Übersicht über Windows Autopatch-Gruppen
Wenn Organisationen zu einem Modell mit verwalteten Diensten wechseln, bei dem Microsoft Updateprozesse in ihrem Namen verwaltet, werden sie aufgefordert, die richtige Darstellung ihrer Organisationsstrukturen zu erhalten, gefolgt von ihrem eigenen Bereitstellungsintervall. Windows Autopatch-Gruppen unterstützen Organisationen dabei, Updates ohne zusätzliche Kosten oder ungeplante Unterbrechungen auf eine Weise zu verwalten, die für ihre Unternehmen sinnvoll ist.
Was sind Windows Autopatch-Gruppen?
Autopatch-Gruppen sind ein logischer Container oder eine logische Einheit, die mehrere Microsoft Entra Gruppen und Softwareupdaterichtlinien gruppiert, z. B. Updateringrichtlinie für Windows 10 und höher sowie Featureupdates für Windows 10 und höher.
Wichtigste Vorteile
Autopatch-Gruppen helfen Microsoft Cloud-Managed Diensten, Organisationen zu treffen, in denen sie sich in ihrer Updateverwaltung befinden. Zu den wichtigsten Vorteilen gehören:
| Vorteil | Beschreibung |
|---|---|
| Replizieren Ihrer Organisationsstruktur | Sie können Autopatch-Gruppen einrichten, um Ihre Organisationsstrukturen zu replizieren, die von Ihrer vorhandenen gerätebasierten Microsoft Entra Gruppenziellogik dargestellt werden. |
| Flexible Anzahl von Bereitstellungen | AutoPatch-Gruppen bieten Ihnen die Flexibilität, die richtige Anzahl von Bereitstellungsringen zu haben, die innerhalb Ihrer organization funktionieren. Sie können bis zu 15 Bereitstellungsringe pro Autopatch-Gruppe einrichten. |
| Entscheiden, welche Geräte zu Bereitstellungsringen gehören | Neben der Verwendung Ihrer vorhandenen gerätebasierten Microsoft Entra Gruppen und der Auswahl der Anzahl von Bereitstellungsringen können Sie beim Einrichten von Autopatch-Gruppen auch entscheiden, welche Geräte zu Bereitstellungsringen gehören. |
| Auswählen des Bereitstellungsintervalls | Sie wählen das richtige Bereitstellungsintervall für Softwareupdates für Ihr Unternehmen aus. |
Übersicht über das Allgemeine Architekturdiagramm
Autopatch-Gruppen ist eine Funktions-App, die Teil des Microdiensts für die Geräteregistrierung innerhalb des Windows Autopatch-Diensts ist. In der folgenden Tabelle wird der allgemeine Workflow erläutert:
| Schritt | Beschreibung |
|---|---|
| Schritt 1: Erstellen einer Autopatch-Gruppe | Erstellen Sie eine Autopatch-Gruppe. |
| Schritt 2: Windows Autopatch verwendet Microsoft Graph zum Erstellen von Microsoft Entra ID und Richtlinienzuweisungen | Der Windows Autopatch-Dienst verwendet Microsoft Graph, um die Erstellung von zu koordinieren:
|
| Schritt 3: Intune weist Softwareupdaterichtlinien zu | Sobald Microsoft Entra Gruppen im Microsoft Entra-Dienst erstellt wurden, wird Intune verwendet, um diesen Gruppen die Softwareupdaterichtlinien zuzuweisen und die Anzahl der Geräte bereitzustellen, die die Softwareupdaterichtlinien für den Windows Update for Business-Dienst (WUfB) benötigen. |
| Schritt 4: Windows Update für Geschäftsaufgaben | Windows Update for Business (WUfB) ist zuständig für:
|
Wichtigste Konzepte
Es gibt einige wichtige Konzepte, mit denen Sie sich vertraut machen sollten, bevor Sie Autopatch-Gruppen verwenden.
Informationen zur Gruppe "Standard autopatch"
Hinweis
Die Autopatch-Standardgruppe wird für Organisationen empfohlen, die ihre geschäftlichen Anforderungen mithilfe der vorkonfigurierten Zusammensetzung von fünf Bereitstellungsringen erfüllen können.
