Windows Backup for Organizations

Was das neue Microsoft-Feature wirklich leistet – Funktionen, Einrichtung, Grenzen und Praxisfazit

Mit Windows Backup for Organizations liefert Microsoft seit Ende August 2025 ein neues Werkzeug, das Unternehmen beim Gerätewechsel, beim Reset und beim Windows-10-zu-Windows-11-Umstieg entlasten soll. Der Clou: Gesichert werden nicht komplette Images oder Benutzerdateien, sondern Windows-Einstellungen sowie optional die Liste der installierten Microsoft-Store-Apps. Diese lassen sich beim nächsten Geräte-Setup direkt in der OOBE (Out-of-Box-Experience) wiederherstellen, sodass Nutzer nach der ersten Anmeldung eine vertraute Arbeitsumgebung vorfinden – schneller als mit klassischen Migrationspfaden und mit weniger Helpdesk-Aufwand. Wichtig ist allerdings die klare Einordnung: Es handelt sich nicht um ein vollwertiges Datensicherungsprodukt, sondern um ein Einstellungs-Backup für Microsoft-Entra-Konten in verwalteten Umgebungen. Microsoft hat die allgemeine Verfügbarkeit (GA) am 26. August 2025 bekannt gegeben; parallel bestätigten Fachmedien die Ausrichtung als Einstellungs- und App-Listen-Backup, nicht als Dateisicherung.

Was Windows Backup for Organizations genau sichert – und was nicht

Der Funktionsumfang zielt klar auf „Erlebnis-Kontinuität“: Gesichert werden Betriebssystem-Einstellungen in zahlreichen Kategorien – von Anzeige, Benachrichtigungen, Multitasking/Snap-Layouts und virtuellen Desktops über Maus/Touchpad-Verhalten, Taskleisten- und Start-Layout-Präferenzen bis hin zu Datei-Explorer-Optionen (Dateiendungen anzeigen, versteckte Dateien, Pfad in Titelleiste, Papierkorb-Dialog u. a.). Auch Gaming-Shortcuts und diverse Accessibility-Optionen gehören dazu. Zusätzlich kann – mandantenweit steuerbar – die Liste der Microsoft-Store-Apps gesichert und beim Wiederherstellen in das Startmenü zurückgebracht werden. Nicht gesichert werden hingegen Win32-Anwendungen und deren Zustand, Benutzerdateien (Dokumente, Bilder, Desktop, Downloads etc.), Windows-Update-Einstellungen, WLAN-Profile/Passwörter sowie Sprachwörterbücher. Diese Abgrenzung entspricht im Detail der offiziellen Einstellungen-Matrix („Settings Catalog“) und deckt sich mit der Produktbeschreibung zur GA.

Wiederherstellung: Wie der Restore in der Praxis abläuft

Die Wiederherstellung erfolgt während der OOBE auf einem Microsoft-Entra-beigetretenen Windows-11-Gerät. Nach der Anmeldung mit demselben Arbeits- oder Schulkonto erkennt Windows Backup for Organizations vorhandene Sicherungen und bietet an, die passende „Backup-Profil“-Instanz auszuwählen; optional zeigt „Weitere Optionen“ zusätzliche Geräte-Backups an. Nach Abschluss der OOBE werden die gesicherten Präferenzen automatisch angewandt, und – sofern konfiguriert – erscheint die zuvor gesicherte Store-App-Liste im Startmenü, von wo aus der Nutzer die Apps komfortabel (re)installieren kann. Der Ablauf ist bewusst schlank gehalten, um Rollouts, Geräteerneuerungen oder Break-Fix-Szenarien zu beschleunigen.

Wichtig: Windows Backup ist kein Ersatz für Dateisicherung oder Imaging

Der Name führt leicht in die Irre: Das Tool ersetzt weder Image-Backups (Bare-Metal-Recovery) noch Datei-Backups noch DR-Strategien. Es ist der moderne Nachfolger resp. die Weiterentwicklung des bekannten Einstellungs-Roamings – ergänzt um die Store-App-Liste – und soll primär den Nutzerzustand schnell „wiederherstellbar“ machen. Branchenberichte und How-Tos betonen ausdrücklich diese Grenze und empfehlen, das Feature mit OneDrive Known Folder Move (KFM) für Benutzerdateien, App-Deployment via Intune/WinGet und bestehenden Backuplösungen zu kombinieren.

