Verwaltung mobiler Geräte (MDM) für Geräteupdates

Tipp

Wenn Sie kein Entwickler oder Administrator sind, finden Sie weitere hilfreiche Informationen im Windows Update: häufig gestellte Fragen.

Mit PCs, Tablets, Telefonen und IoT-Geräten setzen sich Lösungen zur Verwaltung mobiler Geräte (Mobile Device Management, MDM) als leichtgewichtige Geräteverwaltungstechnologie immer mehr durch. Unter Windows investieren wir stark in die Erweiterung der Verwaltungsfunktionen, die für MDMs verfügbar sind. Eine wichtige Funktion, die wir hinzufügen, ist die Möglichkeit für MDMs, Geräte mit den neuesten Microsoft-Updates auf dem neuesten Stand zu halten.

Windows stellt insbesondere APIs bereit, mit denen MDMs Folgendes ermöglichen können:

  • Sicherzustellen, dass die Rechner auf dem neuesten Stand bleiben, indem Sie Richtlinien für automatische Updates konfigurieren.
  • Testen Sie Updates auf einer kleineren Gruppe von Computern, indem Sie konfigurieren, welche Updates für ein bestimmtes Gerät genehmigt werden. Führen Sie dann einen unternehmensweiten Rollout durch.
  • Rufen Sie den Konformitätsstatus verwalteter Geräte ab. Die IT-Abteilung kann verstehen, welche Computer noch einen Sicherheitspatch benötigen, oder wie aktuell ein bestimmter Computer ist.
  • Konfigurieren Sie Richtlinien für automatische Updates, um sicherzustellen, dass Geräte auf dem neuesten Stand bleiben.
  • Abrufen von Geräte-Kompatibilitätsinformationen (die Liste der Updates, die erforderlich, aber noch nicht installiert sind).
  • Geben Sie eine Updategenehmigungsliste nach Gerät ein. Die Liste stellt sicher, dass Geräte nur Updates installieren, die genehmigt und getestet wurden.
  • Genehmigen Sie Endbenutzer-Lizenzverträge (End-User License Agreements, EULAs) für den Endbenutzer, damit die Updatebereitstellung auch für Updates mit EULAs automatisiert werden kann.

In diesem Artikel erhalten unabhängige Softwarehersteller (INDEPENDENT Software Vendors, ISV) die Informationen, die sie zum Implementieren der Updateverwaltung in Windows benötigen. Weitere Informationen finden Sie unter Richtlinien-CSP – Update.

Hinweis

Die OMA DM-APIs zum Angeben von Updategenehmigungen und zum Abrufen des Kompatibilitätsstatus beziehen sich auf Updates mithilfe einer Update-ID. Die Update-ID ist eine GUID, die ein bestimmtes Update identifiziert. Die MDM möchte IT-freundliche Informationen zum Update anstelle einer unformatierten GUID anzeigen, einschließlich Titel, Beschreibung, KB, Updatetyp, z. B. Sicherheitsupdates oder Service Packs. Weitere Informationen finden Sie unter [MS-WSUSSS]: Windows Update Services: Server-Server Protocol.

Das folgende Diagramm bietet eine konzeptionelle Übersicht über die Funktionsweise:

Updateverwaltung für mobile Geräte.

Das Diagramm kann grob in drei Bereiche unterteilt werden:

  • Der Geräteverwaltungsdienst synchronisiert Update Informationen (Titel, Beschreibung, Anwendbarkeit) von Microsoft Update mithilfe des Server-Server-Synchronisierungsprotokolls (Oberes Diagramm).
  • Der Geräteverwaltungsdienst legt die Richtlinien für automatische Updates fest, ruft Updateüberwachungs-Informationen ab und legt Genehmigungen über OMA DM (Linker Teil des Diagramms) fest.
  • Das Gerät ruft Updates von Microsoft Update mithilfe des Client-/Serverprotokolls ab. Es werden nur Updates heruntergeladen und installiert, die für das Gerät gelten und von der IT-Abteilung genehmigt werden (rechter Teil des Diagramms).

Abrufen von Updatemetadaten mithilfe des Server-Server-Synchronisierungsprotokolls

Der Microsoft Update-Katalog enthält viele Updates, die von MDM-verwalteten Geräten nicht benötigt werden. Es enthält Updates für Legacy-Software, z. B. Updates für Servers, kompatible Desktopbetriebssysteme, Legacy-Apps und eine große Anzahl von Treibern. Wir empfehlen, dass MDMs das Server-Server-Synchronisierungsprotokoll verwendet, um Updatemetadaten für vom Client gemeldete Updates zu erhalten.

