Windows 10 Professional oder Enterprise
Es gibt mehrere Windows Versionen und lange Zeit war "Windows Professional" die Version für den klassischen kleineren und mittleren Betrieb, da die "Enterprise-Version" nur über entsprechende größere Verträge verfügbar wurde. Das war vielen Firmen neben den Mehrkosten auch oft komplex und viele "Enterprise"-Funktionen wurden auch gar nicht benötigt.
Siehe auch die Seite Windows 10 für allgemeinere Informationen
Mittlerweise hat Microsoft den Funktionsumfang von Windows 10 Professional weiter verändert und das Lizenzmodell von Windows 10 Enterprise vereinfacht, so dass Windows 10 Enterprise nun in den Fokus aller Firmen kommt. Diese Seite geht auf die Unterschiede ein.
Lizenzierung
Microsoft verkauft Windows 10 für Unternehmen in mehreren Varianten. Neu ist für viele Firmen aber die Tatsache, dass es nun zwei Windows 10 Enterprise Version gibt, die nun auch mit E3 und E5 benannt werden. Microsoft veröffentlicht hierzu im Marketing eine Liste mit den unterschiedlichen Funktionen und es wird schnell sichtbar, dass Windows 10 Professional schon einige unschöne Einschränkungen hat.
- Windows 10-Editionen im Vergleich
https://www.microsoft.com/de-de/windowsforbusiness/compare - Windows 10 Enterprise E3 in
CSP
https://docs.microsoft.com/de-de/windows/deployment/windows-10-enterprise-e3-overview
Laut meinem Vertrieb kann Windows 10 Enterprise nur noch per EA oder CSP lizenziert werden, wobei die „Wartung“, was früher Software Assurance hieß, immer dabei ist.
- Der Preis wird pro Benutzer und pro Monat ermitteln.
- Der Unterschied zwischen Windows Enterprise E3 und E5 ist nur die in E5 enthaltene „Windows Defender Advanced Threat Protection”
- Ohne EA bleibt nur der Weg über CSP (Cloud Solution Provider), der für mittlere und kleinere Firmen durchaus interessant ist.
Die Lizenzprüfung erfolgt dabei über AzureAD, so dass folgende Voraussetzungen erfüllt sein müssen:
- Azure AD mit einer Identität pro Benutzer (also AzureADConnect und Authentifizierung (ADFS))
- Windows Professional 1607 oder höher auf dem Client lizenziert
- Für jeden User mit „Enterprise-Bedarf“
eine Windows Enterprise E3 oder
E5 Lizenz
ca. 11€/20€ pro User pro Monat
Das lokale Windows Professional erkennt anhand des Users, dass dieser eine Enterprise Lizenz bekommen soll oder nicht. Die Windows Pro aktiviert dann ohne Neustart die Enterprise Funktionen und wenn der Benutzer keine Lizenzen dafür mehr hat, fällt das Betriebssystem wieder auf „Professional“ zurück. Es sind keine zusätzlichen Schlüssel erforderlich.
Funktionsunterschiede
Microsoft hat zwar auf den beiden Webseite die größeren Unterschiede der Versionen Professional Enterprise E3 und Enterprise E5 gegenüber gestellt, aber die Informationen sind doch eher abstrakt.
- Windows 10-Editionen im Vergleich
https://www.microsoft.com/de-de/windowsforbusiness/compare - Windows 10 Enterprise E3 in
CSP
https://docs.microsoft.com/de-de/windows/deployment/windows-10-enterprise-e3-overview
Insofern gilt es zu bewerten, ob die Mehrkosten für „Enterprise E3 oder E5“ durch die Funktionen gerechtfertigt sind oder ausgewählte Funktionen durch andere Produkte bereitgestellt werden können. Hier eine Bewertung der in „Enterprise“ vorhandenen Funktionen, die in Windows Pro nicht enthalten sind.
