Ist SCCM für Microsoft zur Geräteverwaltung gestorben?

Ich kippe mal einen Fundsplitter aus Twitter für Administratoren aus meiner Leserschaft hier rein. Es geht um die Frage der Geräteverwaltung (Device Management) in Zeiten der Cloud und inwiefern Microsofts SCCM für diesen Zweck gestorben ist. Es gab dazu einen Blog-Beitrag, der beschreibt, wie Microsoft intern seine Geräteverwaltung auf Cloud-gestützte Lösungen umstellt. Dieser Beitrag ist binnen weniger Stunden wieder gelöscht worden. Ich habe aber einige Informationen zu diesem Projekt herausziehen können – vielleicht ganz interessant für Administratoren in Firmenumgebungen, um zu sehen, wo die Reise bei Microsoft hin geht.


Anzeige

Die Aufmerksamkeit für das Thema wurde durch den nachfolgenden Tweet von Michael Niehaus geweckt – der lange bei Microsoft in diesem Bereich arbeitete, aber vor einiger Zeit zu einem anderen Arbeitgeber wechselte.

Niehaus verlinkt auf einen Microsoft-Blog-Beitrag und schreibt dazu, dass der SCCM nach seiner Lesart für Microsoft wohl gestorben sei. Dann wird die Geschichte aber interessant, denn der Beitrag How modern device management is helping Microsoft employees and IT managers work better von Microsoft Mitarbeiter Cody Bay wurde inzwischen gelöscht. Ich habe den Artikel aber noch im Google Cache gefunden. Der Beitrag beschreibt ein internes Projekt, bei dem Microsoft die Geräteverwaltung von einer On-Premises-Lösung auf einen cloud-gestützten Ansatz umstellt. Der Inhalt in Kompaktform:

  • Microsoft nimmt jedes Jahr intern rund 40.000 neue Geräte in Betrieb. Um all diese Geräte effizient zu verwalten, war das Unternehmen bestrebt, ein modernes Geräteverwaltungssystem in die Cloud auf Microsoft Azure zu verlagern.
  • Nach einer Übergangszeit von 2 Jahren verfügt die neue Verwaltungsplattform Microsoft Endpoint Manager über die volle Funktionalität, um ein modernes Gerätemanagement zu implementieren.

Der alte System mit dem System Center Configuration Manager (SCCM) erforderte, dass jedes neue Gerät, das dem Netzwerk hinzugefügt wurde, vor Ort über eine festverdrahtete Ethernet-Verbindung angeschlossen werden musste. Diese Art von Anforderung ist in der heutigen und zukünftigen Welt der Remote-Arbeit, laut Microsoft, immer weniger praktikabel. Microsoft deutet also durch die Blume an, dass SCCM zur Geräteverwaltung in der heutigen Zeit nicht mehr praktikabel sei.

Wie Microsoft intern Geräte verwaltet

Weiterhin argumentiert man im Beitrag, dass sich das Cloud-basierte moderne Gerätemanagement von dem alten Prozess der Geräteabbildung löse. Dieser Prozess umfasste bei Microsoft die monatliche Erstellung und Pflege von Images – Dateien, die Unternehmen an Hersteller senden und die das Betriebssystem, Anwendungen und Zertifizierungen enthalten, die auf bestimmten Geräten enthalten sein sollten. Senthil Selvaraj, Principal Program Manager, der das Projekt bei Microsoft Digital leitet, wird im gelöschten Blog-Beitrag folgendermaßen zitiert.

Für uns bestand der größte Bedarf darin, unseren Nutzern Gerätemobilität zu ermöglichen, damit sie mit jedem beliebigen Gerät auf Unternehmensressourcen zugreifen können. Wir leisten damit einen Beitrag zu unserer digitalen Transformation.

Diese riesigen Dateien mit einer Größe von 30 GB oder mehr mussten von den Unternehmen zu den Herstellern nach Übersee geschickt, getestet und dann an die Benutzer ausgeliefert werden. Das war ein ziemliches Problem, denn zu dem Zeitpunkt, an dem diese Geräte an unsere Benutzer verschickt wurden, waren sie bereits nicht mehr konform, was Richtlinien, Sicherheit und Updates betraf.

