Von Microsoft gibt es drei Möglichkeiten Windows Computer zentral zu verwalten:

Variante	neu aufsetzen	Softwareverteilung und Richtlinien	Windows Updates
traditionell	„Wipe and reload“, also Festplatte löschen und Betriebssystem von einem Image neu installieren, z.B. mit WDS, MDT oder SCCM.	Gruppenrichtlinien oder SCCM	WSUS oder SCCM
„modern management“	Anpassung der vorhandenen Installation, z.B. mit Autopilot	Intune	Windows Update for Business verwaltet über Intune
Mischform „Co-Management“	Beide Möglichkeiten	Beide Möglichkeiten	Beide Möglichkeiten

Wie viele andere Schulen und Firmen habe ich mich aus guten Gründen schon länger auf den Weg zu „modern management“ gemacht. Grosse Firmen mit grossen IT Abteilungen werden voraussichtlich bei der Mischform Co-Management stehen bleiben und ihre Geräte über Intune und SCCM (heisst neu MEMCM) verwalten, weil dies die meisten Möglichkeiten bietet. Eine solche Konfiguration ist aber relativ komplex, vor allem, wenn viele Geräte auch ausserhalb des internen Netzwerks betrieben werden sollen (Stichwort Cloud Management Gateway, always-on-vpn,…).

Wir starten nächsten Sommer gestaffelt mit einer 1:1 Ausstattung für die Schülerinnen und Schüler von der 5. Primar bis zur 3. Oberstufe. Auch unsere Lehrpersonen erhalten je ein persönliches Gerät und in den Schulzimmern ersetzen wir die Feststationen durch Dockingstationen, an denen die persönlichen Geräte angeschlossen werden können. Dadurch habe ich in wenigen Jahren über 1’000 Geräte statt wie jetzt etwas über 600 Geräte zu verwalten. Gleichzeitig steigt der Bedarf an Weiterbildung und Unterstützung der Lehrpersonen. Dies lässt sich nur bewältigen, wenn Komplexität abgebaut wird.

Während der Schulschliessung in der ersten Corona Welle haben wir über 300 unserer Poolgeräte (Surface Pro) Schülerinnen und Schülern, aber auch Lehrpersonen, mit nach Hause gegeben. Da wir nicht wussten, wie lange diese Geräte ohne Zugriff auf die Domänencontroller auskommen müssen, habe ich sie total aus der Domäne genommen und nur noch über Intune verwaltet (tönt jetzt so einfach, aber dahinter steckt eine Lernkurve und ganz viele Arbeitsstunden – ist aber trotzdem empfehlenswert). Diese Geräte wurden nicht mehr zurück migriert und zeigen, dass man alles auch aus der Cloud verwalten kann.

Längerfristig sollen alle Geräte so migriert werden, dass wir gar keine internen Server mehr benötigen. Bis es soweit ist, benötigen aber zumindest die Geräte der Lehrpersonen noch eine Anbindung ans interne Active Directory, müssen also sogenannt „hybrid joined“ betrieben werden. Trotzdem können sie gemäss Zeile „modern management“ in der Tabelle oben ausschliesslich über Intune verwaltet werden. Das erste Teilziel ist also, den SCCM/MEMCM Server ganz überflüssig zu machen. Da Updates und Softwareverteilung schon über Intune laufen, ist der letzte Schritt noch das OSD durch Autopilot mit Domain Join zu ersetzen.

Wenn Autopilot mit Domain Join auch läuft, kann ich die über 400 neuen Geräte, die ich nächstes Jahr erhalten werde, direkt ohne Auszupacken an die Lehrpersonen und Schülerinnen und Schüler abgeben. Dank DFCI kann ganz neu sogar das Bios/UEFI über Intune geschützt werden, ohne dass die IT die Geräte manuell konfigurieren muss, also wirkliches zero-touch. Damit wird mehr Zeit frei für Weiterbildung und Unterstützung, also pädagogischen Support.