Windows update для бизнеса

Let’s talk about Windows Update for Business. Windows updates are one of the significant responsibilities of a Windows systems administrator. Without updates, you leave your systems vulnerable to attacks, bugs, and merely staying behind.

The question is: How do you manage Windows updates in the ever-changing landscape that is the “always on the go” office of today?

Well, there are a few options:

• Option 1: Just let Windows handle it. This sounds automatic and great. But if you have an update that is incompatible with your workforce, 100% of your users are going to be calling you saying that their Windows 10 is broken. Its best to leave automatic updating for the “one-off” machines in your environment, but not the majority.
• Option 2: Windows Server Update Services (WSUS). Upsides? It’s been around for a while, and it works. It remains a good option if you have a traditional brick and mortar business and also have the administrative staff to manage the servers and all the testing, plus the burden to approve updates. This technique does leave out the road warriors and those always on the go.
• Option 3: What if there were something in-between “total automatic updates” and “manually managing each update”?

Introduction to Windows Update for Business

Enter Windows Updates for Business or WuFB (pronounced WOOF-be.. yes, really !).

Windows Update for Business allows an administrator to define Windows Update servicing rings. These are admin-defined groups of machines where you can pre-test some updates and decide how quickly they receive updates.

A typical set of rings would include:

Your “testing” ring: This ring would have no delay in updates. As soon as they are released, a ring of initial computers would receive the updates to test. Just like your manual testing group in WSUS, but it is automatic. Your “pilot” / “canary” ring: The next ring would include a few more systems, a broader deployment group, but still a smaller subset of a larger group of systems. This group would be set to defer the updates for a few days after the initial group would receive the updates. Your “rollout” ring: typical third ring in the set would be the remainder of the systems in that grouping. This ring would be set to defer and install a few days after your second ring.
How do you set up and apply these rings to Windows 10 computers? Through GPO, of course.

What’s the best practice to select which Windows 10 computers should end up in what ring? You can take some volunteers that are more tech-savvy for your “testing” ring. But it’s a good idea to, generally, put your most forgiving people in the “testing” ring, but you also need a broad enough sample to represent your whole company’s Windows 10 population.

So why rings? These rings allow an automated way of pushing out updates to test groups and pausing them if something doesn’t sit well with your environment.

You can pause (really, defer) updates for each of your rings for 35 days with just the simple check of a box.

This gives the ability to pause or defer updates like WSUS but without clients having to talk to the WSUS server to approve and download updates.

Why is this beneficial? Using WuFB automates the update process for those who don’t either have the staff or the resources to manage a WSUS or SCCM environment. It automatically runs until you realize there is some problem, which you can react to; instead of testing every configuration with every patch from WSUS. So, you get the best of both worlds.

Setting Up and Building Out WuFB Rings

Let’s take a look at some Windows Update for Business rings that you can use in your environment.

You can have as many rings as you want/need for your environment, but a typical deployment might have three rings for each group of computers. Something that looks like this:

Картинка с сайта: www.policypak.com

Let’s see how to create a ring or two

In this example, I have gone into the GPMC. I am going to make three GPOs, one for each ring for my OU of Computers in Engineering. The policy settings for WuFB are Computer side settings.

I’ll call these GPOs:

CP-WUFB-Testing: This ring will be the group of your initial testing computers that you selected.CP-WUFB-Pilot: This ring will contain a broader group of your testing computers.CP-WUFB-Rollout: This ring will contain the rest of the production machines for the Engineering OU.

This corresponds to the graphic earlier, where I’m putting some portion of my population into each group. So the Engineering computers in the Central OU will be my first to get the Windows Update for Business settings.

Картинка с сайта: www.policypak.com

Note that in our examples, we’re creating rings only for the Engineering computers. You should likely do this same procedure for your other key OUs; for instance, in my example Sales, Production, Corporate, and so on.

After you create the GPOs, each of the rings will be controlled by regular Active Directory Security Groups. Group Policy Security Filtering will apply to GPO to the Testing, Pilot, and Rollout rings depending on group membership.

Groups are one way to apply the rings. Different OUs for each ring would be another option.

Now let’s take a look at the Windows Update for Business settings themselves.

They are located under Computer Configuration |Administrative Templates | Windows Components | Windows Update | Windows Update for Business

Preview Builds and Feature Updates

First, we configure the Select when Preview Builds and Feature Updates are received policy setting. You can see this policy setting here.

Картинка с сайта: www.policypak.com

This policy setting controls what Release Channel the Computers should use. The Release Channel is a whole topic in itself, but in a nutshell, it is a setting that controls receiving official production build updates or less-than-stable Insider Updates. Insider updates are Microsoft’s beta testing program.

For our testing ring, we will want them to receive these as they are released for production.

