Go-Live Checkliste

Qualitätskontrolle vor dem produktiven Rollout beim Kunden. Alle Punkte müssen zwingend abgehakt sein, bevor Phase 4 (Rollout) gestartet wird.

Caution

Ein produktiver Rollout ohne vollständig abgearbeitete Checkliste ist nicht gestattet. Bei Unsicherheiten, insbesondere in den Bereichen Conditional Access und BitLocker, ist zwingend Rücksprache mit dem Technical Lead oder dem technischen Vorgesetzten zu halten.

Freigabe-Workflow

Checkliste durcharbeiten

Alle 6 Bereiche (siehe Tabs unten) systematisch prüfen. Jeder Punkt muss mit Ja / Erledigt bestätigt werden.

Review durch Technical Lead

Der Concat Technical Lead prüft die ausgefüllte Checkliste und gibt sein technisches Go (oder dokumentiert offene Punkte).

Kundenfreigabe

IT-Leitung des Kunden bestätigt die Bereitschaft für den produktiven Rollout (schriftlich / per E-Mail).

Rollout starten

Erst nach beiden Freigaben darf Phase 4 (Rollout in Waves) gestartet werden.

Checkliste

Identity & Security

1. Identity & Security

#	Prüfpunkt	Status
1	Conditional Access Policies aktiv (nicht mehr Report-Only)	☐
2	MFA für alle Benutzer erzwungen (inkl. Registrierungskampagne, falls nötig)	☐
3	Kritisch: Break-Glass-Accounts erstellt, getestet und aus allen CA-Policies ausgeschlossen	☐
4	Legacy Authentication via Conditional Access blockiert (CA-003)	☐
5	Self-Service Password Reset (SSPR) konfiguriert und getestet	☐
6	Lizenzen (M365 E3/E5, Business Premium) den Pilot-/Rollout-Usern zugewiesen (idealerweise gruppenbasiert)	☐

Warning

Break-Glass Accounts (Punkt 3) sind der häufigste vergessene Punkt. Wenn Break-Glass-Accounts nicht aus den CA-Policies ausgeschlossen werden, besteht die Gefahr, sich bei einer Fehlkonfiguration oder einem MFA-Ausfall komplett aus dem Tenant auszusperren. Test: Anmeldung mit Break-Glass Account durchführen und verifizieren, dass kein CA-Policy greift.

#	Prüfpunkt	Status
1	Hardware-Hashes der Rollout-Geräte importiert und einem Autopilot-Profil zugewiesen	☐
2	Autopilot-Profile getestet (User-driven + ggf. Pre-provisioned)	☐
3	Enrollment Status Page (ESP) konfiguriert — Timeout sinnvoll gesetzt, nur kritische Apps blockierend	☐
4	Compliance-Policies aktiv (inkl. Grace-Period für Non-Compliant Devices)	☐
5	BitLocker getestet — Silent Encryption läuft, Recovery Keys im Entra ID vorhanden	☐
6	Windows LAPS konfiguriert — Passwörter im Entra ID auslesbar	☐
7	Windows Hello for Business (WHfB) konfiguriert (PIN-Länge, Biometrie)	☐
8	Update-Ringe (Autopatch / WUfB) für Pilot- und Rollout-Gruppen zugewiesen	☐
9	Device Cleanup Rules aktiviert (automatisches Löschen inaktiver Geräte nach 90 Tagen)	☐

Applikationen

3. Applikationen & Software

#	Prüfpunkt	Status
1	Standard-Software (Basis-Betankung) deployt und erfolgreich getestet	☐
2	LOB-Apps (Branchensoftware) als `.intunewin` verpackt, getestet und zugewiesen	☐
3	Detection Rules und Uninstall-Commands für alle Win32-Apps verifiziert	☐
4	Zuweisungs-Logik geprüft: Required vs. Available korrekt? (siehe Deployment-Regeln)	☐
5	Company Portal konfiguriert, gebrandet und als App zugewiesen	☐

