Voraussetzungen für den Windows Update for Business-Bereitstellungsdienst

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Bevor Sie mit der Bereitstellung von Updates mit Windows Update for Business-Bereitstellungsdienst beginnen, stellen Sie sicher, dass die Voraussetzungen erfüllt sind.

Azure und Microsoft Entra ID

• Ein Azure-Abonnement mit Microsoft Entra ID
• Geräte müssen Microsoft Entra eingebunden sein und die folgenden OS-Anforderungen erfüllen.
  • Geräte können Microsoft Entra oderMicrosoft Entra hybrid eingebunden werden.
  • Geräte, die nur Microsoft Entra registriert sind (Arbeitsplatzbeitritt), werden von Windows Update for Business nicht unterstützt.

Lizenzierung

Windows Update für den Bereitstellungsdienst für Unternehmen erfordert, dass Benutzer der Geräte über eine der folgenden Lizenzen verfügen:

• Windows 10/11 Enterprise E3 oder E5 (in Microsoft 365 F3, E3 oder E5 enthalten)
• Windows 10/11 Education A3 oder A5 (in Microsoft 365 A3 oder A5 enthalten)
• Windows Virtual Desktop Access E3 oder E5
• Microsoft 365 Business Premium

Betriebssysteme und Editionen

• Windows 11 Editionen Professional, Education, Enterprise, Pro Education oder Pro for Workstations
• Windows 10 Editionen Professional, Education, Enterprise, Pro Education oder Pro for Workstations

Windows Update for Business-Bereitstellungsdienst unterstützt Windows-Clientgeräte im Kanal für allgemeine Verfügbarkeit.

Windows-Betriebssystemupdates

• Das Beschleunigen von Updates erfordert die Updateintegritätstools auf den Clients. Die Tools werden ab KB4023057 installiert. So bestätigen Sie das Vorhandensein der Updateintegritätstools auf einem Gerät:

  • Suchen Sie nach dem Ordner C:\Programme\Microsoft Update Health Tools , oder lesen Sie Software hinzufügen für Microsoft Update Health Tools.
  • Führen Sie als Admin das folgende PowerShell-Skript aus:Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

• Für Änderungen an der Sammlung von Windows-Diagnosedaten wird die Installation des kumulativen Updates für die Vorschauversion von Januar 2023 oder eines späteren gleichwertigen Updates empfohlen.

Anforderungen an Diagnosedaten

Steuerungen zur Bereitstellungsplanung sind immer verfügbar. Um jedoch von den einzigartigen Bereitstellungsschutzen zu profitieren, die auf Ihre Population zugeschnitten sind, und treiberupdates bereitstellen zu können, müssen Geräte Diagnosedaten mit Microsoft teilen. Für diese Features erfordert der Bereitstellungsdienst mindestens, dass Geräte Diagnosedaten auf der Ebene Erforderlich (zuvor als Basic bezeichnet) für diese Features senden.

Wenn Sie Windows Update for Business-Berichte in Verbindung mit dem Bereitstellungsdienst verwenden, können Gerätenamen mithilfe von Diagnosedaten auf den folgenden Ebenen in der Berichterstellung angezeigt werden:

• Optionale Ebene (zuvor Vollständig) für Windows 11-Geräte
• Erweiterte Ebene für Windows 10-Geräte

Berechtigungen

• Windows Update vorgänge des Bereitstellungsdiensts für Unternehmen erfordern WindowsUpdates.ReadWrite.All
  • Einige Rollen, z. B. der Windows Update-Bereitstellungsadministrator, verfügen bereits über die Berechtigungen.

Hinweis

Für die Nutzung anderer Teile der Graph-API sind möglicherweise zusätzliche Berechtigungen erforderlich. Zum Anzeigen von Geräteinformationen ist beispielsweise mindestens die Berechtigung Device.Read.All erforderlich.

Erforderliche Endpunkte

• Haben Sie Zugriff auf die folgenden Endpunkte:

• Windows Update Endpunkte

  • *.prod.do.dsp.mp.microsoft.com
  • *.windowsupdate.com
  • *.dl.delivery.mp.microsoft.com
  • *.update.microsoft.com
  • *.delivery.mp.microsoft.com
  • tsfe.trafficshaping.dsp.mp.microsoft.com

• Windows Update for Business-Bereitstellungsdienstendpunkte

  • devicelistenerprod.microsoft.com
  • login.Windows.net
  • payloadprod*.blob.core.windows.net

• Windows-Pushbenachrichtigungsdienste: (Empfohlen, aber nicht erforderlich. Ohne diesen Zugriff werden Updates von Geräten möglicherweise erst bei der nächsten täglichen Überprüfung auf Updates beschleunigt.)

  • *.notify.windows.com

Einschränkungen

Windows Update for Business-Bereitstellungsdienst ist ein in Azure gehosteter Windows-Dienst, der Windows-Diagnosedaten verwendet. Sie sollten beachten, dass Windows Update for Business-Bereitstellungsdienst die Anforderungen der US Government Community Compliance (GCC) nicht erfüllt. Eine Liste der GCC-Angebote für Microsoft-Produkte und -Dienste finden Sie im Microsoft Trust Center. Windows Update for Business-Bereitstellungsdienst ist in der kommerziellen Azure-Cloud verfügbar, aber nicht für GCC High- oder USA Department of Defense-Kunden.

