Einführung
Installieren Sie ausstehende Windows-Updates auf verwalteten Geräten per Automatisierung. Verwenden Sie diese Aktion, um die Patch-Compliance nach einem Zeitplan durchzusetzen, Updates als Reaktion auf die Registrierung neuer Geräte einzuspielen oder Updates nach dem Öffnen eines Wartungsfensters bereitzustellen.
Windows-Updates installieren
Klicken Sie in der Automatisierungspipeline im Bearbeitungsmodus auf + Aktion hinzufügen und wählen Sie Windows-Updates installieren aus der Sicherheit Kategorie. Das Aktionsfeld öffnet sich mit zwei Abschnitten: Aktionstyp (voreingestellt auf Windows-Updates installieren) und Schrittkonfiguration.
Update-Kategorien konfigurieren
Klicken Sie auf Update-Kategorien konfigurieren um den Windows-Patch-Verwaltungskategorien Bereich. Hier wird festgelegt, welche Update-Typen Level installiert und wie jeder einzelne zeitlich gesteuert wird.
Jede Kategorie hat zwei Einstellungen:
Zeitplanung — Entweder Sofort aktualisieren oder Installation verzögern.
Tage — Wie viele Tage gewartet werden soll, bevor die Installation erfolgt (nur aktiv, wenn Installation verzögern ausgewählt ist).
So funktioniert die Verzögerung: Wenn Sie eine Kategorie auf Installation verzögern, überspringt Level jedes Update in dieser Kategorie, bis es mindestens so viele Tage verfügbar war. Sobald das Fenster abläuft, wird das Update beim nächsten Ausführen der Aktion automatisch installiert – ohne manuelle Genehmigung.
Das ist beabsichtigt. Viele Patch-Verwaltungstools erfordern, dass Sie jedes Update einzeln prüfen und genehmigen, bevor es bereitgestellt wird. Das erzeugt einen ständigen Rückstau an Genehmigungsaufgaben für Updates, die fast immer problemlos verlaufen. Das Modell von Level: Legen Sie ein Verzögerungsfenster fest, das Ihnen Zeit gibt, von Problemen in der Praxis zu erfahren, und lassen Sie Updates dann automatisch einspielen. Bei der großen Mehrheit der Patches verstreicht das Fenster still und sie werden bereitgestellt, ohne dass Sie sie je anfassen müssen. Bei dem seltenen problematischen Update blockieren Sie es global, bevor die Verzögerung abläuft – und es bleibt blockiert, bis Sie die Sperre aufheben.
💡 TIPP: Wenn Sie eine zusätzliche Sicherheitsschicht vor dem breiten Rollout wünschen, zielen Sie zuerst auf eine kleine Gruppe von Testgeräten ab. Kennzeichnen Sie diese Geräte (z. B. canary) und führen Sie diese Aktion gegen diese Gruppe mit einer kürzeren oder keiner Verzögerung aus. Wenn nach ein paar Tagen keine Probleme auftreten, werden die Updates durch dieselbe Aktion für Ihre breiteren Gruppen eingespielt, sobald deren Verzögerungsfenster abläuft – ohne doppelte Arbeit.
Die verfügbaren Kategorien sind:
Kategorie | Beschreibung |
Kritische Updates | Nicht sicherheitsrelevante kritische Fehler, die Kompatibilität, Leistung oder Interoperabilität beeinträchtigen |
Sicherheitsupdates | Produktspezifische Sicherheitslücken |
Definitionsupdates | Viren- und Definitionsdateien für Windows Defender |
Update-Rollups | Kumulative Sicherheitsupdates, kritische Updates und Hotfixes für bestimmte Windows-Bereiche |
Service Packs | Kumulative Updates, Designänderungen und Funktionen für Microsoft-Produkte |
Tools | Hilfsprogramme und Funktionen zur Aufgabenerledigung |
Feature Packs | Funktionen, die außerhalb des normalen Produkt-Releasezyklus verteilt werden |
Aktualisierungen | Nicht kritische, nicht sicherheitsrelevante Fehlerbehebungen |
Upgrades | Neue Produktversionen, Versions-Upgrades und Designänderungen |
Treiber | Treiberupdates und Fehlerbehebungen von Drittanbietern |
💡 TIPP: Aktivieren Sie nur die Kategorien, die Level verwalten soll. Wenn eine Kategorie nicht aktiviert ist, werden diese Updates von Level nicht berührt – nützlich, wenn Sie Treiberupdates über einen separaten Prozess verwalten oder Upgrades vollständig zurückhalten möchten.
ℹ️ HINWEIS: Definitionsupdates (Windows Defender) können auch mit der dedizierten Windows Defender-Update Aktion. Wenn Sie beide verwenden, halten Sie Ihren Ansatz konsistent, um redundante Update-Durchläufe zu vermeiden.
Neustart nach Updates (falls erforderlich)
Wenn aktiviert, startet Level das Gerät nach der Installation von Updates neu – jedoch nur, wenn Windows einen Neustart als erforderlich meldet. Updates, die keinen Neustart benötigen, lösen keinen aus.