Tip

Test-Checkliste pro App: Jede App sollte auf einem sauberen Testgerät folgende 4 Tests bestanden haben:

✅ Install — Silent Installation erfolgreich
✅ Detection — Detection Rule erkennt die App korrekt
✅ Function — App startet und funktioniert
✅ Uninstall — Deinstallation sauber, Detection danach negativ

Netzwerk

4. Netzwerk & Infrastruktur

#	Prüfpunkt	Status
1	Firewall-/Proxy-Freigaben für Microsoft Intune, Autopilot und Windows Update Endpoints umgesetzt	☐
2	Delivery Optimization (DO) / BranchCache konfiguriert (Netzwerk-Entlastung bei App-Downloads)	☐
3	Zertifikatsbereitstellung (NDES/SCEP) für WLAN/VPN erfolgreich validiert (falls zutreffend)	☐

Kritische Endpoints die freigeschaltet sein müssen:

Dienst	Endpoints	Port
Intune	`manage.microsoft.com`, `*.manage.microsoft.com`	443
Autopilot	`ztd.dds.microsoft.com`, `cs.dds.microsoft.com`	443
Entra ID	`login.microsoftonline.com`, `device.login.microsoftonline.com`	443
Windows Update	`.windowsupdate.com`, `.delivery.mp.microsoft.com`	443
Defender	`.wdcp.microsoft.com`, `.wd.microsoft.com`	443
Delivery Optimization	`*.do.dsp.mp.microsoft.com`	443

Warning

Proxy-Falle: Viele Kunden haben SSL-Inspection (TLS-Break) auf ihren Proxies aktiv. Dies kann die Intune-Kommunikation und Autopilot-Registrierung brechen. Die oben genannten Endpoints müssen von der SSL-Inspection ausgenommen werden.

#	Prüfpunkt	Status
1	User-Kommunikation vorbereitet und rechtzeitig an die Rollout-Wave versendet	☐
2	Endanwender-Anleitungen (z. B. „So richten Sie MFA ein”) im Intranet bereitgestellt	☐
3	RBAC-Rollen für den Helpdesk oder das 1st-Level-Team vergeben	☐
4	Support-Team gebrieft — Zugriff auf Runbooks und Troubleshooting-Guides sichergestellt	☐
5	Eskalationspfade definiert — Wer ist bei P1-Incidents während des Rollouts erreichbar?	☐

#	Prüfpunkt	Status
1	Kundenspezifische Abweichungen vom Concat-Standard im Decision Log dokumentiert	☐
2	Dokumentation (High-Level und Low-Level Design) im Wiki finalisiert	☐
3	Backup der Intune-Konfiguration (Policies, Profile) als Baseline erstellt	☐

Zusammenfassung

Bereich	Anzahl Prüfpunkte	Kritische Punkte
Identity & Security	6	Break-Glass Accounts, CA aktiv
Geräte & Autopilot	9	ESP-Konfiguration, BitLocker, LAPS
Applikationen	5	Detection Rules, Required vs. Available
Netzwerk	3	Firewall-Freigaben, SSL-Inspection
Kommunikation & Support	5	RBAC, Eskalationspfade
Dokumentation	3	Decision Log, Config-Backup
Gesamt	31

Caution

Erst wenn alle 31 Punkte abgehakt sind, darf der Rollout starten. Die Checkliste wird vom Technical Lead gegengezeichnet und im Projektordner archiviert.

Go-Live Checkliste

Freigabe-Workflow

Checkliste durcharbeiten

Review durch Technical Lead

Kundenfreigabe

Rollout starten

Checkliste

Identity & Security

1. Identity & Security

Geräte & Autopilot

2. Geräteverwaltung & Autopilot

Applikationen

3. Applikationen & Software

Netzwerk

4. Netzwerk & Infrastruktur

Kommunikation & Support

5. Kommunikation & Support

Dokumentation

6. Dokumentation

Zusammenfassung