Die zentrale Bereitstellung von Windows-Desktops und Thin Clients für den Zugriff darauf sind längst keine neue Erfindung. Bereits seit seligen Zeiten einer Windows NT Terminal Server Edition (TSE) setzen vor allem größere Unternehmen auf das Hosting ihrer Windows-basierten Arbeitsplätze im eigenen Rechenzentrum – heutzutage in Form einer Virtual Desktop Infrastructure (VDI) wahlweise mithilfe von Microsofts Bordmitteln allein oder ergänzt um Lösungen wie etwa Citrix Virtual Apps and Desktops oder die ursprünglich von VMware entwickelte Software Omnissa Horizon.

In diesem Umfeld tummeln sich zahlreiche Anbieter von Hardware und Software zum Betrieb von Thin Clients, die typischerweise auf Basis von Linux auf die wesentlichen Funktionen reduzierte Betriebssystem-Abbilder auf ebenso möglichst schlanke Hardware bringen. Die Vorteile liegen auf der Hand. Ohne lokale Datenhaltung minimieren Thin Clients Risiken im Hinblick auf die Informationssicherheit und Arbeitsaufwände im Betrieb der dezentralen Clientrechner.

Doch ebenso Teil der Wahrheit ist, dass eine eigene VDI ein höchst komplexes Konstrukt ist, das ein versiertes Team von Administratoren erfordert. Und wenngleich Thin Clients die dezentralen Aufwände des PC-Managements reduzieren, braucht es in der Regel separate Werkzeuge zur Verwaltung der Rechner, die wiederum zusätzlichen Aufwand bedeuten. Hier setzt Microsoft gleich an mehreren Stellen an, die Aufwände sowohl zentral als auch dezentral bei den Clients weiter zu reduzieren.

Auf der Seite der zentralen Infrastruktur hat Microsoft inzwischen gleich zwei Produkte im Angebot. Den Anfang machte mit Azure Virtual Desktop (AVD) eine cloudbasierte VDI-Umgebung, die neben Windows 10 und 11 auch die Multisession-Varianten dieser Betriebssysteme sowie klassische Remote Desktop Session Hosts (RDSH) auf Basis von Microsoft Windows Server unterstützt.

AVD nutzt die Infrastruktur von Microsoft Azure, um virtuelle Windows-Desktops und -Anwendungen bereitzustellen, die von überall aus zugänglich sind, bietet Funktionen wie mehrere Sitzungen, benutzerdefinierte Image-Vorlagen und erweiterte Netzwerkoptionen. AVD unterstützt hybride Szenarien, in denen Geräte sowohl mit einem lokalen Active Directory (AD) als auch mit Microsoft Entra ID, ehemals Azure AD, verbunden sind. Dies ermöglicht es Benutzern, sich mit ihren lokalen AD-Konten an Desktops anzumelden und auf Ressourcen vor Ort zuzugreifen. Für diesen Zugriff benötigen die Desktop-VMs eine Netzwerkverbindung zu einem lokalen Domain Controller (DC).

Damit richtet sich AVD an erfahrene Admins, die maximale Flexibilität beim Aufbau ihrer VDI wünschen. Entsprechend gefragt sind aber auch tiefere Kenntnisse in der Handhabung einer solchen Infrastruktur und der Administration von Ressourcen in der Azure-Cloud. Auch die Abrechnung richtet sich nach den genutzten Compute-Ressourcen in Microsofts Cloud.

Die jüngeren Windows-365-Cloud-PCs sind demgegenüber deutlich einfacher in der Handhabung und zielen darauf, Benutzern je eine persönliche Instanz von Windows 11 bereitzustellen [1]. Windows 365 unterstützt ebenfalls hybride Identitäten, bei denen Benutzer oder Geräte sowohl in einem lokalen AD als auch in Entra ID eingebunden sind. Auch in diesem Fall benötigen die Desktops per direkter Netzwerkverbindung oder VPN Kontakt zu einem DC. Die Abrechnung basiert im Fall von Windows 365 auf Abonnementplänen, die sich an der Größe einer Organisation sowie den Anforderungen der Benutzer orientieren.

Passend zu Desktops aus der Cloud auf Basis von Windows 365 hat Microsoft im Rahmen seiner Hausmesse Ignite im November des vergangenen Jahres Windows 365 Link vorgestellt, eine Clienthardware für den stationären Einsatz, die einzig dem Zweck dient, Verbindung zu Windows 365 aufzunehmen [2]. Das Gehäuse, das laut Microsoft zu 50 Prozent aus recycelten Materialien besteht, kommt ohne aktive Lüfter aus, misst lediglich zwölf Zentimeter im Quadrat und ist nur drei Zentimeter hoch (Bild 1).

