Voraussetzungen für den Windows Update for Business-Bereitstellungsdienst
Bevor Sie mit der Bereitstellung von Updates mit dem Windows Update for Business-Bereitstellungsdienst beginnen, stellen Sie sicher, dass die Voraussetzungen erfüllt sind.
Azure- und Microsoft Entra-ID
- Ein Azure-Abonnement mit Microsoft Entra-ID
- Geräte müssen in Microsoft Entra eingebunden sein und die folgenden Betriebssystemanforderungen erfüllen.
- Geräte können in Microsoft Entra oder In Microsoft Entra hybrid eingebunden sein.
- Geräte, die nur bei Microsoft Entra registriert sind (Arbeitsplatzbeitritt) werden mit Windows Update for Business nicht unterstützt.
Lizenzierung
Der Windows Update for Business-Bereitstellungsdienst erfordert, dass Benutzer der Geräte über eine der folgenden Lizenzen verfügen:
- Windows 10/11 Enterprise E3 oder E5 (in Microsoft 365 F3, E3 oder E5 enthalten)
- Windows 10/11 Education A3 oder A5 (in Microsoft 365 A3 oder A5 enthalten)
- Windows Virtual Desktop Access E3 oder E5
- Microsoft 365 Business Premium
Betriebssysteme und Editionen
- Windows 11 Professional-, Education-, Enterprise-, Pro Education- oder Pro for Workstations-Editionen
- Windows 10 Professional-, Education-, Enterprise-, Pro Education- oder Pro for Workstations-Editionen
Der Windows Update for Business-Bereitstellungsdienst unterstützt Windows-Clientgeräte im Kanal für allgemeine Verfügbarkeit.
Windows-Betriebssystemupdates
Das Beschleunigen von Updates erfordert die Updateintegritätstools auf den Clients. Die Tools werden ab KB4023057 installiert. So bestätigen Sie das Vorhandensein der Updateintegritätstools auf einem Gerät:
- Suchen Sie nach dem Ordner C:\Programme\Microsoft Update Health Tools , oder lesen Sie Software hinzufügen für Microsoft Update Health Tools.
- Führen Sie als Administrator das folgende PowerShell-Skript aus:
Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}
Für Änderungen an der Sammlung von Windows-Diagnosedaten wird die Installation des kumulativen Updates für die Vorschauversion von Januar 2023 oder eines späteren gleichwertigen Updates empfohlen.
Anforderungen an Diagnosedaten
Steuerungen zur Bereitstellungsplanung sind immer verfügbar. Um jedoch von den einzigartigen Bereitstellungsschutzen zu profitieren, die auf Ihre Population zugeschnitten sind, und treiberupdates bereitstellen zu können, müssen Geräte Diagnosedaten mit Microsoft teilen. Für diese Features erfordert der Bereitstellungsdienst mindestens, dass Geräte Diagnosedaten auf der Ebene Erforderlich (zuvor als Basic bezeichnet) für diese Features senden.
Wenn Sie Windows Update for Business-Berichte in Verbindung mit dem Bereitstellungsdienst verwenden, können Gerätenamen mithilfe von Diagnosedaten auf den folgenden Ebenen in der Berichterstellung angezeigt werden:
- Optionale Ebene (zuvor Vollständig) für Windows 11-Geräte
- Erweiterte Ebene für Windows 10-Geräte
Berechtigungen
- Windows Update for Business-Bereitstellungsdienstvorgänge erfordern WindowsUpdates.ReadWrite.All
- Einige Rollen, z. B. der Windows Update-Bereitstellungsadministrator, verfügen bereits über die Berechtigungen.
Hinweis
Für die Nutzung anderer Teile der Graph-API sind möglicherweise zusätzliche Berechtigungen erforderlich. Zum Anzeigen von Geräteinformationen ist beispielsweise mindestens die Berechtigung Device.Read.All erforderlich.
Erforderliche Endpunkte
Haben Sie Zugriff auf die folgenden Endpunkte:
-
- *.prod.do.dsp.mp.microsoft.com
- *.windowsupdate.com
- *.dl.delivery.mp.microsoft.com
- *.update.microsoft.com
- *.delivery.mp.microsoft.com
- tsfe.trafficshaping.dsp.mp.microsoft.com
Windows Update for Business-Bereitstellungsdienstendpunkte
- devicelistenerprod.microsoft.com
- devicelistenerprod.eudb.microsoft.com für die EU-Datengrenze
- login.Windows.net
- payloadprod*.blob.core.windows.net
- devicelistenerprod.microsoft.com
Windows-Pushbenachrichtigungsdienste: (Empfohlen, aber nicht erforderlich. Ohne diesen Zugriff werden Updates von Geräten möglicherweise erst bei der nächsten täglichen Überprüfung auf Updates beschleunigt.)
- *.notify.windows.com
Einschränkungen
Der Windows Update for Business-Bereitstellungsdienst ist ein in Azure Commercial gehosteter Windows-Dienst, der Windows-Diagnosedaten verwendet. Kunden mit GCC-Mandanten können ihn zwar verwenden, der Windows Update for Business-Bereitstellungsdienst liegt jedoch außerhalb der Grenze der US Government Community Compliance (GCC). Eine Liste der GCC-Angebote für Microsoft-Produkte und -Dienste finden Sie im Microsoft Trust Center.
Der Windows Update for Business-Bereitstellungsdienst ist in Azure Government für Office 365 GCC High- und DoD-Mandanten nicht verfügbar.
