IT-Automatisierung über UEM-Systeme organisieren
Wenn Regeln regeln
Veröffentlicht in Ausgabe 04/2026 - PRAXIS
Es sind Routinen, die IT-Admins täglich mehrere Stunden wertvoller Arbeitszeit kosten: Passwörter zurücksetzen, Benutzerrechte anpassen, Registry-Keys ändern und so weiter. Während sie sich mit manuellen Prozessen beschäftigen, bleiben strategische IT-Entscheidungen und innovative Projekte oft auf der Strecke.
Also heißt es: Automatisieren! Denn neben die klassischen Automatisierungstechniken für Skripting und Orchestrierung, Konfigurationsmanagement oder CI/CD ist inzwischen die Art und Weise getreten, wie sich Endgeräte im Netzwerk konfigurieren, administrieren und patchen lassen. Dies geschieht über Unified-Endpoint-Management-Systeme (UEM). Grundsätzlich verstehen wir darunter das dynamische Zuweisen von Clients zu Gruppen und Containern, auf die sich in der Folge Jobs und Skripte anwenden lassen.
Schnell zu konsistenten Arbeitsumgebungen
Per UEM zu automatisieren, heißt dann konkret, neue Geräte ohne manuellen Eingriff bereitzustellen und zu konfigurieren – von der ersten Installation bis zur vollständigen Betriebsbereitschaft. Updates und Sicherheitspatches werden im Idealfall zeitgesteuert, zielgruppenspezifisch und fehlerfrei im gesamten Netzwerk verteilt. Auch standardisierte Benutzerkonfigurationen rollen automatisch aus – sodass sich konsistente Arbeitsumgebungen für alle Beschäftigten ohne stundenlangen Aufwand bereitstellen lassen. UEM-Werkzeuge sind inzwischen auch so konfigurierbar, dass bei einem Virenfund automatisch vordefinierte Maßnahmen erfolgen.
Es sind Routinen, die IT-Admins täglich mehrere Stunden wertvoller Arbeitszeit kosten: Passwörter zurücksetzen, Benutzerrechte anpassen, Registry-Keys ändern und so weiter. Während sie sich mit manuellen Prozessen beschäftigen, bleiben strategische IT-Entscheidungen und innovative Projekte oft auf der Strecke.
Also heißt es: Automatisieren! Denn neben die klassischen Automatisierungstechniken für Skripting und Orchestrierung, Konfigurationsmanagement oder CI/CD ist inzwischen die Art und Weise getreten, wie sich Endgeräte im Netzwerk konfigurieren, administrieren und patchen lassen. Dies geschieht über Unified-Endpoint-Management-Systeme (UEM). Grundsätzlich verstehen wir darunter das dynamische Zuweisen von Clients zu Gruppen und Containern, auf die sich in der Folge Jobs und Skripte anwenden lassen.
Schnell zu konsistenten Arbeitsumgebungen
Per UEM zu automatisieren, heißt dann konkret, neue Geräte ohne manuellen Eingriff bereitzustellen und zu konfigurieren – von der ersten Installation bis zur vollständigen Betriebsbereitschaft. Updates und Sicherheitspatches werden im Idealfall zeitgesteuert, zielgruppenspezifisch und fehlerfrei im gesamten Netzwerk verteilt. Auch standardisierte Benutzerkonfigurationen rollen automatisch aus – sodass sich konsistente Arbeitsumgebungen für alle Beschäftigten ohne stundenlangen Aufwand bereitstellen lassen. UEM-Werkzeuge sind inzwischen auch so konfigurierbar, dass bei einem Virenfund automatisch vordefinierte Maßnahmen erfolgen.
UEM-Hersteller Aagon beispielsweise setzt die Automatisierung mittels sogenannter Client Commands um. Das sind selbsterstellte Routinen beziehungsweise Befehlsabfolgen seiner ACMP-Suite, über die sich detaillierte Parameter für administrative Aufgaben der Softwareverteilung vorgeben lassen. Die zweite Säule der Automatisierung ist das Update- und Patchmanagement über Test- und Freigaberinge.
