Bereitstellen von Featureupdates mit Windows Update for Business-Bereitstellungsdienst

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Der Windows Update for Business-Bereitstellungsdienst wird verwendet, um Softwareupdates zu genehmigen und zu planen. Der Bereitstellungsdienst macht seine Funktionen über den Microsoft-Graph-API verfügbar. Sie können die API direkt über ein Graph SDK aufrufen oder in ein Verwaltungstool wie Microsoft Intune integrieren.

In diesem Artikel wird Graph Explorer verwendet, um den gesamten Prozess der Bereitstellung eines Featureupdates für Clients zu durchlaufen. In diesem Artikel gehen Sie wie folgt vor:

In diesem Artikel gehen Sie wie folgt vor:

• Open Graph Explorer
• Ausführen von Abfragen zum Identifizieren von Geräten
• Geräte anmelden
• Auflisten von Katalogeinträgen für Featureupdates
• Erstellen einer Bereitstellung
• Hinzufügen von Mitgliedern zur Bereitstellungszielgruppe
• Anhalten einer Bereitstellung
• Löschen einer Bereitstellung
• Aufheben von Geräteregistrierungen

Voraussetzungen

Alle Voraussetzungen für den Windows Update for Business-Bereitstellungsdienst müssen erfüllt sein.

Berechtigungen

Die folgenden Berechtigungen sind für die in diesem Artikel aufgeführten Abfragen erforderlich:

• WindowsUpdates.ReadWrite.All für Windows Update for Business-Bereitstellungsdienstvorgänge.
• Mindestens die Berechtigung Device.Read.All zum Anzeigen von Geräteinformationen .

Einige Rollen, z. B. der Windows Update-Bereitstellungsadministrator, verfügen bereits über diese Berechtigungen.

Open Graph Explorer

In diesem Artikel verwenden Sie Graph Explorer, um Anforderungen an die Microsoft Graph-APIs zum Abrufen, Hinzufügen, Löschen und Aktualisieren von Daten zu senden. Graph Explorer ist ein Entwicklertool, mit dem Sie mehr über Microsoft Graph-APIs erfahren können. Weitere Informationen zur Verwendung von Graph Explorer finden Sie unter Erste Schritte mit Graph Explorer.

Warnung

• Anforderungen, die in diesem Artikel aufgeführt sind, erfordern die Anmeldung mit einem Microsoft 365-Konto. Bei Bedarf steht eine kostenlose einmonatige Testversion für Microsoft 365 Business Premium zur Verfügung.
• Die Verwendung eines Testmandanten zum Erlernen und Überprüfen des Bereitstellungsprozesses wird dringend empfohlen. Graph Explorer soll ein Lerntool sein. Stellen Sie sicher, dass Sie die Einwilligung erteilen und den Einwilligungstyp für Graph Explorer verstehen, bevor Sie fortfahren.

1. Wechseln Sie in einem Browser zu Graph Explorer, und melden Sie sich mit einem Microsoft Entra Benutzerkonto an.

2. Möglicherweise müssen Sie die Berechtigung für die WindowsUpdates.ReadWrite.All Verwendung der Abfragen in diesem Artikel aktivieren. So aktivieren Sie die Berechtigung

   1. Wählen Sie in Graph Explorer die Registerkarte Berechtigungen ändern aus.

   2. Wählen Sie im Dialogfeld berechtigungen die Berechtigung WindowsUpdates.ReadWrite.All und dann Zustimmung aus. Möglicherweise müssen Sie sich erneut anmelden, um die Zustimmung zu erteilen.

      

3. So stellen Sie Anforderungen:

   1. Wählen Sie in der Dropdownliste für die HTTP-Methode get, POST, PUT, PATCH oder DELETE aus.
   2. Geben Sie die Anforderung in das URL-Feld ein. Die Version wird basierend auf der URL automatisch aufgefüllt.
   3. Wenn Sie den Anforderungstext ändern müssen, bearbeiten Sie die Registerkarte Anforderungstext .
   4. Wählen Sie die Schaltfläche Abfrage ausführen aus. Die Ergebnisse werden im Antwortfenster angezeigt.

   Tipp

   Wenn Sie sich die Microsoft Graph-Dokumentation ansehen, stellen Sie möglicherweise fest, dass in Beispielanforderungen in der Regel aufgelistet wird content-type: application/json. Die Angabe content-type ist in der Regel für Graph Explorer nicht erforderlich, aber Sie können sie der Anforderung hinzufügen, indem Sie die Registerkarte Header auswählen und dem content-type Feld Anforderungsheader als Schlüssel und application/json als Wert hinzufügen.

