Functie-updates voor beleid voor Windows 10 en later in Intune

Deze functie is in openbare preview.

Met functie-updates voor Windows 10 en later in Intune kunt u de Windows-versie van onderdelenupdates selecteren waarin u wilt dat apparaten behouden blijven, zoals Windows 10 versie 1909 of een versie van Windows 11. Intune ondersteunt het instellen van een functieniveau op elke versie die wordt ondersteund op het moment dat u het beleid maakt.

U kunt ook het beleid voor onderdelenupdates gebruiken om apparaten met Windows 10 te upgraden naar Windows 11.

Beleidsregels voor Windows-onderdelenupdates werken met uw updateringen voor Beleidsregels voor Windows 10 en hoger om te voorkomen dat een apparaat een Windows-functieversie ontvangt die hoger is dan de waarde die is opgegeven in het beleid voor onderdelenupdates.

Wanneer een apparaat een beleid voor functie-updates ontvangt:

• Het apparaat wordt bijgewerkt naar de versie van Windows die is opgegeven in het beleid. Een apparaat waarop al een latere versie van Windows wordt uitgevoerd, blijft de huidige versie. Door de versie te blokkeren, blijft de functieset van de apparaten stabiel tijdens de duur van het beleid.

  Notitie

  Een apparaat installeert geen update wanneer deze een beveiligingsbescherming heeft voor die Windows-versie. Wanneer een apparaat de toepasselijkheid van een updateversie evalueert, maakt Windows de tijdelijke bewaring als er een niet-opgelost bekend probleem bestaat. Zodra het probleem is opgelost, wordt de bewaring verwijderd en kan het apparaat vervolgens worden bijgewerkt.

  • Meer informatie over beveiligingsmaatregelen vindt u in de Windows-documentatie voor de status van onderdelenupdates.

  • Als u meer wilt weten over bekende problemen die kunnen leiden tot een beveiligingscontrole, raadpleegt u de toepasselijke Windows-release-informatie en verwijst u vervolgens naar de relevante Windows-versie uit de inhoudsopgave voor die pagina:

    • Release-informatie voor Windows 11
    • Release-informatie voor Windows 10

    Voor Windows 11 versie 21H2 gaat u bijvoorbeeld naar de release-informatie van Windows 11 en selecteert u in het linkerdeelvenster versie 21H2 en vervolgens Bekende problemen en meldingen. De resulterende pagina bevat details voor bekende problemen voor die Windows-versie die kunnen leiden tot een beveiligingscontrole.

• In tegenstelling tot het gebruik van Onderbreken met een updatering, die na 35 dagen verloopt, blijft het beleid voor onderdelenupdates van kracht. Apparaten installeren pas een nieuwe Windows-versie als u het beleid voor onderdelenupdates wijzigt of verwijdert. Als u het beleid bewerkt om een nieuwere versie op te geven, kunnen apparaten vervolgens de functies van die Windows-versie installeren.

• De mogelijkheid om de onderdelenupdate te verwijderen wordt nog steeds door de updateringen gehonoreerd.

• U kunt beleid configureren voor het beheren van de planning waarmee Windows Update de aanbieding beschikbaar maakt voor apparaten. Zie implementatieopties voor Windows-updates voor meer informatie.

Vereisten

Belangrijk

Deze functie wordt niet ondersteund in GCC High/DoD-cloudomgevingen.

Hier volgen de vereisten voor de onderdelenupdates van Intune voor Windows 10 en later:

• Naast een licentie voor Intune moet uw organisatie een van de volgende abonnementen hebben:

  • Windows 10/11 Enterprise E3 of E5 (opgenomen in Microsoft 365 F3, E3 of E5)
  • Windows 10/11 Education A3 of A5 (opgenomen in Microsoft 365 A3 of A5)
  • Windows 10/11 Virtual Desktop Access (VDA) per gebruiker
  • Microsoft 365 Business Premium

  Controleer uw abonnementsgegevens voor toepasselijkheid op Windows 11.

• Apparaten moeten:

  • Voer een versie van Windows 10/11 uit die nog steeds wordt ondersteund.

  • Ingeschreven zijn bij Intune MDM en hybride AD-deelname of Azure AD-deelname.

  • Telemetrie inschakelen, met een minimale instelling vereist.

