Freigeben über

Verwalten von Windows Autopatch-Gruppen

  • Artikel

Autopatch-Gruppen helfen Microsoft Cloud-Managed Diensten, Organisationen zu treffen, in denen sie sich in ihrer Updateverwaltung befinden.

Eine Autopatch-Gruppe ist ein logischer Container oder eine logische Einheit, die mehrere Microsoft Entra Gruppen und Softwareupdaterichtlinien gruppiert, z. B. Richtlinie für Updateringe für Windows 10 und höher, Featureupdates für Windows 10 und höhere Richtlinien, Treiberupdaterichtlinien, Microsoft 365 App-Updaterichtlinien und Microsoft Edge-Updaterichtlinien.

Bevor Sie mit dem Verwalten von Autopatch-Gruppen beginnen, stellen Sie sicher, dass sie die Voraussetzungen für Windows Autopatch-Gruppen erfüllen.

Hinweis

Wenn Sie die maximale Anzahl unterstützter Autopatch-Gruppen (300) erreichen und versuchen, weitere Autopatch-Gruppen zu erstellen, ist die Option "Erstellen" auf dem Blatt Autopatch-Gruppen ausgegraut.

Erstellen einer Autopatch-Gruppe

Wichtig

Windows Autopatch erstellt die gerätebasierten Microsoft Entra ID zugewiesenen Gruppen basierend auf den Optionen, die auf der Seite zur Erstellung des Bereitstellungsrings getroffen wurden. Darüber hinaus weist der Dienst die Updateringrichtlinien für jeden Bereitstellungsring zu, der in der Autopatch-Gruppe erstellt wird, basierend auf den Optionen, die auf der Einstellungsseite Windows Update als Teil der benutzergeführten Endbenutzerumgebung der Autopatch-Gruppe getroffen wurden.

Tipp

Weitere Informationen zu Workloads, die von Windows Autopatch-Gruppen unterstützt werden, finden Sie unter Unterstützte Softwareworkloads.

So erstellen Sie eine Autopatch-Gruppe:

