Programmgesteuerte Steuerelemente für beschleunigte Windows-Qualitätsupdates
In diesem Artikel gehen Sie wie folgt vor:
Voraussetzungen
Alle Windows Autopatch-Voraussetzungen müssen erfüllt sein, einschließlich der Sicherstellung, dass die Updateintegritätstools auf den Clients installiert sind.
Wichtig
Dieser Schritt ist nicht erforderlich, wenn auf Ihrem Gerät Windows 11 24H2 und höher ausgeführt wird.
- Die Updateintegritätstools werden ab KB4023057 installiert. Um das Vorhandensein der Update Health Tools auf einem Gerät zu bestätigen, verwenden Sie eine der folgenden Methoden:
- Ausführen eines Bereitschaftstests für beschleunigte Updates
- Suchen Sie nach dem Ordner C:\Programme\Microsoft Update Health Tools , oder lesen Sie Software hinzufügen für Microsoft Update Health Tools.
- PowerShell-Beispielskript zum Überprüfen der Installation der Tools:
Get-CimInstance -ClassName Win32_Product \| Where-Object {$_.Name -match "Microsoft Update Health Tools"}
Berechtigungen
Die folgenden Berechtigungen sind für die in diesem Artikel aufgeführten Abfragen erforderlich:
- WindowsUpdates.ReadWrite.All für Windows Autopatch-Vorgänge .
- Mindestens die Berechtigung Device.Read.All zum Anzeigen von Geräteinformationen .
Einige Rollen, z. B. der Windows Update-Bereitstellungsadministrator, verfügen bereits über diese Berechtigungen.
Erforderliche Endpunkte
Sie müssen Zugriff auf die folgenden Endpunkte haben:
- *.prod.do.dsp.mp.microsoft.com
- *.windowsupdate.com
- *.dl.delivery.mp.microsoft.com
- *.update.microsoft.com
- *.delivery.mp.microsoft.com
- tsfe.trafficshaping.dsp.mp.microsoft.com
Graph-API Endpunkte:
- devicelistenerprod.microsoft.com
- login.Windows.net
- payloadprod*.blob.core.windows.net
Open Graph Explorer
In diesem Artikel verwenden Sie Graph Explorer, um Anforderungen an die Microsoft Graph-APIs zum Abrufen, Hinzufügen, Löschen und Aktualisieren von Daten zu senden. Graph Explorer ist ein Entwicklertool, mit dem Sie mehr über Microsoft Graph-APIs erfahren können. Weitere Informationen zur Verwendung von Graph Explorer finden Sie unter Erste Schritte mit Graph Explorer.
Warnung
- Anforderungen, die in diesem Artikel aufgeführt sind, erfordern die Anmeldung mit einem Microsoft 365-Konto. Bei Bedarf steht eine kostenlose einmonatige Testversion für Microsoft 365 Business Premium zur Verfügung.
- Die Verwendung eines Testmandanten zum Erlernen und Überprüfen des Bereitstellungsprozesses wird dringend empfohlen. Graph Explorer soll ein Lerntool sein. Stellen Sie sicher, dass Sie die Einwilligung erteilen und den Einwilligungstyp für Graph Explorer verstehen, bevor Sie fortfahren.
Wechseln Sie in einem Browser zu Graph Explorer, und melden Sie sich mit einem Microsoft Entra Benutzerkonto an.
Möglicherweise müssen Sie die Berechtigung für die
WindowsUpdates.ReadWrite.AllVerwendung der Abfragen in diesem Artikel aktivieren. So aktivieren Sie die Berechtigung- Wählen Sie in Graph Explorer die Registerkarte Berechtigungen ändern aus.
- Wählen Sie im Dialogfeld berechtigungen die Berechtigung WindowsUpdates.ReadWrite.All und dann Zustimmung aus. Möglicherweise müssen Sie sich erneut anmelden, um die Zustimmung zu erteilen.
So stellen Sie Anforderungen:
- Wählen Sie in der Dropdownliste für die HTTP-Methode get, POST, PUT, PATCH oder DELETE aus.
- Geben Sie die Anforderung in das URL-Feld ein. Die Version wird basierend auf der URL automatisch aufgefüllt.
- Wenn Sie den Anforderungstext ändern müssen, bearbeiten Sie die Registerkarte Anforderungstext .
- Wählen Sie die Schaltfläche Abfrage ausführen aus. Die Ergebnisse werden im Antwortfenster angezeigt.
Tipp
Wenn Sie sich die Microsoft Graph-Dokumentation ansehen, stellen Sie möglicherweise fest, dass in Beispielanforderungen in der Regel aufgelistet wird
content-type: application/json. Die Angabecontent-typeist in der Regel für Graph Explorer nicht erforderlich, aber Sie können sie der Anforderung hinzufügen, indem Sie die Registerkarte Header auswählen und demcontent-typeFeld Anforderungsheader als Schlüssel undapplication/jsonals Wert hinzufügen.
