Ich möchte dir hier eine Übersicht zu Windows Updates for Business (WUfB) geben. Ich zeige dir die Funktionen, die es beinhaltet und den Mehrwert, den Intune mit seinen Analytic Features bietet. Mit den richtigen Einstellungen kannst du eine klassische WSUS-Infrastruktur ablösen und zusätzlich Zeit und Aufwände im Betrieb einsparen.
Table of Contents
- Windows Updates for Business Übersicht
- Windows Updates for Business konfigurieren
- Reports in Intune
- Updates mit PowerShell verwalten
Windows Updates for Business Übersicht
Mit Windows Update for Business (WUfB) und Windows Update for Business Deployment Service (WUfB DS)...
... ja, sehr lange Namen 😉 Aber lassen wir uns vom Namen nicht abschrecken.
WUfB bietet dir einen Weg zwischen vollautomatischen Updates und einer Umgebung mit einem WSUS bei dem du jedes Update einzeln freigibst. Zudem benötigst du keinen Server mehr, alle Dienste laufen vollständig in der Cloud.
Windows Updates for Business konfigurieren
Die Einstellungen von WUfB kannst du komplett in Intune. Auch die Analytics Features sind innerhalb von Intune eingebunden. Zusätzlich gibt es für die Analyse, aber auch den weg via "Windows Update for Business reports", Infos zu diesen findest du einerseits bei Microsoft direkt: Now generally available: Windows Update for Business reports
Oder sehr schön zusammengefasst und erklärt von Niklas Tinner: Summarized: Windows Update for Business reports
Es gibt 3 Update-Profil-Typen, die du konfigurieren kannst:
- Update-Ringe
- Quality Updates aufschieben
- Feature Updates aufschieben (Wenn kein Feature Update Profil im Einsatz ist)
- Deadlines für Quality- und Feature Updates definieren
- Feature Updates
- Spezifizieren von gewünschten Feature Update Stand (Stand einfrieren)
- Quality Updates
- Notfall Updates sofort und ohne Einschränkungen dur Feature oder Update-Ring verteilen
Update Ringe
Mit den Update-Ringen hast du die Möglichkeit, die Updates zu automatisieren und zu definieren, nach welcher Zeit diese dem Gerät angeboten werden. Zudem gibt es die Funktion "Deadline Settings", die ein Gerät zwingt, Updates nach einer definierten Zeit durchzuführen und falls nötig einen Neustart zu erzwingen.
Einen Update Ring kannst du in Intune erstellen:
Devices > Windows > Update rings for Windows 10 and later
Du kannst hier x-beliebig viele Update Ringe definieren und diese Gruppen oder allen Geräten beziehungsweise Benutzern zuweisen. Ich empfehle dir mindestens zwei Update Ringe zu Pflegen; Einen für die Test/Pilot/Fast Gruppe und einen für den Grossteil der Geräte, einen Broad- oder General Ring.
Das Bild ist zwar vom Service "Autopatch", zeigt das Prinzip aber sehr gut auf.
Eine Konfiguration kann dann beispielsweise so aussehen:
Hier auch noch die Konfigurationen des Update Ring "GENERAL". Diesen habe ich der Standard Gruppe (Beinhaltet bei mir alle Autopilot registrierten und Windows MDM verwalteten Geräte) zugewiesen und die Gruppen für die schnelleren Ringe ausgeschlossen:
Wenn du dich dazu entschiedest, die Feature Updates ebenfalls nach dem Ring-Prinzip zu verteilen, setze den Wert bei "Feature update deferral period" bitte au "0".
Feature Updates
Die Feature Update Richtlinieerlaubt es dir, zu spezifizieren, welche Windows Version du auf welchen Geräten haben möchtest. Dabei kannst du auswählen, bis zu welchem Release Windows aktualisiert werden soll. Der zugewiesene Release ist dan für das Gerät fixiert. Es ist auch kein Downgrade möglich.
Falls du keine Feature Updates definierst, greifen die Einstellung aus deinen Update Ringen. Das heisst hast du beim "Feature Deferral" 0 Tage eingestellt, bekommen die Endgeräte das Feature Update, sobald es für diese verfügbar ist.