Ausführen von Abfragen zum Identifizieren von Geräten

Verwenden Sie den Geräteressourcentyp , um Clients für die Registrierung beim Bereitstellungsdienst zu finden. Ändern Sie die Abfrageparameter an Ihre spezifischen Anforderungen. Weitere Informationen finden Sie unter Verwenden von Abfrageparametern.

• Zeigt die AzureAD-Geräte-ID und den Namen aller Geräte an:

  GET https://graph.microsoft.com/v1.0/devices?$select=deviceid,displayName
  

• Zeigt die AzureAD-Geräte-ID und den Namen für Geräte an, deren Name mit Testbeginnt:

  GET https://graph.microsoft.com/v1.0/devices?$filter=startswith(displayName,'Test')&$select=deviceid,displayName
  

Hinzufügen eines Anforderungsheaders für erweiterte Abfragen

Legen Sie für die nächsten Anforderungen den ConsistencyLevel-Header auf fest eventual. Weitere Informationen zu erweiterten Abfrageparametern finden Sie unter Erweiterte Abfragefunktionen für Microsoft Entra Verzeichnisobjekte.

1. Wählen Sie in Graph Explorer die Registerkarte Anforderungsheader aus.

2. Geben Sie unter Schlüsseltyp in ConsistencyLevel und für Wert ein eventual.

3. Wählen Sie die Schaltfläche Hinzufügen aus. Wenn Sie fertig sind, entfernen Sie den Anforderungsheader, indem Sie auf das Papierkorbsymbol klicken.

   

• Zeigen Sie den Namen und die Betriebssystemversion für das Gerät an, das 01234567-89ab-cdef-0123-456789abcdef über die AzureAD-Geräte-ID verfügt:

  GET https://graph.microsoft.com/v1.0/devices?$search="deviceid:01234567-89ab-cdef-0123-456789abcdef"&$select=displayName,operatingSystemVersion
  

• Um Geräte zu finden, bei denen es sich wahrscheinlich nicht um virtuelle Computer handelt, filtern Sie nach Geräten, auf denen kein virtueller Computer als Modell, aber ein Hersteller aufgeführt ist. Zeigen Sie die AzureAD-Geräte-ID, den Namen und die Betriebssystemversion für jedes Gerät an:

  GET https://graph.microsoft.com/v1.0/devices?$filter=model ne 'virtual machine' and NOT(manufacturer eq null)&$count=true&$select=deviceid,displayName,operatingSystemVersion
  

Tipp

Anforderungen, die den Geräteressourcentyp verwenden, verfügen in der Regel sowohl über einen id als auch über einen deviceid:

• ist deviceid die Microsoft Entra Geräte-ID und wird in diesem Artikel verwendet.
  • Später in diesem Artikel wird dies deviceid als id verwendet, wenn Sie bestimmte Anforderungen stellen, z. B. das Hinzufügen eines Geräts zu einer Bereitstellungszielgruppe.
• Der id aus dem Geräteressourcentyp ist in der Regel die Microsoft Entra Objekt-ID, die in diesem Artikel nicht verwendet wird.

Geräte anmelden

Wenn Sie Geräte für die Featureupdateverwaltung registrieren, wird der Bereitstellungsdienst zur Autorität für Featureupdates, die von Windows Update stammen. Solange ein Gerät über den Bereitstellungsdienst bei der Verwaltung von Featureupdates registriert bleibt, empfängt das Gerät keine weiteren Featureupdates von Windows Update, es sei denn, es wird explizit mithilfe des Bereitstellungsdiensts bereitgestellt. Einem Gerät wird das angegebene Featureupdate angeboten, wenn es das Update noch nicht erhalten hat. Wenn Sie beispielsweise Windows 11 Featureupdateversion 22H2 auf einem Gerät bereitstellen, das bei der Featureupdateverwaltung registriert ist und derzeit eine ältere Version von Windows 11 verwendet, wird das Gerät auf Version 22H2 aktualisiert. Wenn auf dem Gerät bereits Version 22H2 oder eine höhere Version ausgeführt wird, bleibt es auf der aktuellen Version.