Auch am Zielort des Geräts gab es Verbesserungsmöglichkeiten. Sobald ein Benutzer das Gerät erhalten und eingeschaltet hatte, konnte es Stunden dauern, bis er es tatsächlich nutzen konnte. Denn er musste darauf warten, dass das Gerät die 30 GB an Images herunterlud, neu startete und wieder neu startete.

Mit diesem Schritt [und der neuen Cloud-Lösung] sind wir nun in der Lage, all die Kosten zu eliminieren, die mit dem Imaging verbunden sind, die Kosten für den Produktivitätsverlust der Benutzer, die ihre Geräte einrichten müssen, und die potenziellen Sicherheitsrisiken und Bedrohungen.

Die Umstellung von der lokalen Umgebung auf die Cloud konnte nicht einfach durch Umlegen eines Schalters erfolgen. Selvaraj merkt dazu an "Als wir den Wechsel vornehmen wollten, stellten wir fest, dass Microsoft Intune nicht so ausgereift war wie SCCM, eine Lösung, die seit Jahrzehnten im Einsatz ist." Also begann man damit, Lücken zu identifizieren und verschiedene integrierte Systeme weiterzuentwickeln. Dazu gehörte das Hinzufügen von Authentifizierungssicherheitsebenen mit Azure Active Directory und Microsoft Intune, dem Cloud-basierten Dienst des Unternehmens zur Verwaltung von mobilen Geräten und Anwendungen.

Das Team nutzte auch Windows Autopilot, welches Einrichtungs- und Vorkonfigurationsdienste für neue Geräte bereitstellt. Diese Lösung ermöglicht es den Anwendern, innerhalb weniger Minuten nach dem Einschalten mit ihren neuen Geräten zu arbeiten (das wäre eine Zero-Touch-Lösung für IT-Manager).

Ein Problem waren wohl auch die ständigen Update-Prozesse, die mehrmals im Jahr durchzuführen waren. Daniel Manalo, Senior Service Engineer für das Employee Experience Team bei Microsoft, wird so zitiert:


Anzeige

Da gab es diesen ständigen Update-Prozess, den wir mehrmals im Jahr durchführen mussten. Wenn wir Sicherheitsupdates für Software, Funktionsupdates usw. hatten, mussten wir, da wir von einer physischen On-Prem-Infrastruktur abhängig waren, im Grunde genommen unsere tägliche Arbeit erledigen, während wir die Infrastruktur herunterfuhren und diesen Rückstau durchlaufen ließen. In der Zwischenzeit sind die Mitarbeiter frustriert, und der globale Helpdesk erhält eine Menge Anrufe.

Das mit der Umstellung betraute Team erkannte, so die Aussage im gelöschten Blog-Beitrag, dass ein schrittweiser Ansatz für die Einführung neuer Cloud-verwalteter Geräte gut zu Microsofts bestehendem Geräteaktualisierungszyklus passen würde, bei dem die Mitarbeiter alle drei Jahre neue Geräte erhalten.

Microsoft Intune wird aufgerüstet

Bis Ende 2020 war die Umstellung in greifbare Nähe gerückt, aber es gab noch eine letzte Hürde. Mit SCCM hatte das Managementteam die Möglichkeit, Gruppenrichtlinienobjekte (GPOs) zu verwenden, um Richtlinien festzulegen. Das bedeutete, dass sie für jedes beliebige Gerät einen regelbasierten Wert zuweisen konnten, der die gewünschten Windows-Einstellungen für bestimmte Kategorien von Builds übermitteln würde. Das funktionierte aber noch nicht mit Microsoft Intune.

Laut Manalo war Intune zwar moderner als SCCM, aber ursprünglich nicht für den Unternehmenseinsatz konzipiert. Außerdem musste das Team sicherstellen, dass für mobile Geräte, die von Intune verwaltet werden, im Falle einer Sicherheitsbedrohung schnellstmöglich Patches eingespielt werden können. Es bedurfte einer engen Abstimmung mit dem Produktteam, um Intune auf den benötigten Stand zu bringen, so dass Parität zum SCCM hergestellt war. Inzwischen ist Microsoft mit Intune in der Lage, die benötigten Richtlinien für Geräte durchzusetzen.

