Windows-kwaliteitsupdates versnellen in Microsoft Intune

  • Artikel
  • 14 minuten om te lezen

Deze functie is in openbare preview.

Met kwaliteitsupdates voor het beleid voor Windows 10 en later kunt u de installatie van de meest recente beveiligingsupdates voor Windows 10/11 zo snel mogelijk versnellen op apparaten die u beheert met Microsoft Intune. De implementatie van versnelde updates wordt uitgevoerd zonder dat u uw bestaande maandelijkse servicebeleid hoeft te onderbreken of bewerken. U kunt bijvoorbeeld een specifieke update versnellen om een beveiligingsrisico te beperken wanneer uw normale updateproces de update enige tijd niet zou implementeren.

Niet alle updates kunnen worden versneld. Op dit moment zijn alleen beveiligingsupdates van Windows 10/11 beschikbaar die sneller kunnen worden geïmplementeerd met beleid voor kwaliteitsupdates. Als u regelmatig maandelijkse kwaliteitsupdates wilt beheren, gebruikt u Update-ringen voor Beleid voor Windows 10 en later.

Hoe versnelde updates werken

Met versnelde updates kunt u de installatie van kwaliteitsupdates versnellen, zoals de meest recente release van patch dinsdag of een out-of-band beveiligingsupdate voor een fout van nul dagen.

Om de installatie te versnellen, maakt het versnellen van updates gebruik van beschikbare services, zoals WNS- en pushmeldingskanalen, om het bericht te verzenden naar apparaten dat er een versnelde update is om te installeren. Met dit proces kunnen apparaten het downloaden en installeren van een versnelde update zo snel mogelijk starten, zonder te hoeven wachten tot het apparaat incheckt op updates.

De werkelijke tijd dat een apparaat begint bij te werken, is afhankelijk van het apparaat dat online is, de scantijd, of de communicatiekanalen naar het apparaat werken en andere factoren, zoals de verwerkingstijd van de cloud.

  • Voor elk beleid voor snelle updates selecteert u één update die u wilt implementeren op basis van de releasedatum. Met behulp van de releasedatum hoeft u geen afzonderlijk beleid te maken om verschillende exemplaren van die update te implementeren op apparaten met verschillende versies van Windows, zoals Windows 10 versie 1809, 1909, enzovoort.

  • Windows Update evalueert de build en architectuur van elk apparaat en levert vervolgens de versie van de update die van toepassing is.

  • Alleen apparaten die de update nodig hebben, ontvangen de versnelde update:

    • Windows Update probeert de update niet te versnellen voor apparaten die al een revisie hebben die gelijk is aan of groter is dan de updateversie.
    • Voor apparaten met een lagere buildversie dan de update bevestigt Windows Update dat de update nog steeds vereist is voor het apparaat voordat het wordt geïnstalleerd.

    Belangrijk

    In sommige scenario's kan Windows Update een update installeren die recenter is dan de update die u opgeeft in het updatebeleid. Zie Informatie over het installeren van de meest recente toepasselijke update verderop in dit artikel voor meer informatie over dit scenario.

  • Bijwerkbeleid versnellen negeert en overschrijft uitstelperioden voor kwaliteitsupdates voor de updateversie die u implementeert. U kunt uitstel van kwaliteitsupdates configureren met behulp van Intune Windows-updateringen en de instelling voor uitstelperiode voor kwaliteitsupdates.

  • Wanneer opnieuw opstarten is vereist om de installatie van de update te voltooien, helpt het beleid bij het beheren van het opnieuw opstarten. In het beleid kunt u een periode configureren die gebruikers nodig hebben om een apparaat opnieuw op te starten voordat het beleid automatisch opnieuw opstarten dwingt. Gebruikers kunnen er ook voor kiezen om het opnieuw opstarten te plannen of het apparaat de beste tijd buiten de actieve uren van het apparaat te laten vinden. Voordat de deadline voor opnieuw opstarten wordt bereikt, geeft het apparaat meldingen weer om apparaatgebruikers te waarschuwen over de deadline en bevat het opties om het opnieuw opstarten te plannen.

    Als een apparaat niet opnieuw wordt opgestart vóór de deadline, kan het apparaat midden op de werkdag opnieuw worden opgestart. Zie Nalevingsdeadlines afdwingen voor updates voor meer informatie over het gedrag van opnieuw opstarten.

  • Versnellen wordt niet aanbevolen voor normaal onderhoud van maandelijkse kwaliteitsupdates. Overweeg in plaats daarvan de deadline-instellingen van een Update-ring te gebruiken voor beleid voor Windows 10 en later. Zie Deadline-instellingen gebruiken onder de instellingen voor gebruikerservaring in Windows Update-instellingen voor meer informatie.

