Freigeben über

Registrieren von Geräten mit Autopatch-Gruppen

Wichtig

Wenn Sie noch nicht mit Autopatch arbeiten, kann es bis zu 48 Stunden dauern, bis Geräte im Bericht zur Mitgliedschaft von Autopatch-Gruppen als Registriert angezeigt werden. Während dieses Zeitraums von 48 Stunden durchlaufen Geräte die erforderlichen Onboardingprozesse, bevor sie als registriert angezeigt werden

Eine Autopatch-Gruppe ist ein logischer Container oder eine logische Einheit, die mehrere Microsoft Entra Gruppen und Softwareupdaterichtlinien gruppiert. Weitere Informationen finden Sie unter Windows Autopatch-Gruppen.

Wenn Sie eine Autopatch-Gruppe erstellen oder eine Autopatch-Gruppe bearbeiten, werden die gerätebasierten Microsoft Entra Gruppen, die Sie verwenden, fortlaufend überprüft, um festzustellen, ob der Autopatch-Gruppe neue Geräte hinzugefügt werden müssen.

Detailliertes Workflowdiagramm für die Geräteregistrierung

Sehen Sie sich das folgende detaillierte Workflowdiagramm an. Das Diagramm zeigt den Windows Autopatch-Geräteregistrierungsprozess:

Diagramm des Workflows für die Geräteregistrierung.

