Die Bereitstellung von Windows 10 oder Windows 11 Feature-Updates mit Microsoft Intune ist viel unkomplizierter als herkömmliche Methoden. Du musst nicht mehr den gesamten Patch- oder ISO-Inhalt über ConfigMgr oder WSUS verteilen oder dich um die Verteilung der Inhalte kümmern. Aber hast du dich jemals gefragt, wie das eigentlich funktioniert? Auf den ersten Blick mag es einfach erscheinen, doch hinter den Kulissen steckt eine Menge Arbeit. In diesem Artikel werden wir uns damit befassen und herausfinden, wie das alles funktioniert.
Voraussetzungen
Es müssen einige Voraussetzungen erfüllt sein, damit dieser Prozess in deiner Umgebung funktioniert. Die Technologie dahinter nutzt den Dienst Windows Update for Business (WUFB: gesprochen WUFF BIE).
Ob du WUFB nutzen kannst, hängt davon ab, wie deine Lizenzierung bei Microsoft aussieht. Derzeit ist WUFB in folgenden Lizenzen enthalten:
- Windows 10/11 Enterprise E3 oder E5 (enthalten in Microsoft 365 F3, E3, oder E5)
- Windows 10/11 Education A3 oder A5 (enthalten in Microsoft 365 A3 oder A5)
- Windows Virtual Desktop Zugang E3 oder E5
- Microsoft 365 Business Premium
Auf der Endgeräteseite musst du noch Folgendes sicherstellen:
- Eine supportete Version von Windows 10 oder Windows 11
- Endgeräte sind entweder als Hybrid Joined oder Azure AD Joined registriert
- Die Telemetrie auf den Endgeräten steht auf „Erforderlich“ oder höher.
- Der Microsoft Account Sign-In Assistant-Dienst, wlidsvc, muss ausgeführt werden und darf nicht deaktiviert oder blockiert sein.
- Pro-, Enterprise- oder Education-SKUs von Windows müssen ausgeführt werden. LTSC/LTSB wird nicht unterstützt.
- Die richtigen Einstellungen für die Windows Health Monitoring müssen aktiviert und auf den Endgeräten bereitgestellt sein.
Es gibt noch einige andere Einschränkungen. Ich empfehle dir diesen MS-Artikel für weitere Erläuterungen.
Bleiben oder aktualisieren
Also, was genau macht diese Funktion? In erster Linie drei Dinge:
- Den Endgeräten sagen, dass sie auf der von dir angegebenen Windows-Version »bleiben« sollen
- Den Endgeräten sagen, dass sie auf die von dir angegebene Windows-Version „aktualisieren“ sollen, wenn sie noch nicht auf dieser Version sind.
- Außerdem ermöglicht das Nutzen dieser Profile den Zugriff auf zusätzliche Reports in der die Intune-Konsole.
Du erreichst die Einstellungen für die Feature-Updates, in dem du in der Intune Konsole in folgenden Bereich navigierst: Devices > Windows > Feature updates for Windows 10 and later.
Dann erstellst du ein Profil mit der gewünschten Windows 10- oder Windows 11-Feature-Upgrade-Version.
Je nach Bedarf lassen sich auch verschiedene Bereitstellungsoptionen auswählen.
Danach kannst du das Profil deinen Zuweisungsgruppen zuordnen. Aber was passiert eigentlich, nachdem du auf die Schaltfläche »Erstellen« geklickt hast und das Profil auf deine Endgeräte in deiner Zuweisungsgruppe losgelassen wird?
Der WUFB Deployment Service
Und so funktioniert es:
- Wenn du eine Feature-Upgrade-Richtlinie für ein Endgerät bereitstellst, registriert Intune dieses Gerät im Hintergrund im WUFB DS.
- WUFB DS teilt Microsoft Update dann mit, dass dieser Client die angegebene Version von Windows benötigt. In meinem Beispiel Windows 10 22H2.
- Bis hierhin erfolgte die gesamte Kommunikation von Server zu Server und nicht auf dem Endgerät. Wenn das Endgerät das nächste Mal seine Windows-Update-Prüfung durchführt (standardmäßig alle 22 Stunden), spricht das Endgerät mit Windows Update, woraufhin Windows Update zuerst den WUFB DS konsultiert, um zu sehen, ob das Gerät dort registriert ist. Ist dies der Fall, werden die Informationen über die Windows Feature Version abgerufen und entweder ein Upgrade durchgeführt oder die bereits installierte Windows Version beibehalten.
