Bereitstellen eines beschleunigten Sicherheitsupdates mithilfe des Windows Update for Business-Bereitstellungsdiensts
Mit dem Windows Update for Business-Bereitstellungsdienst können Sie Windows-Updates auf Geräten in einem Azure AD-Mandanten bereitstellen. Heute unterstützt der Bereitstellungsdienst Bereitstellungen von Windows 10/11-Featureupdates, beschleunigten Sicherheitsupdates und Treiberupdates. Dieses Thema konzentriert sich auf Bereitstellungen beschleunigter Sicherheitsupdates. Informationen zum Bereitstellen von Featureupdates finden Sie unter Bereitstellen eines Featureupdates. Informationen zum Bereitstellen von Treiberupdates finden Sie unter Verwalten von Treiberupdates.
Durch das Beschleunigen eines Sicherheitsupdates werden Windows Update für Unternehmen-Zurückstellungsrichtlinien außer Kraft gesetzt, damit das Update so schnell wie möglich installiert wird. Dies kann nützlich sein, wenn kritische Sicherheitsereignisse auftreten und Sie die neuesten Updates schneller als normal bereitstellen müssen. Es kann zwar helfen, Complianceziele für ein bestimmtes Sicherheitsupdate zu erreichen, ist aber nicht für die monatliche Verwendung konzipiert. Erwägen Sie stattdessen die Verwendung von Konformitätsstichtagen für Updates.
Wenn Sie ein beschleunigtes Sicherheitsupdate auf einem Gerät bereitstellen, bietet Windows Update das neueste anwendbare Update für das Gerät an, wenn es das Update noch nicht mit dem angegebenen Veröffentlichungsdatum erhalten hat. Wenn Sie beispielsweise das am 13. April 2021 veröffentlichte Sicherheitsupdate Windows 10 auf einem Gerät bereitstellen, auf dem das Update derzeit nicht vorhanden ist, erhält das Gerät ein beschleunigtes Update. Wenn das Gerät bereits über das angegebene Update oder neuer verfügt, erhält es kein beschleunigtes Update.
Beschleunigte Sicherheitsupdates weisen außerdem die folgenden Merkmale auf:
- Das Update beginnt sofort, anstatt auf den nächsten regulären Updatescan zu warten, der standardmäßig alle 22 Stunden durchgeführt wird.
- Das Update wird so schnell wie möglich heruntergeladen und installiert.
- Der Aktualisierungsprozess setzt konfigurierte Geräterichtlinieneinstellungen außer Kraft, z. B. Tage, bis das Gerät zum Neustart gezwungen wird. Nachdem das beschleunigte Update installiert wurde, kehrt das Gerät zu den aktuellen Richtlinieneinstellungen zurück.
Voraussetzungen
- Geräte erfüllen die Voraussetzungen für den Bereitstellungsdienst.
- Geräte haben das in KB4023057 – Update für Windows 10 Update Service-Komponenten (oder höher) beschriebene Update installiert.
Schritt 1: (Optional) Abrufen einer Liste mit beschleunigten Updates
Sie können den Bereitstellungsdienstkatalog abfragen, um eine Liste von Updates zu erhalten, die als Inhalt in einer Bereitstellung auf Geräte beschleunigt werden können.
Sicherheitsupdates werden durch den QualityUpdateCatalogEntry-Typ mit einer qualityUpdateClassification von securitydargestellt. Alle Windows 10 Qualitätsupdates, die als Sicherheitsupdates klassifiziert sind, können beschleunigt werden und sind mit der eigenschaft isExpeditable gekennzeichnet, die auf true festgelegt ist, um sie zu identifizieren.
Im Folgenden finden Sie ein Beispiel für die Abfrage aller Windows 10 Sicherheitsupdates, die vom Bereitstellungsdienst als beschleunigte Updates bereitgestellt werden können. Microsoft empfiehlt, nur die drei aktuellen Updates anzuzeigen, daher enthält $top=3das Beispiel .
Anforderung
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=3&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true&$orderby=releaseDateTime desc
Antwort
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "bd9554dc-2737-4e3c-b794-fa2b8b3f4a30",
"displayName": "MM/DD/YYYY - YYYY.MM B Security Updates for Windows 10",
"releaseDateTime": "String (timestamp)",
"deployableUntilDateTime": null,
"isExpeditable": true,
"qualityUpdateClassification": "security"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "68860630-c2d0-4dd2-8c4b-9b9737ee5081",
"displayName": "MM/DD/YYYY - YYYY.MM B Security Updates for Windows 10",
"releaseDateTime": "String (timestamp)",
"deployableUntilDateTime": null,
"isExpeditable": true,
"qualityUpdateClassification": "security"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "aa336b13-db33-4d94-89ea-90e43e4ad30b",
"displayName": "MM/DD/YYYY - YYYY.MM B Security Updates for Windows 10",
"releaseDateTime": "String (timestamp)",
"deployableUntilDateTime": null,
"isExpeditable": true,
"qualityUpdateClassification": "security"
}
]
}
Schritt 2: Erstellen einer Bereitstellung
Eine Bereitstellung gibt den bereitzustellenden Inhalt an, wie und wann der Inhalt bereitgestellt werden soll, und die Zielgeräte. Bei Qualitätsupdates wird der Inhalt mithilfe eines Zielkonformitätsdatums angegeben. Wenn eine Bereitstellung erstellt wird, wird automatisch eine Bereitstellungszielgruppe als Beziehung erstellt.
