Architektur-Standards

Das Standard-Design für Concat-Kundenprojekte — gruppiert nach Bereichen. Diese Entscheidungen bilden die Baseline für jedes High-Level Design (HLD). Abweichungen sind erlaubt, müssen aber im Decision Log dokumentiert werden.

Identität & Access

Entscheidung	Concat Standard	Ausnahme erlaubt?	Details
Join-Typ	Entra ID Join (Cloud-native)	Ja — bei Legacy-Apps, die AD-Computerobjekte benötigen	Entra ID Setup
Authentifizierung	Passwordless (WHfB + FIDO2)	Ja — Kennwort + MFA in Übergangsphase	Ziel: 100% Passwordless innerhalb 12 Monaten
MFA-Methode	Microsoft Authenticator (Push + Number Matching)	Ja — TOTP als Fallback, SMS nur für Break-Glass	Security Baselines
Conditional Access	7 Baseline-Policies (CA-001 bis CA-007)	Anpassung erlaubt, Deaktivierung nicht	Entra ID Setup
Break-Glass	2x Cloud-only Global Admin, FIDO2 + 30-Zeichen-PW	Nein — unverrückbarer Standard	Im Safe aufbewahren, quartalsweise testen
Lizenzierung	Gruppenbasierte Zuweisung (Entra ID)	Nein — keine manuelle Lizenzzuweisung	Dynamische Gruppen bevorzugen

Geräteverwaltung

Entscheidung	Concat Standard	Ausnahme erlaubt?	Details
Enrollment	Windows Autopilot (User-driven)	Ja — Pre-provisioned bei White-Glove, Self-deploying bei Kiosks	Autopilot Profile
OS-Deployment	Kein Imaging, kein PXE — nur Autopilot	Nein	OEM liefert Hash direkt in den Tenant
Naming	`MW-%SERIAL%` (max. 15 Zeichen)	Ja — kundenspezifisches Schema erlaubt	Muss eindeutig und identifizierbar sein
Update Management	Windows Autopatch (bei E3/E5)	Ja — manuelle Update-Ringe (WUfB) bei Business Premium	Patch Management
Treiber-Updates	Autopatch Driver Management	Ja — manuell über OEM-Tools
Delivery Optimization	P2P aktiviert	Ja — BranchCache als Ergänzung	Reduziert WAN-Last bei App-Downloads

Entscheidung	Concat Standard	Ausnahme erlaubt?	Details
Security Baseline	Open Intune Baseline (OIB)	Anpassung erlaubt, nicht deaktivieren	Security Baselines
Verschlüsselung	BitLocker Silent (XTS-AES 256, TPM)	Ja — TPM + PIN bei High-Security	Recovery Key zwingend in Entra ID
Admin-Rechte	Kein lokaler Admin für User	Nein — unverrückbar	Windows LAPS für IT
Endpoint Protection	Microsoft Defender for Endpoint	Nein — unverrückbar (bei E3/E5)	Defender Konfiguration
ASR Rules	OIB-Standard (Block-Modus nach 2 Wochen Audit)	Anpassung erlaubt (Ausnahmen), nicht deaktivieren	Ausnahmen nur für dokumentierte Fälle
Tamper Protection	Aktiviert	Nein — unverrückbar	Verhindert Deaktivierung des Defenders
Firewall	Windows Firewall aktiviert (alle Profile)	Nein — unverrückbar	Regeln nur per Intune verwalten

Applikationen

Entscheidung	Concat Standard	Ausnahme erlaubt?	Details
Deployment-Format	Win32 App (`.intunewin`)	Ja — MSIX/Store bei geeigneten Apps	Packaging-Richtlinien
Standard-Software	Basis-Betankung (Required) + Company Portal (Available)	Kunde bestimmt Inhalt, Concat definiert das Modell	Standard-Software
LOB-Apps	Company Portal (Available)	Required nur für sicherheitskritische Apps	Deployment-Regeln
Detection Rules	Registry oder File-based	Nein — keine MSI Product Code Detection	Genaueste Methode, versionierbar
Uninstall Command	Pflicht bei jeder App	Nein — jede App muss deinstallierbar sein	Für Supersedence und Cleanup
Makro-Sicherheit	VBA-Makros deaktiviert (Trusted Locations per Policy)	Ja — Ausnahmen nur über SharePoint Trusted Paths	Security Baselines

Entscheidung	Concat Standard	Ausnahme erlaubt?	Details
Apple Enrollment	ADE via ABM (Supervised)	Ja — manuelles Enrollment für BYOD	Apple Business Manager
iOS BYOD	App Protection Policies (MAM without Enrollment)	Nein — kein MDM auf privaten Geräten	iOS / iPadOS
macOS Baseline	OIB macOS v1.0 + FileVault	Anpassung erlaubt	macOS Management
Android Firmengeräte	Fully Managed	Ja — COPE bei Dual-Use-Policy	Android Enterprise
Android BYOD	Work Profile	Nein — Standard für alle BYOD-Szenarien	Android Enterprise
App-Verteilung (Apple)	VPP (Volume Purchase Program)	Nein — alle Apps über VPP	ABM

Entscheidung	Concat Standard	Ausnahme erlaubt?	Details
VPN	Per-App VPN (bevorzugt)	Ja — Always-On VPN bei Bedarf	Split Tunneling für M365 Traffic
WLAN (Enterprise)	802.1X mit Zertifikaten (EAP-TLS)	Ja — PSK bei kleinen Standorten	Certificate Connector
Firewall-Freigaben	Microsoft-Endpoints (Intune, Autopilot, WU, Defender)	Nein — Pflicht	Go-Live Checkliste
SSL Inspection	Intune/Autopilot-Endpoints ausgenommen	Nein — SSL-Break zerstört MDM-Kommunikation	Häufigster Stolperstein bei PoC
DNS	Public DNS (8.8.8.8 oder Kundenstandard)	Ja	Kein Split-DNS nötig bei Cloud-native

Unverrückbare Mindeststandards

Diese Einstellungen gelten ausnahmslos bei jedem Kunden — auch auf expliziten Kundenwunsch dürfen sie nicht deaktiviert werden:

#	Standard	Begründung
1	BitLocker Verschlüsselung	Datenschutzpflicht (DSGVO), Schutz bei Geräteverlust
2	Tamper Protection (Defender)	Verhindert Malware-gesteuerte Deaktivierung des Virenschutzes
3	Legacy Authentication Block (CA-003)	Schließt das größte Sicherheitsrisiko bei Cloud-Identitäten
4	Break-Glass Accounts (2x)	Verhindert komplett-Aussperrung aus dem Tenant
5	Kein lokaler Admin für Endbenutzer	Massiv reduzierte Angriffsfläche, Schatten-IT-Vermeidung
6	Windows Firewall aktiviert	Basis-Netzwerkschutz auf jedem Gerät
7	MFA erzwungen (CA-001)	Schützt gegen 99,9% der Identity-Angriffe

Caution

Risikoübernahme durch den Kunden: Sollte ein Kunde auf der Deaktivierung eines Mindeststandards bestehen, muss die Risikoübernahme schriftlich dokumentiert und vom Kunden unterschrieben werden. Dies wird zusätzlich im Decision Log festgehalten.

Architektur-Standards

Identität & Access

Identität & Access

Geräteverwaltung

Geräteverwaltung

Security

Security

Applikationen

Applikationen

Cross-Platform

Cross-Platform (Apple & Android)

Netzwerk

Netzwerk & Konnektivität

Unverrückbare Mindeststandards