Microsoft 365 Apps Deployment Microsoft 365 Apps Deployment

Administrationsreferenz für Click-to-Run, Office Deployment Tool, Intune, ConfigMgr, Cloud Update, Servicing Profiles, Office LTSC, Makrosicherheit, Cloud Policy Service und Datenschutzsteuerung von Microsoft 365 Apps. Administrative reference for Click-to-Run, Office Deployment Tool, Intune, ConfigMgr, Cloud Update, servicing profiles, Office LTSC, macro security, Cloud Policy Service, and privacy governance for Microsoft 365 Apps.

C2R

Installationsmodell Installation model

ODT

Tiefste Steuerung Deepest control

Cloud Update

Servicing Servicing

SCA

Lizenzmodus Licensing mode

Microsoft 365 Apps ist ein Servicing-Produkt Microsoft 365 Apps is a servicing product

Die eigentliche Herausforderung ist nicht die Erstinstallation, sondern die dauerhafte Beherrschung von Updatekanälen, Add-ins, Makros, Datenschutz, Richtlinien und Supportfenstern. Ein statischer 'Office-Rollout' reicht in modernen Umgebungen nicht mehr aus. The real challenge is not initial installation but sustained control of update channels, add-ins, macros, privacy, policies, and support windows. A static 'Office rollout' is no longer enough in modern environments.

ODT und Richtlinien nur im Zielbild kombinieren Combine ODT and policies only in the target design

Viele Probleme entstehen aus gemischten Steuerwegen: lokale GPO, ConfigMgr, Intune, OfficeCSP, Cloud Policy und manuell gesetzte Registry-Werte widersprechen sich. Dokumentieren Sie pro Einstellungsbereich genau eine führende Steuerquelle. Many problems come from mixed control paths: local GPO, ConfigMgr, Intune, Office CSP, Cloud Policy, and manually written registry values contradict each other. Document exactly one authoritative control source per settings area.

Bereitstellungsmodell Deployment model

Click-to-Run, Update-Topologie und Betriebsprinzipien. Click-to-Run, update topology, and operational principles.

Kanäle & Lizenzen Channels & licensing

Current, Monthly Enterprise, Semi-Annual, LTSC, SCA und device-based licensing. Current, Monthly Enterprise, Semi-Annual, LTSC, SCA, and device-based licensing.

Technische Deep Dives Technical deep dives

ODT, Intune, ConfigMgr, Cloud Update, Servicing Profiles, LTSC und Makros. ODT, Intune, ConfigMgr, Cloud Update, servicing profiles, LTSC, and macros.

Richtlinien Policies

Cloud Policy Service, ADMX, Intune und Datenschutzoptionen. Cloud Policy Service, ADMX, Intune, and privacy settings.

Automation Automation

ODT-Automation, XML, Registry, Scripts und Wartungsbefehle. ODT automation, XML, registry, scripts, and servicing commands.

Betrieb Operations

Update-Steuerung, Rollback, Add-in-Readiness und Monitoring. Update governance, rollback, add-in readiness, and monitoring.

Architektur und Betriebsmodell Architecture and operating model

Copilot-, Viva- und M365-Dienste wirken nur dann stabil, wenn Architektur, Datenpfade, Berechtigungen und Betriebsrollen zusammen geplant werden. Die folgenden Tabellen fokussieren die technische Wirklichkeit hinter der Produktverpackung. Copilot, Viva, and Microsoft 365 services remain stable only when architecture, data paths, permissions, and operating roles are planned together. The following tables focus on the technical reality behind the product packaging.

Diese Referenz priorisiert Admin-, Security- und Integrationsperspektiven. Sie ist deshalb näher am Microsoft-Learn-Betriebshandbuch als an Marketing- oder Endanwenderdokumentation. This reference prioritizes the admin, security, and integration perspective. It is therefore closer to an operational Microsoft Learn playbook than to marketing or end-user documentation.

Aspekt Aspect	Details Details
Grundmodell Base model	Microsoft 365 Apps wird fast immer per Click-to-Run verteilt. Es ist kein klassisches MSI-Lebenszyklusmodell mehr, sondern ein kontinuierlich aktualisierter Client mit kanalbasierter Wartung. Microsoft 365 Apps is almost always delivered through Click-to-Run. It is no longer a classic MSI lifecycle but a continuously updated client with channel-based servicing.
Steuerwege Control paths	Die häufigsten Steuerwege sind ODT, Intune, ConfigMgr, Cloud Update, Office Cloud Policy Service und ADMX/Gruppenrichtlinien. Die Kunst ist die konsistente Kombination. The most common control paths are ODT, Intune, ConfigMgr, Cloud Update, Office Cloud Policy Service, and ADMX or Group Policy. The art is combining them consistently.
Updatekanäle Update channels	Current Channel liefert die schnellsten Features, Monthly Enterprise ist für breite Informationsarbeiter oft der Standard, Semi-Annual bleibt für stark regulierte oder konservative Umgebungen relevant, LTSC ist bewusst statisch. Current Channel delivers features fastest, Monthly Enterprise is often the standard for broad information worker populations, Semi-Annual remains relevant for highly regulated or conservative environments, and LTSC is intentionally static.
Sicherheitsfokus Security focus	Makros, Add-ins, vertrauenswürdige Speicherorte, ASR-Regeln, geschützte Ansicht und Signierung sind für Office-Härtung genauso wichtig wie Patchstand und Lizenzierung. Macros, add-ins, trusted locations, attack surface reduction, protected view, and signing are as important for Office hardening as patch level and licensing.
Betriebsdaten Operational telemetry	Servicing Profiles, Apps health, Intune Reports und Readiness Toolkit helfen bei Kompatibilitäts- und Stabilitätsproblemen. Ohne Telemetrie bleibt Office-Betrieb reaktiv. Servicing profiles, Apps health, Intune reports, and the Readiness Toolkit help with compatibility and stability issues. Without telemetry, Office operations stay reactive.
Datenschutz Privacy	Connected Experiences, optionale verbundene Erfahrungen, Diagnosedaten und Such-/Onlinefunktionen müssen mit Security, Compliance und Betriebsrat abgestimmt werden. Connected experiences, optional connected experiences, diagnostic data, and search or online features must be aligned with security, compliance, and labor councils.

