Richtlinien für Updatekonformität, Aktivität und Benutzererfahrung
Geräte auf dem neuesten Stand zu halten, ist die beste Möglichkeit, damit sie reibungslos und sicher funktionieren.
Fristen für die Updatekonformität
Sie können mithilfe von Updatestichtagsrichtlinien steuern, wie streng Geräte ihren gewünschten Updatezeitplan zuverlässig einhalten müssen. Windows-Komponenten passen sich basierend auf diesen Fristen an. Außerdem können sie Kompromisse zwischen Benutzerfreundlichkeit und Geschwindigkeit machen, um die gewünschten Aktualisierungsfristen einzuhalten. Beispielsweise können sie die Benutzererfahrung weit vor dem Ablauf des Stichtags priorisieren und dann die Geschwindigkeit priorisieren, wenn sich der Stichtag nähert, während dem Benutzer weiterhin eine gewisse Kontrolle gewährt wird.
Stichtage
Ab Windows 10, Version 1903, und mit dem Sicherheitsupdate vom August 2019 für Windows 10, Version 1709 und höher (einschließlich Windows 11), wurde eine neue Richtlinie eingeführt, um ältere richtlinienähnliche Fristen zu ersetzen: Angeben von Fristen für automatische Updates und Neustarts.
Die älteren Richtlinien haben damit begonnen, Stichtage zu erzwingen, sobald das Gerät den restart pending
Status für ein Update erreicht hat. Die neue Richtlinie startet den Countdown für den Installationsstichtag des Updates ab dem Zeitpunkt der Veröffentlichung des Updates sowie jeglicher Verzögerung. Darüber hinaus umfasst diese Richtlinie eine konfigurierbare Karenzzeit und die Option, automatische Neustarts bis zum Erreichen des Stichtags zu deaktivieren (es wird jedoch empfohlen, automatische Neustarts für die maximale Updategeschwindigkeit immer zuzulassen).
Es wird empfohlen, Die Fristen wie folgt festzulegen:
- Stichtag für Qualitätsupdates in Tagen: 2
- Stichtag für Funktionsupdates in Tagen: 2
Benachrichtigungen werden dem Benutzer automatisch zu geeigneten Zeiten angezeigt, und benutzer können wählen, dass sie später daran erinnert werden, neu planen oder sofort neu starten, je nachdem, wie nah der Stichtag ist. Es wird empfohlen, keine Benachrichtigungsrichtlinien festzulegen, da diese automatisch mit den entsprechenden Standardwerten konfiguriert werden. Eine Ausnahme ist, wenn Sie über Kioske oder digitale Beschilderung verfügen.
Während drei Tage für Qualitätsupdates und sieben Tage für Featureupdates unsere Empfehlung sind, können Sie je nach organization und ihren Anforderungen entscheiden, dass Sie mehr oder weniger möchten, und diese Richtlinie ist bis zu einem Minimum von zwei Tagen konfigurierbar.
Wichtig
Wenn das Gerät das Internet nicht erreichen kann, kann es nicht ermitteln, wann Microsoft das Update veröffentlicht hat, sodass es den Stichtag nicht durchsetzen kann. Erfahren Sie mehr über Geräte mit geringer Aktivität.
Karenzzeiten
Sie können einen Zeitraum von Tagen für Windows festlegen, um eine minimal störende automatische Neustartzeit zu ermitteln, bevor der Neustart erzwungen wird. Dies ist besonders nützlich in Fällen, in denen ein Benutzer viele Tage abwesend war (z. B. im Urlaub), sodass das Gerät nicht sofort aktualisiert werden muss, wenn der Benutzer zurückkehrt.
Es wird empfohlen, Folgendes festzulegen:
- Karenzzeit in Tagen: 5
Sobald der Stichtag und die Toleranzperiode abgelaufen sind, werden Updates automatisch angewendet, und ein Neustart erfolgt unabhängig von den aktiven Stunden.
Lassen Sie Windows festlegen, wann der Neustart durchgeführt werden soll
Windows kann Benutzerinteraktionen verwenden, um dynamisch die am wenigsten störende Zeit für einen automatischen Neustart zu identifizieren. Um dieses Feature zu nutzen, stellen Sie sicher, dass ConfigureDeadlineNoAutoReboot auf Deaktiviert festgelegt ist.