Skripte über Container zuteilen
Client Commands lassen sich in einer LowCode-NoCode-Umgebung per Klick zusammenstellen. Sie bestehen stets aus "Console Script" und "Client Script". Erzeugen lassen sich diese im Skriptbereich eines Editors im UEM, wobei der Admin die einzelnen Befehle aus der Commandlist per Drag-and-Drop oder Doppelklick einfügt und konfiguriert. Anschließend kann er die Befehle in entsprechender Reihenfolge anordnen und verwalten.
Per Client Command lässt sich etwa das Setzen von Einstellungen in der Registry, von Verknüpfungen zwischen Programmen automatisieren, oder aber Anweisungen wie diese: Betritt ein neuer User die Gruppe, installiere Drucker XY. Ist Festplatte voll, bereinige sie. Finde Fehler, bevor sie auftreten. Auch präventive Aufgaben lassen sich damit umsetzen.
Alles, was über solche Skripte abgebildet werden kann, lässt sich im Anschluss automatisieren. Dreh- und Angelpunkt dabei sind Container, die Skripte mit Regeln (Policies) koppeln. Container stellen eine isolierte Ausführungsumgebung für sichere und effiziente Automatisierung dar. Sie verwandeln wiederkehrende IT-Prozesse manueller Aufgaben in vollautomatisierte Workflows.
Jobs per Filter zuweisen
Im Container legt der Admin Filter fest – etwa für bestimmte Softwarestände, IP-Bereiche oder definierte Nutzergruppen. Erfüllt ein Asset diese Kriterien, landet es automatisch im Container und der zugehörige Job startet. Ist der Zielzustand erreicht, greift der Filter nicht mehr und der Rechner fällt wieder heraus. Auf diese Weise lassen sich hunderte Container für unterschiedlichste Szenarien betreiben.
Festzulegen ist ferner der Zeitpunkt der Ausführung des Skripts. Dafür gilt es, sich im Vorhinein zu überlegen, welche Systeme am kritischsten sind und welche Aufgaben wo und wann erledigt werden. Ein Beispiel: Installiere die Software auf einem Kassensystem erst nach den Öffnungszeiten des Geschäfts. Anders sieht es bei einem normalen Arbeitsplatzrechner aus, auf dem temporäre Dateien auch zwischendurch gelöscht werden können. Hier liegen also die Feinheiten der Automatisierung, indem vorab genau zu prüfen ist, wo und an welchen Stellen sie auszuführen ist.
Einbinden von APIs und Fremdsystemen
Ist Drittsoftware im Spiel, die über eine brauchbare Schnittstelle verfügt, gilt es, die fremden Daten für eine Automatisierung zusammenzufassen; dafür braucht das UEM-System seinerseits ein Public-API. Erstellt etwa im externen IT-Service-Management-Tool jemand ein Ticket, demzufolge ein Patch zu installieren ist, wird dies über das API an das interne UEM weitergeleitet. Der Automatismus startet somit, auch wenn er nicht vom UEM selbst initiiert wurde.
Automatisierung beim Update- und Patchmanagement funktioniert über das Einrichten von Test- und Freigaberingen. Softwareaktualisierungen werden dabei nicht direkt auf allen Clients verteilt, sondern gestaffelt in mehreren Testgruppen: Die erste Gruppe enthält etwa die Notebooks in der IT sowie ausgewählte Clients aus der Verwaltung und Produktion, erst anschließend erfolgt der Rollout für die breite Masse. So kann das Team bei Bedarf noch eingreifen und den Patch zurückziehen. Dadurch erhöht sich die IT-Sicherheit, insbesondere wenn die IT das Patchmanagement noch mit einem darüber liegenden Schwachstellenmanagement kombiniert.
Automatisiertes Schwachstellenmanagement
Das Vulnerability-Managementmodul identifiziert mögliche Schwachstellen durch regelmäßige Scans aller verfügbaren Clients im Netzwerk. Es gleicht die Endpoint-Daten über die integrierte CVSS-/CVE-Datenbank mit aktuellen Schwachstellen ab und stuft den Schweregrad der aufgefundenen Schwachstelle ein. Basierend darauf erhält der Admin einen detaillierten Überblick, welcher Client von welcher Schwachstelle betroffen ist. Handlungsempfehlungen lassen sich dann priorisierend anhand der Schwere umsetzen sowie für die Zukunft automatisieren. Konkret: Bei einem Virenfund startet das UEM selbständig vordefinierte Maßnahmen, etwa eine Benachrichtigung an das IT-Team zu senden, den betroffenen PC aus dem Netzwerk zu isolieren und einen Scan auf allen verbundenen Endgeräten anzustoßen.