Die Gruppe Standard autopatch verwendet die Standardempfehlung für den Updateverwaltungsprozess von Windows Autopatch. Die Gruppe "Autopatch standard" enthält Folgendes:
- Eine Gruppe von fünf Bereitstellungsringen
- Ein Standardmäßiger Updatebereitstellungsrhythmus für Windows-Qualitäts - und Featureupdates.
Die Gruppe "Automatisches Standardpatch" ist für Organisationen vorgesehen, die Folgendes benötigen:
- Registrieren beim Dienst
- Richten Sie sich an den standardmäßigen Updateverwaltungsprozess von Windows Autopatch aus, ohne dass weitere Anpassungen erforderlich sind.
Die Autopatch-Standardgruppe kann nicht gelöscht oder umbenannt werden. Sie können die Zusammensetzung des Bereitstellungsrings jedoch anpassen, um Bereitstellungsringe hinzuzufügen und/oder zu entfernen, und Sie können auch die Aktualisierungsbereitstellungsintervalle für jeden darin enthaltenen Bereitstellungsring anpassen.
Standardmäßige Zusammensetzung des Bereitstellungsrings
Standardmäßig werden die folgenden softwareupdatebasierten Bereitstellungsringe verwendet, die durch Microsoft Entra ID zugewiesenen Gruppen dargestellt werden:
- Windows Autopatch – Test
- Windows Autopatch – Ring1
- Windows Autopatch – Ring2
- Windows Autopatch – Ring3
- Windows Autopatch – Zuletzt
Windows Autopatch: Test und Last können nur als zugewiesene Geräteverteilungen verwendet werden. Windows Autopatch : Ring1, Ring2 und Ring3 können mit zugewiesenen oder dynamischen Geräteverteilungen verwendet werden oder eine Kombination aus beiden Geräteverteilungstypen aufweisen.
Tipp
Weitere Informationen zu den Unterschieden zwischen den Verteilungstypen zugewiesener und dynamischer Bereitstellungsring finden Sie unter Informationen zu Bereitstellungsringen. Nur Bereitstellungsringe, die zwischen den Test - und den Letzten Bereitstellungsringen platziert sind, können mit den Dynamischen Bereitstellungsringverteilungen verwendet werden.
Achtung
Diese und andere Microsoft Entra ID zugewiesenen Gruppen, die von Autopatch-Gruppen erstellt wurden, dürfen in Ihrem Mandanten nicht fehlen. Andernfalls funktionieren Autopatch-Gruppen möglicherweise nicht ordnungsgemäß.
Der letzte Bereitstellungsring, der fünfte Bereitstellungsring in der Gruppe "Automatisches Standardpatch", soll die Abdeckung für Szenarien bereitstellen, in denen eine Gruppe spezialisierter Geräte und/oder VIP/Executive-Benutzer vorhanden ist. Sie müssen Softwareupdatebereitstellungen nach der allgemeinen Organization erhalten, um Unterbrechungen für die kritischen Unternehmen Ihrer organization zu minimieren.
Standardmäßige Updatebereitstellungsintervalle
Die Gruppe "Standard autopatch" bietet einen Standardmäßigen Updatebereitstellungsrhythmus für ihre Bereitstellungsringe mit Ausnahme des letzten (fünften) Bereitstellungsrings.