Geräteaktivitätsrichtlinien
Windows erfordert in der Regel, dass ein Gerät aktiv ist und mindestens sechs Stunden lang mit dem Internet verbunden ist, mit mindestens zwei kontinuierlichen Aktivitäten, um ein Systemupdate erfolgreich abzuschließen. Das Gerät kann andere physische Umstände haben, die eine erfolgreiche Installation eines Updates verhindern, z. B. wenn der Akkustand eines Laptops niedrig ist oder der Benutzer das Gerät vor Ablauf der Betriebszeiten heruntergefahren hat und das Gerät die Frist nicht einhalten kann.
Sie können die Einstellungen in diesem Abschnitt verwenden, um sicherzustellen, dass Geräte zur Installation von Updates während des Updatekonformitätszeitraums verfügbar sind.
Öffnungszeiten
"Aktive Stunden" geben den Zeitraum an, in dem ein Gerät voraussichtlich verwendet wird. Normalerweise erfolgen Neustarts außerhalb dieser Stunden. Windows 10 version 1903 wurden "intelligente Aktive Stunden" eingeführt, die es dem System ermöglichen, die aktiven Stunden basierend auf den Aktivitäten eines Benutzers zu erlernen, anstatt dass Sie als Administrator Entscheidungen für Ihre organization treffen müssen oder dem Benutzer erlauben, aktive Stunden auszuwählen, die den Zeitraum minimieren, in dem das System ein Update installieren kann.
Wichtig
Wenn Sie in früheren Versionen von Windows 10 die Einstellung Aktive Stunden konfigurieren verwendet haben, müssen diese Optionen deaktiviert sein, um intelligente Nutzungszeiten nutzen zu können.
Wenn Sie aktive Stunden festlegen, empfehlen wir, die folgenden Richtlinien auf Deaktiviert festzulegen, um die Updategeschwindigkeit zu erhöhen:
Verzögern des automatischen Neustarts. Obwohl es möglich ist, das System so festzulegen, dass Neustarts für angemeldete Benutzer verzögert werden, kann diese Einstellung ein Update auf unbestimmte Zeit verzögern, wenn ein Benutzer immer entweder angemeldet oder heruntergefahren ist. Stattdessen wird empfohlen, die folgenden Richtlinien auf Deaktiviert festzulegen:
Deaktivieren des automatischen Neustarts während der Nutzungszeit
Kein automatischer Neustart bei angemeldeten Benutzern für geplante automatische Updates
Verzögerungen bei Neustarts begrenzen. Durch die Verwendung von Konformitätsstichtagen erhalten Ihre Benutzer Benachrichtigungen darüber, dass Updates stattfinden. Daher wird empfohlen, diese Richtlinie auf Deaktiviert festzulegen, um Compliancestichtage zuzulassen, um die Möglichkeit des Benutzers zu beseitigen, einen Neustart außerhalb der Einstellungen für Konformitätsstichtags zu verzögern.
Erlauben Sie Benutzern nicht, Updates und Neustarts zu genehmigen. Wenn Benutzer den Updateprozess außerhalb der Fristenrichtlinien genehmigen oder daran beteiligen können, verringert sich die Updategeschwindigkeit und erhöht das Risiko. Diese Richtlinien sollten auf Deaktiviert festgelegt werden:
Konfigurieren sie die automatische Aktualisierung. Indem Sie Richtlinien zum Konfigurieren automatischer Updates ordnungsgemäß festlegen, können Sie die Updategeschwindigkeit erhöhen, indem Clients sich mit einem WSUS-Server (Windows Server Update Services) in Verbindung setzen, um sie zu verwalten. Es wird empfohlen, diese Richtlinie auf Deaktiviert festzulegen. Wenn Sie jedoch Werte angeben müssen, stellen Sie sicher, dass Downloads automatisch installiert werden, indem Sie die Gruppenrichtlinie auf 4 festlegen. Wenn Sie Microsoft Intune verwenden, legen Sie den Wert auf Standard zurücksetzen fest.
