Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Windows-Geräte sicher und auf dem neuesten Stand zu halten, ist eine der wichtigsten Aufgaben für jede organization. Microsoft Intune bietet einen cloudbasierten Ansatz für die Windows-Updateverwaltung, der Ihnen Kontrolle, Vorhersagbarkeit und minimale Unterbrechung für Benutzer bietet.
In dieser Übersicht wird erläutert, wie Intune Windows-Updates verwaltet, die verfügbaren Richtlinientypen und wie diese Komponenten in einer vollständigen Updatestrategie zusammenpassen.
Was Sie mit Intune tun können
- Konfigurieren Sie Updateeinstellungen auf Geräten, ohne einzelne Patches zu verwalten.
- Definieren Sie Updateringe, um den Zeitpunkt des Rollouts zu steuern und Risiken zu reduzieren.
- Verhindern Sie, dass Geräte neue Featureversionen installieren, bis Sie bereit sind, während Sie weiterhin Sicherheits- und Qualitätsupdates anwenden.
Intune speichert nur die Richtlinienzuweisungen, nicht die Updates selbst. Wenn Sie eine Richtlinie speichern, sendet Intune Konfigurationsdetails an Windows Autopatch, der bestimmt, welche Updates für die Bereitstellung genehmigt werden. Geräte laden genehmigte Updates direkt von Windows Update herunter und installieren und anwenden diese Änderungen in Übereinstimmung mit Windows Update Clientrichtlinien.
Windows Update-Verwaltungsfunktionen
Die folgenden Richtlinientypen helfen Ihnen beim Verwalten von Windows-Updates in Intune:
Windows Update-Clientrichtlinie
Konfiguriert den zugrunde liegenden Updaterichtlinien-CSP. Intune diese Einstellungen über Updateringe und den Einstellungskatalog verfügbar machen, sodass Administratoren flexibel auf Geräteebene differenzierte Updateverhalten anwenden können.
Ringrichtlinie aktualisieren
Wendet Windows Update Clientrichtlinien auf Gerätegruppen an. Updateringe steuern Zurückstellungszeiträume, Stichtage, Neustartverhalten und Benutzeroberflächeneinstellungen und ermöglichen den stufenweisen Rollout in Ihrer gesamten Umgebung.
Featureupdaterichtlinie
Sperrt Geräte auf eine bestimmte Windows-Version (z. B. Windows 11 24H2). Diese Richtlinien verhindern, dass Geräte über das zielorientierte Release hinaus aktualisiert werden, wodurch Konsistenz und Kontrolle über wichtige Betriebssystemupgrades sichergestellt werden.
Richtlinie für Qualitätsupdates
Stellt monatliche kumulative Updates für Sicherheit und Zuverlässigkeit bereit. Unterstützt:
- Hotpatch: Steuern Sie, ob berechtigte Geräte Sicherheitspatches ohne Neustart erhalten.
- Beschleunigen von Richtlinien: Pushen Sie wichtige Sicherheitsupdates sofort, indem Sie die Zurückstellungseinstellungen überschreiben.
Hotpatch-Sicherheitsupdates
Schützt Geräte schneller, indem geeignete Sicherheitspatches ohne Neustart bereitgestellt werden. Neustartlose Updates sind die Standardart, wie monatliche Windows-Sicherheitsupdates bereitgestellt werden.
Treiberupdaterichtlinie
Verwaltet die Bereitstellung von Hardwaretreiberupdates von Windows Update. Treiberupdaterichtlinien tragen dazu bei, die Gerätekompatibilität und -stabilität sicherzustellen, indem sie steuern, wann und wie Treiber installiert werden.
Automatisches Windows-Patchen
Windows Autopatch steuert, welche Windows Update Inhalte für die Bereitstellung auf Windows-Geräten genehmigt werden, um sie auf dem neuesten Stand und sicher zu halten. Wenn für ein Gerät keine Autopatch-Richtlinie für einen bestimmten Inhaltstyp gilt, werden alle aktuellen Inhalte aus Windows Update bereitgestellt.
Microsoft Intune nutzt Windows Autopatch, um die Verwaltung von Featureupdates, Qualitätsupdates und Treiberupdates zu ermöglichen. Um diese Workflows zu aktivieren, gibt es eine Richtlinie für jeden dieser Inhaltstypen.
Wenn ein Gerät einer Richtlinie zugewiesen ist, wird es für diesen Inhaltstyp beim automatischen Patchen registriert, und nur genehmigte Inhalte werden auf diesem Gerät bereitgestellt. Administratoren können Updates in einer Richtlinie entweder automatisch oder manuell genehmigen, je nachdem, was für ihre organization am besten geeignet ist.
Neben der Richtlinie gibt es mehrere weitere leistungsstarke Intune Features, die von Autopatch unterstützt werden:
- Autopatch-Gruppen ermöglichen dynamische Gerätegruppierung, schrittweise Rollouts von Updates sowie Erstellungs- und Bearbeitungsflows mit mehreren Richtlinien.
- AutoPatch-Berichte bieten umfassende Einblicke in Updatebereitschaft, Compliance und Warnungen.
- Für berechtigte Windows-Editionen ermöglicht es auch cloudgestützte Updateszenarien wie Hotpatch und beschleunigte Updates mit minimaler manueller Konfiguration.
