Windows Update for Business via Deployment Service und PowerShell steuern

Mit dem Deployment Service möchte Microsoft den System­verwaltern eine detail­liertere Kon­trolle über Windows Update for Business (WUfB) geben. Dies betrifft die Frei­gabe, Planung, Über­wachung und Sicherung von Updates. Das Management erfolgt über das Graph API. Das bevor­zugte Tool ist PowerShell, das dafür eigene Cmdlets bietet.

Der neue Dienst ist so konzipiert, dass er mit den bestehenden WUfB-Richtlinien zusammen­arbeitet und sich in den Microsoft Endpoint Manager einfügt. WUfB alleine bietet zwar Richtlinien für den Aufschub von Updates sowie Verteiler­ringe, lässt aber eine granulare Kontrolle der Updates vermissen.

Wie also wird WUfB durch den Deployment Service erweitert? Das sind seine wichtigsten Features:

• Verteilung von Updates für einen bestimmten Tag planen
• Verteilung über einen bestimmten Zeitraum festlegen: Beispielsweise kann man damit Windows 10 21H2 ab dem 22. Januar 2022 auf 500 Geräten pro Tag bereitstellen.
• Verwalten von Firmware und Treibern: Firmware- und Treiber-Updates lassen sich auf die gleiche Weise wie Feature- und Qualitäts-Updates verwalten.
• Umgehung von Richtlinien im Notfall: Sicherheits-Updates zur Behebung einer Sicherheits­lücke lassen sich vorbei an konfigurierten Richtlinien sofort installieren.
• Automatische Pilotierung für spezielle Geschäfts­anforderungen
• Einsatz von Microsoft Artificial Intelligence (AI) und maschinellem Lernen (ML): Diese Technologien helfen, Probleme mit Updates schnell zu erkennen und die Verteilung auf andere Geräten auszusetzen.

Funktionsweise

Der Deployment Service nutzt vorhandene Geräte­richtlinien und Einstellungen für die Update-Compliance und steuert diese über einen neuen Cloud-basierten Mechanismus, der programmatisch zugänglich ist.

Anstatt direkt mit den Clients zu interagieren, kommuniziert der Deployment Service über ein Management-Tool wie Windows PowerShell. Dieses spricht dabei die Microsoft Graph REST-APIs an.

Voraussetzungen für den WUfB Deployment Service

Um den WUfB Deployment Service einsetzen zu können, muss eine der folgenden Editionen von Windows 10 oder 11 installiert sein:

• Pro
• Enterprise
• Education
• Pro Education
• Pro for Workstations

Darüber hinaus muss Ihre Organisation eines der folgenden Abonnements haben:

• Windows 10/11 Enterprise E3 oder E5
• Windows 10/11 Education A3 oder A5
• Windows Virtual Desktop Access E3 oder E5
• Microsoft 365 Business Premium

SDK installieren und mit Microsoft Graph verbinden

Das Microsoft Graph PowerShell SDK ermöglicht Administratoren die direkte Interaktion mittels Scripts. Unter anderem enthalten die Bibliotheken Befehle zum Bereitstellen und Steuern von Updates über den WUfB Deployment Service.

Um das SDK zu installieren, ein Profil zu erstellen (erforderlich) und eine Verbindung mit dem API herzustellen, führen Sie folgende Kommandos aus:

Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "WindowsUpdates.ReadWrite.All"

Beispiele für die Steuerung von Updates

Im Folgenden betrachten wir Beispiele und Code-Schnipsel, die das PowerShell SDK für Microsoft Graph zur Steuerung von Windows-Updates verwenden.

Ein Gerät registrieren:

Invoke-MgEnrollWindowsUpdatesUpdatableAsset ` -UpdateCategory "feature" -Assets @(@{ "@odata.type"= "#microsoft.graph.windowsUpdates.azureADDevice"; "id" = })

Status der Registrierung prüfen:

Get-MgWuUpdatableAsset -UpdatableAssetId <AAD Device ID GUID>

Deployment für das Feature-Update 21H1 ertellen:

New-MgWindowsUpdatesDeployment -Content @{ "@odata.type" = "#microsoft.graph.windowsUpdates.featureUpdateReference"; "version"= "21H1" }

Feature-Update zu einem spezifischen Zeitpunkt verteilen:

New-MgWindowsUpdatesDeployment -Content @{ "@odata.type" = "#microsoft.graph.windowsUpdates.featureUpdateReference"; "version"= "21H1" } -Settings @{ "rollout" = @{ "startDateTime" = [DateTime]"2021-14-09T17:00:00Z" } }

Fazit

Der neue Windows Update for Business Deployment Service bietet IT-Administratoren eine viel genauere Kontrolle darüber, wie Windows-Updates im gesamten Netzwerk installiert werden.

Durch die direkte Interaktion mit der Microsoft Graph REST API unter Verwendung des PowerShell SDK können Administratoren pro­grammatisch steuern, wie Updates genehmigt, geplant, überwacht und angewendet werden, einschließlich Schutz­maßnahmen gegen problematische Updates.