Richtlinienüberlegungen für Treiber
Es ist möglich, dass der Dienst eine Inhaltsgenehmigung erhält, aber der Inhalt wird aufgrund einer Gruppenrichtlinie, eines CSP oder einer Registrierungseinstellung auf dem Gerät nicht installiert. In einigen Fällen konfigurieren Organisationen diese Richtlinien speziell so, dass sie ihren aktuellen oder zukünftigen Anforderungen entsprechen. Organisationen möchten beispielsweise anwendbare Treiberinhalte über den Bereitstellungsdienst überprüfen, die Installation jedoch nicht zulassen. Die Konfiguration dieser Art von Verhalten kann nützlich sein, insbesondere beim Übergang der Verwaltung von Treiberupdates aufgrund sich ändernder Organisationsanforderungen. In der folgenden Liste werden treiberbezogene Updaterichtlinien beschrieben, die sich auf Bereitstellungen über den Bereitstellungsdienst auswirken können:
Richtlinien, die Treiber von Windows Update für ein Gerät ausschließen
Die folgenden Richtlinien schließen Treiber von Windows Update für ein Gerät aus:
-
Speicherorte von Richtlinien, die Treiber ausschließen:
-
Gruppenrichtlinie: legen Sie auf fest.
\Windows Components\Windows Update\Do not include drivers with Windows Updates
enabled
-
CSP: ExcludeWUDriversInQualityUpdate auf festgelegt
1
-
Registrierung: legen Sie auf fest.
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates
1
-
Intune: Updateeinstellung für Windows-Treiber für den Updatering auf festgelegt
Block
-
Gruppenrichtlinie: legen Sie auf fest.
Verhalten mit dem Bereitstellungsdienst: Geräte mit Treiberausschlussrichtlinien, die für Treiber registriert und einer Zielgruppe über den Bereitstellungsdienst hinzugefügt werden:
- Zeigt den entsprechenden Treiberinhalt im Bereitstellungsdienst an.
- Installiert keine Treiber, die vom Bereitstellungsdienst genehmigt wurden
- Wenn Treiber auf einem Gerät bereitgestellt werden, das sie blockiert, zeigt der Bereitstellungsdienst an, dass der Treiber angeboten wird, und der Bericht zeigt an, dass die Installation aussteht.
Richtlinien, die die Quelle für Treiberupdates definieren
Die folgenden Richtlinien definieren die Quelle für Treiberupdates entweder als Windows Update oder Windows Server Update Service (WSUS):
-
Speicherorte von Richtlinien, die eine Updatequelle definieren:
-
Gruppenrichtlinie:
\Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows Updates
Legen Sie aufenabled
fest, wobei dieDriver Updates
Option auf festgelegt ist.Windows Update
-
CSP: SetPolicyDrivenUpdateSourceForDriverUpdates für
0
Windows Update als Quelle festgelegt -
Registrierung:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates
Legen Sie auf0
fest.UseUpdateClassPolicySource
Unter\AU
muss auch auf festgelegt werden.1
- Intune: Nicht zutreffend. Intune stellt Updates mithilfe von Windows Update for Business bereit. Gemeinsam verwaltete Clients aus Configuration Manager , für die die Workload für Windows Update-Richtlinien auf Intune festgelegt ist, verwenden ebenfalls Windows Update for Business.
-
Gruppenrichtlinie:
Verhalten mit dem Bereitstellungsdienst: Geräte mit diesen Updatequellrichtlinien, die für Treiber registriert und einer Zielgruppe über den Bereitstellungsdienst hinzugefügt werden:
- Zeigt den entsprechenden Treiberinhalt im Bereitstellungsdienst an.
- Installiert Treiber, die vom Bereitstellungsdienst genehmigt wurden
Hinweis
Wenn die Überprüfungsquelle für Treiber auf WSUS festgelegt ist, ruft der Bereitstellungsdienst keine Inventurereignisse von Geräten ab. Dies bedeutet, dass der Bereitstellungsdienst die Anwendbarkeit eines Treibers für das Gerät nicht melden kann.
Allgemeine Tipps für den Bereitstellungsdienst
Befolgen Sie die folgenden Vorschläge, um die besten Ergebnisse mit dem Dienst zu erzielen:
Warten Sie, bis die Gerätebereitstellung abgeschlossen sind, bevor Sie die Verwaltung mit dem Dienst ausführen. Wenn ein Gerät von Autopilot bereitgestellt wird, kann es erst nach Abschluss der Bereitstellung (in der Regel ein Tag) vom Bereitstellungsdienst verwaltet werden.
Verwenden Sie den Bereitstellungsdienst für die Verwaltung von Featureupdates ohne Featureupdate-Zurückstellungsrichtlinie. Wenn Sie den Bereitstellungsdienst verwenden möchten, um Featureupdates auf einem Gerät zu verwalten, das zuvor eine Richtlinie für die Verzögerung von Featureupdates verwendet hat, empfiehlt es sich, die Richtlinie für die Verzögerung von Featureupdates auf 0 Tage festzulegen, um zu vermeiden, dass mehrere Bedingungen für Featureupdates gelten. Sie sollten den Wert der Featureupdate-Zurückstellungsrichtlinie nur in 0 Tage ändern, nachdem Sie bestätigt haben, dass das Gerät beim Dienst ohne Fehler registriert wurde.
Vermeiden Sie die Verwendung verschiedener Kanäle zum Verwalten der gleichen Ressourcen. Wenn Sie Microsoft Intune zusammen mit Microsoft Graph-APIs oder PowerShell verwenden, können Aspekte von Ressourcen (z. B. Geräte, Bereitstellungen, aktualisierbare Ressourcengruppen) überschrieben werden, wenn Sie beide Kanäle zum Verwalten der gleichen Ressourcen verwenden. Verwalten Sie stattdessen jede Ressource nur über den Kanal, der sie erstellt hat.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für