Einführung
Installieren Sie ausstehende Windows-Updates auf verwalteten Geräten über eine Automatisierung. Verwenden Sie diese Aktion, um die Patch-Compliance nach einem Zeitplan durchzusetzen, Push-Updates als Reaktion auf eine neue Geräteregistrierung oder stellen Sie Updates nach dem Öffnen eines Wartungsfensters bereit.
Windows-Updates installieren
Klicken Sie in der Automatisierungspipeline im Bearbeitungsmodus auf + Aktion hinzufügen und wählen Sie Windows-Updates installieren aus der Kategorie Sicherheit. Das Aktionspanel öffnet sich mit zwei Abschnitten: Aktionstyp (auf Windows-Updates installieren voreingestellt) und Schrittskonfiguration.
Update-Kategorien konfigurieren
Klicken Sie auf Update-Kategorien konfigurieren, um das Panel Windows-Patch-Management-Kategorien zu öffnen. Dies steuert, welche Arten von Updates Level installiert und wie jeder zeitlich abgestimmt wird.
Jede Kategorie hat zwei Einstellungen:
Zeitablauf — Entweder Sofort aktualisieren oder Installation verzögern.
Tage — Wie viele Tage vor der Installation gewartet werden soll (nur aktiv, wenn Installation verzögern ausgewählt ist).
Wie Verzögerung funktioniert: Wenn Sie eine Kategorie auf Installation verzögern konfigurieren, überspringt Level alle Updates in dieser Kategorie, bis sie mindestens so lange verfügbar sind. Sobald das Fenster verstricht, wird das Update automatisch beim nächsten Ausführen der Aktion installiert — keine manuelle Genehmigung erforderlich.
Dies ist beabsichtigt. Viele Patch-Management-Tools verlangen von Ihnen, jedes Update einzeln zu überprüfen und zu genehmigen, bevor es bereitgestellt wird. Dies erzeugt einen ständigen Rückstau von Genehmigungsaufgaben für Updates, die fast immer gut laufen. Levels Modell: Legen Sie ein Verzögerungsfenster fest, das Ihnen Zeit gibt, von Problemen in der Praxis zu hören, und lassen Sie dann Updates automatisch ausrollen. Bei der überwiegenden Mehrheit der Patches verstreicht das Fenster ruhig und sie werden bereitgestellt, ohne dass Sie sie jemals berühren. Bei dem seltenen problematischen Update blockieren Sie es global, bevor die Verzögerung abläuft — und es bleibt blockiert, bis Sie es freigeben.
💡 TIPP: Wenn Sie eine zusätzliche Sicherheitsebene vor dem umfassenden Rollout wünschen, richten Sie zunächst eine kleine Gruppe von Test-Geräten ein. Markieren Sie diese Geräte (z. B. canary) und führen Sie diese Aktion mit einer kürzeren oder gar keiner Verzögerung für diese Gruppe aus. Wenn nach einigen Tagen keine Probleme auftreten, werden die gleichen Aktion für Ihre breiteren Gruppen die Updates abholen, sobald ihr Verzögerungsfenster verstricht — kein doppelter Aufwand erforderlich.
Die verfügbaren Kategorien sind:
Kategorie | Beschreibung |
Kritische Updates | Nicht-Sicherheits-kritische Fehler, die Kompatibilität, Leistung oder Interoperabilität beeinflussen |
Sicherheitsupdates | Produktspezifische Schwachstellen |
Definitionsupdates | Virus- und Definitionsdateien für Windows Defender |
Update-Rollups | Kumulative Sicherheitsupdates, kritische Updates und Hotfixes für spezifische Windows-Bereiche |
Service Packs | Kumulative Updates, Designänderungen und Funktionen für Microsoft-Produkte |
Tools | Dienstprogramme und Funktionen zur Aufgabenerfüllung |
Feature Packs | Funktionalität, die außerhalb des normalen Produktfreigabezyklus verteilt wird |
Updates | Nicht-kritische, nicht-Sicherheits-Bug-Fixes |
Upgrades | Neue Produktfreigaben, Versionsupdates und Designänderungen |
Treiber | Updates und Bug-Fixes für Drittanbieter-Treiber |
💡 TIPP: Aktivieren Sie nur die Kategorien, die Level verwalten soll. Das Belassen einer Kategorie ohne Häkchen bedeutet, dass Level diese Updates nicht berührt — nützlich, wenn Sie Treiber-Updates durch einen separaten Prozess verwalten oder Upgrades ganz halten möchten.
ℹ️ HINWEIS: Definitionsupdates (Windows Defender) können auch mit der dedizierten Aktion Windows Defender-Update verwaltet werden. Wenn Sie beide verwenden, halten Sie Ihren Ansatz konsistent, um redundante Update-Ausführungen zu vermeiden.
Neustart nach Updates (falls erforderlich)
Wenn aktiviert, startet Level das Gerät nach der Installation von Updates neu — aber nur, wenn Windows signalisiert, dass ein Neustart erforderlich ist. Updates, die keinen Neustart benötigen, lösen keinen aus.
