Integration mit Windows Update für Unternehmen in Windows 10Integration with Windows Update for Business in Windows 10

Gilt für: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Mit Windows Update for Business (WUfB) können Sie Windows 10-Geräte in Ihrer Organisation hinsichtlich der neuesten Schutzmaßnahmen und Windows-Features auf dem neuesten Stand halten, wenn diese Geräte eine direkte Verbindung mit dem Windows Update-Dienst herstellen.Windows Update for Business (WUfB) allows you to keep Windows 10-based devices in your organization always up-to-date with the latest security defenses and Windows features when these devices connect directly to the Windows Update (WU) service. Configuration Manager kann zwischen Windows 10-Computern unterscheiden, die WUfB und WSUS zum Abrufen von Softwareupdates verwenden.Configuration Manager can differentiate between Windows 10 computers that use WUfB and WSUS for getting software updates.

Warnung

Wenn Sie die Co-Verwaltung für Ihre Geräte nutzen und die Windows Update-Richtlinien in Intune verschoben haben, erhalten Ihre Geräte die Windows Update for Business-Richtlinien von Intune.If you are using co-management for your devices and you have moved the Windows Update policies to Intune, then your devices will get their Windows Update for Business policies from Intune.

  • Ist der Configuration Manager-Client noch auf dem gemeinsam verwalteten Gerät installiert, werden Einstellungen für kumulative Updates und Featureupdates von Intune verwaltet.If the Configuration Manager client is still installed on the co-managed device then settings for Cumulative Updates and Feature Updates are managed by Intune. Sind Patches von Drittanbietern in den Clienteinstellungen aktiviert, werden sie weiterhin von Configuration Manager verwaltet.However, third-party patching, if enabled in Client Settings, is still managed by Configuration Manager.

Einige Configuration Manager-Features sind nicht mehr verfügbar, wenn Configuration Manager-Clients so konfiguriert sind, dass sie Updates von Windows Update empfangen, was Windows Update for Business (WUfB) oder Windows Insider einbezieht:Some Configuration Manager features are no longer available when Configuration Manager clients are configured to receive updates from WU, which includes WUfB or Windows Insiders:

  • Windows Update-Berichterstellung zur Kompatibilität:Windows Update compliance reporting:

    • Configuration Manager wird nicht über die Updates informiert, die auf Windows Update veröffentlicht werden.Configuration Manager will be unaware of the updates that are published to WU. Die Configuration Manager-Clients, die für den Empfang von Updates von WU konfiguriert sind, zeigen für diese Updates in der Configuration Manager-Konsole Unbekannt an.The Configuration Manager clients configured to received updates from WU will display unknown for these updates in the Configuration Manager console.

    • Die Problembehandlung für den allgemeinen Konformitätsstatus ist schwierig, da der Status Unbekannt nur für Clients verwendet wurde, die den Überprüfungsstatus von WSUS nicht zurückmeldeten.Troubleshooting overall compliance status is difficult because unknown status was only for the clients that hadn't reported scan status back from WSUS. Jetzt werden auch Configuration Manager-Clients einbezogen, die Updates von Windows Update erhalten.Now it also includes Configuration Manager clients that receive updates from WU.

    • Der bedingte Zugriff (auf Unternehmensressourcen) auf Basis des Status zur Kompatibilität funktioniert nicht erwartungsgemäß für Clients, die Updates von Windows Update empfangen, da sie nie die Kompatibilität von Configuration Manager erfüllen.Conditional access (for corporate resources) based on update compliance status won't work as expected for clients that receive updates from WU because they would never meet compliance from Configuration Manager.

    • Die Konformität der Definitionsupdates ist Teil der gesamten Berichterstellung zur Updatekonformität und funktioniert auch nicht wie erwartet.Definition Updates compliance is part of overall update compliance reporting and won't work as expected either. Die Kompatibilität der Definitionsupdates zählt auch zur bedingten ZugriffsauswertungDefinition update compliance is also part of conditional access evaluation

  • Die allgemeine Endpoint Protection-Berichterstellung für Defender, die auf dem Status der Updatekonformität basiert, zeigt aufgrund der fehlenden Überprüfungsdaten keine exakten Ergebnisse an.Overall Endpoint Protection reporting for Defender based on update compliance status won't return accurate results because of the missing scan data.

