Tags: Intune, Patch-Management, WSUS
Mit dem Cloud-Service Microsoft Intune können Unternehmen ihre Geräte verwalten, auch wenn sich diese nicht im Firmen-LAN befinden. Intune deckt dabei die meisten Aufgaben des PC-Lifecycle-Managements ab. Dazu gehört auch das Patch-Management, bei dem es Windows Update über Profile konfiguriert.
Die meisten Administratoren verwalten heute Windows-Updates on-prem mit den Windows Server Update Services (WSUS). WSUS hat jedoch viele Unzulänglichkeiten, eine davon ist die schwierige Anbindung von Remote-Clients, die sich bei verteilten Belegschaften überall auf der Welt befinden können.
Einfache Konfiguration und weniger Kontrolle
Microsoft Intune bietet dagegen ein Cloud-basiertes Patch-Management, welches PCs für Windows Update for Business (WUfB) konfiguriert. Admins müssen Updates nicht mehr einzeln genehmigen, wie es bei WSUS der Fall ist, haben dafür aber auch weniger Kontrolle über das Patching.
Bei Windows 10 oder 11 steuert Microsoft Intune die Updates mithilfe der Update-Ringe. Sie bestimmen, welche Updates, wann heruntergeladen werden. Dabei handelt es sich um diese wohlbekannten Channels:
- Semi-annual Channel
- Semi-annual Channel (targeted) für Windows 1809 und älter
- Windows Insider – Fast
- Windows Insider – Slow
- Windows Insider - Release Preview
Sobald die Richtlinien auf den in Intune registrierten Geräten greifen, wenden sich diese nicht mehr an einen WSUS-Server, sondern direkt an Windows Update. Diese Architektur befreit Remote-Clients von den Netzwerkbeschränkungen bei WSUS.
Update-Ring für Windows 10 konfigurieren
Um Updates zu konfigurieren, navigieren Sie im Admin Center von Microsoft Endpoint Manager zu Devices => Update rings for Windows 10 and later. Wählen Sie dann Create profile.
Daraufhin startet der Wizard zum Erstellen eines Update-Rings. Legen Sie auf dem Bildschirm Basics einen Namen für das neue Profil fest.
Der Bildschirm mit den Einstellungen für den Update-Ring ist der Bereich, wo man die wichtigsten Parameter für das Update-Verhalten befinden. Sie entsprechen weitgehend jenen, die auch in den Gruppenrichtlinien für Windows Update (for Business) existieren. Diese sind unter anderem:
- Auswahl des Servicing Channel
- Updates für andere Microsoft Produkte
- Windows-Treiber
- Aufschub für Quality-Updates in Tagen
- Aufschub für Feature-Updates in Tagen
- Zeitraum für die Deinstallation (2 – 60 Tage)
- Beginn und Ende der Nutzungszeit ("Active hours")
- Prüfungen für den Neustart
- Option zum Pausieren von Windows-Updates
- Option, um nach neuen Updates suchen
- Mehrere Einstellungen für das Reboot-Verhalten
- Diverse Fristen für die Installation von Updates
Microsoft fügt dem Update-Dialog laufend neue Optionen hinzu, um das Verhalten von Windows Update genauer beeinflussen zu können.
Profil an AAD-Gruppen zuweisen
Nun müssen Sie das Profil an Benutzer oder Geräte zuweisen, die damit konfiguriert werden sollen. Die meisten Unternehmen werden zweifellos mehrere Update-Ring-Profile für Windows 10 konfigurieren, die ihrerseits eng an das Konzept angelehnt sind, das sie bisher mit WSUS oder einer anderen Update-Lösung verfolgt haben.
Zum Abschluss prüfen Sie die vorgenommenen Einstellungen und klicken auf Create, falls sie alle passen.
Zusammenfassung
Das Patch-Management mit Intune passt in das Konzept von Microsofts modernem Client-Management, bei dem Cloud-basierte Lösungen den Vorzug vor traditionellen Tools wie WSUS erhalten. Der Vorteil dieses Ansatzes zeigt sich, wenn die User nicht nur im Büro arbeiten, sondern von unterwegs oder zu Hause aus. Admins können dann sicherstellen, dass sicherheitskritische Updates trotzdem zügig installiert werden.
Das Update-Management beschränkt sich im Wesentlichen auf die Konfiguration von Profilen, die bestimmen, wann ein PC welches Update direkt von Windows Update erhält. Die verfügbaren Einstellungen sind weitgehend identisch, die Admins bereits von den Gruppenrichtlinien für Windows Update bzw. WUfB kennen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows 11: Nachrichten über Intune versenden, Booten in Cloud-PC, neue Features über Mai-Update
- Updates über WSUS deinstallieren
- Update-Klassifizierungen in WSUS für Windows 10/11 auswählen
- Wie unterscheiden sich Security-, optionale Preview- und Außer-der-Reihe-Updates?
- UUP-Updates auf WSUS und Configuration Manager ab März verfügbar
Weitere Links