Quality Updates

The other policy setting that we will want to set is for quality updates. The policy setting is called Select when Quality Updates are received. This will set up our acceptance of your monthly security and quality roll-up updates. Again for our testing ring, you will want to make these updates available without delay.

Картинка с сайта: www.policypak.com

That settles the testing ring.

Pilot Ring

Now, what about the Pilot ring?

You’ll repeat the process, but you’ll be setting up your Pilot ring, so it is delayed by a few days. Before you get started to set the policy settings, first use the standard Group Policy security filtering to set the computers, which will be in the Pilot ring.

Картинка с сайта: www.policypak.com

Simply edit the GPO and set the same policies, with slightly different values, to increase the delay before they get the updates.

The Pilot ring should also be on the Semi-Annual release schedule, but this time we will delay feature and build updates for 7 days, like this.

Картинка с сайта: www.policypak.com

However, we will move a little faster with Quality Updates as we can only defer them up to 30 days rather than the 365 for build/feature updates.

Картинка с сайта: www.policypak.com

Rollout Ring

And lastly we will take a quick look at the Rollout ring update settings:

Again these will be governed by the slow ring group. Again, create the GPO then filter by group membership.

Картинка с сайта: www.policypak.com

Here we will delay feature and Build updates by 30 days. To give us plenty of time to make sure the testing and pilot rings are operating fine.

Картинка с сайта: www.policypak.com

Quality Updates for the Rollout ring we will be set to defer7 days to ensure that there are no issues with the testing and the Pilot rings.

Картинка с сайта: www.policypak.com

We all know that any company is not perfect, and Microsoft is no exception. So what happens if an update inadvertently affects a crop of our machines?

If we discover an issue with an update in our testing ring, where a user has reported an issue after the update, and it has been confirmed, then we can pause the update from being deployed.

So imagine that “Patch Tuesday” has come and gone, and “Oh my!” we have discovered that the latest quality update has caused an issue in the Testing ring.

Don’t panic!

You edit the GPOs of the Pilot and Rollout rings and pause the update from installing as they usually would. You enter the date to start pausing Windows Update, like so:

Картинка с сайта: www.policypak.com

By entering a date in this field, we put Quality Updates on pause. Updates will pause for 35 days or until you clear the date box. Whichever comes first.

This allows you to test the update further or remediate any other issues in the environment that might be causing issues with the updates.

Windows Update for Business GPO Issues

So what struggles are there with Windows Update for Business?

Large Environments

I alluded to it before; what happens if you have a large environment? What happens if you want more rings to stagger bandwidth usage? WuFB uses Group Policy, and this could add up to many, many GPOs.

There has to be a better way, right? There is! PolicyPak Admin Templates Manager.

How does this help? Instead of having three, or thirty GPOs, you can compress all the GPOs into (quite literally) one GPO Using PolicyPak Admin Templates Manager.

Let’s take a look at how to do this with PolicyPak Admin Templates Manager.

Instead of creating GPOs for each OU and each ring in each OU We will create our new GPO at the computer root affecting all computers.

Картинка с сайта: www.policypak.com

But inside the GPO, we won’t be affecting every computer.

Using Collections

PolicyPak Admin Templates Manager enables you to create Collections for each group.

A Collection is like a mini-GPO within the GPO! In this example, we’re creating a Collection just for our Central Engineering OU, for instance.

Картинка с сайта: www.policypak.com

As we create the collection, we can target the Central Engineering OU.

Картинка с сайта: www.policypak.com

Now that that collection is created, we can create our rings for that OU in that collection: one policy for each ring (Testing, Pilot, and Rollout.)

Here’s a finished example with all of our WuFB settings in a Collection … instead of creating a whole new GPO!

Картинка с сайта: www.policypak.com

PolicyPak Admin Templates Manager uses Item Level Targeting to apply the right policies to the right rings to the right groups of computers… Easy!

We have literally compressed what were three different GPOs with 6 policy settings into one easily managed place for managing Windows Updates for Business.

And you can keep using this same GPO and repeat the process; one new collection for each computer type, then tuck the policy settings inside for each ring.

With PolicyPak Admin Templates Manager, there’s no more digging through tons of GPOs within OUs to find what and where that Windows update Group Policy setting might be.

All the settings right here in one centralized, easy-to-manage place, in one single GPO.

To try PolicyPak Admin Templates Manager Free for 30 days, click here.

Время на прочтение9 мин

Количество просмотров26K

Отвечаете ли вы за единственный ПК с Windows 10, или за тысячи, трудности с управлением обновлениями у вас одни и те же. Ваша цель – быстро устанавливать обновления, связанные с безопасностью, по-умному работать с обновлениями компонентов, и предотвращать падение продуктивности из-за неожиданных перезагрузок

Есть ли у вашего предприятия всеобъемлющий план работы с обновлениями Windows 10? Есть соблазн считать эти скачивания периодическими помехами, от которых нужно избавляться сразу, как только они появляются. Однако реактивный подход к обновлениям – это рецепт разочарований и снижения продуктивности.