  • Configuration Manager kann keine Microsoft-Updates für Office, Internet Explorer und Visual Studio auf Clients bereitstellen, die zum Abrufen von Updates mit WUfB verbunden sind.Configuration Manager won't be able to deploy Microsoft updates, such as Office, IE, and Visual Studio to clients that are connected to WUfB to receive updates.

  • Configuration Manager kann weiterhin in WSUS veröffentlichte und über Configuration Manager verwaltete Updates von Drittanbietern für Clients bereitstellen, die für den Empfang von Updates mit WUfB verbunden sind.Configuration Manager can still deploy 3rd party updates that are published to WSUS and managed through Configuration Manager to clients that are connected to WUfB to receive updates. Wenn Updates von Drittanbietern nicht auf Clients installiert werden sollen, die mit WUfB verbunden sind, deaktivieren Sie die Clienteinstellung Softwareupdates auf Clients aktivieren.If you don't want any 3rd party updates to be installed on clients connecting to WUfB, then disable the client setting named Enable software updates on clients.

  • Die vollständige Clientbereitstellung von Configuration Manager, die die Softwareupdateinfrastruktur verwendet, funktioniert nicht für Clients, die für den Empfang von Updates mit WUfB verbunden sind.Configuration Manager full client deployment that uses the software updates infrastructure won't work for clients that are connected to WUfB to receive updates.

Identifizieren von Clients, die WUfB für Windows 10-Updates verwendenIdentify clients that use WUfB for Windows 10 updates

Mit den folgenden Schritten ermitteln Sie Clients, die zum Abrufen von Windows 10-Updates und -Upgrades WUfB verwenden.Use the following procedure to identify clients that use WUfB to get Windows 10 updates and upgrades. Anschließend konfigurieren Sie diese Clients so, dass sie zum Abrufen von Updates nicht mehr WSUS verwenden, und stellen eine Einstellung für den Client-Agent bereit, um den Softwareupdateworkflow für diese Clients zu deaktivieren.Then configure these clients to stop using WSUS to get updates, and deploy a client agent setting to disable the software updates workflow for these clients.

VoraussetzungenPrerequisites

  • Clients, die Windows 10 Desktop Pro oder Windows 10 Enterprise Edition Version 1511 oder höher ausführenClients that run Windows 10 Desktop Pro or Windows 10 Enterprise Edition version 1511 or later

  • Windows Update for Business wird bereitgestellt und die Clients verwenden WUfB zum Abrufen von Windows 10-Updates und -Upgrades.Windows Update for Business is deployed and clients use WUfB to get Windows 10 updates and upgrades.

So identifizieren Sie Clients, die WUfB verwendenTo identify clients that use WUfB

  1. Deaktivieren Sie den Windows Update-Agent, damit er nicht WSUS abfragt, wenn er zuvor aktiviert war.Disable the Windows Update Agent so it doesn't scan against WSUS, if it was previously enabled. Der folgende Registrierungsschlüssel kann festgelegt werden, um anzugeben, ob der Computer WSUS oder Windows Update abfragt.The following registry key can be set to indicate whether the computer is scanning against WSUS or Windows Update. Wenn als Wert „2“ festgelegt wird, wird WSUS nicht überprüft.When the value is 2, it's not scanning against WSUS.

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServerHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer
  2. Im Ressourcen-Explorer von Configuration Manager befindet sich unter dem Knoten Windows Update das neue Attribut UseWUServer.There's a new attribute, UseWUServer, under the Windows Update node in Configuration Manager Resource Explorer.

  3. Erstellen Sie eine Sammlung auf Basis des UseWUServer -Attributs für alle Computer, die für Updates und Upgrades über WUfB verbunden sind.Create a collection based on the UseWUServer attribute for all the computers that are connected via WUfB for updates and upgrades.