Vereisten

Belangrijk

Deze functie wordt niet ondersteund in GCC High/DoD-cloudomgevingen.

Hier volgen de vereisten om in aanmerking te komen voor het installeren van versnelde kwaliteitsupdates met Intune:

Licentieverlening:

Naast een licentie voor Intune moet uw organisatie een van de volgende abonnementen hebben:

  • Windows 10/11 Enterprise E3 of E5 (opgenomen in Microsoft 365 F3, E3 of E5)
  • Windows 10/11 Education A3 of A5 (opgenomen in Microsoft 365 A3 of A5)
  • Windows 10/11 Virtual Desktop Access (VDA) per gebruiker
  • Microsoft 365 Business Premium

Ondersteunde Windows 10/11-versies:

  • Windows 10/11-versies die ondersteuning blijven bieden voor onderhoud, op x86- of x64-architectuur

Alleen update-builds die algemeen beschikbaar zijn, worden ondersteund. Preview-versies, met inbegrip van de bèta- en Dev-kanalen, worden niet ondersteund met versnelde updates.

Ondersteunde Windows 10/11-edities:

  • Professional
  • Enterprise
  • Pro Education
  • Onderwijs

Apparaten moeten:

  • U kunt zich registreren bij Intune MDM of gezamenlijk worden beheerd met de workload windows Update-beleid die is ingesteld op Intune of Intune- testfase.

  • Lid zijn van Azure Active Directory (AD) of hybride Azure AD-gekoppeld zijn. Workplace Join wordt niet ondersteund.

  • Toegang hebben tot de volgende eindpunten:

    • Windows Update

      • *.prod.do.dsp.mp.microsoft.com
      • *.windowsupdate.com
      • *.dl.delivery.mp.microsoft.com
      • *.update.microsoft.com
      • *.delivery.mp.microsoft.com
      • tsfe.trafficshaping.dsp.mp.microsoft.com

    • WUfB-DS

      • devicelistenerprod.microsoft.com
      • login.windows.net
      • payloadprod*.blob.core.windows.net

    • Windows Push Notification Services: (aanbevolen, maar niet vereist. Zonder deze toegang kunnen apparaten updates mogelijk pas versnellen wanneer ze de volgende dagelijkse controle op updates uitvoeren.)

      • *.notify.windows.com

  • Worden geconfigureerd om kwaliteitsupdates rechtstreeks vanuit de Windows Update-service op te halen.

  • Zorg dat de updatestatushulpprogramma's zijn geïnstalleerd, die zijn geïnstalleerd met KB 4023057 - Update voor onderdelen van de Update-service van Windows 10. Ga als volgt te werk om de aanwezigheid van updatestatushulpprogramma's op een apparaat te bevestigen:

    • Zoek naar de map C:\Program Files\Microsoft Update Health Tools of bekijk Verwijderprogramma's toevoegen voor Microsoft Update Health Tools.

    • Voer als beheerder het volgende PowerShell-script uit:

      Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

      Voorbeeldresultaten:
      Voorbeeldresultaten voor de WMI-query

Apparaatinstellingen:

Configureer apparaten als volgt om conflicten of configuraties te voorkomen die de installatie van versnelde updates kunnen blokkeren. U kunt Intune-updateringen voor Beleid voor Windows 10 en later gebruiken om deze instellingen te beheren.

Ringinstelling bijwerken Aanbevolen waarde
Pre-release-builds inschakelen Deze instelling moet worden ingesteld op Niet geconfigureerd. Preview-versies, met inbegrip van de bèta- en Dev-kanalen, worden niet ondersteund met versnelde updates.
Gedrag van automatische updates Standaardinstelling herstellen

Andere waarden kunnen een slechte gebruikerservaring veroorzaken en het proces vertragen om updates te versnellen.
Updateniveau voor meldingen wijzigen Gebruik een andere waarde dan Alle meldingen uitschakelen, inclusief waarschuwingen voor opnieuw opstarten

Zie Beleids-CSP - Bijwerken voor meer informatie over deze instellingen.

Groepsbeleidsinstellingen overschrijven het beheerbeleid voor mobiele apparaten en de volgende lijst met groepsbeleidsinstellingen kan interfereren met versneld beleid. Op apparaten waarop deze instellingen zijn beheerd door Groepsbeleid, herstelt u deze naar de standaardinstellingen van het apparaat (niet geconfigureerd):

  • CorpWuURL - Geef de locatie van de Microsoft Update-service voor intranet op.
  • AutoUpdateCfg - Automatische updates configureren.
  • DeferFeatureUpdates : selecteer wanneer preview-versies en functie-updates worden ontvangen.
  • Dubbele scan uitschakelen : het uitstelbeleid voor updates niet toestaan om scans uit te voeren op Windows Update.

