Ich möchte dir hier eine Übersicht zu Windows Updates for Business (WUfB) geben. Ich zeige dir die Funktionen, die es beinhaltet und den Mehrwert, den Intune mit seinen Analytic Features bietet. Mit den richtigen Einstellungen kannst du eine klassische WSUS-Infrastruktur ablösen und zusätzlich Zeit und Aufwände im Betrieb einsparen.

Table of Contents

Windows Updates for Business Übersicht

Mit Windows Update for Business (WUfB) und Windows Update for Business Deployment Service (WUfB DS)...
... ja, sehr lange Namen 😉 Aber lassen wir uns vom Namen nicht abschrecken.

WUfB bietet dir einen Weg zwischen vollautomatischen Updates und einer Umgebung mit einem WSUS bei dem du jedes Update einzeln freigibst. Zudem benötigst du keinen Server mehr, alle Dienste laufen vollständig in der Cloud.

Windows Updates for Business konfigurieren

Die Einstellungen von WUfB kannst du komplett in Intune. Auch die Analytics Features sind innerhalb von Intune eingebunden. Zusätzlich gibt es für die Analyse, aber auch den weg via "Windows Update for Business reports", Infos zu diesen findest du einerseits bei Microsoft direkt: Now generally available: Windows Update for Business reports
Oder sehr schön zusammengefasst und erklärt von Niklas Tinner: Summarized: Windows Update for Business reports

Es gibt 3 Update-Profil-Typen, die du konfigurieren kannst:

  • Update-Ringe
    • Quality Updates aufschieben
    • Feature Updates aufschieben (Wenn kein Feature Update Profil im Einsatz ist)
    • Deadlines für Quality- und Feature Updates definieren
  • Feature Updates
    • Spezifizieren von gewünschten Feature Update Stand (Stand einfrieren)
  • Quality Updates
    • Notfall Updates sofort und ohne Einschränkungen dur Feature oder Update-Ring verteilen

Update Ringe

Mit den Update-Ringen hast du die Möglichkeit, die Updates zu automatisieren und zu definieren, nach welcher Zeit diese dem Gerät angeboten werden. Zudem gibt es die Funktion "Deadline Settings", die ein Gerät zwingt, Updates nach einer definierten Zeit durchzuführen und falls nötig einen Neustart zu erzwingen.

Einen Update Ring kannst du in Intune erstellen:
Devices > Windows > Update rings for Windows 10 and later

Du kannst hier x-beliebig viele Update Ringe definieren und diese Gruppen oder allen Geräten beziehungsweise Benutzern zuweisen. Ich empfehle dir mindestens zwei Update Ringe zu Pflegen; Einen für die Test/Pilot/Fast Gruppe und einen für den Grossteil der Geräte, einen Broad- oder General Ring.

Das Bild ist zwar vom Service "Autopatch", zeigt das Prinzip aber sehr gut auf.

Windows Update Rings

Eine Konfiguration kann dann beispielsweise so aussehen:

Windows Updates for Business Rings

Hier auch noch die Konfigurationen des Update Ring "GENERAL". Diesen habe ich der Standard Gruppe (Beinhaltet bei mir alle Autopilot registrierten und Windows MDM verwalteten Geräte) zugewiesen und die Gruppen für die schnelleren Ringe ausgeschlossen:

Windows Update Ring, General

Wenn du dich dazu entschiedest, die Feature Updates ebenfalls nach dem Ring-Prinzip zu verteilen, setze den Wert bei "Feature update deferral period" bitte au "0".

Feature Updates

Die Feature Update Richtlinieerlaubt es dir, zu spezifizieren, welche Windows Version du auf welchen Geräten haben möchtest. Dabei kannst du auswählen, bis zu welchem Release Windows aktualisiert werden soll. Der zugewiesene Release ist dan für das Gerät fixiert. Es ist auch kein Downgrade möglich.

Falls du keine Feature Updates definierst, greifen die Einstellung aus deinen Update Ringen. Das heisst hast du beim "Feature Deferral" 0 Tage eingestellt, bekommen die Endgeräte das Feature Update, sobald es für diese verfügbar ist.
Definierst du unter "Devices > Windows > Feature updates for Windows 10 and later" aber eine Richtlinie, wird diese stärker als der Update Ring gewichtet. Sprich, das Endgerät wird sich nicht über diese Richtlinie hinaus updaten.