Schritt Beschreibung
Schritt 1: Zuweisen von Entra-Gruppen Der IT-Administrator identifiziert die Microsoft Entra Gruppe, die er zuweisen möchte, wenn er eine Autopatch-Gruppe erstellt oder eine Autopatch-Gruppe bearbeitet.
Schritt 2: Ermitteln von Geräten Die Windows Autopatch-Funktion Geräte ermitteln ermittelt Geräte (stündlich), die zuvor vom IT-Administrator aus Microsoft Entra Gruppen hinzugefügt wurden, die in Schritt 1 mit Autopatch-Gruppen verwendet wurden. Die Microsoft Entra-Geräte-ID wird von Windows Autopatch verwendet, um Geräteattribute sowohl in Microsoft Intune als auch in Microsoft Entra ID abzufragen, wenn Geräte bei seinem Dienst registriert werden.
  1. Sobald Geräte aus der Microsoft Entra Gruppe ermittelt wurden, sammelt dieselbe Funktion zusätzliche Geräteattribute und speichert sie während des Ermittlungsvorgangs im Arbeitsspeicher. In diesem Schritt werden die folgenden Geräteattribute aus Microsoft Entra ID gesammelt:
    1. AzureADDeviceID
    2. OperatingSystem
    3. DisplayName (Gerätename)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. In diesem Schritt ruft die Funktion Windows Autopatch discover devices eine weitere Funktion auf, die Funktion zur Überprüfung der Gerätevoraussetzungen. Die Funktion zur Überprüfung der Gerätevoraussetzungen wertet softwarebasierte Voraussetzungen auf Geräteebene aus, um die Windows Autopatch-Gerätebereitschaftsanforderungen vor der Registrierung zu erfüllen.
Schritt 3: Überprüfen der Voraussetzungen Die Windows Autopatch-Voraussetzungsfunktion führt einen Intune Graph-API Aufruf aus, um die für den Registrierungsprozess erforderlichen Gerätebereitschaftsattribute sequenziell zu überprüfen. Ausführliche Informationen finden Sie im Abschnitt Detailliertes Workflowdiagramm zur Überprüfung der Voraussetzungen . Der Dienst überprüft die folgenden Gerätebereitschaftsattribute und/oder Voraussetzungen:
  1. Ob das Gerät Intune verwaltet wird oder nicht.
    1. Windows Autopatch überprüft, ob der Microsoft Entra Geräte-ID eine Intune Geräte-ID zugeordnet ist.
      1. Wenn ja, bedeutet dies, dass dieses Gerät bei Intune registriert ist.
      2. Wenn dies nicht der Fall ist, bedeutet dies, dass das Gerät nicht bei Intune registriert ist und daher nicht vom Windows Autopatch-Dienst verwaltet werden kann.
    2. Wenn das Gerät nicht von Intune verwaltet wird, kann der Windows Autopatch-Dienst keine Geräteattribute wie Betriebssystemversion, Intune Registrierungsdatum, Gerätename und andere Attribute erfassen. In diesem Fall verwendet der Windows Autopatch-Dienst die Microsoft Entra Geräteattribute, die in Schritt 3a gesammelt und im Arbeitsspeicher gespeichert wurden.
      1. Sobald die Geräteattribute aus Microsoft Entra ID in Schritt 3a erfasst wurden, wird das Gerät mit dem status Voraussetzung fehlgeschlagen gekennzeichnet, und die status autopatch readiness des Geräts wird im Bericht zur Mitgliedschaft von Autopatch-Gruppen als Nicht registriert angezeigt. Der IT-Administrator kann überprüfen, warum das Gerät nicht bei Windows Autopatch registriert wurde. Der IT-Administrator bereinigt diese Geräte. In diesem Fall sollte der IT-Administrator überprüfen, warum das Gerät nicht bei Intune registriert wurde.
      2. Ein häufiger Grund ist, dass die Microsoft Entra Geräte-ID veraltet ist und keine Intune Geräte-ID mehr zugeordnet ist. Zur Behebung sauber veraltete Microsoft Entra Gerätedatensätze aus Ihrem Mandanten.
    3. Wenn das Gerät von Intune verwaltet wird, setzt die Windows Autopatch-Voraussetzungsprüfung mit der nächsten Voraussetzungsprüfung fort, die auswertet, ob das Gerät in den letzten 28 Tagen bei Intune eingecheckt wurde.
  2. Ob es sich bei dem Gerät um ein Windows-Gerät handelt oder nicht.
    1. Windows Autopatch prüft, ob es sich bei dem Gerät um ein Windows- und unternehmenseigenes Gerät handelt.
      1. Wenn ja, bedeutet dies, dass dieses Gerät beim Dienst registriert werden kann, da es sich um ein unternehmenseigenes Windows-Gerät handelt.
      2. Andernfalls bedeutet dies, dass es sich bei dem Gerät um ein Nicht-Windows-Gerät handelt, oder um ein Windows-Gerät, aber um ein persönliches Gerät.
  3. Windows Autopatch überprüft die Windows-SKU-Familie. Die SKU muss wie folgt sein:
    1. Unternehmen
    2. Profi
    3. Pro Workstation
    4. Bildung
    5. Pro Education
  4. Wenn das Gerät die Betriebssystemanforderungen erfüllt, überprüft Windows Autopatch, ob es sich bei dem Gerät um folgendes handelt:
    1. Wird nur von Intune verwaltet.
      1. Wenn das Gerät nur von Intune verwaltet wird, wird das Gerät als Alle Voraussetzungen erfüllt markiert.
    2. Gemeinsam verwaltet von Configuration Manager und Intune.
      1. Wenn das Gerät von Configuration Manager und Intune gemeinsam verwaltet wird, wird eine zusätzliche Voraussetzungsprüfung ausgewertet, um festzustellen, ob das Gerät die Workloads mit aktivierter Co-Verwaltung erfüllt, die windows Autopatch zum Verwalten von Geräten in einem gemeinsam verwalteten Zustand benötigt. Die erforderlichen Co-Verwaltungsworkloads, die in diesem Schritt ausgewertet werden, sind:
        1. Windows Updates-Richtlinien
        2. Gerätekonfiguration
        3. Office Klick-und-Ausführung
      2. Wenn Windows Autopatch feststellt, dass eine dieser Workloads auf dem Gerät nicht aktiviert ist, markiert der Dienst das Gerät als Voraussetzung fehlgeschlagen, und die status autopatch readiness des Geräts wird im Bericht zur Mitgliedschaft von Autopatch-Gruppen als Nicht registriert angezeigt.
Schritt 4: Berechnen der dynamischen Verteilung und Zuweisen von Geräten Microsoft Entra Gruppen, die einem Bereitstellungsring direkt zugewiesen sind, fügt diese Geräte der Microsoft Entra Gruppe hinzu, die autopatch für diesen Bereitstellungsring erstellt.