In diesem Abschnitt wird dieses Setup beschrieben. Das folgende Diagramm zeigt den Server-Server-Synchronisierungsprotokoll-Prozess.

MDM-Server – Serversynchronisierung.

MSDN bietet viele Informationen zum Server-Server-Synchronisierungsprotokoll. Insbesondere:

  • Es handelt sich um ein SOAP-basiertes Protokoll, und Sie können die WSDL im Serversynchronisierungswebdienst abrufen. Die WSDL kann verwendet werden, um aufrufende Proxys für viele Programmierumgebungen zu generieren, um die Entwicklung zu vereinfachen.
  • Codebeispiele finden Sie in Protokollbeispielen. Der Beispielcode zeigt unformatierte SOAP-Befehle, die verwendet werden können. Obwohl es noch einfacher ist, den Aufruf aus einer Programmiersprache wie .NET zu tätigen (aufrufen der von WSDL generierten Proxys). Der von der Serversynchronisierungs-WSDL generierte Stub generiert eine falsche Bindungs-URL. Die Bindungs-URL sollte auf https://fe2.update.microsoft.com/v6/ServerSyncWebService/serversyncwebservice.asmx festgelegt sein.

Einige wichtige Highlights:

  • Das Protokoll hat eine Autorisierungsphase (Aufruf von GetAuthConfig, GetAuthorizationCookie, und GetCookie). In Protokollbeispielen zeigt der Code im Beispiel 1: Autorisierung, wie die Autorisierung durchgeführt wird. Obwohl es als Autorisierungsphase bezeichnet wird, ist das Protokoll vollständig offen (für die Ausführung dieser Phase des Protokolls sind keine Anmeldeinformationen erforderlich). Diese Abfolge von Aufrufen ist erforderlich, um ein Cookie für den Hauptteil des Sync-Protokolls zu erhalten. Als Optimierung können Sie das Cookie zwischenspeichern und diese Sequenz nur wieder aufrufen, wenn Ihr Cookie abgelaufen ist.
  • Das Protokoll ermöglicht es dem MDM, Updatemetadaten für ein bestimmtes Update durch Aufrufen von GetUpdateData zu synchronisieren. Weitere Informationen finden Sie unter GetUpdateData in MSDN. Die LocURI, um die anwendbaren Updates mit ihren Revisionsnummern abzurufen, ist <LocURI>./Vendor/MSFT/Update/InstallableUpdates?list=StructData</LocURI>. Da nicht alle Updates über die S2S-Synchronisierung verfügbar sind, stellen Sie sicher, dass Sie SOAP-Fehler behandeln.
  • Für mobile Geräte können Sie Metadaten für ein bestimmtes Update synchronisieren, indem Sie GetUpdateData aufrufen. Alternativ können Sie für eine lokale Lösung die Windows Server Update Services (WSUS) verwenden und die Updates für mobile Geräte manuell von der Microsoft Update-Katalogwebsite importieren. Weitere Informationen finden Sie unter Prozessflussdiagramm und Screenshots des Server-Synchronisierungsprozesses.

Hinweis

Im Laufe der Zeit ändert Microsoft Update Metadaten für ein bestimmtes Update, z. B. durch Aktualisieren beschreibender Informationen, Beheben von Fehlern in Anwendbarkeitsregeln, Vornehmen von Lokalisierungsänderungen usw. Jedes Mal, wenn eine Änderung auftritt, die sich nicht auf das Update selbst auswirkt, wird eine neue Updaterevision erstellt. Eine UpdateID (GUID) und eine RevisionNumber (int)-Verbindung, die einen Identitätsschlüssel für eine Updaterevision bilden. Die MDM stellt keine Updaterevision für die IT bereit. Stattdessen speichert die MDM für jede UpdateID (GUID) die Metadaten für die spätere Revision dieses Updates, d. h. diejenige mit der höchsten Revisionsnummer.

