Windows-kwaliteitsupdates versnellen in Microsoft Intune
Met het beleid Kwaliteitsupdates voor Windows 10 en hoger kunt u de installatie van de meest recente beveiligingsupdates voor Windows 10/11 versnellen op apparaten die u beheert met Microsoft Intune. Implementatie van versnelde updates wordt uitgevoerd zonder dat u uw bestaande maandelijkse updatebeleid hoeft te onderbreken of te bewerken. U kunt bijvoorbeeld een specifieke update versnellen om een beveiligingsrisico te beperken wanneer uw normale updateproces de update enige tijd niet zou implementeren.
Niet alle updates kunnen worden versneld. Op dit moment zijn alleen beveiligingsupdates voor Windows 10/11 die kunnen worden versneld beschikbaar voor implementatie met beleid voor kwaliteitsupdates. Als u regelmatige maandelijkse kwaliteitsupdates wilt beheren, gebruikt u Update-ringen voor Beleid voor Windows 10 en hoger.
Hoe versnelde updates werken
Met versnelde updates kunt u de installatie van kwaliteitsupdates versnellen, zoals de meest recente patch-release van dinsdag of een out-of-band-beveiligingsupdate voor een zero-day-fout.
Versneld updatebeleid overschrijft uitstel en andere instellingen tijdelijk om updates zo snel mogelijk te installeren. Met dit proces kunnen apparaten het downloaden en installeren van een versnelde update starten zonder te hoeven wachten totdat het apparaat zich aanmeldt voor updates.
De werkelijke tijd die een apparaat nodig heeft om een update te starten, is afhankelijk van de internetverbinding van het apparaat, de scantijd, of de communicatiekanalen naar het apparaat functioneren en andere factoren, zoals de verwerkingstijd in de cloud.
Voor elk versneld updatebeleid selecteert u één update die u wilt implementeren op basis van de releasedatum. Als u de releasedatum gebruikt, hoeft u geen afzonderlijk beleid te maken om verschillende exemplaren van die update te implementeren op apparaten met verschillende versies van Windows, zoals Windows 10 versie 1809, 1909, enzovoort.
Windows Update evalueert de build en architectuur van elk apparaat en levert vervolgens de versie van de update die van toepassing is.
Alleen apparaten die de update nodig hebben, ontvangen de versnelde update:
- Windows Update probeert de update niet te versnellen voor apparaten die al een revisie hebben die gelijk is aan of groter is dan de updateversie.
- Voor apparaten met een lagere buildversie dan de update bevestigt Windows Update dat de update nog steeds vereist is voordat het apparaat deze installeert.
Belangrijk
In sommige scenario's kan Windows Update een update installeren die recenter is dan de update die u opgeeft in het beleid voor snelle updates. Zie Over het installeren van de meest recente toepasselijke update verderop in dit artikel voor meer informatie over dit scenario.
Updatebeleid versnellen negeert en overschrijft uitstelperioden voor kwaliteitsupdates voor de updateversie die u implementeert. U kunt uitstel van kwaliteitsupdates configureren met behulp van Intune Windows Update-ringen en de instelling voor Uitstelperiode voor kwaliteitsupdates.
Wanneer opnieuw opstarten is vereist om de installatie van de update te voltooien, helpt het beleid bij het beheren van het opnieuw opstarten. In het beleid kunt u een periode configureren waarin gebruikers een apparaat opnieuw moeten opstarten voordat het beleid automatisch opnieuw opstarten afding. Gebruikers kunnen er ook voor kiezen om het opnieuw opstarten te plannen of het apparaat te laten proberen de beste tijd buiten de werkuren van het apparaat te vinden. Voordat de deadline voor opnieuw opstarten wordt bereikt, geeft het apparaat meldingen weer om apparaatgebruikers te waarschuwen over de deadline en bevat het opties om het opnieuw opstarten te plannen.
Als een apparaat niet opnieuw wordt opgestart voor de deadline, kan het opnieuw worden opgestart op het midden van de werkdag. Zie Nalevingsdeadlines afdwingen voor updates voor meer informatie over het gedrag van opnieuw opstarten.
