Windows-Updates mit Microsoft Intune verwalten

Microsoft Intune bietet dagegen ein Cloud-basiertes Patch-Management, welches PCs für Windows Update for Business (WUfB) konfiguriert. Admins müssen Updates nicht mehr einzeln genehmigen, wie es bei WSUS der Fall ist, haben dafür aber auch weniger Kontrolle über das Patching.

Bei Windows 10 oder 11 steuert Microsoft Intune die Updates mithilfe der Update-Ringe. Sie bestimmen, welche Updates, wann herunter­geladen werden. Dabei handelt es sich um diese wohlbekannten Channels:

• Semi-annual Channel
• Semi-annual Channel (targeted) für Windows 1809 und älter
• Windows Insider – Fast
• Windows Insider – Slow
• Windows Insider - Release Preview

Sobald die Richtlinien auf den in Intune registrierten Geräten greifen, wenden sich diese nicht mehr an einen WSUS-Server, sondern direkt an Windows Update. Diese Architektur befreit Remote-Clients von den Netzwerk­beschränkungen bei WSUS.

Update-Ring für Windows 10 konfigurieren

Um Updates zu konfigurieren, navigieren Sie im Admin Center von Microsoft Endpoint Manager zu Devices => Update rings for Windows 10 and later. Wählen Sie dann Create profile.

Daraufhin startet der Wizard zum Erstellen eines Update-Rings. Legen Sie auf dem Bildschirm Basics einen Namen für das neue Profil fest.

Der Bildschirm mit den Einstellungen für den Update-Ring ist der Bereich, wo man die wichtigsten Parameter für das Update-Verhalten befinden. Sie entsprechen weitgehend jenen, die auch in den Gruppen­richtlinien für Windows Update (for Business) existieren. Diese sind unter anderem:

• Auswahl des Servicing Channel
• Updates für andere Microsoft Produkte
• Windows-Treiber
• Aufschub für Quality-Updates in Tagen
• Aufschub für Feature-Updates in Tagen
• Zeitraum für die Deinstallation (2 – 60 Tage)
• Beginn und Ende der Nutzungszeit ("Active hours")
• Prüfungen für den Neustart
• Option zum Pausieren von Windows-Updates
• Option, um nach neuen Updates suchen
• Mehrere Einstellungen für das Reboot-Verhalten
• Diverse Fristen für die Installation von Updates

Microsoft fügt dem Update-Dialog laufend neue Optionen hinzu, um das Verhalten von Windows Update genauer beeinflussen zu können.

Profil an AAD-Gruppen zuweisen

Nun müssen Sie das Profil an Benutzer oder Geräte zuweisen, die damit konfiguriert werden sollen. Die meisten Unternehmen werden zweifellos mehrere Update-Ring-Profile für Windows 10 konfigurieren, die ihrerseits eng an das Konzept angelehnt sind, das sie bisher mit WSUS oder einer anderen Update-Lösung verfolgt haben.

Zum Abschluss prüfen Sie die vorgenommenen Einstellungen und klicken auf Create, falls sie alle passen.

Zusammenfassung

Das Patch-Management mit Intune passt in das Konzept von Microsofts modernem Client-Management, bei dem Cloud-basierte Lösungen den Vorzug vor traditionellen Tools wie WSUS erhalten. Der Vorteil dieses Ansatzes zeigt sich, wenn die User nicht nur im Büro arbeiten, sondern von unterwegs oder zu Hause aus. Admins können dann sicherstellen, dass sicherheits­kritische Updates trotzdem zügig installiert werden.

Das Update-Management beschränkt sich im Wesentlichen auf die Konfiguration von Profilen, die bestimmen, wann ein PC welches Update direkt von Windows Update erhält. Die verfügbaren Einstellungen sind weitgehend identisch, die Admins bereits von den Gruppenrichtlinien für Windows Update bzw. WUfB kennen.