Neue Sicherungsfunktionen für Windows im Unternehmenseinsatz

Funktionsumfang im Vergleich zu ESR

Windows Backup for Organizations übernimmt die Grundidee von ESR und weitet sie auf zahlreiche neue Bereiche der Windows-Konfiguration aus. Enterprise State Roaming (ESR) ist eine Funktion in Windows 10 und Windows 11, die Benutzereinstellungen über Geräte hinweg synchronisiert. Technisch basiert ESR auf der Cloud-Integration mit Microsoft Entra ID. Einstellungen wie Hintergrundbild, Sprache, Browser-Favoriten oder Kennwörter für WLAN und Webkonten werden verschlüsselt in der Microsoft-Cloud gespeichert und beim Anmelden auf anderen Entra-verbundenen Geräten automatisch wiederhergestellt.

Der Vorteil liegt darin, dass Nutzer unabhängig vom Gerät eine einheitliche Arbeitsumgebung vorfinden. ESR reduziert den Aufwand für IT-Abteilungen, da persönliche Konfigurationen nicht manuell migriert werden müssen. Einschränkungen bestehen jedoch, da ESR nur einen begrenzten Satz an Daten und Einstellungen abdeckt. Anwendungen, lokale Dateien oder komplexere Systemeinstellungen gehören nicht dazu.

In Unternehmensumgebungen lässt sich ESR über Intune- oder Gruppenrichtlinien steuern. Dabei kann granular festgelegt werden, ob auch Kennwörter oder nur visuelle und sprachbezogene Einstellungen synchronisiert werden sollen. ESR gilt damit als Vorgänger von Windows Backup for Organizations, das den Funktionsumfang deutlich erweitert. Gesichert werden Multi-Monitor-Layouts, Snap-Präferenzen, Benachrichtigungs- und DND-Regeln, Explorer-Optionen wie Dateiendungen, versteckte Dateien oder Papierkorb-Abfragen, Personalisierungen für Startmenü und Taskleiste sowie Barrierefreiheitsfunktionen wie Screenreader- und Tastatureinstellungen. Dazu kommt die Möglichkeit, die Liste installierter Microsoft-Store-Apps zu sichern und beim Restore im Startmenü wieder bereitzustellen.

Windows Backup for Organizations sichert längst nicht alles

Nicht enthalten sind auch hier Win32-Anwendungen, Office-Pakete oder klassische Line-of-Business-Software. Auch Dateien aus Dokumenten-, Bild- oder Download-Ordnern fehlen vollständig, sofern sie nicht über OneDrive KFM umgeleitet werden. OneDrive Known Folder Move (KFM) ist eine Funktion, mit der die Standardordner von Windows, Dokumente, Bilder, Desktop und je nach Konfiguration auch weitere, automatisch in OneDrive verschoben werden. Technisch bedeutet das, dass der lokale Speicherort dieser Ordner auf den Cloud-Speicher von OneDrive umgeleitet wird. Dateien, die ein Benutzer dort ablegt, werden mit der Cloud synchronisiert und sind damit auf jedem verbundenen Gerät verfügbar.

Administratoren können KFM über Intune oder Gruppenrichtlinien steuern. Sie können den Umzug verpflichtend erzwingen, freiwillig anbieten oder nur bestimmte Ordner einbeziehen. Zudem gibt es Richtlinien, um die Synchronisation auf bestimmte Netzwerke zu beschränken oder Bandbreitenlimits festzulegen. In der Praxis ergänzt OneDrive KFM Funktionen wie Windows Backup for Organizations, da es die Lücke bei Benutzerdateien schließt. Während Windows Backup nur Einstellungen und Store-App-Listen abdeckt, sorgt KFM dafür, dass Dokumente, Projekte oder Präsentationen ebenfalls nach einem Gerätewechsel sofort wieder bereitstehen.

Ohne Kombination von Windows Backup for Organizations und OneDrive KFM oder anderen Technologien entsteht eine Lücke zwischen der Erwartung vieler Nutzer, die beim Begriff Backup an eine vollständige Systemwiederherstellung denken, und der Realität einer selektiven Settings-Sicherung.

Systemanforderungen und technische Voraussetzungen

Für Backups werden Windows 10 Version 22H2 Build 19045.6216 oder neuer sowie Windows 11 ab Version 22H2 Build 22621.5768 unterstützt. Wiederherstellungen setzen Windows 11 voraus, ab Build 22621.3958. Zusätzlich müssen Geräte mit Microsoft Entra ID verbunden oder hybrid-joined sein. In Umgebungen mit Autopilot ist nur der nutzergetriebene Modus kompatibel, da der Anwender im OOBE-Prozess aktiv ein Backup auswählen muss.

Eine weitere Abhängigkeit liegt in den monatlichen Sicherheits-Updates. Die August- und Juli-Builds 2025 markieren die Mindestversionen, bei älteren Ständen muss die Richtlinie Install Windows quality updates im Enrollment Status Page von Intune aktiviert werden, damit vor Abschluss von OOBE notwendige Patches eingespielt werden. Nicht verfügbar ist die Funktion aktuell in GCC High, Sovereign Clouds oder in der China/21Vianet-Region, was multinationale Rollouts einschränkt.