Der Einsatz des SCCM-Co-Management-Agenten wurde weitgehend zurückgestellt. Durch den Geräteaktualisierungszyklus werden die verbleibenden 40 Prozent der vor Ort installierten Client-Geräte auf natürliche Weise auf Null schrumpfen. Microsoft geht davon aus, dass bis Juli 2023 nur noch 10 Prozent der Geräte vorhanden sein werden. Innerhalb von drei Jahren wird sich jedes Gerät der Microsoft Mitarbeiter in der Cloud befinden und über ein vollständiges modernes Gerätemanagement verfügen.

Für IT-Profis wie Manalo ist der ständige Aktualisierungsprozess überholt. Er konzentriert sich jetzt auf Service, Verbesserungen und neue Funktionen, anstatt so viel Zeit auf die Durchsetzung von Richtlinien zu verwenden, die jetzt automatisiert sind. Unter dem Strich spart Microsoft Digital in den nächsten drei Jahren schätzungsweise 2 Millionen US-Dollar pro Jahr an produktiver Zeit, die IT-Experten und Mitarbeitern gleichermaßen zur Verfügung steht.

Interessante Diskussionen auf Twitter

Auf Twitter gab es dann bereits erste Fragen zu Details. So fragte Matthias Heinrichs, wie Microsoft das Reimaging von Geräten löst, die eine defekte Festplatte hatten? Soll das Gerät weggeworfen und durch etwas Neues ersetzt werden? Oder wird MDT verwendet? Michael Niehaus antwortet darauf:

Aus meiner Beobachtung heraus:  Gehen Sie zum nächsten IT-Helpdesk, geben Sie das Gerät dort ab, sie laden es vom USB-Stick und rufen Sie dann an, wenn es fertig ist. Eines Tages wird man ihnen die USB-Sticks aus den Fingern reißen…)

Keine Ahnung, warum der Blog-Beitrag plötzlich wieder gelöscht wurde – vielleicht wurde er einige Tage zu früh publiziert. Die Botschaft zwischen den Zeilen lautet aber, dass On-Premises-Lösungen wie SCCM zur Geräteverwaltung bei Microsoft irgendwie tot sind. Microsoft probiert bereits intern andere, cloud-gestützte, Lösungen aus, die in Zukunft auch Kunden bereitgestellt werden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Software, Update abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Ist SCCM für Microsoft zur Geräteverwaltung gestorben?

  1. 1ST1 sagt:

    SCCM wurde doch umbenannt, und heißt schon seit einiger Zeit MS Endpoint Configuration Manager. Ja, daher, SCCM ist tot, lange lebe der Configuration Manager. (Hoffentlich!)

  2. Eure Dudeheit sagt:

    Naja, es ist ja schon seit Jahren bei Microsoft zu beobachten, dass sie die On-Premise Produkte sterben lassen und die Firmen somit in die Azure Cloud zwingen.
    Obwohl die Weiterentwicklung für SCCM bzw. MECM aktuell immer noch im Fokus zu liegen scheint (es kommt immer noch regelmäßige umfangreiche Updates mit Verbesserung), sieht man auch hier den Trend. M$ wird auch hier seinem eigenen Trend folgen und das On-Premise Client Management sterben lassen.
    Ich bin schon lange SCCM Admin und konnte mich mit diesem Gedanken anfangs nur schwer anfreunden, aber es gibt ganz klar auch Vorteile eine Cloudbasierten Clientmanagements in Verbindung mit Autopilot. Wir fangen als Firma auch damit an uns mit diesem Thema auseinander zu setzen, und den von Microsoft befohlenem Weg zu folgen.

  3. drfuture sagt:

    Ich denke eher das der Beitrag verschwunden ist, da "SCCM, SMS, Endpointmanager" und wie auch immer nicht Tot ist und da jemand etwas in den falschen "Hals" bekommen hat.

    Die Verwaltung der Clients aus der Cloud wird von Microsoft schon mind. 5 Jahre Stark beworben. Klar, wenn es nach Microsoft geht, ist das der "Beste" weg.
    Intune (Ich nenne es nun einfach mal so, heißt nun natürlich Endpointmanager) ist eine gute Lösung – hat aber auch heute noch bei weitem nicht die Funktiontiefe wie SCCM.
    Insofern für ein bestimmtes Szenario das Feature-Set von Intune so passt wie es ist – kann man das mit Sicherheit gut nutzen.