Lizenzierung und Voraussetzungen Licensing and prerequisites

Bereich Area	Leitlinie Guidance
Microsoft 365 Apps for enterprise Microsoft 365 Apps for enterprise	Voller Office-Client mit kanalbasiertem Update- und Featuremodell. Standard für Enterprise-Suites. Full Office client with channel-based updates and feature model. Standard for enterprise suites.
Microsoft 365 Apps for business Microsoft 365 Apps for business	Ähnliches Click-to-Run-Modell, aber mit kleinerem Zielmarkt und geringerer Funktionsbreite im Enterprise-Kontext. Similar Click-to-Run model, but aimed at a smaller market and with reduced breadth in enterprise scenarios.
Shared Computer Activation Shared computer activation	Für AVD, RDS, Windows 365, Frontline-Geräte oder gemeinsam genutzte Kiosk-/Lab-Szenarien. Benutzeraktivierung statt Geräteaktivierung. For AVD, RDS, Windows 365, frontline devices, or shared kiosk or lab scenarios. User activation rather than device activation.
Device-based licensing Device-based licensing	Nützlich für gemeinsam genutzte Geräte in Bildungs- oder Spezialumgebungen. Lizenz hängt am Gerät, nicht primär am Benutzer. Useful for shared devices in education or specialized environments. The license attaches to the device rather than primarily to the user.
Office LTSC Office LTSC	Statische, volumenlizenzierte Office-Version mit längerem Support, aber ohne laufende Cloud-Feature-Entwicklung. Geeignet nur für klar abgegrenzte Sonderfälle. Static, volume-licensed Office version with longer support but without ongoing cloud feature development. Suitable only for well-defined exception cases.
Updatekanalwahl Update channel selection	Kanalwahl ist eine Betriebsentscheidung, keine reine Technikentscheidung. Sie beeinflusst Testaufwand, Add-in-Kompatibilität, Supportgeschwindigkeit und Endanwendererlebnis. Channel selection is an operational decision, not merely a technical one. It affects test effort, add-in compatibility, support speed, and user experience.

Deep Dive nach Funktionsbereich Deep dive by capability

Click-to-Run und Kanalstrategie Click-to-Run and channel strategy

Click-to-Run ist das Streaming- und Update-Modell für moderne Office-Clients. Es entscheidet über Installationsquellen, Featuretempo, Patchzyklen und die Lebensfähigkeit von Rollback-Strategien. Click-to-Run is the streaming and update model for modern Office clients. It determines installation sources, feature velocity, patch cadence, and the viability of rollback strategies.

Architekturhinweis Architecture note

Ein einziger globaler Kanal für alle Geräte ist meist entweder zu riskant oder zu langsam. A single global channel for every device is usually either too risky or too slow.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins legen Channel, SourcePath, Office CDN-Nutzung, lokale Quellpfade und Updateverhalten über ODT, Intune, ConfigMgr oder Cloud Update fest. Admins define the channel, source path, Office CDN usage, local source paths, and update behavior through ODT, Intune, ConfigMgr, or Cloud Update.
Integration Integration	C2R integriert sich mit Delivery Optimization, Office CDN, lokalen Verteilpunkten, Intune und ConfigMgr. Es ist die Grundlage für nahezu jede andere Bereitstellungslogik. Click-to-Run integrates with Delivery Optimization, the Office CDN, local distribution points, Intune, and ConfigMgr. It is the foundation for almost every other deployment model.
Daten & Compliance Data & compliance	Programmdateien und Update-Cache liegen lokal; Telemetrie und Aktivierung laufen gegen Microsoft-365-Dienste. Compliance betrifft insbesondere Installationsquellen, Telemetrie und Lizenzmodus. Program files and update caches are local; telemetry and activation talk to Microsoft 365 services. Compliance primarily concerns update sources, telemetry, and licensing mode.
Automation Automation	Automation erfolgt über ODT, OfficeC2RClient, Intune Win32/Apps, ConfigMgr-ADRs und Cloud-Update-Profile. Die Wahl des Kanals sollte skript- und reportfähig dokumentiert werden. Automation happens through ODT, OfficeC2RClient, Intune Win32 apps, ConfigMgr ADRs, and Cloud Update profiles. Channel selection should be scriptable and reportable.
Lizenzierung Licensing	Alle modernen M365-Apps-SKUs nutzen C2R; Kanalwahl ist davon unabhängig. All modern Microsoft 365 Apps SKUs use Click-to-Run; channel choice is independent of the SKU.
Betriebsfokus Operational focus	Pflegen Sie Ring-Modelle mit Pilot, First Broad und Broad. Nur so lassen sich Add-in-Risiken und Security-Patches gleichzeitig beherrschen. Maintain ring models such as pilot, first broad, and broad. That is the only way to balance add-in risk with security patch velocity.

Current Channel ist sinnvoll für frühe Feature-Adoption, aber teuer im Testaufwand. Current Channel is useful for early feature adoption, but costly in validation effort.
Monthly Enterprise ist häufig der beste Kompromiss für Knowledge Worker. Monthly Enterprise is often the best compromise for knowledge workers.
Semi-Annual Enterprise ist eine Ausnahme- und nicht mehr die Standardempfehlung für alle. Semi-Annual Enterprise is an exception path rather than the default for everybody.
Rollback ist möglich, sollte aber als Ausnahme und nicht als Betriebsnorm gelten. Rollback is possible, but should be treated as an exception rather than a normal operating mode.