Wenn Sie sich für die verwendung der dynamischen Verteilung entscheiden, verteilt der Autopatch-Dienst die von Ihnen ausgewählten Geräte. Der Dienst übernimmt einen Prozentsatz der Geräte im dynamischen Pool und fügt sie den relevanten Microsoft Entra Gruppen hinzu. Geräte, die Mitglieder Microsoft Entra Direkt zugewiesenen Gruppen sind, sind nicht im dynamischen Pool enthalten.

Wenn Sie weniger als 100 Geräte in einer Autopatch-Gruppe haben, stimmt die Verteilung möglicherweise nicht mit Ihrer Auswahl überein.
Schritt 5: Registrierung nach dem Gerät Wenn Sie den Windows Autopatch-Clientbroker bereitgestellt haben, treten Aktionen nach der Geräteregistrierung auf. Weitere Informationen finden Sie unter Bereitschaftsprüfungen nach der Geräteregistrierung.
Schritt 6: Überprüfen der geräteregistrierung status IT-Administratoren überprüfen die status für die Automatische Patch-Bereitschaft des Geräts. Geräte sind entweder registriert oder Nicht registriert im Bericht zur Mitgliedschaft in Autopatch-Gruppen.
  1. Wenn das Gerät erfolgreich registriert wurde, wird die autopatch-status des Geräts im Bericht zur Mitgliedschaft von Autopatch-Gruppen als Registriert angezeigt.
  2. Andernfalls wird die autopatch-status des Geräts im Bericht zur Mitgliedschaft von Autopatchgruppen als Nicht registriert angezeigt.
Schritt 7: Ende des Registrierungsworkflows Dies ist das Ende des Windows Autopatch-Geräteregistrierungsworkflows.

Detailliertes Workflowdiagramm für die Voraussetzungsprüfung

Wie in Schritt 3 im vorherigen Detaillierten Workflowdiagramm für die Geräteregistrierung beschrieben, ist das folgende Diagramm eine visuelle Darstellung des erforderlichen Konstrukts für den Windows Autopatch-Geräteregistrierungsprozess. Die Voraussetzungsprüfungen werden sequenziell ausgeführt.

Diagramm des Workflows für die Voraussetzungsprüfung.

Bericht zur Mitgliedschaft von Autopatch-Gruppen

Windows Autopatch verfügt über einen Autopatch-Gruppenmitgliedschaftsbericht mit den folgenden Informationen:

  • Autopatch-Gruppenmitgliedschaft (nur, wenn das Gerät einer Autopatch-Gruppe hinzugefügt wird)
  • Status aktualisieren
  • Richtlinien für jedes Gerät

Hinweis

Sie können benutzerdefinierte Rollen für den Zugriff auf den Bericht zur Mitgliedschaft von AutoPatch-Gruppen konfigurieren, einschließlich der verschiedenen Geräteaktionen.

Um ring zuzuweisen , benötigt der Benutzer mindestens Windows Autopatch-Gruppen-/Leseberechtigungen. Verwenden Sie das Dropdownmenü, um den Bereitstellungsring auszuwählen, in den Geräte verschoben werden sollen. Im Menü werden nur Bereitstellungsringe im Bereich der Benutzer angezeigt.

Zum Anzeigen der Geräteeigenschaften ist mindestens die Berechtigung Geräte verwalten/Lesen erforderlich.

