Exemplarische Vorgehensweise: Verwenden von CSPs und MDMs zum Konfigurieren von Windows Update for Business
Suchen Sie Informationen für Verbraucher? Siehe Windows Update: FAQ
Übersicht
Mithilfe von CSP-Richtlinien (Configuration Service Provider) können Sie die Funktionsweise von Windows Update for Business mithilfe eines Mdm-Tools (Mobile Geräteverwaltung) steuern. Sie sollten eine Bereitstellungsstrategie für Updates in Betracht ziehen und entwickeln, bevor Sie Änderungen an den Einstellungen von Windows Update for Business vornehmen.
Ein IT-Administrator kann Richtlinien für Windows Update business mithilfe von Microsoft Intune oder einem nicht von Microsoft stammenden MDM-Tool festlegen.
Um Updates mit Windows Update for Business zu verwalten, sollten Sie sich mit den folgenden Schritten vorbereiten, sofern noch nicht geschehen:
- Create Active Directory-Sicherheitsgruppen, die an den Bereitstellungsringen ausgerichtet sind, die Sie für die Phasenbereitstellung von Updates verwenden. Weitere Informationen zu Bereitstellungsringen im Windows-Client finden Sie unter Erstellen von Bereitstellungsringen für Windows-Clientupdates .
- Lassen Sie den Zugriff auf den Windows Update-Dienst zu.
Verwalten von Windows Update Angeboten
Sie können steuern, wann Updates angewendet werden, indem Sie z. B. die Installation eines Updates auf einem Gerät zurückstellen oder Updates für einen bestimmten Zeitraum anhalten.
Bestimmen Sie, welche Updates Für Ihre Geräte angeboten werden sollen.
Sowohl Feature- als auch Qualitätsupdates werden automatisch für Geräte angeboten, die mithilfe von Windows Update for Business-Richtlinien mit Windows Update verbunden sind. Sie können jedoch auswählen, ob die Geräte zusätzlich weitere Microsoft Updates oder Treiber erhalten sollen, die für dieses Gerät gelten.
Um Microsoft Updates zu aktivieren, verwenden Sie Update/AllowMUUpdateService.
Treiber werden automatisch aktiviert, da sie für Gerätesysteme von Vorteil sind. Es wird empfohlen, die Treiberrichtlinie zuzulassen, damit Treiber auf Geräten aktualisiert werden können (Standardeinstellung). Sie können diese Einstellung jedoch deaktivieren, wenn Sie Treiber lieber manuell verwalten möchten. Wenn Sie Treiberupdates aus irgendeinem Grund deaktivieren möchten, verwenden Sie Update/ExcludeWUDriversInQualityUpdate.
Es wird auch empfohlen, Microsoft-Produktupdates wie zuvor erläutert zuzulassen.
Festlegen, wann Geräte Feature- und Qualitätsupdates erhalten
Ich möchte Vorabversionen des nächsten Featureupdates erhalten.
Stellen Sie sicher, dass Sie für das Windows-Insider-Programm für Unternehmen registriert sind. Windows Insider ist ein kostenloses Programm, das kommerziellen Kunden bei der Überprüfung von Funktionsupdates vor der Veröffentlichung hilft. Wenn Sie dem Programm beitreten, können Sie Updates vor der Veröffentlichung erhalten sowie E-Mails und Inhalte erhalten, die sich auf das beziehen, was in den nächsten Updates verfügbar ist.
Verwenden Sie für jedes Testgerät, das Sie Vorabversionen installieren möchten, Update/ManagePreviewBuilds. Legen Sie die Option Auf Vorschaubuilds aktivieren fest.
Verwenden Sie Update/BranchReadinessLevel , und wählen Sie einen der Vorschaubuilds aus. Windows Insider Program Slow ist der empfohlene Kanal für kommerzielle Kunden, die Vorabversionen zur Überprüfung verwenden.
Darüber hinaus können Sie Featureupdates vor der Veröffentlichung auf die gleiche Weise zurückstellen wie veröffentlichte Updates, indem Sie mithilfe von Update/DeferFeatureUpdatesPeriodInDays einen Verzögerungszeitraum von bis zu 14 Tagen festlegen. Wenn Sie mit langsamen Builds des Windows-Insider-Programms testen, empfehlen wir Ihnen, die Vorschauupdates für Ihre IT-Abteilung an Tag 0 zu erhalten, wenn das Update veröffentlicht wird, und dann eine 7-10-tägige Verzögerung vor dem Rollout für Ihre Gruppe von Testern. Dieser Zeitplan trägt dazu bei, dass Sie den Rollout des Vorschauupdates anhalten können, wenn ein Problem erkannt wird, bevor es Ihre Tests erreicht.