Tipp

Windows Update für Geschäftsberichte verfügt über eine Arbeitsmappe, in der die aktuelle Betriebssystemversion für Geräte angezeigt wird. Navigieren Sie in der Arbeitsmappe zur Registerkarte Featureupdates , und wählen Sie auf der Kachel Featureupdate in Dienst den Link Details anzeigen aus, um das Details-Flyout zu öffnen. Die Betriebssystemversion und Microsoft Entra ID von Geräten können problemlos in eine .csv-Datei exportiert oder in Azure Monitor-Protokollen geöffnet werden, um beim Erstellen einer Bereitstellungszielgruppe zu helfen.

Sie registrieren Geräte basierend auf den Arten von Updates, die sie erhalten sollen. Derzeit können Sie Geräte registrieren, um Featureupdates (feature) oder Treiber (driver) zu erhalten. Sie können Geräte registrieren, um Updates aus mehreren Updateklassifizierungen zu erhalten.

1. Um Geräte zu registrieren, post to updatableAssets using enrollAssets. Im folgenden Beispiel werden drei Geräte für den Empfang von Treiberupdates registriert:

   1. Wählen Sie in Graph Explorer in der Dropdownliste für das HTTP-Verb die Option POST aus.

   2. Geben Sie die folgende Anforderung in das URL-Feld ein:
      https://graph.microsoft.com/beta/admin/windows/updates/updatableAssets/enrollAssets

   3. Geben Sie auf der Registerkarte Anforderungstext den folgenden JSON-Code ein, und geben Sie die folgenden Informationen an:

      • Microsoft Entra Geräte-ID alsid
      • Entweder feature oder driver für updateCategory

      {
        "updateCategory": "driver",
        "assets": [
          {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "01234567-89ab-cdef-0123-456789abcdef"
          },
          {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "01234567-89ab-cdef-0123-456789abcde0"
          },
          {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "01234567-89ab-cdef-0123-456789abcde1"
          }
        ]
      }
      

   4. Wählen Sie die Schaltfläche Abfrage ausführen aus. Die Ergebnisse werden im Antwortfenster angezeigt. In diesem Fall status http-Code von 202 Accepted.

      

Auflisten von Katalogeinträgen für Featureupdates

Jedes Featureupdate ist einem eindeutigen Katalogeintrag zugeordnet. Die id zurückgegebene ist die Katalog-ID und wird zum Erstellen einer Bereitstellung verwendet. Featureupdates können bereitgestellt werden, bis sie ihre Support-Deaktivierungstermine erreicht haben. Weitere Informationen finden Sie in den Supportlebenszyklusdaten für Windows 10 und Windows 11 Enterprise- und Education-Editionen. Die folgende Abfrage listet alle bereitstellungsfähigen Katalogeinträge für Featureupdates auf:

GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$filter=isof('microsoft.graph.windowsUpdates.featureUpdateCatalogEntry')

Die folgende abgeschnittene Antwort zeigt die Katalog-ID für d9049ddb-0ca8-4bc1-bd3c-41a456ef300f das featureupdate Windows 11 Version 22H2 an:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries",
    "value": [
        {
            "@odata.type": "#microsoft.graph.windowsUpdates.featureUpdateCatalogEntry",
            "id": "d9049ddb-0ca8-4bc1-bd3c-41a456ef300f",
            "displayName": "Windows 11, version 22H2",
            "deployableUntilDateTime": "2025-10-14T00:00:00Z",
            "releaseDateTime": "2022-09-20T00:00:00Z",
            "version": "Windows 11, version 22H2",
            "buildNumber": "22621"
        }
    ]
}

Erstellen einer Bereitstellung

Beim Erstellen einer Bereitstellung für ein Featureupdate stehen mehrere Optionen zur Verfügung, um das Verhalten der Bereitstellung zu definieren. Die Bereitstellungs- und Überwachungseinstellungen sind optional. Die folgenden Bereitstellungseinstellungen werden im Beispielanforderungstext für die Bereitstellung des Windows 11, Version 22H2-Featureupdates (Katalog-ID vond9049ddb-0ca8-4bc1-bd3c-41a456ef300f) definiert:

• Startdatum der Bereitstellung: 14. Februar 2023 um 5:00 Uhr UTC
• Schrittweiser Rollout mit einer Rate von 100 Geräten alle drei Tage
• Überwachungsregel , die die Bereitstellung anhält, wenn fünf Geräte das Featureupdate zurücksetzen
• Standardmäßiges Verhalten für die Aufbewahrung von Sicherheitsmaßnahmen beim Anwenden aller anwendbaren Sicherheitsvorkehrungen auf Geräte in einer Bereitstellung
  • Wenn Sicherheitshaltebereiche nicht explizit definiert sind, wird das standardmäßige Verhalten des Sicherungsspeichers automatisch angewendet.

POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
content-type: application/json

{
    "content": {
        "@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
        "catalogEntry": {
            "@odata.type": "#microsoft.graph.windowsUpdates.featureUpdateCatalogEntry",
            "id": "d9049ddb-0ca8-4bc1-bd3c-41a456ef300f"
        }
    },
    "settings": {
        "@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
        "schedule": {
            "startDateTime": "2023-02-14T05:00:00Z",
            "gradualRollout": {
                "@odata.type": "#microsoft.graph.windowsUpdates.rateDrivenRolloutSettings",
                "durationBetweenOffers": "P3D",
                "devicesPerOffer": "100"
            }
        },
        "monitoring": {
            "monitoringRules": [
                {
                    "signal": "rollback",
                    "threshold": 5,
                    "action": "pauseDeployment"
                }
            ]
        }
    }
}

Der Antworttext enthält Folgendes:

• Die neue Bereitstellungs-IDde910e12-3456-7890-abcd-ef1234567890 im Beispiel

• Die neue Zielgruppen-IDd39ad1ce-0123-4567-89ab-cdef01234567 im Beispiel

• Alle im Text der Bereitstellungsanforderung definierten Einstellungen

  {
       "@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments/$entity",
       "id": "de910e12-3456-7890-abcd-ef1234567890",
       "createdDateTime": "2023-02-07T19:21:15.425905Z",
       "lastModifiedDateTime": "2023-02-07T19:21:15Z",
       "state": {
           "effectiveValue": "scheduled",
           "requestedValue": "none",
           "reasons": []
       },
       "content": {
           "@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
           "catalogEntry@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('de910e12-3456-7890-abcd-ef1234567890')/content/microsoft.graph.windowsUpdates.catalogContent/catalogEntry/$entity",
           "catalogEntry": {
               "@odata.type": "#microsoft.graph.windowsUpdates.featureUpdateCatalogEntry",
               "id": "d9049ddb-0ca8-4bc1-bd3c-41a456ef300f",
               "displayName": "Windows 11, version 22H2",
               "deployableUntilDateTime": "2025-10-14T00:00:00Z",
               "releaseDateTime": "0001-01-01T00:00:00Z",
               "version": "Windows 11, version 22H2"
           }
       },
       "settings": {
           "contentApplicability": null,
           "userExperience": null,
           "expedite": null,
           "schedule": {
               "startDateTime": "2023-02-14T05:00:00Z",
               "gradualRollout": {
                   "@odata.type": "#microsoft.graph.windowsUpdates.rateDrivenRolloutSettings",
                   "durationBetweenOffers": "P3D",
                   "devicesPerOffer": 100
               }
           },
           "monitoring": {
               "monitoringRules": [
                   {
                       "signal": "rollback",
                       "threshold": 5,
                       "action": "pauseDeployment"
                   }
               ]
           }
       },
       "audience@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('de910e12-3456-7890-abcd-ef1234567890')/audience/$entity",
       "audience": {
           "id": "d39ad1ce-0123-4567-89ab-cdef01234567",
           "applicableContent": []
       }
  }
  

Bearbeiten einer Bereitstellung

Um die Bereitstellung zu aktualisieren, patchen Sie die Bereitstellungsressource anhand ihrer Bereitstellungs-ID , und geben Sie die aktualisierten Einstellungen im Anforderungstext an. Im folgenden Beispiel werden die vorhandenen Einstellungen für das schrittweise Rollout beibehalten, die beim Erstellen der Bereitstellung definiert wurden, aber das Startdatum der Bereitstellung wird auf den 28. Februar 2023 um 5:00 Uhr UTC geändert:

PATCH https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890
content-type: application/json

{
    "settings": {
        "@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
        "schedule": {
            "startDateTime": "2023-02-28T05:00:00Z",
            "gradualRollout": {
                "@odata.type": "#microsoft.graph.windowsUpdates.rateDrivenRolloutSettings",
                "durationBetweenOffers": "P3D",
                "devicesPerOffer": "100"
            }
        }
    }
}