  4. Erstellen Sie eine Client-Agent-Einstellung zur Deaktivierung des Workflows für das Softwareupdate.Create a client agent setting to disable the software update workflow. Stellen Sie die Einstellung für die Sammlung von Computern bereit, die direkt mit WUfB verbunden sind.Deploy the setting to the collection of computers that are connected directly to WUfB.

  5. Die Computer, die über WUfB verwaltet werden, zeigen als Kompatibilitätsstatus Unbekannt an und werden im Gesamtprozentsatz der Kompatibilität nicht berücksichtigt.The computers that are managed via WUfB will display Unknown in the compliance status and won't be counted as part of the overall compliance percentage.

Konfigurieren von Windows Update for Business-ZurückstellungsrichtlinienConfigure Windows Update for Business deferral policies

Ab Version 1706 des Configuration Manager können Sie Zurückstellungsrichtlinien für Funktions- oder Qualitätsupdates für Windows 10-Geräte konfigurieren, die von Windows Update for Business direkt verwaltet werden.Beginning in Configuration Manager version 1706, you can configure deferral policies for Windows 10 Feature Updates or Quality Updates for Windows 10 devices managed directly by Windows Update for Business. Sie können die Zurückstellungsrichtlinien im neuen Knoten Windows Update for Business-Richtlinien unter Softwarebibliothek > Windows 10-Wartung verwalten.You can manage the deferral policies in the new Windows Update for Business Policies node under Software Library > Windows 10 Servicing.

Hinweis

Ab Configuration Manager Version 1802 können Sie Rückstellungsrichtlinien für Windows-Insider festlegen.Beginning in Configuration Manager version 1802, you can set deferral policies for Windows Insider. Weitere Informationen zum Windows-Insider-Programm finden Sie unter Erste Schritte mit dem Windows-Insider-Programm für Unternehmen.For more information about the Windows Insider program, see Getting started with Windows Insider program for Business.

Erforderliche KomponentenPrerequisites

  • Windows 10, Version 1703 oder höherWindows 10 version 1703 or later
  • Windows 10-Geräte, die von Windows Update for Business verwaltet werden, benötigen Internetzugriff.Windows 10 devices managed by Windows Update for Business must have Internet connectivity

Sie erstellen Sie eine Windows Update for Business-ZurückstellungsrichtlinieTo create a Windows Update for Business deferral policy