Nachstehend eine Beispiel-Konfiguration der Feature-Update-Ringe.
In der Support-Spalte siehts du sehr schnell, ob eine Windows Version noch supportet wird, bald endet oder out-of-support ist.

Windows Feature Update Richtlinien
Windows Feature Update Support

Du merkst, der Insider Ring fehlt, das habe ich bewusst so gemacht, da diese immer das Neuste erhalten sollen, ohne dass ich mich um die Freigabe kümmern muss.

Hier zudem der Inhalt einer der Richtlinien.
Du hast die Möglichkeit folgenden Einstellungen zu definieren:

  • Release (Windows 11 steht für Windows 11 22H1)
  • Wie schnell soll das Update verfügbar sein
    • Immediate: sofort
    • Specific Date: Datum ab welchem das Update dem Endgerät angeboten wird
    • Gradually: Update über einen bestimmten Zeitraum verteilen.
      (Das Start Daum muss von Heute aus mindestens zwei Tage in der Zukunft liegen)
      • Es werden hier automatisch Gruppen ((Start - End) / "Days between") gebildet und zufällig sowie gleichmässig zugewiesen.

Windows Feature Update, General

Quality Updates / Expedite Updates

Nicht bei jedem Update ist der Update Ring optimal. So kann es sein, dass aufgrund einer Zero-Day-Lücke ein Update sofort eingespielt werden muss. Genau dazu gibt es die Richtlinien der Quality Updates (auch "Expedite Updates" genannt), die alle "Deferrals" und Reboot Einschränkungen ignoriert.

Diese erstellst du unter: Devices > Windows > Quality updates for Windows 10 and later

In der Richtlinie selbst musst du nicht viel machen. Du definierst lediglich einen Namen, welches CU betroffen ist und wann ein Restart erfordert wird.

Quality updates Richtlinie

Reports in Intune

Intune bietet dir Reports mit Insight zu Feature Updates und Expedite Updates. So hast du schnell einen Überblick über die Updatestände in deiner Umgebung.
Die Reports zeigen dir nur etwas an, wenn auch eine entsprechende Richtlinie besteht. Hast du also nur die Update-Ringe konfiguriert, wirst du in den Reports nichts sehen.

Ganz wichtig, um das Feature zu nutzen, musst du zwingend die "Windows health monitoring" Richtline konfiguriert haben.
Diese erstellst du unter "Devices > Windows > Configuration profiles".
In der Richtlinie selbst musst du mindestens die "Windows updates" aktivieren.

create Windows health monitoring profile
Windows health monitoring settings

Die Reports findest du unter: Reports > Windows updates

Drücke, wenn du die Reports öffnest, immer als Erstes den Refresh Button, sonst könnte der angezeigte Stand ein alter sein.
Dach kurzer Zeit wird dir dann eine generelle Übersicht zu den Ständen angezeigt:

Windows updates report

Über den Punkt Report hast du die Möglichkeit weitere, granularer Reports anzuzeigen.
Lass dich von der Meldung "Enable Windows health..." nicht verwirren. Diese steht auch da, wenn du die Policy bereits verteilt hast. Um den Report zu generieren, muss du einfach noch eine Policy auswählen und dann wird der Button "Generate report" auch schon klickbar.

Report filtern

Nach nochmals einigen Sekunden siehst du dann den Report mit allen Details:

Finaler report

Community Tool für Reports

Möchtest du noch viel mehr aus den Daten deiner Geräte herausholen und diese wunderschön darstellen?
Dann findest du hier eine sehr schöne und übersichtliche Lösung: Windows Update Compliance Dashboard V8.0 - MSEndpointMgr

Updates mit PowerShell verwalten

Du willst deine eigene Update Lösung/Automatisierung aufgrund des WUfB DS erstellen?
Das kannst du!

Wie du damit starten kannst, findest du hier: PowerShell for the Windows Update for Business deployment service - Microsoft Community Hub

Zusätzlich werde ich in einem zukünftigen Beitrag weiter auf die PowerShell / Graph Möglichkeiten mit WHfB eingehen.


Leave a Reply

Your email address will not be published. Required fields are marked *

Florian Salzmann
Senior Workplace Consultant @UMB AG

Stay in the Loop with My Monthly Newsletter!