Windows Autopatch: Weitere WSUS-Alternative aus der Cloud

Nachdem WUfB abgesehen vom zeitlichen Aufschub und der Auswahl eines bestimmten Feature-Updates nur wenige Optionen für das Ausrollen von Patches bietet, ergänzte Microsoft diesen Dienst vor einiger Zeit um den Deployment Service.

Dieser bietet Admins zusätzliche Kontrolle über den Zeitraum der Update-Verteilung, eine Verwaltung von Treibern oder die Möglichkeit zur direkten Installation von Sicherheits-Patches. Dazu stellt der Deployment Service ein API zur Verfügung das sich auch per PowerShell ansprechen lässt.

Autopatch koordiniert Patch-Verteilung selbständig

Windows Autopatch orientiert sich hingegen in die andere Richtung. Admins sollen bzw. können dort kaum Einfluss auf das Patch-Management nehmen. Vielmehr orchestriert Microsoft die gesamte Update-Verteilung mithilfe eigener Algorithmen und von Machine Learning.

So erfolgt der Roll-out der Updates wie bei den meisten Systemen für das Patch-Management über Ringe, so dass erst einige Pilot-PCs zu Zug kommen, und wenn dort keine Probleme auftreten, dann folgen gruppenweise die weiteren Rechner. Autopatch legt nach jeder Runde eine Pause zur Aus­wertung der Updates ein, bevor es mit der Verteilung fortfährt.

Insgesamt ist es laut Microsoft Ziel des Dienstes, mindestens 95 Prozent aller verwalteten Geräte innerhalb von 21 Tagen mit den aktuellen Updates zu versehen. Wenn Autopatch den definierten Service-Level für eine Management-Umgebung unterschreitet, dann löst es eine Benachrichtigung über den Vorfall aus.

Verhalten bei fehlerhaften Updates

Nach der regelmäßigen Erfahrung mit fehlerhaften Microsoft-Updates werden sich viele Admins wahrscheinlich fragen, wie Autopatch in einer solchen Situation reagiert und wie sie notfalls eingreifen können.

Der Service bietet dafür drei Features, nämlich Halt, Rollback und Selectivity. Während die beiden ersten selbst­erklärend sind, handelt es sich beim letzten um die Fähigkeit zu einem teilweisen Rollback, bei dem nur problematische Teile eines Updates entfernt werden.

Die Möglichkeiten von Admins sind in dieser Situation beschränkt. Sie könnten jedoch die noch nicht gepatchen Rechner in eine andere Gruppe und somit in einen späteren Verteilerring verschieben, dessen Ausführung man dann pausieren kann. Eine Steuerung auf der Ebene einzelner Geräte ist nicht möglich.

Im Unterschied zum WUfB Deployment Service sieht Autopatch keine programmatische Kontrolle der Updates vor.

Voraussetzungen und Lizenzierung

Windows Autopatch ist auf Windows 10 und 11 in den 64-Bit-Editionen Pro und Enterprise anwendbar, wenn sie über ein Abonnement Enterprise E3 oder E5 (M365 oder Windows) bezogen werden. Pro Benutzer dürfen dann bis zu fünf Geräte gepatcht werden. Dabei verteilt der Service sowohl Qualitäts- als auch Feature-Updates, Treiber und Firmware.

Darüber hinaus aktualisiert Autopatch noch Microsoft 365 Apps for Enterprise (früher Office ProPlus), wobei das Ziel hier darin besteht, die Anwendungen aus dem Monthly Enterprise Channel zu mindestens 90 Prozent auf einer unterstützten Version zu halten.

Schließlich kümmert sich Windows Autopatch noch um den Teams-Client und um den Edge-Browser. Windows Server und die Multiuser-Version des Client-OS berücksichtigt Microsoft bis auf weiteres nicht. Das Gleiche gilt für andere Produkte, die sich über WSUS aktualisieren lassen, etwa SQL Server, Exchange oder PowerShell.

Neben den genannten Abonnements bzw. Produkten benötigen Unternehmen zusätzlich Microsoft Intune und Azure AD Premium (für das Co-Management mit Configuration Manager).

Erwartungs­gemäß lässt sich Autopatch nicht auf eine reine On-prem-Umgebung anwenden, vielmehr müssen die Benutzer Mitglieder im Azure AD sein oder man synch­ronisiert das lokale AD mit AAD über Azure AD Connect.

Sind diese Voraussetzungen gegeben, dann fallen für Windows Autopatch keine weiteren Lizenzkosten an.