  1. In Softwarebibliothek > Windows 10-Wartung > Windows Update for Business-RichtlinienIn Software Library > Windows 10 Servicing > Windows Update for Business Policies
  2. Wählen Sie auf der Registerkarte Start in der Gruppe Erstellen die Option Windows Update for Business-Richtlinie erstellen aus, um den Assistenten für das Erstellen von Windows Update for Business-Richtlinien zu öffnen.On the Home tab, in the Create group, select Create Windows Update for Business Policy to open the Create Windows Update for Business Policy Wizard.
  3. Geben Sie auf der Seite Allgemein einen Namen und eine Beschreibung für die Richtlinie ein.On the General page, provide a name and description for the policy.
  4. Konfigurieren Sie auf der Seite Zurückstellungsrichtlinien, ob Sie Funktionsupdates zurückstellen oder anhalten möchten.On the Deferral Policies page, configure whether to defer or pause Feature Updates. Funktionsupdates bieten in der Regel neue Funktionen für Windows.Feature Updates are generally new features for Windows. Nach dem Konfigurieren der Einstellung Branchbereitschaftsniveau können Sie dann festlegen, ob und wie lange Sie das Empfangen von Funktionsupdates zurückstellen möchten, sobald diese verfügbar sind.After you configure the Branch readiness level setting, you can then define if, and for how long, you would like to defer receiving Feature Updates following their availability from Microsoft.
    • Branchbereitschaftsniveau: Legen Sie den Branch fest, für den das Gerät Windows-Updates erhält (Current Branch oder Current Branch for Business).Branch readiness level: Set the branch for which the device will receive Windows updates (Current Branch or Current Branch for Business).
    • Zurückstellungszeitraum (Tage): Geben Sie die Anzahl der Tage an, die Funktionsupdates verzögert werden.Deferral period (days): Specify the number of days for which Feature Updates will be deferred. Sie können den Empfang dieser Funktionsupdates für einen Zeitraum von bis zu 365 Tagen nach ihrer Veröffentlichung verzögern.You can defer receiving these Feature Updates for up to 365 days from their release.
    • Anhalten von Funktionsupdates ab: Wählen Sie aus, ob Sie das Empfangen von Funktionsupdates für bis zu 60 Tage ab dem Zeitpunkt des Anhaltens der Updates anhalten möchten.Pause Features Updates starting: Select whether to pause devices from receiving Feature Updates for up to 60 days from the time you pause the updates. Nach Ablauf der maximalen Anzahl von Tagen läuft die Anhaltefunktion automatisch ab, sodass das Gerät in Windows Update nach in Frage kommenden Updates sucht.After the maximum days have passed, pause functionality will automatically expire and the device will scan Windows Updates for applicable updates. Nach diesem Suchvorgang können Sie die Updates erneut anhalten.Following this scan, you can pause the updates again. Sie können das Anhalten von Funktionsupdates beenden, indem Sie das Kontrollkästchen deaktivieren.You can unpause Feature Updates by clearing the checkbox.
  5. Wählen Sie aus, ob Qualitätsupdates zurückgestellt oder angehalten werden sollen.Choose whether to defer or pause Quality Updates. Qualitätsupdates sind meist Korrekturen und Verbesserungen an vorhandener Windows-Funktionalität und werden in der Regel am ersten Dienstag jedes Monats veröffentlicht, wenngleich sie jederzeit von Microsoft veröffentlicht werden können.Quality Updates are generally fixes and improvements to existing Windows functionality and are typically published the first Tuesday of every month, though can be released at any time by Microsoft. Sie können festlegen, ob und wie lange Sie Qualitätsupdates nach deren Verfügbarkeit zurückstellen möchten.You can define if, and for how long, you would like to defer receiving Quality Updates following their availability.
    • Zurückstellungszeitraum (Tage): Geben Sie die Anzahl von Tagen an, die Qualitätsupdates verzögert werden.Deferral period (days): Specify the number of days for which Quality Updates will be deferred. Sie können den Empfang dieser Qualitätsupdates für einen Zeitraum von 30 Tagen nach ihrer Veröffentlichung verzögern.You can defer receiving these Quality Updates for up to 30 days from their release.
    • Anhalten von Qualitätsupdates ab: Wählen Sie aus, ob Sie das Empfangen von Qualitätsupdates für einen Zeitraum von bis zu 35 Tagen ab dem Anhalten der Updates anhalten möchten.Pause Quality Updates starting: Select whether to pause devices from receiving Quality Updates for up to 35 days from the time you pause the updates. Nach Ablauf der maximalen Anzahl von Tagen läuft die Anhaltefunktion automatisch ab, sodass das Gerät in Windows Update nach in Frage kommenden Updates sucht.After the maximum days have passed, pause functionality will automatically expire and the device will scan Windows Updates for applicable updates. Nach diesem Suchvorgang können Sie die Updates erneut anhalten.Following this scan, you can pause the updates again. Sie können das Anhalten von Qualitätsupdates beenden, indem Sie das Kontrollkästchen deaktivieren.You can unpause Quality Updates by clearing the checkbox.
  6. Wählen Sie Updates aus anderen Microsoft-Produkten installieren aus, um die Gruppenrichtlinieneinstellung zu aktivieren, mit deren Hilfe Zurückstellungseinstellungen auf Microsoft Update sowie auf Windows-Updates angewendet werden können.Select Install updates from other Microsoft Products to enable the group policy setting that make deferral settings applicable to Microsoft Update, as well as Windows Updates.
  7. Wählen Sie Treiber in Windows-Updates einschließen aus, um Treiber automatisch über Windows-Updates zu aktualisieren.Select Include drivers with Windows Update to automatically update drivers from Windows Updates. Wenn Sie diese Einstellung deaktivieren, werden Treiberupdates nicht von Windows-Updates heruntergeladen.If you clear this setting, driver updates aren't downloaded from Windows Updates.
  8. Schließen Sie den Assistenten ab, um die neue Zurückstellungsrichtlinie zu erstellen.Complete the wizard to create the new deferral policy.

