Windows-11-Migration mit Intune
Windows 10 ist aus dem regulären Support: Windows-11-Rollout 2026 sauber planen
Für Admins ist Windows 10 im Jahr 2026 kein abstraktes Strategiethema mehr. Es geht um Restbestände, Ausnahmen, Betriebsrisiken und einen kontrollierten Wechsel auf Windows 11 mit Intune, Autopilot und Autopatch.
Starte mit dem echten Problem: verbleibende Windows-10-Geräte
Windows 10 Version 22H2 ist seit dem 14. Oktober 2025 für die meisten Editionen im regulären Servicing-Kanal aus dem Support. Ausnahmen wie LTSC-Editionen musst du separat bewerten. ESU ist ein zeitlich begrenztes Sicherheitsupdateprogramm und kein Ersatz für einen regulären Produkt-Support. In vielen Umgebungen tauchen 2026 dennoch Windows-10-Geräte auf. Deshalb lautet die wichtigste Frage nicht mehr: Warum Windows 11?, sondern: Welche Geräte sind noch übrig, warum sind sie übrig und wie bringst du sie ohne Blindflug aus dem Risiko?
Eine belastbare Windows-11-Migration mit Intune (Windows 11 migration with Intune) beginnt mit einem Gerätebestand, der mehr enthält als Gerätename und Betriebssystemversion. Du brauchst Business-Kritikalität, Hardware-Readiness, verantwortliche Personen, Standort, Netzwerktyp, App-Abhängigkeiten, Supportstatus und den erwarteten Migrationspfad. Unverwaltete manuelle Neuinstallationen sollten die Ausnahme bleiben, etwa für Sonderfälle im Labor. Als Rolloutmodell sind sie schlecht messbar, schwer wiederholbar und erzeugen Abweichungen.
| Kategorie | Typische Kriterien | Nächster Schritt |
|---|---|---|
| Migrationskandidat | Windows-11-fähig, App-Stack bekannt, verantwortliche Person erreichbar | Pilot oder Rollout-Welle zuweisen |
| Ersatzkandidat | Hardware nicht geeignet oder wirtschaftlich nicht sinnvoll | Beschaffung, Autopilot-Registrierung, Austauschfenster |
| Temporäre ESU-Ausnahme | Fachsoftware, Maschine, Laborgerät oder verspätete Beschaffung | ESU-Register mit Ablaufdatum und Kontrollen |
| Stilllegung | Keine verantwortliche Person, keine Nutzung, Altinventar | Daten sichern, Gerät entfernen, Lizenzen bereinigen |
Wenn du Wissen zu Windows-11-Betrieb, Deployment und Administration strukturieren willst, findest du eine passende Übersicht unter Windows 11 Schulungen.
Windows 10 ESU or Windows 11 migration: Wann ESU akzeptabel ist
ESU reduziert kurzfristig Sicherheitsrisiken, ersetzt aber kein Zielbetriebssystem. Es liefert Sicherheitsupdates für definierte Szenarien, aber keine neuen Funktionen und keinen regulären Support für nicht sicherheitsrelevante Probleme. Setze ESU deshalb nicht als bequemes Parkhaus für Altgeräte ein, sondern als Brücke mit klarem Ende.
Akzeptable ESU-Szenarien sind eng begrenzt: Legacy-Hardware, geschäftskritische Spezialsoftware, Laborgeräte, Produktionsmaschinen oder verzögerte Beschaffung. Für jedes Gerät brauchst du ein ESU-Register mit verantwortlicher Person, Grund, Ablaufdatum, kompensierenden Kontrollen und Migrationsplan. Kompensierende Kontrollen können Netzwerksegmentierung, restriktivere Conditional-Access-Regeln, die Reduktion lokaler Adminrechte, zusätzliche Monitoring-Regeln oder ein engeres Patch- und Backup-Fenster sein.
Baue zuerst deine Intune-Readiness-Baseline
Bevor du Feature-Updates, Autopilot-Profile oder App-Zuweisungen ausrollst, prüfe die Grundlagen: Intune-Tenant, Lizenzen, Rollen, Gruppenmodell, Namenskonzept und Lifecycle-Prozesse für Join, Enrollment, Austausch und Stilllegung. Kontrolliere Entra-ID-Join, Hybrid-Join, Co-Management und Registrierungseinschränkungen, bevor Richtlinien auf breite Gruppen gehen.