Ich möchte verwalten, welches veröffentlichte Featureupdate meine Geräte erhalten.
Ein Windows Update für Unternehmen-Administrator kann Updates zurückstellen oder anhalten. Sie können Featureupdates um bis zu 365 Tage und Qualitätsupdates um bis zu 30 Tage zurückstellen. Das Zurückstellen bedeutet einfach, dass Sie das Update erst erhalten, wenn es für mindestens die von Ihnen angegebene Anzahl von Zurückstellungstagen (Angebotsdatum = Veröffentlichungsdatum + Verzögerungsdatum) veröffentlicht wurde. Sie können Feature- oder Qualitätsupdates bis zu 35 Tage ab einem angegebenen Startdatum anhalten.
- So verzögern Sie ein Featureupdate: Update/DeferFeatureUpdatesPeriodInDays
- So halten Sie ein Featureupdate an: Update/PauseFeatureUpdatesStartTime
- So verzögern Sie ein Qualitätsupdate: Update/DeferQualityUpdatesPeriodInDays
- So halten Sie ein Qualitätsupdate an: Update/PauseQualityUpdatesStartTime
Beispiel
In diesem Beispiel gibt es drei Ringe für Qualitätsupdates. Der erste Ring ("Pilot") hat einen Verzögerungszeitraum von 0 Tagen. Der zweite Ring ("fast") hat eine Verzögerung von fünf Tagen. Der dritte Ring ("langsam") hat eine Verzögerung von zehn Tagen.
Wenn das Qualitätsupdate veröffentlicht wird, wird es geräten im Pilotring angeboten, wenn sie das nächste Mal nach Updates suchen.
Fünf Tage später
Den Geräten im Fast Ring wird das Qualitätsupdate angeboten, wenn sie das nächste Mal nach Updates suchen.
Zehn Tage später
Zehn Tage nach der Veröffentlichung des Qualitätsupdates wird es den Geräten im Slow Ring angeboten, wenn sie das nächste Mal nach Updates suchen.
Wenn keine Probleme auftreten, wird allen Geräten, die nach Updates suchen, das Qualitätsupdate innerhalb von zehn Tagen nach seiner Veröffentlichung in drei Wellen angeboten.
Was geschieht, wenn ein Problem mit dem Update auftritt?
In diesem Beispiel wird ein Problem während der Bereitstellung des Updates im Pilotring erkannt.
An diesem Punkt kann der IT-Administrator eine Richtlinie zum Anhalten des Updates festlegen. In diesem Beispiel wählt der Administrator das Kontrollkästchen Qualitätsupdates anhalten aus.
Jetzt werden alle Geräte für 35 Tage angehalten. Wenn die Pause entfernt wird, wird ihnen das nächste Qualitätsupdate angeboten, das im Idealfall nicht dasselbe Problem aufweist. Wenn weiterhin ein Problem auftritt, kann der IT-Administrator Updates erneut anhalten.
Ich möchte auf einer bestimmten Version bleiben
Wenn Sie ein Gerät benötigen, um auf einer Version zu bleiben, die über den Zeitpunkt hinausgeht, an dem Verzögerungen für die nächste Version ablaufen würden, oder wenn Sie eine Version überspringen müssen (z. B. update fall release to fall release), verwenden Sie update/targetReleaseVersion (oder Deploy Feature Updates Preview in Intune) anstelle von Featureupdateverzögerungen. Wenn Sie diese Richtlinie verwenden, geben Sie die Version an, in die Ihre Geräte verschoben oder beibehalten werden sollen (z. B. "1909"). Versionsinformationen finden Sie auf der Seite Windows 10 Releaseinformationen.
Verwalten, wie Updates für Benutzer ausgeführt werden
Ich möchte verwalten, wann Geräte nach Updates heruntergeladen, installiert und neu gestartet werden
Es wird empfohlen, die automatische Aktualisierung zuzulassen. Dies ist das Standardverhalten. Wenn Sie keine Richtlinie für automatische Updates festlegen, versucht das Gerät mithilfe integrierter Intelligenz, z. B. intelligenter Nutzungszeiten, zu den besten Zeiten für den Benutzer herunterzuladen, zu installieren und neu zu starten.
