Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht
Das ESU-Programm (Extended Security Updates) von Microsoft stellt kritische und wichtige Sicherheitsupdates für berechtigte Windows 10 Enterprise- und Education-Geräte nach Dem Ende des Supports (EOS) am 14. Oktober 2025 bereit. In diesem Dokument wird erläutert, wie ESU-Berechtigungen, -Aktivierung und -Verwaltung für Bereitstellungen mit Windows 365 funktionieren, wobei der Schwerpunkt auf unterstützten Modellen, Berechtigungsprüfungen, Richtlinien und den technischen Implementierungsschritten liegt, die für IT-Administratoren und Kunden relevant sind, die für die Windows 10 Lifecycle Management planen.
Verweise:
Aktivieren der erweiterten sicherheitsrelevanten Updates für Windows
Windows 10 ESU für Windows 365
1. ESU-Berechtigungsmodelle
ESU funktioniert je nach Bereitstellungsszenario unterschiedlich:
Azure Virtual Desktop (AVD): Windows 10 virtuellen Computer mit mehreren Sitzungen und Einzelsitzungen in Azure Virtual Desktop (für kommerzielle Mandanten, Behörden und Bildungseinrichtungen) sind automatisch für ESU berechtigt. Es ist kein zusätzlicher Lizenzkauf oder keine Aktivierung erforderlich.
Windows 365 Cloud-PCs: Für vorhandene Cloud-PCs mit Windows 10 Version 22H2 in Azure sind ESUs ohne zusätzliche Kosten verfügbar.
Physische/andere Endpunkte: Die ESU-Abdeckung über Windows 365 Lizenz ist für das zugrunde liegende Gerät möglich, das zum Herstellen einer Verbindung mit einem lizenzierten Cloud-PC verwendet wird.
2. ESU-Berechtigungs- und Aktivierungslogik
2.1 Windows 365 Cloud-PC-Geräte.
Ab dem 14. Oktober 2025 werden Windows 10 Katalogimages entfernt und stehen nicht mehr zum Erstellen neuer Bereitstellungsrichtlinien zur Verfügung. Wenn Sie weiterhin Windows 10-basierte Bereitstellungsrichtlinien erstellen müssen, führen Sie das Verfahren zum Erstellen eines benutzerdefinierten Images basierend auf den Azure Marketplace-VM-Images aus, die bis zum 14. April 2026 verfügbar sind.
2.2 Windows 365 verbundene lokale Endpunkte
2.2.1 Lokaler Endpunkt, der mit Windows 365 Enterprise Geräten verbunden ist
Berechtigungsprüfung: Bei der Benutzeranmeldung überprüfen berechtigte Windows 10, Version 22H2-Endpunkte, ob dem Benutzer ein Windows 365 Enterprise Cloud-PC zugewiesen ist, entweder über eine direkte Lizenzzuweisung oder eine gruppenbasierte Lizenzierung.
Berechtigungslogik: Wenn eine aktive Windows 365 Enterprise Lizenz und Cloud-PC-Zuweisung vorhanden ist, wird die ESU-Berechtigung für das physische Gerät auf dieser Anmeldung für die Benutzersitzung gewährt.
2.2.2 Lokaler Endpunkt, der mit Windows 365 dedizierten Geräten in Frontline verbunden ist
Art der Frontline-Lizenz: Frontline-Lizenzen sind mandantenweit und können Benutzern nicht einzeln zugewiesen werden.
Förderfähigkeit: Jeder Benutzer, der mindestens einen dedizierten Cloud-PC in Frontline bereitgestellt hat, ist für ESU berechtigt. Eine fortlaufende Nutzung ist nicht erforderlich. Die Berechtigung basiert auf dem bereitgestellten Cloud-PC.
Berechtigungsdauer: Benutzer müssen sich mindestens alle 22 Tage mit demselben Microsoft Entra ID Konto, das sie für Windows 365 Cloud-PCs verwenden, bei ihrem lokalen Windows 10 Gerät anmelden, um die Berechtigung für ESU-Updates auf diesem Gerät aufrechtzuerhalten.
Freigegebene physische Geräte unterstützt: Mit Windows Enterprise E3 oder Microsoft 365 E3/E5 können Benutzer bis zu 10 Windows Enterprise-Instanzen pro Benutzer ausführen, entweder physisch oder virtuell. ESU gilt für jede lizenzierte instance.