  1. Wechseln Sie zum Microsoft Intune Admin Center.
  2. Wählen Sie im linken Navigationsmenü Mandantenverwaltung aus.
  3. Wählen Sie im Abschnitt Windows Autopatch die Option Autopatch-Gruppen aus.
  4. Wählen Sie auf dem Blatt Autopatch-Gruppendie Option Erstellen aus.
  5. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung ein, und wählen Sie dann Weiter: Bereitstellungsringe aus.
    1. Geben Sie bis zu 64 Zeichen für den Autopatch-Gruppennamen und maximal 150 Zeichen für die Beschreibung ein. Der Name der Autopatch-Gruppe wird sowohl an die Updateringe als auch an die DSS-Richtliniennamen angefügt, die erstellt werden, nachdem die Autopatch-Gruppe erstellt wurde.
  6. Wählen Sie auf der Seite Bereitstellungsringe die Option Bereitstellungsring hinzufügen aus, um die Anzahl der Bereitstellungsringe zur Gruppe Autopatch hinzuzufügen. Autopatch weist einen Standardrolloutzeitplan zu, um eine schrittweise Bereitstellung mit Verzögerungs- und Stichtagen von einem bis 20 Tagen sicherzustellen. Wenn ein neuer Ring hinzugefügt wird, werden die Standardaufstellung und der Stichtag mit vorhandenen Ringen versehen, um die Einhaltung der Verzögerung und des Stichtags zu gewährleisten. Daher kann der Verzögerungs- und Stichtag des neuen Rings vor oder nach dem vorherigen Ring erfolgen. Das Hinzufügen eines neuen Rings ändert nicht die Verzögerung oder den Stichtag bereits vorhandener Ringe. Autopatch legt keine Stichtage an Sonntagen fest. Die Frist ist für den folgenden Montag geplant.
  7. Jedem hinzugefügten neuen Bereitstellungsring muss entweder eine Microsoft Entra Gerätegruppe oder eine Microsoft Entra Gruppe zugewiesen sein, die mithilfe definierter Prozentsätze dynamisch auf Ihre Bereitstellungsringe verteilt wird.
    1. Wählen Sie im Bereich Dynamische Gruppendie Option Gruppen hinzufügen aus, um eine oder mehrere vorhandene gerätebasierte Microsoft Entra Gruppen auszuwählen, die für die dynamische Gruppenverteilung verwendet werden sollen.
    2. Aktivieren Sie in der Spalte Dynamische Gruppenverteilung das gewünschte Bereitstellungsring. Führen Sie dann eine der folgenden Aktionen aus:
      1. Geben Sie den Prozentsatz der Geräte ein, die aus den in Schritt 9 ausgewählten Microsoft Entra Gruppen hinzugefügt werden sollen. Die Prozentuale Berechnung für Geräte muss 100 % betragen, oder
      2. Wählen Sie Standardverteilung für dynamische Gruppen anwenden aus, um die Standardwerte zu verwenden.
  8. Wählen Sie in der Spalte Zugewiesene Gruppe die Option Gruppe zum Klingeln hinzufügen aus, um einem der definierten Bereitstellungsringe eine vorhandene Microsoft Entra Gruppe hinzuzufügen. Die Bereitstellungsringe Test und Last unterstützen nur die Verteilung zugewiesener Gruppen. Diese Bereitstellungsringe unterstützen keine dynamische Verteilung.
  9. Wählen Sie Weiter: Updatetypen aus. Wählen Sie die Updatetypen aus, für die Windows AutoPatch Richtlinien erstellen soll. Sie können Folgendes auswählen:
    1. Qualitätsupdates
    2. Funktionsupdates
    3. Treiberupdates
    4. Updates für Microsoft 365-Apps
    5. Microsoft Edge-Updates
  10. Wählen Sie Weiter: Bereitstellungseinstellungen aus. Wenn Sie in Schritt 9 Qualitätsupdates und Microsoft 365-Apps-Updates ausgewählt haben, werden diese Updates automatisch bereitgestellt. Verwenden Sie das Dropdownmenü, um Folgendes auszuwählen:
    1. Die Zielversion für Featureupdates
    2. Die Genehmigungsmethode für Treiberupdates
    3. Kanal für Microsoft Edge-Updates
  11. Wählen Sie Weiter: Releasezeitpläne aus. Wählen Sie auf dieser Seite im Dropdownmenü Releasezeitplanvoreinstellung auswählen eine der folgenden Releasezeitplanvoreinstellungen aus:
    1. Information Worker: Einzelbenutzergeräte, die an den meisten Arbeitsplätzen verwendet werden
    2. Gemeinsam genutztes Gerät: Geräte, die über einen bestimmten Zeitraum von mehreren Benutzern verwendet werden
    3. Kiosks und Billboards: Geräte mit hoher Betriebszeit, die zum Ausführen einer bestimmten Aufgabe verwendet werden, die Benachrichtigungen ausblendet und zu bestimmten Zeiten neu gestartet wird
    4. Neustartempfindliche Geräte: Geräte, die nicht während einer Aufgabe unterbrochen und nur zu einem geplanten Zeitpunkt aktualisiert werden können
  12. Die Einstellung windows update installation, reboot, and notification behavior basiert auf der ausgewählten Releasezeitplanvoreinstellung (in Schritt 11). Die Einstellung bestimmt, wie sich der Windows Update-Client für alle Updatetypen verhält, die Sie in Schritt 9 ausgewählt haben. Sie haben folgende Möglichkeiten:
    1. Bearbeiten Sie die Zurücksetzungen, Fristen und Karenzzeiten nach Bedarf.
    2. Bearbeiten der Bereitstellungsringe nach Bedarf
    3. Wenn Sie Änderungen vorgenommen haben, aber von vorn beginnen möchten, wählen Sie Auf voreingestellte Werte zurücksetzen [Releasezeitplanvoreinstellung] aus. Die Zurücksetzung hängt davon ab, welche Releasezeitplanvoreinstellung Sie in Schritt 12 ausgewählt haben.
  13. Wählen Sie Überprüfen + erstellen aus , um alle vorgenommenen Änderungen zu überprüfen.
  14. Nachdem die Überprüfung abgeschlossen ist, wählen Sie Erstellen aus, um Ihre Autopatch-Gruppe zu speichern.

Achtung

Ändern Sie nicht die Microsoft Entra Gruppenmitgliedschaftstypen (zugewiesen und dynamisch). Andernfalls kann der Windows Autopatch-Dienst die Gerätegruppenmitgliedschaft aus diesen Gruppen nicht lesen und bewirkt, dass das Feature Autopatch-Gruppen und andere dienstbezogene Vorgänge nicht ordnungsgemäß funktionieren.