Beispiele für XML-Struktur und Elementbeschreibungen zur Aktualisierung von Metadaten

Die Antwort des GetUpdateData-Aufrufs gibt ein Array von ServerSyncUpdateData zurück, das die Updatemetadaten im XmlUpdateBlob-Element enthält. Das Schema des Update-XML steht unter Protokollbeispielen zur Verfügung. Einige der wichtigsten Elemente werden hier beschrieben:

  • UpdateID: Der eindeutige Bezeichner für ein Update
  • RevisionNumber : Revisionsnummer für das Update für den Fall, dass das Update geändert wurde.
  • CreationDate : Das Datum, an dem dieses Update erstellt wurde.
  • UpdateType : Der Updatetyp, der Folgendes umfassen kann:
    • Detectoid: Wenn diese Updateidentität eine Kompatibilitätslogik darstellt
    • Kategorie : Dieses Element kann eine der folgenden Elemente darstellen:
      • Eine Produktkategorie, zu der das Update gehört. Beispielsweise Windows, MS Office und so weiter.
      • Die Klassifizierung, zu der das Update gehört. Beispiel: Treiber, Sicherheit und so weiter.
    • Software : Wenn es sich bei dem Update um ein Softwareupdate handelt.
    • Treiber : Wenn es sich bei dem Update um ein Treiberupdate handelt.
  • LocalizedProperties : Stellt die Sprache dar, in der das Update verfügbar ist, den Titel und die Beschreibung des Updates. Folgende Felder sind beinhaltet:
    • Sprache : Der Sprachcodebezeichner (Language Code Identifier, LCID). Beispielsweise en oder es.
    • Title : Titel des Updates. Beispiel: "Windows SharePoint Services 3.0 Service Pack 3 x64 Edition (KB2526305)"
    • Beschreibung : Beschreibung des Updates. Beispielsweise stellt "Windows SharePoint Services 3.0 Service Pack 3 (KB2526305) die neuesten Updates für Windows SharePoint Services 3.0 bereit. Nach der Installation müssen Sie den Computer möglicherweise neu starten. Nachdem Sie dieses Element installiert haben, kann es nicht mehr entfernt werden."
  • KBArticleID : Die KB-Artikelnummer für dieses Update, die Details zum jeweiligen Update enthält. Beispiel: https://support.microsoft.com/kb/2902892.

Dieser Abschnitt beschreibt einen möglichen Algorithmus für die Verwendung des Server-Server-Synchronisierungsprotokolls zum Abrufen von Updatemetadaten zum MDM.

Zunächst etwas Hintergrund:

  • Wenn Sie ein mehrmandantenfähiges MDM haben, können die Updatemetadaten in einer gemeinsamen Partition aufbewahrt werden, da sie für alle Mandanten gemeinsam sind.
  • Anschließend kann ein Synchronisierungsdienst für Metadaten implementiert werden. Der Dienst ruft in regelmäßigen Abständen die Server-Server-Synchronisierung auf, um Metadaten für die Updates abzurufen, die für die IT-Abteilung relevant sind.
  • Die MDM-Komponente, die OMA DM zur Steuerung von Geräten verwendet (im nächsten Abschnitt beschrieben), sollte dem Metadaten-Synchronisierungsdienst die Liste der erforderlichen Updates senden, die sie von jedem Client erhält, wenn diese Updates dem Gerät nicht bereits bekannt sind.

Im folgenden Verfahren wird ein grundlegender Algorithmus für einen Synchronisierungsdienst für Metadaten beschrieben:

  1. Erstellen Sie eine leere Liste der "erforderlichen Update-IDs, in die ein Fehler aufgetreten ist". Diese Liste wird von der MDM-Dienstkomponente aktualisiert, die OMA DM verwendet. Es wird empfohlen, dieser Liste keine Definitionsupdates hinzuzufügen, da diese temporär sind. Defender kann beispielsweise mehrmals pro Tag neue Definitionsupdates veröffentlichen, von denen jedes kumulativ ist.
  2. Regelmäßige Synchronisierung (Wir empfehlen alle 2 Stunden – nicht mehr als einmal/Stunde).
    1. Implementieren Sie die Autorisierungsphase des Protokolls, um ein Cookie abzurufen, wenn Sie noch kein nicht abgelaufenes Cookie haben. Siehe Beispiel 1: Autorisierung in Protokollbeispielen.
    2. Implementieren Sie den Metadatenteil des Protokolls. Weitere Informationen finden Sie unter Beispiel 2: Synchronisierung von Metadaten und Bereitstellungen in Protokollbeispielen), und rufen Sie GetUpdateData für alle Updates in der Liste "erforderliche Update-IDs für Fehler" auf, wenn die Updatemetadaten noch nicht in die Datenbank gepullt wurden.
      • Wenn es sich bei dem Update um eine neuere Version eines vorhandenen Updates (dieselbe Update-ID, höhere Versionsnummer) handelt, ersetzen Sie die vorherigen Updatemetadaten durch die neue.
      • Entfernen Sie Updates aus der Liste „benötigte Update-IDs für Fehler“, nachdem Sie eingezogen wurden.