Automatisches herunterladen von Windows Update über getaktete Netzwerke zulassen. Da mehr Geräte in erster Linie Mobilfunkdaten verwenden und keinen WLAN-Zugriff haben, sollten Sie benutzern das automatische Herunterladen von Updates aus einem getakteten Netzwerk erlauben. Obwohl die Standardeinstellung den Download über ein getaktetes Netzwerk nicht zulässt, kann das Festlegen dieses Werts auf 1 die Geschwindigkeit erhöhen, indem Benutzer Updates erhalten können, unabhängig davon, ob sie mit dem Internet verbunden sind oder nicht, sofern sie über einen Mobilfunkdienst verfügen.
Wichtig
Ältere Versionen von Windows unterstützen keine intelligenten Nutzungszeiten. Wenn auf Ihrem Gerät eine Windows-Version vor Windows 10 Version 1903 ausgeführt wird, empfiehlt es sich, die folgenden Richtlinien festzulegen:
- Konfigurieren sie die Nutzungszeit. Ab Windows 10 Version 1703 können Sie einen maximalen Aktivstundenbereich angeben, der aus der Startzeit der aktiven Stunden gezählt wird. Es wird empfohlen, diesen Wert auf 10 festzulegen.
-
Planen Der Installation von Updates. In den Einstellungen "Automatische Updates konfigurieren" gibt es zwei Möglichkeiten, einen erzwungenen Neustart nach einer angegebenen Installationszeit zu steuern. Wenn Sie die Geplante Updateinstallation verwenden, aktivieren Sie nicht beide Einstellungen, da sie höchstwahrscheinlich zu Konflikten führen.
- Geben Sie die automatische Wartungszeit an. Mit dieser Einstellung können Sie umfassendere Wartungsfenster für Updates festlegen und sicherstellen, dass dieser Zeitplan nicht mit den Nutzungszeiten in Konflikt steht. Es wird empfohlen, diesen Wert auf 3 festzulegen (entsprechend 3:00 Uhr). Wenn sich 3:00 Uhr in der Mitte der Arbeitsschicht befindet, wählen Sie eine andere Zeit aus, die mindestens ein paar Stunden vor Beginn Der geplanten Arbeitszeit liegt.
- Planen Sie die Installationszeit. Mit dieser Einstellung können Sie eine Installationszeit für einen Neustart planen. Es wird nicht empfohlen, diese Einstellung auf Deaktiviert festzulegen, da dies zu Einem Konflikt mit den Nutzungszeiten führen kann.
Energierichtlinien
Geräte müssen tatsächlich während nicht inaktiver Stunden verfügbar sein, um ein Update zu erhalten. Sie können dies nicht tun, wenn Energierichtlinien verhindern, dass sie aufwachen. In unserem organization bemühen wir uns, ein Gleichgewicht zwischen Sicherheit und umweltfreundlichen Konfigurationen zu schaffen. Wir empfehlen die folgenden Einstellungen, um die nach unserer Meinung geeigneten Kompromisse zu erzielen:
Für einen Benutzer ist ein Gerät entweder aktiviert oder deaktiviert, aber für Windows gibt es Zustände, die zulassen, dass ein Update ausgeführt wird (aktiv) und Zustände, die nicht (inaktiv) sind. Einige Zustände werden als aktiv (Ruhezustand) betrachtet, aber der Benutzer kann denken, dass das Gerät ausgeschaltet ist. Außerdem gibt es Stromstatus (angeschlossen/Akku), die Windows überprüft, bevor ein Update gestartet wird.
Sie können die Standardeinstellungen außer Kraft setzen und verhindern, dass Benutzer sie ändern, um sicherzustellen, dass Geräte während nicht aktiven Stunden für Updates verfügbar sind.
Hinweis
Eine Möglichkeit, sicherzustellen, dass Geräte Updates installieren können, wenn Sie sie benötigen, besteht darin, Ihre Benutzer zu schulen, dass Geräte während nicht aktiver Zeiten angeschlossen bleiben. Selbst mit den besten Richtlinien wird ein Gerät, das nicht angeschlossen ist, nicht aktualisiert, auch nicht im Energiesparmodus.