Updateringrichtlinie für Windows 10 und höher
Autopatch-Gruppen richten die Richtlinie Updateringe für Windows 10 und höher für jeden ihrer Bereitstellungsringe in der Gruppe Autopatch standard ein. Sehen Sie sich die folgenden Standardrichtlinienwerte an:
| Richtlinienname | Microsoft Entra Gruppenzuweisung | Zurückstellung von Qualitätsupdates in Tagen | Verzögerung von Featureupdates in Tagen | Fenster zur Deinstallation von Featureupdates in Tagen | Frist für Qualitätsupdates in Tagen | Stichtag für Featureupdates in Tagen | Nachfrist | Automatischer Neustart vor Stichtag |
|---|---|---|---|---|---|---|---|---|
| Windows Autopatch-Updaterichtlinie – Standard – Test | Windows Autopatch – Test | 0 | 0 | 30 | 0 | 5 | 0 | Ja |
| Windows Autopatch-Updaterichtlinie – Standard – Ring1 | Windows Autopatch – Ring1 | 1 | 0 | 30 | 2 | 5 | 2 | Ja |
| Windows Autopatch-Updaterichtlinie – Standard – Ring2 | Windows Autopatch – Ring2 | 6 | 0 | 30 | 2 | 5 | 2 | Ja |
| Windows Autopatch-Updaterichtlinie – Standard – Ring3 | Windows Autopatch – Ring3 | 9 | 0 | 30 | 5 | 5 | 2 | Ja |
| Windows Autopatch-Updaterichtlinie – Standard – Letzte | Windows Autopatch – Zuletzt | 11 | 0 | 30 | 3 | 5 | 2 | Ja |
Featureupdaterichtlinie für Windows 10 und höher
Autopatch-Gruppen richten die Featureupdates für Windows 10- und höher-Richtlinien für die einzelnen Bereitstellungsringe in der Gruppe Autopatch standard ein. Weitere Informationen finden Sie unter den folgenden Standardrichtlinienwerten:
| Richtlinienname | Microsoft Entra Gruppenzuweisung | Featureupdateversion | Rolloutoptionen | Verfügbarkeit des ersten Bereitstellungsrings | Endgültige Verfügbarkeit des Bereitstellungsrings | Tag zwischen Bereitstellungsringen | Enddatum des Supports |
|---|---|---|---|---|---|---|---|
| Windows Autopatch – DSS-Richtlinie [Test] | Windows Autopatch – Test | Windows 10 21H2 | Updates so schnell wie möglich verfügbar machen | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | 11. Juni 2024; 1:00 Uhr |
| Windows Autopatch – DSS-Richtlinie [Ring1] | Windows Autopatch – Ring1 | Windows 10 21H2 | Updates so schnell wie möglich verfügbar machen | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | 11. Juni 2024; 1:00 Uhr |
| Windows Autopatch – DSS-Richtlinie [Ring2] | Windows Autopatch – Ring2 | Windows 10 21H2 | Updates so schnell wie möglich verfügbar machen | Montag, 14. Dezember 2022 | Montag, 21. Dezember 2022 | 1 | 11. Juni 2024; 1:00 Uhr |
| Windows Autopatch – DSS-Richtlinie [Ring3] | Windows Autopatch – Ring3 | Windows 10 21H2 | Updates so schnell wie möglich verfügbar machen | Montag, 15. Dezember 2022 | Montag, 29. Dezember 2022 | 1 | 11. Juni 2024; 1:00 Uhr |
| Windows Autopatch – DSS-Richtlinie [Zuletzt] | Windows Autopatch – Zuletzt | Windows 10 21H2 | Updates so schnell wie möglich verfügbar machen | Montag, 15. Dezember 2022 | Montag, 29. Dezember 2022 | 1 | 11. Juni 2024; 1:00 Uhr |
Informationen zu benutzerdefinierten Autopatch-Gruppen
Hinweis
Die Autopatch-Standardgruppe wird für Organisationen empfohlen, die ihre geschäftlichen Anforderungen mithilfe der vorkonfigurierten Zusammensetzung von fünf Bereitstellungsringen erfüllen können.
Benutzerdefinierte Autopatch-Gruppen sollen Organisationen helfen, die eine genauere Darstellung der Strukturen ihrer organization zusammen mit ihrem eigenen Updatebereitstellungsintervall im Dienst benötigen.
Standardmäßig sind für eine gruppe benutzerdefiniertes automatisches Patchen die Bereitstellungsringe Test und Last automatisch vorhanden. Weitere Informationen finden Sie unter Test und Letzte Bereitstellungsringe.
Informationen zu Bereitstellungsringen
Bereitstellungsringe ermöglichen es einer Autopatch-Gruppe, Softwareupdatebereitstellungen sequenziell in einem schrittweisen Rollout innerhalb der Autopatch-Gruppe bereitzustellen.
