisierung in allen Fällen erfolgreich war. Weil dies meistens nicht der Fall ist, müssen die Admins die Möglichkeit zum Rollback einplanen. Grundsätzlich sollte der Rollout der Updates in Etappen geschehen, damit die IT-Abteilung die Möglichkeit hat, den Prozess zu stoppen, falls sich unerwartete Probleme ergeben. Zu guter Letzt ist eine neue Inventarisierung erforderlich. Das gilt vor allem bei Security-Patches, um sicherzugehen, dass tatsächlich keine Schwachstellen mehr bestehen. Selbst ein erfolgreicher Updateprozess garantiert nämlich nicht, dass wirklich alle Schwachstellen beseitigt sind.

Fazit
Je umfangreicher und komplexer eine IT-Umgebung, desto mehr Fallstricke birgt ein Systemupdate. Beim Befolgen der genannten Punkte sollte es allerdings zu keinen größeren Problemen mehr kommen. So ist gewährleistet, dass die Investition in eine UEM-Software sich amortisiert und sowohl die IT-Abteilung als auch das Management und die Anwender zufrieden sind.
2.06.2021/ln/Timo Weberskirch, EMEA Sales Engineering Team Lead bei Quest Software

Nachrichten

Konzerne kooperieren für praktischen Einsatz von Quantenrechnern [10.06.2021]

Gemeinsam gründen zehn deutsche Konzerne das Quantum Technology and Application Consortium (QUTAC). Ziel des neu gegründeten Konsortiums ist die Weiterentwicklung der bestehenden Grundlagen des Quantencomputings in nutzbare industrielle Anwendungen. Konkret sollen industrierelevante Anwendungen für die Branchen Technologie, Chemie und Pharma, Versicherung und die Automobilindustrie zur Marktreife gebracht werden. [mehr]

Apple-Geräte im Griff [8.06.2021]

Parallels bringt Parallels Device Management 9 auf den Markt. Früher bekannt als Parallels Mac Management für Microsoft SCCM, bringt das Plug-in Mac-Verwaltungsfunktionen in den Microsoft Endpoint Configuration Manager. Das neue Device Management 9 ermöglicht eine Zero-Touch-Bereitstellung für iPhone-, iPad- und Mac-Geräte. [mehr]

Linux up to date [2.06.2021]

Tipps & Tools

Online-Training "Domaincontroller für Linux-Umgebungen mit FreeIPA" [14.06.2021]

Unser Training "Domaincontroller für Linux-Umgebungen mit FreeIPA" demonstriert praxisnah, wie sich Linux-Clients via Domaincontroller ähnlich komfortabel und unter ähnlich hohen Sicherheitsstandards verwalten lassen wie etwa das Active Directory. Dabei erhalten Sie zunächst eine Einführung in LDAP, Kerberos und X.509. Die Veranstaltung findet am 29. Juli 2021 online statt. Buchen Sie schnell, um sich noch einen Platz zu sichern – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Für eine heilsame Prise Grün am Arbeitsplatz [13.06.2021]

IT-Profis fehlt es oft an Talent, Zeit oder Muße, um ihrem Arbeitsplatz etwas grüner zu gestalten. Gut, dass sich da der "Orgrownizer" als praktische Starthilfe anbietet. Das Gadget verschönert ihren Schreibtisch mit einer Minipflanze und bietet gleichzeitig eine ordentliche wie stylische Aufbewahrung für Schreibmaterialien und Smartphone. [mehr]

Buchbesprechung

Noch analog oder lebst du schon?

von Rolf Drechsler und Jannis Stoppe

Anzeigen