Wir empfehlen die folgenden Energieverwaltungseinstellungen:
- Energiesparmodus (S1 oder S0 Low Power Im Leerlauf oder Moderner Standbymodus). Wenn sich ein Gerät im Standbymodus befindet, scheint das System ausgeschaltet zu sein, aber wenn ein Update verfügbar ist, kann es das Gerät reaktivieren, um ein Update durchzuführen. Der Stromverbrauch im Energiesparmodus liegt zwischen Arbeiten (System voll verwendbar) und Ruhezustand (S4 – niedrigstes Leistungsniveau vor dem Herunterfahren). Wenn ein Gerät nicht verwendet wird, wechselt das System in der Regel in den Ruhezustandsmodus, bevor es in den Ruhezustand wechselt. Geschwindigkeitsprobleme treten auf, wenn die Zeit zwischen Ruhezustand und Ruhezustand zu kurz ist und Windows keine Zeit hat, ein Update abzuschließen. Der Energiesparmodus ist eine wichtige Einstellung, da das System das System aus dem Standbymodus reaktivieren kann, um den Updatevorgang zu starten, solange genügend Strom vorhanden ist.
Legen Sie die folgenden Richtlinien auf Aktivieren oder Nicht konfigurieren fest, damit das Gerät den Energiesparmodus verwenden kann:
Legen Sie die folgenden Richtlinien auf 1 (Ruhezustand) fest, damit das System, wenn ein Benutzer den Deckel eines Geräts schließt, in den Energiesparmodus wechselt und das Gerät die Möglichkeit hat, ein Update durchzuführen:
Ruhezustand. Wenn sich ein Gerät im Ruhezustand befindet, ist der Stromverbrauch niedrig, und das System kann nicht ohne Benutzereingriff wie das Drücken des Netzschalters reaktiviert werden. Wenn sich ein Gerät in diesem Zustand befindet, kann es nur aktualisiert werden, wenn es ein ACPI Time and Alarm Device (TAD) unterstützt. Wenn jedoch ein Gerät, das den herkömmlichen Ruhezustand (S3) unterstützt, angeschlossen ist und ein Windows-Update verfügbar ist, wird der Ruhezustand verzögert, bis das Update abgeschlossen ist.
Hinweis
Dies gilt nicht für Geräte, die modernen Standbymodus (S0 Low Power Idle) unterstützen. Sie können überprüfen, welchen Systemzustand (S3 oder S0 Low Power Idle) ein Gerät unterstützt, indem Sie an einer Eingabeaufforderung ausführen powercfg /a
. Weitere Informationen finden Sie unter Powercfg-Optionen.
Das Standardtimeout auf Geräten, die den herkömmlichen Standbymodus unterstützen, ist auf drei Stunden festgelegt. Es wird empfohlen, diese Richtlinien nicht zu reduzieren, um Windows Update die Möglichkeit zu geben, das Gerät vor dem Senden in den Ruhezustand neu zu starten:
Alte oder in Konflikt stehende Richtlinien
Mit jeder Version des Windows-Clients können neue Richtlinien eingeführt werden, um die Benutzerfreundlichkeit sowohl für Administratoren als auch für ihre Organisationen zu verbessern. Wenn wir eine neue Clientrichtlinie veröffentlichen, geben wir sie entweder ausschließlich für diese Version und höher frei, oder wir portieren die Richtlinie zurück, um sie in früheren Versionen verfügbar zu machen.
Wichtig
Wenn Sie Gruppenrichtlinie verwenden, beachten Sie, dass die alten ADMX-Vorlagen nicht aktualisiert werden und Sie die neuere ADMX-Vorlage (1903) verwenden müssen, um die neuere Richtlinie verwenden zu können. Wenn Sie ein MDM-Tool (Microsoft oder Nicht-Microsoft) verwenden, können Sie die neue Richtlinie erst verwenden, wenn sie in der Tooloberfläche verfügbar ist.