Teste Compliance-Richtlinien, Conditional Access, Gerätekonfigurationsprofile und Security Baselines in klar abgegrenzten Pilotgruppen. Nutze dynamische Gruppen, Filter oder gestufte Zuweisungslogik, damit Piloten, Wellen und Ausnahmen später nicht in manuellen Auswahllisten enden. Wenn du diese Grundlagen praktisch mit Entra ID, Hybrid-Szenarien, Enrollment, Compliance und Autopilot vertiefen möchtest, kann der Intune Workshop: Modern Desktop Setup, Hybrid & Autopilot (Teil 1) helfen. Thematisch angrenzend sind außerdem Microsoft 365 Schulungen für Administratoren.
Plane Autopilot und Windows Autopilot Device Preparation für Windows 11
Für neue, ersetzte oder zurückgesetzte Geräte ist Autopilot meist der sauberere Weg als manuelle Images. Klassischer Windows Autopilot passt gut, wenn du etablierte Profile, Hardware-Hashes, OOBE-Standardisierung, Benutzerzuweisung, Namenslogik und erforderliche Apps bereits stabil betreibst. Windows Autopilot Device Preparation ergänzt dieses Modell durch eine schlankere und besser beobachtbare Bereitstellungserfahrung.
Für dein Runbook zu Windows Autopilot Device Preparation Windows 11 ist wichtig: Anwendungen und PowerShell-Skripte können während der Einrichtung berücksichtigt werden, und du erhältst Statusdetails zu Apps, Skripten und Bereitstellungsdauer. Miss vor der Skalierung die echte Bereitstellungszeit, App-Erfolgsquoten, Skriptergebnisse und die erste Anmeldung der Benutzer. Für Skripte, Diagnose und kleinere Automatisierungen während der Migration ist ein solides PowerShell-Fundament hilfreich, etwa über den PowerShell Grundkurs.
Lass Anwendungen nicht zum versteckten Migrationsblocker werden
Viele Windows-11-Projekte scheitern nicht am Betriebssystem, sondern an Anwendungen. Inventarisiere Business-Apps, Treiber, VPN-Clients, Security Agents, Browser-Plug-ins, Office-Add-ins und Line-of-Business-Abhängigkeiten. Priorisiere Paketierung, Erkennungsmethoden, Installationskontext, Neustartverhalten und Zuweisungen in Intune, bevor breite Windows-11-Wellen starten.
Intune Enterprise App Management kann als katalogbasierte Option helfen, Standardsoftware sauberer bereitzustellen. Auch im Szenario Intune Enterprise App Management Autopilot solltest du prüfen, welche Anwendungen wirklich während der Gerätebereitstellung erforderlich sind und welche später nachgezogen werden können. Wichtig ist die Einschränkung: Updates aus dem Enterprise App Catalog werden nicht automatisch auf bestehende App-Zuweisungen verteilt. Du musst eine neue App-Version bereitstellen und die Aktualisierung kontrolliert steuern, zum Beispiel über Supersedence. Führe deshalb während des Rollouts eine eigene App-Update-Checkliste mit verantwortlicher Person, Paketstatus, Zielgruppen, Testgerät, Pilotfreigabe und Rollback-Variante.
Windows Autopatch rings best practices: Ringe bewusst steuern
Ein sinnvolles Ringmodell trennt IT-Pilot, Early Adopters, Business-Pilot, breite Bereitstellung und Ausnahmegruppen. Windows Autopatch kann für Windows-Updates, Microsoft-365-Apps, Microsoft Edge, Teams sowie Treiber- und Firmwareupdates Betriebsarbeit übernehmen, sofern dein Governance-Modell dazu passt. Für Feature-Updates ist eine benutzerdefinierte Freigabeplanung sinnvoll, damit du kontrollierst, wann welche Ringe die neue Version erhalten.