In der folgenden Tabelle wird verglichen, wie sich die Updateverwaltung unterscheidet, wenn Sie die manuelle Autopatch-Konfiguration mit Richtlinien und die Verwendung von Autopatch-Gruppen verwenden:
| Feature | Bei Verwendung von Autopatch-Richtlinien | Bei Verwendung von Autopatch-Gruppen |
|---|---|---|
| Updatekoordination | Verteilen Sie Geräte manuell in Entra Gruppen, um Updaterichtlinien zuzuweisen. | Automatisieren Sie die Verteilung von Geräten auf mehrere Entra Gruppen basierend auf Ihren Präferenzen. Heften Sie bestimmte Gruppen am Anfang oder Ende einer Bereitstellung an. |
| Ringrichtlinie aktualisieren | Sie konfigurieren Updateringrichtlinien in Intune, um Verzögerungen, Stichtage und Neustartverhalten zu steuern. | Sie konfigurieren mehrere Updateringe gleichzeitig, um ein vollständiges Bild von Verzögerungen, Stichtagen und Neustartverhalten in der gesamten Version zu erhalten. Autopatch-Gruppen verfügen über optionale Voreinstellungen, die empfohlene Einstellungen für häufige Anwendungsfälle bereitstellen. |
| Featureupdaterichtlinie | Sie verwenden Featureupdaterichtlinien, um Betriebssystemversionen zu sperren oder zu planen. | Sie legen die mindeste Featureupdateversion für alle Geräte in einer Autopatch-Gruppe fest. Sie planen schrittweise Rollouts von Featureupdates, wenn Sie ein Upgrade durchführen möchten. |
| Richtlinie für Qualitätsupdates | Sie konfigurieren Richtlinien für Qualitätsupdates, beschleunigte Updates und Hotpatcheinstellungen manuell. | Sie konfigurieren Richtlinien für Qualitätsupdates, beschleunigte Updates und Hotpatcheinstellungen manuell. |
| Treiberupdaterichtlinie | Sie verwenden Treiberupdaterichtlinien, um Treiber manuell oder automatisch für alle zugewiesenen Geräte zu überprüfen und zu genehmigen. | Überprüfen und genehmigen Sie Treiber entweder manuell oder automatisch, und starten Sie einen schrittweisen Rollout auf allen Geräten in der Autopatch-Gruppe. |
Dienststandardeinstellungen
Windows Autopatch aktiviert standardmäßig Hotpatch-Sicherheitsupdates, um Geräte schneller zu schützen. Dieses Standardverhalten gilt für alle berechtigten Geräte in Microsoft Intune. Das Anwenden von Sicherheitskorrekturen ohne Warten auf einen Neustart kann Organisationen in der Hälfte der Zeit zu 90 % Compliance bringen.
Sie können hotpatch-Sicherheitsupdates jederzeit für Ihren gesamten Mandanten oder gerätegruppen mit Qualitätsupdaterichtlinien deaktivieren.
Voraussetzungen
Für jeden Richtlinientyp gelten bestimmte Voraussetzungen, die in der jeweiligen Dokumentation beschrieben sind. Allgemein gilt:
- Geräte müssen in Intune registriert werden.
- Geräte müssen Microsoft Entra oder hybrid eingebunden sein.
Microsoft Entra registrierten Geräte werden für keinen Richtlinientyp unterstützt, der denselben Back-End-Dienst wie Windows Autopatch verwendet – einschließlich Featureupdates, Qualitätsupdates und Treiberupdates.
Bei Entra registrierten Geräten bleibt die Updateverwaltung auf Windows Update Clientrichtlinien und Updateringrichtlinien beschränkt. - Geräte müssen Zugriff auf Microsoft Update-Endpunkte haben.
Featureupdaterichtlinien, Qualitätsupdaterichtlinien und Treiberupdaterichtlinien werden durch Windows Autopatch orchestriert. Die Voraussetzungen sind für diese drei Richtlinientypen identisch:
Lizenzierung: Eine Windows-Lizenz, die die Berechtigung "Autopatch" enthält.
Wenn Sie beim Erstellen neuer Richtlinien für Funktionen, die Windows Autopatch erfordern, blockiert werden und Sie Ihre Lizenzen für die Verwendung Windows Update Clientrichtlinien über ein Enterprise Agreement (EA) erhalten, wenden Sie sich an die Quelle Ihrer Lizenzen, z. B. Ihr Microsoft-Kontoteam oder den Partner, der Ihnen die Lizenzen verkauft hat. Das Kontoteam oder der Partner kann bestätigen, dass die Lizenzen Ihrer Mandanten die Windows Autopatch-Lizenzanforderungen erfüllen. Weitere Informationen finden Sie unter Aktivieren der Abonnementaktivierung mit einem vorhandenen EA.
Wichtig
Das Aktivieren der Abonnementaktivierung mit einem vorhandenen EA gilt nicht für GCC- und GCC High/DoD-Cloudumgebungen für Windows Autopatch-Funktionen.
Telemetrie: Diagnosedatensatz auf erforderlicher Ebene.
Dienste: Microsoft-Konto-Sign-In-Assistent aktiviert.
Wenn der Dienst blockiert oder Deaktiviertist, wird das Update nicht empfangen. Weitere Informationen finden Sie unter Funktionsupdates werden im Gegensatz zu anderen Updates nicht angeboten. Standardmäßig ist der Dienst auf Manuell (Start durch Auslöser) festgelegt, wodurch er bei Bedarf ausgeführt werden kann.