Versnelde updates worden niet aanbevolen voor het onderhoud van updates van normale maandelijkse kwaliteit. Overweeg in plaats daarvan de deadline-instellingen van een updatering voor Windows 10 en hoger te gebruiken. Zie Instellingen voor deadline gebruiken onder de instellingen voor gebruikerservaring in Windows Update-instellingen voor meer informatie.
Vereisten
Belangrijk
Deze functie wordt niet ondersteund in GCC- en GCC High/DoD-cloudomgevingen.
Abonnementsactivering inschakelen met een bestaande EA is niet van toepassing op GCC- en GCC High/DoD-cloudomgevingen voor WuFB-DS-mogelijkheden.
Hier volgen de vereisten om in aanmerking te komen voor het installeren van versnelde kwaliteitsupdates met Intune:
Licentieverlening:
Naast een licentie voor Intune moet uw organisatie een van de volgende abonnementen hebben met een licentie voor de implementatieservice van Windows Update voor Bedrijven:
- Windows 10/11 Enterprise E3 of E5 (opgenomen in Microsoft 365 F3, E3 of E5)
- Windows 10/11 Education A3 of A5 (opgenomen in Microsoft 365 A3 of A5)
- Windows Virtual Desktop Access E3 of E5
- Microsoft 365 Business Premium
Vanaf november 2022 wordt de WUfB ds-licentie (Windows Update for Business Deployment Service) gecontroleerd en afgedwongen.
Als u bent geblokkeerd bij het maken van nieuw beleid voor mogelijkheden waarvoor WUfB ds is vereist en u uw licenties krijgt om WUfB te gebruiken via een Enterprise Agreement (EA), neemt u contact op met de bron van uw licenties, zoals uw Microsoft-accountteam of de partner die u de licenties heeft verkocht. Het accountteam of de partner kan bevestigen dat uw tenantlicenties voldoen aan de WUfB ds-licentievereisten. Zie Activering van abonnementen inschakelen met een bestaande EA.
Ondersteunde versies van Windows 10/11:
- Windows 10/11-versies die ondersteuning blijven bieden voor onderhoud, op x86- of x64-architectuur
Alleen update-builds die algemeen beschikbaar zijn, worden ondersteund. Preview-builds, inclusief de bèta- en dev-kanalen, worden niet ondersteund met versnelde updates.
Ondersteunde edities van Windows 10/11:
- Professional
- Enterprise
- Education
- Pro Education
- Pro voor Workstations
Apparaten moeten:
Zijn ingeschreven bij Intune MDM.
U bent lid van Microsoft Entra of microsoft Entra hybrid. Workplace Join wordt niet ondersteund.
Toegang hebben tot eindpunten. Zie Netwerkeindpunten voor een gedetailleerde lijst met eindpunten die zijn vereist voor de gekoppelde services die hier worden vermeld.
- Windows Update
- Implementatieservice voor Windows Update voor Bedrijven
- Windows Push Notification Services: (aanbevolen, maar niet vereist. Zonder deze toegang kunnen apparaten updates mogelijk niet versnellen tot de volgende dagelijkse controle op updates.)
Worden geconfigureerd om kwaliteitsupdates rechtstreeks vanuit de Windows Update-service te downloaden.
Zorg dat de Update Health Tools zijn geïnstalleerd, die zijn geïnstalleerd met KB 4023057 - Update voor Windows 10 Update Service-onderdelen. De aanwezigheid van updatestatushulpprogramma's op een apparaat bevestigen:
- Zoek naar de map C:\Program Files\Microsoft Update Health Tools of raadpleeg Programma's verwijderen toevoegen voor Microsoft Update Health Tools.
- Voer als beheerder het volgende PowerShell-script uit:
$Session = New-Object -ComObject Microsoft.Update.Session $Searcher = $Session.CreateUpdateSearcher() $historyCount = $Searcher.GetTotalHistoryCount() $list = $Searcher.QueryHistory(0, $historyCount) | Select-Object -Property "Title" foreach ($update in $list) { if ($update.Title.Contains("4023057")) { return 1 } } return 0
Als het script een 1 retourneert, heeft het apparaat een UHS-client. Als het script een 0 retourneert, heeft het apparaat geen UHS-client.
