Verwalten von Windows Autopatch-Gruppen
Wichtig
Die Informationen in diesem Artikel oder Abschnitt gelten nur, wenn Sie über Lizenzen für Windows Enterprise E3+ oder F3 (enthalten in Microsoft 365 F3, E3 oder E5) verfügen und über aktivierte Windows Autopatch-Features verfügen.
Die Featureaktivierung ist optional und ohne zusätzliche Kosten für Sie, wenn Sie über Windows 10/11 Enterprise E3- oder E5-Lizenzen (in Microsoft 365 F3, E3 oder E5 enthalten) verfügen.
Weitere Informationen finden Sie unter Lizenzen und Berechtigungen. Wenn Sie die Featureaktivierung nicht durchlaufen möchten, können Sie weiterhin den Windows Autopatch-Dienst für die Features verwenden, die in Business Premium- und A3+-Lizenzen enthalten sind.
Autopatch-Gruppen helfen Microsoft Cloud-Managed Diensten, Organisationen zu treffen, in denen sie sich in ihrer Updateverwaltung befinden.
Eine Autopatch-Gruppe ist ein logischer Container oder eine logische Einheit, die mehrere Microsoft Entra Gruppen und Softwareupdaterichtlinien gruppiert, z. B. Richtlinie für Updateringe für Windows 10 und höher sowie Featureupdaterichtlinien für Windows 10 und spätere Richtlinien.
Bevor Sie mit dem Verwalten von Autopatch-Gruppen beginnen, stellen Sie sicher, dass sie die Voraussetzungen für Windows Autopatch-Gruppen erfüllen.
Erstellen einer Autopatch-Gruppe
Wichtig
Windows Autopatch erstellt die gerätebasierten Microsoft Entra ID zugewiesenen Gruppen basierend auf den Optionen, die auf der Seite zur Erstellung des Bereitstellungsrings getroffen wurden. Darüber hinaus weist der Dienst die Updateringrichtlinien für jeden Bereitstellungsring zu, der in der Autopatch-Gruppe erstellt wird, basierend auf den Optionen, die auf der Einstellungsseite Windows Update als Teil der benutzergeführten Endbenutzerumgebung der Autopatch-Gruppe getroffen wurden.
Tipp
Weitere Informationen zu Workloads, die von Windows Autopatch-Gruppen unterstützt werden, finden Sie unter Unterstützte Softwareworkloads.
- Um Microsoft 365 Apps for Enterprise zu verwalten, müssen Sie zuerst eine Autopatch-Gruppe erstellen und die Einstellung Microsoft 365-App-Update auf Zulassen festlegen.
- Zum Verwalten von Microsoft Edge-Updates müssen Sie zuerst eine Autopatch-Gruppe erstellen und die Edge-Updateeinstellung auf Zulassen festlegen.
So erstellen Sie eine Autopatch-Gruppe:
- Wechseln Sie zum Microsoft Intune Admin Center.
- Wählen Sie im linken Navigationsmenü Mandantenverwaltung aus.
- Wählen Sie im Abschnitt Windows Autopatch die Option Autopatch-Gruppen aus.
- Wählen Sie auf dem Blatt Autopatch-Gruppendie Option Erstellen aus.
- Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung ein, und wählen Sie dann Weiter: Bereitstellungsringe aus.
- Geben Sie bis zu 64 Zeichen für den Autopatch-Gruppennamen und maximal 150 Zeichen für die Beschreibung ein. Der Name der Autopatch-Gruppe wird sowohl an die Updateringe als auch an die DSS-Richtliniennamen angefügt, die erstellt werden, nachdem die Autopatch-Gruppe erstellt wurde.
- Wählen Sie auf der Seite Bereitstellungsringe die Option Bereitstellungsring hinzufügen aus, um die Anzahl der Bereitstellungsringe zur Gruppe Autopatch hinzuzufügen.
- Jedem hinzugefügten neuen Bereitstellungsring muss entweder eine Microsoft Entra Gerätegruppe oder eine Microsoft Entra Gruppe zugewiesen sein, die mithilfe definierter Prozentsätze dynamisch auf Ihre Bereitstellungsringe verteilt wird.
- Wählen Sie im Bereich Dynamische Gruppendie Option Gruppen hinzufügen aus, um eine oder mehrere vorhandene gerätebasierte Microsoft Entra Gruppen auszuwählen, die für die dynamische Gruppenverteilung verwendet werden sollen.