Ausführen von Abfragen zum Identifizieren von Geräten
Verwenden Sie den Geräteressourcentyp , um Clients für die Registrierung bei Windows Autopatch zu finden. Ändern Sie die Abfrageparameter an Ihre spezifischen Anforderungen. Weitere Informationen finden Sie unter Verwenden von Abfrageparametern.
Zeigt die AzureAD-Geräte-ID und den Namen aller Geräte an:
GET https://graph.microsoft.com/v1.0/devices?$select=deviceid,displayNameZeigt die AzureAD-Geräte-ID und den Namen für Geräte an, deren Name mit
Testbeginnt:GET https://graph.microsoft.com/v1.0/devices?$filter=startswith(displayName,'Test')&$select=deviceid,displayName
Hinzufügen eines Anforderungsheaders für erweiterte Abfragen
Legen Sie für die nächsten Anforderungen den ConsistencyLevel-Header auf fest eventual. Weitere Informationen zu erweiterten Abfrageparametern finden Sie unter Erweiterte Abfragefunktionen für Microsoft Entra Verzeichnisobjekte.
Wählen Sie in Graph Explorer die Registerkarte Anforderungsheader aus.
Geben Sie unter Schlüsseltyp in
ConsistencyLevelund für Wert eineventual.Wählen Sie die Schaltfläche Hinzufügen aus. Wenn Sie fertig sind, entfernen Sie den Anforderungsheader, indem Sie auf das Papierkorbsymbol klicken.
Zeigen Sie den Namen und die Betriebssystemversion für das Gerät an, das
01234567-89ab-cdef-0123-456789abcdefüber die AzureAD-Geräte-ID verfügt:GET https://graph.microsoft.com/v1.0/devices?$search="deviceid:01234567-89ab-cdef-0123-456789abcdef"&$select=displayName,operatingSystemVersionUm Geräte zu finden, bei denen es sich wahrscheinlich nicht um virtuelle Computer handelt, filtern Sie nach Geräten, auf denen kein virtueller Computer als Modell, aber ein Hersteller aufgeführt ist. Zeigen Sie die AzureAD-Geräte-ID, den Namen und die Betriebssystemversion für jedes Gerät an:
GET https://graph.microsoft.com/v1.0/devices?$filter=model ne 'virtual machine' and NOT(manufacturer eq null)&$count=true&$select=deviceid,displayName,operatingSystemVersion
Tipp
Anforderungen, die den Geräteressourcentyp verwenden, verfügen in der Regel sowohl über einen id als auch über einen deviceid:
- ist
deviceiddie Microsoft Entra Geräte-ID und wird in diesem Artikel verwendet.- Später in diesem Artikel wird dies
deviceidalsidverwendet, wenn Sie bestimmte Anforderungen stellen, z. B. das Hinzufügen eines Geräts zu einer Bereitstellungszielgruppe.
- Später in diesem Artikel wird dies
- Der
idaus dem Geräteressourcentyp ist in der Regel die Microsoft Entra Objekt-ID, die in diesem Artikel nicht verwendet wird.
Auflisten von Katalogeinträgen für beschleunigte Updates
Jedes Update ist einem eindeutigen Katalogeintrag zugeordnet. Sie können den Katalog abfragen, um Updates zu finden, die beschleunigt werden können. Die id zurückgegebene ist die Katalog-ID und wird zum Erstellen einer Bereitstellung verwendet. Die folgende Abfrage listet alle Sicherheits- und nicht sicherheitsrelevanten Qualitätsupdates auf, die als beschleunigte Updates von Windows Autopatch bereitgestellt werden können. Mithilfe von $top=2 und Sortierung nach ReleaseDateTimeshows werden die neuesten Updates angezeigt, die als beschleunigt bereitgestellt werden können.
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true&$orderby=releaseDateTime desc&$top=2
Die folgende abgeschnittene Antwort zeigt die Katalog-ID für e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5 das 08/08/2023 - 2023.08 B SecurityUpdate for Windows 10 and later Sicherheitsupdate an:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5",
"displayName": "08/08/2023 - 2023.08 B SecurityUpdate for Windows 10 and later",
"deployableUntilDateTime": null,
"releaseDateTime": "2023-08-08T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2023-08 Cumulative Update for Windows 10 and later",
"shortName": "2023.08 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 9.8,
"exploitedCves@odata.context": "https://graph.microsoft.com/$metadata#admin/windows/updates/catalog/entries('e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5')/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves",
"exploitedCves": [
{
"number": "ADV230003",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/ADV230003"
},
{
"number": "CVE-2023-38180",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180"
}
]
}
}
]
}
Windows Autopatch kann weitere Informationen zu Updates anzeigen, die am oder nach Januar 2023 veröffentlicht wurden. Durch die Verwendung der Produktrevision erhalten Sie zusätzliche Informationen zu den Updates, z. B. die KB-Nummern und die MajorVersion.MinorVersion.BuildNumber.UpdateBuildRevision. Windows 10 und 11 verwenden die gleichen Haupt- und Nebenversionen, weisen jedoch unterschiedliche Buildnummern auf.