|
Feature |
Beschreibung |
Relevanz |
|---|---|---|
|
Windows Store Steuerung |
Die frühere Installation von Programme über MSI-Dateien und Software-Verteilung wird immer weniger wichtig. Stattdessen gibt es Universal Windows Apps und den Windows AppStore, über den Anwender Nur die Enterprise-Version erlaubt die Steuerung des „Store“, d.h. die Einrichtung eines „Enterprise Store“
|
|
|
Kundenfeedback Cortana |
Datenschutzeinstellungen können nur in der Enterprise-Version per Richtlinien konfiguriert werden. Die Pro-Version kann nicht zentral konfiguriert werden und manuelle Einstellungen können durch den Benutzer wieder umgestellt werden. |
|
|
AppLocker |
Virenscanner schützen den PC vor bekannten Schadcode aber verhindern nicht die Ausführung von nicht freigegebenen Applikationen. Sie sind also eher eine Blocklist für erkannte Gefahren. Für Firmen ist heute aber der Ansatz einer „Allowlist“ der erlaubten Anwendungen, z.B. anhand des Pfad/Name, Prüfsumme, Signierer etc., erforderlich, um jegliche Art von Fremdsoftware zentral zu blockieren. Die Steuerung von „AppLocker“ über Gruppenrichtlinien ist nur in Windows 10 Enterprise, Education oder Server 2016 vorhanden. Die Steuerung per CSP erfordert ein MDM. Es gibt eine „Lite Version“ in Form der „Software Restriction Policies“, die z.B. auch mit dem Heise-Tool „Restric’tor“ lokal verwaltet werden kann. Es fehlen dabei aber alle Funktionen einer zentralen Verwaltung und Auswertung.
Ein CSP kann auch von einem UNC-Pfad eingespielt werden, so dass auch ohne die GPO Unterstützung in Windows 10 Enterprise eine zentrale Verwaltung über Windows 10 Pro möglich sein sollte Windows 10 1804 deaktiviert angeblich Software Restriction Policies und verweist auf AppLocker |
|
|
Gruppenrichtlinien Configuration Service Provider MDM |
Diverse Einstellungen können nur mit Windows Enterprise zentral gesteuert werden. Dies betrifft z.B. Bildschirmschoner, Sperrbildschirm und „Blick“-Bildschirm. „Gruppenrichtlinieneinstellungen, die nur für Windows10 Enterprise und Windows10 Education gelten“ https://docs.microsoft.com/de-de/windows/client-management/group-policies-for-enterprise-and-education-editions und https://docs.microsoft.com/en-us/windows/client-management/group-policies-for-enterprise-and-education-editions Die Komponente, die für die Auswertung der Einstellung zuständig ist, ignoriert die Einträge, die durch die Gruppenrichtlinien vorgenommen werden. Natürlich kann weiterhin z. B. ein Programm beim Anmelden die individuellen Einstellungen des Anwender „setzen“, die aber vom Anwender wieder verändert werden können. Es ist dann keine Policy. Seit Windows
1607 gibt es mehr
und mehr CSPs die
Windows zur Konfiguration
einbezieht. Allerdings
funktionieren nicht
alle CSPs mit allen
Windows Versionen. |
|
|
App-V |
Erlaubt die Verteilung von Applikationen vergleichbar zu Click2Run Office 365 (Streaming von Paketen und virtuelle Einbindung statt einem klassischen „Setup“. |
|
|
UE-V |
Microsoft User Environment Virtualization erlaubt die Replication von Benutzereinstellungen auf einen Store (quasi die verbesserte Version von Roaming Profiles) |
|
|
DirectAccess |
„Always On“-VPN auf Basis von IPSEC-Tunnel mit IPv6-Unterstützung. Di VPN-Funktion dürfte mit Windows 2016 Server Backends durch „AutoVPN“ ersetzt werden )( https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn/vpn-map-da und https://docs.microsoft.com/en-us/windows-server/remote/remote-access/da-always-on-vpn-migration/da-always-on-migration-overview) oder über Drittprodukte (OpenVPN) erreicht werden. |
|
|
Device Guard |
Schützt den Client ebenfalls gegen „nicht bekannte“ Software (Siehe auch AppLocker) durch Allowlists. „Device Guard with AppLocker - Although AppLocker is not considered a new Device Guard feature, it complements Device Guard functionality when enforced code integrity cannot be fully implemented or its functionality does not cover every desired scenario. There are many scenarios in which code integrity policies would be used alongside AppLocker rules. As a best practice, you should enforce code integrity policies at the most restrictive level possible for your organization, and then you can use AppLocker to fine-tune the restrictions to an even lower level“ |
|
|
Credential Guard |
Sichert lokale Anmeldedaten (NTLM-Hashed, Kerberos Tickets etc.) durch die Nutzung von Security Hardware (TPM) und Virtualisierung besser gegen Zugriffe ab. |
|
|
Windows Defender ATP |
Diese erweiterte Schutzfunktion geht über den normalen einfachen Viren/Malware-Scan und Schutz hinaus und überwacht Aktivitäten und Scans um „ungewöhnliche“ Aktivitäten zu reporten https://www.microsoft.com/de-de/windowsforbusiness/windows-atp |
|
|
Windows to Go |
Erlaubt eine lauffähige Windows-Installation auf jedem Rechner per USB oder DVD zu starten. |
|
|
BranchCache |
Interessante Funktion, um in Niederlassungen einen effektiven Zugriff auf zentral vorgehaltene Dateien durch einen lokalen Cache zu erreichen. Diese Funktion erlaubt, dass der Client Teil des Cache-Verbunds ist |
|
|
Microsoft Desktop Optimization Pack |
Diese Paket stand früher für die Vorgänger von App-V u.a. und ist weiterhin enthalten aber wird nicht mehr getrennt betrachtet |
|
Sie sehen also schon, dass es durchaus einige unschöne Einschränkungen von Windows Professional gegenüber den Enterprise-Versionen gibt.