- Aktivieren Sie in der Spalte Dynamische Gruppenverteilung das gewünschte Bereitstellungsring. Führen Sie dann eine der folgenden Aktionen aus:
- Geben Sie den Prozentsatz der Geräte ein, die aus den in Schritt 9 ausgewählten Microsoft Entra Gruppen hinzugefügt werden sollen. Die Prozentuale Berechnung für Geräte muss 100 % betragen, oder
- Wählen Sie Standardverteilung für dynamische Gruppen anwenden aus, um die Standardwerte zu verwenden.
- Wählen Sie in der Spalte Zugewiesene Gruppe die Option Gruppe zum Klingeln hinzufügen aus, um einem der definierten Bereitstellungsringe eine vorhandene Microsoft Entra Gruppe hinzuzufügen. Die Bereitstellungsringe Test und Last unterstützen nur die Verteilung zugewiesener Gruppen. Diese Bereitstellungsringe unterstützen keine dynamische Verteilung.
- Wählen Sie Weiter: Windows Update Einstellungen aus.
- Wählen Sie die horizontalen Auslassungspunkte (...)>Verwalten Sie den Bereitstellungsrhythmus , um Den schrittweisen Rollout von Windows-Qualitäts- und Featureupdates anzupassen. Wählen Sie Speichern.
- Wählen Sie die horizontalen Auslassungspunkte (...)>Verwalten sie Benachrichtigungen , um die Endbenutzererfahrung beim Empfang von Windows-Updates anzupassen. Wählen Sie Speichern.
- Wählen Sie Überprüfen + erstellen aus , um alle vorgenommenen Änderungen zu überprüfen.
- Nachdem die Überprüfung abgeschlossen ist, wählen Sie Erstellen aus, um Ihre Autopatch-Gruppe zu speichern.
Achtung
Ändern Sie nicht die Microsoft Entra Gruppenmitgliedschaftstypen (zugewiesen und dynamisch). Andernfalls kann der Windows Autopatch-Dienst die Gerätegruppenmitgliedschaft aus diesen Gruppen nicht lesen und bewirkt, dass das Autopatch-Gruppenfeature und andere dienstbezogene Vorgänge nicht ordnungsgemäß funktionieren.
Darüber hinaus wird es nicht unterstützt, Configuration Manager Sammlungen direkt mit Microsoft Entra Gruppe zu synchronisieren, die von Autopatch-Gruppen erstellt wurde.
Achtung
Eine gerätebasierte Microsoft Entra-Gruppe kann jeweils nur mit einem Bereitstellungsring in einer Autopatch-Gruppe verwendet werden. Dies gilt für Bereitstellungsringe innerhalb derselben Autopatch-Gruppe und für verschiedene Bereitstellungsringe in verschiedenen Autopatch-Gruppen. Wenn Sie versuchen, eine Autopatch-Gruppe zu erstellen oder zu bearbeiten, um eine gerätebasierte Microsoft Entra Gruppe zu verwenden, die bereits verwendet wurde, erhalten Sie eine Fehlermeldung, die verhindert, dass Sie die Autopatch-Gruppe erstellen oder bearbeiten können.
Bearbeiten einer Autopatch-Gruppe
Tipp
Sie können eine Autopatch-Gruppe nicht bearbeiten, wenn mindestens eine Windows-Featureupdatereleases darauf ausgerichtet ist. Wenn Sie versuchen, eine Autopatch-Gruppe mit einer oder mehreren laufenden Windows-Featureupdateversionen zu bearbeiten, die darauf ausgerichtet sind, erhalten Sie die folgende Informationsbannermeldung: "Einige Einstellungen dürfen nicht geändert werden, da es ein oder mehrere fortlaufende Windows-Funktionsupdateversionen für diese Autopatch-Gruppe gibt." Weitere Informationen zum Release- und Phasenstatus finden Sie unter Windows-Featureupdate.
So bearbeiten Sie eine Autopatch-Gruppe:
- Wählen Sie die horizontalen Auslassungspunkte (...)>Bearbeiten Sie die Autopatch-Gruppe, die Sie bearbeiten möchten.
- Sie können nur die Beschreibung einer Autopatch-Gruppe ändern. Sie können den Namen nicht ändern. Nachdem die Beschreibung geändert wurde, wählen Sie Weiter: Bereitstellungsringe aus. Informationen zum Umbenennen einer Autopatch-Gruppe finden Sie unter Umbenennen einer Autopatch-Gruppe.
- Nehmen Sie die erforderlichen Änderungen auf der Seite Bereitstellungsringe vor, und wählen Sie dann Weiter: Windows Update Einstellungen aus.
- Nehmen Sie die erforderlichen Änderungen auf der Seite Windows Update-Einstellungen vor, und wählen Sie dann Weiter: Überprüfen + speichern aus.