    Apparaten die een beleid voor onderdelenupdates ontvangen en telemetrie hebben ingesteld op Niet geconfigureerd (uit), kunnen een latere versie van Windows installeren dan is gedefinieerd in het beleid voor onderdelenupdates. De vereiste voor het vereisen van telemetrie wordt beoordeeld wanneer deze functie wordt verplaatst naar algemene beschikbaarheid.

    Telemetrie configureren als onderdeel van een apparaatbeperkingsbeleid voor Windows 10/11. Configureer in het apparaatbeperkingsprofiel onder Rapportage en telemetrie de gebruiksgegevens delen met een minimale waarde vereist. Waarden van Enhanced (1903 en eerder) of Optional worden ook ondersteund.

  • De Microsoft Account Sign-In Assistant (wlidsvc) moet kunnen worden uitgevoerd. Als de service is geblokkeerd of is ingesteld op Uitgeschakeld, kan de update niet worden ontvangen. Zie Functie-updates worden niet aangeboden terwijl andere updates wel worden aangeboden. De service is standaard ingesteld op Handmatig (trigger starten) zodat deze kan worden uitgevoerd wanneer dat nodig is.

• Functie-updates worden ondersteund voor de volgende Edities van Windows 10/11:

  • Windows 10/11 Pro
  • Windows 10/11 Enterprise
  • Windows 10/11 Pro Education
  • Windows 10/11 Education

  Notitie

  Niet-ondersteunde versies en edities:
  Windows 10/11 Enterprise LTSC: Windows Update voor Bedrijven (WUfB) biedt geen ondersteuning voor de long term Service Channel-release . Plan het gebruik van alternatieve patchmethoden, zoals WSUS of Configuration Manager.

Beperkingen voor onderdelenupdates voor beleid voor Windows 10 en later

• Wanneer u een functie-updates voor Beleid voor Windows 10 en later implementeert op een apparaat dat ook een update-ringen voor Windows 10 en later beleid ontvangt, controleert u de updatering voor de volgende configuraties:

  • U wordt aangeraden de uitstelperiode (dagen) van de functie-update in te stellen op 0. Deze configuratie zorgt ervoor dat uw functie-updates niet worden vertraagd door updatededucties die mogelijk zijn geconfigureerd in een updateringsbeleid.
  • Functie-updates voor de updatering moeten worden uitgevoerd. Ze mogen niet worden onderbroken.

  Tip

  Als u functie-updates gebruikt, raden we u aan het gebruik van uitstelbewerkingen te beëindigen zoals geconfigureerd in het beleid voor updateringen. Als u updateringsdeducties combineert met het beleid voor functie-updates, kan dit tot complexiteit leiden die update-installaties kan vertragen.

  Zie Verplaatsen van uitstel van updatering naar beleid voor functie-updates voor meer informatie

• Functie-updates voor Beleid voor Windows 10 en later kunnen niet worden toegepast tijdens de Out of Box Experience (OOBE) van Autopilot. In plaats daarvan zijn de beleidsregels van toepassing bij de eerste Windows Update-scan nadat een apparaat is ingericht. Dit is meestal een dag.

• Als u apparaten co-beheert met Configuration Manager, wordt het beleid voor onderdelenupdates mogelijk niet onmiddellijk van kracht op apparaten wanneer u de windows Update-beleidsworkload voor Intune opnieuw configureert. Deze vertraging is tijdelijk, maar kan er in eerste instantie toe leiden dat apparaten worden bijgewerkt naar een latere versie van onderdelenupdates dan is geconfigureerd in het beleid.

  Als u wilt voorkomen dat deze initiële vertraging van invloed is op uw gezamenlijk beheerde apparaten:

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Ganaar Windows-onderdelenupdates voor Apparaten > > voor Windows 10 en later > Profiel maken.

  3. Voer voor implementatie-instellingen een betekenisvolle naam en een beschrijving in voor het beleid. Geef vervolgens de functie-update op waarop apparaten moeten worden uitgevoerd.

  4. Voltooi de beleidsconfiguratie, inclusief het toewijzen van het beleid aan apparaten. Het beleid wordt geïmplementeerd op apparaten, maar elk apparaat met de versie die u hebt geselecteerd of een nieuwere versie, wordt de update niet aangeboden.

     Controleer het rapport voor het beleid. Ga hiervoor naar het tabblad Rapporten > van Windows-updates > > rapport Functie-updates. Selecteer het beleid dat u hebt gemaakt en genereer vervolgens het rapport.