Verwenden Sie Folgendes, um die Produktrevisionsinformationen für das neueste Qualitätsupdate anzuzeigen:
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions&$orderby=releaseDateTime desc&$top=1
Die folgende abgeschnittene Antwort zeigt Informationen zu KB5029244 für Windows 10 Version 22H2 und KB5029263 für Windows 11 Version 22H2 an:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries(microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions())",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5",
"displayName": "08/08/2023 - 2023.08 B SecurityUpdate for Windows 10 and later",
"deployableUntilDateTime": null,
"releaseDateTime": "2023-08-08T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2023-08 Cumulative Update for Windows 10 and later",
"shortName": "2023.08 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 9.8,
"exploitedCves@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries('e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5')/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves",
"exploitedCves": [
{
"number": "ADV230003",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/ADV230003"
},
{
"number": "CVE-2023-38180",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180"
}
]
},
"productRevisions@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries('e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5')/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions",
"productRevisions": [
{
"id": "10.0.19045.3324",
"displayName": "Windows 10, version 22H2, build 19045.3324",
"releaseDateTime": "2023-08-08T00:00:00Z",
"version": "22H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19045,
"updateBuildRevision": 3324
},
"knowledgeBaseArticle@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries('e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5')/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions('10.0.19045.3324')/knowledgeBaseArticle/$entity",
"knowledgeBaseArticle": {
"id": "KB5029244",
"url": "https://support.microsoft.com/help/5029244"
}
},
{
"id": "10.0.22621.2134",
"displayName": "Windows 11, version 22H2, build 22621.2134",
"releaseDateTime": "2023-08-08T00:00:00Z",
"version": "22H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22621,
"updateBuildRevision": 2134
},
"knowledgeBaseArticle@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries('e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5')/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions('10.0.22621.2134')/knowledgeBaseArticle/$entity",
"knowledgeBaseArticle": {
"id": "KB5029263",
"url": "https://support.microsoft.com/help/5029263"
}
},
Erstellen einer Bereitstellung
Beim Erstellen einer Bereitstellung stehen mehrere Optionen zur Verfügung, um zu definieren, wie sich die Bereitstellung verhält. Im folgenden Beispiel wird eine Bereitstellung für das Sicherheitsupdate mit der 08/08/2023 - 2023.08 B SecurityUpdate for Windows 10 and later Katalogeintrags-ID e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5erstellt und die expedite Bereitstellungsoptionen und userExperience im Anforderungstext definiert.
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.deployment",
"content": {
"@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
"catalogEntry": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5"
}
},
"settings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"expedite": {
"isExpedited": true
},
"userExperience": {
"daysUntilForcedReboot": 2
}
}
}
Die Anforderung gibt den Antwortcode 201 Created und ein Bereitstellungsobjekt im Antworttext für die neu erstellte Bereitstellung zurück, die Folgendes umfasst:
- Die Bereitstellungs-ID
de910e12-3456-7890-abcd-ef1234567890der neu erstellten Bereitstellung. - Die Zielgruppen-ID
d39ad1ce-0123-4567-89ab-cdef01234567der neu erstellten Bereitstellungszielgruppe.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments/$entity",
"id": "de910e12-3456-7890-abcd-ef1234567890",
"createdDateTime": "2024-01-30T19:43:37.1672634Z",
"lastModifiedDateTime": "2024-01-30T19:43:37.1672644Z",
"state": {
"effectiveValue": "offering",
"requestedValue": "none",
"reasons": []
},
"content": {
"@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
"catalogEntry@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('073fb534-5cdd-4326-8aa2-a4d29037b60f')/content/microsoft.graph.windowsUpdates.catalogContent/catalogEntry/$entity",
"catalogEntry": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5",
"displayName": null,
"deployableUntilDateTime": null,
"releaseDateTime": "2023-08-08T00:00:00Z",
"isExpeditable": false,
"qualityUpdateClassification": "security",
"catalogName": null,
"shortName": null,
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": null
}
},
"settings": {
"schedule": null,
"monitoring": null,
"contentApplicability": null,
"userExperience": {
"daysUntilForcedReboot": 2,
"offerAsOptional": null
},
"expedite": {
"isExpedited": true,
"isReadinessTest": false
}
},
"audience@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('de910e12-3456-7890-abcd-ef1234567890')/audience/$entity",
"audience": {
"id": "d39ad1ce-0123-4567-89ab-cdef01234567",
"applicableContent": []
}
}
Hinzufügen von Mitgliedern zur Bereitstellungszielgruppe
Die Zielgruppen-ID wurde erstellt, d39ad1ce-0123-4567-89ab-cdef01234567als die Bereitstellung erstellt wurde. Die Zielgruppen-ID wird verwendet, um Mitglieder zur Bereitstellungszielgruppe hinzuzufügen. Nachdem die Bereitstellungszielgruppe aktualisiert wurde, beginnt Windows Update, das Update gemäß den Bereitstellungseinstellungen für die Geräte anzubieten. Solange die Bereitstellung vorhanden ist und sich das Gerät in der Zielgruppe befindet, wird das Update beschleunigt.