- Wählen Sie Überprüfen + erstellen aus , um alle vorgenommenen Änderungen zu überprüfen.
- Nachdem die Überprüfung abgeschlossen ist, wählen Sie Speichern aus, um die Bearbeitung der Autopatch-Gruppe abzuschließen.
Wichtig
Windows Autopatch erstellt die gerätebasierten Microsoft Entra ID zugewiesenen Gruppen basierend auf den Optionen, die auf der Seite zur Erstellung des Bereitstellungsrings getroffen wurden. Darüber hinaus weist der Dienst die Updateringrichtlinien für jeden Bereitstellungsring zu, der in der Autopatch-Gruppe erstellt wird, basierend auf den Optionen, die auf der Einstellungsseite Windows Update als Teil der benutzergeführten Endbenutzerumgebung der Autopatch-Gruppe getroffen wurden.
Umbenennen einer Autopatch-Gruppe
So benennen Sie eine Autopatch-Gruppe um:
- Wählen Sie die horizontalen Auslassungspunkte (...)>Benennen Sie für die Autopatch-Gruppe um, die Sie umbenennen möchten. Das Fly-In "Autopatch-Gruppe umbenennen " wird geöffnet.
- Geben Sie unter Neuer Autopatch-Gruppenname den namen der neuen Autopatch-Gruppe Ihrer Wahl ein, und wählen Sie dann Gruppe umbenennen aus.
Wichtig
Autopatch unterstützt bis zu 64 Zeichen für den Autopatch-Gruppennamen. Wenn Sie eine Autopatch-Gruppe umbenennen, werden alle Updateringe für Windows 10- und höher-Richtlinie in Intune und Featureupdates für Windows 10- und höher-Richtlinie in Intune, die der Autopatch-Gruppe zugeordnet sind, umbenannt, um den neuen Autopatch-Gruppennamen, den Sie in ihrer Namenszeichenfolge definieren, einzuschließen. Außerdem werden beim Umbenennen einer Autopatch-Gruppe alle Microsoft Entra Gruppen, die die Bereitstellungsringe der Autopatch-Gruppe darstellen, umbenannt, um den neuen Autopatch-Gruppennamen einzuschließen, den Sie in ihrer Namenszeichenfolge definieren.
Löschen einer Autopatch-Gruppe
So löschen Sie eine Autopatch-Gruppe:
- Wählen Sie die horizontalen Auslassungspunkte (...)>Löschen Sie für die Autopatch-Gruppe, die Sie löschen möchten.
- Wählen Sie Ja aus, um zu bestätigen, dass Sie die Autopatch-Gruppe löschen möchten.
Achtung
Sie können eine Autopatch-Gruppe nicht löschen, wenn sie als Teil einer oder mehrerer aktiver oder angehaltener Featureupdateversionen verwendet wird. Sie können jedoch eine Autopatch-Gruppe löschen, wenn das Release für Windows-Qualitäts- oder Featureupdates entweder den Status Geplant oder Angehalten aufweist .
Verwalten von Gerätekonfliktszenarien bei Verwendung von Autopatch-Gruppen
Überschneidungen bei der Gerätemitgliedschaft sind ein häufiges Szenario bei der Arbeit mit gerätebasierten Microsoft Entra-Gruppen. Manchmal können dynamische Abfragen einen großen Umfang aufweisen, oder die gleiche zugewiesene Gerätemitgliedschaft kann für verschiedene Microsoft Entra Gruppen verwendet werden.
Da Autopatch-Gruppen es Ihnen ermöglichen, Ihre vorhandenen Microsoft Entra Gruppen zum Erstellen Ihrer eigenen Bereitstellungsringzusammensetzung zu verwenden, übernimmt der Dienst die Verantwortung für die Überwachung und automatische Lösung einiger der möglicherweise auftretenden Gerätekonfliktszenarien.
Achtung
Eine gerätebasierte Microsoft Entra-Gruppe kann jeweils nur mit einem Bereitstellungsring in einer Autopatch-Gruppe verwendet werden. Dies gilt für Bereitstellungsringe innerhalb derselben Autopatch-Gruppe und für verschiedene Bereitstellungsringe in verschiedenen Autopatch-Gruppen. Wenn Sie versuchen, eine Autopatch-Gruppe zu erstellen oder zu bearbeiten, um eine gerätebasierte Microsoft Entra Gruppe zu verwenden, die bereits verwendet wurde, erhalten Sie eine Fehlermeldung, die verhindert, dass Sie die Autopatch-Gruppe erstellen oder bearbeiten können.