Auf der Vorderseite bietet das Gerät eine USB-A-Buchse sowie einen 3,5-mm-Klinkenanschluss für Audiogeräte. Rückseits bringt es zwei weitere USB-A-Ports, eine USB-C-Buchse, je einen Anschluss für HDMI und DisplayPort für den gleichzeitigen Betrieb von zwei 4K-Bildschirmen und eine Ethernet-Buchse mit. Drahtlos kommuniziert der Client per Wi-Fi 6E und Bluetooth 5.3.

Genauere Angaben dazu, welcher Prozessor und welche weiteren Komponenten im Inneren werkeln, machte Microsoft nicht. Laut Hersteller soll die Hardware aber über eine nicht im Detail benannte Hardware-Beschleunigung verfügen, die performante Videokonferenzen mit dem hauseigenen Microsoft Teams, aber auch mit den Werkzeugen von Drittanbietern ermöglicht. Explizit nannten die Redmonder hier Cisco Webex [3].

Wesentlich spannender als die Eckdaten der Hardware ist aber, wie sich Windows 365 Link im praktischen Einsatz verhält. So demonstrierte Microsoft im Rahmen der Präsentation auf der Ignite die Inbetriebnahme vom Auspacken bis zum funktionstüchtigen Windows-Desktop aus der Cloud in weniger als drei Minuten [4]. Dies gelingt, da Windows 365 Link eine im Funktionsumfang deutlich reduzierte Variante von Windows 11 ausführt, die einzig und allein daraufhin optimiert ist. Das Betriebssystem kommt ohne lokale Apps aus, speichert keinerlei Daten vor Ort und verfügt auch über keine lokalen Admin-Konten.

Windows 365 Link erwartet nach der Inbetriebnahme die Anmeldung mit einem Benutzerkonto ohne Admin-Rechte an Microsoft Entra ID. Das Gerät ist folglich in Entra ID eingebunden (Entra joined) und verwendet ausschließlich Methoden der modernen Authentifizierung, also eine passwortlose Anmeldung mithilfe von Microsoft Authenticator, FIDO2-Sicherheitsschlüsseln oder geräteübergreifenden Passkeys. Das Gerät selbst speichert lokal keine Anmeldeinformationen oder anderweitige Daten, was die Angriffsoberfläche minimiert.

Zur weiteren Absicherung setzt Microsoft auf die Technologien, die sich auch um die Sicherheit einer herkömmlichen Installation von Windows 11 kümmern. Neben einem Trusted Platform Module (TPM) sind dies Secure Boot, Bitlocker, virtualisierungsbasierte Sicherheit (Virtualization-based Security, VBS), die per Hypervisor erzwungene Codeintegrität (Hypervisor Enforced Code Integrity, HVCI), ein Defender-EDR-Sensor zur Abwehr von Malware sowie zentral verteilte Sicherheitsrichtlinien unter anderem für Conditional Access. Die Geräte selbst sowie die Richtlinien steuern Administratoren per Intune, sie benötigen also keine separaten Management-Werkzeuge. Microsofts Online-Dokumentation beschreibt die erforderlichen Vorarbeiten [5].

Administratoren konfigurieren Entra ID und Intune so, dass Geräte vom Typ Windows 365 Link dem Tenant der Organisation automatisch beitreten können. Sie steuern dabei über Richtlinien, ob jedes Gerät beitreten darf oder nur solche, die sie vorab registriert haben. Um die weitere Absicherung kümmern sich die Richtlinien für Conditional Access.

Alles Weitere regelt dann der Prozess der Ersteinrichtung auf den Endgeräten, den Microsoft als Out-of-Box-Experience (OOBE) bezeichnet. Hier sei erwähnt, dass sich der OOBE-Prozess von Windows 365 Link grundsätzlich von dem einer herkömmlichen Installation von Windows 11 unterscheidet. Windows 365 Link verlangt zunächst nach einer Netzwerkverbindung und anschließend zwingend nach der Anmeldung mit einem Geschäfts-, Schul- oder Unikonto. Das Gerät stellt dann unmittelbar die Verbindung zum Windows-365-Cloud-PC des jeweiligen Kontos her und der Benutzer kann arbeiten wie von einem lokal installierten Windows 11 gewohnt.

Nach getaner Arbeit meldet sich der Benutzer ab oder trennt die Verbindung zu seinem Windows-365-Cloud-PC einfach, um die Sitzung vom selben oder einem anderen Endgerät fortzusetzen. Windows 365 Link behält die Verbindung nach der Abmeldung standardmäßig für 15 Minuten, ohne Daten und Kontoinformationen des Benutzers lokal zu speichern. Meldet sich ein anderer Benutzer an, trennt der Client automatisch die Verbindung zum Cloud-PC des vorherigen Benutzers. Damit eignet sich Windows 365 Link besonders für Shared-Desk-Umgebungen, Callcenter oder auch Arbeitsplätze in Produktion und Logistik.