Diese Schritte rufen Informationen über die Gruppe der Microsoft Updates ab, welche die IT-Abteilung verwalten muss, damit die Informationen in verschiedenen Update-Verwaltungsszenarien verwendet werden können. Beispielsweise können Sie zum Zeitpunkt der Genehmigung der Updates Informationen abrufen, damit die IT-Abteilung sehen kann, welche Updates sie genehmigen. Oder Sie verwenden sie für Kompatibilitätsberichte, um zu sehen, welche Updates erforderlich, aber noch nicht installiert sind.

Verwalten von Updates mit OMA DM

Ein MDM kann Updates über OMA DM verwalten. Die Details zur Verwendung und Integration eines MDM mit dem Windows-OMA-DM-Protokoll und die Vorgehensweise zum Registrieren von Geräten für die MDM-Verwaltung sind unter Verwaltung mobiler Geräte dokumentiert. In diesem Abschnitt wird beschrieben, wie Sie diese Integration erweitern, um die Updateverwaltung zu unterstützen. Die wichtigsten Aspekte der Updateverwaltung enthalten die folgenden Informationen:

  • Konfigurieren Sie Richtlinien für automatische Updates, um sicherzustellen, dass Geräte auf dem neuesten Stand bleiben.
  • Abrufen von Geräte-Kompatibilitätsinformationen (die Liste der Updates, die erforderlich, aber noch nicht installiert sind).
  • Geben Sie eine Updategenehmigungsliste nach Gerät an. Die Liste stellt sicher, dass Geräte nur Updates installieren, die genehmigt und getestet wurden.
  • Genehmigen Sie EULAs für den Endbenutzer, damit die Updatebereitstellung automatisiert werden kann, auch für Updates mit EULAs.

Die folgende Liste beschreibt ein vorgeschlagenes Modell für die Anwendung von Updates.

  1. Haben Sie eine "Testgruppe" und eine "alle Gruppe".
  2. Lassen Sie in der Gruppe Test alle Updates fließen.
  3. Legen Sie in der Gruppe "Alle" die Zurückstellung des Qualitätsupdates um sieben Tage fest, und dann werden qualitätsinterne Updates nach sieben Tagen automatisch genehmigt. Qualitätsupdateverzögerungen schließen definition Updates aus, sodass Updates automatisch genehmigt werden, sobald sie verfügbar sind. Passen Sie den Zeitplan für die Definition Updates dem Zeitplan für die Zurückstellung von Qualitätsupdates an, indem Sie Update/DeferQualityUpdatesPeriodInDays auf sieben festlegen. Lassen Sie Updates nach sieben Tagen fließen, oder durch Anhalten, wenn Probleme auftreten.

Updates werden mithilfe des Updaterichtlinien-CSP konfiguriert.

Screenshot der Benutzeroberfläche für die Updateverwaltung

Die folgenden Screenshots der Administratorkonsole zeigen die Liste der Updatetitel, die Genehmigung status und andere Metadatenfelder.

Screenshot der MDM-Updateverwaltung.

Screenshot der MDM-Updateverwaltungsmetadaten.

Beispiel für SyncML

Automatische Aktualisierung so einstellen, dass benachrichtigt und verzögert wird.

<SyncML xmlns="SYNCML:SYNCML1.1">
    <SyncBody>
        <Replace xmlns="">
            <CmdID>1</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/AllowUpdateService</LocURI>
                </Target>
                <Data>0</Data>
            </Item>
            <CmdID>2</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/RequireDeferUpgrade </LocURI>
                </Target>
                <Data>0</Data>
            </Item>
            <CmdID>3</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/RequireUpdateApproval </LocURI>
               </Target>
                <Data>0</Data>
            </Item>
        </Replace>
       <Final/>
    </SyncBody>
</SyncML>

Prozessflussdiagramm und Screenshots des Server-Synchronisierungsprozesses

Das folgende Diagramm und Screenshots zeigen den Prozessfluss des Geräte-Aktualisierungsprozesses mithilfe von Windows Server Update Services und Microsoft Update-Katalog.

MDM-Geräteupdateverwaltung Screenshot3.

MDM-Geräteupdateverwaltung Screenshot4

MDM-Geräteupdateverwaltung Screenshot5

MDM-Geräteupdateverwaltung Screenshot6

MDM-Geräteupdateverwaltung Screenshot7

MDM-Geräteupdateverwaltung Screenshot8

MDM-Geräteupdateverwaltung Screenshot9