Gerätekonflikt in Bereitstellungsringen innerhalb einer AutoPatch-Gruppe
Autopatch-Gruppen verwenden die folgende Logik, um Gerätekonflikte in Ihrem Namen innerhalb einer Autopatch-Gruppe zu lösen:
Schritt | Beschreibung |
---|---|
Schritt 1: Überprüft den Verteilungstyp des Bereitstellungsrings (zugewiesen oder dynamisch), zu dem das Gerät gehört. | Wenn beispielsweise ein Gerät Teil eines Bereitstellungsrings mit dynamischer Verteilung (Ring3) und eines Bereitstellungsrings mit zugewiesener Verteilung (Test) innerhalb derselben Autopatch-Gruppe ist, hat der Bereitstellungsring mit zugewiesener Verteilung (Test) Vorrang vor dem Bereitstellungsring mit dem dynamischen Verteilungstyp (Ring3). |
Schritt 2: Überprüft die Reihenfolge des Bereitstellungsrings, wenn das Gerät zu einem oder mehreren Bereitstellungsringen mit demselben Verteilungstyp (zugewiesen oder dynamisch) gehört. | Wenn ein Gerät beispielsweise Teil eines Bereitstellungsrings mit zugewiesener Verteilung (Test) und in einem anderen Bereitstellungsring mit zugewiesener Verteilung (Ring3) innerhalb derselben Autopatch-Gruppe ist, hat der später bereitgestellte Bereitstellungsring (Ring3) Vorrang vor dem Bereitstellungsring, der früher (Test) in der Bereitstellungsringreihenfolge kommt. |
Wichtig
Wenn ein Gerät zu einem Bereitstellungsring mit kombinierten Verteilungstypen (Zugewiesen und Dynamisch) und einem Bereitstellungsring gehört, der nur den Typ Dynamische Verteilung aufweist, hat der Bereitstellungsring mit den kombinierten Verteilungstypen Vorrang vor dem Bereitstellungsring mit nur der dynamischen Verteilung. Wenn ein Gerät zu zwei Bereitstellungsringen gehört, die über kombinierte Verteilungstypen (Zugewiesen und Dynamisch) verfügen, hat der später bereitgestellte Bereitstellungsring Vorrang vor dem Bereitstellungsring, der früher in der Bereitstellungsringreihenfolge vorkommt.
Gerätekonflikt über verschiedene AutoPatch-Gruppen hinweg
Gerätekonflikte zwischen verschiedenen Bereitstellungsringen in verschiedenen Autopatch-Gruppen können auftreten. Sehen Sie sich die folgenden Beispiele an, wie die Windows Autopatch-Dienste die folgenden Szenarien behandeln:
Gleiches Gerät in verschiedenen Bereitstellungsringen in verschiedenen AutoPatch-Gruppen
Konfliktszenario | Konfliktlösung |
---|---|
Sie, der IT-Administrator bei Contoso Ltd., verwenden mehrere Autopatch-Gruppen. Beim Navigieren durch Geräte auf dem Blatt Windows Autopatch-Geräte stellen Sie fest, dass dasselbe Gerät Teil verschiedener Bereitstellungsringe in mehreren verschiedenen Autopatch-Gruppen ist. Dieses Gerät wird als Nicht bereit angezeigt. | Sie müssen diesen Konflikt lösen. Autopatch-Gruppen informieren Sie im Gerätebericht über den Gerätekonflikt. Wählen Sie die status Nicht bereit für das Gerät aus, das Sie adressieren möchten. Sie müssen manuell angeben, zu welcher der vorhandenen Autopatch-Gruppen das Gerät ausschließlich gehören soll. |
Gerätekonflikt vor der Geräteregistrierung
Wenn Sie eine Autopatch-Gruppe erstellen oder bearbeiten, überprüft Windows Autopatch, ob die Geräte, die Teil der Microsoft Entra Gruppen sind, die in Bereitstellungsringen von Autopatch-Gruppen verwendet werden, beim Dienst registriert sind.
Konfliktszenario | Konfliktlösung |
---|---|
Gerätekonflikt vor der Geräteregistrierung aufgrund einer Überschneidung der Gerätemitgliedschaft | Sie müssen diesen Konflikt lösen. Geräte können sich nicht beim Dienst registrieren und sind mit einem nicht registrierten status gekennzeichnet. Sie müssen sicherstellen, dass die Microsoft Entra Gruppen, die in einer Autopatch-Gruppe verwendet werden, keine Gerätemitgliedschaftsüberlappungen aufweisen. |