Skip to Content
Concat BlueprintsDecision Log

Decision Log

Dokumentierte Design-Entscheidungen und deren BegrĂĽndungen. Jeder Eintrag folgt dem ADR-Format (Architecture Decision Record). Der Decision Log ist die Single Source of Truth fĂĽr alle Abweichungen vom Concat Standard.

Warum ein Decision Log?

Ohne Decision LogMit Decision Log
„Warum ist das so konfiguriert?” — Keiner weiß esJede Entscheidung ist nachvollziehbar begründet
Im Handover geht Wissen verlorenNeuer Consultant liest den Log und versteht die Historie
Streitfälle („Das haben wir nie so besprochen”)Schriftliche Dokumentation schützt Concat und den Kunden
Security-Audit fragt „Warum keine MFA hier?”Antwort sofort parat inkl. Risikoübernahme

ADR-Vorlage

Jede Entscheidung wird als Architecture Decision Record (ADR) im folgenden Format dokumentiert:

## ADR-[NR]: [Titel]
 
**Status:** Akzeptiert | Abgelehnt | Veraltet | Ersetzt durch ADR-XXX
**Datum:** TT.MM.JJJJ
**Entscheider:** [Name/Rolle beim Kunden] + [Concat Consultant]
 
### Kontext
[Welches Problem wird adressiert? Was ist die Ausgangssituation?]
 
### Entscheidung
[Was wurde entschieden? Konkret und unmissverständlich.]
 
### BegrĂĽndung
[Warum wurde so entschieden? Welche Alternativen wurden geprĂĽft?]
 
### Konsequenzen
[Welche Auswirkungen hat die Entscheidung? Welche Risiken werden bewusst akzeptiert?]
 
### Verwandte ADRs
[Optional: Verweise auf zusammenhängende Entscheidungen]

Neues ADR anlegen

Neuen Eintrag mit der nächsten fortlaufenden Nummer erstellen. Titel kurz und aussagekräftig wählen.

Alle Felder ausfĂĽllen

Besonders wichtig: BegrĂĽndung und Konsequenzen. Ohne diese beiden Felder ist ein ADR wertlos.

Review und Freigabe

ADR wird vom Technical Lead reviewed. Bei sicherheitsrelevanten Entscheidungen zusätzlich vom Kunden schriftlich bestätigt.

Im Projekt-Wiki ablegen

ADR im Wiki des Kundenprojekts ablegen. Bei Concat-Standard-ADRs: hier in der zentralen Dokumentation.

Concat Standard-ADRs

Diese ADRs gelten fĂĽr alle Kundenprojekte und definieren den Concat Standard:

ADR-001: Entra ID Join als Standard

Status: Akzeptiert
Datum: 01.01.2025
Entscheider: Concat Technical Board

Kontext: Kunden fragen häufig nach Hybrid Join, weil sie es „schon immer so gemacht haben”. Wir müssen einen klaren Standard definieren.

Entscheidung: Entra ID Join (Cloud-native) ist der Concat-Standard. Hybrid Join nur bei dokumentierter technischer Notwendigkeit (z. B. Legacy-Apps mit Kerberos-Abhängigkeit).

BegrĂĽndung:

  • Cloud-native Geräte benötigen keine Sichtlinie zum Domain Controller → funktioniert im Home-Office
  • Alle modernen Features (Autopilot User-driven, WHfB Cloud Trust, LAPS via Entra) werden unterstĂĽtzt
  • Deutlich geringere Komplexität (kein AD Connector, keine GPO-Konflikte, keine AD-Replikation)
  • Microsoft selbst empfiehlt Cloud-native als Ziel-Architektur

Konsequenzen:

  • Legacy-Apps, die Kerberos/NTLM-Authentifizierung benötigen, mĂĽssen ĂĽber Cloud Kerberos Trust oder Entra Private Access angebunden werden
  • Lokale Printserver funktionieren nicht out-of-the-box → Universal Print oder IP-basiertes Drucken
  • Netzlaufwerke ĂĽber GPO-Logon-Scripts → OneDrive KFM + SharePoint

ADR-002: Win32-Format als App-Packaging-Standard

Status: Akzeptiert
Datum: 15.01.2025
Entscheider: Concat Technical Board

Kontext: Intune unterstĂĽtzt verschiedene Paketformate (MSI, MSIX, Win32, Store). Es fehlt ein einheitlicher Standard.

Entscheidung: Alle Desktop-Applikationen werden als Win32-App (.intunewin) verpackt.

BegrĂĽndung:

  • Win32 bietet die meisten Steuerungsmöglichkeiten: Detection Rules, Requirement Rules, Dependencies, Supersedence
  • Flexibelstes Format — sowohl .exe als auch .msi Installer können gewrapped werden
  • ESP-Kompatibilität: Nur Win32-Apps können als blockierende Apps auf der Enrollment Status Page verwendet werden
  • Einheitliches Format vereinfacht die Schulung und das Troubleshooting

Konsequenzen:

  • Etwas höherer initialer Aufwand beim Packaging (IntuneWinAppUtil)
  • Etwas größerer Storage-Verbrauch im Intune Content Store
  • Siehe Packaging-Richtlinien

ADR-003: Open Intune Baseline als Security Standard

Status: Akzeptiert
Datum: 01.02.2025
Entscheider: Concat Technical Board

Kontext: Es gibt mehrere Security Baselines: Microsoft Intune Security Baselines, CIS Benchmarks, eigene Policies. Wir brauchen einen einheitlichen Standard.

Entscheidung: Die Open Intune Baseline (OIB) ist der Concat Security Standard fĂĽr alle Kundenprojekte.

BegrĂĽndung:

  • Open Source und transparent — jede Einstellung ist nachvollziehbar und auf GitHub dokumentiert
  • Vereint die besten Elemente aus NCSC, CIS, ACSC und Microsoft Best Practices
  • BerĂĽcksichtigt explizit User Experience und Admin-Verwaltbarkeit
  • Modularer Aufbau — einzelne Policies unabhängig anpassbar
  • Community-getrieben mit regelmäßigen Updates und Changelogs
  • Microsofts eigene Baselines sind zu monolithisch und oft disruptiv

Konsequenzen:

  • OIB muss bei jedem Kunden initial importiert werden (via IntuneManagement Tool)
  • OIB-Updates mĂĽssen aktiv verfolgt werden (GitHub Releases)
  • Kundenspezifische Anpassungen werden als separate Policies angelegt (OIB-Policies bleiben unverändert)
  • Siehe Security Baselines

Kundenspezifische ADRs

Zusätzlich zu den Standard-ADRs werden in jedem Kundenprojekt kundenspezifische ADRs erstellt. Typische Beispiele:

ADR-Nr.Beispiel-TitelGrund
ADR-K001Hybrid Join für Standort MünchenSAP-Server benötigt AD-Computer-Auth
ADR-K002Chrome als zusätzlicher BrowserKundenanforderung wegen Webapplikation
ADR-K003PowerShell RemoteSigned statt AllSignedKeine interne PKI vorhanden
ADR-K004USB-Ausnahme für MedizingeräteBranchenspezifisch (Gesundheitswesen)
Note

Kundenspezifische ADRs werden im Wiki des Kundenprojekts gepflegt — nicht in dieser zentralen Concat-Dokumentation. Die Nummerierung beginnt mit ADR-K001.

Last updated on
NamenskonventionenLizenzierungs-Guide