Da dies alles auf der Serverseite abgewickelt wird, musst du nicht darauf warten, dass eine Client-Richtlinie synchronisiert und auf das Gerät angewendet wird. Fast unmittelbar nach der Bereitstellung des Profils wird das Gerät in WUFB DS registriert, und wenn du das nächste Mal auf dem Client nach Updates suchst, sieht er das Update. Ziemlich abgefahren, oder?
Außerdem kann der Dienst über die Graph-API angesprochen werden. Daddurch kann ein IT-Administrator oder ein Dienst wie Intune diese API für eigene Orchestrierungen nutzen. Dies ermöglicht Intune auch die verschiedenen Rollout-Optionen wie sofortige Bereitstellung, schrittweise Rollouts oder Bereitstellung zu einem bestimmten Datum.
Und dieses »Feature-Update«-Feature ist nicht die einzige Sache in Intune, die den WUFB DS nutzt. Der Punkt direkt darunter, »Qualitätsupdates für Windows 10 und höher«, nutzt ebenfalls den WUFB DS.
Safeguard Holds
In diesem Zusammenhang müssen wir noch den Begriff der Safguard Holds klären.
Safeguard Holds sind versteckte, unter der Haube liegende »Blocker«, die verhindern, dass Endgeräte aktualisiert werden, wenn es Probleme mit Updates auf diesen Endgeräten geben sollte. Safeguard Holds werden von Microsoft verwaltet und gepflegt und stammen in erster Linie von der Verbraucherseite. Deshalb benötigt Microsoft auch die Telemetriedaten. Erhält durch die Telemetriedaten von Milliarden von Geräten, die zeigen, wie gut die Geräte nach einem Upgrade funktionieren. Wenn Microsoft also Telemetriedaten erhält, die besagen, dass eine bestimmte Software oder ein bestimmter Treiber eine schlechte Performance oder einen Fehler verursacht, wird dieser Patch als Safeguard Hold gekennzeichnet, um zu verhindern, dass andere Geräte die gleichen Probleme haben werden.
Das ist insofern gut, da es die Benutzerfreundlichkeit verbessert, aber schlecht, weil es schwierig ist, herauszufinden, was diese Probleme sind. Einige Mitglieder der Community haben Skripte und Tools entwickelt, die bei der Identifizierung dieser Probleme helfen.
Hier die Links zu den Artikeln und Tools:
Gary Block – Windows SafeGuard Hold ID Lookup – Crowd sourced
https://github.com/AdamGrossTX/FU.WhyAmIBlocked
The Windows Update Policies you should set and why – by Aria Carley
Try Windows Update for Business with Microsoft Graph – by Angie Chen
The New Windows Update for Business Reports – by Akash_Malhotra
Commercial driver and firmware servicing with the Windows Update for Business deployment service
Zusammenfassung
Der Windows Update for Business Deployment Service (WUF DS) ist eine herausragende Technologie, die die Bereitstellung von Feature Updates und anderen Updates für von Intune verwaltete Geräte deutlich vereinfachen kann. Ich habe dir in diesem Artikel skizziert, wie Intune Endgeräte für dich im WUFB DS registriert und wie dies alles serverseitig geschieht. Diese beeindruckende Technologie wird in den kommenden Monaten und Jahren in Intune weiter genutzt und von Microsoft ausgebaut werden.
Du solltest dir das Feature jetzt anschauen, denn dadurch vereinfachst du deine Prozesse und sparst Zeit und Geld. Du führst dein Unternehmen in die moderne IT und die 1990er-Jahre rufen einmal weniger an und wollen Ihren Admin zurück.
Ich höre jetzt schon einige sagen: »Aber Christian, da muss ich ja die Telemetrie anschalten! Wir wissen gar nicht, was Microsoft da so abgreift!« Dazu habe ich nur eine Antwort: »Wenn du Microsoft nicht vertraust, warum benutzt du dann Windows.«
Hier auch noch mal zum Nachlesen:
Im Daten-Dschungel: Telemetrie – Analysen für den Schutz von Daten und Privatsphäre
Gerne berate ich dich auch zum Thema Client Management mit Microsoft Tools. Oder schreib mir einfach, wenn du Fragen hast. csh [at] msftem.de