Apparaatinstellingen:
Configureer apparaten als volgt om conflicten of configuraties te voorkomen die de installatie van versnelde updates kunnen blokkeren. U kunt Intune Update-ringen voor Windows 10 en hoger gebruiken om deze instellingen te beheren.
Ringinstelling bijwerken | Aanbevolen waarde |
---|---|
Pre-release-builds inschakelen | Deze instelling moet worden ingesteld op Niet geconfigureerd. Preview-builds, inclusief de bèta- en dev-kanalen, worden niet ondersteund met versnelde updates. |
Gedrag van automatische updates |
Standaardinstelling opnieuw instellen Andere waarden kunnen een slechte gebruikerservaring veroorzaken en het proces vertragen om updates te versnellen. |
Updateniveau voor meldingen wijzigen | Gebruik een andere waarde dan Alle meldingen uitschakelen, inclusief waarschuwingen voor opnieuw opstarten |
Zie Beleids-CSP – Bijwerken voor meer informatie over deze instellingen.
Groepsbeleidsinstellingen overschrijven het beheerbeleid voor mobiele apparaten en de volgende lijst met groepsbeleidsinstellingen kan invloed hebben op versneld beleid. Op apparaten waarop deze instellingen zijn beheerd door groepsbeleid, herstelt u deze naar de standaardwaarden van het apparaat (niet geconfigureerd):
- CorpWuURL - Geef de locatie van de Microsoft-updateservice voor intranet op.
- AutoUpdateCfg - Automatische updates configureren.
- DeferFeatureUpdates : selecteer wanneer preview-builds en functie-updates worden ontvangen.
- Dubbele scan uitschakelen : sta niet toe dat beleid voor uitstel van updates scans op Windows Update veroorzaakt.
Bewaking en rapportage:
Voordat u resultaten en updatestatus voor versnelde updates kunt controleren, moet uw Intune-tenant gegevensverzameling inschakelen.
Beperkingen voor apparaten die lid zijn van de werkplek
Intune-beleid voor kwaliteitsupdates voor Windows 10 en hoger vereist het gebruik van Windows Update voor Bedrijven (WUfB) en Windows Update voor Bedrijven-implementatieservice (WUfB ds). Waar WUfB WPJ-apparaten ondersteunt, biedt WUfB ds aanvullende mogelijkheden die niet worden ondersteund voor WPJ-apparaten.
Zie Beleidsbeperkingen voor apparaten die lid zijn van de werkplek in Windows 10- en Windows 11-software-updates beheren in Intune voor meer informatie over WPJ-beperkingen voor Intune Windows Update-beleid.
Een versnelde kwaliteitsupdate maken en toewijzen
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Updates beheren>Windows 10 en latere updates>Tabblad Kwaliteitsupdates>Profiel maken.
Voer in Instellingen de volgende eigenschappen in om dit profiel te identificeren:
Naam: een unieke beschrijvende naam voor het beleid. Geef uw profielen een naam zodat u ze later gemakkelijk kunt identificeren.
Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
Configureer in InstellingenDe installatie van kwaliteitsupdates versnellen als de versie van het besturingssysteem van het apparaat kleiner is dan. Selecteer de update die u wilt versnellen in de vervolgkeuzelijst. De lijst bevat alleen de updates die u kunt versnellen.
Tip
Optionele Windows-kwaliteitsupdates kunnen niet worden versneld en zijn niet beschikbaar om te selecteren.
Bij het selecteren van een update:
Updates worden geïdentificeerd op basis van de releasedatum en u kunt slechts één update per beleid selecteren.
Updates die de letter B in hun naam bevatten, identificeren updates die zijn uitgebracht als onderdeel van een patch-gebeurtenis van dinsdag . De letter B geeft aan dat de update is uitgebracht op de tweede dinsdag van de maand.
Beveiligingsupdates voor Windows 10/11 die dinsdag buiten de band van een patch worden uitgebracht, kunnen worden versneld. In plaats van de letter B hebben out-of-band patch releases verschillende id's.
Wanneer de update wordt geïmplementeerd, zorgt Windows Update ervoor dat elk apparaat dat het beleid ontvangt, een versie van de update installeert die van toepassing is op de architectuur van die apparaten en de huidige Windows-versie, zoals versie 1809, 2004, enzovoort.
