Bereitstellen eines Hotpatch-Qualitätsupdates mithilfe von Windows Autopatch
Mit Windows Autopatch können Sie Windows-Updates auf Geräten in einem Microsoft Entra Mandanten bereitstellen. Windows Autopatch unterstützt heute die Bereitstellung von Windows 10/11-Featureupdates, Hotpatch-Qualitätsupdates, beschleunigten Qualitätsupdates und Treiberupdates. Dieses Thema konzentriert sich auf die Bereitstellung von Hotpatch-Qualitätsupdates. Informationen zum Bereitstellen von Featureupdates finden Sie unter Bereitstellen eines Featureupdates. Informationen zum Bereitstellen beschleunigter Qualitätsupdates finden Sie unter Bereitstellen eines beschleunigten Qualitätsupdates. Informationen zum Bereitstellen von Treiberupdates finden Sie unter Verwalten von Treiberupdates.
Hotpatch-Updates sind Sicherheitsupdates, die monatlich veröffentlicht werden und installiert werden können, ohne dass das Gerät neu gestartet werden muss. Es wurde entwickelt, um Ausfallzeiten und Unterbrechungen zu reduzieren. Durch die Minimierung der Notwendigkeit eines Neustarts tragen diese Updates dazu bei, Geräte schneller zu schützen, sodass Organisationen die Aufrechterhaltung der Sicherheit erleichtern und gleichzeitig Workflows unterbrechungsfrei halten können.
An den vorhandenen Updateringkonfigurationen sind keine Änderungen erforderlich. Die vorhandenen Ringkonfigurationen werden zusammen mit Hotpatch-Richtlinien berücksichtigt.
Voraussetzungen
- Geräte erfüllen die Voraussetzungen für windows Autopatch.
- Betriebssystem: Geräte müssen Windows 11 24H2 oder höher ausgeführt werden.
- VBS (virtualisierungsbasierte Sicherheit): VBS muss aktiviert sein, um eine sichere Installation von Hotpatch-Updates sicherzustellen.
Schritt 1: (Optional) Abrufen einer Liste der Hotpatch-Updates
Sie können die Windows Autopatch-Katalog-API abfragen, um eine Liste hotpatchfähiger Updates abzurufen, die auf Geräten als Inhalt in einer Bereitstellung bereitgestellt werden können.
Der QualityUpdateCatalogEntry-Typ stellt Qualitätsupdates dar.
Alle Qualitätsupdates beziehen sich auf eine Liste der Produktrevisionen. Fügen Sie $expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions der Anforderungs-URL hinzu, um zu ermitteln, auf welche Betriebssystembuilds sich die einzelnen Qualitätsupdates auswirken.
Die "isHotpatchUpdate": "true" -Eigenschaft identifiziert ein Hotpatch-Update, wenn es verfügbar ist.
Das folgende Beispiel zeigt, wie Alle Windows-Qualitätsupdates abgefragt werden, die gekürzt wurden, um das Hotpatch-Update anzuzeigen.
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=1&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions/any(p:p/isHotpatchUpdate eq true)&$expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions&$orderby=releaseDateTime desc
Antwort
Das folgende Beispiel zeigt die Antwort.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries(microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves(),microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions(knowledgeBaseArticle()))",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "894b1ab760d378438d23b4992466c716627f4dfcff64b31ccb311861ed081f24",
"displayName": "09/10/2024 - 2024.09 B SecurityUpdate for Windows 10 and later",
"releaseDate": "2024-09-10T00:00:00Z",
"deployableUntilDateTime": null,
"releaseDateTime": "2024-09-10T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2024-09 Cumulative Update for Windows 10 and later",
"shortName": "2024.09 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 10,
"exploitedCves": [
{
"number": "CVE-2024-38014",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014"
},
{
"number": "CVE-2024-38217",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38217"
},
{
"number": "CVE-2024-38226",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38226"
},
{
"number": "CVE-2024-43461",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461"
},
{
"number": "CVE-2024-43491",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491"
}
]
},
"productRevisions": [
{
"id": "10.0.22000.3197",
"displayName": "Windows 11, version 21H2, build 22000.3197",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22000,
"updateBuildRevision": 3197
},
"knowledgeBaseArticle": {
"id": "KB5043067",
"url": "https://support.microsoft.com/help/5043067"
}
},
{
"id": "10.0.19044.4894",
"displayName": "Windows 10, version 21H2, build 19044.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19044,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.19045.4894",
"displayName": "Windows 10, version 22H2, build 19045.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19045,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.22631.4169",
"displayName": "Windows 11, version 23H2, build 22631.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "23H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22631,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.22621.4169",
"displayName": "Windows 11, version 22H2, build 22621.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22621,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.26100.1656",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1656",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": true,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1656
},
"knowledgeBaseArticle": {
"id": "KB5043088",
"url": "https://support.microsoft.com/help/5043088"
}
},
{
"id": "10.0.26100.1742",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1742",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1742
},
"knowledgeBaseArticle": {
"id": "KB5043080",
"url": "https://support.microsoft.com/help/5043080"
}
}
]
}
]
}
Schritt 2: Erstellen einer Bereitstellungszielgruppe
Bereitstellungszielgruppen geben inhalte an, die bereitgestellt werden sollen, wie und wann der Inhalt bereitgestellt werden soll, und die Zielgeräte. Das folgende Beispiel zeigt, wie Sie eine Bereitstellungszielgruppe erstellen.
