Endpoint Management & Application Provisioning

Ein Endgerät ist heute das wichtigste Werkzeug der meisten Knowledge-Worker — und gleichzeitig die häufigste Ursache für IT-Aufwand. Jedes neue Notebook braucht ein konsistentes Betriebssystem-Image, einen geprüften Application-Stack, eine versionierte Sicherheits-Policy und eine saubere Lebenszyklus-Spur von der Auslieferung bis zur Rückgabe. Solvia hat Endpoint-Engineering über Jahre auf zwei Niveaus geliefert: einen vollständigen Windows-Rollout über zwei Jahre für rund 90 Arbeitsplätze bei einem Schweizer Industrie-Mandanten, parallel mehrjähriges Engineering an einer Multi-Source-CMDB und Software-Distribution bei einer Schweizer Notenbank. Heute betreiben wir in unserer eigenen MSP-Praxis die volle Endpoint-Lebenszyklus-Kette für über 250 Solvia-Kunden — von OS-Imaging über Patch-Management bis zum eigenen Software-Kiosk für Self-Service-Installationen.

Was wir abdecken

Operating-System-Deployment. Windows-Imaging über die für Ihre Umgebung passende Toolchain — Microsoft Deployment Toolkit (MDT), Configuration Manager (SCCM / Microsoft Endpoint Configuration Manager), Microsoft Intune mit Windows Autopilot, oder LANDesk / Ivanti Endpoint Manager OSD. Wir kennen die Unterschiede aus produktiver Erfahrung und wählen die Toolchain nach Ihrer bestehenden Infrastruktur, Ihrer Lizenz-Realität und Ihrer Mengengerüst.

Application Packaging. Wir paketieren Anwendungen so, dass sie auf jedem neuen Notebook ohne manuelle Klick-Strecke installiert sind. Wir kennen die Eigenheiten der wichtigsten Paket-Formate (MSI, MSIX, Chocolatey, Intune LOB) und wählen das passende pro Anwendung. Bei spezialisierten Anwendungen — Geo-Informations-Software, Adobe-Suiten, branchen-spezifische Fachsoftware — haben wir die typischen Stolperfallen aus produktiver Erfahrung. Solvia liefert in Packaging-Mandaten auch einen Style-Guide (Namens-Konvention, Versionierung, Fehlerbehandlung, Logging), damit Ihr Team danach selbständig weiter-paketieren kann.

Application Control und Security Hardening. AppLocker und Windows Defender Application Control (WDAC) für Application Whitelisting, NTFS-ACL-Strukturen mit DENY-Default, BitLocker und TPM-Konfiguration, Standard-User-Setups ohne lokale Admin-Rechte, UEFI-Secure-Boot, gehärtete Browser-Konfigurationen via GPO.

Active Directory und Group Policy. OU-Strukturen, rollen-basierte Berechtigungen (RBAC), GPO-Design für Anwendungs-Verteilung, Drucker-Mapping, Folder-Redirection, Login-Skripte vs. GPO-Präferenzen, Geräte-Compliance über Group-Policy. Bei modernen Setups mit Entra ID (Azure AD): Conditional Access, Intune-Compliance-Policies, Hybrid-Join-Strategien.

Patch- und Update-Management. Windows Update for Business, WSUS, Intune-Update-Rings, LANDesk-Patch-Module, third-party Patch-Verteilung (Adobe, Java, Browser-Plugins). Inklusive Reboot-Orchestrierung, Maintenance-Windows-Definition und Rollback-Strategien.

MDM und RMM in der Solvia-Praxis. Wir betreiben in unserer eigenen MSP-Operation Atera als RMM-Plattform für über 250 Solvia-Kunden — mit eigener Atera-Bootstrap-Automatisierung und Fleet-Dashboard für Multi-Mandanten-Übersicht. Diese Tooling-Erfahrung übertragen wir auf Kunden-Setups (Atera, Intune, ggf. andere RMM-Plattformen je nach Vorlieben).