Architektur und technischer Ablauf

Die Sicherung selbst basiert auf einem klassischen Scheduled Task im Pfad Microsoft → Windows → CloudRestore → Backup. Dieser läuft alle acht Tage oder bei manueller Auslösung über die Store-App Windows Backup. Im Hintergrund arbeitet die Bibliothek cloudrestore.dll, die die Richtlinieneinstellungen ausliest, Daten verarbeitet und in den Cloudstore hochlädt. Protokolliert wird der Ablauf im Eventlog Microsoft-Windows-CloudRestoreLauncher, mit Einträgen für BackupStarted, BackupCompleted oder PolicyDisabled.

Die Daten landen bei erfolgreichem Lauf auf enterprise.activity.windows.com. Administratoren können per Graph-API mit entsprechenden Berechtigungen (UserWindowsSettings.Read.All oder ReadWrite.All) Backups auslesen oder löschen.

Die Wiederherstellung erfolgt während OOBE. Nach Anmeldung mit Microsoft Entra ID erscheint eine Auswahlseite mit den vorhandenen Backups. Nutzer wählen entweder das letzte Backup oder ältere Einträge. Danach läuft OOBE regulär weiter und die gespeicherten Settings werden eingespielt. Auffällig ist die Sichtbarkeit dieses Schritts im Setup, während ESR seine Synchronisation erst nach Abschluss von OOBE still im Hintergrund auslöste.

Verwaltung über Intune, CSP und GPO

Für die Aktivierung gibt es Richtlinien in Active Directory über GPOs, Intune Settings Catalog oder als CSP. Die Schaltfläche Enable Windows Backup ist ADMX-basiert (SettingsSync.admx) und legt fest, ob die Funktion aktiv ist. Weitere Unteroptionen definieren, welche Settings-Kategorien gesichert werden. Intune bietet zusätzlich eine tenantweite Steuerung, die nötig ist, um die Restore-Option in OOBE freizuschalten. Diese Einstellung findet sich unter Devices > Enrollment > Windows Backup and Restore > Show restore page.

Der Rollout erfolgt stufenweise. In vielen Tenants tauchen die Optionen verzögert auf, wodurch Admins vorübergehend auf Custom CSP-Policies ausweichen müssen. Für das Löschen oder Exportieren von Daten gilt derselbe Weg über Intune oder Graph-API.

Einschränkungen durch Conditional Access und MFA

Organisationen mit strengen Conditional-Access-Regeln müssen Anpassungen vornehmen. Wird dem Microsoft-Dienst mit App-ID d32c68ad-72d2-4acb-a0c7-46bb2cf93873 kein Zugriff gewährt, scheitert die Wiederherstellung trotz erfolgreicher Anmeldung. Ebenso kann Phishing Resistant MFA (PRMFA) den Restore im OOBE blockieren, vor allem in virtuellen Maschinen unter Hyper-V. Microsoft empfiehlt in diesen Fällen Temporary Access Pass (TAP) als Umgehung.

Praxisprobleme und Stolperfallen

Die Bezeichnung Windows Backup führt leicht zu Missverständnissen. Nutzer erwarten oft eine Komplettsicherung, die Dokumente, Programme und Konfigurationen gleichermaßen umfasst. In der Realität beschränkt sich die Funktion auf Settings und Store-App-Listen. Unternehmen sollten deshalb parallel OneDrive KFM für Ordnerumleitungen und Intune-App-Deployment einsetzen, um vollständige Benutzerzustände wiederherzustellen. Auch Drittanbietertools können dabei eine Rolle spielen, um Win32-Anwendungen nach OOBE automatisch neu zu verteilen.

Ein weiteres praktisches Problem betrifft die Store-Integration. Viele Unternehmen blockieren den Store aus Sicherheits- oder Governance-Gründen, während Windows Backup genau auf diese Quelle zurückgreift. Das führt zu widersprüchlichen Policies und muss in der Migrationsplanung berücksichtigt werden.

Zudem zeigte sich beim initialen Rollout im Sommer 2025 eine Störanfälligkeit durch Zero-Day-Patches. Ein ZDP, das die Restore-Seite aktivieren sollte, verursachte Blockaden bei Autopilot (Identifying…) und Fehler bei BitLocker-Policies. Microsoft zog das Update zurück, bestätigte den Fehler im Service Health Dashboard und lieferte nachgebesserte Builds aus.

Fazit

Windows Backup for Organizations ist kein vollwertiges Backup-System, sondern ein erweiterter Settings-Sync mit stärkerer Sichtbarkeit und administrativer Steuerung. Für Migrationen von Windows 10 auf Windows 11 oder bei Geräteerneuerungen erleichtert es den Prozess und reduziert den Aufwand für Helpdesks, da Benutzer ihre gewohnten Einstellungen zurückbekommen. Die Grenzen sind jedoch klar: ohne ergänzende Werkzeuge für Dateien und Anwendungen entsteht kein vollständiges Wiederherstellungsszenario.

Die praktische Stärke liegt daher in der Kombination: Windows Backup für Settings, OneDrive KFM für Dateien, Intune-Deployment oder Drittanbieterlösungen für Win32-Apps. Nur so entsteht die vollständige Kontinuität, die viele Anwender vom Begriff Backup erwarten.