Office Deployment Tool Office Deployment Tool

ODT bleibt das präziseste Werkzeug für Installations- und Updateparameter. Add, Remove, Updates, Display, Logging und Property-Elemente definieren den Office-Zielzustand. ODT remains the most precise tool for installation and update parameters. Add, Remove, Updates, Display, Logging, and Property elements define the Office target state.

Architekturhinweis Architecture note

Unklare XML-Dateien mit historischen Restparametern verursachen jahrelange Betriebsfehler. Unclear XML files with historical leftover parameters cause years of operational drift.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	ODT wird typischerweise in Paketierung, ConfigMgr, Intune Win32, Autopilot-Post-Provisioning oder Images verwendet. Das configuration.xml ist die zentrale Wahrheit. ODT is typically used in packaging, ConfigMgr, Intune Win32, Autopilot post-provisioning, or image engineering. configuration.xml is the source of truth.
Integration Integration	ODT arbeitet direkt auf C2R-Logik und kann Produkt-ID, Sprache, Apps, Kanal, Quellenpfad, Aktivierungsmodell und Benutzererlebnis festlegen. ODT works directly against Click-to-Run logic and can define product IDs, languages, apps, channels, source path, activation model, and user experience.
Daten & Compliance Data & compliance	Die XML-Datei ist Konfiguration und Audit-Artefakt zugleich. Änderungen sollten versioniert, getestet und pro Ring freigegeben werden. The XML file is both configuration and audit artifact. Changes should be versioned, tested, and approved by ring.
Automation Automation	Scripts können XML generieren, validieren und mit setup.exe /download oder /configure aufrufen. Das macht ODT ideal für reproduzierbare Build- und Packaging-Pipelines. Scripts can generate, validate, and call XML via setup.exe /download or /configure. That makes ODT ideal for reproducible build and packaging pipelines.
Lizenzierung Licensing	Lizenzierung folgt dem gewählten Produkt im XML, etwa Microsoft 365 Apps oder LTSC. Licensing follows the product selected in the XML, such as Microsoft 365 Apps or LTSC.
Betriebsfokus Operational focus	Versionieren Sie jede XML-Änderung, dokumentieren Sie Properties und halten Sie pro Szenario eigene Vorlagen bereit: Standard, SCA, Frontline, Kiosk, LTSC oder Pilot. Version every XML change, document each property, and keep separate templates for standard, SCA, frontline, kiosk, LTSC, or pilot scenarios.

Nutzen Sie getrennte XML-Vorlagen pro Ring und Gerätetyp. Use separate XML templates per ring and device type.
Dokumentieren Sie Product IDs, ExcludeApps und Property-Werte zentral. Document product IDs, ExcludeApps, and property values centrally.
Vermeiden Sie manuelle Registry-Hotfixes, wenn ODT den gleichen Zustand sauber abbilden kann. Avoid manual registry hotfixes when ODT can express the same state cleanly.
Verwenden Sie /download nur dort, wo lokaler Cache oder interne Distribution wirklich Mehrwert bringt. Use /download only where a local cache or internal distribution actually provides value.

Intune-Deployment Intune deployment

Intune liefert Cloud-native Bereitstellung, Konfiguration, Richtlinien und Reporting für Microsoft 365 Apps. Es eignet sich besonders für moderne Windows- und macOS-Flotten. Intune provides cloud-native deployment, configuration, policies, and reporting for Microsoft 365 Apps. It is especially suited to modern Windows and macOS fleets.

Architekturhinweis Architecture note

Hybride Doppelsteuerung ist die häufigste Ursache für nicht nachvollziehbares Office-Verhalten. Hybrid double governance is the most common cause of non-deterministic Office behavior.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins arbeiten mit Microsoft-365-Apps-App-Typ, Win32-Paketen, Settings Catalog, Administrative Templates, Office-Cloud-Policy-Assignments und Compliance-Richtlinien. Admins work with the Microsoft 365 Apps app type, Win32 packages, settings catalog, administrative templates, Office Cloud Policy assignments, and compliance policies.
Integration Integration	Intune integriert sich mit Entra-Gruppen, Autopilot, Compliance, Windows Update for Business und dem Apps-Health-/Endpoint-Analytics-Umfeld. Intune integrates with Entra groups, Autopilot, compliance, Windows Update for Business, and the Apps health or Endpoint Analytics ecosystem.
Daten & Compliance Data & compliance	Die Steuerung ist cloudbasiert; relevante Artefakte sind App-Zuweisungen, Richtlinien, Detection-Regeln und Berichte. Datenschutz betrifft Telemetrie und Cloud-Richtlinien. Control is cloud-based; the relevant artifacts are app assignments, policies, detection rules, and reports. Privacy concerns include telemetry and cloud policy usage.
Automation Automation	Automation erfolgt über Intune Graph, PowerShell, Export-/Importprofile und DevOps-gestützte Policy-Bereitstellung. Automation is delivered through Intune Graph, PowerShell, export or import profiles, and DevOps-backed policy deployment.
Lizenzierung Licensing	Lizenzierung erfordert Intune-/M365-Komponenten und die passende Office-Lizenz. Licensing requires Intune or Microsoft 365 capabilities plus the appropriate Office license.
Betriebsfokus Operational focus	Nutzen Sie Intune bevorzugt dort, wo Geräte cloud-verwaltet sind. Vermeiden Sie parallele lokale GPO-Steuerung für dieselben Office-Einstellungen. Prefer Intune where devices are cloud-managed. Avoid parallel on-premises GPO control for the same Office settings.