Windows Autopatch entspricht Microsoft Entra ID und Intune Terminologie für die Gerätegruppenverwaltung. Es gibt zwei Arten der Verteilung von Bereitstellungsringgruppen in Autopatch-Gruppen:
| Verteilung des Bereitstellungsrings | Beschreibung |
|---|---|
| Dynamisch | Sie können eine oder mehrere gerätebasierte Microsoft Entra Gruppen verwenden, die entweder dynamisch abfragebasiert oder zugewiesen sind, um sie in der Zusammensetzung Ihres Bereitstellungsrings zu verwenden. Microsoft Entra Gruppen, die mit dem Dynamischen Verteilungstyp verwendet werden, können verwendet werden, um Geräte auf mehrere Bereitstellungsringe basierend auf Prozentwerten zu verteilen, die angepasst werden können. |
| Zugewiesen | Sie können eine einzelne gerätebasierte Microsoft Entra Gruppe verwenden, die entweder dynamisch abfragebasiert oder zugewiesen ist, um sie in Der Zusammensetzung Ihres Bereitstellungsrings zu verwenden. |
| Kombination aus "Dynamisch" und "Zugewiesen" | Um ein höheres Maß an Flexibilität bei der Arbeit an Bereitstellungsringkompositionen zu bieten, können Sie beide Geräteverteilungstypen in Autopatch-Gruppen kombinieren. Die Kombination aus dynamischer und zugewiesener Geräteverteilung wird für den Bereitstellungsring Test und Last in autopatch-Gruppen nicht unterstützt. |
Informationen zu den Ringen "Test" und "Letzte Bereitstellung"
Sowohl der Test - als auch der letzte Bereitstellungsring sind Standardbereitstellungsringe, die automatisch in den Gruppen Standard autopatch und Custom Autopatch vorhanden sind. Diese Standardbereitstellungsringe stellen die empfohlene Mindestanzahl von Bereitstellungsringen bereit, die eine Autopatch-Gruppe aufweisen sollte.
Wenn Sie nur Test- und Letzte Bereitstellungsringe in der Gruppe Autopatch standard beibehalten oder beim Erstellen einer benutzerdefinierten Autopatch-Gruppe keine weiteren Bereitstellungsringe hinzufügen, kann der Testbereitstellungsring als Pilotbereitstellungsring und Last als Produktionsbereitstellungsring verwendet werden.
Wichtig
Sowohl der Test - als auch der Letzte Bereitstellungsring können nicht aus den Gruppen Standard oder Benutzerdefiniertes automatisches Patchen entfernt oder umbenannt werden. AutoPatch-Gruppen unterstützen nicht die Verwendung eines einzelnen Bereitstellungsrings als Teil der Bereitstellungsringzusammensetzung, da Sie mindestens zwei Bereitstellungsringe für den schrittweisen Rollout benötigen. Wenn Sie ein bestimmtes Szenario mit einem einzelnen Bereitstellungsring implementieren müssen und kein schrittweises Rollout erforderlich ist, sollten Sie erwägen, diese Geräte außerhalb von Windows Autopatch zu verwalten.
Tipp
Sowohl der Test- als auch der letzte Bereitstellungsring unterstützen jeweils nur eine einzelne Microsoft Entra Gruppenzuweisung. Wenn Sie mehrere Microsoft Entra Gruppe zuweisen müssen, können Sie die anderen Microsoft Entra Gruppen unter den Gruppen schachteln, die Sie mit den Bereitstellungsringen Test und Last verwenden möchten. Es wird nur eine Ebene Microsoft Entra Gruppenschachtelung unterstützt.
Dienstbasierte im Vergleich zu softwareupdatebasierten Bereitstellungsringen
Autopatch-Gruppen erstellen zwei verschiedene Ebenen. Jede Ebene enthält einen eigenen Bereitstellungsringsatz.
Wichtig
Sowohl dienstbasierte als auch softwareupdatebasierte Bereitstellungsringsätze werden standardmäßig Geräten zugewiesen, die sich erfolgreich bei Windows Autopatch registrieren.
Dienstbasierte Bereitstellungsringe
Der dienstbasierte Bereitstellungsringsatz wird ausschließlich verwendet, um Windows Autopatch mit Konfigurationsrichtlinien auf Dienst- und Geräteebene, Apps und APIs, die für die Kernfunktionen des Diensts erforderlich sind, auf dem neuesten Stand zu halten.