Updates voor niet-beveiligingsupdates: bevat kwaliteitscorrecties na de vorige B/beveiligingsupdate. Beheerders kunnen de installatie van de meest recente toepasselijke kwaliteitsupdate op apparaten versnellen, zonder te wachten op de uitstelperiode.
Updates zonder het woord SecurityUpdate geven aan dat het geen beveiligingsupdate is. Updates die de letter D in hun naam bevatten, identificeren updates die zijn uitgebracht sinds de laatste patch van de beveiligingsweek van dinsdag . Mogelijk ziet u ook 2024.01 OOB Update (out-of-band patch releases). Uitleg over de maandelijkse update van Windows
Niet-beveiligingsupdates worden alleen weergegeven wanneer dit de meest recente release is. De vervolgkeuzelijst wordt bijgewerkt om de meest recente twee beveiligingsupdates weer te geven, inclusief als er een out-of-band-update is. Als de meest recente niet-beveiligingsupdate nieuwer is dan de nieuwste beveiligingsupdate, wordt de niet-beveiligingsupdate ook opgenomen in de vervolgkeuzelijst. Als gevolg hiervan worden soms twee updates weergegeven en op andere momenten drie updates.
Tip
Zie de blog Windows 10 update servicing cadence - Microsoft Tech Community voor meer informatie.
De niet-beveiligingsupdates zijn van toepassing op Windows 11-apparaten. Als Windows 10-apparaten zijn toegewezen aan een Expedite-beleid waarmee een D-release wordt ingesteld, worden die apparaten niet versneld en wordt er een waarschuwing weergegeven in de volgende rapporten.
- Rapporten>Windows-updates>Rapporten Tabblad >Windows-rapport versneld bijwerken
- Apparaten>Updates beheren>Updates >voor Windows 10 en hogerBewaak het tabblad >Versnelde beleidsregels voor kwaliteitsupdates met waarschuwingen en klik op de titel.
Configureer in InstellingenHet aantal dagen dat moet worden gewacht voordat opnieuw wordt opgestart. Voor deze instelling selecteert u hoe snel na de installatie van de update een apparaat automatisch opnieuw wordt opgestart om de installatie van de update te voltooien. U kunt kiezen tussen nul en twee dagen. Het automatisch opnieuw opstarten wordt geannuleerd als een apparaat handmatig opnieuw wordt opgestart vóór de deadline. Als een update niet opnieuw hoeft te worden opgestart, wordt deze instelling niet afgedwongen.
Een instelling van 0 dagen betekent dat zodra het apparaat de update installeert, de gebruiker wordt geïnformeerd over het opnieuw opstarten en beperkte tijd heeft om zijn werk op te slaan.
Belangrijk
Deze ervaring kan van invloed zijn op de productiviteit van gebruikers. Overweeg het te gebruiken voor apparaten of updates die het apparaat zo snel mogelijk moeten voltooien en opnieuw moeten opstarten.
Een instelling van 1 of2 dagen biedt apparaatgebruikers flexibiliteit om opnieuw opstarten te beheren voordat deze wordt geforceerd. Deze instellingen komen overeen met een vertraging van automatisch opnieuw opstarten van 24 of 48 uur nadat de update op het apparaat is geïnstalleerd.
Selecteer in Toewijzingende optie Groepen toevoegen en selecteer vervolgens apparaat- of gebruikersgroepen om het beleid toe te wijzen.
Selecteer in Beoordelen en makende optie Maken. Nadat het beleid is gemaakt, wordt het geïmplementeerd in toegewezen groepen.
De meest recente toepasselijke update identificeren
Er zijn enkele scenario's waarin uw beleid om een update te versnellen resulteert in de installatie van een recentere update dan is opgegeven in het beleid. Dit resultaat treedt op wanneer de nieuwere update de opgegeven update bevat en overtreft, en die nieuwere update beschikbaar is voordat een apparaat de update installeert die is opgegeven in het beleid voor snelle updates. Verderop in dit artikel vindt u een gedetailleerd voorbeeld van dit scenario.
Als u de meest recente kwaliteitsupdate installeert, vermindert u onderbrekingen voor het apparaat en de gebruiker terwijl u de voordelen van de beoogde update toepast. Dit voorkomt dat u meerdere updates hoeft te installeren, die mogelijk afzonderlijk opnieuw moeten worden opgestart.