Verwenden Sie den nativen M365-Apps-App-Typ für Standardfälle. Use the native Microsoft 365 Apps app type for standard scenarios.
Nutzen Sie Win32 nur dann, wenn ODT-Sonderlogik oder Vor-/Nachscripts nötig sind. Use Win32 only when you need special ODT logic or pre/post scripts.
Office-Richtlinien im Settings Catalog und Cloud Policy Service müssen sauber abgegrenzt werden. Office settings in the settings catalog and in Cloud Policy Service must be clearly separated.
Endpoint Analytics und App-Health-Daten sollten in den Office-Supportprozess einfließen. Endpoint Analytics and app health data should feed the Office support process.

ConfigMgr / SCCM ConfigMgr / SCCM

ConfigMgr bleibt relevant für große, stark kontrollierte Umgebungen mit Verteilpunkten, Wartungsfenstern und tiefer Softwareverteilung. Für Office bietet es robuste Paketierung und Servicing-Steuerung. ConfigMgr remains relevant for large, tightly controlled environments with distribution points, maintenance windows, and deep software distribution. For Office it offers robust packaging and servicing control.

Architekturhinweis Architecture note

Co-Management ohne eindeutige Verantwortlichkeit für Office-Workloads erzeugt Rollenkonflikte und Supportchaos. Co-management without explicit ownership for Office workloads creates role conflicts and support chaos.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins steuern Anwendungen, Deployments, ADRs, Distribution Points, Detection und Compliance-Baselines. Office kann nativ oder über ODT-Pakete gesteuert werden. Admins manage applications, deployments, ADRs, distribution points, detection logic, and compliance baselines. Office can be managed natively or through ODT packages.
Integration Integration	ConfigMgr integriert sich mit Co-Management, Intune und lokalen Content-Quellen. Es ist ideal, wenn Bandbreite, Wartungsfenster und Ringe lokal fein gesteuert werden müssen. ConfigMgr integrates with co-management, Intune, and local content sources. It is ideal when bandwidth, maintenance windows, and local rings must be tightly controlled.
Daten & Compliance Data & compliance	Lokale Paketquellen und Verteilpunkte können Datenschutz- oder Netzwerkanforderungen besser abdecken als reine CDN-Nutzung, erhöhen aber Betriebsaufwand. Local package sources and distribution points can better satisfy privacy or network requirements than pure CDN usage, but they increase operational overhead.
Automation Automation	Automation nutzt PowerShell, Anwendungsvorlagen, ADRs und paketierte ODT-Workflows. Koexistenz mit Intune braucht klare Workload-Trennung. Automation uses PowerShell, application templates, ADRs, and packaged ODT workflows. Coexistence with Intune needs clear workload separation.
Lizenzierung Licensing	Lizenzierung hängt an Office selbst; ConfigMgr ist nur Bereitstellungsplattform. Licensing attaches to Office itself; ConfigMgr is only the deployment platform.
Betriebsfokus Operational focus	Setzen Sie ConfigMgr dort ein, wo lokales Kontrollniveau wirklich gebraucht wird. Ansonsten ist der Cloud-native Weg einfacher und nachhaltiger. Use ConfigMgr where a strong local control plane is truly needed. Otherwise the cloud-native path is simpler and more sustainable.

Definieren Sie, ob Updates aus DP, Peer Cache oder CDN bezogen werden. Define whether updates come from distribution points, peer cache, or the CDN.
Nutzen Sie Wartungsfenster gezielt für sensible Produktionsgeräte. Use maintenance windows deliberately for sensitive production devices.
Vermeiden Sie konkurrierende Channel-Steuerung durch Intune und ConfigMgr. Avoid competing channel governance from Intune and ConfigMgr.
Office-Pakete gehören in dieselbe Change- und Release-Disziplin wie OS-Patches. Office packages belong in the same change and release discipline as OS patches.

Cloud Update und Servicing Profiles Cloud Update and servicing profiles

Cloud Update und Servicing Profiles bringen Update-Orchestrierung, Deadline-Steuerung, Inventarisierung und Einblicke in die Realität der Office-Flotte. Sie schließen die Lücke zwischen 'konfiguriert' und 'tatsächlich gepatcht'. Cloud Update and servicing profiles bring update orchestration, deadline control, inventory, and insight into the actual Office fleet. They close the gap between 'configured' and 'actually patched'.

Architekturhinweis Architecture note

Ohne Verantwortliche für Updateausreißer werden Dashboards schnell zu toten Berichten. Without accountable owners for update outliers, dashboards quickly become dead reports.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins definieren Profile, Wellen, Ausschlussfenster, Deadlines, Rollback-Entscheidungen und Monitoring. Cloud Update ist ein Betriebswerkzeug, nicht nur ein Komfortfeature. Admins define profiles, waves, exclusion windows, deadlines, rollback decisions, and monitoring. Cloud Update is an operational tool, not just a convenience feature.
Integration Integration	Die Daten kommen aus den Office-Clients und dem Cloud-Dienst. Zusammen mit Apps Health entsteht ein viel klareres Bild über Kompatibilität und Updateverzug. The data comes from the Office clients and the cloud service. Together with Apps health it creates a much clearer picture of compatibility and update lag.
Daten & Compliance Data & compliance	Betriebsrelevant sind Inventar, Status, Kanal, Versionsdrift und Deferrals. Datenschutz betrifft vor allem Telemetrieverständnis und Meldeketten. Operationally relevant are inventory, status, channel, version drift, and deferrals. Privacy concerns mainly relate to telemetry understanding and reporting lines.
Automation Automation	Automation ist teils portalgesteuert, teils scriptgestützt über Report-Exporte und Kanaländerungen via ODT oder Managementsysteme. Automation is partly portal-driven and partly script-assisted through report exports and channel changes via ODT or management tools.
Lizenzierung Licensing	Lizenzierung folgt Microsoft 365 Apps; Cloud Update selbst ist eine Verwaltungsfunktion der Plattform. Licensing follows Microsoft 365 Apps; Cloud Update itself is a platform management function.
Betriebsfokus Operational focus	Nutzen Sie Profile nach Persona oder Kritikalität, nicht nur nach Geografie. Technische Homogenität ist oft wichtiger als Standort. Use profiles by persona or criticality, not only by geography. Technical homogeneity is often more important than location.