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences
Content-Type: application/json
{
}
Antwort
Das folgende Beispiel zeigt die Antwort.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deploymentAudiences/$entity",
"id": "f660d844-30b7-46e4-a6cf-47e36164d3cb",
"applicableContent": []
}
Schritt 3: Zuweisen von Geräten zur Bereitstellungszielgruppe
Nachdem die Bereitstellung erstellt wurde, können Sie der Bereitstellungszielgruppe Geräte zuweisen. Wenn die Bereitstellungszielgruppe erfolgreich aktualisiert wurde, bietet Windows Update das Update für die relevanten Geräte gemäß den Bereitstellungseinstellungen an.
Wenn Geräte den Member- oder Ausschlusssammlungen einer Bereitstellungszielgruppe hinzugefügt werden, registriert das System diese automatisch, indem ein azureADDevice-Objekt erstellt wird, sofern es noch nicht vorhanden ist.
Das folgende Beispiel zeigt, wie Sie Microsoft Entra Geräte als Mitglieder der Bereitstellungszielgruppe hinzufügen.
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/f660d844-30b7-46e4-a6cf-47e36164d3cb/updateAudience
Content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b1"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b2"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b3"
}
]
}
Antwort
Das folgende Beispiel zeigt die Antwort.
HTTP/1.1 202 Accepted
Schritt 4: Erstellen einer Bereitstellung
Eine Bereitstellung gibt den bereitzustellenden Inhalt an, wie und wann der Inhalt bereitgestellt werden soll, und die Zielgeräte. Bei Hotpatch-Qualitätsupdates priorisiert der Prozess die Bereitstellung des neuesten Sicherheitsupdates für die Zielgruppe. Wenn das neueste Hotpatch-Sicherheitsupdate nicht verfügbar ist oder die Geräte nicht berechtigt sind, bietet die Bereitstellung automatisch das neueste kumulative Update an, um sicherzustellen, dass Geräte aktuelle Sicherheits- oder Qualitätsverbesserungen erhalten. Die clientseitige Richtlinie für die Verzögerung auf dem Gerät wird berücksichtigt.
Die in Schritt 2 erstellte Benutzergruppen-ID der Bereitstellung ist in diesem Schritt erforderlich.
Die "isHotpatchEnabled": "true" -Eigenschaft entscheidet die Zielgruppe für den Empfang von Hotpatch-Updates, falls zutreffend.
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.updatePolicy",
"audience": {
"id": " f660d844-30b7-46e4-a6cf-47e36164d3cb "
},
"autoEnrollmentUpdateCategories": [
"quality"
],
"complianceChangeRules": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.contentApprovalRule",
"contentFilter": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateFilter",
"classification": "security",
"cadence": "monthly"
},
"durationBeforeDeploymentStart": "P7D"
}
],
"deploymentSettings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"userExperience": {
"isHotpatchEnabled": true
}
}
}
Antwort
Das folgende Beispiel zeigt die Antwort.
HTTP/1.1 201 Created
Nach einer Bereitstellung
Nachdem allen Geräten, die einer Bereitstellungszielgruppe zugewiesen sind, das Update anfänglich angeboten wurde, wurde das Update aufgrund von Faktoren wie der Gerätekonnektivität möglicherweise nicht für alle Geräte gestartet oder abgeschlossen. Solange die Bereitstellung noch vorhanden ist, wird sichergestellt, dass Windows Update das Update für die zugewiesenen Geräte bereitstellt, wenn sie die Verbindung wiederherstellen.