Eigener Software-Kiosk. Solvia hat einen eigenen Self-Service-Software-Kiosk entwickelt (/products/solvia-software-kiosk/) — eine WPF-UI plus Windows-Service-Architektur, mit der Standard-User kuratierte Software ohne lokale Admin-Rechte installieren können. Produktiv im Einsatz bei mehreren Solvia-Mandanten. Im Endpoint-Management-Kontext: Standard-Anwender installieren freigegebene Software selbst — ohne Helpdesk-Ticket und ohne lokale Admin-Rechte. Erfüllt die NIS2-Anforderung an restriktive Rechte-Vergabe. Self-hosted in der Schweiz.

So gehen wir vor

Jedes Engagement beginnt mit einem Endpoint-Audit: Was ist der aktuelle Stand des OS-Image-Engineerings? Wie werden Applications heute paketiert und verteilt? Welche Sicherheits-Policies (AppLocker, GPO, BitLocker) sind aktiv? Was läuft über welches Tool, was läuft manuell? Aus dem Audit entsteht eine Standortbestimmung mit klar identifizierten Hebeln.

Die Architektur-Phase definiert das Soll-Setup — welche Toolchain für OS-Deployment, welcher Package-Distribution-Mechanismus, welche AD-Struktur, welche MDM-Strategie. Bei Greenfield-Mandanten ist das ein Konzept-Dokument; bei Mandanten mit Tooling-Erbe ist es eine Migrations-Roadmap.

In der Implementierungs-Phase richten wir die Toolchain ein, bauen die Reference-Images, paketieren die ersten Anwendungen (oft 10–20 als initialer Schwung, dann inkrementell mehr), definieren die GPO-Strukturen und konfigurieren Patch-Rings. Eine Pilot-Phase mit 10–20 Test-Geräten geht jeder breiten Roll-out voraus.

Im Roll-out wickeln wir die produktive Migration in geplanten Wellen ab — typischerweise drei bis fünf Geräte-Gruppen über mehrere Wochen, mit Lessons-Learned-Schleifen zwischen den Wellen.

Im Regelbetrieb kann Solvia die Endpoint-Management-Operation weiterführen (Patch-Management, neue Apps paketieren, Lifecycle-Management) oder das Mandat an Ihr internes Team übergeben, mit dokumentierter Toolchain-Akte.

Eine Referenz im industriellen Massstab

Bei einem Schweizer Industrie-Mandanten lieferten wir über zwei bis drei Jahre den vollständigen Windows-Rollout. Eckdaten:

• Über 90 Arbeitsplätze auf HP-Notebook-Hardware
• Solvia-Verantwortung über die ganze Endpoint-Lifecycle-Kette: OS-Engineering, Treiber, BIOS, Anwendungs-Packaging, GPO-Design, Security-Hardening (AppLocker), Automatisierungs-Skripte
• Über 30 produktiv ausgerollte Anwendungen mit formalem Packaging-Style-Guide (Naming-Conventions, Bitness-Handling, Error-Handling, ECHO-Logging, scheduled-Task-Integration)
• LANDesk-Workshop für das Kunden-Team mit Architektur-Vereinfachung (Agenten-Anzahl halbiert) und Trennung der Roll-out-Stufen Provisioning / Pilot / Produktion
• VDI-Anbindung über vSphere/vCenter mit Session-Management
• AppLocker-Pilot mit mehrstufiger Berechtigungs-Strategie zur Verhinderung unerwünschter Software-Ausführung
• Pilot-Phase in zwei Wellen vor Roll-out-Beginn, vollständige Migration über mehrere Wochen

Daraus ergibt sich nicht nur ein Endpoint-Engineering-Track-Record, sondern eine Methodik, die wir auf KMU-Massstab konsequent verkleinern. Was wir bei 90 Notebooks gelernt haben, wenden wir bei 25 Notebooks an — ohne die Disziplin zu verlieren, aber ohne die Enterprise-Schwere zu importieren.

Was bei uns charakteristisch ist

LANDesk- und Ivanti-Expertise auf Workshop-Niveau. Wir haben LANDesk-Workshops für Kunden-Teams gegeben — Multi-Agent-Topologie, Batch-File-Deployment-Mechanik, Task-Status-Reporting, Patch-Module-Konfiguration. Diese Tiefe ist im Schweizer Markt selten ausserhalb der Ivanti-eigenen Beratungs-Netzwerke.

Multi-Toolchain-Strategie ohne Religionsstreit. Welche OSD-Toolchain für Ihre Umgebung die richtige ist, hängt von Ihrer Lizenz-Realität, Ihrer Bestandes-Infrastruktur und Ihrer Cloud-Bereitschaft ab — nicht von den Vorlieben des Anbieters. Wir setzen MDT, SCCM/MECM, Intune mit Autopilot und LANDesk produktiv ein und können zwischen den Stacks beraten.

Eigene Praxis als RMM-Anbieter. Wir betreiben Atera für über 250 Solvia-Kunden in eigener Operation — mit eigener Bootstrap-Automatisierung und Fleet-Dashboard. Diese Operations-Tiefe übertragen wir auf Kunden-RMM-Setups.

Eigener Software-Kiosk als Alternative zu kommerziellen Privilege-Elevation-Tools. Statt einer BeyondTrust- oder CyberArk-Lizenz mit Cloud-Lock-in: ein self-hosted Self-Service-Software-Katalog, der Anwender freigegebene Software ohne lokale Admin-Rechte installieren lässt. Reduziert Helpdesk-Aufwand spürbar.

Packaging-Style-Guides als Deliverable. Wir liefern in Packaging-Mandaten nicht nur die paketierten Anwendungen, sondern auch die Konventionen, mit denen Ihr Team danach selbständig weiter-paketieren kann — Naming, Versionierung, Error-Handling, Log-Konventionen, Test-Prozess.

Schweizer Standort, eigenes Team. Alle Endpoint-Engineering-Arbeit findet in der Schweiz statt. Sensible Image-Engineering- und Packaging-Daten verlassen nicht das Land.

Typische Mandate

Windows-Migration für einen Mittelständler

Ein Schweizer KMU mit 30–150 Arbeitsplätzen muss von einer älteren Image-Landschaft auf einen einheitlichen, aktuellen Windows-Stack migrieren. Solvia baut das Reference-Image, paketiert die produktiven Anwendungen, definiert die AD/GPO-Strukturen und begleitet den Roll-out in Pilot-Wellen.

Aufbau eines Packaging-Programms

Ein Unternehmen mit wachsendem Anwendungs-Portfolio braucht eine systematische Packaging-Disziplin statt manueller Installations-Prozeduren. Solvia richtet die Packaging-Toolchain ein, schreibt den Style-Guide, paketiert die ersten 10–20 Anwendungen produktiv und schult das interne Team auf die Selbst-Pflege.

Privilege-Elevation einführen ohne BeyondTrust

Ein Mandant will lokale Admin-Rechte für Standard-User abschaffen, ohne die teure BeyondTrust- oder CyberArk-Lizenz zu kaufen. Solvia richtet den eigenen Software-Kiosk als Self-Service-Plattform ein, kuratiert den Software-Katalog, integriert mit dem bestehenden Identity-Provider und schult das Helpdesk-Team.

AppLocker- oder WDAC-Einführung

Eine Organisation mit Compliance-Anforderungen (NIS2, FINMA-Operationelle-Risiken-Rundschreiben) braucht ein Application-Whitelisting-Setup. Solvia plant die Policy-Struktur, implementiert in Audit-Modus für eine Bewährungs-Phase, analysiert die Audit-Logs für Whitelisting-Lücken und wechselt anschliessend in den Enforce-Modus.

Migration von LANDesk zu Intune mit Autopilot

Ein bestehender LANDesk-Anwender will auf Microsoft Intune und Windows Autopilot wechseln — typisch im Rahmen einer breiteren M365-Modernisierung. Solvia analysiert die LANDesk-Packaging-Bibliothek, mapped sie auf Intune-LOB-Apps oder MSIX, baut die Autopilot-Profile auf und migriert die Geräte in Wellen.

Atera- oder RMM-Roll-out für einen MSP-Partner

Ein anderer MSP oder eine Inhouse-IT-Abteilung will Atera (oder ein vergleichbares RMM) für die Fleet-Verwaltung einführen. Solvia teilt unsere Atera-Bootstrap-Automatisierung, Multi-Mandanten-Setup-Erfahrung und Operations-Templates.

Häufige Fragen

LANDesk oder Intune — welches Tool sollen wir wählen?

Hängt vom Bestandes-Ökosystem ab. Wenn Sie bereits eine LANDesk-/Ivanti-Lizenz haben und das Tool stabil im Einsatz ist, gibt es selten Grund zu wechseln. Wenn Sie auf eine Cloud-First-Strategie mit M365 / Entra ID / Intune setzen, ist Intune mit Autopilot meist die natürlichere Wahl — besonders bei Greenfield-Mandanten. Beide Tools können wir produktiv begleiten.

MSIX, MSI oder Chocolatey für Application Packaging?

MSI bleibt der häufigste Stack für klassische Windows-Anwendungen. MSIX ist die moderne Antwort für neuere Anwendungen und Intune-LOB-Distribution. Chocolatey ist nützlich für DevOps-orientierte Teams und Open-Source-Tooling. Die meisten Mandate sind hybrid — wir mischen die Stacks nach Anwendungs-Realität, statt eine Religion zu pflegen.

Was ist mit BYOD-Setups?

Bring-your-own-Device-Setups arbeiten heute typisch mit Intune App Protection Policies (MAM ohne MDM), Entra ID Conditional Access und Web-zentriertem Anwendungs-Zugriff. Wir können diese Setups beraten und implementieren, sehen sie aber in Schweizer KMU eher als Ausnahme als Regel — die meisten Mandanten bevorzugen Corporate-managed Hardware.

Wie lange dauert ein Windows-Roll-out für 50–100 Geräte?

Reines Roll-out: drei bis sechs Wochen, abhängig von der Pilot-Strategie und der Anzahl der Migrations-Wellen. Vorgelagerte Phase (Image-Engineering, Packaging der wichtigsten Anwendungen, AD/GPO-Vorbereitung): typischerweise sechs bis zwölf Wochen vor dem ersten produktiven Roll-out.

Können wir nur das Packaging-Engineering beauftragen, ohne dass Solvia den OS-Roll-out macht?

Ja. Application-Packaging ist ein eigenständig buchbarer Service — wir paketieren auf Ihre Distribution-Plattform (LANDesk, Intune, SCCM, custom) und liefern den Style-Guide für die selbständige Weiter-Pflege.

Was kostet ein Endpoint-Management-Engagement?

Ein Audit + Architektur-Konzept liegt typischerweise im Bereich von einigen Tausend Franken. Ein vollständiges Windows-Roll-out-Programm für 50–100 Geräte je nach Komplexität zwischen einigen Zehntausend und etwas über hunderttausend Franken. Eine erste Indikation entsteht im Audit-Gespräch.

Verwandte Services

• IT-Betreuung — die Klammer-Seite, wenn Endpoint-Management Teil eines breiteren IT-Outsourcings sein soll.
• Managed IT — Server-, Netzwerk- und Infrastruktur-Betreuung als operative Klammer um die Endpoint-Plattform.
• ITSM, CMDB und ITIL — Endpoint-Daten sind eine der wichtigsten CMDB-Quellen; LANDesk- und Intune-Inventare feeden die CMDB.
• Cybersecurity — Endpoint-Hardening, Application Control und Patch-Disziplin sind die operativen Grundlagen jeder seriösen Security-Strategie.
• Microsoft 365 / Cloud — Intune und Autopilot sind tief mit dem M365- und Entra-ID-Stack verbunden.
• Solvia Software Kiosk — unser eigenes Self-Service-Software-Verteilungs-Produkt.