Definieren Sie Deadlines mit Augenmaß, damit Sicherheitsdruck nicht in Massensupport kippt. Define deadlines carefully so security urgency does not turn into mass support incidents.
Nutzen Sie Exclusion Windows für kritische Abschlussperioden oder saisonale Peaks. Use exclusion windows for financial close periods or seasonal peaks.
Messen Sie nicht nur Compliance, sondern auch Update-Gesundheit und Add-in-Stabilität. Measure not only compliance but also update health and add-in stability.
Servicing Profiles funktionieren am besten mit klaren Ring-Definitionen. Servicing profiles work best with clearly defined rings.

Office LTSC Office LTSC

Office LTSC ist die statische Alternative zu Microsoft 365 Apps. Es eignet sich für isolierte, langzyklische, stark validierte oder regulierte Systeme, nicht als generelles Standardprodukt. Office LTSC is the static alternative to Microsoft 365 Apps. It fits isolated, long-cycle, heavily validated, or regulated systems, not a general enterprise default.

Architekturhinweis Architecture note

Wenn LTSC zum Bequemlichkeitsstandard wird, verlieren Sie Innovation, Supporteinfachheit und viele moderne Sicherheits- oder Produktivitätsvorteile. If LTSC becomes the comfort default, you lose innovation, support simplicity, and many modern security or productivity benefits.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins verwalten Volumenlizenzierung, Aktivierung, Sicherheitsupdates, ODT-Produkt-IDs und die Trennung zu M365-Apps-Geräten. Admins manage volume licensing, activation, ODT product IDs, security updates, and separation from Microsoft 365 Apps devices.
Integration Integration	LTSC integriert sich nur begrenzt in moderne Microsoft-365-Featureentwicklung. Viele Cloud-Innovationen und Copilot-nahe Funktionen erscheinen dort gar nicht oder verspätet. LTSC integrates only partially into modern Microsoft 365 feature innovation. Many cloud innovations and Copilot-adjacent features never arrive there or arrive much later.
Daten & Compliance Data & compliance	Daten- und Compliance-Regeln bleiben wie bei Office-Dateien bestehen, aber das Featureprofil ist konservativer. Data and compliance rules remain like any Office documents, but the feature set is deliberately conservative.
Automation Automation	Automation läuft dennoch über ODT, Volumenaktivierung und klassische Clientverwaltung. LTSC sollte in eigener Betriebsdokumentation geführt werden. Automation still runs through ODT, volume activation, and classic client management. LTSC should live in separate operating documentation.
Lizenzierung Licensing	Erfordert separate LTSC-Lizenz bzw. Volumenlizenzrechte. Requires separate LTSC licensing or volume license entitlements.
Betriebsfokus Operational focus	Nutzen Sie LTSC nur mit dokumentierter Ausnahmebegründung und Sunset-Strategie zurück in moderne Clients. Use LTSC only with a documented exception rationale and a sunset path back to modern clients.

Dokumentieren Sie den fachlichen Grund für jeden LTSC-Einsatz. Document the business reason for every LTSC deployment.
Trennen Sie LTSC klar in Inventar, Richtlinien und Supportprozess. Separate LTSC clearly in inventory, policies, and support processes.
Vermeiden Sie gemischte Paketvorlagen für LTSC und M365 Apps. Avoid mixed package templates for LTSC and Microsoft 365 Apps.
Planen Sie frühzeitig die Rückmigration, sobald das Sonderkriterium entfällt. Plan the return migration early once the exception criterion ends.

Makrosicherheit und Add-in-Readiness Macro security and add-in readiness

Makrosicherheit ist eine der wichtigsten Office-Härtungsdomänen. VBA-Blockierung, vertrauenswürdige Herausgeber, Trusted Locations, Signierung und ASR-Regeln bestimmen das Risiko erheblich. Macro security is one of the most important Office hardening domains. VBA blocking, trusted publishers, trusted locations, signing, and attack surface reduction heavily influence risk.

Architekturhinweis Architecture note

Trusted Locations als pauschales Heilmittel sind fast immer eine Sicherheitsverschlechterung. Using trusted locations as a blanket workaround is almost always a security regression.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins steuern Makro-Policies per ADMX, Intune, Cloud Policy, Defender ASR und teilweise Dateifreigaberegeln. Add-ins brauchen zusätzlich Inventar, Kompatibilitätsprüfung und Lifecycle. Admins govern macro policies through ADMX, Intune, Cloud Policy, Defender ASR, and sometimes file-sharing rules. Add-ins additionally need inventory, compatibility validation, and lifecycle control.
Integration Integration	Makros und Add-ins hängen an Office-Anwendungen, Dateispeichern, Signaturinfrastruktur und Benutzerrechten. Das Thema ist deshalb zugleich Endpoint-, Identity- und Productivity-Governance. Macros and add-ins depend on Office apps, file storage, certificate infrastructure, and user rights. The topic is therefore both endpoint, identity, and productivity governance.
Daten & Compliance Data & compliance	Compliance betrifft Schadcodeprävention, Nachvollziehbarkeit von Signierungen und die Behandlung geschäftskritischer Altmakros. Compliance concerns malware prevention, traceability of code signing, and treatment of business-critical legacy macros.
Automation Automation	Automation umfasst Readiness Toolkit, Inventar, Registry-/Policy-Deployment, Zertifikatsverteilung und kontrollierte Ausnahmelisten. Automation includes the Readiness Toolkit, inventory, registry or policy deployment, certificate distribution, and controlled exception lists.
Lizenzierung Licensing	Lizenzierung ist meist kein Engpass; Governance und Sicherheitskontrollen sind der Engpass. Licensing is rarely the bottleneck; governance and security controls are.
Betriebsfokus Operational focus	Führen Sie Makro-Ausnahmen nur über signierte, dokumentierte und befristete Prozesse ein. Sonst verlieren Blockierungsrichtlinien ihren Wert. Introduce macro exceptions only through signed, documented, and time-bound processes. Otherwise blocking policies lose their value.