Darüber hinaus wird es nicht unterstützt, Configuration Manager Sammlungen direkt mit Microsoft Entra Gruppe zu synchronisieren, die von Autopatch-Gruppen erstellt wurde.

Achtung

Eine gerätebasierte Microsoft Entra-Gruppe kann jeweils nur mit einem Bereitstellungsring in einer Autopatch-Gruppe verwendet werden. Dies gilt für Bereitstellungsringe innerhalb derselben Autopatch-Gruppe und für verschiedene Bereitstellungsringe in verschiedenen Autopatch-Gruppen. Wenn Sie versuchen, eine Autopatch-Gruppe zu erstellen oder zu bearbeiten, um eine gerätebasierte Microsoft Entra Gruppe zu verwenden, die bereits verwendet wird, tritt ein Fehler auf, der Sie daran hindert, die Autopatch-Gruppe zu erstellen oder zu bearbeiten.

Bearbeiten einer Autopatch-Gruppe

Tipp

Sie können eine Autopatch-Gruppe nicht bearbeiten, wenn mindestens eine Windows-Featureupdatereleases darauf ausgerichtet ist. Wenn Sie versuchen, eine Autopatch-Gruppe mit einer oder mehreren laufenden Windows-Featureupdateversionen zu bearbeiten, die darauf ausgerichtet sind, erhalten Sie die folgende Informationsbannermeldung: "Einige Einstellungen dürfen nicht geändert werden, da ein oder mehrere laufende Windows-Funktionsupdateversionen für diese Autopatch-Gruppe vorgesehen sind." Weitere Informationen zum Release- und Phasenstatus finden Sie unter Windows-Featureupdate.

So bearbeiten Sie eine Autopatch-Gruppe:

  1. Wählen Sie die horizontalen Auslassungspunkte (...)>Bearbeiten Sie die Autopatch-Gruppe, die Sie bearbeiten möchten.
  2. Auf der Seite Grundlagen können Sie nur die Beschreibung einer Autopatch-Gruppe ändern. Sie können den Namen nicht ändern. Nachdem die Beschreibung geändert wurde oder Sie die Beschreibung nicht mehr bearbeiten müssen, wählen Sie Weiter: Bereitstellungsringe aus. Informationen zum Umbenennen einer Autopatch-Gruppe finden Sie unter Umbenennen einer Autopatch-Gruppe.
  3. Bearbeiten Sie auf der Seite Bereitstellungsringe Die Bereitstellungsringe nach Bedarf, oder wählen Sie Weiter: Updatetypen aus.
  4. Fügen Sie auf der Seite Updatetypen nach Bedarf Updatetypen hinzu, oder entfernen Sie sie, oder wählen Sie Weiter: Bereitstellungseinstellungen aus.
  5. Bearbeiten Sie auf der Seite Bereitstellungseinstellungen die Bereitstellungseinstellungen nach Bedarf, oder wählen Sie Weiter: Releasezeitplan aus.
  6. Bearbeiten Sie auf der Seite Releasezeitplan den Verzögerungstag und/oder den Stichtag nach Bedarf. Wenn Sie die Voreinstellung für den Releasezeitplan ändern müssen, müssen Sie eine neue Autopatch-Gruppe erstellen.
  7. Wählen Sie Überprüfen + erstellen aus , um alle vorgenommenen Änderungen zu überprüfen.
  8. Nachdem die Überprüfung abgeschlossen ist, wählen Sie Speichern aus, um die Bearbeitung der Autopatch-Gruppe abzuschließen.

Wichtig

Windows Autopatch erstellt die gerätebasierten Microsoft Entra ID zugewiesenen Gruppen basierend auf den Optionen, die auf der Seite zur Erstellung des Bereitstellungsrings getroffen wurden. Darüber hinaus weist der Dienst die Updateringrichtlinien für jeden Bereitstellungsring zu, der in der Autopatch-Gruppe erstellt wird, basierend auf den Optionen, die auf der Einstellungsseite Windows Update als Teil der benutzergeführten Endbenutzerumgebung der Autopatch-Gruppe getroffen wurden.

