Freigeben über

Hotpatch-Updates (öffentliche Vorschau)

  • Artikel

Wichtig

Die Informationen im Abschnitt gelten für Business Premium-, A3+-, E3+- und F3-Lizenzen. Weitere Informationen finden Sie unter Features und Funktionen und Lizenzen und Berechtigungen.

Wichtig

Dieses Feature befindet sich in der öffentlichen Vorschau. Es wird aktiv entwickelt und ist möglicherweise nicht vollständig. Sie werden als "Vorschau" verfügbar gemacht. Sie können diese Features in Produktionsumgebungen und -szenarien testen und verwenden und Feedback geben.

Hotpatch-Updates sind monatliche B-Sicherheitsupdates , die installiert werden können, ohne dass Sie das Gerät neu starten müssen. Hotpatch-Updates wurden entwickelt, um Ausfallzeiten und Unterbrechungen zu reduzieren. Durch die Minimierung der Notwendigkeit eines Neustarts tragen diese Updates dazu bei, die Compliance zu beschleunigen, sodass Organisationen die Aufrechterhaltung der Sicherheit bei gleichzeitiger Unterbrechung von Workflows erleichtern.

Wichtigste Vorteile

  • Hotpatch-Updates optimieren den Installationsprozess und verbessern die Complianceeffizienz.
  • An den vorhandenen Updateringkonfigurationen sind keine Änderungen erforderlich. Ihre vorhandenen Ringkonfigurationen werden zusammen mit Hotpatch-Richtlinien berücksichtigt.
  • Der Hotpatch-Qualitätsupdatebericht bietet eine Ansicht auf Richtlinienebene des aktuellen Updatestatus für alle Geräte, die Hotpatch-Updates erhalten.

Voraussetzungen für die Betriebssystemkonfiguration

Um ein Gerät für den Empfang von Hotpatch-Updates vorzubereiten, konfigurieren Sie die folgenden Betriebssystemeinstellungen auf dem Gerät. Sie müssen diese Einstellungen konfigurieren, damit dem Gerät das Hotpatch-Update angeboten wird und alle Hotpatch-Updates angewendet werden.

Virtualisierungsbasierte Sicherheit (VBS)

VBS muss aktiviert sein, damit einem Gerät Hotpatch-Updates angeboten werden können. Informationen zum Festlegen und Erkennen, ob VBS aktiviert ist, finden Sie unter Virtualisierungsbasierte Sicherheit (VBS).

Arm 64-Geräte müssen die kompilierte Hybrid PE-Nutzung (CHPE) deaktivieren (nur Arm 64-CPU)

Diese Anforderung gilt nur für Arm 64-CPU-Geräte, wenn Hotpatch-Updates verwendet werden. Hotpatch-Updates sind nicht kompatibel mit wartungsinternen CHPE-Betriebssystembinärdateien, die %SystemRoot%\SyChpe32 sich im Ordner befinden. Um sicherzustellen, dass alle Hotpatch-Updates angewendet werden, müssen Sie das CHPE-Deaktivierungsflag festlegen und das Gerät neu starten, um die CHPE-Verwendung zu deaktivieren. Sie müssen dieses Flag nur einmal festlegen. Die Registrierungseinstellung wird weiterhin über Updates angewendet. Um CHPE zu deaktivieren, legen Sie den folgenden Registrierungsschlüssel fest: Pfad: **HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management** Schlüsselwert: **HotPatchRestrictions=1**

Wichtig

Diese Einstellung ist erforderlich, da sie das Betriebssystem zwingt, die x86-Emulationsbinärdateien anstelle von CHPE-Binärdateien auf Arm 64-Geräten zu verwenden. CHPE-Binärdateien enthalten nativen Arm 64-Code, um die Leistung zu verbessern. Das Ausschließen der CHPE-Binärdateien kann sich auf die Leistung oder Kompatibilität auswirken. Stellen Sie sicher, dass Sie die Anwendungskompatibilität und -leistung testen, bevor Sie Hotpatch-Updates auf Arm 64-CPU-basierten Geräten umfassend einführen.

Wenn Sie Hotpatch-Updates nicht mehr verwenden möchten, deaktivieren Sie das CHPE-Deaktivierungsflag (HotPatchRestrictions=0), und starten Sie dann das Gerät neu, um die CHPE-Nutzung zu aktivieren.