Starten Sie mit 'Makros aus dem Internet blockieren' als Grundschutz. Start with 'block macros from the internet' as a baseline control.
Verlangen Sie Code Signing für verbleibende geschäftskritische VBA-Lösungen. Require code signing for remaining business-critical VBA solutions.
Nutzen Sie Readiness Toolkit, um problematische Add-ins und Makros vor Kanalwechseln zu erkennen. Use the Readiness Toolkit to identify problematic add-ins and macros before channel changes.
Behandeln Sie Office-Add-ins wie Anwendungen mit Owner, Release und Support. Treat Office add-ins like applications with an owner, release process, and support path.

Cloud Policy Service, ADMX und Datenschutz Cloud Policy Service, ADMX, and privacy

Office-Richtlinien lassen sich heute über ADMX, Intune Administrative Templates, Settings Catalog und den Office Cloud Policy Service verteilen. Datenschutzoptionen sind Teil derselben Steuerdomäne. Office policies can now be delivered through ADMX, Intune administrative templates, the settings catalog, and the Office Cloud Policy Service. Privacy options belong to the same control domain.

Architekturhinweis Architecture note

Ohne Policy-Architektur wächst Office-Konfiguration zu einem unprüfbaren Mischzustand an. Without a policy architecture, Office configuration grows into an un-auditable mixed state.

Eigenschaft Property	Beschreibung Description
Adminoberfläche Admin surface	Admins müssen entscheiden, welche Richtlinien benutzerbasiert aus der Cloud kommen und welche gerätebasiert lokal verankert bleiben. Verbundene Erfahrungen, Diagnosedaten, Such- und KI-Funktionen gehören in dieselbe Governance. Admins must decide which policies come from the cloud on a user basis and which remain device-based and local. Connected experiences, diagnostic data, search, and AI options belong in the same governance scope.
Integration Integration	Cloud Policy eignet sich besonders für benutzerbezogene Office-Einstellungen über mehrere Geräte hinweg. ADMX/GPO bleibt relevant für harte Geräteeinstellungen und Legacy-Szenarien. Cloud Policy is particularly effective for user-based Office settings across multiple devices. ADMX or GPO remains relevant for strict device settings and legacy scenarios.
Daten & Compliance Data & compliance	Datenschutz ist nicht nur eine Dialogboxfrage: Die Kombination aus Diagnosedaten, verbundenen Erfahrungen, Onlinevorlagen und Suchfunktionen definiert den Informationsfluss des Clients. Privacy is not just a dialog-box question: the combination of diagnostic data, connected experiences, online templates, and search features defines the client's information flow.
Automation Automation	Automation nutzt Policy-Profile, Exporte, dokumentierte Policy-Baselines und tenantweite Governance-Richtlinien. Automation uses policy profiles, exports, documented baselines, and tenant-wide governance standards.
Lizenzierung Licensing	Keine eigene Zusatzlizenz, aber häufig Abhängigkeit zu Intune-/M365-Managementfähigkeiten. No separate add-on license, but often dependent on Intune or Microsoft 365 management capabilities.
Betriebsfokus Operational focus	Bilden Sie eine referenzierte Policy-Baseline und trennen Sie Gerät, Benutzer, Security und UX bewusst voneinander. Build a referenced policy baseline and consciously separate device, user, security, and UX concerns.

Dokumentieren Sie je Einstellung die führende Quelle: GPO, Intune, Cloud Policy oder ODT. Document the authoritative source for each setting: GPO, Intune, Cloud Policy, or ODT.
Prüfen Sie Diagnosedaten und Connected Experiences gemeinsam mit Security und Compliance. Review diagnostic data and connected experiences together with security and compliance.
Nutzen Sie Cloud Policy für benutzernahe Office-UX-Einstellungen über mehrere Geräte. Use Cloud Policy for user-centric Office UX settings across multiple devices.
Behandeln Sie Office-Privacy als Teil der generellen M365-Data-Governance. Treat Office privacy as part of broader Microsoft 365 data governance.

Administration und Governance Administration and governance

Admin-Thema Admin topic	Umsetzung Implementation
Updatekanäle Update channels	Dokumentieren Sie Zielkanal, Pilotkanal, Deferrals, Rollback-Entscheidungen und Add-in-Testzyklus für jede Persona. Document the target channel, pilot channel, deferrals, rollback decisions, and add-in validation cycle for every persona.
ODT-Elemente ODT elements	Add, Remove, Updates, Display, Logging, Property, Language, ExcludeApp, Product, RemoveMSI und Version gehören in das standardisierte XML-Repository. Add, Remove, Updates, Display, Logging, Property, Language, ExcludeApp, Product, RemoveMSI, and Version should live in a standardized XML repository.
Cloud Update Cloud Update	Nutzen Sie Service Profile, Deadlines, Exclusion Windows und Rollout-Ringe. Ein Profil ohne Verantwortlichen ist nur Dekoration. Use service profiles, deadlines, exclusion windows, and rollout rings. A profile without an accountable owner is decoration.
Add-ins und Makros Add-ins and macros	Pflegen Sie Inventar, Kritikalität, Signaturstatus und getestete Office-Versionen. Diese Daten entscheiden über Kanalfähigkeit. Maintain inventory, criticality, signature status, and tested Office versions. These data points determine channel eligibility.
Datenschutz Privacy	Connected Experiences, optionale Dienste und Diagnosedaten müssen als freigegebene Unternehmensbaseline vorliegen. Connected experiences, optional services, and diagnostic data should exist as an approved enterprise baseline.
Berichte Reports	Apps Health, Intune Reports, Servicing Profiles und Supporttickets sollten in einer gemeinsamen Office-Operations-Sicht zusammenlaufen. Apps Health, Intune reports, servicing profiles, and support tickets should converge in a shared Office operations view.

