Policies: Überblick & Tipps zur Umsetzung.

Das Thema Policies/Direktive (Vorschriften, Präferenzen, Richtlinien) bereitet vielen Unternehmen und IT-Abteilungen Kopfschmerzen. Sind mehrere Länder oder Standorte mit in der Verantwortung, wird das Thema noch komplexer, da je nach Land verschiedene Gesetze und Vorschriften gelten. Zudem können Policies in der Microsoft-Welt mit verschiedenen Techniken (SCCM, Intune, GPO, GPP, usw.) ausgebracht werden. Durch Microsoft 365 (M365) können nun auch zentrale Einstellungen im Tenant vorgenommen werden – mit der Einführung von Cloud Policies nimmt die Komplexität der Einstellungsmöglichkeiten noch einmal zu.

Der folgende Artikel soll IT-Verantwortlichen, Administratoren und Projektleitern einen Überblick geben und konkrete Tipps für eine Umsetzung in IT-Abteilungen und Unternehmen vermitteln.

Vorgaben für Einstellungen können verschiedene Gründe und Anforderungen haben. Die Motivation kann einen internen, branchenspezifischen oder gesetzlichen Hintergrund haben. Auch Konfigurationseinstellungen werden häufig genutzt. Die Umsetzung kann entweder für den Nutzer verbindlich sein oder als vordefinierte Standardeinstellung eingerichtet sein.

 

Anforderungen an Unternehmen

 

 

Anforderungen von außen an das Unternehmen oder auch innerhalb des Unternehmens können gesetzlich (BDSG, DSGVO, KRITIS), durch Kunden (ISO 9001, ISO 27001) oder unternehmensintern (DLP) vorgegeben sein.

Die Herausforderung besteht darin, alle Anforderungen im jeweiligen Geltungsbereich gleichzeitig und verbindlich umzusetzen.

Generell wird empfohlen unternehmensweit eine zentrale Policy zu erstellen. Diese setzt sich wie in untenstehender Grafik veranschaulicht aus verschiedenen Bereichen zusammen. Der untere Basisbereich besteht aus den technischen und betriebsrelevanten Einstellungen, den Security-Vorgaben und dem Thema Datenschutz und Compliance. Außerdem werden hier alle unternehmensspezifischen und konkreten Anforderungen aus dem Business umgesetzt.

 

Erst danach kommen die sogenannten standort-, länder- oder abteilungsspezifischen Einstellungen. Hier können auch konkrete Einstellungen, die aus lokalen gesetzlichen Vorgaben hervorgehen, umgesetzt werden.

Die Anforderungen enthalten häufig verschiedene Einstellungen mit verschiedenen Geltungsbereichen. Ohne Strategie besteht die Gefahr, die Kontrolle zu verlieren.

Möglichkeiten / Tools und Wirkungsbereiche

Inzwischen gibt es mehrere technische Umsetzungswege in der Legacy-Welt, sowohl OnPrem als auch in der Cloud. Kein Weg deckt alle Plattformen und Szenarien ab. Viele Wege führen zu hohen Aufwänden und erfüllen dann nicht die Anforderungen. Auf den richtigen Technologie-Mix und die Zuordnung von Anforderung und Umsetzung kommt es an.

 

Da die Cloud eine große Freiheit bei der Endgeräteauswahl bietet, gilt es Richtlinien entsprechend auch für alle verwendeten Plattformen verbindlich umzusetzen.

Auf oberster Ebene gilt die Konfiguration des Tenant, also des gesamten Mandanten. Damit können sich unternehmenseigene und nicht unternehmenseigene Clients verbinden.

1. Aus der On-Prem Welt klassische Windows Clients mit Active Directory Mitgliedschaft.
2. Cloud Managed Clients, wozu typischerweise auch mobile Endgeräte gehören.
3. „Bring Your Own Device“, also externe Geräte, auf denen unternehmenseigene Daten unter bestimmten Voraussetzungen verarbeitet werden dürfen.