Überprüfen Sie die Bereitstellungseinstellungen für die Bereitstellung mit der Bereitstellungs-IDde910e12-3456-7890-abcd-ef1234567890:

GET https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890

Hinzufügen von Mitgliedern zur Bereitstellungszielgruppe

Die Zielgruppen-ID wurde erstellt, d39ad1ce-0123-4567-89ab-cdef01234567als die Bereitstellung erstellt wurde. Die Zielgruppen-ID wird verwendet, um Mitglieder zur Bereitstellungszielgruppe hinzuzufügen. Nachdem die Bereitstellungszielgruppe aktualisiert wurde, beginnt Windows Update, das Update gemäß den Bereitstellungseinstellungen für die Geräte anzubieten. Solange die Bereitstellung vorhanden ist und sich das Gerät in der Zielgruppe befindet, wird das Update angeboten.

Im folgenden Beispiel werden der Bereitstellungszielgruppe drei Geräte mithilfe der Microsoft Entra ID für jedes Gerät hinzugefügt:

POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/updateAudience
content-type: application/json

{
  "addMembers": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcdef"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcde0"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
     "id": "01234567-89ab-cdef-0123-456789abcde1"
    }
  ]
}

Führen Sie die folgende Abfrage mithilfe der Zielgruppen-ID aus d39ad1ce-0123-4567-89ab-cdef01234567, um zu überprüfen, ob die Geräte der Zielgruppe hinzugefügt wurden:

GET https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/members

Anhalten einer Bereitstellung

Um eine Bereitstellung anzuhalten, patchen Sie die Bereitstellung, um einen requestedValue von paused für deploymentState zu erhalten. Um die Bereitstellung fortzusetzen, verwenden Sie den Wertnone, und der Zustand wird entweder auf oder scheduled aktualisiert, offering wenn die Bereitstellung das Startdatum noch nicht erreicht hat.

Im folgenden Beispiel wird die Bereitstellung mit der Bereitstellungs-ID angehalten de910e12-3456-7890-abcd-ef1234567890:

PATCH https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890
content-type: application/json

{
  "@odata.type": "#microsoft.graph.windowsUpdates.deployment",
  "state": {
    "@odata.type": "microsoft.graph.windowsUpdates.deploymentState",
    "requestedValue": "paused"
  }
}

Löschen einer Bereitstellung

Um die Bereitstellung vollständig zu entfernen, LÖSCHEN Sie die Bereitstellung. Durch das Löschen der Bereitstellung wird verhindert, dass der Inhalt geräten angeboten wird, wenn sie ihn noch nicht erhalten haben. Um das Angebot des Inhalts fortzusetzen, muss eine neue Genehmigung erstellt werden.

Im folgenden Beispiel wird die Bereitstellung mit der Bereitstellungs-ID gelöscht de910e12-3456-7890-abcd-ef1234567890:

DELETE https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890

Aufheben von Geräteregistrierungen

Wenn für ein Gerät keine Verwaltung mehr erforderlich ist, heben Sie die Registrierung beim Bereitstellungsdienst auf. Geben Sie genau wie beim Registrieren eines Geräts entweder driver oder feature als Wert für an updateCategory. Das Gerät empfängt keine Updates mehr vom Bereitstellungsdienst für die angegebene Updatekategorie. Je nach Konfiguration des Geräts erhält es möglicherweise Updates von Windows Update. Für instance gilt folgendes: Wenn ein Gerät noch für Featureupdates registriert ist, aber die Registrierung bei Treibern aufgehoben wird:

• Vorhandene Treiberbereitstellungen aus dem Dienst werden dem Gerät nicht angeboten.
• Das Gerät empfängt weiterhin Featureupdates vom Bereitstellungsdienst.
• Treiber werden je nach Gerätekonfiguration möglicherweise von Windows Update installiert.

Um die Registrierung eines Geräts aufzuheben, post to updatableAssets using unenrollAssets. Geben Sie im Anforderungstext Folgendes an:

• Microsoft Entra Geräte-ID als id für das Gerät
• Entweder feature oder driver für updateCategory

Im folgenden Beispiel wird die driver Registrierung für zwei Geräte 01234567-89ab-cdef-0123-456789abcdef01234567-89ab-cdef-0123-456789abcde0und entfernt:

POST https://graph.microsoft.com/beta/admin/windows/updates/updatableAssets/unenrollAssets
content-type: application/json

{
  "updateCategory": "driver",
  "assets": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcdef"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcde0"
    }
  ]
}