Installieren Sie ausstehende Windows-Updates auf verwalteten Geräten über die Automatisierung. Verwenden Sie diese Aktion, um die Patch-Compliance nach einem Zeitplan zu erzwingen, Updates als Reaktion auf die Registrierung neuer Geräte bereitzustellen oder Updates nach dem Öffnen eines Wartungsfensters bereitzustellen.
Windows-Updates installieren
Klicken Sie in der Automatisierungs-Pipeline im Bearbeitungsmodus auf + Aktion hinzufügen und wählen Sie Windows-Updates installieren aus der Kategorie Sicherheit. Das Aktionsfenster wird mit zwei Abschnitten geöffnet: Aktionstyp (vorab auf Windows-Updates installieren eingestellt) und Schrittekonfiguration.
Aktualisierungskategorien konfigurieren
Klicken Sie auf Aktualisierungskategorien konfigurieren, um das Fenster Windows-Patch-Management-Kategorien zu öffnen. Dies steuert, welche Arten von Updates Level installiert und wie jede zeitlich abgestimmt wird.
Jede Kategorie hat zwei Einstellungen:
Zeitplan — Entweder Sofort aktualisieren oder Installation verzögern.
Tage — Wie viele Tage vor der Installation gewartet werden sollen (nur aktiv, wenn Installation verzögern ausgewählt ist).
So funktioniert die Verzögerung: Wenn Sie eine Kategorie so konfigurieren, dass Installation verzögert wird, überspringt Level alle Updates in dieser Kategorie, bis sie mindestens so viele Tage lang verfügbar sind. Nach Ablauf des Fensters wird das Update automatisch bei der nächsten Ausführung der Aktion installiert — keine manuelle Genehmigung erforderlich.
Dies ist beabsichtigt. Viele Patch-Management-Tools zwingen Sie, jedes Update einzeln vor der Bereitstellung zu überprüfen und zu genehmigen. Dies erzeugt eine konstante Rückstandsliste von Genehmigungsaufgaben für Updates, die fast immer perfekt funktionieren. Levels Modell: Legen Sie ein Verzögerungsfenster fest, das Ihnen Zeit gibt, von Problemen zu erfahren, und lassen Sie dann Updates automatisch ausführen. Bei der großen Mehrheit der Patches verstreicht das Fenster stillschweigend und sie werden bereitgestellt, ohne dass Sie sie jemals berühren. Bei dem seltenen problematischen Update blockieren Sie es global, bevor die Verzögerung abläuft — und es bleibt blockiert, bis Sie es freigeben.
💡 TIPP: Wenn Sie eine zusätzliche Sicherheitsebene vor einer breiten Bereitstellung möchten, zielt zunächst auf eine kleine Gruppe von Testgeräten ab. Markieren Sie diese Geräte (z. B. canary) und führen Sie diese Aktion für diese Gruppe mit einer kürzeren oder keiner Verzögerung aus. Wenn nach ein paar Tagen keine Probleme auftreten, werden die gleichen Aktionen für Ihre größeren Gruppen die Updates abholen, sobald ihr Verzögerungsfenster verstrichen ist — keine doppelte Arbeit erforderlich.
Die verfügbaren Kategorien sind:
Kategorie | Beschreibung |
Kritische Updates | Nicht-Sicherheits-kritische Fehler, die Kompatibilität, Leistung oder Interoperabilität beeinflussen |
Sicherheitsupdates | Produktspezifische Sicherheitslücken |
Definitionsupdates | Virus- und Definitionsdateien für Windows Defender |
Update-Rollups | Kumulative Sicherheitsupdates, kritische Updates und Hotfixes für bestimmte Windows-Bereiche |
Service Packs | Kumulative Updates, Designänderungen und Funktionen für Microsoft-Produkte |
Werkzeuge | Dienstprogramme und Funktionen zur Aufgabenvollendung |
Feature Packs | Funktionen, die außerhalb des normalen Produktveröffentlichungszyklus verteilt werden |
Updates | Nicht-kritische, nicht-sicherheitsbezogene Fehlerbehebungen |
Upgrades | Neue Produktveröffentlichungen, Versionsupdates und Designänderungen |
Treiber | Dritten-Treiber-Updates und Fehlerbehebungen |
💡 TIPP: Aktivieren Sie nur die Kategorien, die Level verwalten soll. Wenn Sie eine Kategorie nicht markieren, werden diese Updates von Level nicht berührt — nützlich, wenn Sie Treiber-Updates über einen separaten Prozess verwalten oder Upgrades vollständig zurückhalten möchten.
ℹ️ HINWEIS: Definitionsupdates (Windows Defender) können auch mit der dedizierten Aktion Windows Defender Update verwaltet werden. Wenn Sie beide verwenden, halten Sie Ihren Ansatz konsistent, um redundante Update-Ausführungen zu vermeiden.
Nach Updates neu starten (falls erforderlich)
Wenn aktiviert, startet Level das Gerät nach der Installation von Updates neu — aber nur, wenn Windows signalisiert, dass ein Neustart erforderlich ist. Updates, die keinen Neustart benötigen, lösen keinen aus.