  5. Apparaten met de status OfferReady of hoger, worden ingeschreven voor functie-updates en beveiligd tegen bijwerken naar iets nieuws dan de update die u in stap 3 hebt opgegeven. Zie het rapport Met Windows 10 en nieuwere onderdelenupdates (organisatie).

  6. Met apparaten die zijn ingeschreven voor updates en beveiligd, kunt u de workload van het Windows Update-beleid veilig wijzigen van Configuration Manager in Intune. Zie Workloads overschakelen naar Intune in de documentatie voor co-beheer.

• Wanneer het apparaat incheckt bij de Windows Update-service, wordt het groepslidmaatschap van het apparaat gevalideerd op basis van de beveiligingsgroepen die zijn toegewezen aan de beleidsinstellingen voor onderdelenupdates voor alle onderdelenupdates.

• Beheerde apparaten die het beleid voor onderdelenupdates ontvangen, worden automatisch ingeschreven bij de windows Update voor Bedrijven-implementatieservice. De implementatieservice beheert de updates die een apparaat ontvangt. De service wordt gebruikt door Microsoft Endpoint Manager en werkt met uw Intune-beleid voor Windows-updates om functie-updates op apparaten te implementeren.

  Wanneer een apparaat niet meer is toegewezen aan een beleid voor onderdelenupdates, wacht Intune 90 dagen om de registratie van dat apparaat bij het beheer van onderdelenupdates ongedaan te maken en de registratie van dat apparaat bij de implementatieservice ongedaan te maken. Deze vertraging geeft tijd om het apparaat toe te wijzen aan een ander beleid en ervoor te zorgen dat het apparaat in de tussentijd geen functie-update ontvangt die niet is bedoeld.

  Dit betekent dat wanneer een beleid voor functie-updates niet meer van toepassing is op een apparaat, dat apparaat geen functie-updates meer krijgt aangeboden totdat een van de volgende handelingen wordt uitgevoerd:

  • 90 dagen zijn verstreken.
  • Het apparaat wordt toegewezen aan een nieuw functie-updateprofiel.
  • Het apparaat wordt uitgeschreven bij Intune, waardoor de registratie van het apparaat bij functie-updatebeheer door de Deployment Service ongedaan wordt gemaakt.
  • U gebruikt de Graph API van de Windows Update voor Bedrijven-implementatieservice om het apparaat te verwijderen uit functie-updatebeheer.

  Als u een apparaat op de huidige versie van de onderdelenupdate wilt houden en wilt voorkomen dat het apparaat wordt uitgeschreven en bijgewerkt naar de meest recente versie van de onderdelenupdate, moet u ervoor zorgen dat het apparaat blijft toegewezen aan een beleid voor onderdelenupdates waarmee de huidige Windows-versie van de apparaten wordt opgegeven.

Onderdelenupdates maken en toewijzen voor beleid voor Windows 10 en later

1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

2. Selecteer Windows-onderdelenupdates > > voor Apparaten voor Windows 10 en later > Profiel maken.

3. Onder Implementatie-instellingen:

   • Geef een naam, een beschrijving (optioneel) op en selecteer de versie van Windows met de gewenste functieset en selecteer vervolgens Volgende om onderdelenupdates te implementeren. Alleen versies van Windows die nog steeds worden ondersteund, kunnen worden geselecteerd.

   • Configureer implementatieopties om te beheren wanneer Windows Updates de update beschikbaar maakt voor apparaten die dit beleid ontvangen. Zie Implementatieopties voor Windows-updates voor meer informatie over het gebruik van deze opties.

4. Kies onder Toewijzingen de optie + Groepen selecteren die u wilt opnemen en wijs vervolgens de implementatie van functie-updates toe aan een of meer apparaatgroepen. Selecteer Volgende om door te gaan.

5. Controleer de instellingen onder Beoordelen en maken. Wanneer u klaar bent om het beleid voor onderdelenupdates op te slaan, selecteert u Maken.

Apparaten upgraden naar Windows 11

U kunt beleid voor functie-updates voor Windows 10 en later gebruiken om apparaten met Windows 10 te upgraden naar Windows 11.