Windows Health Monitoring inschakelen:

Voordat u de resultaten en updatestatus voor versnelde updates kunt controleren, moet uw Intune-tenant Windows Health Monitoring inschakelen. Zorg ervoor dat u tijdens het configureren van Windows Health Monitoring het bereik instelt op Windows-updates.

Een snelle kwaliteitsupdate maken en toewijzen

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Selecteer Windows-kwaliteitsupdates voor Apparaten > > voor Windows 10 en later (preview) > Profiel maken.

    Schermopname van de gebruikersinterface profiel maken

  3. Voer in Instellingen de volgende eigenschappen in om dit profiel te identificeren:

    • Naam: Voer een beschrijvende naam in voor het profiel. Geef uw profielen een naam zodat u ze later gemakkelijk kunt identificeren.

    • Beschrijving: Voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  4. Configureer in Instellingen de installatie van kwaliteitsupdates versnellen als de versie van het besturingssysteem van het apparaat lager is dan. Selecteer de update die u wilt versnellen in de vervolgkeuzelijst. De lijst bevat alleen de updates die u kunt versnellen.

    Tip

    Optionele kwaliteitsupdates van Windows kunnen niet worden versneld en kunnen niet worden geselecteerd.

    Schermopname van de gebruikersinterface voor het bijwerken van selectie

    Bij het selecteren van een update:

    • Updates worden geïdentificeerd aan de hand van de releasedatum en u kunt slechts één update per beleid selecteren.

    • Updates met de letter B in hun naam identificeren updates die zijn uitgebracht als onderdeel van een patch-dinsdaggebeurtenis . De letter B geeft aan dat de update is uitgebracht op de tweede dinsdag van de maand.

    • Beveiligingsupdates voor Windows 10/11 die vanaf dinsdag buiten de band van een patch worden uitgebracht, kunnen worden versneld. In plaats van de letter B hebben out-of-band patchreleases verschillende id's.

    • Wanneer de update wordt geïmplementeerd, zorgt Windows Update ervoor dat elk apparaat dat het beleid ontvangt, een versie van de update installeert die van toepassing is op die apparaatarchitectuur en de huidige Windows-versie, zoals versie 1809, 2004, enzovoort.

    Tip

    Zie de blog Windows 10 update servicing cadence - Microsoft Tech Community voor meer informatie.

  5. Configureer in Instellingen het aantal dagen dat moet worden gewacht voordat het opnieuw wordt opgestart. Selecteer voor deze instelling hoe snel na de installatie van de update een apparaat automatisch opnieuw wordt opgestart om de installatie van de update te voltooien. U kunt kiezen tussen nul en twee dagen. Het automatisch opnieuw opstarten wordt geannuleerd als een apparaat handmatig opnieuw wordt opgestart vóór de deadline. Als voor een update opnieuw opstarten niet is vereist, wordt deze instelling niet afgedwongen.

    • Een instelling van 0 dagen betekent dat zodra het apparaat de update installeert, de gebruiker op de hoogte wordt gesteld van het opnieuw opstarten en beperkte tijd heeft om zijn werk te besparen.

    Belangrijk

    Deze ervaring kan van invloed zijn op de productiviteit van gebruikers. Overweeg deze te gebruiken voor apparaten of updates die moeten worden voltooid en het apparaat zo snel mogelijk opnieuw moeten opstarten.

    • Een instelling van 1 dag of 2 dagen biedt apparaatgebruikers flexibiliteit om een herstart te beheren voordat deze wordt gedwongen. Deze instellingen komen overeen met een vertraging bij automatisch opnieuw opstarten van 24 of 48 uur nadat de update op het apparaat is geïnstalleerd.

      Schermopname van het selecteren van dagen vóór geforceerd opnieuw opstarten

  6. Selecteer in Toewijzingen groepen toevoegen en selecteer vervolgens apparaat- of gebruikersgroepen om het beleid toe te wijzen.

  7. Selecteer Maken in Controleren en maken. Nadat het beleid is gemaakt, wordt het geïmplementeerd in toegewezen groepen.

De meest recente toepasselijke update identificeren

Er zijn enkele scenario's waarin uw beleid voor het versnellen van een update resulteert in de installatie van een recentere update dan is opgegeven in het beleid. Dit resultaat treedt op wanneer de nieuwere update de opgegeven update bevat en overschrijdt, en die nieuwere update beschikbaar is voordat een apparaat incheckt om de update te installeren die is opgegeven in het beleid voor snelle updates. Verderop in dit artikel vindt u een gedetailleerd voorbeeld van dit scenario.

