Delen via

Problemen met updateringen voor Windows 10 en Windows 11 in Microsoft Intune oplossen

Dit artikel bevat richtlijnen voor het oplossen van problemen met de Windows Update-ringinstellingen om ervoor te zorgen dat ze met succes worden geleverd aan de Windows 10- of Windows 11-apparaten van uw organisatie. Update ringinstellingen beheren hoe en wanneer Windows-apparaten besturingssysteemupdates installeren. Zie Update-ringen voor Windows 10- en hogerbeleid in Intune voor meer informatie over updateringsbeleid.

Als u een probleem ondervindt bij het implementeren van updateringsbeleid op Windows 10- of 11-apparaten met Microsoft Intune, kunt u het beste bepalen of het probleem intune of windows-gerelateerd is. Het is belangrijk om na te gaan of het Intune-beleid is geïmplementeerd op het doelapparaat voordat u problemen kunt oplossen.

Sommige implementatie-inzichten zijn opgenomen in deze handleiding om te laten zien hoe besturingssysteem- en beleidsupdates werken. De volgende stappen kunnen onafhankelijk van anderen worden uitgevoerd voor situaties waarin andere probleemoplossingsinspanningen niet de gewenste resultaten opleveren.

Wat windows Update-ringbeleid doet

Windows Update-ringbeleid definieert alleen een updatestrategie, zoals het blokkeren van de installatie van stuurprogramma's, het instellen van uitstelperioden of het instellen van onderhoudstijden. Het updateringsbeleid biedt niet de bijgewerkte infrastructuur zelf. Dit betekent dat het beleid een bestaande updateoplossing, zoals Windows Updates voor Bedrijven (WUFB), moet gebruiken om de daadwerkelijke updates te verkrijgen.

Windows Update-ringbeleid dat in Intune is gemaakt, gebruikt de Windows Policy CSP voor het bijwerken van Windows-apparaten. Zodra Intune het Windows Update-ringbeleid op een toegewezen apparaat implementeert, schrijft de CSP (Policy Configuration Services Provider) de juiste waarden naar het Windows-register om het beleid van kracht te laten worden.

Nu u weet wat dit beleid doet, kunt u controleren of de instellingen voor de updatering zijn toegepast.

Controleren of aan de vereisten is voldaan

Er zijn verschillende manieren om te controleren of de instellingen voor de updatering zijn toegepast. Normaal gesproken is de status in het Intune-beheercentrum voldoende, maar andere verificatiemethoden kunnen nuttig zijn bij het oplossen van gerelateerde problemen.

Controleer eerst de vereisten voor het besturingssysteem. Zie de sectie Vereisten van Update-ringen voor Windows 10 en hoger in Intune voor hulp bij de beoordeling voor meer informatie.

Voer Windows 10, versie 1607 of hoger of Windows 11 uit.

Versies:

Notitie

Updateringen kunnen ook worden gebruikt om uw in aanmerking komende Windows 10-apparaten te upgraden naar Windows 11. Wanneer u een beleid maakt, gaat u naar Windows>>Update-ringen voor Apparaten voor Windows 10 en hoger en configureert u vervolgens de windows 10-apparaten upgraden naar de nieuwste windows 11-release-instelling op Ja.

Problemen oplossen in het Intune-beheercentrum

De aanbevolen procedure voor het oplossen van beleidsproblemen is altijd om de status ervan te controleren in het Intune-beheercentrum.

Navigeer naar Windows>Update-ringen voor Windows 10 en hoger van apparaten>en selecteer vervolgens het updateringsbeleid dat u wilt controleren. U vindt de standaardweergave voor het updateringsbeleid, waaronder de essentiële details over het beleid, rapportageopties voor de status apparaat en gebruikerscontrole, de eigenschappen van het beleid, de toewijzingen van het beleid en de groepen apparaten die zijn opgenomen en uitgesloten van het beleid.

Voor toegang tot een specifiek apparaat en het oplossen van problemen met het updateringsbeleid dat eraan is toegewezen, is het gedeelte Status van apparaat en gebruiker de beste optie.

Schermopname van de overzichtspagina Update-ring in het Intune-beheercentrum.

