So nutzen Sie Windows Autopatch mit Intune optimal
IT-Admins nutzen Intune, um Einstellungen für Windows-Betriebssysteme und Geschäftsanwendungen zu verwalten. Die Windows-Autopatch-Funktion automatisiert und verbessert Prozesse.
Das Patchen ist und bleibt eine wichtige Aufgabe der IT-Abteilung, um die Sicherheit der Unternehmensdaten zu gewährleisten. IT-Administratoren können Tools wie Windows Autopatch einsetzen, um eine hohe Sicherheitsstufe zu erzielen.
Ein solider Patch-Management-Prozess hilft IT-Administratoren dabei, über die neuesten Patches für Anwendungen und Betriebssysteme auf dem Laufenden zu bleiben, sodass kaum Raum für Sicherheitslücken bleibt. Dies ist besonders wichtig für Windows-Geräte, da sie aufgrund ihrer Verbreitung in Unternehmen ein bevorzugtes Ziel für Malware sind.
IT-Abteilungen können die Flexibilität und Automatisierung von Windows Autopatch optimal nutzen, um Best Practices für die Verwaltung auf einer gesamten Geräteflotte zu standardisieren.
Was ist Windows Autopatch?
Windows Autopatch ist ein Cloud-Dienst von Microsoft zur Automatisierung der Update-Verwaltung für Windows, Microsoft-365-Apps für Unternehmen, Microsoft Edge und Microsoft Teams. Der Schwerpunkt dieses Dienstes liegt auf der Verbesserung der Sicherheit und Produktivität der Benutzer innerhalb des Unternehmens durch die Aktualisierung der Umgebung. Dies ist von entscheidender Bedeutung, da dadurch die Angriffsfläche für Ransomware-Angriffe und andere Arten von Cybersicherheitsvorfällen verringert werden kann. Letztendlich ist die Sicherheit eines Unternehmens nur so stark wie sein schwächstes Glied.
Microsoft bietet mehrere Optionen für das Patch-Management für Cloud-native Endgeräte. Diese Optionen basieren alle auf Windows Update for Business und Microsoft Intune. Mit Windows Update for Business können Administratoren Windows-Geräte direkt mit dem Windows-Update-Dienst verbinden und gleichzeitig weiterhin Verwaltungsplattformen wie Microsoft Intune zur Steuerung des Update-Verhaltens dieser Geräte nutzen.
Das bedeutet auch, dass IT-Administratoren weiterhin dieses Update-Verhalten konfigurieren und jeden Monat Zeit investieren müssen, um sicherzustellen, dass der Prozess wie erwartet abläuft. Für mehr Kontrolle über die Genehmigung, Planung und Sicherung von Updates hat Microsoft die Windows-Update-for-Business-Bereitstellungsdienste eingeführt. Windows Autopatch nutzt diese Bereitstellungsdienste in vollem Umfang.
Darüber hinaus bietet Windows Autopatch eine automatisierte Ebene innerhalb von Microsoft Intune, die den vollständigen Patch-Verwaltungsprozess für Windows, Microsoft-365-Anwendungen, Microsoft Edge und Microsoft Teams abdeckt. Diese automatisierte Ebene bietet IT-Administratoren ein Konfigurations-Framework, das sicherstellt, dass alle diese Produkte monatlich Patches erhalten. Dieses Framework enthält die Möglichkeit, Geräte automatisch zu gruppieren und zu konfigurieren, um sicherzustellen, dass Intune diese Patches schrittweise einführt.
Was sind die wichtigsten Funktionen von Windows Autopatch?
Bevor ein Unternehmen Windows Autopatch nutzen kann, muss es die erforderlichen Lizenzen erwerben, da es sich um ein Zusatzprodukt handelt. In Microsoft 365 E3 und E5 ist Windows Autopatch allerdings fester Bestandteil und eine zusätzliche Lizenz ist nicht notwendig. Sobald dies geschehen ist, wird das Konfigurations-Framework in Microsoft Intune verfügbar.
Um Windows Autopatch nutzen zu können, müssen IT-Administratoren außerdem sicherstellen, dass die Geräte vollständig registriert sind. Dies können sie über die Windows-Autopatch-Geräteregistrierungsgruppe tun. Heutzutage kann dies auch eine von IT-Administratoren konfigurierte benutzerdefinierte Gruppe sein.