Wanneer u beleid voor onderdelenupdates gebruikt om Windows 11 te implementeren, kunt u het beleid richten op Windows 10-apparaten die voldoen aan de minimale vereisten voor Windows 11 om ze te upgraden naar Windows 11. Apparaten die niet voldoen aan de vereisten voor Windows 11, installeren de update niet en blijven op hun huidige Versie van Windows 10.

Als een Windows 10-apparaat waarop Windows 11 niet kan worden uitgevoerd, echter is gericht op een Windows 11-update, worden toekomstige Windows 10-updates niet automatisch aan dat apparaat aangeboden. In dit geval verwijdert u het niet-in aanmerking komende apparaat uit het Windows 11-beleid en wijst u het apparaat toe aan een Windows 10-beleid voor onderdelenupdates. Zie Gedrag bijwerken wanneer meerdere beleidsregels zijn gericht op een apparaat.

Wanneer er meerdere versies van Windows 11 beschikbaar zijn, kunt u ervoor kiezen om de nieuwste build te implementeren. Wanneer u de nieuwste build implementeert op een groep apparaten, worden de apparaten met Windows 11 bijgewerkt terwijl apparaten met Windows 10 worden bijgewerkt naar die versie van Windows 11 als ze voldoen aan de upgradevereisten. Op deze manier kunt u altijd ondersteunde Windows 10-apparaten upgraden naar de nieuwste versie van Windows 11, zelfs als u ervoor kiest om de upgrade van sommige apparaten uit te stellen tot een toekomstige tijd.

Voorbereiden op een upgrade naar Windows 11

De eerste stap bij het voorbereiden van een Windows 11-upgrade is ervoor te zorgen dat uw apparaten voldoen aan de minimale systeemvereisten voor Windows 11.

U kunt Endpoint Analytics in Microsoft Endpoint Manager gebruiken om te bepalen welke van uw apparaten voldoen aan de hardwarevereisten. Als sommige van uw apparaten niet aan alle vereisten voldoen, kunt u precies zien aan welke apparaten niet wordt voldaan. Als u Eindpuntanalyse wilt gebruiken, moeten uw apparaten worden beheerd door Intune, gezamenlijk worden beheerd of moet Configuration Manager-clientversie 2107 of nieuwere zijn ingeschakeld met tenantkoppeling ingeschakeld.

Als u eindpuntanalyse al gebruikt, navigeert u vanaf elke locatie naar het rapport Werk en selecteert u de Windows-scorecategorie in het midden om een flyout te openen met statistische Windows 11-gereedheidsinformatie. Ga naar het tabblad Windows boven aan het rapport voor gedetailleerdere informatie. Op het tabblad Windows ziet u informatie over gereedheid per apparaat.

Licenties voor Windows 11-versies

Windows 11 bevat een nieuwe licentieovereenkomst, die kan worden bekeken op https://www.microsoft.com/useterms/. Deze licentieovereenkomst wordt automatisch geaccepteerd door een organisatie die een beleid verzendt om Windows 11 te implementeren.

Wanneer u een beleid configureert in het Microsoft Endpoint Manager-beheercentrum om een Windows 11-versie te implementeren, wordt in het Microsoft Endpoint Manager-beheercentrum een melding weergegeven om u eraan te herinneren dat u door het beleid in te dienen de voorwaarden van de Windows 11-licentieovereenkomst namens de apparaten en uw apparaatgebruikers accepteert. Na het indienen van het beleid voor functie-updates zien eindgebruikers de licentieovereenkomst niet of hoeven ze deze niet te accepteren, waardoor het updateproces naadloos verloopt.

Deze licentieherinnering wordt telkens weergegeven wanneer u een Windows 11-build selecteert, zelfs als al uw Windows-apparaten Windows 11 uitvoeren. Deze prompt wordt gegeven omdat Intune niet bijhoudt welke apparaten het beleid ontvangen en de mogelijke nieuwe apparaten waarop Windows 10 wordt uitgevoerd, later mogelijk worden ingeschreven en waarop het beleid van toepassing is.

Zie de Windows 11-documentatie voor meer informatie, waaronder algemene licentiegegevens.

Beleid maken voor Windows 11

Als u Windows 11 wilt implementeren, maakt en implementeert u een beleid voor functie-updates, net zoals u eerder hebt gedaan voor een Windows 10-apparaat. Dit is echter hetzelfde proces in plaats van een Windows 10-versie te selecteren, maar u selecteert een Windows 11-versie in de functie-update om de vervolgkeuzelijst te implementeren. In de vervolgkeuzelijst worden zowel Windows 10- als Windows 11-versie-updates weergegeven die worden ondersteund.

