Konfigurieren von Microsoft Intune für die Verwaltung von Sicherheitspatches und Updates

Konfigurieren von Microsoft Intune für die Verwaltung von Sicherheitspatches und Updates

08.02.2025

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Konfiguration und Verwendung von Microsoft Intune helfen, um Sicherheitspatches und -updates auf Windows-Geräten effektiv zu verwalten. In einer sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft ist die Aktualisierung von Betriebssystemen und Anwendungen eine der wichtigsten Sicherheitsmaßnahmen zur Minderung von Schwachstellen und zum Schutz des Unternehmens vor Angriffen. Microsoft Intune bietet als Unified Endpoint Management (UEM)-Lösung robuste Tools zur Automatisierung und Steuerung des Update-Prozesses [1].

Einführung

Der Mangel an Sicherheitspatches und -updates ist eine der Hauptursachen für Sicherheitsverletzungen. Bekannte Schwachstellen in Betriebssystemen und Software werden häufig von Angreifern ausgenutzt, weshalb ein effizienter und automatisierter Patch-Management-Prozess unerlässlich ist. In modernen Unternehmensumgebungen mit einer verteilten Belegschaft und einer Vielzahl von Geräten wird die manuelle Aktualisierungsverwaltung unpraktisch und fehleranfällig. Hier glänzt Microsoft Intune, das eine zentralisierte Plattform für die Verwaltung und Bereitstellung von Updates auf Windows-Geräten bietet und so dafür sorgt, dass diese sicher und konform bleiben [2].

Mit Microsoft Intune können Sie verschiedene Arten von Windows-Updates verwalten, darunter Qualitätsupdates, die Sicherheits- und Nicht-Sicherheitskorrekturen bereitstellen, und Funktionsupdates, die neue Funktionen und Verbesserungen bereitstellen. Durch Update-Ring-Richtlinien und Feature-Update-Profile können Administratoren steuern, wann und wie Updates bereitgestellt werden, und so eine schrittweise Einführung ermöglichen, um Risiken zu minimieren und die Kompatibilität sicherzustellen. Darüber hinaus bietet Intune Funktionen zur Überwachung des Compliance-Status von Updates und zur Fehlerbehebung [3].

In dieser Anleitung wird das Einrichten von Update Ringen und Feature Update-Profilen in Intune, das Bereitstellen von Updates auf Windows-Geräten, das Überwachen der Update-Compliance und die Verwendung von Berichten zum Identifizieren und Beheben von Problemen behandelt. Es werden Schritt-für-Schritt-Anleitungen, praktische Beispiele und prägnante Erklärungen bereitgestellt, damit der Leser diese Funktionen implementieren, testen und validieren kann. Darüber hinaus werden Sicherheitstipps, Compliance-Prüfungen und Best Practices besprochen, um ein effektives, autonomes, professionelles und zuverlässiges Patch- und Sicherheitsupdate-Management zu gewährleisten.

Warum ist Microsoft Intune für das Patch-Management von entscheidender Bedeutung?

  • Automatisierung und Effizienz: Automatisiert die Bereitstellung von Updates, reduziert den Verwaltungsaufwand und stellt sicher, dass Geräte immer auf dem neuesten Stand sind.
  • Granulare Kontrolle: Ermöglicht Administratoren die Festlegung detaillierter Richtlinien darüber, wann, wie und auf welche Geräte Updates angewendet werden, und unterstützt so schrittweise Rollouts.
  • Erhöhte Sicherheit: Stellt sicher, dass die neuesten Sicherheitsfixes schnell angewendet werden, um Schwachstellen zu mindern und vor bekannten Exploits zu schützen.
  • Compliance: Trägt dazu bei, dass Geräte den internen Sicherheitsrichtlinien und behördlichen Anforderungen entsprechen.
  • Sichtbarkeit und Berichterstattung: Bietet Dashboards und Berichte zur Überwachung des Update-Status, zur Identifizierung nicht konformer Geräte und zur Fehlerbehebung.
  • Benutzererfahrung: Ermöglicht die Konfiguration aktiver Zeitfenster und Neustartfristen, um die Auswirkungen von Updates auf die Benutzerproduktivität zu minimieren.

