Windows Updates mit Microsoft Intune: Ein wichtiger Bereich im Mobile Device Management für Windows Clients ist, dass Windows Update Verhalten festzulegen und zu steuern.
Wie Ihr das mit Microsoft Intune realisieren könnt, zeige ich Euch in diesem Blog Beitrag.
Wie kann ich Windows Updates mit Intune steuern?
Innerhalb von Microsoft Intune gibt es die Windows 10-Updateringe.
In der Verwaltung mit Microsoft Intune arbeiten wir immer wieder mit einzelnen Profilen, in denen die entsprechenden Einstellungen und Konfigurationen vorgenommen werden.
Das Grundprinzip baut darauf, dass ein Profil angelegt wird, welches dann eine Konfiguration beinhaltet und entsprechend auf eine Benutzer- oder Geräte-Gruppe (alternativ können auch alle Benutzer und Geräte ausgewählt werden) zugewiesen wird.
Somit ergibt sich folgendes Konzept:
Profil > Konfiguration > Zuweisung > Synchronisation des Endgerät > Anwendung auf dem Client
Windows Updates mit Microsoft Intune: Bilderserie zur Einrichtung der Windows 10-Updateringe
Im ersten Schritt wählen wir im Microsoft Endpoint Manager Admin Center die Windows 10-Updateringe aus:
Innerhalb der Updateringe erstellen wir ein neues Profil:
Hinweis zu den Update Profilen
Es ist empfehlenswert in der Planung der Update-Ringe mit mehreren Profilen zu arbeiten. Den halbjährlichen Kanal können wir für die produktive Umgebung nutzen, während die Windows-Insider Updates für Test-Geräte, die IT-Abteilung oder dedizierte Fachbereiche genutzt werden kann.
Zweck dahinter ist es zu verhindern, dass ein Windows Update ein oder mehrere Windows Clients lahmlegt und den direkten Betrieb beeinträchtigt.
Nachdem wir einen Namen für das Profil angegeben haben, können als die Einstellungen vorgenommen werden. In diesem Beispiel arbeite ich mit einem Profil, welches auf die Produktivumgebung angewendet werden soll.
Folgende Einstellungen können wir setzen:
Wartungskanal
- Halbjährlicher Kanal: Dabei bekommt der Nutzer lediglich alle sechs Monate (Januar und Juli) Updates. Diese Variante ist als die „stabilste“ zu betrachten, da Updates bereits durch die anderen Varianten getestet worden sind.
- Halbjährlicher Kanal (gezielt): Aktuell nur für Windows Version 1809 und früher verfügbar und somit zumeist nicht mehr relevant
- Windows Insider (schnell): Erhalt aller neuen Updates, ohne das diese im großen Maße seitens Microsoft getestet wurden.
- Windows Insider (langsam): Nachdem Updates innerhalb von Microsoft erste Test durchlaufen sind, werden diese über diesen Update-Kanal bereitgestellt
- Windows Insider - Releasevorschau: Monatliche Updates, die Teilweise auch in produktiven Umgebungen genutzt werden können. Beinhaltet Security- und Bug-Fixes. Wenn man am Windows Insider Programm teilnehmen möchte, wäre dieser Kanal der stabilste.
Treiber und Produktupdates
- Hier kann festgelegt werden, ob Windows Treiber- und Produktupdates auch über die Windows Update Ringe gesteuert werden sollen
Rückstellungszeiträume
- Für Qualitäts- und Funktionsupdates können wir einen Rückstellungszeitraum von 30 Tagen festlegen, bevor eine neue Version auch auf unserem Windows Client installiert wird. Dies ist besonders beim halbjährlichen Kanal und für produktive Umgebungen interessant.
- Bei der Deinstallation von Featureupdates können wir sogar auf bis zu 60 Tage setzen, bevor alte Feature-Dateien vom Client entfernt werden.
Einstellungen zur Benutzeroberfläche
- Hiermit kann zunächst festgelegt werden, wie die Updates auf den Clients installiert werden. In dieser Option legen wir fest, ob eine reine Downloadbenachrichtigung stattfinden soll, eine Installation außerhalb der Nutzungszeit oder ob auch ein Neustart erzwungen wird.
Neustartüberprüfungen
- Mit der Aktivierung der Neustartüberprüfung legen wir fest, ob folgende Bedingungen bestätigt sind, bevor ein automatischer Neustart durchgeführt wird: Akkustand = 40 %, Benutzeranwesenheit, Anzeige erforderlich, Präsentationsmodus, Vollbildmodus, Telefonanrufstatus, Spielmodus usw.
Optionen zum Neustart
- Es kann festgelegt werden, ob es dem Nutzer möglich sein soll, selbst aktiv nach Updates zu suchen oder die Suche eben auch zu deaktivieren.
- Warnungshinweise für einen Neustart in Stunden (mögliche Werte: 2, 4, 8, 12 oder 24) und auch unmittelbar in Minuten (mögliche Werte: 15, 30 oder 60) können ebenfalls definiert werden
- Auch die Art der Benachrichtigungen kann definiert werden: Sollen die Standard Windows-Update Benachrichtigungen angewendet werden oder ist eine benutzerdefinierte Einstellung gewünscht.
Stichtagseinstellungen
- Im letzten Bereich der Windows Updates legen wir fest, wie lange (wenn überhaupt) Updates durch den Nutzer verschoben werden können. Bei Feature- und Qualitätsupdates sind es jeweils 30 Tage.
- Ergänzend kann auch noch eine Karenzzeit von maximal 7 Tagen eingerichtet werden
Windows Updates mit Microsoft Intune: Zuweisung und Verwaltung
Nachdem die Einstellungen festgelegt sind, wird das Profil auf eine Gruppe zugewiesen.
Nach kurzer Synchronisation wird das angewendete Profil auch auf dem Windows Gerät angezeigt und kann vom IT-Administrator im Endpoint Manager weiter verwaltet werden. Im Intune Portal kann der Update Ring gelöscht, gestartet oder auch zurückgesetzt werden:
Ansicht der Windows Updates auf dem Endgerät
Windows Update Ring im Endpoint Manager
Fazit und weitere Informationen
Ich hoffe Dir damit gezeigt zu haben, wie Du Windows Updates mit Microsoft Intune einrichten und dauerhaft erfolgreich verwalten kannst.
Wenn Du noch weitere Informationen rund um Microsoft Intune und die Microsoft Cloud haben willst, schau gerne einmal auf meinem Microsoft Cloud Blog vorbei.
Unser Gespräch ist für Sie kostenlos und unverbindlich.
Aaron Siller, Geschäftsführer von siller.consulting