⚠️ WARNUNG: Dieser Neustart erfolgt ohne Aufforderung an den Endbenutzer. Verwenden Sie dies in Kombination mit einem Wartungsfenster oder kombinieren Sie es mit der Benutzer benachrichtigen Aktion vorher verwenden, wenn Benutzer möglicherweise aktiv auf dem Gerät sind.
Schleifen bis zum Abschluss
ℹ️ HINWEIS: Schleifen bis zum Abschluss erfordert Neustart nach Updates aktiviert sein. Ohne Neustarts kann die Schleife bei Updates, die einen Neustart zum Abschließen benötigen, nicht weiterlaufen.
Wenn aktiviert, durchläuft Level wiederholt den Zyklus aus Installation und Neustart, bis alle ausstehenden Updates erfolgreich installiert wurden. Nach jedem Neustart wird nach verbleibenden Updates gesucht und der Vorgang wird fortgesetzt, bis das Gerät vollständig aktuell ist.
💡 TIPP: „Schleifen bis zum Abschluss" ist die richtige Wahl beim Einrichten neuer Geräte. Windows-Endpunkte benötigen oft mehrere Neustartzyklen, um vollständig gepatcht zu werden – ein Update wird installiert, das Gerät startet neu und ein weiteres Paket wartet. Aktivieren Sie „Schleifen bis zum Abschluss" in Ihrer Onboarding-Automatisierung für neue Geräte, und es verarbeitet die gesamte Kette ohne manuellen Folgeaufwand.
Bedingungen
Der Bedingungen Abschnitt ermöglicht es Ihnen, die Ausführung dieser Aktion auf Basis von Geräteattributen oder dem Ergebnis einer vorherigen Aktion einzuschränken. Erweitern Sie den Abschnitt, um Bedingungen hinzuzufügen.
Siehe Aktionsbedingungen die vollständige Referenz zu Bedingungstypen, Operatoren und Werten.
Weitere Optionen
Erweitern Sie Weitere Optionen für zusätzliche Ausführungseinstellungen, einschließlich Aktionsname, Fehlerverhalten, Ausgabevariablen und Wiederholungsversuche.
Siehe Aktionsübersicht die vollständige Referenz zu den zusätzlichen Optionen, die für jede Aktion verfügbar sind.
Häufig gestellte Fragen
Funktioniert diese Aktion auch auf macOS oder Linux? Nein. Diese Aktion gilt nur für Windows-Geräte. Für macOS verwenden Sie die macOS-Updates installieren Aktion. Für Linux verwenden Sie die Linux-Updates installieren Aktion.
Was passiert, wenn in einer ausgewählten Kategorie keine ausstehenden Updates vorhanden sind? überspringt Level diese Kategorie lautlos und setzt fort. Die Aktion wird erfolgreich abgeschlossen, auch wenn nichts installiert wurde.
Werden Updates automatisch installiert oder sieht der Endbenutzer eine Aufforderung? Updates werden im Hintergrund automatisch installiert. Endbenutzer sehen keine Aufforderungen der Windows Update-Benutzeroberfläche. Wenn ein Neustart erforderlich ist und Neustart nach Updates ist aktiviert, startet das Gerät ohne Benutzeraufforderung neu – kombinieren Sie dies mit einer Benutzer benachrichtigen Aktion, wenn Benutzer möglicherweise aktiv sind.
Was ist der Unterschied zwischen „Sofort aktualisieren" und „Installation verzögern"? „Sofort aktualisieren" installiert passende Updates, sobald die Aktion ausgeführt wird. „Installation verzögern" hält die Updates für eine festgelegte Anzahl von Tagen ab dem Veröffentlichungsdatum zurück – nach diesem Fenster werden Updates in dieser Kategorie automatisch bereitgestellt, ohne manuelle Genehmigung. Die Verzögerung gibt Ihnen Zeit, von Problemen in der Praxis zu erfahren und ein bestimmtes Update bei Bedarf zu blockieren, ohne jeden Patch einzeln prüfen zu müssen.
Was ist der Unterschied zwischen „Neustart nach Updates" und „Schleifen bis zum Abschluss"? „Neustart nach Updates" löst einen einzelnen Neustart aus, wenn Windows einen solchen als erforderlich meldet. „Schleifen bis zum Abschluss" wiederholt den Zyklus aus Installation und Neustart, bis keine Updates mehr vorhanden sind. Der Hauptanwendungsfall für „Schleifen bis zum Abschluss" ist die Einrichtung neuer oder veralteter Geräte, die mehrere Neustartzyklen benötigen, um vollständig aktuell zu werden.
Was passiert, wenn das Gerät offline ist, wenn die Aktion ausgeführt wird? Die Aktion wird in die Warteschlange gestellt und fortgesetzt, sobald das Gerät wieder online ist.
Wer kann diese Aktion in einer Automatisierung hinzufügen oder ändern? Techniker mit der Berechtigung, Automatisierungen in der relevanten Gruppe zu bearbeiten. Siehe Arbeitsbereich → Berechtigungen zur Konfiguration der Zugriffskontrolle.