Voraussetzungen

Um Microsoft Intune für die Verwaltung von Sicherheitspatches und -updates zu konfigurieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine Microsoft Intune-Lizenz (im Allgemeinen in Microsoft 365 E3/E5-, Enterprise Mobility + Security E3/E5-Abonnements enthalten) [4].
  2. Administratorzugriff: Ein Konto mit der Rolle „Globaler Administrator“ oder „Intune-Dienstadministrator“ im Microsoft Intune Admin Center („https://intune.microsoft.com“).
  3. Registrierte Windows-Geräte: Registrierte Windows 10/11-Geräteerstellt in Microsoft Intune. Geräte müssen für den Empfang von Updates von Windows Update (Windows Update for Business) konfiguriert sein [5].

Schritt für Schritt: Konfigurieren von Microsoft Intune für die Patchverwaltung

Lassen Sie uns Update-Richtlinien für Windows-Geräte konfigurieren.

1. Update-Ringe für Windows erstellen

Update-Ringe sind Richtlinien, die verwalten, wie und wann Qualitäts- und nicht sicherheitsrelevante Updates auf Geräte angewendet werden.

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Microsoft Intune Admin Center: „https://intune.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Wählen Sie im linken Navigationsbereich Geräte > Nach Plattform > Windows aus.
  4. Wählen Sie unter „Updates verwalten“ die Option „Windows Update-Ringe“ aus.

  5. Klicken Sie auf „+ Profil erstellen“.

  6. Grundlagen:

    • Name: Geben Sie einen aussagekräftigen Namen ein (z. B. „Anel_Atualizacao_Piloto_Windows“).
    • Beschreibung: Geben Sie eine klare Beschreibung an (z. B. „Update-Ring für Pilotgruppe, mit minimaler Verzögerung.“).

  7. Klicken Sie auf „Weiter“.

  8. Ringeinstellungen aktualisieren:

    • Qualitätsaktualisierungseinstellungen:
      • Wartungsstufe der Qualitätsupdates: „Allgemeiner Verfügbarkeitskanal“.
      • Aufschubzeitraum für Qualitätsupdates (Tage): „0“ (für die Pilotgruppe, um Updates so schnell wie möglich zu erhalten). Für größere Gruppen können Sie „3“ bis „7“ Tage festlegen.
      • Verzögerungszeitraum für Treiberaktualisierungen (Tage): „0“ (oder ein größerer Wert zum Testen von Treibern).
    • Einstellungen für Funktionsaktualisierungen:
      • Wartungsstufe für Funktionsaktualisierungen: „Allgemeiner Verfügbarkeitskanal“.
      • Verzögerungszeitraum für Funktionsaktualisierungen (Tage): „0“ (für Pilotgruppe). Für größere Gruppen können Sie „30“ bis „60“ Tage festlegen.
    • Einstellungen für die Endbenutzererfahrung:
      • Verhalten bei automatischen Updates: „Automatisch installieren und zum Wartungszeitpunkt neu starten“.
      • Neustart nach der Installation: „Automatischer Neustart zum Wartungszeitpunkt“.
      • Aktive Stunden: „Benutzergesteuerte aktive Stunden“.
      • Frist für den Neustart (Tage): „2“ (für die Pilotgruppe). Für größere Gruppen: 5 bis 7 Tage.

  9. Klicken Sie auf „Weiter“.

  10. Bereichs-Tags: Fügen Sie optional Bereichs-Tags hinzu. Klicken Sie auf „Weiter“.

  11. Zuweisungen: Weisen Sie diesen Update-Ring einer Azure AD-Gerätegruppe zu (z. B. „Pilot_Device_Group“).

  12. Klicken Sie auf „Weiter“.

  13. Überprüfen + erstellen: Überprüfen Sie die Einstellungen und klicken Sie auf Erstellen.