Definierst du unter "Devices > Windows > Feature updates for Windows 10 and later" aber eine Richtlinie, wird diese stärker als der Update Ring gewichtet. Sprich, das Endgerät wird sich nicht über diese Richtlinie hinaus updaten.
Nachstehend eine Beispiel-Konfiguration der Feature-Update-Ringe.
In der Support-Spalte siehts du sehr schnell, ob eine Windows Version noch supportet wird, bald endet oder out-of-support ist.
Du merkst, der Insider Ring fehlt, das habe ich bewusst so gemacht, da diese immer das Neuste erhalten sollen, ohne dass ich mich um die Freigabe kümmern muss.
Hier zudem der Inhalt einer der Richtlinien.
Du hast die Möglichkeit folgenden Einstellungen zu definieren:
- Release (Windows 11 steht für Windows 11 22H1)
- Wie schnell soll das Update verfügbar sein
- Immediate: sofort
- Specific Date: Datum ab welchem das Update dem Endgerät angeboten wird
- Gradually: Update über einen bestimmten Zeitraum verteilen.
(Das Start Daum muss von Heute aus mindestens zwei Tage in der Zukunft liegen)- Es werden hier automatisch Gruppen ((Start - End) / "Days between") gebildet und zufällig sowie gleichmässig zugewiesen.
Quality Updates / Expedite Updates
Nicht bei jedem Update ist der Update Ring optimal. So kann es sein, dass aufgrund einer Zero-Day-Lücke ein Update sofort eingespielt werden muss. Genau dazu gibt es die Richtlinien der Quality Updates (auch "Expedite Updates" genannt), die alle "Deferrals" und Reboot Einschränkungen ignoriert.
Diese erstellst du unter: Devices > Windows > Quality updates for Windows 10 and later
In der Richtlinie selbst musst du nicht viel machen. Du definierst lediglich einen Namen, welches CU betroffen ist und wann ein Restart erfordert wird.
Reports in Intune
Intune bietet dir Reports mit Insight zu Feature Updates und Expedite Updates. So hast du schnell einen Überblick über die Updatestände in deiner Umgebung.
Die Reports zeigen dir nur etwas an, wenn auch eine entsprechende Richtlinie besteht. Hast du also nur die Update-Ringe konfiguriert, wirst du in den Reports nichts sehen.
Ganz wichtig, um das Feature zu nutzen, musst du zwingend die "Windows health monitoring" Richtline konfiguriert haben.
Diese erstellst du unter "Devices > Windows > Configuration profiles".
In der Richtlinie selbst musst du mindestens die "Windows updates" aktivieren.
Die Reports findest du unter: Reports > Windows updates
Drücke, wenn du die Reports öffnest, immer als Erstes den Refresh Button, sonst könnte der angezeigte Stand ein alter sein.
Dach kurzer Zeit wird dir dann eine generelle Übersicht zu den Ständen angezeigt:
Über den Punkt Report hast du die Möglichkeit weitere, granularer Reports anzuzeigen.
Lass dich von der Meldung "Enable Windows health..." nicht verwirren. Diese steht auch da, wenn du die Policy bereits verteilt hast. Um den Report zu generieren, muss du einfach noch eine Policy auswählen und dann wird der Button "Generate report" auch schon klickbar.
Nach nochmals einigen Sekunden siehst du dann den Report mit allen Details:
Community Tool für Reports
Möchtest du noch viel mehr aus den Daten deiner Geräte herausholen und diese wunderschön darstellen?
Dann findest du hier eine sehr schöne und übersichtliche Lösung: Windows Update Compliance Dashboard V8.0 - MSEndpointMgr
Updates mit PowerShell verwalten
Du willst deine eigene Update Lösung/Automatisierung aufgrund des WUfB DS erstellen?
Das kannst du!
Wie du damit starten kannst, findest du hier: PowerShell for the Windows Update for Business deployment service - Microsoft Community Hub
Zusätzlich werde ich in einem zukünftigen Beitrag weiter auf die PowerShell / Graph Möglichkeiten mit WHfB eingehen.