Patch Management
Die Verwaltung von Windows Updates (Quality und Feature Updates) nach den Concat Best Practices.
Concat Standard: Unser primärer Standard für das Patch Management ist Windows Autopatch, vorausgesetzt der Kunde verfügt über die benötigten Lizenzen (Microsoft 365 E3/E5 oder Windows Enterprise E3/E5). Nur wenn diese Lizenzen nicht vorliegen, werden manuelle Update-Ringe konfiguriert.
1. Windows Autopatch (Der Concat Standard)
Windows Autopatch automatisiert den gesamten Update-Prozess für Windows, Microsoft 365 Apps, Microsoft Edge und Teams. Es entlastet die IT massiv von manuellen Freigabeprozessen.
- Automatische Registrierung: Alle verwalteten, berechtigten Geräte werden automatisch beim Service registriert.
- Automatisches Ring-Management: Autopatch verwaltet eigenständig 4 Deployment Rings (Test, First, Fast, Broad) und verteilt die Geräte dynamisch.
- Monitoring & Reporting: Überwachung und Fehlerbehebung erfolgen zentral über den Autopatch Quality Report im Intune Admin Center.
- Rollback & Pause: Bei fehlerhaften Updates kann der Rollout per Knopfdruck pausiert oder zurückgerollt werden.
2. Manuelle Update-Ringe (Fallback ohne E3)
Für Kunden ohne E3/E5-Lizenzierung greift die manuelle Konfiguration von Windows 10/11 Update-Ringen.
| Ring | Zielgruppe | Deferral (Quality) | Deferral (Feature) | Deadline |
|---|---|---|---|---|
| Pilot | IT-Team + Early Adopter | 0 Tage | 0 Tage | 3 Tage |
| Fast | Technik-affine User (10-20%) | 7 Tage | 14 Tage | 5 Tage |
| Broad | Alle anderen User (80%) | 14 Tage | 30 Tage | 7 Tage |
Update-Ring-Strategie
Achtung bei Feature Updates: Bei manuellen Update-Ringen müssen Feature Updates immer zuerst im Pilot Ring getestet und mindestens 2 Wochen beobachtet werden, bevor der Broad Ring freigegeben wird.
Treiber- und Firmware-Updates (Driver Patches)
- Treiber- und Firmware-Updates (z. B. BIOS/UEFI-Updates von OEM-Herstellern) sind ein essenzieller Bestandteil der Systemsicherheit und Stabilität.
- Via Autopatch: Sofern Autopatch im Einsatz ist, kümmert sich der Service automatisch um die Freigabe und Verteilung von empfohlenen Treiber-Updates in den entsprechenden Ringen.
- Via Intune Driver Update Management: Bei manueller Verwaltung werden separate Richtlinien für Treiber-Updates erstellt, die zeitlich an die oben definierten Update-Ringe gekoppelt sind. So wird verhindert, dass fehlerhafte OEM-Treiber einen flächendeckenden Ausfall (Bluescreens) verursachen.
Wartungsfenster & Neustart-Verhalten
Egal ob Autopatch oder manuell, folgende Vorgaben gelten für das Benutzererlebnis (User Experience):
- Quality Updates: Installation vorzugsweise im Hintergrund (Dienstag-Nacht nach dem Patch Tuesday).
- Active Hours: Neustarts während der konfigurierten Nutzungszeit (z. B. 08:00 - 18:00 Uhr) werden unterdrückt.
- Restart Grace Period: Nach Ablauf der Deadline hat der Benutzer eine Toleranzzeit (Grace Period) von 48 Stunden, in der Neustarts verschoben werden können, bevor der Reboot erzwungen wird.
Out-of-Band (OOB) Patches: Bitte beachte, dass unplanmäßige Notfall-Patches (Out-of-Band Updates), die von Microsoft außerhalb des regulären Patch Tuesdays veröffentlicht werden, von den automatisierten Routinen (Autopatch / Update Ringe) standardmäßig nicht unterstützt werden. Diese erfordern bei kritischen Zero-Day-Lücken ein manuelles Eingreifen (z. B. beschleunigtes Deployment via Intune Expedited Updates) und sind nicht Teil des regulären automatisierten Ablaufs.