Revalidation: Es kann eine Überprüfung der Berechtigung vor ablaufen (in der Regel bis zu sieben Tage vor Ablauf) erfolgen, und der Benutzer muss sich anmelden.
2.2.3 Geräte & Benutzerzuordnung
Pro Gerät, pro Sitzung: ESU-Berechtigung ist nicht übertragbar. Das Autorisieren von ESU für ein Gerät während einer Benutzersitzung wird nicht an andere Geräte weitergegeben, auch wenn derselbe Benutzer darauf zugreift.
Einschränkung nach Oktober 2025: Nach dem 15. Oktober 2025 steht kein Administrator- oder Endbenutzertool mehr zur Verfügung, um zu ermitteln, welche Endpunkte esu-Berechtigungen über Windows 365 beansprucht haben.
3. Verwaltung, Richtlinien & Opt-In Kontrollen
Explizite Richtlinienaktivierung: Geräte erfordern eine explizite ESU-Richtlinienaktivierung (über Microsoft Intune Richtlinien- oder Registrierungskonfiguration), bevor sie ESU-Updates empfangen können. Richtliniendetails finden Sie unter Aktivieren Windows 10 Extended Security Updates (ESU) für Clients, die auf Cloud- und virtuelle Computer zugreifen | Microsoft Learn
Erzwingung von Zuweisungen &: IT-Administratoren sind dafür verantwortlich, sicherzustellen, dass ESU-Richtlinien konfiguriert und ordnungsgemäß auf berechtigte Geräte festgelegt sind. Eine unsachgemäße Konfiguration kann dazu führen, dass geräte keine berechtigte ESU-Berechtigung haben.
Benutzer-/Gerätegrenzwerte: ESU-Berechtigungen werden pro Benutzer berechnet und erlauben bis zu 10 berechtigte Geräte pro Benutzer gemäß der aktuellen Richtlinie.
Reporting: Nach dem 15. Oktober 2025 sind die BENUTZER-zu-Gerät-ESU-Zuordnung und -Berichterstellung nicht mehr über Microsoft-Verwaltungstools verfügbar.
4. Technische Implementierungsschritte
Für lokale Windows 10-Endpunkte über Windows 365
Sicherstellen der Lizenzierung: Vergewissern Sie sich, dass der Benutzer über eine Windows 365 Enterprise- oder Frontline-Lizenz und einen zugewiesenen Cloud-PC verfügt.
Durch die Anmeldung ausgelöste Überprüfung: Wenn Sie sich beim lokalen Gerät mit demselben Microsoft Entra ID Konto anmelden, das für den Zugriff auf den Cloud-PC verwendet wurde, wird die Überprüfung der Geräteberechtigung über einen Microsoft-Cloudhandshake ausgelöst.
Richtlinienaktivierung: IT-Administratoren müssen die ESU-Aktivierung über Microsoft Intune Richtlinien- oder Registrierungseinstellungen auf diesen Geräten konfigurieren.
Konnektivitätsanforderung: Das Gerät muss regelmäßig eine Verbindung mit Microsoft-Diensten herstellen (mindestens einmal alle 22 Tage oder pro Sitzung), um die laufende ESU-Berechtigung aufrechtzuerhalten.
5. Bewährte Methoden
Priorisieren Windows 11 Migration: Verwenden Sie ESU nur für Windows 10, wenn Hardwarebeschränkungen oder Workloadabhängigkeiten ein Upgrade auf Windows 11 verhindern.
Strenge Gerätenachverfolgung: Verwalten Sie Ihre eigenen Datensätze von ESU-berechtigten Endpunkten. Nach Oktober 2025 ist keine zentrale Administratorenumeration verfügbar.
Automatisieren Sie nach Möglichkeit: Automatisieren Sie ESU-Berechtigungsprüfungen, Richtlinienzuweisungen und Patchbereitstellungen nach Möglichkeit, insbesondere in dynamischen oder freigegebenen Geräteumgebungen.
- Überprüfen Sie den Richtlinienbereich regelmäßig: Überprüfen Sie regelmäßig Gruppenrichtlinie- und MDM-Bereich, um sicherzustellen, dass ESU nur auf berechtigte Endpunkte angewendet wird. Außer Betrieb genommene, wiederverwendete oder außer Betrieb gesetzte Geräte sollten explizit ausgeschlossen werden.