Berechtigte Geräte

Um von Hotpatch-Updates profitieren zu können, müssen Geräte die folgenden Voraussetzungen erfüllen:

  • Betriebssystem: Geräte müssen Windows 11 24H2 oder höher ausgeführt werden.
  • VBS (virtualisierungsbasierte Sicherheit): VBS muss aktiviert sein, um eine sichere Installation von Hotpatch-Updates sicherzustellen.
  • Neuestes Baselinerelease: Geräte müssen die neueste Baselineversion aufweisen, um sich für Hotpatch-Updates zu qualifizieren. Microsoft veröffentlicht Baselineupdates vierteljährlich als kumulative Standardupdates. Weitere Informationen zum neuesten Zeitplan für diese Releases finden Sie unter Versionshinweise für Hotpatch.

Nicht berechtigte Geräte

Geräte, die eine oder mehrere Voraussetzungen nicht erfüllen, erhalten stattdessen automatisch das neueste kumulative Update (LCU). Neuestes kumulatives Update (LCU) enthält monatliche Updates, die die Updates des Vorherigen Monats ersetzen, die sowohl Sicherheitsversionen als auch nicht sicherheitsrelevante Versionen enthalten.

LCUs erfordern, dass Sie das Gerät neu starten, aber die LCU stellt sicher, dass das Gerät vollständig sicher und konform bleibt.

Hinweis

Wenn Geräte nicht für Hotpatch-Updates berechtigt sind, wird diesen Geräten die LCU angeboten. Die LCU behält ihre konfigurierten Einstellungen für den Updatering bei, die Einstellungen werden nicht geändert.

Releasezyklen

Weitere Informationen zum Releasekalender für Hotpatch-Updates finden Sie unter Versionshinweise für Hotpatch.

  • Baseline-Releasemonate: Januar, April, Juli, Oktober
  • Hotpatch Release Monate: Februar, März, Mai, Juni, August, September, November, Dezember

Registrieren von Geräten für den Empfang von Hotpatch-Updates

Hinweis

Wenn Sie Autopatch-Gruppen verwenden und möchten, dass Ihre Geräte Hotpatch-Updates erhalten, müssen Sie eine Hotpatch-Richtlinie erstellen und ihr Geräte zuweisen. Durch das Aktivieren von Hotpatch-Updates wird die Verzögerungseinstellung nicht geändert, die auf Geräte innerhalb einer Autopatch-Gruppe angewendet wird.

So registrieren Sie Geräte für den Empfang von Hotpatch-Updates:

  1. Wechseln Sie zum Intune Admin Center.
  2. Wählen Sie im linken Navigationsmenü Geräte aus.
  3. Wählen Sie im Abschnitt Updates verwaltendie Option Windows-Updates aus.
  4. Wechseln Sie zur Registerkarte Qualitätsupdates .
  5. Wählen Sie Erstellen und dann Windows-Qualitätsupdaterichtlinie (Vorschau) aus.
  6. Geben Sie im Abschnitt Grundlagen einen Namen für Ihre neue Richtlinie ein, und wählen Sie Weiter aus.
  7. Legen Sie im Abschnitt Einstellungendie Option "Wenn verfügbar, ohne Neustart des Geräts anwenden ("Hotpatch") auf Zulassen fest. Wählen Sie dann Weiter aus.
  8. Wählen Sie die entsprechenden Bereichstags aus, oder übernehmen Sie die Einstellung Standard, und wählen Sie Weiter aus.
  9. Weisen Sie die Geräte der Richtlinie zu, und wählen Sie Weiter aus.
  10. Überprüfen Sie die Richtlinie, und wählen Sie Erstellen aus.

Mit diesen Schritten wird sichergestellt, dass Zielgeräte, die zum Empfangen von Hotpatch-Updates berechtigt sind, ordnungsgemäß konfiguriert sind. Nicht berechtigte Geräte werden mit den neuesten kumulativen Updates (LCU) angeboten.

Hinweis

Durch das Aktivieren von Hotpatch-Updates werden die vorhandenen termingesteuerten oder geplanten Installationskonfigurationen auf Ihren verwalteten Geräten nicht geändert. Die Einstellungen für Zurückstellung und aktive Stunde gelten weiterhin.