Im folgenden Beispiel werden der Bereitstellungszielgruppe mithilfe der Microsoft Entra ID für jedes Gerät zwei Geräte hinzugefügt:
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/updateAudience
content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "01234567-89ab-cdef-0123-456789abcdef"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "01234567-89ab-cdef-0123-456789abcde0"
}
]
}
Führen Sie die folgende Abfrage mithilfe der Zielgruppen-ID aus d39ad1ce-0123-4567-89ab-cdef01234567, um zu überprüfen, ob die Geräte der Zielgruppe hinzugefügt wurden:
GET https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/members
Löschen einer Bereitstellung
Um eine beschleunigte Bereitstellung zu beenden, LÖSCHEN Sie die Bereitstellung. Durch das Löschen der Bereitstellung wird verhindert, dass der Inhalt für Geräte angeboten wird, wenn sie ihn noch nicht erhalten haben. Um das Angebot des Inhalts fortzusetzen, muss eine neue Genehmigung erstellt werden.
Im folgenden Beispiel wird die Bereitstellung mit der Bereitstellungs-ID gelöscht de910e12-3456-7890-abcd-ef1234567890:
DELETE https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890
Bereitschaftstest zum Beschleunigen von Updates
Mithilfe von isReadinessTest können Sie überprüfen, ob Clients beschleunigte Updates empfangen können. Erstellen Sie eine Bereitstellung, die angibt, dass es sich um einen beschleunigten Bereitschaftstest handelt, und fügen Sie dann Mitglieder zur Bereitstellungszielgruppe hinzu. Der Dienst überprüft, ob die Clients die Voraussetzungen für die Beschleunigung von Updates erfüllen. Die Ergebnisse des Tests werden in der Windows Update for Business-Berichtsarbeitsmappe angezeigt. Wählen Sie auf der Registerkarte Qualitätsupdates die Kachel Status beschleunigen aus, wodurch ein Flyout mit einer Registerkarte Bereitschaft mit den Ergebnissen des Bereitschaftstests geöffnet wird.
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.deployment",
"content": {
"@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
"catalogEntry": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5"
}
},
"settings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"expedite": {
"isExpedited": true,
"isReadinessTest": true
}
}
}
Die abgeschnittene Antwort zeigt an, dass isReadinessTest auf true festgelegt ist, und gibt Ihnen die DeploymentID von de910e12-3456-7890-abcd-ef1234567890. Sie können dann Mitglieder zur Bereitstellungszielgruppe hinzufügen, damit der Dienst überprüft, ob die Geräte die Vorabanforderungen erfüllen, und dann die Ergebnisse in der Windows Update for Business-Berichtsarbeitsmappe überprüfen.
"expedite": {
"isExpedited": true,
"isReadinessTest": true
}
},
"audience@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('6a6c03b5-008e-4b4d-8acd-48144208f179_Readiness')/audience/$entity",
"audience": {
"id": "de910e12-3456-7890-abcd-ef1234567890",
"applicableContent": []
}
Protokollspeicherort für die Updateintegritätstools
Die Updateintegritätstools werden verwendet, wenn Sie beschleunigte Updates bereitstellen. In einigen Fällen möchten Sie möglicherweise die Protokolle für die Updateintegritätstools überprüfen.
Protokollspeicherort: %ProgramFiles%\Microsoft Update Health Tools\Logs
- Die Protokolle haben ein
.etlFormat.- Microsoft bietet PerfView als Download auf GitHub an, der Dateien anzeigt
.etl.
- Microsoft bietet PerfView als Download auf GitHub an, der Dateien anzeigt
Weitere Informationen finden Sie unter Problembehandlung für beschleunigte Updates.