Schon zum Ende des letzten Jahres hatte Microsoft ein Preview-Programm gestartet, das sich primär an Organisationen richtete, die bereits Entra ID, Intune und Windows-365-Cloud-PCs einsetzen, da dies die technischen Voraussetzungen für den Einsatz von Windows 365 Link sind. Die Clients unterstützen die Editionen Windows 365 Enterprise, Frontline und Business der Cloud-PCs, nicht aber die Edition Windows 365 Government. Weiterhin sei erwähnt, dass Windows 365 Link ausdrücklich nicht mit Microsofts übrigen cloudbasierten Desktops, wie etwa AVD und Microsoft Dev Box, funktioniert.

Bis zum Redaktionsschluss war Windows 365 Link noch nicht final verfügbar. Microsoft hatte angekündigt, das Gerät ab April 2025 auf ausgewählten Märkten, darunter auch Deutschland, anzubieten. Wenn Sie diese Ausgabe in Händen halten, steht die Markteinführung somit unmittelbar bevor. Als unverbindliche Preisempfehlung hatte Microsoft zunächst nur 349 US-Dollar genannt und noch keine Angabe in Euro gemacht.

Der Hersteller hat aber angekündigt, dass Windows 365 Link nicht das einzige Gerät seiner Art bleiben soll. Microsoft möchte selbst weitere Endgeräte in anderen Formfaktoren entwickeln sowie auch mit seinen OEM-Partnern zusammenarbeiten und diesen ermöglichen, kompatible Hardware anzubieten.

Dazu passt, dass bereits im letzten Jahr verschiedene Onlinemedien über den Leak eines ISO-Images für ein neues Betriebssystem mit dem Namen Windows CPC berichtet haben. Alternativ dazu finden sich auch die Bezeichnung NXT oder WNC für diese neue Variante von Windows. Da das Image für die x64-Architektur aus einer inoffiziellen Quelle stammt, verbietet sich zwar der Einsatz in einer produktiven Umgebung, doch erlaubt das Abbild einen ersten Blick unter die Haube. So kann das Betriebssystem mit der Build-Nummer 26100.2314 seine Verwandtschaft mit Windows 11 nicht verleugnen.

Die Installation beginnt ähnlich der von Windows 11. Die Sprachauswahl beschränkt sich zunächst auf Englisch. Die Auswahlfelder für Zeitzone, Währung und Tastaturlayout bieten aber zahlreiche weitere Lokalisierungen. Der Assistent gibt sich daraufhin zunächst als Windows 11 zu erkennen und bietet die Neuinstallation oder eine Reparatur an. Nach der optionalen Eingabe eines Produktschlüssels geht es nur weiter, sofern die Maschine die Voraussetzungen erfüllt, die auch für eine herkömmliche Installation von Windows 11 gelten. Der Client muss folglich über ein TPM, Secure Boot, eine kompatible CPU mit mindestens zwei Kernen, 4 GByte Hauptspeicher sowie 64 GByte Massenspeicher verfügen.

Nach der Auswahl des Datenträgers gibt sich der Assistent zu guter Letzt als "Windows WNC" aus. Die eigentliche Installation verläuft analog zu der von Windows 11. Anschließend sind aber beim Blick unter die Haube die Unterschiede deutlich interessanter als die Gemeinsamkeiten. So öffnet zwar auch unter Windows WNC aus dem OOBE-Prozess heraus die Tastenkombination "Shift + F10" eine Kommandozeile. Den Befehl "oobe\bypassnro", der Windows 11 dazu bewegt, auch ohne Netzwerk zu starten und ein lokales Benutzerkonto einzurichten, kennt die neue Edition nicht.

Windows WNC bringt separate Werkzeuge für die Ersteinrichtung, Shell und Updates mit (Bild 2). Wenngleich das Image mit knapp 5,3 GByte fast so groß ist wie das von Windows 11, fehlen dem System integrale Bestandteile des großen Verwandten. So gibt es keinen Explorer, keine PowerShell und auch keine Hilfsprogramme, wie etwa den Editor Notepad. Das Betriebssystem dient einzig dem Zweck, den Benutzer zu authentifizieren und den im Pfad "C:\Program Files\Windows365" befindlichen Client für Microsofts Cloud-PCs auszuführen. Damit eignet sich das Betriebssystem vor allem für Microsoft selbst sowie die OEM-Partner. Ob Microsoft plant, das Betriebssystem auch Kunden zur Installation auf beliebiger Hardware zur Verfügung zu stellen, ist bislang noch nicht bekannt.

Thin Clients bringen typischerweise mehrere Client-Programme für die VDI-Umgebungen verschiedener Hersteller mit. Im Vergleich treibt Microsoft das Funktionsprinzip eines Thin Clients mit Windows 365 Link und der minimalistischen Variante von Windows auf die Spitze. Das System ist extrem schlank, eignet sich damit aber auch ausschließlich für den Zugriff auf Windows-365-Cloud-PCs.