Vermeide die scheinbar einfache Abkürzung, nur die minimale Betriebssystemversion in einer Autopatch-Gruppe zu ändern. Das kann unmittelbar alle betroffenen Mitglieder in die nächste Update-Phase bringen. Dokumentiere vor der ersten breiten Welle Pause-Regeln, Rollback-Entscheidungen, Ausschlüsse, Eskalationswege und Verantwortliche. Die konkrete Zielversion solltest du erst festlegen, wenn sie in deinen Bereitstellungskanälen freigegeben, getestet und mit deinen Anwendungen kompatibel ist.
Für Autopatch, Intune Suite, Enterprise App Management, Endpoint Analytics und moderne Betriebsprozesse ist der Intune Workshop Aufbaukurs: Suite, Autopatch, Reporting (Teil 2) thematisch passend.
Reporting, Troubleshooting und Endpoint Analytics ab Tag eins
Definiere ein Mindest-Dashboard, bevor die erste Welle startet: Windows-Version, Bereitstellungsstatus, Autopilot-Status, App-Installationsstatus, Compliance-Status und Update-Ring. Nutze Intune-Berichte, Endpoint Analytics, Autopatch-Berichte und Geräteprotokolle, um Muster früh zu erkennen. Typische Frühindikatoren sind fehlgeschlagene Enrollments, erforderliche Apps mit hoher Fehlerquote, Richtlinienkonflikte, langsame Bereitstellungen und Geräte, die in alten Ringen hängen.
Ein einfaches Diagnose-Skript kann bei Sonderfällen helfen, ersetzt aber kein zentrales Reporting:
$info = Get-ComputerInfo
[pscustomobject]@{
DeviceName = $env:COMPUTERNAME
Product = $info.WindowsProductName
Version = $info.WindowsVersion
Build = $info.OsBuildNumber
}Führe ein wöchentliches Migration Board mit KPIs, Blockern und Nachverfolgung nach verantwortlicher Person. Wichtig sind nicht nur Erfolgsquoten, sondern auch die Geräte, die seit Wochen unverändert bleiben, und der Grund dafür.
Hybridumgebungen und Legacy-Abhängigkeiten pragmatisch behandeln
Hybrid Identity, lokale Ressourcen, Dateifreigaben, Drucker, Zertifikate, VPN und ältere Managementwerkzeuge verschwinden nicht automatisch durch Windows 11. Co-Management mit Configuration Manager kann während der Transition sinnvoll sein, wenn Softwareverteilung, Inventarisierung oder Spezialrichtlinien noch nicht vollständig in Intune abgebildet sind. Entscheidend ist ein klares Zielbild: Welche Workloads bleiben temporär wo, und wann werden sie verschoben?
Prüfe besonders, ob Conditional Access, Zertifikatsbereitstellung und Device Compliance auf Hybrid-Geräten konsistent funktionieren. Zu viele Verwaltungsinstanzen ohne Zielarchitektur erzeugen widersprüchliche Richtlinien und lange Fehlersuche.
Finale Checkliste: dein Windows-11-Rolloutplan 2026
- Inventarisiere Geräte, Apps, Benutzer, Business-Kritikalität und Windows-11-Readiness.
- Definiere ESU-Ausnahmen mit verantwortlicher Person, Begründung, Ablaufdatum, Kontrollen und Migrationsplan.
- Bereite Intune-Tenant, Rollen, Gruppen, Compliance, Conditional Access und Enrollment-Einstellungen vor.
- Baue Autopilot-Profile, Device-Preparation-Richtlinien, App-Pakete, Skripte und Pilotgeräte.
- Setze Update-Ringe, Autopatch-Richtlinien, Rollback-Regeln, Ausschlüsse und Monitoring auf.
- Berichte wöchentlich über Fortschritt, Blocker, App-Status und Geräte ohne Bewegung.
Der entscheidende Punkt: Behandle Windows 10 im Jahr 2026 nicht als Restproblem, sondern als sichtbares Betriebsrisiko mit Verantwortlichen, Fristen und Messwerten. Mit Intune, Autopilot, Autopatch und sauberem App-Management wird die Migration planbar, wiederholbar und überprüfbar.