⚠️ WARNUNG: Dieser Neustart erfolgt ohne Aufforderung des Endbenutzers. Verwenden Sie dies in Kombination mit einem Wartungsfenster oder koppeln Sie es mit der Aktion Benutzer benachrichtigen vor, wenn Benutzer auf dem Gerät aktiv sein könnten.
Schleife bis zum Abschluss
ℹ️ HINWEIS: Schleife bis zum Abschluss setzt voraus, dass Neustart nach Updates aktiviert ist. Ohne Neustarts kann die Schleife nicht über Updates hinaus fortschreiten, die einen benötigen, um zu beenden.
Wenn aktiviert, durchläuft Level weiterhin Installation und Neustart, bis alle ausstehenden Updates erfolgreich installiert sind. Nach jedem Neustart prüft es auf verbleibende Updates und fährt fort, bis das Gerät vollständig aktuell ist.
💡 TIPP: Die Schleife bis zum Abschluss ist die richtige Wahl bei der Bereitstellung neuer Geräte. Windows-Endpunkte benötigen oft mehrere Neustartzyklen, um vollständig gepatcht zu werden — ein Update installiert sich, startet neu und offenbart einen anderen Batch, der wartet. Aktivieren Sie die Schleife bis zum Abschluss bei Ihrer Onboarding-Automatisierung für neue Geräte, und sie verwaltet die ganze Kette ohne manuelle Nachverfolgung.
Bedingungen
Der Abschnitt Bedingungen ermöglicht es Ihnen, einzuschränken, wann diese Aktion basierend auf Geräteattributen oder dem Ergebnis einer vorherigen Aktion ausgeführt wird. Erweitern Sie den Abschnitt, um Bedingungen hinzuzufügen.
Siehe Aktionsbedingungen für die vollständige Referenz zu Bedingungstypen, Operatoren und Werten.
Zusätzliche Optionen
Erweitern Sie Zusätzliche Optionen für zusätzliche Ausführungseinstellungen, einschließlich Aktionsname, Fehlverhalten, Ausgabevariablen und Wiederholungen.
Siehe Aktionsübersicht für die vollständige Referenz zu zusätzlichen Optionen, die für jede Aktion verfügbar sind.
FAQ
Funktioniert diese Aktion auf macOS oder Linux? Nein. Diese Aktion gilt nur für Windows-Geräte. Für macOS verwenden Sie die Aktion macOS-Updates installieren. Für Linux verwenden Sie die Aktion Linux-Updates installieren.
Was passiert, wenn es in einer ausgewählten Kategorie keine ausstehenden Updates gibt? Level überspringt diese Kategorie stillschweigend und fährt fort. Die Aktion wird erfolgreich abgeschlossen, auch wenn nichts installiert wurde.
Werden Updates stillschweigend installiert oder sieht der Endbenutzer eine Aufforderung? Updates werden stillschweigend im Hintergrund installiert. Endbenutzer sehen keine Windows Update-UI-Aufforderungen. Wenn ein Neustart erforderlich ist und Neustart nach Updates aktiviert ist, startet das Gerät ohne Benutzereingabe neu — koppeln Sie es mit einer Aktion Benutzer benachrichtigen wenn Benutzer aktiv sein könnten.
Was ist der Unterschied zwischen "Sofort aktualisieren" und "Installation verzögern"? Sofort aktualisieren installiert passende Updates, sobald die Aktion ausgeführt wird. Installation verzögern hält an für eine festgelegte Anzahl von Tagen ab dem Zeitpunkt der Veröffentlichung des Updates — nach diesem Fenster werden Updates in dieser Kategorie automatisch ohne manuelle Genehmigung bereitgestellt. Die Verzögerung gibt Ihnen Zeit, von Problemen in der Praxis zu hören und ein bestimmtes Update bei Bedarf zu blockieren, ohne Sie zu zwingen, jeden Patch einzeln zu überprüfen.
Was ist der Unterschied zwischen "Neustart nach Updates" und "Schleife bis zum Abschluss"? Der Neustart nach Updates löst einen einzelnen Neustart aus, wenn Windows signalisiert, dass einer erforderlich ist. Die Schleife bis zum Abschluss durchläuft weiterhin Installation und Neustart, bis keine Updates mehr vorhanden sind. Der Hauptanwendungsfall für die Schleife bis zum Abschluss ist die Bereitstellung neuer oder veralteter Geräte, die mehrere Neustartzyklen benötigen, um vollständig aktuell zu sein.
Was passiert, wenn das Gerät offline ist, wenn die Aktion ausgeführt wird? Die Aktion wird in die Warteschlange eingereiht und fortgesetzt, sobald das Gerät wieder online ist.
Wer kann diese Aktion in einer Automatisierung hinzufügen oder ändern? Techniker mit Berechtigung zum Bearbeiten von Automatisierungen in der relevanten Gruppe. Siehe Arbeitsbereich → Berechtigungen für die Zugriffskontrollkonfiguration.