API, Graph und PowerShell API, Graph, and PowerShell

Schnittstelle Interface	Praxis Practice
OfficeC2RClient OfficeC2RClient	Lokale Befehle wie /update user oder Channel-Wechsel unterstützen Wartung und Troubleshooting. Local commands such as /update user or channel changes support maintenance and troubleshooting.
ODT XML ODT XML	XML ist die wichtigste deklarative Automatisierungsoberfläche für Produkt, Sprache, Apps, Kanal, SCA und UI-Verhalten. XML is the primary declarative automation surface for product, language, apps, channel, SCA, and UI behavior.
Intune Graph Intune Graph	Intune liefert Export-/Import- und Reporting-APIs für Apps und Richtlinien. Intune provides export, import, and reporting APIs for apps and policies.
ConfigMgr PowerShell ConfigMgr PowerShell	Package- und Deployment-Automation bleibt in stark kontrollierten Umgebungen relevant. Package and deployment automation remains relevant in tightly controlled environments.
Readiness Toolkit Readiness Toolkit	Das Toolkit ist kein Live-Service, aber ein zentrales Hilfsmittel zur Vorabprüfung von Makros und Add-ins. The toolkit is not a live service, but it is a central aid for pre-validating macros and add-ins.
Cloud Policy Cloud Policy	Die Richtlinienoberfläche ist stärker portalgetrieben; Automatisierung entsteht häufig durch dokumentierte Baselines und Export/Import-Prozesse. The policy surface is more portal-driven; automation often emerges through documented baselines and export or import processes.

PowerShell PowerShell


$xml = @"
<Configuration>
  <Add OfficeClientEdition="64" Channel="MonthlyEnterprise">
    <Product ID="O365ProPlusRetail">
      <Language ID="de-de" />
      <Language ID="en-us" />
      <ExcludeApp ID="Publisher" />
    </Product>
  </Add>
  <Updates Enabled="TRUE" Channel="MonthlyEnterprise" />
  <Property Name="SharedComputerLicensing" Value="0" />
  <RemoveMSI />
</Configuration>
"@
$xml | Set-Content -Path .\configuration.xml -Encoding UTF8

XML XML


<Configuration>
  <Add OfficeClientEdition="64" Channel="Current" SourcePath="\\fs01\office$">
    <Product ID="O365ProPlusRetail">
      <Language ID="de-de" />
      <ExcludeApp ID="Teams" />
    </Product>
  </Add>
  <Updates Enabled="TRUE" Channel="Current" />
  <Display Level="None" AcceptEULA="TRUE" />
  <Logging Level="Standard" Path="%temp%" />
  <Property Name="FORCEAPPSHUTDOWN" Value="TRUE" />
</Configuration>

PowerShell PowerShell


& "$Env:ProgramFiles\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe" `
    /changesetting Channel=MonthlyEnterprise
& "$Env:ProgramFiles\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe" `
    /update user displaylevel=false forceappshutdown=true

Betrieb, Rollout und Troubleshooting Operations, rollout, and troubleshooting

Client- und Ringstrategie definieren Define client and ring strategy

Ordnen Sie Personas und Gerätegruppen den richtigen Updatekanälen zu. Pilot, First Broad und Broad sollten fachlich und add-in-seitig nachvollziehbar sein. Map personas and device groups to the right update channels. Pilot, first broad, and broad rings should make sense from both business and add-in perspectives.

ODT- und Richtlinien-Repository etablieren Establish an ODT and policy repository

Versionieren Sie configuration.xml, Richtlinienbaseline, ExcludeApps, Sprachpakete und Ausnahmedokumentation. Ohne Repository wird Office-Betrieb historisch und inkonsistent. Version configuration.xml, policy baselines, ExcludeApps, language packs, and exception documentation. Without a repository, Office operations become historical and inconsistent.

Readiness und Add-ins testen Validate readiness and add-ins

Prüfen Sie Makros, COM/VSTO-Add-ins, Office.js-Integrationen und kritische Vorlagen vor jeder Kanaländerung. Nicht getestete Add-ins diktieren sonst das Servicing. Validate macros, COM or VSTO add-ins, Office.js integrations, and critical templates before every channel change. Untested add-ins will otherwise dictate your servicing model.

Monitoring und Rollback definieren Define monitoring and rollback

Legen Sie fest, wann Versionen gestoppt, ausgesetzt oder zurückgerollt werden und wer diese Entscheidung trifft. Technik allein löst keine Eskalation. Define when versions are stopped, paused, or rolled back and who makes those decisions. Technology alone does not resolve escalation.

Datenschutz und UX abstimmen Align privacy and UX

Connected Experiences, Onlinevorlagen, Diagnosedaten und KI-nahe Funktionen müssen mit Security, Compliance und Mitarbeitervertretung freigegeben sein. Connected experiences, online templates, diagnostic data, and AI-adjacent features must be approved with security, compliance, and employee representation.