Wenn Sie ein beschleunigtes Sicherheitsupdate auf einem Gerät bereitstellen, bietet Windows Update ein Update an, das das Gerät über die angegebene Mindestkonformitätsstufe bringt. Je nachdem, wann jedes Gerät überprüfungen und updates, erhalten einige Geräte möglicherweise neuere Updates (z. B. wenn ein neueres Sicherheitsupdate vorhanden ist als das, das der gewünschten Mindestkonformitätsstufe entspricht), aber alle Geräte erfüllen den angegebenen Sicherheitsupdate-Compliancestandard. Dieses Verhalten des Anbietens des neuesten anwendbaren Updates, das durch die Eigenschaft entsprechungContent angegeben wird, die auf den Standardwert latestSecurityfestgelegt ist, trägt dazu bei, geräte so sicher wie möglich zu halten und verhindert, dass ein Gerät ein beschleunigtes Update empfängt, gefolgt von einem weiteren regulären Update nur wenige Tage später.
Sie können die Toleranzperiode für den Geräteneustart mithilfe der Eigenschaft daysUntilForcedReboot in den Einstellungen für die Benutzererfahrung der Bereitstellung konfigurieren. Die Toleranzperiode legt die Zeitdauer nach der Installation fest, die der Benutzer beim Neustart des Geräts steuern kann. Wenn das Gerät bis zum Ablauf der Toleranzperiode nicht neu gestartet wurde, wird es automatisch neu gestartet.
Im Folgenden finden Sie ein Beispiel für das Erstellen einer Bereitstellung für ein beschleunigtes Qualitätsupdate. Die Zielgeräte werden im nächsten Schritt angegeben.
Anforderung
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.deployment",
"content": {
"@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
"catalogEntry": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "catalog/entries/1"
}
},
"settings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"expedite": {
"isExpedited": true
},
"userExperience": {
"daysUntilForcedReboot": 2
}
}
}
Antwort
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.deployment,
"id": "b5171742-1742-b517-4217-17b5421717b5",
"createdDateTime": "String (timestamp)",
"lastModifiedDateTime": "String (timestamp)",
"state": {
"effectiveValue": "offering",
"requestedValue": "none",
"reasons": []
},
"content": {
"@odata.type": "#microsoft.graph.windowsUpdates.catalogContent"
},
"settings": {
"schedule": null,
"monitoring": null,
"contentApplicability": null,
"userExperience": {
"daysUntilForcedReboot": 2
},
"expedite": {
"isExpedited": true
}
}
}
Schritt 3: Zuweisen von Geräten zur Bereitstellungszielgruppe
Nachdem eine Bereitstellung erstellt wurde, können Sie der Bereitstellungszielgruppe Geräte zuweisen. Wenn die Bereitstellungszielgruppe erfolgreich aktualisiert wurde, beginnt Windows Update, das Update gemäß den Bereitstellungseinstellungen für die relevanten Geräte anzubieten.
Geräte werden automatisch beim Dienst registriert, wenn sie den Member- oder Ausschlusssammlungen einer Bereitstellungszielgruppe hinzugefügt werden (d. a. ein azureADDevice-Objekt wird automatisch erstellt, wenn es noch nicht vorhanden ist).
Im folgenden Beispiel wird gezeigt, wie Sie Azure AD-Geräte als Mitglieder der Bereitstellungszielgruppe hinzufügen.
Anforderung
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments/{deploymentId}/audience/updateAudience
Content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "String (identifier)"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "String (identifier)"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "String (identifier)"
}
]
}
Antwort
HTTP/1.1 202 Accepted
Während einer Bereitstellung
Während eine Bereitstellung ausgeführt wird, können Sie die Bereitstellung anhalten, indem Sie ihren Status aktualisieren sowie die Benutzergruppenmitglieder und Ausschlüsse aktualisieren.
Nach einer Bereitstellung
Nachdem allen Geräten, die einer Bereitstellungszielgruppe zugewiesen sind, das Update anfänglich angeboten wurde, ist es möglich, dass aufgrund von Faktoren wie der Gerätekonnektivität nicht alle Geräte das Update gestartet oder abgeschlossen haben. Solange die Bereitstellung noch vorhanden ist, wird weiterhin sichergestellt, dass Windows Update das Update für die zugewiesenen Geräte anbietet, wenn sie die Verbindung wiederherstellen.