Für eine präzisere Steuerung können Sie den maximalen Zeitraum der aktiven Stunden festlegen, die der Benutzer mit Update/ActiveHoursMaxRange festlegen kann. Mit Update/ActiveHoursEnd und Update/ActiveHoursStart können Sie auch bestimmte Start- und Endzeiten für aktive Unsere festlegen.
Es empfiehlt sich, die Richtlinie für aktive Stunden nicht festzulegen, da sie standardmäßig aktiviert ist, wenn automatische Updates nicht deaktiviert sind und eine bessere Erfahrung bietet, wenn Benutzer ihre eigenen Nutzungszeiten festlegen können.
Verwenden Sie Update/AllowAutoUpdate mit Option 2 (die Standardeinstellung), um ein Update außerhalb der Geschäftszeiten zu aktualisieren. Für eine noch präzisere Steuerung sollten Sie automatische Updates verwenden, um die Installationszeit, den Tag oder die Woche zu planen. Um einen Zeitplan zu verwenden, verwenden Sie Option 3, und legen Sie dann die folgenden Richtlinien entsprechend Ihrem Plan fest:
- Update/ScheduledInstallDay
- Update/ScheduledInstallEveryWeek
- Update/ScheduledInstallFirstWeek
- Update/ScheduledInstallFourthWeek
- Update/ScheduledInstallSecondWeek
- Update/ScheduledInstallThirdWeek
- Update/ScheduledInstallTime
Wenn Sie diese Richtlinien festlegen, erfolgt die Installation automatisch zum angegebenen Zeitpunkt, und das Gerät wird 15 Minuten nach Abschluss der Installation neu gestartet (es sei denn, es wird vom Benutzer unterbrochen).
Wenn Sie keine automatischen Updates vor dem Stichtag zulassen möchten, legen Sie Update/AllowAutoUpdate auf Option 5 fest, wodurch automatische Updates deaktiviert werden.
Ich möchte gerätesicher und mit Updatefristen konform halten
Es wird empfohlen, bestimmte Fristen für Feature- und Qualitätsupdates festzulegen, um sicherzustellen, dass Geräte auf Windows 10, Version 1709 und höher, sicher bleiben. Fristen funktionieren, indem Sie die Anzahl der Tage angeben können, die verstreichen können, nachdem ein Update für ein Gerät angeboten wurde, bevor es installiert werden muss. Sie können auch festlegen, wie viele Tage nach einem ausstehenden Neustart verstreichen können, bevor der Benutzer zum Neustart gezwungen wird. Verwenden Sie diese Einstellungen:
- Update/ConfigureDeadlineForFeatureUpdates
- Update/ConfigureDeadlineForQualityUpdates
- Update/ConfigureDeadlineGracePeriod
- Update/ConfigureDeadlineGracePeriodForFeatureUpdates
- Update/ConfigureDeadlineNoAutoReboot
Diese Richtlinien bieten auch die Möglichkeit, automatische Neustarts zu deaktivieren, bis ein Stichtag erreicht ist, indem eine "engagierte Neustarterfahrung" angezeigt wird, bis die Frist tatsächlich abgelaufen ist. An diesem Punkt plant das Gerät automatisch einen Neustart unabhängig von den Nutzungszeiten.
Diese Benachrichtigungen werden dem Benutzer je nach den von Ihnen ausgewählten Einstellungen angezeigt:
Wenn Festlegen von Stichtagen für automatische Updates und Neustarts festgelegt ist (für Windows 10 Version 1709 und höher):
Während der Neustart aussteht, bevor der Stichtag eintritt:
In den ersten Tagen erhält der Benutzer eine Popupbenachrichtigung.
Nach Ablauf dieses Zeitraums erhält der Benutzer dieses Dialogfeld:
Wenn der Benutzer einen Neustart geplant hat oder ein automatischer Neustart geplant ist, erhält der Benutzer 15 Minuten vor dem geplanten Zeitpunkt diese Benachrichtigung, dass der Neustart stattfinden wird:
Wenn der Neustart nach Ablauf der Frist noch aussteht:
Innerhalb von 12 Stunden vor Ablauf der Frist erhält der Benutzer diese Benachrichtigung, dass sich die Frist nähert:
Nach Ablauf der Frist wird der Benutzer gezwungen, einen Neustart auszuführen, um die Konformität seiner Geräte zu gewährleisten, und erhält diese Benachrichtigung:
Endbenutzereinstellungen für Benachrichtigungen
Gilt für:
Benutzer können unter Einstellungen>Windows Update>Erweiterte Optionen>Benachrichtigen, wenn ein Neustart erforderlich ist, um die Aktualisierung abzuschließen, eine Einstellung für Benachrichtigungen zu ausstehenden Neustarts für Updates festlegen. Diese Einstellung wird vom Endbenutzer gesteuert und nicht von IT-Administratoren gesteuert oder konfiguriert.