Im Folgenden sind die Microsoft Entra ID zugewiesenen Gruppen aufgeführt, die die dienstbasierten Bereitstellungsringe darstellen. Diese Gruppen können nicht gelöscht oder umbenannt werden:
- Modern Workplace Devices-Windows Autopatch-Test
- Modern Workplace Devices-Windows Autopatch-First
- Modern Workplace Devices-Windows Autopatch-Fast
- Modern Workplace Devices-Windows Autopatch-Broad
Achtung
Ändern Sie nicht die Microsoft Entra Gruppenmitgliedschaftstypen (zugewiesen und dynamisch). Andernfalls kann der Windows Autopatch-Dienst die Gerätegruppenmitgliedschaft aus diesen Gruppen nicht lesen und bewirkt, dass das Autopatch-Gruppenfeature und andere dienstbezogene Vorgänge nicht ordnungsgemäß funktionieren.
Darüber hinaus wird es nicht unterstützt, dass Configuration Manager Sammlungen direkt mit Microsoft Entra Gruppe synchronisiert werden, die von Autopatch-Gruppen erstellt wurde.
Softwarebasierte Bereitstellungsringe
Der softwarebasierte Bereitstellungsringsatz wird ausschließlich mit Richtlinien für die Softwareupdateverwaltung verwendet, z. B. dem Windows-Updatering und den Featureupdaterichtlinien in der Gruppe Windows Autopatch standard.
Im Folgenden sind die Microsoft Entra ID zugewiesenen Gruppen aufgeführt, die die softwareupdatebasierten Bereitstellungsringe darstellen. Diese Gruppen können nicht gelöscht oder umbenannt werden:
- Windows Autopatch – Test
- Windows Autopatch – Ring1
- Windows Autopatch – Ring2
- Windows Autopatch – Ring3
- Windows Autopatch – Zuletzt
Wichtig
Zusätzliche Microsoft Entra ID zugewiesenen Gruppen werden erstellt und der Liste hinzugefügt, wenn Sie der Gruppe Standard autopatch weitere Bereitstellungsringe hinzufügen.
Achtung
Ändern Sie nicht die Microsoft Entra Gruppenmitgliedschaftstypen (zugewiesen und dynamisch). Andernfalls kann der Windows Autopatch-Dienst die Gerätegruppenmitgliedschaft aus diesen Gruppen nicht lesen und bewirkt, dass das Autopatch-Gruppenfeature und andere dienstbezogene Vorgänge nicht ordnungsgemäß funktionieren.
Darüber hinaus wird es nicht unterstützt, dass Configuration Manager Sammlungen direkt mit Microsoft Entra Gruppe synchronisiert werden, die von Autopatch-Gruppen erstellt wurde.
Informationen zur Geräteregistrierung
Autopatch-Gruppen registrieren Geräte beim Windows Autopatch-Dienst, wenn Sie entweder eine benutzerdefinierte Autopatch-Gruppeerstellen oder bearbeiten und/oder wenn Sie die Autopatch-Standardgruppe so bearbeiten, dass sie Ihre vorhandenen Microsoft Entra Gruppen anstelle der vom Dienst bereitgestellten Windows Autopatch-Geräteregistrierungsgruppe verwendet.
Gängige Methoden zur Verwendung von Autopatch-Gruppen
Im Folgenden finden Sie drei häufige Verwendungsmöglichkeiten für die Verwendung von Autopatch-Gruppen.
Anwendungsfall Nr. 1
Hinweis
Die Autopatch-Standardgruppe wird für Organisationen empfohlen, die ihre geschäftlichen Anforderungen mithilfe der vorkonfigurierten Zusammensetzung von fünf Bereitstellungsringen erfüllen können.