    • Erklärung: Sie sollten mehrere Update-Ringe (z. B. Pilot, Schnell, Langsam) mit unterschiedlichen Verzögerungszeiträumen erstellen, um eine schrittweise Einführung von Updates zu ermöglichen und das Risiko von Kompatibilitätsproblemen zu minimieren.

2. Erstellen von Feature-Update-Profilen für Windows (Feature-Updates für Windows 10 und höher)

Mit Feature-Update-Profilen können Sie Geräte auf eine bestimmte Windows-Version ausrichten (z. B. Windows 11 22H2).

  1. Wählen Sie im linken Navigationsbereich des Microsoft Intune Admin Center Geräte > Nach Plattform > Windows aus.
  2. Wählen Sie unter „Updates verwalten“ die Option Funktionsupdates für Windows 10 und höher aus.

  3. Klicken Sie auf „+ Profil erstellen“.

  4. Grundlagen:

    • Name: Geben Sie einen aussagekräftigen Namen ein (z. B. „Atualizacao_Recurso_Windows11_23H2“).
    • Beschreibung: Geben Sie eine klare Beschreibung an (z. B. „Windows 11 23H2-Bereitstellung auf geeigneten Geräten.“).

  5. Klicken Sie auf „Weiter“.

  6. Funktionsaktualisierungseinstellungen:

    • Zu implementierende Ressourcenversion: Wählen Sie die gewünschte Version aus (z. B. „Windows 11, Version 23H2“).
    • Verfügbarkeitsdatum: Legen Sie das Datum fest, an dem das Update für Geräte verfügbar sein wird.
    • Enddatum: Legen Sie optional ein Enddatum für das Upgrade-Angebot fest.

  7. Klicken Sie auf „Weiter“.

  8. Bereichs-Tags: Fügen Sie optional Bereichs-Tags hinzu. Klicken Sie auf „Weiter“.

  9. Zuweisungen: Weisen Sie dieses Profil einer Azure AD-Gerätegruppe zu (z. B. „Windows11_Gerätegruppe“).

  10. Klicken Sie auf „Weiter“.

  11. Überprüfen + erstellen:Überprüfen Sie die Einstellungen und klicken Sie auf Erstellen.

    • Erklärung: Dieses Profil stellt sicher, dass Geräte in der zugewiesenen Gruppe die spezifische Version von Windows 11 23H2 erhalten. Es ist wichtig, Funktionsaktualisierungen in kleineren Gruppen zu testen, bevor sie umfassend bereitgestellt werden.

3. Überwachen des Update-Status

Intune bietet Dashboards und Berichte zur Überwachung des Update-Fortschritts und der Compliance.

  1. Wählen Sie im linken Navigationsbereich des Microsoft Intune Admin Center Geräte > Nach Plattform > Windows aus.
  2. Wählen Sie unter „Updates verwalten“ die Option „Windows Update-Ringe“ aus.
  3. Klicken Sie auf den Update-Ring, den Sie überwachen möchten (z. B. „Anel_Atualizacao_Piloto_Windows“).

  4. In der Update-Ring-Übersicht können Sie den „Gerätebereitstellungsstatus“ und den „Benutzeraktualisierungsstatus“ sehen, die zeigen, wie viele Geräte konform sind, wie viele Fehler aufweisen usw.

  5. Für detailliertere Berichte wählen Sie im linken Navigationsbereich des Intune Admin Center Berichte > Windows-Updates aus.

  6. Hier finden Sie Berichte wie „Windows Update Compliance Report“ und „Windows Feature Updates Report“, um einen umfassenden Überblick über den Status von Updates in Ihrer Organisation zu erhalten.

Validierung und Tests

Es ist wichtig, Update-Richtlinien zu testen, um sicherzustellen, dass sie wie erwartet funktionieren und dass Geräte Updates korrekt erhalten.

