| | 0

Wie modernes Client Management helfen kann, die benötigte VPN-Bandbreite Ihres Unternehmens zu entlasten!

Viele Unternehmen stehen aufgrund der aktuellen Situation rund um COVID-19 vor der Herausforderung, kurzfristig sehr viele BenutzerInnen vom Homeoffice aus an die Unternehmensinfrastruktur anzubinden.

Damit AnwenderInnen möglichst ohne Einschränkungen E-Mails bearbeiten, das CRM oder ERP-System nutzen, auf die Netzlaufwerke zugreifen oder mit den KollegInnen per Videokonferenz wichtige Meetings abhalten können, werden in den meisten Fällen virtual private network (VPN) Verbindungen genutzt, um die Endgeräte aus der Ferne ans Unternehmensnetz anzubinden. Durch diese VPN-Verbindungen verhalten sich die Endgeräte, als würden sie auf dem Firmengelände verwendet werden.

Nachdem in den letzten Tagen sehr viel Energie der Unternehmens-IT in die Gerätebereitstellung für das Homeoffice investiert wurde, zeigt sich aber jetzt, dass gerade während der Hauptarbeitszeiten, die zur Verfügung stehende VPN Bandbreite sehr knapp oder teilweise nicht ausreichend ist – schließlich wurde sie häufig für eine viel geringere NutzerInnenanzahl dimensioniert.

Dies führt zu vermehrten Support-Anfragen, welche durch die sowieso schon stark belasteten IT MitarbeiterInnen im Unternehmen abgefangen und beantwortet werden müssen. Teilweise wird die VPN-Verbindung von findigen NutzerInnen absichtlich unterbrochen, da Cloud-basierte Dienste, wie Microsoft Teams oder Office 365 aus ihrer Sicht schneller und zuverlässiger funktionieren, wenn die VPN-Verbindung getrennt ist. Dies hebelt oft die Sicherheitsstrategie der Unternehmen aus, hilft aber den NutzerInnen ihre Aufgaben schneller zu erledigen.

Um unternehmensseitig “Druck von der VPN-Verbindung” zu nehmen, werden ggf. übliche Services zur Endgeräteverwaltung, wie z.B. monatliche Windows Updates, die Installation neuer Software und Sicherheitsupdates eingeschränkt oder gar nicht mehr durchgeführt. Dies ist als kurzfristige Notfallmaßnahme auch absolut angemessen.

Da die derzeitige Situation wahrscheinlich noch über Wochen oder sogar Monate anhält, ist jetzt der richtige Zeitpunkt um das Client Management auf Zukunftstauglichkeit zu überprüfen, denn auf lange Sicht stellen die oben genannten Notfallmaßnahmen ein wachsendes Problem dar. Mit jeder Woche ohne Aktualisierung steigt das Risiko eines IT-Sicherheitsvorfalls.

 

Was tun?

 

In dieser Reihe lernen Sie einige Möglichkeiten kennen, die Ihnen kurz- und langfristig helfen die angespannte Situation zu entschärfen.

Teil 1: VPN Split tunneling und Windows Update for Business

Teil 2: Microsoft Endpoint Configuration Manager (früher SCCM) und Cloud Management Gateway 

Teil 3: Configuration Manager Co-Management und Tenant attach

Teil 4: Intune – VPN-free Device Management

Teil 5: Intune – Sichere Bereitstellung von Unternehmensdaten auf privaten mobilen Endgeräten

Teil 6: Intune & Autopilot – Bereitstellung neuer Geräte direkt ins Home Office (folgt)

 

Teil 1: VPN Split tunneling und Windows Update for Business

 

Eine Bandbreitenerweiterung der VPN-Verbindung beim Netzbetreiber ist häufig technisch nicht machbar, oder wirtschaftlich nicht abbildbar. Um die Anforderungen ‘Unternehmenszugriff’ und ‘aktualisierte Systeme’ bei weniger VPN-Engpässen dennoch zu erfüllen, gibt es einige Möglichkeiten.

In diesem Teil der Serie behandeln wir die zwei Komponenten: ‘Split tunneling’ und ‘Windows Update for Business’. Beide können Ihrem Unternehmen helfen, die genutzte VPN-Bandbreite deutlich zu reduzieren.

 

Split tunneling

 

Um beispielsweise den Verkehr von und zu den Cloud-Diensten nicht über das Unternehmensnetz zu leiten, kann VPN-Verkehr mittels Split tunneling aufgeteilt werden. Dabei wird aktiv von der VPN-Software entschieden, welcher Verkehr ins Firmennetz gelenkt wird und welcher direkt ins Internet. Diese Maßnahme entlastet die VPN-Bandbreite bereits erheblich. Die genaue Implementierung muss in jedem Unternehmen an die Sicherheits- und Complianceanforderungen angepasst werden.

 

Ohne split tunneling:

 

 

 

 

 

 

 

 

 

 

 

(Prozentangaben sind nur zur besseren Visualisierung und variieren von Unternehmen zu Unternehmen)

Mit split tunneling:

(Prozentangaben sind nur zur besseren Visualisierung und variieren von Unternehmen zu Unternehmen)

 

Windows Update for Business

 

Auch wenn Microsoft die Auslieferung von “Quality Updates” ab Mai aussetzt, müssen die monatlichen Security Updates so schnell wie möglich auf den Geräten im Homeoffice installiert werden. Abhängig von Unternehmensgröße und zur Verfügung stehender Bandbreite droht hier der nächste große Engpass der VPN-Verbindungen.

Zur Entzerrung könnten Updates mit hohem Aufwand über einen langen Zeitraum an kleinere Gerätegruppen verteilt werden. Dies ist allerdings eine wenig nachhaltige Strategie.

Als Alternative bietet sich Windows Update for Business an.

Vielen Unternehmen ist nicht bekannt, dass mit Windows Update for Business (WUfB) auch Unternehmensgeräte kostenlos direkt aus der Microsoft Cloud mit Updates versorgt werden können. Die Nutzung von WUfB bietet sich außer zur kurzfristigen Problemlösung auch langfristig an, da durch die geringere Nutzung der firmeninternen Updateserver, die benötigte Kapazität im Rechenzentrum verringert werden kann.

Für Unterehmen mit Microsoft Endpoint Configuration Manager (MECM, früher System Center Configuration Manager / SCCM): Die Nutzung von MECM schließt die Nutzung von Windows Update for Business nicht aus!

Windows Update for Business lässt sich über Gruppenrichtlinien, MECM oder Intune verwalten, sodass Updates auch weiterhin kontrolliert in vordefinierten Stufen im Unternehmen verteilt werden können.

 

Quick Tip:

Falls Ihre RemoteSupport-Lösung aktuell nur innerhalb des Firmennetzwerks funktioniert, könnte die in Windows integrierte Remote Support Lösung “Quick Assist” (weitere Informationen finden Sie hier:https://support.microsoft.com/en-us/help/4027243/windows-10-solve-pc-problems-with-quick-assist) helfen. Mit Quick Assist können Sie in vielen Fällen ihre AnwenderInnen im Homeoffice kostenlos und ohne Installation von Zusatzsoftware unterstützen.