Einschätzung
Nicht alle Funktionen von Windows Enterprise rechtfertigen für jeden Kunden die Zusatzkosten für ein Update. Es ist eine individuelle Bewertung erforderlich. Meist sind es aber wenige Punkte, die als so wichtig angesehen werden, das der Mehrwert argumentiert werden kann. Die anderen Vorteile werden dann gerne mitgenommen.
- Schutz Applocker/DeviceGuard/CredentialGuard
Aus meiner Sicht ist diese Funktion eine wichtige Komponente, da darüber zentral gesteuert werden kann, welche Applikationen ein Anwender letztlich starten kann. Es ist damit nicht mehr erforderlich, alle Zugänge (Download, USB-Sticks etc.) zu blockieren, um Fremdprogramme zu unterbinden. Stattdessen kann eine Allowlist mit erlaubten Programmen gepflegt werden. Die einfacheren „Software Restriction Policies“ können aber auch mit Windows 10 Pro schon genutzt werden
Auch die Funktionen Device Guard und Credential Guard zum Schutz gegen unerwünschte Hardware (Kameras, USB-Keys etc.) ist erst in Windows 10 Enterprise verfügbar und fällt in die Kategorie Sicherheit. Sie sind hilfreich aber stehen im Wettbewerb zu 3rd Party Produkten. - Datenschutz
Windows 10 Pro meldet Telemetrie-Daten an Microsoft zurück (Kundenfeedback, Cortana), was in die Firmennetzwerken kritisch gesehen wird. Eine Blockade auf Proxy-Servern funktioniert nur für Systeme im LAN aber nicht für Heimarbeiter oder Reisende. Windows Enterprise erlaubt eine feinere Kontrolle dieser Kommunikationen - Gruppenrichtlinien/Branding
Microsoft hat nur in Windows Enterprise die Funktion aktiviert, z.B. Hintergrundbilder zentral vorzugeben. Bei Windows 10 Pro und kleiner können Anwender die Konfiguration anpassen aber es ist nicht über Gruppenrichtlinien erzwingbar. Das wird aber oft nur als kosmetisches Problem gesehen.
Eine abschließende Bewertung und Empfehlung kann zum aktuellen Zeitpunkt noch nicht gegeben werden. Ich erwarte aber, dass mehr und mehr Firmen letztlich doch Windows 10 Enterprise einsetzen werden, da die Professional-Version zu einem Mehraufwand bei der Verwaltung der ein oder anderen kniffligen Einstellung führen. Ich bin gespannt, ob die Schere bei den Unterschieden zukünftig noch weiter auseinander geht. Aktuell werden die meisten Firmen erst mal merken, dass z.B. das Hintergrundbild und der Sperrschirm nicht mehr per GPO vorgegeben werden kann.
Weitere Links
- Windows 10-Editionen im Vergleich
https://www.microsoft.com/de-de/windowsforbusiness/compare - Gruppenrichtlinieneinstellungen,
die nur für Windows10 Enterprise
und Windows10 Education gelten
https://docs.microsoft.com/de-de/windows/client-management/group-policies-for-enterprise-and-education-editions - Configuration service provider
reference
https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference - Konfiguration von Windows-Spotlight
auf dem Sperrbildschirm
https://docs.microsoft.com/de-de/windows/configuration/windows-spotlight
Für verwaltete Geräte unter Windows10 Enterprise und Windows10 Education können Unternehmensadministratoren eine MDM- oder Gruppenrichtlinieneinstellung konfigurieren, um zu verhindern, dass Benutzer den Windows-Blickpunkt-Hintergrund verwenden. Bei verwalteten Geräte unter Windows10 Pro, Version 1607, können Administratoren Vorschläge für Apps von Drittanbietern deaktivieren. - Disable Show people option grouppolicy
https://partnersupport.microsoft.com/en-us/par_clientsol/forum/par_win/disable-show-people-option-group-policy/e444107b-237c-48ca-84df-5cf1f433d6a6 - Administrative Templates (.admx)
for Windows 10 Fall Creators Update
(1709)
https://www.microsoft.com/en-us/download/details.aspx?id=56121