De aanbevolen methode om te bevestigen dat het beleid updatering is toegepast op het apparaat, is door de knop Rapport weergeven te selecteren op de specifieke pagina updateringsbeleid. In het rapport wordt de lijst weergegeven met alle apparaten waaraan het beleid is toegewezen en hun respectieve statussen. De lijst is handig om snel te bepalen of een specifiek apparaat het updatebeleid heeft ontvangen.

Zie de sectie Rapporten voor Update-ringen voor Windows 10- en hoger-beleidssectie van Windows Update-rapporten voor Microsoft Intune voor meer informatie over de rapportage-ervaring voor updateringsbeleid.

Schermopname van het rapport Update ringbeleid.

Controleer het updateringsbeleid voor een beïnvloed apparaat. Er kunnen twee vermeldingen voor het beleid zijn, afhankelijk van het type apparaten dat wordt beheerd. Wanneer Intune een beleid implementeert (geen beleid, niet alleen updateringsbeleid), worden de instellingen geleverd voor zowel de aangemelde gebruiker als de systeemcontext van het apparaat. Dit veroorzaakt de twee vermeldingen. Dit is een normale gebeurtenis. Als u echter kioskapparaten beheert met Autologon of een gebruikerstype lokaal account, wordt alleen het systeemaccount weergegeven.

Zie de sectie Rapport weergeven van de resultaten van uw Intune-apparaatnalevingsbeleid voor meer informatie. Als u wilt controleren of een beleid is toegepast op het apparaat, raadpleegt u het rapport Apparaatconfiguratie . Als er problemen zijn of als u wilt bevestigen dat het beleid is toegepast, controleert u de instellingen op het doelapparaat zelf.

De instellingen op het apparaat controleren

Als u wilt controleren of het beleid lokaal op het apparaat is toegepast, gaat u naar Instellingenaccounts>>voor toegang tot werk of school. De lijst met beleidsregels die zijn toegepast op het apparaat van Intune, worden opgenomen als ze worden beheerd door uw organisatie.

Schermopname van het beleid op het apparaat in het deelvenster Beheerd door organisatie.

Als u het beleid wilt weergeven dat wordt beheerd door uw organisatie op het Windows-apparaat, gaat u naar Geavanceerde>opties voor windows-updates>>geconfigureerde updatebeleidsinstellingen.

Schermopname van de geavanceerde opties in het deelvenster Windows Update, met de optie Geconfigureerd updatebeleid gemarkeerd.

Controleer of het beleidstype Mobile Apparaatbeheer is.

Schermopname van het deelvenster Geconfigureerde updatebeleid met de instelling 'Instellen wanneer actieve uren worden gestart' met Mobile Apparaatbeheer als het type.

Uw MDM-oplossing (Mobile Device Management) configureert het updatebeleid. Dit is Intune in dit scenario. Het updatebeleid kan echter afkomstig zijn van de on-premises Active Directory, die groepsbeleid zou hebben als het beleidstype.

Schermopname van het deelvenster Geconfigureerd updatebeleid met de instelling 'Toestaan dat updates automatisch worden gedownload via verbindingen met een datalimiet' met Groepsbeleid als het type.

Veelvoorkomende conflicten tussen MDM en groepsbeleid

Gemengde implementaties tussen Intune MDM-beleid en groepsbeleid (GPO) kunnen conflicten veroorzaken. Veel groepsbeleidsregels zijn oud en in de cache opgeslagen en u weet niet dat ze nog bestaan. Het is ook mogelijk dat sommige groepsbeleidsregels afkomstig zijn van System Center Configuration Manager (SCCM).

De beste manier om te valideren welke beleidsregels via GPO worden geleverd, is met de gpresult-opdracht .

Schermopname van de gpresult-uitvoer van een voorbeeldapparaat.

Als de beleidsbron 'Lokaal groepsbeleid' is, kan sccm deze hebben ingesteld. Als dit niet het is, bewerkt u het groepsbeleidsobject uit de Active Directory-infrastructuur om de conflicterende waarden te verwijderen.

Er wordt een beleidsconflict tussen MDM- en groepsbeleid weergegeven als een onverwacht scenario tijdens het updateproces. Updates zijn helemaal niet van toepassing of zijn van toepassing, maar op niet-geplande wijze. Een apparaat kan bijvoorbeeld vastzitten in een eerdere versie van Windows en kan geen upgrade uitvoeren.