Ein weiteres Beispiel ist das Automatisieren von Sicherheitskonfigurationen abhängig vom jeweiligen Standort des Endgeräts. Befindet sich ein Notebook außerhalb der Netzwerkumgebung, so schaltet das UEM-System auf strengere Sicherheitsrichtlinien um, indem es etwa eine VPN-Verbindung aktiviert oder bestimmte Zugriffe einschränkt.
Besserer User-Self-Service
Ein hohes Maß an Automatisierung sorgt dafür, dass Systeme kontinuierlich aktuell bleiben, ohne den laufenden Geschäftsbetrieb zu stören. Denn in der modernen Arbeitswelt legen auch Festangestellte zunehmend selbst fest, wann und von wo aus sie produktiv sein möchten. Dadurch wird es zu einer mühsamen Daueraufgabe, Sicherheit auf Endgeräten zuverlässig zu gewährleisten. Oft wissen Admins kaum, wann sie Updates überhaupt ausrollen sollen. Nach Dienstschluss um 17 Uhr ist keineswegs sicher, dass ein Gerät heruntergefahren wurde und für eine Neuinstallation bereitsteht.
Daher sollten IT-Abteilungen die User heute stärker als bisher in administrative Abläufe einbinden. Updates werden verschoben, sofern ein System gerade kritische Prozesse ausführt und ein Neustart stören würde. Nutzer erhalten Self-Service-Optionen, um selbst festzulegen, wann ein bestimmtes Update zu installieren ist. Damit verändert sich der Blickwinkel: Früher standen die Geräte im Mittelpunkt der Admin-Arbeit, heute ist es eher der User.
Darauf muss die IT reagieren. Gleichzeitig braucht sie Transparenz darüber, wann was passiert ist, ob notwendige Fristen eingehalten wurden oder ob ein Update notfalls doch "hart" erfolgen muss. Denn bei aller Entscheidungsfreiheit der Nutzer: Administratoren können sich nicht immer danach richten – etwa, wenn zum geplanten Zeitpunkt keine stabile Internetverbindung besteht. Ein 3-GByte-Patch über eine LTE-Verbindung zu installieren, funktioniert meist nicht. Solche Abläufe müssen deshalb klar definiert und automatisch gesteuert werden.
Compliance im Blick behalten
Ob Gesetze wie die DSGVO oder branchenspezifische Vorgaben eingehalten werden, ist manuell kaum zu überwachen, insbesondere in großen IT-Umgebungen mit vielen verteilten Endgeräten. Im UEM-System lassen sich Compliancerichtlinien zentral definieren und in der Folge automatisiert überwachen – zum Beispiel die Überprüfung, ob auf allen Geräten eine aktuelle Antivirensoftware installiert ist, ob Sicherheitspatches eingespielt wurden oder bestimmte Konfigurationen eingehalten werden. Beispiel: Entspricht ein Gerät, das in einem spezifischen IP-Bereich arbeitet, nicht den Unternehmensrichtlinien, löst das UEM einen Alarm aus oder passt die Gerätekonfiguration direkt an.
Fazit
UEM-Systeme bieten heute vielfältige Möglichkeiten, Routineaufgaben zu automatisieren und Endgeräte kontinuierlich aktuell zu halten. Skriptbasierte Befehlsabfolgen und Container sorgen dafür, dass Konfigurationen, Updates und Sicherheitsmaßnahmen gezielt und reproduzierbar ausgerollt werden. Gerade vor dem Hintergrund wachsender Cyberrisiken und steigender Complianceanforderungen wird diese Automatisierung zur unverzichtbaren Grundlage moderner IT-Betriebsmodelle.
(ln)
Sebastian Weber ist Chief Evangelist bei Aagon.