So stellen Sie eine Windows Update for Business-Zurückstellungsrichtlinie bereitTo deploy a Windows Update for Business deferral policy

  1. In Softwarebibliothek > Windows 10-Wartung > Windows Update for Business-RichtlinienIn Software Library > Windows 10 Servicing > Windows Update for Business Policies
  2. Aktivieren Sie auf der Registerkarte Start in der Gruppe Bereitstellung die Option Windows Update for Business-Richtlinie bereitstellen.On the Home tab, in the Deployment group, select Deploy Windows Update for Business Policy.
  3. Konfigurieren Sie die folgenden Einstellungen:Configure the following settings:
    • Bereitzustellende Konfigurationsrichtlinie: Wählen Sie die Windows Update for Business-Richtlinie aus, die Sie bereitstellen möchten.Configuration policy to deploy: Select the Windows Update for Business policy that you would like to deploy.
    • Sammlung: Klicken Sie auf Durchsuchen, um die Sammlung auszuwählen, in der Sie die Richtlinie bereitstellen möchten.Collection: Click Browse to select the collection where you want to deploy the policy.
    • Nicht konforme Regeln wiederherstellen, falls dies unterstützt wird: Wählen Sie diese Option aus, um Regeln automatisch wiederherzustellen, die nicht mit der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI), der Registrierung, Skripts und sämtlichen Einstellungen für die von Configuration Manager registrierten mobilen Geräte konform sind.Remediate noncompliant rules when supported: Select to automatically remediate any rules that are noncompliant for Windows Management Instrumentation (WMI), the registry, scripts, and all settings for mobile devices that are enrolled by Configuration Manager.
    • Wiederherstellung außerhalb des Wartungsfensters zulassen: Wenn ein Wartungsfenster für die Sammlung konfiguriert wurde, für die Sie die Richtlinie bereitstellen, aktivieren Sie diese Option, um Konformitätseinstellungen zum Wiederherstellen des Werts außerhalb des Wartungsfensters zuzulassen.Allow remediation outside the maintenance window: If a maintenance window has been configured for the collection to which you're deploying the policy, enable this option to let compliance settings remediate the value outside of the maintenance window. Weitere Informationen zu Wartungsfenstern finden Sie unter Verwenden von Wartungsfenstern.For more information about maintenance windows, see How to use maintenance windows.
    • Warnung generieren: Konfiguriert eine Warnung, die generiert wird, sobald die Konformität einer Konfigurationsbaseline zu einem bestimmten Datum und einer bestimmten Uhrzeit unterhalb eines angegebenen Prozentsatzes liegt.Generate an alert: Configures an alert that's generated if the configuration baseline compliance is less than a specified percentage by a specified date and time. Sie können außerdem angeben, ob eine Warnung an System Center Operations Manager gesendet werden soll.You can also specify whether you want an alert to be sent to System Center Operations Manager.
    • Zufällige Verzögerung (Stunden): Gibt ein Verzögerungsfenster an, um eine übermäßige Verarbeitung im Registrierungsdienst für Netzwerkgeräte zu vermeiden.Random delay (hours): Specifies a delay window to avoid excessive processing on the Network Device Enrollment Service. Der Standardwert ist 64 Stunden.The default value is 64 hours.
    • Zeitplan: Geben Sie den Zeitplan für die Auswertung der Konformität an, gemäß dem das bereitgestellte Profil auf Clientcomputern ausgewertet wird.Schedule: Specify the compliance evaluation schedule by which the deployed profile is evaluated on client computers. Dabei kann es sich um einen einfachen oder benutzerdefinierten Zeitplan handeln.The schedule can be either a simple or a custom schedule. Das Profil wird von Clientcomputern ausgewertet, wenn sich der Benutzer anmeldet.The profile is evaluated by client computers when the user logs on.
  4. Schließen Sie den Assistenten ab, um das Profil bereitzustellen.Complete the wizard to deploy the profile.