Sommige van deze conflicten kunnen worden opgelost met behulp van de ControlPolicyConflict CSP. Als het updateproces over het algemeen niet werkt zoals verwacht, onderzoekt u een beleidsconflict. Zie Beleids-CSP - ControlPolicyConflict voor meer informatie.

[OPMERKING!] De CSP ControlPolicyConflict is niet van toepassing op de updatebeleid-CSP voor het beheren van Windows-updates.

Controleer of de juiste registersleutels zijn bijgewerkt

Als Intune het Windows Update-ringbeleid op het doelapparaat implementeert, worden deze instellingen weergegeven in de registereditor onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Update.

Schermopname van een voorbeeldregister met het geïmplementeerde beleid in de map Update.

Deze waarden moeten overeenkomen met de beleids-CSP-beschrijving en de configuratie die is geïmplementeerd in het updateringsbeleid van Intune.

Controleer het mdm-diagnostische rapport

Een andere methode om te controleren of het updateringsbeleid op het apparaat is geïmplementeerd, is om het diagnostische MDM-rapport te controleren. Ga op het Windows-apparaat naar Instellingenaccounts>>voor toegang tot werk of school en selecteer vervolgens de knop Exporteren. Het rapport bevat het geïmplementeerde Intune-beleid. Als het updateringsbeleid zich in het rapport bevindt, is het beleid geïmplementeerd.

Schermopname van een voorbeeld van een diagnostisch MDM-rapport.

Bekijk het Logboeken-logboek voor Intune-gebeurtenissen

Bekijk het Logboeken logboek om te zien hoe de beleids-CSP-gegevens in realtime aan het apparaat worden geleverd. Navigeer op het apparaat naar de Logboeken toepassing en ga vervolgens naar Toepassingen en Services registreert>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin.

Schermopname van het deelvenster Beheer in de Logboeken met 'Beleid geïmplementeerd op het apparaat' gemarkeerd.

Beleidsregels die niet kunnen worden geïmplementeerd (actie instellen) geven fouten of waarschuwingen weer.

Optionele methoden voor probleemoplossing

Voor bepaalde exemplaren kan het oplossen van problemen met het updateringsbeleid aan de apparaatzijde zijn vereist in plaats van, of naast Intune.

De Windows Update-client controleren

Wanneer u de Windows Update-client gebruikt, kunnen er enkele fouten worden weergegeven en kunt u bepalen wat u vervolgens moet doen. U ziet bijvoorbeeld dat de updates zijn gedownload, wat aangeeft dat het probleem niet gerelateerd is aan het downloaden van de update. Andere problemen zijn dat het apparaat de URL's van Windows Update niet kan scannen op nieuwe downloads of dat het apparaat nog steeds scant op Windows Server Update Services (WSUS) nadat de workload is overgeschakeld naar Intune.

Als u toegang wilt krijgen tot Logboeken, zoekt u op het apparaat de Logboeken-app in de Windows-Startmenu en selecteert u vervolgens toepassingen en services-logboeken van>Microsoft>Windows>WindowsUpdateClient.

Schermopname van het bericht 'Windows Update heeft zes updates gevonden' in de Logboeken.

Schermopname van de Windows Update-client met een melding over fout 0x80072EE6 het voorkomen van updatecontroles.

Controleer de bron van de Windows Update-registersleutels

Bewaak de Windows-kant van dingen door de registersleutels voor Windows Update (WU) te controleren. Intune is uitsluitend verantwoordelijk voor het implementeren van de waarden in de volgende register hive:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Update

Als u andere geconfigureerde instellingen voor Windows Update op het apparaat wilt controleren, opent u de registereditor-app en gaat u naar de volgende registersleutels:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

Schermopname van de Register-editor voor HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Schermopname van de Register-editor voor HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Hier vindt u aanvullende informatie over de geïmplementeerde beleidsregels die afkomstig kunnen zijn van groepsbeleid. De registersleutels en de Windows Update-service kunnen bijvoorbeeld verwijzen naar WSUS in plaats van WU-servers terwijl er ook dubbele scan is uitgeschakeld. De verkeerde richting van de service zou ertoe leiden dat het apparaat wordt gescand op WSUS in plaats van WU. Zie Windows Update voor Bedrijven en WSUS samen gebruiken voor meer informatie.

