Cyberkriminalität hat hier nichts zu suchen! Im Cyber-Ernstfall hat Sophos den 10-Punkte-Aktionsfall zusammengefasst. (Bild ©Africa Studio - stock.adobe.com)
Was macht Autopatch eigentlich?
Autopatch teilt die Geräte nach dem Onboarding in verschiedene Ringe ein und kümmert sich um die automatische Patchverteilung. Die Verwaltung und Konfiguration wird dabei im Endpoint Manager Admin Center durchgeführt.
Die Geräte werden in drei Ringe aufgeteilt: First, Fast und Broad. Den vierten Ring „Test“ kann man selbst befüllen. Die Verteilung funktioniert prozentual:
- Bei unter 200 Clients: 5% First. 15% Fast und 80% Broad
- Bei über 200 Clients: 1% First, 9% Fast und 90% Broad
Die Aufteilung der Geräte kann durch den Administrator jederzeit angepasst werden. Die Ringe werden als Windows Update for Business Policies mit entsprechenden Azure AD Gruppen umgesetzt. Die Policies und Gruppen werden komplett automatisiert erstellt, sind jedoch anpassbar. So kann der Zeitversatz der einzelnen Ringe nach eigenen Vorgaben angepasst werden.
Sobald ein neues Update releast wird, durchläuft es einen Ring nach dem anderen. Sollten dabei Probleme auftreten, kann die Verteilung gestoppt werden. Eine automatisierte Deinstallation fehlerhafter Updates ist nicht vorgesehen. Sollten Probleme auftreten, werden diese erfasst, kategorisiert und je nach Art des Problems übernimmt Microsoft oder der zuständige Administrator das Troubleshooting:
So liegen Probleme, die das Gerät direkt betreffen, wie z.B. zu wenig Speicher oder schlechte Netzwerkverbindung, weiterhin beim Administrator. Probleme, die die Updates direkt betreffen, wie z.B. fehlerhafte Policies oder ein fehlendes Updateangebot. Werden durch Microsoft bearbeitet.
Wie bekomme ich meine Geräte in Autopatch?
Autopatch wird in der Tenant Administration für den kompletten Tenant aktiviert. Dabei müssen sowohl für die Geräte als auch die Updates Supportkontakte in der eigenen Firma angegeben werden. Die Zuweisung der einzelnen Geräte zu Autopatch erfolgt danach im Endpoint Manager Admin Center.
Jedes Gerät, das mit Autopatch gepatcht werden soll, muss in Intune ausgerollt sein. Dazu muss es entweder Hybrid Azure AD oder Azure AD joined sein. Nach dem Enrollment in Intune müssen die Geräte einer Azure AD Gruppe „Windows Autopatch Device Registration“ hinzugefügt werden. Diese Gruppe wird automatisch bei der Aktivierung von Autopatch erstellt. Danach werden die Geräte geprüft und evtl. auftretende Probleme vermerkt. Sollte ein MECM im Einsatz sein, muss zum Beispiel das Co-Management entsprechend konfiguriert werden, so dass der Update-Workload bei Intune liegt. Wenn die Geräte Autopatch-Ready sind, werden sie automatisch den Ringen zugeordnet und das Patching beginnt.
Welche Lizenzen werden benötigt?
Windows Autopatch ist in Windows 10/11 Enterprise E3 oder größeren Lizenzen enthalten. Das sind folgende Lizenzpläne:
- Microsoft 365 E3
- Microsoft 365 E5
- Windows 10/11 Enterprise E3
- Windows 10/11 Enterprise E5
- Windows 10/11 Enterprise VDA
Diese Lizenzen enthalten alle auch eine vollwertige Intune User Lizenz mit der außer Autopatch auch Appverteilung, Policies sowie Autopilot möglich sind.
Welche Windows-Editionen/-Versionen werden unterstützt?
Alle Business-Editions von Windows 10 und 11 werden unterstützt. Das sind folgende Betriebssysteme:
- Windows 10/11 Pro
- Windows 10/11 Pro for Workstations
- Windows 10/11 Enterprise
Die Windows Version muss neuer als 1809 sein und darf nicht EOL sein.
Was sind die Vor- und Nachteile der neuen Lösung:
Der größte Punkt an Autopatch ist, dass man die Kontrolle über die Updates zu einem großen Teil aus der Hand gibt. Dadurch ergeben sich folgende Vorteile:
- Der Administrator muss sich nicht mehr um die Verteilung der Updates und die Konfiguration kümmern. Nach dem Onboarding läuft alles automatisch
- Das Patching benötigt keine lokale Infrastruktur, wie einen WSUS oder MECM mehr. Der Administrator hat ein übersichtliches und einfaches Portal in dem der Patchstand nachvollzogen werden kann. (Reports)
Und auch Nachteile:
- Keine Möglichkeit, gezielt Updates aus der Verteilung zu nehmen. Windows Update for Business bietet dafür keine Einstellung.
- Keine gezielte Deinstallation von fehlerhaften Updates. Muss ein Update entfernt werden, kann dies zum Beispiel durch eine Intune Application erledigt werden
- Aktuell nur rudimentäres Reporting. In Intune gibt es eine Übersicht über den Stand der einzelnen Geräte und der Installationszeit der nächsten Updates. Genauere Informationen erhält man nicht. Da das Reporting aktuell allerdings noch im Preview-Status ist, kann es durchaus sein, dass hier in Zukunft noch mehr kommt