Een recentere update wordt geïmplementeerd wanneer aan de volgende voorwaarden wordt voldaan:
Het apparaat is niet gericht op een uitstelbeleid dat de installatie van een recentere update blokkeert. In dit geval is de meest recent beschikbare update die niet is uitgesteld de update die mogelijk wordt geïnstalleerd.
Tijdens het proces om een update te versnellen, voert het apparaat een nieuwe scan uit die de nieuwere update detecteert. Dit kan optreden vanwege de timing van:
- Wanneer het apparaat opnieuw wordt opgestart om de installatie te voltooien
- Wanneer het apparaat de dagelijkse scan uitvoert
- Wanneer er een nieuwe update beschikbaar komt
Wanneer een scan een nieuwere update identificeert, probeert Windows Update de installatie van de oorspronkelijke update te stoppen, het opnieuw opstarten te annuleren en vervolgens het downloaden en installeren van de recentere update te starten.
Hoewel beleid voor snelle updates een uitstel van updates voor de updateversie die is opgegeven in het beleid, wordt overschreven, worden uitstel voor een andere updateversie niet overschreven.
Voorbeeld van het installeren van een versnelde update
De volgende reeks gebeurtenissen bevat een voorbeeld van hoe twee apparaten, genaamd Test-1 en Test-2, een update installeren op basis van een kwaliteitsupdates voor Windows 10 en hoger dat is toegewezen aan de apparaten.
Elke maand implementeren Intune-beheerders de meest recente kwaliteitsupdates voor Windows 10 op de vierde dinsdag van de maand. Deze periode geeft hen twee weken na de patch-dinsdag-gebeurtenis om de updates in hun omgeving te valideren voordat ze de installatie van de update afdwingen.
Op 19 januari 2021 installeren apparaatTest-1 en Test-2 de nieuwste kwaliteitsupdate van de patch op 12 januari 2021. De volgende dag worden beide apparaten uitgeschakeld door hun gebruikers die elk op vakantie vertrekken.
Op 9 februari maakt de Intune-beheerder beleid om de installatie van de patch te versnellen op dinsdag 02/09/2021 – 2021.02 B Beveiligingsupdates voor Windows 10 om bedrijfsapparaten te beveiligen tegen een kritieke bedreiging die door de update wordt opgelost. Het versnelde beleid wordt toegewezen aan een groep apparaten die zowel Test-1 als Test-2 bevat. Alle apparaten in die groep die actief zijn, ontvangen en installeren het beleid voor versnelde updates.
Op het patch-dinsdagevenement van 9 maart wordt een nieuwe kwaliteitsupdate uitgebracht als 03/09/2021 – 2021.03 B Beveiligingsupdates voor Windows 10. Er zijn geen kritieke problemen waarvoor een versnelde implementatie van deze update is vereist, maar beheerders vinden wel een mogelijk conflict. Om tijd te geven om het mogelijke probleem te bekijken, gebruiken beheerders een Windows-update-ringbeleid om een uitstelbeleid van zeven dagen te maken. Alle beheerde apparaten kunnen deze update tot 14 maart niet installeren.
Bekijk nu de volgende resultaten voor Test-1 en Test-2, op basis van wanneer ze weer zijn ingeschakeld:
Test-1 - Op 12 maart wordt Test-1 weer ingeschakeld, maakt verbinding met het netwerk en ontvangt versnelde updatemeldingen:
- Windows Update bepaalt dat Test-1 nog steeds de installatie van de update moet versnellen, per beleid.
- Omdat de update van 9 maart de update van februari vervangt, kan Windows Update de update van 9 maart installeren.
- Er is een actieve uitstel voor de update van maart die pas op 14 maart verloopt.
Resultaat: Nu het uitstelbeleid voor de update van maart nog steeds actief is en de installatie van die update wordt geblokkeerd, installeert Device-1 de update van februari zoals geconfigureerd in het beleid.
Test-2 - Op 20 maart wordt Test-2 weer ingeschakeld, maakt verbinding met het netwerk en ontvangt versnelde updatemeldingen:
- Windows Update bepaalt dat Test-2 nog steeds de installatie van de update moet versnellen, per beleid.