Voraussetzungen, Versionen und Support-Matrix

Für die Sicherung genügt ein unterstütztes Windows 10/11 mit Microsoft-Entra-Beitritt (auch Hybrid Join) – für die Wiederherstellung ist jedoch Windows 11 (22H2 oder neuer) und Entra-Join Pflicht. Microsoft nennt darüber hinaus konkrete Mindestbuilds (u. a. 22621.3958/22631.3958 bzw. 26100.1301 für Windows 11), empfiehlt bei älteren Images die OOBE-Option „Qualitätsupdates installieren“ und weist auf eine standardmäßig deaktivierte Wiederherstellungsrichtlinie hin, die vorab durch IT aktiviert werden muss. Backups laufen automatisch alle acht Tage über eine geplante Aufgabe; Anwender können zusätzlich manuell im „Windows Backup“-Applet anstoßen. Regionale Einschränkungen (z. B. keine Sovereign Clouds) sowie Stolpersteine rund um Conditional-Access/PRMFA während OOBE sind in der Doku aufgeführt.

Einrichtung mit Microsoft Intune: Schritt für Schritt

Die Aktivierung erfolgt zweistufig: Zuerst wird die Sicherung via Settings Catalog Policy („Enable Windows Backup“) für Zielgruppen aktiviert. Danach schaltet man mandantenweit im Intune-Bereich „Devices → Enrollment → Windows → Windows Backup and Restore“ die Restore-Seite auf „On“, damit die OOBE-Wiederherstellung greift. Wichtig: Die Mandanten-Restore-Einstellung wirkt nur zur Enrollment-Zeit und ist generell „Alles-oder-nichts“ – sie lässt sich nicht auf Teilgruppen beschränken. Je nach Rolloutstand kann die UI zeitversetzt erscheinen; bis dahin sind CSP-Policies als Workaround möglich.

Policy-Details (CSP/GPO) für Automatisierung und Fallbacks

Microsoft dokumentiert sowohl CSP-OMA-URIs als auch GPO-Pfade für die Sicherungsseite. So aktiviert man die Sicherung per CSP mit ./Device/Vendor/MSFT/Policy/Config/SettingsSync/EnableWindowsbackup (Wert <enabled/>), per GPO unter Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Sync your settings → Enable Windows Backup. Die Wiederherstellung (OOBE-Seite) lässt sich per CSP ./Device/Vendor/MSFT/WindowsBackupAndRestore/EnableWindowsRestore (Boolean True) anstoßen; eine GPO-Option dafür gibt es nicht.

Vergleich zu Enterprise State Roaming (ESR): Evolution statt 1:1-Rebranding

In der Praxis fühlt sich Windows Backup for Organizations wie „ESR 2.0“ an – mit moderner Oberfläche und breiterer Abdeckung von Systemeinstellungen. Während ESR klassisch Personalisierung, einige Netzwerkeinstellungen und App-State synchronisierte, erweitert das neue Feature u. a. Multimonitor-Verhalten, Snap-Layouts, umfangreiche Benachrichtigungs-/DND-Regeln sowie tiefe Datei-Explorer-Optionen. Externe Analysen zeigen, dass sich viele Schalter nahezu 1:1 mit der Settings-Catalog-Tabelle abbilden lassen, die im Detail ausweist, welche Einstellungen wirklich gesichert werden. Gleichzeitig bleibt die zentrale Einschränkung: keine Benutzerdateien, keine Win32-Apps.

Grenzen, bekannte Probleme und Sicherheitsaspekte

Neben der fehlenden Datei-/Image-Sicherung sind aus Admin-Sicht vor allem diese Punkte relevant: Wiederherstellung ausschließlich auf Entra-beigetretenen Windows-11-Geräten während OOBE; keine Unterstützung für bestimmte Bereitstellungsmethoden (etwa Autopilot Self-Deploying/Pre-Provisioned, manuelle Geräteeinbindung, GPO-/Co-Management-Enrollment); keine Unterstützung für geteilte/„userless“-Geräte; potenzielle Interferenzen durch Conditional-Access-Richtlinien (es sind Ausnahmen für die Restore-App-IDs nötig) sowie Hürden bei PRMFA in VMs (Hyper-V). Auf Mandantenebene lassen sich Backups zentral abschalten und per Graph-API einsehen/exportieren/löschen.