Overwegingen

Als de vorige opties niet de resultaten bevatten die nodig zijn om het probleem te identificeren en de apparaten nog steeds niet worden bijgewerkt, of als deze foutieve wijze worden uitgevoerd, kunt u de volgende vragen overwegen:

  • Zijn rapportage en telemetrie ingeschakeld voor het apparaat? Intune kan op meerdere manieren telemetrie leveren aan apparaten. De meest voorkomende methode via Intune is echter met een apparaatbeperkingsbeleid. Anders kan het ook worden gedaan via groepsbeleid.

    Zie de sectie Diagnostische gegevens beheren met groepsbeleid en MDM van diagnostische Windows-gegevens configureren in uw organisatie voor meer informatie.

  • Is er een actieve netwerkverbinding op het apparaat? Als het apparaat zich in de vliegtuigstand bevindt, is uitgeschakeld of op een locatie zonder service, wordt het beleid toegepast wanneer het verbinding kan maken met het netwerk.

  • Wordt het apparaat niet bijgewerkt naar een specifieke vorige versie? Controleer op een conflicterende TargetReleaseVersion-waarde via een andere methode, zoals groepsbeleid of instellingencatalogus, in de Registersleutels van Windows Update.

  • Controleer of Windows Update is geconfigureerd voor het leveren van functie- en kwaliteitsupdates. Als UpdateServiceUrl het register is ingevuld, controleert u of dit DisableDualScan is ingesteld op 0. Open op het apparaat de registereditor-app en navigeer naar HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

  • Wordt het apparaat gezamenlijk beheerd? Zorg ervoor dat de werkbelasting voor Windows-updates is overgeschakeld naar Intune.

    Schermopname van het dialoogvenster Eigenschappen met de schuifregelaar Windows Update-beleid gemarkeerd op het tabblad Workloads.

  • Zorg ervoor dat u geen conflicterende Instellingen voor Windows Update voor Bedrijven implementeert vanuit een andere updatering of een beleid voor instellingencatalogus. Bevestig het toegewezen beleid in de instellingencatalogus.

    Voor updateringsbeleid ziet u een melding 'Conflict' in het deelvenster Apparaatconfiguratie voor het apparaat of in de gekleurde grafieken.

    Schermopname van de check-instatus van het apparaat en de gebruiker met twee conflicten.

  • Zorg ervoor dat het Windows Update-ringbeleid is geïmplementeerd naar de juiste gebruiker of apparaatgroep.

  • Bepaal of de volledige beleidsimplementatie mislukt of dat alleen bepaalde instellingen niet worden toegepast. Navigeer naar >het updaterapport apparaatconfiguratie.> Een specifieke instelling in de lijst geeft een fout weer in plaats van een geslaagd bericht.

    Schermopname van de profielinstellingen 'Gedrag van automatische updates' en 'Microsoft-productupdates' met een conflictstatus.

  • Controleer de feitelijke formulering voor de instelling die de foutstatus krijgt. Sommige specifieke waarden zijn bijvoorbeeld alleen van toepassing op bepaalde Windows-versies of -edities.

    Schermopname van de instelling SetDisableUXWUAccess met de waarde Scope User weergegeven als een fout.

Zie de beschrijving van elke instelling in Instellingen voor Windows Update die u kunt beheren via Intune-beleid voor Update-ringen.

Andere overwegingen

Als u deze handleiding voor probleemoplossing hebt voltooid en nog steeds problemen ondervindt, kan dit een probleem zijn tussen het lokale apparaat en de Windows Update-services. Raadpleeg de volgende bronnen om problemen met windows Update-beleid op te lossen:

Als u een ondersteuningsaanvraag wilt indienen, raadpleegt u de Logboekbestanden van Windows Update voor meer informatie over de gegevens die de ondersteuningstechnicus van u nodig heeft. Het opnemen van deze gegevens in het ondersteuningsticket helpt ook het probleemoplossingsproces te versnellen.