Migrations-Roadmap

Unser Concat Standard-Phasenplan für die Transformation von klassischer On-Premises-Verwaltung (Active Directory, SCCM, WSUS) hin zum Cloud-nativen Modern Workplace (Microsoft Entra ID, Intune, Autopilot).

Phase	Zeitrahmen	Ergebnis
Envisioning & Design	Woche 1-3	Architektur-Design (HLD), Kundenfreigabe
Build & PoC	Woche 4-6	Golden Tenant, PoC mit Testgeräten bestanden
Pilot & Adoption	Woche 7-10	10-20 Pilot-User validiert, Feedback eingearbeitet
Rollout in Waves	Woche 11-20	Alle User migriert, Altgeräte zurückgelaufen
Transition & Operations	Abschluss	Übergabe an Support/MSP, Projektabnahme

Phasen im Detail

Phase 1: Envisioning

Phase 1: Envisioning & Design (Woche 1-3)

Bevor der Tenant konfiguriert wird, muss das Zielbild klar definiert und vom Kunden freigegeben sein.

Kick-off & Discovery

Durchführung der technischen und prozessualen Ist-Analyse-Workshops:

Technical Discovery & Assessment — Infrastruktur, Security, Lizenzen
Processual Analysis — Onboarding, Offboarding, Support-Prozesse

App-Assessment

Konsolidierung der Software-Liste und Entscheidung, welche Apps paketiert werden:

Standard-Software als Basis definieren
LOB-Apps identifizieren und nach Paketierbarkeit bewerten
Priorisierung: Welche Apps müssen zum Go-Live fertig sein?

Architektur-Design (HLD)

Festlegung der grundlegenden Architekturentscheidungen:

Entscheidung	Optionen	Concat Standard
Join-Typ	Entra ID Join vs. Hybrid Join	Entra ID Join (Cloud-native)
Naming Convention	Gerätenamen-Schema	`MW-%SERIAL%` (max. 15 Zeichen)
Security Baseline	Custom vs. OIB	Open Intune Baseline (OIB)
Patch Management	Autopatch vs. manuelle Ringe	Autopatch (bei E3/E5)
Admin-Rechte	Lokaler Admin vs. LAPS	Kein Admin + Windows LAPS
Verschlüsselung	BitLocker Silent vs. User-gesteuert	Silent Encryption (XTS-AES 256)

Freigabe (Sign-off)

Abnahme des High-Level-Designs durch den Kunden (Management / IT-Leitung). Ohne dieses Sign-off wird nicht mit Phase 2 begonnen.

Important

Ergebnis Phase 1: Ein freigegebenes HLD-Dokument, ein priorisiertes App-Assessment und klar definierte Architekturentscheidungen. Dieses Dokument ist die Grundlage für alle weiteren Phasen.

Phase 2: Build & PoC

Phase 2: Build & Proof of Concept (Woche 4-6)

Aufbau der Foundation („Golden Tenant”) und erster rein technischer Test durch die Concat-Consultants und die IT des Kunden.

Tenant Setup

Company Branding konfigurieren (Kundenlogo + Farben)
Enrollment Restrictions setzen
Initiale Intune-Konfiguration nach Concat Standard

Identity & Security

Entra Connect Sync konfigurieren (falls Hybrid)
Conditional Access Policies im Report-Only-Modus anlegen
Break-Glass Accounts erstellen und testen
Authentication Methods konfigurieren (Authenticator, FIDO2, WHfB)

App-Paketierung

Paketierung und Upload der Top 10 Basis-Applikationen als .intunewin
Packaging-Richtlinien einhalten
Detection Rules und Uninstall-Commands validieren

Security Baselines & Configuration Profiles

Ausrollen der Concat Standard-Konfiguration:

PoC-Test

2-3 Test-Geräte (IT-intern) via Autopilot enrollen und den reinen technischen Durchstich validieren:

Testfall	Erwartetes Ergebnis
Autopilot Enrollment	ESP läuft durch, alle Required Apps installiert
WLAN/VPN	Verbindung erfolgreich (ggf. via Certificate Connector)
App-Installation	Alle Basis-Apps installiert, Detection Rules korrekt
BitLocker	Silent Encryption aktiv, Recovery Key in Entra ID
Conditional Access	Report-Only Logs zeigen erwartetes Verhalten
Windows Update	Update-Ringe korrekt zugewiesen

Caution

Conditional Access bleibt in Phase 2 im Report-Only-Modus! Erst nach erfolgreicher Validierung in Phase 3 (Pilot) werden die Policies scharfgeschaltet.

Testbereich	Typische Fragen
Drucken	Funktionieren alle Drucker? Universal Print vs. lokaler Printserver?
ERP/LOB-Apps	Starten alle Fachanwendungen? ODBC-Verbindungen?
File-Shares	Sind Netzlaufwerke erreichbar? OneDrive KFM aktiv?
VPN	Verbindung stabil? Split-Tunneling korrekt?
Performance	Autopilot-Dauer akzeptabel? App-Installationszeiten?
User Experience	MFA-Registrierung problemlos? WHfB eingerichtet?

Empfehlung	Details
Wave-Größe	20-50 Geräte pro Woche (je nach Helpdesk-Kapazität)
Vorlauf	1 Woche vorher: User-Kommunikation an die nächste Wave
Monitoring	Tägliche Prüfung der Enrollment- und App-Fehler
Puffer	Pool-Geräte bereithalten für schnellen Tausch bei Defekten

Thema	Schulungsinhalt	Referenz
Geräte-Aktionen	Wipe, Retire, Fresh Start, Autopilot Reset	Runbooks
BitLocker	Recovery Key auslesen	Runbooks
LAPS	Admin-Passwort auslesen	Runbooks
App-Deployment	Win32-App erstellen, Fehler analysieren	Runbooks
Troubleshooting	Autopilot, Sync, Apps, Conditional Access	Troubleshooting
RBAC	Wer darf was im Tenant	RBAC Rollen

System	Abschaltung wenn…
WSUS	Alle Clients über Intune Update-Ringe / Autopatch verwaltet
SCCM / MECM	Alle Clients über Intune verwaltet, keine SCCM-Tasks mehr aktiv
Lokale Printserver	Universal Print oder alternative Lösung im Einsatz
Logon-Skripte	OneDrive KFM aktiv, SharePoint-Links verteilt
PXE Boot / WDS	Alle Neugeräte über Autopilot bereitgestellt

Migrations-Roadmap

Phasen im Detail

Phase 1: Envisioning

Phase 1: Envisioning & Design (Woche 1-3)

Kick-off & Discovery

App-Assessment

Architektur-Design (HLD)

Freigabe (Sign-off)

Phase 2: Build & PoC

Phase 2: Build & Proof of Concept (Woche 4-6)

Tenant Setup

Identity & Security

App-Paketierung

Security Baselines & Configuration Profiles

PoC-Test

Phase 3: Pilot

Phase 3: Pilot & Adoption (Woche 7-10)

Pilot-Auswahl

User Communication

Hardware-Ausgabe

Feedback-Loop (wöchentlich)

Feintuning

Phase 4: Rollout

Phase 4: Rollout in Waves (Woche 11-20)

Wave 1: IT & Tech-affine Abteilungen

Waves 2-X: Fachabteilungen

Wave VIP: Management

Altgeräte-Rücklauf

Parallelbetrieb überwachen

Phase 5: Transition

Phase 5: Transition & Operations (Abschluss)

Wissenstransfer

MSP-Onboarding (falls zutreffend)

Dekommissionierung

Projektabnahme