Bereichsbezogene Administratoren können Geräte nur zwischen Bereitstellungsringen in derselben Autopatch-Gruppe mit den gleichen Bereichstags verschieben.

Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerungen für windows Autopatch.

Anzeigen des Mitgliedschaftsberichts für Autopatch-Gruppen

So zeigen Sie den Bericht zur Mitgliedschaft von Autopatch-Gruppen an:

  1. Wählen Sie im Intune Admin Center im linken Bereich Geräte aus.
  2. Wählen Sie unter Updates verwalten die Option Windows-Updates aus.
  3. Wählen Sie die Registerkarte Überwachen und dann Geräte automatisch patchen aus.

Sobald ein Gerät zu einer Autopatch-Gruppe hinzugefügt wurde, wird eine Bereitschafts-status angezeigt. Jede Bereitschafts-status hilft Ihnen zu ermitteln, ob Aktionen ausgeführt werden müssen oder ob das Gerät für den Dienst bereit ist.

Bereitschaftsstatus

Autopatch-Bereitschaft status im Bericht zur Mitgliedschaft von Autopatch-Gruppen Beschreibung des Unterstatus
Registriert
  • Bereit: Geräte bestanden erfolgreich alle Voraussetzungsprüfungen und registrierten sich erfolgreich bei Windows Autopatch. Darüber hinaus haben bereite Geräte alle Bereitschaftsprüfungen nach der Geräteregistrierung erfolgreich bestanden und verfügen nicht über aktive Warnungen, die auf sie ausgerichtet sind.
  • Nicht bereit: Diese Geräte wurden erfolgreich mit Windows Autopatch registriert. Diese Geräte sind jedoch:
    • Fehler beim Bestehen einer oder mehrerer Bereitschaftsprüfungen nach der Geräteregistrierung.
    • Sie sind nicht bereit, eine oder mehrere Softwareupdateworkloads vom Dienst verwalten zu lassen.
    • Das Gerät hat in den letzten 28 Tagen nicht mit Microsoft Intune kommuniziert.
    • Das Gerät hat einen Konflikt mit Richtlinien oder mit autopatch-Gruppenmitgliedschaft.
Nicht registriert
  • Autopatch-Gruppenkonflikt: Das Gerät hat einen Konflikt mit der Autopatch-Gruppenmitgliedschaft.
  • Fehler bei den Voraussetzungen: Das Gerät konnte eine oder mehrere Bereitschaftsprüfungen nach der Geräteregistrierung nicht bestehen.
  • Ausgeschlossen: Geräte mit diesem status werden nur aus dem Windows Autopatch-Dienst entfernt. Microsoft geht davon aus, dass Sie diese Geräte in irgendeiner Kapazität selbst verwalten.

Unterstützte Szenarien beim Schachteln anderer Microsoft Entra Gruppen

Windows Autopatch unterstützt auch die folgenden Microsoft Entra geschachtelten Gruppenszenarien:

Microsoft Entra Gruppen synchronisiert aus:

Windows Autopatch für Windows 365 Enterprise Workloads

Windows 365 Enterprise bietet IT-Administratoren die Möglichkeit, Geräte im Rahmen der Erstellung der Windows 365-Bereitstellungsrichtlinie beim Windows Autopatch-Dienst zu registrieren. Diese Option bietet Administratoren und Benutzern eine nahtlose Erfahrung, um sicherzustellen, dass Ihre Cloud-PCs immer auf dem neuesten Stand sind. Wenn IT-Administratoren entscheiden, ihre Windows 365 Cloud-PCs mit Windows Autopatch zu verwalten, ruft der Windows 365 erstellungsprozess für die Bereitstellungsrichtlinie Windows Autopatch-Geräteregistrierungs-APIs auf, um Geräte im Namen des IT-Administrators zu registrieren.

