Windows-Updates mit Microsoft Intune verwalten


    Tags: , ,

    Microsoft IntuneMit dem Cloud-Service Microsoft Intune können Unter­nehmen ihre Geräte ver­walten, auch wenn sich diese nicht im Firmen-LAN befinden. Intune deckt dabei die meisten Auf­gaben des PC-Lifecycle-Managements ab. Dazu gehört auch das Patch-Management, bei dem es Windows Update über Profile konfi­guriert.

    Die meisten Administratoren verwalten heute Windows-Updates on-prem mit den Windows Server Update Services (WSUS). WSUS hat jedoch viele Unzuläng­lichkeiten, eine davon ist die schwierige Anbindung von Remote-Clients, die sich bei verteilten Belegschaften überall auf der Welt befinden können.

    Einfache Konfiguration und weniger Kontrolle

    Microsoft Intune bietet dagegen ein Cloud-basiertes Patch-Management, welches PCs für Windows Update for Business (WUfB) konfiguriert. Admins müssen Updates nicht mehr einzeln genehmigen, wie es bei WSUS der Fall ist, haben dafür aber auch weniger Kontrolle über das Patching.

    Bei Windows 10 oder 11 steuert Microsoft Intune die Updates mithilfe der Update-Ringe. Sie bestimmen, welche Updates, wann herunter­geladen werden. Dabei handelt es sich um diese wohlbekannten Channels:

    • Semi-annual Channel
    • Semi-annual Channel (targeted) für Windows 1809 und älter
    • Windows Insider – Fast
    • Windows Insider – Slow
    • Windows Insider - Release Preview

    Sobald die Richtlinien auf den in Intune registrierten Geräten greifen, wenden sich diese nicht mehr an einen WSUS-Server, sondern direkt an Windows Update. Diese Architektur befreit Remote-Clients von den Netzwerk­beschränkungen bei WSUS.

    Update-Ring für Windows 10 konfigurieren

    Um Updates zu konfigurieren, navigieren Sie im Admin Center von Microsoft Endpoint Manager zu Devices => Update rings for Windows 10 and later. Wählen Sie dann Create profile.

    Profil für einen Update-Ring für Windows 10 in Endpoint Manager erstellen

    Daraufhin startet der Wizard zum Erstellen eines Update-Rings. Legen Sie auf dem Bildschirm Basics einen Namen für das neue Profil fest.

    Namen des neuen Profiles für den Update-Ring vergeben

    Der Bildschirm mit den Einstellungen für den Update-Ring ist der Bereich, wo man die wichtigsten Parameter für das Update-Verhalten befinden. Sie entsprechen weitgehend jenen, die auch in den Gruppen­richtlinien für Windows Update (for Business) existieren. Diese sind unter anderem:

    • Auswahl des Servicing Channel
    • Updates für andere Microsoft Produkte
    • Windows-Treiber
    • Aufschub für Quality-Updates in Tagen
    • Aufschub für Feature-Updates in Tagen
    • Zeitraum für die Deinstallation (2 – 60 Tage)
    • Beginn und Ende der Nutzungszeit ("Active hours")
    • Prüfungen für den Neustart
    • Option zum Pausieren von Windows-Updates
    • Option, um nach neuen Updates suchen
    • Mehrere Einstellungen für das Reboot-Verhalten
    • Diverse Fristen für die Installation von Updates

    Microsoft fügt dem Update-Dialog laufend neue Optionen hinzu, um das Verhalten von Windows Update genauer beeinflussen zu können.

    Einstellungen des Update-Rings konfigurieren

    Profil an AAD-Gruppen zuweisen

    Nun müssen Sie das Profil an Benutzer oder Geräte zuweisen, die damit konfiguriert werden sollen. Die meisten Unternehmen werden zweifellos mehrere Update-Ring-Profile für Windows 10 konfigurieren, die ihrerseits eng an das Konzept angelehnt sind, das sie bisher mit WSUS oder einer anderen Update-Lösung verfolgt haben.

    Profile für den Update-Ring über AAD-Gruppen an Benutzer oder Geräte zuweisen

    Zum Abschluss prüfen Sie die vorgenommenen Einstellungen und klicken auf Create, falls sie alle passen.

    Überprüfen und erstellen Sie die neue Richtlinie für Update-Ringe in Microsoft Intune

    Zusammenfassung

    Das Patch-Management mit Intune passt in das Konzept von Microsofts modernem Client-Management, bei dem Cloud-basierte Lösungen den Vorzug vor traditionellen Tools wie WSUS erhalten. Der Vorteil dieses Ansatzes zeigt sich, wenn die User nicht nur im Büro arbeiten, sondern von unterwegs oder zu Hause aus. Admins können dann sicherstellen, dass sicherheits­kritische Updates trotzdem zügig installiert werden.

    Das Update-Management beschränkt sich im Wesentlichen auf die Konfiguration von Profilen, die bestimmen, wann ein PC welches Update direkt von Windows Update erhält. Die verfügbaren Einstellungen sind weitgehend identisch, die Admins bereits von den Gruppenrichtlinien für Windows Update bzw. WUfB kennen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.

    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links