Benutzer haben die folgenden Optionen für die Einstellung Benachrichtigen, wenn ein Neustart erforderlich ist, um die Aktualisierung abzuschließen :
Aus (Standard): Sobald das Gerät in den Status "Ausstehender Neustart" für Updates wechselt, werden Neustartbenachrichtigungen 24 Stunden lang unterdrückt. Während der ersten 24 Stunden können automatische Neustarts noch außerhalb der Geschäftszeiten erfolgen. In der Regel erhalten Benutzer weniger Benachrichtigungen über bevorstehende Neustarts, während sich der Stichtag nähert.
- Wenn der Stichtag auf 1 Tag festgelegt ist, erhalten Benutzer nur eine Benachrichtigung über den Stichtag und eine letzte nicht zulässige Benachrichtigung 15 Minuten vor einem erzwungenen Neustart.
Ein: Benutzer erhalten sofort eine Popupbenachrichtigung, wenn das Gerät in den Status "Neustart ausstehend" für Updates wechselt. Automatische Neustarts für Updates werden 24 Stunden nach der ersten Benachrichtigung blockiert, um diesen Benutzern Zeit zu geben, sich auf einen Neustart vorzubereiten. Nach ablauf von 24 Stunden können automatische Neustarts erfolgen. Diese Einstellung wird für Benutzer empfohlen, die über bevorstehende Neustarts benachrichtigt werden möchten.
- Wenn die Frist auf 1 Tag festgelegt ist, erfolgt eine erste Benachrichtigung, der automatische Neustart wird für 24 Stunden blockiert, und Benutzer erhalten eine weitere Benachrichtigung vor dem Stichtag und eine letzte nicht zulässige Benachrichtigung 15 Minuten vor einem erzwungenen Neustart.
Wenn ein Stichtag auf 0 Tage festgelegt ist, unabhängig von der ausgewählten Option, erhalten Benutzer nur eine letzte nicht zulässige Benachrichtigung 15 Minuten vor einem erzwungenen Neustart.
Die Benutzerpräferenz für Benachrichtigungen gilt, wenn die folgenden Richtlinien für Konformitätsstichtage verwendet werden:
- Update/ConfigureDeadlineForFeatureUpdates
- Update/ConfigureDeadlineForQualityUpdates
- Update/ConfigureDeadlineGracePeriod
- Update/ConfigureDeadlineGracePeriodForFeatureUpdates (Windows 11, Version 22H2 oder höher)
- Update/ConfigureDeadlineNoAutoReboot
Ich möchte die Benachrichtigungen verwalten, die einem Benutzer angezeigt werden
Es gibt zusätzliche Einstellungen, die sich auf die Benachrichtigungen auswirken.
Es wird empfohlen, die Standardbenachrichtigungen zu verwenden, da sie darauf abzielen, die beste Benutzererfahrung zu bieten und gleichzeitig die von Ihnen festgelegten Konformitätsrichtlinien anzupassen. Wenn Sie weitere Anforderungen haben, die von den Standardbenachrichtigungseinstellungen nicht erfüllt werden, können Sie die Update/NoUpdateNotificationsDuringActiveHours-Richtlinie mit den folgenden Werten verwenden:
0 (Standard) – Standardbenachrichtigungen Windows Update verwenden
1 – Deaktivieren aller Benachrichtigungen mit Ausnahme von Neustartwarnungen
2 – Deaktivieren aller Benachrichtigungen, einschließlich Neustartwarnungen
Hinweis
Option 2 sorgt für eine schlechte Erfahrung für persönliche Geräte. Dies wird nur für Kioskgeräte empfohlen, auf denen automatische Neustarts deaktiviert wurden.