1. Update-Ringe testen (Qualitätsupdates)

  1. Szenario: Registrieren Sie ein Test-Windows-Gerät in Intune und weisen Sie es der „Pilot_Device_Group“ zu.
  2. Erwartete Aktion: Das Gerät muss Qualitätsupdates gemäß der Richtlinie „Anel_Atualizacao_Piloto_Windows“ empfangen und installieren (mit einer Verzögerung von 0 Tagen, d. h. schnell).
  3. Verifizierung:
    • Gehen Sie auf dem Testgerät zu „Einstellungen“ > „Windows Update“ und überprüfen Sie den Update-Verlauf.
    • Überprüfen Sie im Intune Admin Center den „Device Deployment Status“ für „Anel_Atualizacao_Piloto_Windows“ und den „Windows Update Compliance Report“, um zu bestätigen, dass das Gerät kompatibel ist.
    • Befehl auf dem Gerät (PowerShell als Admin): „Powershell Get-WindowsUpdateLog „
      • Erklärung: Dieser Befehl generiert ein detailliertes Protokoll der Windows Update-Aktivitäten, das für die Fehlerbehebung nützlich ist.

2. Testen von Ressourcenaktualisierungsprofilen

  1. Szenario: Registrieren Sie ein Test-Windows-Gerät in Intune und weisen Sie es der „Windows11_Device_Group“ zu.
  2. Erwartete Aktion: Das Gerät muss das „Windows 11 Feature Update, Version 23H2“ empfangen und installieren.
  3. Verifizierung:
    • Gehen Sie auf dem Testgerät zu „Einstellungen“ > „System“ > „Info“ und überprüfen Sie die „Windows-Version“.
    • Überprüfen Sie im Intune Admin Center den „Device Deployment Status“ für das Profil „Atualizacao_Recurso_Windows11_23H2“ und den „Windows Feature Updates Report“.

Sicherheitstipps und Best Practices

  • Update-Ring-Strategie: Implementieren Sie eine stufenweise Update-Ring-Strategie (z. B. Pilot, Klein, Mittel, Groß), um Updates auf einer Untergruppe von Geräten zu testen, bevor Sie sie allgemein bereitstellen. Dadurch wird das Risiko von Unterbrechungen minimiert.
  • Wartungsfenster: Konfigurieren Sie Wartungsfenster und Neustartfristen, die die Auswirkungen auf die Benutzerproduktivität minimieren, aber sicherstellen, dass Updates rechtzeitig angewendet werden.
  • Kontinuierliche Überwachung: Überwachen Sie regelmäßig Update-Compliance-Berichte in Intune und richten Sie Warnungen für nicht konforme Geräte oder Geräte mit Update-Fehlern ein.
  • Kompatibilitätstests: Führen Sie vor der Bereitstellung wichtiger Funktionsupdates Kompatibilitätstests mit kritischen Anwendungen und Hardware in Ihrer Umgebung durch.
  • Übermittlungsoptimierung: Nutzen Sie Funktionen wie die Übermittlungsoptimierung, um den Netzwerkbandbreitenverbrauch bei der Verteilung von Updates in Ihrem Unternehmen zu reduzieren.
  • Treiberverwaltung: Seien Sie vorsichtig bei Treiberaktualisierungen. Erwägen Sie, Treiberaktualisierungen zu verzögern oder sie vor der breiten Bereitstellung umfassend zu testen, da problematische Treiber zu Abstürzen führen können.Fähigkeit im System.
  • Integration mit Microsoft Defender for Endpoint: Intune und Defender for Endpoint arbeiten zusammen, um die Endpunktsicherheit zu gewährleisten. Defender für Endpunkt kann Einblicke in Schwachstellen liefern, die mit Patches behoben werden können.