Office aktualisiert nicht wie erwartet Office does not update as expected

Prüfen Sie Channel-Wert, Update-Quelle, OfficeC2RClient-Status, konkurrierende Richtlinien und ob Intune, ConfigMgr oder Cloud Update denselben Parameter überschreiben. Check the channel value, update source, OfficeC2RClient status, competing policies, and whether Intune, ConfigMgr, or Cloud Update is overwriting the same parameter.

Makros funktionieren nach Kanalwechsel nicht mehr Macros break after a channel change

Validieren Sie Signierung, Trusted Locations, ASR-Regeln und VBE-Kompatibilität. Häufig ist nicht die Office-Version, sondern härtere Sicherheitssteuerung der Auslöser. Validate signing, trusted locations, ASR rules, and VBE compatibility. The trigger is often not the Office version, but stronger security governance.

Intune und GPO liefern widersprüchliche Ergebnisse Intune and GPO deliver contradictory results

Vergleichen Sie die tatsächliche Richtlinienquelle je Einstellung und entfernen Sie doppelte Steuerpfade. Office verhält sich deterministisch, wenn Sie die Quellen deterministisch machen. Compare the actual policy source per setting and remove duplicated control paths. Office behaves deterministically when you make the sources deterministic.

LTSC und M365 Apps werden vermischt LTSC and Microsoft 365 Apps are mixed

Inventarisieren Sie Product IDs, Aktivierungsmodell und Paketquellen. Getrennte ODT-Vorlagen und getrennte Sammlungen verhindern Fehlbereitstellungen. Inventory product IDs, activation model, and package sources. Separate ODT templates and separate collections prevent deployment mistakes.

Grenzen, Quoten und Realitätscheck Limits, quotas, and reality check

Thema Topic	Bedeutung Meaning
Current Channel Current Channel	Schnellstes Featuretempo, aber höchste Testdynamik. Fastest feature velocity, but highest validation cadence.
Monthly Enterprise Monthly Enterprise	Guter Standardkanal für breite Benutzerpopulationen mit kontrollierbarer Taktung. Good standard channel for broad user populations with manageable cadence.
Semi-Annual Semi-Annual	Nützlich für Ausnahmen, aber weniger attraktiv für moderne Feature- und Security-Geschwindigkeit. Useful for exceptions, but less attractive for modern feature and security velocity.
LTSC LTSC	Stabile Ausnahmeplattform, aber ohne kontinuierliche Cloud-Innovation. Stable exception platform, but without continuous cloud innovation.
SCA SCA	Erfordert korrektes Benutzer- und Aktivierungsmodell auf gemeinsam genutzten Geräten. Requires the correct user and activation model on shared devices.
Policy-Mix Policy mix	Zu viele gleichzeitige Steuerquellen machen selbst korrekte Einstellungen faktisch unbeherrschbar. Too many concurrent control sources make even correct settings practically unmanageable.

Empfohlene Betriebsprinzipien Recommended operating principles

Führen Sie Office als eigenes Servicing-Produkt mit Ringmodell. Run Office as its own servicing product with a ring model.
Versionieren Sie ODT-XML und Richtlinien wie Code. Version ODT XML and policy baselines like code.
Nutzen Sie Readiness Toolkit und Telemetrie vor jeder Kanalentscheidung. Use the Readiness Toolkit and telemetry before every channel decision.
Trennen Sie Standard, Ausnahme, LTSC und SCA sauber in Packaging und Dokumentation. Separate standard, exception, LTSC, and SCA clearly in packaging and documentation.
Definieren Sie je Richtlinie genau eine führende Steuerquelle. Define exactly one authoritative source per policy.
Makroausnahmen nur signiert, dokumentiert und befristet zulassen. Allow macro exceptions only when signed, documented, and time-bound.
Cloud Update und Apps Health gehören in den Standard-Supportprozess. Cloud Update and Apps health belong in the standard support process.
Office-Datenschutz ist Teil der M365-Governance, nicht nur eine lokale Clientoption. Office privacy is part of Microsoft 365 governance, not just a local client option.

Begriffsreferenz Glossary

Begriff Term	Einordnung Meaning
Click-to-Run Click-to-Run	Streaming- und Update-Engine für moderne Office-Clients. Streaming and update engine for modern Office clients.
ODT ODT	Office Deployment Tool mit XML-basierter Konfiguration. Office Deployment Tool with XML-based configuration.
Monthly Enterprise Monthly Enterprise	Monatlicher Enterprise-Kanal mit kontrollierterem Featuretempo. Monthly enterprise channel with controlled feature cadence.
SCA SCA	Shared Computer Activation für gemeinsam genutzte Geräte oder VDI. Shared Computer Activation for shared devices or VDI.
Servicing Profile Servicing profile	Cloud-gesteuerte Office-Updategruppe mit Deadline- und Inventarlogik. Cloud-governed Office update group with deadline and inventory logic.
Cloud Policy Service Cloud Policy Service	Benutzerbasierte Cloud-Richtlinienverteilung für Office-Einstellungen. User-based cloud policy distribution for Office settings.
RemoveMSI RemoveMSI	ODT-Element zum Entfernen alter MSI-basierter Office-Installationen. ODT element used to remove legacy MSI-based Office installations.
Trusted Location Trusted location	Als vertrauenswürdig markierter Speicherpfad für Makro- oder Add-in-Logik. Storage path marked trusted for macro or add-in logic.
ASR ASR	Attack Surface Reduction zur Härtung von Office und Dateiverhalten. Attack Surface Reduction used to harden Office and file behavior.
Apps Health Apps health	Berichts- und Problemansicht für Stabilität, Abstürze und Add-in-Effekte. Reporting and issue view for stability, crashes, and add-in impact.