    Ganz viele Aussagen über SCCM stimmen hier aber schlicht nicht oder kommen eben auch nur in gewissen Szenarien zum Einsatz / sind dann ein Problem.
    Die Wenigsten von Uns dürften in einer Firma arbeiten die im Jahr 40.000 Neue Geräte online bringt. Zusätzlich haben die wenigsten Firmen in Deutschland den Ansatz "Arbeite wo du willst". Wenn ich zu jederzeit, weltweit einen PC schnell Online bringen muss ist Autopilot sicher super.
    Autopilot ist aber auch nur dann schnell und sicher wenn z.B. die Hardware die beim Anwender landet schon das neueste OS-Build installiert hat; sonst muss dieses im Autopilot-Prozess mit installiert werden / oder kommt später nach und der Anwender darf 1h nach der ersten Anmeldung wieder neustarten. Bei einem Gewissen Durchsatz mag das gehen – oft bekommt man beim Hersteller aber keine "Tagesaktuelle" Hardware wen man das nicht extra bezahlt.

    Für OSD über SCCM muss aber schon seit sicher 10 Jahren kein 30GB Image erstellt werden das irgendwie gepflegt und gebaut wird. Der Installationsprozess kann auch hier voll dynamisch erfolgen und nebenbei auch automatisch (testing mal außen vor) mit aktuellen OS-Imagen, Treibern, Patchen usw. aktualisiert werden.
    Aktuelle Software lässt sich über Weltweite Distribution-Points verteilen (Wenn man es onPrem möchte) oder über den CloudManagementGateway in Azure auch über Azure verteilen.
    Ganz davon abgesehen das man sehr häufig wohl eine onPrem Server-Infrastruktur hat die man auch irgendwie verwalten möchte – auch hier ist SCCM dann die einzige Microsoft Lösung.

    Das MS Intern hier den Weg in Intune geht ist natürlich nicht überraschend… aber davon eine globale Marschrichtung abzulesen halte ich für gewagt.

    Weitere Unterschiede der Detailtiefe von Intune dürften hier den Rahmen sprängen ;D

    Für mich ist die Nutzung beider Welten über CoManagement / CMG der Weg für die nächsten ~10 Jahre. Alles andere ist zu weit weg – aktuell glaube ich aber nicht daran das der Plan von MS ist in Intune deutlich mehr granularität rein zu bringen, daher macht es für mich Sinn die jeweiligen Stärken zu verheiraten.

    • JohnRipper sagt:

      Sehe ich ähnlich welches Image ist denn 30 GB oO. Und selbst wenn, die Bestückung von Hardware mit Images, Treiber, Updates und weiterer Software (ggf. je nach Konfigurationsgruppe) ist doch per SCCM per One-Touch möglich. Selbst wenn das 24h dauert, ist üblicherweise bekannt welcher Mitarbeiter wann ein neues Gerät benötigt.

      Und bei 40k neuen Geräte pro Jahr wird man ja eine handvoll Vorkonfiguriert für den Notfall vorhalten können. Oder gibt es so viel Geräteverluste bei den MS Angestellten :-)

      Im Ergebnis also: onprem SCCM entweder mit einer Cloud Komponente oder einer cleveren Konfig, sodass gerade die Microsoft Updates nicht via VPN ins Home Office rasseln.

  4. TStoner sagt:

    Matthias Heinrichs spricht mir aus der Seele, solange man mit Intune kein reimaging übers Internet machen kann ist das absolutes NoGO.

  5. DrFuture sagt:

    Die Antwort von MS ist – das die Daten alle auf Onedrive liegen und man den PC daher einfach über Intune zurücksetzen kann > Die Software kommt dann ja auch wieder > alles gut.

    • Kassandra sagt:

      Und wenn MS oder jemand, der MS das vorschreibt, plötzlich Lust hat, dieses und jenes OneDrive zu sperren, ist eine Firma von jetzt auf gleich aus dem Rennen und nicht mehr arbeitsfähig.

      Im Grunde exakt der gleiche Effekt wie bei jedem Verschlüsselungstrojaner, wobei man sich da ja ggf. noch rauskaufen kann.

      Die tolle Cloudwelt schafft die grössten Abhängigkeiten und Bedrohungsszenarien seit Beginn der Datenverarbeitung mit Tontafeln uä.

Schreibe einen Kommentar zu drfuture Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.