Richtlinienüberlegungen für Treiber

Es ist möglich, dass der Dienst inhaltsgenehmigungen erhält, aber der Inhalt wird aufgrund einer Gruppenrichtlinie, CSP- oder Registrierungseinstellung auf dem Gerät nicht installiert. In einigen Fällen konfigurieren Organisationen diese Richtlinien speziell so, dass sie ihren aktuellen oder zukünftigen Anforderungen entsprechen. Für instance möchten Organisationen möglicherweise anwendbare Treiberinhalte über den Bereitstellungsdienst überprüfen, aber keine Installation zulassen. Die Konfiguration dieser Art von Verhalten kann nützlich sein, insbesondere beim Übergang der Verwaltung von Treiberupdates aufgrund sich ändernder Organisationsanforderungen. In der folgenden Liste werden treiberbezogene Updaterichtlinien beschrieben, die sich auf Bereitstellungen über den Bereitstellungsdienst auswirken können:

Richtlinien, die Treiber von Windows Update für ein Gerät ausschließen

Die folgenden Richtlinien schließen Treiber von Windows Update für ein Gerät aus:

• Speicherorte von Richtlinien, die Treiber ausschließen:
  • Gruppenrichtlinie: \Windows Components\Windows Update\Do not include drivers with Windows Updates auf festgelegtenabled
  • CSP: ExcludeWUDriversInQualityUpdate auf festgelegt 1
  • Registrierung: legen Sie auf fest. HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates1
  • Intune: Updateeinstellung für windows-Treiber für den Updatering auf festgelegtBlock

Verhalten mit dem Bereitstellungsdienst: Geräte mit Treiberausschlussrichtlinien, die für Treiber registriert und einer Zielgruppe über den Bereitstellungsdienst hinzugefügt werden:

• Zeigt den entsprechenden Treiberinhalt im Bereitstellungsdienst an.
• Installiert keine Treiber, die vom Bereitstellungsdienst genehmigt wurden
  • Wenn Treiber auf einem Gerät bereitgestellt werden, das sie blockiert, zeigt der Bereitstellungsdienst an, dass der Treiber angeboten wird, und der Bericht zeigt an, dass die Installation aussteht.

Richtlinien, die die Quelle für Treiberupdates definieren

Die folgenden Richtlinien definieren die Quelle für Treiberupdates entweder als Windows Update oder Windows Server Update Service (WSUS):

• Speicherorte von Richtlinien, die eine Updatequelle definieren:
  • Gruppenrichtlinie: \Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows Updates Legen Sie auf enabled fest, wobei die Driver Updates Option auf festgelegt ist.Windows Update
  • CSP: SetPolicyDrivenUpdateSourceForDriverUpdates für 0 Windows Update als Quelle festgelegt
  • Registrierung: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates Legen Sie auf 0fest. UseUpdateClassPolicySource Unter \AUmuss auch auf festgelegt werden.1
  • Intune: Nicht zutreffend. Intune stellt Updates mithilfe von Windows Update for Business bereit. Gemeinsam verwaltete Clients aus Configuration Manager, für die die Workload für Windows Update Richtlinien auf Intune festgelegt ist, verwenden ebenfalls Windows Update for Business.

Verhalten mit dem Bereitstellungsdienst: Geräte mit diesen Updatequellrichtlinien, die für Treiber registriert und einer Zielgruppe über den Bereitstellungsdienst hinzugefügt werden:

• Zeigt den entsprechenden Treiberinhalt im Bereitstellungsdienst an.
• Installiert Treiber, die vom Bereitstellungsdienst genehmigt wurden

Hinweis

Wenn die Überprüfungsquelle für Treiber auf WSUS festgelegt ist, ruft der Bereitstellungsdienst keine Inventurereignisse von Geräten ab. Dies bedeutet, dass der Bereitstellungsdienst die Anwendbarkeit eines Treibers für das Gerät nicht melden kann.

Allgemeine Tipps für den Bereitstellungsdienst

Befolgen Sie die folgenden Vorschläge, um die besten Ergebnisse mit dem Dienst zu erzielen:

• Warten Sie, bis die Gerätebereitstellung abgeschlossen sind, bevor Sie die Verwaltung mit dem Dienst ausführen. Wenn ein Gerät von Autopilot bereitgestellt wird, kann es erst nach Abschluss der Bereitstellung (in der Regel ein Tag) vom Bereitstellungsdienst verwaltet werden.

• Verwenden Sie den Bereitstellungsdienst für die Verwaltung von Featureupdates ohne Featureupdate-Zurückstellungsrichtlinie. Wenn Sie den Bereitstellungsdienst verwenden möchten, um Featureupdates auf einem Gerät zu verwalten, das zuvor eine Richtlinie für die Verzögerung von Featureupdates verwendet hat, empfiehlt es sich, die Richtlinie für die Verzögerung von Featureupdates auf 0 Tage festzulegen, um zu vermeiden, dass mehrere Bedingungen für Featureupdates gelten. Sie sollten den Wert der Featureupdate-Zurückstellungsrichtlinie nur in 0 Tage ändern, nachdem Sie bestätigt haben, dass das Gerät beim Dienst ohne Fehler registriert wurde.

• Vermeiden Sie die Verwendung verschiedener Kanäle zum Verwalten der gleichen Ressourcen. Wenn Sie Microsoft Intune zusammen mit Microsoft Graph-APIs oder PowerShell verwenden, werden Aspekte von Ressourcen (z. B. Geräte, Bereitstellungen, aktualisierbare Ressourcengruppen) möglicherweise überschrieben, wenn Sie beide Kanäle zum Verwalten der gleichen Ressourcen verwenden. Verwalten Sie stattdessen jede Ressource nur über den Kanal, der sie erstellt hat.