Als Administratoren haben Sie bestimmte Verhaltensweisen eingerichtet und erwarten sie. Daher entfernen wir ausdrücklich keine älteren Richtlinien, da sie für Ihre speziellen Anwendungsfälle eingerichtet wurden. Wenn Sie jedoch eine neue Richtlinie festlegen, ohne eine ähnliche ältere Richtlinie zu deaktivieren, kann das Verhalten in Konflikt stehen, und Updates funktionieren möglicherweise nicht wie erwartet.
Wichtig
Manchmal stellen wir fest, dass Administratoren Geräte so festlegen, dass sie sowohl Gruppenrichtlinie-Einstellungen als auch MDM-Einstellungen von einem MDM-Server wie Microsoft Intune abrufen. Richtlinienkonflikte werden unterschiedlich behandelt, je nachdem, wie sie letztendlich eingerichtet werden:
- Windows-Updates: Gruppenrichtlinie Einstellungen haben Vorrang vor MDM.
- Microsoft Intune: Wenn Sie unterschiedliche Werte für die gleiche Richtlinie für zwei verschiedene Gruppen festlegen, erhalten Sie eine Warnung, und keine richtlinie wird festgelegt, bis der Konflikt gelöst ist. Es ist wichtig, dass Sie in Konflikt stehende Richtlinien deaktivieren, damit Geräte in Ihrem organization Updates wie erwartet durchführen können. Wenn ein Gerät beispielsweise nicht auf Ihre MDM-Richtlinienänderungen reagiert, überprüfen Sie, ob eine ähnliche Richtlinie in Gruppenrichtlinie mit einem anderen Wert festgelegt ist. Wenn Sie feststellen, dass die Updategeschwindigkeit nicht so hoch ist wie erwartet, oder wenn einige Geräte langsamer sind als andere, ist es möglicherweise an der Zeit, alle Richtlinien und Einstellungen zu löschen und nur die empfohlenen Updaterichtlinien anzugeben. Eine konsolidierte Liste der empfohlenen Richtlinien finden Sie in der Referenz zu Richtlinien und Einstellungen.
Im Folgenden sind Richtlinien aufgeführt, die Sie möglicherweise deaktivieren möchten, da sie die Updategeschwindigkeit verringern könnten oder bessere Richtlinien zu verwenden sind, die konflikte können:
- Feature Updates Zeitraum in Tagen zurückstellen. Für die maximale Updategeschwindigkeit ist es am besten, diesen Wert auf 0 festzulegen (keine Verzögerung), damit das Featureupdate abgeschlossen werden kann und monatliche Sicherheitsupdates wieder angeboten werden. Selbst wenn es ein dringendes Qualitätsupdate gibt, das schnell bereitgestellt werden muss, empfiehlt es sich, feature Updates anhalten zu verwenden, anstatt eine Verzögerungsrichtlinie festzulegen. Sie können einen längeren Zeitraum auswählen, wenn Sie mit dem neuesten Featureupdate nicht auf dem neuesten Stand bleiben möchten.
- Zurückstellen der Qualität Updates Zeitraum in Tagen. Um das Risiko zu minimieren und die Updategeschwindigkeit zu maximieren, sollten Sie beim Auswerten des Updates mit einem anderen Ring von Geräten maximal zwei bis drei Tage in Betracht ziehen.
- Feature Updates Startzeit anhalten. Legen Sie diese Einstellung auf Deaktiviert fest, es sei denn, ein bekanntes Problem erfordert Zeit für eine Lösung.
- Anhalten der Startzeit Updates Qualität. Legen Sie diese Einstellung auf Deaktiviert fest, es sei denn, ein bekanntes Problem erfordert Zeit für eine Lösung.
- Stichtag: Kein automatischer Neustart. Der Standardwert ist Deaktiviert. Legen Sie auf 0 fest . Es wird empfohlen, dass Geräte automatisch versuchen, neu zu starten, wenn ein Update empfangen wird. Windows verwendet Benutzerinteraktionen, um dynamisch die zeitlosste Unterbrechung für den Neustart zu identifizieren.
Es gibt auch zusätzliche Richtlinien, die nicht mehr unterstützt werden oder abgelöst wurden.