⚠️ WARNUNG: Dieser Neustart erfolgt ohne Benachrichtigung des Endbenutzers. Verwenden Sie dies zusammen mit einem Wartungsfenster oder kombinieren Sie es mit der Aktion Benutzer benachrichtigen vorher, wenn Benutzer auf dem Gerät aktiv sein könnten.
Bis zum Abschluss schleifen
ℹ️ HINWEIS: Bis zum Abschluss schleifen erfordert, dass Nach Updates neu starten aktiviert ist. Ohne Neustarts kann die Schleife nicht über Updates hinausgehen, die einen zum Abschluss benötigen.
Wenn aktiviert, fährt Level fort zu zyklisieren zwischen Installation und Neustart, bis alle ausstehenden Updates erfolgreich installiert wurden. Nach jedem Neustart überprüft es verbleibende Updates und fährt fort, bis das Gerät vollständig aktuell ist.
💡 TIPP: Bis zum Abschluss schleifen ist die richtige Wahl bei der Bereitstellung neuer Geräte. Windows-Endpunkte benötigen oft mehrere Neustartzyk len, um vollständig gepatcht zu werden — ein Update wird installiert, wird neu gestartet und zeigt einen weiteren Batch in Warteschlange. Aktivieren Sie Bis zum Abschluss schleifen bei Ihrer Automatisierung zum Onboarding neuer Geräte und es verwaltet die gesamte Kette ohne manuelle Nachverfolgung.
Bedingungen
Der Abschnitt Bedingungen ermöglicht es Ihnen, einzuschränken, wann diese Aktion basierend auf Geräteattributen oder dem Ergebnis einer vorherigen Aktion ausgeführt wird. Erweitern Sie den Abschnitt, um Bedingungen hinzuzufügen.
Siehe Aktionsbedingungen für die vollständige Referenz zu Bedingungstypen, Operatoren und Werten.
Zusätzliche Optionen
Erweitern Sie Zusätzliche Optionen für Ausführungseinstellungen einschließlich Aktionsname, Fehlerverhalten, Ausgabevariablen und Wiederholungen.
Siehe Aktionsübersicht für die vollständige Referenz zu zusätzlichen Optionen, die für jede Aktion verfügbar sind.
FAQ
Funktioniert diese Aktion auf macOS oder Linux? Nein. Diese Aktion gilt nur für Windows-Geräte. Verwenden Sie für macOS die Aktion macOS-Updates installieren. Verwenden Sie für Linux die Aktion Linux-Updates installieren.
Was passiert, wenn in einer ausgewählten Kategorie keine ausstehenden Updates vorhanden sind? Level überspringt diese Kategorie stillschweigend und fährt fort. Die Aktion wird erfolgreich abgeschlossen, auch wenn nichts installiert wurde.
Werden Updates automatisch installiert oder sieht der Endbenutzer eine Eingabeaufforderung? Updates werden automatisch im Hintergrund installiert. Endbenutzer sehen keine Windows Update-Eingabeaufforderungen. Wenn ein Neustart erforderlich ist und Nach Updates neu starten aktiviert ist, startet das Gerät ohne Benutzereingabeaufforderung neu — kombinieren Sie dies mit einer Aktion Benutzer benachrichtigen, wenn Benutzer aktiv sein könnten.
Was ist der Unterschied zwischen „Sofort aktualisieren" und „Installation verzögern"? Sofort aktualisieren installiert entsprechende Updates, sobald die Aktion ausgeführt wird. Installation verzögern hält für eine festgelegte Anzahl von Tagen an, nachdem das Update veröffentlicht wurde — nach diesem Fenster werden Updates in dieser Kategorie ohne manuelle Genehmigung automatisch bereitgestellt. Die Verzögerung gibt Ihnen Zeit, von Problemen zu erfahren und ein bestimmtes Update bei Bedarf zu blockieren, ohne jede Patch einzeln überprüfen zu müssen.
Was ist der Unterschied zwischen „Nach Updates neu starten" und „Bis zum Abschluss schleifen"? Nach Updates neu starten löst einen einzelnen Neustart aus, wenn Windows signalisiert, dass einer erforderlich ist. Bis zum Abschluss schleifen fährt fort zu zyklisieren zwischen Installation und Neustart, bis keine Updates mehr vorhanden sind. Der Hauptanwendungsfall für Bis zum Abschluss schleifen ist die Bereitstellung neuer oder veralteter Geräte, die mehrere Neustartzyklen benötigen, um vollständig aktuell zu sein.
Was passiert, wenn das Gerät offline ist, wenn die Aktion ausgeführt wird? Die Aktion wird in die Warteschlange gestellt und wird fortgesetzt, sobald das Gerät wieder online ist.
Wer kann diese Aktion in einer Automatisierung hinzufügen oder ändern? Techniker mit Berechtigung, Automationen in der relevanten Gruppe zu ändern. Siehe Arbeitsbereich → Berechtigungen für die Zugriffskontrollkonfiguration.