Sobald das Gerät registriert ist, wird es Teil des Release-Management-Zyklus, der zur konfigurierten Registrierungsgruppe gehört. Dieser Release-Management-Zyklus enthält die Konfiguration der verschiedenen Bereitstellungsringe, wie in Abbildung 1 dargestellt.
Abbildung 1: Administratoren können die Einstellungen für den Aktualisierungsstatus und die Aktualisierungshäufigkeit im Abschnitt Windows Autopatch von Intune überprüfen.
Innerhalb der Release-Management-Konfiguration gibt es zwei wichtige Konfigurationsbereiche, die sich direkt auf die monatliche Update-Kadenz auswirken:
1. Bereitstellungsringe und Verteilung: Anhand dieser Konfigurationen kann die IT-Abteilung den Prozentsatz der registrierten Windows-Geräte bestimmen, die Teil eines bestimmten Bereitstellungsrings sein sollen. Bei Bedarf kann die IT-Abteilung auch die Anzahl der Bereitstellungsringe anpassen. Darüber hinaus müssen die Bereitstellungsringe Test und Last deployement (Letzte Bereitstellung) immer manuell konfiguriert werden. Diese Ringe enthalten häufig Sonderfälle oder sensible Systeme, weshalb ihre Konfiguration bewusst manuell erfolgt.
2. Windows-Update-Einstellungen: Diese Konfigurationen legen die allgemeine Konfiguration des Windows-Update-Verhaltens innerhalb eines bestimmten Bereitstellungsrings fest. Die wichtigsten Konfigurationsoptionen sind die Update-Frequenz und die Update-Verzögerung. Zusammen legen sie fest, wann Updates verfügbar werden und erforderlich sind.
Neben diesen Konfigurationen stehen weitere allgemeine Release-Einstellungen zur Verfügung, mit denen die IT-Abteilung zusätzliche Funktionen und Produkte konfigurieren kann. Derzeit können sie verwendet werden, um beschleunigte Qualitäts-Updates, Microsoft-365-App-Updates und Windows-Treiber-Updates zu aktivieren. Über Intune können auch nicht-Windows-Apps gepatcht werden, beispielsweise Zoom oder Adobe Reader.
Windows Autopatch stützt sich für viele Funktionen auf Microsoft Intune, darunter die Bereitstellung der tatsächlichen Konfigurationen auf registrierten Windows-Geräten.
Die Berichterstellung ist ebenfalls eine wichtige Funktion von Windows Autopatch. Sie enthält einige hilfreiche Übersichten über den Bereitstellungsstatus der Updates und Statusaktualisierungen per E-Mail, um IT-Administratoren über die Verfügbarkeit von Updates und den Installationsstatus für neue Updates zu informieren. Die Health-Reports werden automatisch versendet und über die Intune-Dashboards wird der Compliance-Status der Geräte gezeigt.
Wie werden die Konfigurationen für Windows Autopatch angewendet?
Um Windows-System-Updates effektiv zu verwalten, sollten IT-Administratoren wissen, wie Autopatch diese Konfigurationen auf die Windows-Geräte anwendet. Windows Autopatch stützt sich für viele Funktionen auf Microsoft Intune, darunter die Bereitstellung der eigentlichen Konfigurationen auf registrierten Windows-Geräten, wie in Abbildung 2 dargestellt.
Abbildung 2: Die Windows-Autopatch-Konfigurationsdateien werden in Intune angezeigt
Windows Autopatch ist für die Erstellung dieser Konfigurationsprofile verantwortlich. Die Konfigurationsprofile selbst werden sortiert und konfigurieren die erforderliche Datenerfassung auf Windows-Geräten sowie das Update-Verhalten für Microsoft Edge und die Microsoft-365-Apps für Unternehmen. Dabei liegt der Schwerpunkt auf der Erstellung von Update-Bereitstellungsringen für diese Apps.
Neben diesen Gerätekonfigurationsprofilen, die sich auf die verschiedenen Microsoft-Apps konzentrieren, gibt es auch Ringe für die monatlichen Windows-Updates und Bereitstellungsprofile für die jährlichen Feature-Updates. Die letztgenannten Bereitstellungsprofile sind standardmäßig recht konservativ und müssen möglicherweise angepasst werden, um sie mit der Feature-Update-Strategie eines Unternehmens in Einklang zu bringen.