Allgemeine Fehlerbehebung

  • Geräte erhalten keine Updates:
    • Stellen Sie sicher, dass das Gerät bei Intune registriert ist und dass die Update-/Feature-Ring-Richtlinien der richtigen Gerätegruppe zugewiesen sind.
    • Überprüfen Sie auf Ihrem Gerät die Verbindung zu Windows Update. Führen Sie „wuauclt.exe /reportnow“ (für Windows 10) oder „usoclient StartScan“ (für Windows 11) über die Eingabeaufforderung aus.
    • Überprüfen Sie die Windows Update-Protokolle auf dem Gerät mit „Get-WindowsUpdateLog“ in PowerShell.
    • Überprüfen Sie die Einstellungen für „Aktive Stunden“ in Intune. Wenn das Gerät immer innerhalb der aktiven Stunden ist, wird es möglicherweise nicht neu gestartet, um Updates zu installieren.
  • Updates können nicht installiert werden:
    • Überprüfen Sie die Windows Update-Protokolle auf dem Gerät auf bestimmte Fehlercodes.
    • Stellen Sie sicher, dass auf Ihrem Gerät genügend Speicherplatz vorhanden ist.
    • Kompatibilitätsprobleme mit vorhandener Software oder Treibern können die Ursache sein. Testen Sie in einer kontrollierten Umgebung.
    • Überprüfen Sie die Netzwerkkonnektivität des Geräts mit den Windows Update-Diensten.
  • Geräte werden in Intune-Berichten nicht als konform angezeigt:
    • Es kann einige Zeit dauern, bis der Compliance-Status an Intune zurückgemeldet wird. Warten Sie ein paar Stunden.
    • Stellen Sie sicher, dass Ihr Gerät aktiv ist und mit Intune kommuniziert.
    • Stellen Sie sicher, dass dem Gerät Konformitätsrichtlinien korrekt zugewiesen sind.
  • False Positives (Gerät erscheint als nicht konform, ist aber auf dem neuesten Stand):
    • Überprüfen Sie manuell den Status der Updates auf dem Gerät. Wenn es aktuell ist, kann es zu einer Verzögerung bei der Intune-Berichterstellung kommen.
    • Starten Sie den Intune Client Management-Dienst auf dem Gerät neu („net stop dmwappushservice && net start dmwappushservice“).

Fazit

Microsoft Intune ist ein unverzichtbares Tool zur Verwaltung von Sicherheitspatches und -updates in Windows-Umgebungen. Durch die Automatisierung der Bereitstellung von Qualitäts- und Funktionsupdates und die Bereitstellung einer detaillierten Kontrolle über den Prozess ermöglicht Intune Unternehmen, ihre Geräte sicher zu halten und den neuesten Schutzmaßnahmen vor Cyber-Bedrohungen zu entsprechen. Die Implementierung einer Update-Ring-Strategie zusammen mit kontinuierlicher Überwachung und proaktiver Problemlösung ist entscheidend für die Gewährleistung einer stabilen IT-Umgebung. Mit diesem praktischen Leitfaden sind Sicherheitsexperten und IT-Administratoren bestens gerüstet, um Microsoft Intune zu konfigurieren, zu validieren und zu verwalten, ihre Endpunktsicherheit zu stärken und die Vermögenswerte ihrer Organisation zu schützen.

Referenzen:

[1] Microsoft Learn. Verwalten Sie Windows-Softwareupdates in Intune. Verfügbar unter: https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] Microsoft Learn. Was ist Microsoft Intune?. Verfügbar unter: https://learn.microsoft.com/pt-br/intune/overview [3] Microsoft Learn. Verwalten Sie Windows-Updates mit Intune. Verfügbar unter: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] Microsoft Learn. Microsoft Intune-Lizenzierung. Verfügbar unter: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] Microsoft Learn. Richten Sie Windows-Update-Ringe in Intune ein. Verfügbar unter: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] Microsoft Learn. Konfigurieren Sie Funktionsupdates für Windows 10 und höher in Intune. Verfügbar unter: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updates [7] Microsoft Learn. Windows Update-Berichte in Intune. Verfügbar unter: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports