Windows 11 23H2: Die wichtigsten Neuerungen für professionelle Anwender

Viele der nun offiziell neuen Features wurden im Lauf der letzten Monate bereits von Microsoft vorgestellt und sind auf privaten Rechnern schon seit einiger Zeit verfügbar.

Einen ganzen Schwung davon gab es zuletzt mit dem September-Update. Dazu gehörten zusätzliche Optionen für die Authentifizierung und Firewall-Regeln sowie Windows 365 Boot. Hinzu kamen die Ankündigung von Dev Home und Dev Drive, einem für Developer-Aufgaben optimierten Laufwerk.

Integration von LAPS

Nachdem das neue LAPS vor rund einem Jahr in einer Preview von Windows 11 enthalten war, gehört es nun erstmals offiziell zum Lieferumfang des Betriebs­­systems. Die native Local Administrator Password Solution bringt einige interessante Verbesserungen, darunter die Verschlüsselung der im AD gespeicherten Passwörter, die Verwaltung des DSRM-Kontos oder ein automatischer Passwort-Reset nach einer definierbaren Frist.

Letzte Woche kam die Unterstützung für Entra ID hinzu, so dass sich lokale Admin-Kennwörter nun auch im Azure Active Directory speichern lassen. Die Verwaltung des Features, etwa das Abrufen von Passwörtern, erfolgt über das AAD-Portal, Intune oder mit PowerShell über das Graph API.

Gleichzeitig markierte Microsoft die bisherige Version von LAPS als veraltet und blockiert seine Installation auf neueren Versionen von Windows. Es ist in folgenden Ausführungen des OS enthalten:

• Windows 11 22H2 - April 11 2023 Update
• Windows 11 21H2 - April 11 2023 Update
• Windows 10 - April 11 2023 Update
• Windows Server 2022 - April 11 2023 Update
• Windows Server 2019 - April 11 2023 Update

Neue Optionen für die Authentifizierung

Mit der Einstellung EnablePasswordLessExperience kann die Authentifizierung via Passwort aus dem Anmelde­bildschirm entfernt werden, wenn die User statt­dessen Hello for Business oder FIDO2-Schlüssel verwenden. Voraussetzung, um diese Möglichkeit nutzen zu können, ist das Management der Rechner über die MDM-Schnittstellen, zum Beispiel mit Hilfe von Intune.

Passkeys

Neu ist zudem der Support auf OS-Ebene für Passkeys zur Anmeldung an Web-Diensten wie M365. Dabei handelt es sich um einen neuen Standard für die passwortlose Authentifizierung im Web.

Wenn sich ein Nutzer bei einem Online-Dienst anmeldet, dann erzeugt sein Gerät ein neues Schlüsselpaar. Der private Key wird sicher auf dem Gerät des Nutzers gespeichert, während der öffentliche Schlüssel bei dem Dienst registriert wird.

Um sich zu authentifizieren, muss das Gerät beweisen, dass es den privaten Schlüssel besitzt, indem es eine Challenge signiert. Die privaten Schlüssel können nur verwendet werden, nachdem sie vom Benutzer mit biometrischen Verfahren oder mittels PIN entsperrt wurden.

Web-Authentifizierung

Mit Windows 10 führte Microsoft die Web-Anmeldung ein. Diese war aber auf die Authentifizierung mittels Temporary Access Pass (TAP) beschränkt, ein zeitlich limitiertes Passwort.

Mit dem September-Update integrierte Microsoft auch neue Authentisierungs­methoden für die Web-Anmeldung mit Windows 11. Dazu zählen die Anmeldung mittels Microsoft Authenticator App oder mit einer föderierten SAML-P-Iden­tität.

Kiosk mit mehreren Apps

Der schon in Windows 8.1 verfügbare Kiosk-Modus reduziert einen Rechner auf die Verwendung einer einzigen Anwendung. Das kann zum Beispiel der Web-Browser sein, dessen Zugriff auf eine bestimmte Website beschränkt ist.

Der Multi-App-Kiosk erlaubt nun die Nutzung mehrerer Anwendungen, wobei diese über ein dafür angepasstes Startmenü zugänglich sind.

Declared Configuration Protokoll und Config Refresh

Windows 11 23H2 implementiert OMA-DM SyncML, um eine erwünschte Konfiguration in regel­mäßigen Intervallen wieder­herzustellen und zu verhindern, dass Rechner davon abweichen. Mit Hilfe eines MDM-Systems wie Intune lässt sich damit der Config Refresh realisieren.

Die in einem Profil definierten Richtlinien werden dann per Voreinstellung alle 90 Minuten angewandt, wahlweise kann man die Intervalle auf 30 Minuten reduzieren. Dafür müssen die Geräte nicht bei Intune einchecken.

Mit Config Refresh erreichen Admins einen ähnlichen Effekt wie beim Einsatz von GPOs, deren Policies von den Client Side Extensions ebenfalls alle 90 Minuten neu geladen werden.

Integration von Copilot

Microsoft integriert aktuell die von OpenAI stammenden KI-Funktionen unter der Bezeichnung Copilot in alle möglichen Produkte. So kündigte der Hersteller gerade die Verfügbarkeit von Copilot für Microsoft 365 an.

Windows 11 23H2 enthält eine Preview dieses Features. Es soll Benutzern künftig dabei helfen, das Betriebs­­system zu steuern oder Probleme zu beheben. In der EU ist Copilot vorerst aufgrund regulatorischer Vorgaben nicht an Bord.

Sonstige Neuerungen

Wie üblich, enthält das Upgrade eine Reihe kleinerer Änderungen, die aus der Sicht von Admins aber durchaus nützlich sein können. Dazu gehören:

• Neue Gruppenrichtlinien zur Konfiguration der Taskleiste: Damit lässt sich das Suchfeld anpassen sowie das Chat-Icon ausblenden;
• Der Datei-Explorer unterstützt neben ZIP nun auch andere Archivformate wie RAR, tar oder .tar.gz;
• Fünf Jahre, nachdem eine Windows-Preview den Explorer mit Unterstützung für Tabs enthielt, ist dieses Feature nun offiziell verfügbar;
• Der Task-Manager bietet nun die Möglichkeit zum Filtern von Prozessen und erlaubt das Wechseln des Themes.

Verfügbarkeit

Nachdem die zentralen Systemkomponenten von Windows 11 23H2 (auch als Windows 11 2023 Update bezeichnet) auf der gleichen Codebasis beruhen wie sein Vorgänger, erfolgt das Update wieder über ein so genanntes Enablement Package.

Dieses wird wie gewohnt über die verschiedenen Update-Kanäle verteilt, darunter WSUS und Windows Update for Business.

Der Support-Zeitraum für dieses Release beträgt erneut 24 Monate für die Home- und Pro-Edition sowie 36 Monate für die Enterprise- und Education-Variante.