Achtung

Wenn ein Gerät, das zuvor einer Autopatch-Gruppe hinzugefügt wurde, eine Microsoft Entra Gruppe (über Zugewiesene Gruppen oder dynamische Verteilungsmethode) aus der Microsoft Entra Gruppe entfernt wird, wird das Gerät entfernt und die Registrierung beim Autopatch-Dienst aufgehoben. Auf das entfernte Gerät sind keine richtlinien mehr angewendet, die vom Autopatch-Dienst erstellt wurden, und das Gerät wird nicht im Bericht zur Mitgliedschaft von Autopatch-Gruppen angezeigt.

Umbenennen einer Autopatch-Gruppe

So benennen Sie eine Autopatch-Gruppe um:

  1. Wählen Sie die horizontalen Auslassungspunkte (...)>Benennen Sie für die Autopatch-Gruppe um, die Sie umbenennen möchten. Das Fly-In "Autopatch-Gruppe umbenennen " wird geöffnet.
  2. Geben Sie unter Neuer Autopatch-Gruppenname den namen der neuen Autopatch-Gruppe Ihrer Wahl ein, und wählen Sie dann Gruppe umbenennen aus.

Wichtig

Autopatch unterstützt bis zu 64 Zeichen für den Autopatch-Gruppennamen. Wenn Sie eine Autopatch-Gruppe umbenennen, werden alle Updateringe für Windows 10 und spätere Richtlinien in Intune und Featureupdates für Windows 10 und höher in Intune, die der Autopatch-Gruppe zugeordnet sind, umbenannt, um den neuen Autopatch-Gruppennamen einzuschließen, den Sie in ihrer Namenszeichenfolge definieren. Außerdem werden beim Umbenennen einer Autopatch-Gruppe alle Microsoft Entra Gruppen, die die Bereitstellungsringe der Autopatch-Gruppe darstellen, umbenannt, um den neuen Autopatch-Gruppennamen einzuschließen, den Sie in ihrer Namenszeichenfolge definieren.

Löschen einer Autopatch-Gruppe

So löschen Sie eine Autopatch-Gruppe:

  1. Wählen Sie die horizontalen Auslassungspunkte (...)>Löschen Sie für die Autopatch-Gruppe, die Sie löschen möchten.
  2. Wählen Sie Ja aus, um zu bestätigen, dass Sie die Autopatch-Gruppe löschen möchten.

Achtung

Sie können eine Autopatch-Gruppe nicht löschen, wenn sie als Teil einer oder mehrerer aktiver oder angehaltener Featureupdateversionen verwendet wird. Sie können jedoch eine Autopatch-Gruppe löschen, wenn das Release für Windows-Qualitäts- oder Featureupdates entweder den Status Geplant oder Angehalten aufweist.

Verwalten von Gerätekonfliktszenarien bei Verwendung von Autopatch-Gruppen

Überschneidungen bei der Gerätemitgliedschaft sind ein häufiges Szenario bei der Arbeit mit gerätebasierten Microsoft Entra-Gruppen. Manchmal können dynamische Abfragen einen großen Umfang aufweisen, oder die gleiche zugewiesene Gerätemitgliedschaft kann für verschiedene Microsoft Entra Gruppen verwendet werden.

Da Autopatch-Gruppen Ihre vorhandenen Microsoft Entra Gruppen verwenden, um Ihre eigene Bereitstellungsringzusammensetzung zu erstellen, übernimmt der Dienst die Verantwortung für die Überwachung und automatische Lösung einiger der möglicherweise auftretenden Gerätekonfliktszenarien.

Achtung

Eine gerätebasierte Microsoft Entra-Gruppe kann jeweils nur mit einem Bereitstellungsring in einer Autopatch-Gruppe verwendet werden. Dies gilt für Bereitstellungsringe innerhalb derselben Autopatch-Gruppe und für verschiedene Bereitstellungsringe in verschiedenen Autopatch-Gruppen. Wenn Sie versuchen, eine Autopatch-Gruppe zu erstellen oder zu bearbeiten, um eine gerätebasierte Microsoft Entra Gruppe zu verwenden, die bereits verwendet wird, tritt ein Fehler auf, der Sie daran hindert, die Autopatch-Gruppe zu erstellen oder zu bearbeiten.

