Tags: Patch-Management, Windows 10, Microsoft 365, Intune
Windows Autopatch soll Windows, Office, Edge und Teams aktualisieren, ohne dass Admins sich mit den Einzelheiten der Patch-Verteilung beschäftigen müssen bzw. können. Der Service befindet sich momentan in einer Public Preview und soll ab Juli für Kunden mit einem E3-Abo von Microsoft-365 und einer Intune-Lizenz verfügbar sein.
Microsoft empfiehlt Anwendern schon seit geraumer Zeit, für das Windows-Patch-Management von WSUS auf Windows Update for Business (WUfB) zu wechseln. Diese Umstellung soll eine neue Gruppenrichtlinie erleichtern, mit der Admins für jeden Update-Typ eine separate Quelle festlegen können.
Mehr Kontrolle für WUfB
Nachdem WUfB abgesehen vom zeitlichen Aufschub und der Auswahl eines bestimmten Feature-Updates nur wenige Optionen für das Ausrollen von Patches bietet, ergänzte Microsoft diesen Dienst vor einiger Zeit um den Deployment Service.
Dieser bietet Admins zusätzliche Kontrolle über den Zeitraum der Update-Verteilung, eine Verwaltung von Treibern oder die Möglichkeit zur direkten Installation von Sicherheits-Patches. Dazu stellt der Deployment Service ein API zur Verfügung das sich auch per PowerShell ansprechen lässt.
Autopatch koordiniert Patch-Verteilung selbständig
Windows Autopatch orientiert sich hingegen in die andere Richtung. Admins sollen bzw. können dort kaum Einfluss auf das Patch-Management nehmen. Vielmehr orchestriert Microsoft die gesamte Update-Verteilung mithilfe eigener Algorithmen und von Machine Learning.
So erfolgt der Roll-out der Updates wie bei den meisten Systemen für das Patch-Management über Ringe, so dass erst einige Pilot-PCs zu Zug kommen, und wenn dort keine Probleme auftreten, dann folgen gruppenweise die weiteren Rechner. Autopatch legt nach jeder Runde eine Pause zur Auswertung der Updates ein, bevor es mit der Verteilung fortfährt.
Insgesamt ist es laut Microsoft Ziel des Dienstes, mindestens 95 Prozent aller verwalteten Geräte innerhalb von 21 Tagen mit den aktuellen Updates zu versehen. Wenn Autopatch den definierten Service-Level für eine Management-Umgebung unterschreitet, dann löst es eine Benachrichtigung über den Vorfall aus.
Verhalten bei fehlerhaften Updates
Nach der regelmäßigen Erfahrung mit fehlerhaften Microsoft-Updates werden sich viele Admins wahrscheinlich fragen, wie Autopatch in einer solchen Situation reagiert und wie sie notfalls eingreifen können.
Der Service bietet dafür drei Features, nämlich Halt, Rollback und Selectivity. Während die beiden ersten selbsterklärend sind, handelt es sich beim letzten um die Fähigkeit zu einem teilweisen Rollback, bei dem nur problematische Teile eines Updates entfernt werden.
Die Möglichkeiten von Admins sind in dieser Situation beschränkt. Sie könnten jedoch die noch nicht gepatchen Rechner in eine andere Gruppe und somit in einen späteren Verteilerring verschieben, dessen Ausführung man dann pausieren kann. Eine Steuerung auf der Ebene einzelner Geräte ist nicht möglich.
Im Unterschied zum WUfB Deployment Service sieht Autopatch keine programmatische Kontrolle der Updates vor.
Voraussetzungen und Lizenzierung
Windows Autopatch ist auf Windows 10 und 11 in den 64-Bit-Editionen Pro und Enterprise anwendbar, wenn sie über ein Abonnement Enterprise E3 oder E5 (M365 oder Windows) bezogen werden. Pro Benutzer dürfen dann bis zu fünf Geräte gepatcht werden. Dabei verteilt der Service sowohl Qualitäts- als auch Feature-Updates, Treiber und Firmware.
Darüber hinaus aktualisiert Autopatch noch Microsoft 365 Apps for Enterprise (früher Office ProPlus), wobei das Ziel hier darin besteht, die Anwendungen aus dem Monthly Enterprise Channel zu mindestens 90 Prozent auf einer unterstützten Version zu halten.
Schließlich kümmert sich Windows Autopatch noch um den Teams-Client und um den Edge-Browser. Windows Server und die Multiuser-Version des Client-OS berücksichtigt Microsoft bis auf weiteres nicht. Das Gleiche gilt für andere Produkte, die sich über WSUS aktualisieren lassen, etwa SQL Server, Exchange oder PowerShell.
Neben den genannten Abonnements bzw. Produkten benötigen Unternehmen zusätzlich Microsoft Intune und Azure AD Premium (für das Co-Management mit Configuration Manager).
Erwartungsgemäß lässt sich Autopatch nicht auf eine reine On-prem-Umgebung anwenden, vielmehr müssen die Benutzer Mitglieder im Azure AD sein oder man synchronisiert das lokale AD mit AAD über Azure AD Connect.
Sind diese Voraussetzungen gegeben, dann fallen für Windows Autopatch keine weiteren Lizenzkosten an.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows 11: Nachrichten über Intune versenden, Booten in Cloud-PC, neue Features über Mai-Update
- Patch-Status von PCs überwachen mit Windows Update for Business Reports
- Endpoint Configuration Manager: Co-Management mit Intune konfigurieren
- Microsoft aktualisiert Windows 10 21H2 automatisch auf 22H2
- Update-Klassifizierungen in WSUS für Windows 10/11 auswählen
Weitere Links