Intune Windows 10 Patch-Management

von

In diesem Beiträg möchte ich auf das Windows 10 Patch-Management mittels Intune eingehen. Da ich aktuell neben Intune hauptsächlich SCCM für Patch-Managment verwende, werde ich SCCM gelegentlich zum Vergleich heranziehen.

Intune – Windows 10 Update Ringe

Intune verwendet zur Verteilung von Updates und Upgrades sogenannte „Update Ringe“. Diese sind vergleichbar mit den Automatic Deployment Rules in SCCM und stellen einen Zeitplan und das Installationsverhalten für eine Gruppe von Windows 10 Clients dar.

Im Gegensatz zu SCCM haben wir die Möglichkeit Windows Updates Benutzer- und Geräte-bezogen zu verteilen. Das ist ein ganz klarer Vorteil, Benutzer müssen dann einmal hinzugefügt werden und alle Geräte sind in einer Pilot-Gruppe.

Schade finde ich, dass man nicht sehen kann welche Updates konkret zugewiesen werden. Das ist natürlich durch die kumulativen Updates weniger wichtig geworden, ich hätte es mir trotzdem gewünscht.

Patch-Management Aktionen

Zur Steuerung der Updates stehen die wichtigsten Aktionen zur Verfügung.

Folgende Aktionen können pro Ring, entweder für Feature- oder Quality-Updates (es öffnet sich ein Dropdown Menü) ausgelöst werden. Die Aktionen beziehen sich immer auf die letzten Updates, die erschienen sind.

  • Updates pausieren
    • für 35 Tage, danach wird die Installation automatisch fortgesetzt
  • Updates fortsetzen
  • Updates Erweitern
    • setzt die 35 Tage Periode von pausierten Updates auf 0 und man hat erneut 35 Tage zeit bis die Updates automatisch fortgesetzt werden
  • Updates deinstallieren
    • Ab Windows 10 1803
    • Es kann nur das letzte verteilte Update/Upgrade deinstalliert werden
    • deinstalliert und pausiert automatisch für 35 Tage

Weitere Infos bei Microsoft: //docs.microsoft.com/de-de/intune/windows-update-for-business-configure#extend

Update/Upgrade Settings

Die Möglichen Intune Patch-Management Einstellungen könnt ihr folgenden Screenshots entnehmen.

In der deutschen Übersetzung hat sich übrigens ein Fehler eingeschlichen. Dort wird nämlich der Punkt „Remind user prior to required auto-restart with permanent reminder (minutes)“ mit Stunden angegeben. Ich präferiere daher immer die englische Ansicht.

Die folgenden Settings sollen nur als Beispiel für die Möglichkeiten dienen und stellen keine Empfehlung dar.

Intune Update Status Überwachen

Natürlich ist auch das Reporting ein wichtiger Punkt. Wir können aus lediglich 3 Ansichten wählen. Wobei die Daten aus den Listen auch exportiert werden können.

  1. Overview
  2. Per Update Ring (beinhaltet auch eine Overview pro Ring und einen Device Status pro Ring)
  3. Device Status

Overview

Per Update Ring

Per Click auf einen Ring landet man in der Übersicht des Rings und von dort aus gelangt man, per Click auf das Diagramm, in den Device Status

Device Status

PowerShell

Bisher konnte ich lediglich folgende cmdlets zum Patch Management mit Intune finden:

  • Get-IntuneSoftwareUpdateStatusSummary
  • Get-IntuneSoftwareUpdateStatusSummaryReference
  • New-SoftwareUpdateStatusSummaryObject
  • New-IntuneSoftwareUpdateStatusSummaryReference

Um eine Verbindung zu Intune über die Graph API herzustellen, habe ich folgendes Skript entwickelt: //www.cmehren.de/2019/06/26/intune-powershell-ueber-graph-api/

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.