Einordnung zum Windows-10-Lebensende: Warum das Timing passt

Windows 10 erreicht am 14. Oktober 2025 das Supportende; Microsoft empfiehlt die Migration auf Windows 11 oder – wenn nötig – die Absicherung über das ESU-Programm. Genau in diesem Spannungsfeld will Windows Backup for Organizations Friktion im Wechsel reduzieren: Einstellungen und Start-App-Erlebnis sind sofort wieder an Bord, während Daten- und App-Bereitstellung parallel laufen. Für große Flotten kann dieser Baustein spürbar Aufwand reduzieren – er ersetzt aber nicht die übrige Migrations- und Backup-Planung.

Stimmen aus der Praxis und erste Erfahrungsberichte

Frühe Admin-Rückmeldungen betonen den Mehrwert für schnellere OOBE-Übergänge, verweisen aber auch auf Erwartungen und Grenzen: Diskussionen drehen sich um die Abgrenzung zu ESR, um vermeintlich „nicht anwendbare“ Win-10-Clients bei Policy-Zuweisungen sowie um die Tatsache, dass Store-App-Listen nicht mit Win32-App-Deployments zu verwechseln sind. Tech-Medien kritisieren zudem die potenziell missverständliche Produktbezeichnung („Backup“), loben aber die spürbare Beschleunigung beim Gerätewechsel. Die Quintessenz: Wer die Grenzen transparent kommuniziert und die richtigen Komplementärbausteine nutzt, spart Zeit und Tickets.

Best-Practices-Checkliste für den Rollout

Starten Sie mit einem kurzen, aber zielgerichteten Pilot: Mindestens ein vollständiger Zyklus Backup → Wipe/Reimage → OOBE-Restore auf repräsentativer Hardware, inklusive Überprüfung von Autopilot (user-driven) und Conditional-Access-Ausnahmen. Koppeln Sie Windows Backup for Organizations mit OneDrive KFM für Benutzerdateien, mit Intune/WinGet für App-Bereitstellung sowie mit Ihrer etablierten Datensicherung (z. B. Microsoft 365-Backup bzw. Drittanbieter-Lösungen). Dokumentieren Sie genau, welche Einstellungen vom Settings-Katalog umfasst sind, und planen Sie Kommunikationsbausteine für Anwender („Was kommt zurück, was nicht?“). Während der Einführung behalten Sie Event-Logs und den geplanten Task im Blick und halten Sie für VM-Szenarien einen Temporary Access Pass bereit, falls PRMFA in OOBE blockiert. So wird aus dem „Einstellungs-Backup“ ein belastbarer Migrationsbeschleuniger, ohne Sicherheits- oder Compliance-Ziele zu kompromittieren.

Fazit: Ein starker Beschleuniger – mit klarer Aufgabe im Werkzeugkasten

Windows Backup for Organizations trifft einen wichtigen Need im Jahr 2025: den massenhaften, möglichst reibungsarmen Sprung von Windows 10 auf Windows 11 und die effiziente Wiederinbetriebnahme von Geräten nach Reset oder Tausch. Wer das Feature als das nutzt, was es ist – ein Cloud-gestütztes Einstellungs- und Store-App-Listen-Backup mit OOBE-Restore – profitiert von weniger Reibung, weniger Nacharbeit und mehr Nutzerzufriedenheit. Wer hingegen eine Komplettsicherung erwartet, wird enttäuscht. Die beste Strategie ist daher die Kombination: Windows-Einstellungen via Windows Backup, Dateien via OneDrive KFM/klassische Backups, Anwendungen via Intune/WinGet, Notfallwiederherstellung via Imaging. So fügt sich das neue Microsoft-Feature sinnvoll in bestehende Endpoint-Management- und Datensicherungs-Konzepte ein.

Kurzanleitung: Befehle und Pfade für Policies

# CSP (MDM) ./Device/Vendor/MSFT/Policy/Config/SettingsSync/EnableWindowsbackup &lt;enabled/&gt; ./Device/Vendor/MSFT/WindowsBackupAndRestore/EnableWindowsRestore True
GPO (Sicherung aktivieren)

Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Sync your settings → Enable Windows Backup = Enabled