• Beleid voor Windows 11 en Windows 10 kan naast elkaar bestaan in Microsoft Endpoint Manager.
• Als u een oudere Windows-versie implementeert op een apparaat, wordt het apparaat niet gedowngraded. Apparaten installeren alleen een update wanneer deze nieuwer is dan de huidige versie van de apparaten.
• Als u een Windows 11-update implementeert op een Windows 10-apparaat dat Windows 11 ondersteunt, wordt dat apparaat bijgewerkt.
• Implementeer geen Windows 11-beleid op een Windows 10-apparaat dat windows 11 niet ondersteunt.

Gedrag bijwerken wanneer meerdere beleidsregels zijn gericht op een apparaat:

Houd rekening met de volgende punten wanneer beleidsregels voor onderdelenupdates zijn gericht op een apparaat met meer dan één updatebeleid of op een Windows 10-apparaat met een update voor Windows 11:

• Elk windows-beleid voor onderdelenupdates ondersteunt één update. Wanneer een apparaat is gericht op meer dan één beleid, kan het worden gericht op meerdere updateversies.

• De Windows Update-service kan een apparaat slechts één functie-update tegelijk aanbieden en biedt altijd de nieuwste updateversie die op het apparaat is gericht.

• Omdat Windows 11-updates worden beschouwd als latere versies dan Windows 10, biedt de service altijd de Windows 11-update aan op een apparaat waarop zowel Windows 10- als Windows 11-updates zijn gericht. Dit wordt gedaan omdat het implementeren van een Windows 11-update op een Windows 10-apparaat een ondersteund upgradepad is.

• De implementatieservice van Windows Update voor Bedrijven kan niet bepalen of Windows 11 niet kan worden uitgevoerd op een apparaat. Als een Windows 10-apparaat waarop Windows 11 niet kan worden uitgevoerd, is gericht op een Windows 11-update, worden Windows 10-updates daarom niet automatisch aangeboden. In dit geval verwijdert u het niet-in aanmerking komende apparaat uit het Windows 11-beleid en wijst u het apparaat toe aan een Windows 10-beleid voor onderdelenupdates.

Functie-updates voor Beleid voor Windows 10 en later beheren

Ga in het beheercentrumnaar Windows-onderdelenupdates > > voor Apparaten voor Windows 10 en later om uw profielen weer te geven.

Voor elk profiel kunt u het volgende bekijken:

• Versie van onderdelenupdate : de versie van de functie-update in het profiel.

• Toegewezen : als het profiel is toegewezen aan een of meer groepen.

• Ondersteuning: De status van de functie-update:

  • Ondersteund : de versie van de functie-update wordt ondersteund en kan worden geïmplementeerd op apparaten.
  • Ondersteuning wordt beëindigd : de versie van de functie-update is binnen twee maanden na de einddatum van de ondersteuning.
  • Niet ondersteund : ondersteuning voor de functie-update is verlopen en wordt niet meer geïmplementeerd op apparaten.

• Einddatum van ondersteuning : de einddatum van de ondersteuning voor de versie van de functie-update.

Als u een profiel selecteert in de lijst, wordt het deelvenster Profielenoverzicht geopend, waarin u het volgende kunt doen:

• Selecteer Verwijderen om het beleid uit Intune te verwijderen en van apparaten te verwijderen.
• Selecteer Eigenschappen om de implementatie te wijzigen. Selecteer Bewerken in het deelvenster Eigenschappen om de implementatie-instellingen of toewijzingen te openen, waar u de implementatie vervolgens kunt wijzigen.
• Selecteer de updatestatus van de eindgebruiker om informatie over het beleid weer te geven.

Validatie en rapportage

Er zijn meerdere opties voor uitgebreide rapportage voor Windows 10/11-updates met Intune. Windows Update-rapporten bevatten details over uw Windows 10- en Windows 11-apparaten naast elkaar in hetzelfde rapport.

Zie Intune-nalevingsrapporten voor meer informatie.

Volgende stappen

• Windows-updateringen gebruiken in Intune
• Compatibiliteitsrapporten voor Windows Update gebruiken
• Intune-nalevingsrapporten gebruiken voor Windows 10/11-updates