So registrieren Sie neue Windows 365 Cloud-PC-Geräte mit Windows Autopatch aus der Windows 365-Bereitstellungsrichtlinie:

  1. Wechseln Sie zum Intune Admin Center.
  2. Wählen Sie im linken Bereich Geräte aus.
  3. Navigieren Sie zu Bereitstellung >Windows 365.
  4. Wählen Sie Bereitstellungsrichtlinien >Richtlinie erstellen aus.
  5. Geben Sie einen Richtliniennamen an, und wählen Sie Join-Typ aus. Weitere Informationen finden Sie unter Gerätejointypen.
  6. Wählen Sie Weiter aus.
  7. Wählen Sie das gewünschte Bild und dann Weiter aus.
  8. Stellen Sie sicher, dass windows Autopatch im Abschnitt Von Microsoft verwaltete Dienste ausgewählt ist.
  9. Weisen Sie Ihre Richtlinie entsprechend zu, und wählen Sie Weiter aus.
  10. Wählen Sie Erstellen aus. Jetzt werden Ihre neu bereitgestellten Windows 365 Enterprise Cloud-PCs automatisch von Windows Autopatch registriert und verwaltet.

Weitere Informationen finden Sie unter Erstellen einer Windows 365-Bereitstellungsrichtlinie.

Windows Autopatch für Azure Virtual Desktop-Workloads

Windows Autopatch ist für Ihre Azure Virtual Desktop-Workloads verfügbar. Unternehmensadministratoren können ihre Azure Virtual Desktop-Workloads für die Verwaltung durch Windows Autopatch mithilfe des vorhandenen Geräteregistrierungsprozesses bereitstellen.

Windows Autopatch bietet den gleichen Dienstbereich für virtuelle Computer wie für physische Geräte. Windows Autopatch verschiebt jedoch jegliche Azure Virtual Desktop-spezifische Unterstützung auf Azure-Support, sofern nicht anders angegeben.

Voraussetzungen

Windows Autopatch für Azure Virtual Desktop erfüllt die gleichen Voraussetzungen wie Windows Autopatch und die Voraussetzungen für Azure Virtual Desktop.

Der Dienst unterstützt Folgendes:

  • Persönliche persistente virtuelle Computer

Die folgenden Azure Virtual Desktop-Features werden nicht unterstützt:

  • Hosts mit mehreren Sitzungen
  • Nicht persistente virtuelle Computer im Pool
  • Remote-App-Streaming

Bereitstellen von AutoPatch in Azure Virtual Desktop

Azure Virtual Desktop-Workloads können mit der gleichen Methode wie Ihre physischen Geräte bei Windows Autopatch registriert werden.

Zur Vereinfachung der Bereitstellung empfiehlt es sich, eine dynamische Gerätegruppe in Ihrer Gruppe für automatisches Patchen der Geräteregistrierung zu schachteln. Die dynamische Gerätegruppe zielt auf das Präfix Name ab, das in Ihrem Sitzungshost definiert ist, schließt jedoch alle Sitzungshosts mit mehreren Sitzungen aus . Beispiel:

Gruppenname Name der dynamischen Mitgliedschaft
Windows Autopatch – Hostpool-Sitzungshosts
  • (device.displayName -contains "AP")
  • (device.deviceOSType -ne "Windows 10 Enterprise for Virtual Desktops")

Bereinigen des dualen Zustands von Microsoft Entra hybrid eingebundenen und in Azure registrierten Geräten in Ihrem Microsoft Entra Mandanten

Ein Microsoft Entra dualer Zustand tritt auf, wenn ein Gerät anfänglich als Microsoft Entra registriertes Gerät mit Microsoft Entra ID verbunden ist. Wenn Sie jedoch Microsoft Entra Hybridjoin aktivieren, wird dasselbe Gerät zweimal mit Microsoft Entra ID aber als Hybrid-Microsoft Entra-Gerät verbunden.