| Szenario | Lösung |
|---|---|
| Sie arbeiten als IT-Administrator bei Contoso Ltd. Und verwalten Sie mehrere Microsoft- und Nicht-Microsoft-Clouddienste. Sie haben keine zusätzliche Zeit, um mehrere Autopatch-Gruppen einzurichten und zu verwalten. Ihr organization die Updateverwaltung derzeit mithilfe von fünf Bereitstellungsringen betreibt, aber es besteht die Möglichkeit, flexible Bereitstellungsintervalle zu haben, wenn es mit Ihren Endbenutzern vorab kommuniziert wird. |
Wenn Sie nicht über Tausende von Geräten verfügen, die verwaltet werden müssen, verwenden Sie die Gruppe Standard autopatch für Ihre organization. Sie können die Gruppe Standard autopatch bearbeiten, um zusätzliche Bereitstellungsringe einzuschließen und/oder einige ihrer Standardbereitstellungsintervalle geringfügig zu ändern. Die Gruppe Standard autopatch ist vorkonfiguriert und erfordert keine zusätzlichen Konfigurationen, wenn Geräte beim Windows Autopatch-Dienst registriert werden. Es folgt eine visuelle Darstellung eines schrittweisen Rollouts für die Gruppe "Autopatch standard", die vom Windows Autopatch-Dienst vorkonfiguriert und vollständig verwaltet wird. |
Anwendungsfall 2
| Szenario | Lösung |
|---|---|
| Sie arbeiten als IT-Administrator bei Contoso Ltd. Ihr organization muss einen schrittweisen Rollout von Softwareupdates innerhalb bestimmter kritischer Geschäftseinheiten oder Abteilungen planen, um das Risiko von Störungen durch Endbenutzer zu verringern. | Sie können eine benutzerdefinierte Autopatch-Gruppe für jede Ihrer Geschäftseinheiten erstellen. Beispielsweise können Sie eine benutzerdefinierte Autopatch-Gruppe für die Finanzabteilung erstellen und die Zusammensetzung des Bereitstellungsrings nach den verschiedenen Benutzerpersonas oder basierend darauf aufschlüsseln, wie wichtig bestimmte Benutzergruppen für die Abteilung und dann für das Unternehmen sein können. Im Folgenden finden Sie eine visuelle Darstellung eines schrittweisen Rollouts für die Finanzabteilung von Contoso. |
Wichtig
Nachdem Autopatch-Gruppen eingerichtet wurden, wird die Veröffentlichung von Windows-Qualitäts- oder Featureupdates sequenziell über die zugehörigen Bereitstellungsringe bereitgestellt.
Anwendungsfall 3
| Szenario | Lösung |
|---|---|
| Sie arbeiten als IT-Administrator bei Contoso Ltd. Ihr Zweigstellenstandort in Chicago muss einen schrittweisen Rollout von Softwareupdates innerhalb bestimmter Abteilungen planen, um sicherzustellen, dass der Betrieb des Büros in Chicago nicht unterbrochen wird. | Sie können eine benutzerdefinierte Autopatch-Gruppe für den Zweigstellenstandort in Chicago erstellen und die Zusammensetzung des Bereitstellungsrings nach den Abteilungen innerhalb des Zweigstellenstandorts aufschlüsseln. Es folgt eine visuelle Darstellung eines schrittweisen Rollouts für den Contoso Chicago-Zweigstellenstandort. |
Wichtig
Nachdem Autopatch-Gruppen eingerichtet wurden, wird die Veröffentlichung von Windows-Qualitäts- oder Featureupdates sequenziell über die zugehörigen Bereitstellungsringe bereitgestellt.
Unterstützte Konfigurationen
Die folgenden Konfigurationen werden bei Verwendung von Autopatch-Gruppen unterstützt.
Softwareupdateworkloads
Autopatch-Gruppen können mit den folgenden Softwareupdateworkloads verwendet werden:
Maximale Anzahl von Autopatch-Gruppen
Windows Autopatch unterstützt bis zu 50 Autopatch-Gruppen in Ihrem Mandanten. Sie können zusätzlich zur Gruppe Standard autopatch bis zu 49 benutzerdefinierte Autopatch-Gruppen erstellen. Jede Autopatch-Gruppe unterstützt bis zu 15 Bereitstellungsringe.
Tipp
Wenn Sie die maximale Anzahl unterstützter Autopatch-Gruppen (50) erreichen und versuchen, weitere benutzerdefinierte Autopatch-Gruppen zu erstellen, wird die Option "Erstellen" auf dem Blatt Autopatch-Gruppen ausgegraut.
Informationen zum Verwalten Ihrer Autopatch-Gruppen finden Sie unter Verwalten von Windows Autopatch-Gruppen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für