Gerätekonflikt in Bereitstellungsringen innerhalb einer AutoPatch-Gruppe

Autopatch-Gruppen verwenden die folgende Logik, um Gerätekonflikte in Ihrem Namen innerhalb einer Autopatch-Gruppe zu lösen:

Schritt Beschreibung
Schritt 1: Überprüft den Verteilungstyp des Bereitstellungsrings (zugewiesen oder dynamisch), zu dem das Gerät gehört. Wenn beispielsweise ein Gerät Teil eines Bereitstellungsrings mit dynamischer Verteilung (Ring3) und eines Bereitstellungsrings mit zugewiesener Verteilung (Test) innerhalb derselben Autopatch-Gruppe ist, hat der Bereitstellungsring mit zugewiesener Verteilung (Test) Vorrang vor dem Bereitstellungsring mit dem dynamischen Verteilungstyp (Ring3).
Schritt 2: Überprüft die Reihenfolge des Bereitstellungsrings, wenn das Gerät zu einem oder mehreren Bereitstellungsringen mit demselben Verteilungstyp (zugewiesen oder dynamisch) gehört. Wenn ein Gerät beispielsweise Teil eines Bereitstellungsrings mit zugewiesener Verteilung (Test) und in einem anderen Bereitstellungsring mit zugewiesener Verteilung (Ring3) innerhalb derselben Autopatch-Gruppe ist, hat der später bereitgestellte Bereitstellungsring (Ring3) Vorrang vor dem Bereitstellungsring, der früher (Test) in der Bereitstellungsringreihenfolge kommt.

Wichtig

Wenn ein Gerät zu einem Bereitstellungsring gehört, der kombinierte Verteilungstypen (Zugewiesen und dynamisch) enthält, und einem Bereitstellungsring, der nur den Typ Dynamische Verteilung aufweist, hat der Bereitstellungsring mit den kombinierten Verteilungstypen Vorrang vor dem Bereitstellungsring mit nur der dynamischen Verteilung. Wenn ein Gerät zu zwei Bereitstellungsringen gehört, die kombinierte Verteilungstypen (zugewiesen und dynamisch) enthalten, hat der später bereitgestellte Bereitstellungsring Vorrang vor dem Bereitstellungsring, der früher in der Bereitstellungsringreihenfolge enthalten ist.

Gerätekonflikt über verschiedene AutoPatch-Gruppen hinweg

Gerätekonflikte zwischen verschiedenen Bereitstellungsringen in verschiedenen Autopatch-Gruppen können auftreten. Sehen Sie sich die folgenden Beispiele an, wie die Windows Autopatch-Dienste die folgenden Szenarien behandeln:

Gleiches Gerät in verschiedenen Bereitstellungsringen in verschiedenen AutoPatch-Gruppen

Konfliktszenario Konfliktlösung
Sie, der IT-Administrator bei Contoso Ltd., verwenden mehrere Autopatch-Gruppen. Beim Navigieren durch Geräte auf dem Blatt Windows Autopatch-Geräte stellen Sie fest, dass dasselbe Gerät Teil verschiedener Bereitstellungsringe in mehreren verschiedenen Autopatch-Gruppen ist. Dieses Gerät wird als Nicht bereit angezeigt. Sie müssen diesen Konflikt lösen.

Autopatch-Gruppen informieren Sie über den Gerätekonflikt im Bericht zur Mitgliedschaft von Autopatch-Gruppen. Wählen Sie die status Nicht bereit für das Gerät aus, das Sie adressieren möchten. Sie müssen manuell angeben, zu welcher der vorhandenen Autopatch-Gruppen das Gerät ausschließlich gehören soll.

Gerätekonflikt vor der Geräteregistrierung

Wenn Sie eine Autopatch-Gruppe erstellen oder bearbeiten, überprüft Windows Autopatch, ob die Geräte, die Teil der Microsoft Entra Gruppen sind, die in Bereitstellungsringen von Autopatch-Gruppen verwendet werden, beim Dienst registriert sind.

Konfliktszenario Konfliktlösung
Gerätekonflikt vor der Geräteregistrierung aufgrund einer Überschneidung der Gerätemitgliedschaft Sie müssen diesen Konflikt lösen.

Geräte können sich nicht beim Dienst registrieren und sind mit einem nicht registrierten status gekennzeichnet. Sie müssen sicherstellen, dass die Microsoft Entra Gruppen, die in einer Autopatch-Gruppe verwendet werden, keine Gerätemitgliedschaftsüberlappungen aufweisen.