- Omdat de update van 9 maart de update van februari vervangt, kan Windows Update de update van 9 maart installeren.
- Er is geen actief uitstel meer voor de update van maart.
Resultaat: Nu het uitstelbeleid voor de update van maart is verlopen, installeert Test-2 de recentere update van maart, waarbij de update van februari wordt overgeslagen en een latere update wordt geïnstalleerd dan is opgegeven in het beleid.
Beleid beheren om kwaliteitsupdates te versnellen
Ga in het beheercentrum naar Apparaten>op platform>Windows>Updates> windows10 en hoger beheren>Kwaliteitsupdates en selecteer het beleid dat u wilt beheren. Het beleid wordt geopend in het deelvenster Overzicht .
In dit deelvenster kunt u het volgende doen:
Selecteer Verwijderen om het beleid uit Intune te verwijderen. Als u een beleid verwijdert, wordt het verwijderd uit Intune, maar wordt de update niet verwijderd als de installatie al is voltooid. Windows Update probeert alle actieve installaties te annuleren, maar een succesvolle annulering van een actieve installatie kan niet worden gegarandeerd.
Selecteer Eigenschappen om de implementatie te wijzigen. Selecteer in het deelvenster Eigenschappende optie Bewerkenom instellingen,bereiktags of toewijzingen te openen, waar u vervolgens de implementatie kunt wijzigen.
Bewaking en rapportage
Voordat u resultaten en updatestatus voor versnelde updates kunt controleren, moet uw Intune-tenant gegevensverzameling inschakelen.
Nadat een beleid is gemaakt, kunt u resultaten, updatestatus en fouten bewaken vanuit de volgende rapporten.
Overzichtsrapport
Dit rapport toont de huidige status van alle apparaten in het profiel en geeft een overzicht van het aantal apparaten dat bezig is met het installeren van een update, de installatie hebben voltooid of een fout hebben.
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Rapporten>Windows-updates. Op het tabblad Samenvatting kunt u de tabel Windows Versnelde kwaliteitsupdates bekijken.
Als u wilt inzoomen op meer informatie, selecteert u het tabblad Rapporten en vervolgens Windows Versneld updaterapport.
Klik op de koppeling Selecteer een profiel voor versnelde updates.
Selecteer in de lijst met profielen aan de rechterkant van de pagina een profiel om de resultaten weer te geven.
Selecteer de knop Rapport genereren .
Apparaatrapport
Dit rapport kan u helpen apparaten met waarschuwingen of fouten te vinden en kan u helpen bij het oplossen van updateproblemen.
Aanmelden bij het Microsoft Intune-beheercentrum
Selecteer Apparaten>bewaken.
Blader in de lijst met bewakingsrapporten naar de sectie Software-updates en selecteer Windows Versnelde updatefouten.
Selecteer in de lijst met profielen aan de rechterkant van de pagina een profiel om de resultaten weer te geven.
Updatestatussen
Updatestatus | Substate bijwerken | Definitie |
---|---|---|
Aanhangig | Valideren | Het apparaat is toegevoegd aan het beleid in de service en de validatie dat het apparaat kan worden versneld, is gestart. |
Aanhangig | Gepland | Het apparaat is gevalideerd en wordt versneld. |
Offer | OfferReady | De versnelde instructies zijn naar het apparaat verzonden. |
Installeren | OfferReceived | Het apparaat is gescand op basis van Windows Update en de update is van toepassing, maar is nog niet begonnen met downloaden. |
Installeren | DownloadStart | Het apparaat is begonnen met het downloaden van de update. |
Installeren | DownloadComplete | Het apparaat heeft de update gedownload. |
Installeren | InstallStart | Het apparaat is begonnen met het installeren van de update. |
Installeren | InstallComplete | Het apparaat heeft de installatie van de update voltooid. Tenzij de update een updatefout bevat, moet het apparaat snel worden verplaatst naar RestartRequired of UpdateInstalled. |
Installeren | RestartRequired | De installatie is voltooid en moet opnieuw worden opgestart. |
Installeren | RestartInitiated | Het apparaat is opnieuw opgestart. |
Installeren | RestartComplete | Het apparaat is opnieuw opgestart. |
Geïnstalleerd | UpdateInstalled | De update is voltooid. |