Die Verwaltung erfolgt mit folgenden Mitteln:

• Gruppenrichtlinien (Group Policy Objects / GPO): Die klassischen Gruppenrichtlinien enthalten verbindliche Einstellungen oder Vorgaben sowohl für Geräte als auch für Benutzer.
• Gruppenrichtlinien-Einstellungen (Group Policy Preferences / GPP): Können Einstellungen für Geräte oder Benutzer setzen. Benutzereinstellungen können durch den Benutzer geändert werden.
• Lokale Richtlinie (Local Policy / LPO): Die lokale Richtlinie funktioniert entgegen der Gruppenrichtlinie auch ohne Domäne. In Domänen ist sie auf Geräte-Ebene flexibel einsetzbar.
• xml (XML-Datei zur Konfiguration bei Setup): Einige Einstellungen können schon bei der Installation von Office gesetzt werden.
• Powershell-Skript: Skripte können Fluch und Segen sein. Richtig eingesetzt sind sie dennoch effektiv.
• Richtlinien für Office-Apps (Policies for Office Apps / PfOA): Im Prinzip der Nachfolger der Gruppenrichtlinien für Office. Dennoch können Sie die Gruppenrichtlinien noch nicht vollständig ersetzen. Dafür können hier auch Einstellungen vorgenommen werden, die Gruppenrichtlinien nicht bieten.
• Configuration Manager (CM) / Intune: Das Endgeräte-Management kann über das Deployment hinaus Konfigurationen mitgeben oder Einstellungen setzen.

Einige der Mittel setzen die Lizenzierung und den Betrieb zusätzlicher Produkte oder ein Active Directory voraus.

In welcher Reihenfolge greifen Policies?

 

Die klassischen Gruppenrichtlinien und die „Policies for Office Apps“ haben eine definierte Reihenfolge, in der sie vom System umgesetzt werden und wirken entsprechend. Dies gilt es zu beachten, wenn unterschiedliche Anforderungen auf mehrere Plattformen angewendet werden, da Einstellungen überschrieben werden können.

Die Verarbeitungsreihenfolge ist der Theorie trivial, verhält sich in der Praxis aber anders, wenn mehrere gegensätzliche Einstellungen (verbindliche Vorgabe mit Ausnahme) gleichzeitig auf mehreren Ebenen anzuwenden sind. Zusätzlich sind die Richtlinien innerhalb eines Typs zu priorisieren.

Soll eine Anforderung umgesetzt werden, muss diese von allen beteiligten Stakeholdern bewertet und freigegeben werden. Zu den wichtigsten Stakeholdern gehören:

• Technologie – Team oder Abteilung, welche die technische Lösung verantwortet
• Security & Compliance – Team oder Abteilung, das die Themen Sicherheit und Compliance verantwortet
• Business / Fachbereich – Vertreter aus den Fachbereichen, welche die fachlichen Anforderungen vertreten

 

Im Idealfall kommen alle drei Stakeholder zur gleichen Empfehlung. Jede Empfehlung muss begründet und dokumentiert werden. Somit hat man einen schriftlichen „Beweis“ und weiß auch in Zukunft noch, warum eine Einstellung umgesetzt wurde und wer diese freigegeben hat. Es sind automatisch alle Stakeholder mit involviert und informiert.

Zusatztipp: Dieser Prozess kann wunderbar mit einem (falls vorhanden) Change Management Prozess verknüpft bzw. abgebildet werden.

Policies: Zusammenfassung & Fazit

Die wichtigsten Voraussetzungen für den erfolgreichen und geordneten Einsatz von Policies sind ein Anforderungsmanagement mit klaren Verantwortlichkeiten, ein sauber definierter Prozess und eine vollständige Dokumentation der technischen Umsetzung. Es ist zu ermitteln, welche Anforderungen und ggf. Ausnahmen für welchen Geltungsbereich (Land) und auf welcher Plattform bestehen. Nur so kann ein klares Ziel definiert werden, das erreichbar ist und es kann später transparent nachvollzogen werden, warum eine Einstellung überhaupt festgelegt wurde. Gleichzeitig wird damit garantiert, dass alle beteiligten Bereiche sowie gesetzliche Anforderungen, unternehmensinterne Anforderungen und technisch notwendige Spezifikationen beachtet werden. Mit der qualifizierten, detaillierten Anforderung kann die technische Realisierung unter Berücksichtigung wechselseitiger Auswirkungen definiert und mit minimalem Aufwand durchgeführt werden.

(Co-Autor ist Fared Ghijas)