Im dualen Zustand verfügen Sie letztendlich über zwei Microsoft Entra Gerätedatensätze mit unterschiedlichen Jointypen für dasselbe Gerät. In diesem Fall hat der Hybrid Microsoft Entra-Gerätedatensatz Vorrang vor dem Microsoft Entra registrierten Gerätedatensatz für jede Art von Authentifizierung in Microsoft Entra ID, wodurch der Microsoft Entra registrierten Gerätedatensatz veraltet ist.

Es wird empfohlen, veraltete Geräte in Microsoft Entra ID zu erkennen und zu sauber, bevor Sie Geräte mit Windows Autopatch registrieren. Weitere Informationen finden Sie unter Vorgehensweise: Verwalten veralteter Geräte in Microsoft Entra ID.

Warnung

Wenn Sie in Microsoft Entra ID keine veralteten Geräte sauber, bevor Sie Geräte beim automatischen Windows-Patch registrieren, sehen Sie möglicherweise, dass Geräte die Intune oder Cloud-Attached nicht erfüllen (Das Gerät muss entweder Intune oder co-verwaltet sein) auf der Registerkarte Nicht bereit, da erwartet wird, dass diese veralteten Komponenten veraltet sind. Microsoft Entra Geräte sind nicht mehr beim Intune-Dienst registriert.

Support ist entweder über Windows 365 oder das Windows Autopatch Service Engineering-Team für Vorfälle im Zusammenhang mit der Geräteregistrierung verfügbar.

Lebenszyklusszenarien für die Geräteverwaltung

Bei der Planung der Registrierung von Geräten in einer Autopatch-Gruppe müssen einige weitere Lebenszyklusszenarien für die Geräteverwaltung berücksichtigt werden.

Geräteaktualisierung

Wenn ein Gerät zuvor in einer Autopatch-Gruppe registriert wurde, aber ein Reimaging erforderlich ist, müssen Sie einen der in Microsoft Intune verfügbaren Gerätebereitstellungsprozesse ausführen, um ein Reimaging für das Gerät durchzuführen.

Das Gerät wird erneut mit Microsoft Entra ID (hybrid oder nur Microsoft Entra) eingebunden. Anschließend werden Sie auch erneut bei Intune registriert. Es ist keine weitere Aktion von Ihnen oder dem Windows Autopatch-Dienst erforderlich, da der Microsoft Entra Geräte-ID-Datensatz dieses Geräts unverändert bleibt.

Gerätereparatur und Hardwareaustausch

Wenn Sie ein Gerät reparieren müssen, das zuvor beim Windows Autopatch-Dienst registriert wurde, indem Sie die Hauptplatine, nicht entfernte Netzwerkschnittstellenkarten (Network Interface Cards, NIC) oder Festplatte ersetzen, müssen Sie das Gerät erneut beim Windows Autopatch-Dienst registrieren, da eine neue Hardware-ID generiert wird, wenn wichtige Hardwareänderungen vorgenommen werden, z. B.:

  • SMBIOS UUID (Motherboard)
  • MAC-Adresse (nicht veränderliche NICs)
  • Seriennummer, Modell, Herstellerinformationen der Betriebssystemfestplatte

Wenn eine dieser Hardwareänderungen auftritt, erstellt Microsoft Entra ID einen neuen Geräte-ID-Eintrag für dieses Gerät, auch wenn es sich technisch gesehen um dasselbe Gerät handelt.

Wichtig

Wenn eine neue Microsoft Entra Geräte-ID für ein Gerät generiert wird, das zuvor beim Windows Autopatch-Dienst registriert wurde, muss die neue Microsoft Entra Geräte-ID entweder über die direkte Gerätemitgliedschaft oder über geschachtelte Microsoft Entra dynamischen/zugewiesenen Gruppe in der Windows Autopatch-Gruppenoberfläche hinzugefügt werden. Dadurch wird sichergestellt, dass die neu generierte Microsoft Entra Geräte-ID bei Windows Autopatch registriert wird und dass die Softwareupdates des Geräts weiterhin vom Dienst verwaltet werden.