Het installeren van de meest recente kwaliteitsupdate vermindert onderbrekingen voor het apparaat en de gebruiker, terwijl de voordelen van de beoogde update worden toegepast. Dit voorkomt dat u meerdere updates moet installeren, waarvoor mogelijk afzonderlijke herstarts nodig zijn.

Er wordt een recentere update geïmplementeerd wanneer aan de volgende voorwaarden wordt voldaan:

  • Het apparaat is niet gericht op uitstelbeleid dat de installatie van een recentere update blokkeert. In dit geval is de update die mogelijk wordt geïnstalleerd de laatst beschikbare update die niet wordt uitgesteld.

  • Tijdens het proces om een update te versnellen, voert het apparaat een nieuwe scan uit die de nieuwere update detecteert. Dit kan gebeuren vanwege de timing van:

    • Wanneer het apparaat opnieuw wordt opgestart om de installatie te voltooien
    • Wanneer het apparaat de dagelijkse scan uitvoert
    • Wanneer er een nieuwe update beschikbaar komt

    Wanneer een scan een nieuwere update identificeert, probeert Windows Update de installatie van de oorspronkelijke update te stoppen, het opnieuw opstarten te annuleren en vervolgens het downloaden en installeren van de recentere update te starten.

Hoewel het versnelde updatebeleid een update-uitstel overschrijft voor de updateversie die is opgegeven in het beleid, worden uitstelbewerkingen die aanwezig zijn voor een andere updateversie niet overschreven.

Voorbeeld van het installeren van een versnelde update

De volgende reeks gebeurtenissen geeft een voorbeeld van hoe twee apparaten met de naam Test-1 en Test-2 een update installeren op basis van een kwaliteitsupdates voor Windows 10 en later-beleid dat is toegewezen aan de apparaten.

  1. Elke maand implementeren Intune-beheerders de meest recente kwaliteitsupdates voor Windows 10 op de vierde dinsdag van de maand. Deze periode geeft ze twee weken na de patch-dinsdag-gebeurtenis om de updates in hun omgeving te valideren voordat ze de installatie van de update afdwingen.

  2. Op 19 januari 2021 installeren het apparaat Test-1 en Test-2 de nieuwste kwaliteitsupdate van de patch- dinsdagrelease op 12 januari. De volgende dag worden beide apparaten uitgeschakeld door hun gebruikers die elk op vakantie gaan.

  3. Op 9 februari maakt de Intune-beheerder beleid om de installatie van de patch dinsdag release 02/09/2021 – 2021.02 B Beveiligingsupdates voor Windows 10 te versnellen om bedrijfsapparaten te beveiligen tegen een kritieke bedreiging die de update oplost. Het versnellingsbeleid wordt toegewezen aan een groep apparaten die zowel Test-1 als Test-2 bevat. Alle apparaten in die groep die actief zijn, ontvangen en installeren het versnelde updatebeleid.

  4. Op het dinsdaggebeurtenis van de patch van 9 maart wordt een nieuwe kwaliteitsupdate uitgebracht als 03/09/2021 – 2021.03 B-beveiligingsupdates voor Windows 10. Er zijn geen kritieke problemen waarvoor een snelle implementatie van deze update is vereist, maar beheerders vinden wel een mogelijk conflict. Om tijd te bieden om het mogelijke probleem te bekijken, gebruiken beheerders een Windows-updateringsbeleid om een uitstelbeleid van zeven dagen te maken. Alle beheerde apparaten kunnen deze update niet installeren tot 14 maart.

  5. Bekijk nu de volgende resultaten voor Test-1 en Test-2, op basis van wanneer elke functie weer is ingeschakeld:

    • Test-1 - Op 12 maart wordt Test-1 weer ingeschakeld, wordt verbinding gemaakt met het netwerk en worden versnelde updatemeldingen ontvangen:

      1. Windows Update bepaalt dat Test-1 de update-installatie nog steeds moet versnellen, per beleid.
      2. Omdat de update van 9 maart de update van februari vervangt, kan Windows Update de update van 9 maart installeren.
      3. Er is een actief uitstel voor de update van maart dat pas op 14 maart verloopt.

      Resultaat: Nu het uitstelbeleid voor de update van maart nog steeds actief is en de installatie van die update wordt geblokkeerd, installeert Device-1 de update van februari zoals geconfigureerd in het beleid.