Weitere Optionen sind unter Update/ScheduleRestartWarning verfügbar. Mit dieser Einstellung können Sie den Zeitraum für Warnungsbenachrichtigungen zum automatischen Neustart (von 2 bis 24 Stunden; 4 Stunden ist die Standardeinstellung) vor dem Update angeben. Mit Update/ScheduleImminentRestartWarning können Sie auch den Zeitraum für Benachrichtigungen über bevorstehenden automatischen Neustart angeben (Standardeinstellung: 15 bis 60 Minuten). Es wird empfohlen, die Standardbenachrichtigungen zu verwenden.
Ich möchte die Updateeinstellungen verwalten, auf die ein Benutzer zugreifen kann.
Jedes Windows-Gerät bietet Benutzern verschiedene Steuerelemente, die sie zum Verwalten von Windows Updates verwenden können. Sie können auf diese Steuerelemente zugreifen, indem Sie nach Windows-Updates suchen, oder indem Sie in den EinstellungenUpdates und Sicherheit auswählen. Wir bieten die Möglichkeit, eine Vielzahl dieser Steuerelemente zu deaktivieren, auf die Benutzer zugreifen können.
Benutzer mit Zugriff auf Updatepauseneinstellungen können feature- und qualitätsupdates für 7 Tage verhindern. Mithilfe von Update/SetDisablePauseUXAccess können Sie verhindern, dass Benutzer Updates über die Seite mit den Windows Update Einstellungen anhalten. Wenn Sie diese Einstellung deaktivieren, sehen Benutzer Einige Einstellungen werden von Ihrem organization verwaltet, und die Einstellungen für die Updatepause sind abgeblendet.
Wenn Sie Windows Server Update Server (WSUS) verwenden, können Sie verhindern, dass Benutzer Windows Update überprüfen. Verwenden Sie dazu Update/SetDisableUXWUAccess.
Ich möchte Features aktivieren, die über die Wartung eingeführt wurden und standardmäßig deaktiviert sind.
(Ab Windows 11 Version 22H2 oder höher)
Neue Features und Verbesserungen werden durch das monatliche kumulative Update eingeführt, um kontinuierliche Innovationen für Windows 11 bereitzustellen. Um Organisationen Zeit für die Planung und Vorbereitung zu geben, sind einige dieser neuen Features standardmäßig vorübergehend deaktiviert. Features, die standardmäßig deaktiviert sind, werden im KB-Artikel für das monatliche kumulative Update aufgeführt. In der Regel ist ein Feature standardmäßig deaktiviert, da es sich entweder erheblich auf die Benutzererfahrung oder IT-Administratoren auswirkt.
Die Features, die bei Wartungsupdates standardmäßig deaktiviert sind, werden im nächsten jährlichen Featureupdate aktiviert. Organisationen können Featureupdates in ihrem eigenen Tempo bereitstellen, um diese Features zu verzögern, bis sie bereit sind.
Sie können diese Features mithilfe von AllowTemporaryEnterpriseFeatureControl aktivieren. Die folgenden Optionen sind verfügbar:
- 0 (Standard): Nicht zulässig. Ausgelieferte Features bleiben standardmäßig deaktiviert.
-
1: Zulässig. Alle Features im neuesten monatlichen kumulativen Update sind aktiviert.
- Wenn die Richtlinie auf 1 festgelegt ist, werden alle Features, die derzeit deaktiviert sind, beim nächsten Neustart des Geräts aktiviert.
Ich möchte optionale Updates aktivieren
Gilt für:
- Windows 11, Version 22H2 mit KB5029351 und höher
- Windows 10 Version 22H2 mit KB5032278 oder einem späteren kumulativen Update
Zusätzlich zum monatlichen kumulativen Update sind optionale Updates verfügbar, um neue Features und nicht sicherheitsrelevante Änderungen bereitzustellen. Die meisten optionalen Updates werden am vierten Dienstag des Monats veröffentlicht, die als optionale, nicht sicherheitsrelevante Vorschauversionen bezeichnet werden. Optionale Updates können auch Features enthalten, die schrittweise eingeführt werden, die als kontrollierte Featurerollouts (Controlled Feature Rollouts, CFRs) bezeichnet werden. Die Installation optionaler Updates ist für Geräte, die Updates mit Windows Update for Business empfangen, standardmäßig nicht aktiviert. Sie können jedoch optionale Updates für Geräte aktivieren, indem Sie AllowOptionalContent verwenden. Weitere Informationen zu optionalen Inhalten finden Sie unter Aktivieren optionaler Updates.