    • Test-2 - Op 20 maart wordt Test-2 weer ingeschakeld, wordt verbinding gemaakt met het netwerk en worden versnelde updatemeldingen ontvangen:

      1. Windows Update bepaalt dat Test-2 de update-installatie nog steeds moet versnellen, per beleid.
      2. Omdat de update van 9 maart de update van februari vervangt, kan Windows Update de update van 9 maart installeren.
      3. Er is geen actief uitstel meer voor de update van maart.

      Resultaat: Nu het uitstelbeleid voor de update van maart is verlopen, installeert Test-2 de recentere update van maart, waarbij de update van februari wordt overgeslagen en een latere update wordt geïnstalleerd dan is opgegeven in het beleid.

Beleid beheren om kwaliteitsupdates te versnellen

Ga in het beheercentrumnaar Windows-kwaliteitsupdates > > voor Apparaten voor Windows 10 en later en selecteer het beleid dat u wilt beheren. Het beleid wordt geopend in het deelvenster Overzicht .

In dit deelvenster kunt u het volgende doen:

  • Selecteer Verwijderen om het beleid uit Intune te verwijderen. Als u een beleid verwijdert, wordt het verwijderd uit Intune, maar wordt de update niet verwijderd als de installatie al is voltooid. Windows Update probeert alle actieve installaties te annuleren, maar een geslaagde annulering van een actieve installatie kan niet worden gegarandeerd.

  • Selecteer Eigenschappen om de implementatie te wijzigen. Selecteer Bewerken in het deelvenster Eigenschappen om de instellingen, bereiktags of toewijzingen te openen, waar u de implementatie vervolgens kunt wijzigen.

Bewaking en rapportage

Voordat u de resultaten en updatestatus voor versnelde updates kunt controleren, moet uw Intune-tenant Windows Health Monitoring inschakelen.

Belangrijk

Wanneer u het Windows Health Monitoring-profiel configureert, moet u tijdens stap zeven het bereik instellen op Windows-updates.

Nadat een beleid is gemaakt, kunt u de resultaten, de updatestatus en fouten in de volgende rapporten controleren.

Overzichtsrapport

Dit rapport toont de huidige status van alle apparaten in het profiel en geeft een overzicht van het aantal apparaten dat wordt uitgevoerd voor het installeren van een update, de installatie hebt voltooid of er een fout optreedt.

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Selecteer Rapporten windows-updates > . Op het tabblad Samenvatting kunt u de tabel Met Windows Versnelde kwaliteitsupdates weergeven.

  3. Als u wilt inzoomen voor meer informatie, selecteert u het tabblad Rapporten en vervolgens Windows Expedited Update Report.

  4. Klik op de koppeling Selecteer een versneld updateprofiel.

  5. Selecteer een profiel in de lijst met profielen aan de rechterkant van de pagina om de resultaten te bekijken.

  6. Selecteer de knop Rapport genereren .

Apparaatrapport

Dit rapport kan u helpen bij het vinden van apparaten met waarschuwingen of fouten en kan u helpen bij het oplossen van updateproblemen.

  1. Aanmelden bij het Microsoft Endpoint Manager-beheercentrum

  2. Selecteer Apparaten > bewaken.

  3. Blader in de lijst met bewakingsrapporten naar de sectie Software-updates en selecteer fouten met windows-versnelde updates.

  4. Selecteer een profiel in de lijst met profielen aan de rechterkant van de pagina om de resultaten te bekijken.

    Voorbeeld van het apparaatrapport

Statussen bijwerken

Updatestatus Subtoestand bijwerken Definitie
Hangende Valideren Het apparaat is toegevoegd aan het beleid in de service en de validatie dat het apparaat kan worden versneld, is gestart.
Hangende Geplande Het apparaat is gevalideerd en wordt sneller uitgevoerd.
Biedt OfferReady De versnelde instructies zijn naar het apparaat verzonden.
Installeren OfferReceived Apparaat gescand op Windows Update en de update is van toepassing, maar is nog niet begonnen met downloaden.
Installeren DownloadStart Het apparaat is begonnen met het downloaden van de update.
Installeren DownloadComplete Het apparaat heeft de update gedownload.
Installeren InstallStart Het apparaat is begonnen met het installeren van de update.
Installeren InstallComplete Het apparaat heeft de installatie van de update voltooid. Tenzij de update een updatefout bevat, moet het apparaat snel worden verplaatst naar RestartRequired of UpdateInstalled.
Installeren RestartRequired De installatie is voltooid en moet opnieuw worden opgestart.
Installeren RestartInitiated Het apparaat is opnieuw opgestart.
Installeren RestartComplete Het apparaat is opnieuw opgestart.
Geïnstalleerd UpdateInstalled De update is voltooid.

Volgende stappen