Вместо этого можно создать стратегию управления для тестирования и внедрения обновлений, чтобы этот процесс стал настолько же повседневным, как отправка счетов или ежемесячное подведение бухгалтерских итогов.

В статье указана вся информация, необходимая для понимания того, как Microsoft отправляет обновления на устройства под управлением Windows 10, а также детали по поводу инструментов и техник, которые можно использовать для умного управления этими обновлениями на устройствах под управлением Windows 10 версий Pro, Enterprise или Education. (Windows 10 Home поддерживает лишь самые базовые возможности управления обновлениями и непригодна для использования в бизнес-среде).

Но перед тем, как перейти к любому из этих инструментов, вам понадобится план.

Что написано в ваших правилах обновления?

Смысл правил обновления в том, чтобы сделать процесс обновления предсказуемым, определить процедуры предупреждения пользователей, чтобы те могли соответственно планировать свою работу и избежать неожиданного простоя. Также в правила входят протоколы обработки неожиданных проблем, включая откат с неудачно вставших обновлений.

Разумные правила обновлений отводят определённое время на работу с обновлениями ежемесячно. В небольшой организации этой цели может служить специальное окошко в графике обслуживания каждого ПК. В крупных организациях универсальные решения уже вряд ли сработают, и в них нужно будет делить всю популяцию ПК на группы обновлений (в Microsoft их называют «кольцами»), в каждой из которых будет своя стратегия обновлений.

Правила должны описывать несколько различных типов обновлений. Наиболее понятный тип – ежемесячные кумулятивные обновления безопасности и надёжности, которые выходят во второй вторник каждого месяца («вторник патчей»). В этом релизе обычно присутствует Windows Malicious Software Removal Tool, а также могут быть и любые из следующих типов обновлений:

• Обновления безопасности для .NET Framework
• Обновления безопасности для Adobe Flash Player
• Обновления стека обслуживания (которые нужно устанавливать с самого начала).

Установку любого из этих обновлений можно отложить на срок до 30 дней.

В зависимости от производителя ПК, драйверы оборудования и прошивки тоже могут распространяться по каналу Windows Update. Можно отказаться от этого или же управляться с ними по тем же схемам, что и с другими обновлениями.

Наконец, через Windows Update распространяются и обновления компонентов [feature updates]. Эти крупные пакеты обновляют Windows 10 до последней версии, и выходят каждые шесть месяцев для всех редакций Windows 10, кроме долгосрочного канала обслуживания Long Term Servicing Channel (LTSC). Отложить установку обновлений компонентов можно при помощи Windows Update for Business на срок до 365 дней; для редакций Enterprise и Education возможна дальнейшая отсрочка установки на срок до 30 месяцев.

Учитывая всё это, можно начинать составлять правила обновлений, куда должны входить следующие элементы для каждого из обслуживаемых ПК:

• Срок установки ежемесячных обновлений. По умолчанию в Windows 10 ежемесячные обновления скачиваются и устанавливаются в течение 24 часов после их выхода во «вторник патчей». Можно откладывать скачивание этих обновлений для некоторых или всех ПК в компании, чтобы у вас было время проверить их на совместимость; эта задержка также позволяет вам избежать проблем в случае, когда Microsoft обнаруживает проблему с обновлением после выхода, как это уже много раз случалось с Windows 10.
• Срок установки полугодовых обновлений компонентов. При настройках по умолчанию обновления компонентов скачиваются и устанавливаются тогда, когда Microsoft считает, что они готовы. На устройстве, которое Microsoft посчитали подходящим для обновления, обновления компонентов могут появиться через несколько дней после выхода. На других устройствах обновления компонентов могут появиться через несколько месяцев, или их вообще могут заблокировать из-за проблем с совместимостью. Можно установить задержку для некоторых или для всех ПК в организации, чтобы получить время на проверку нового релиза. Начиная с версии 1903, пользователям ПК предложат обновления компонентов, однако команды на скачивание и установку их будут давать только сами пользователи.
• Когда разрешать ПК перезапускаться для завершения установки обновлений: большая часть обновлений требует перезапуска для завершения установки. Этот перезапуск происходит вне промежутка «периода активности» с 8 до 17 часов; эту настройку можно поменять по желанию, продлив длительность интервала до 18 часов. Инструменты управления позволяют назначить определённое время для скачивания и установки обновлений.
• Как уведомлять пользователей о наличии обновлений и перезапуске: во избежание неприятных сюрпризов, Windows 10 уведомляет пользователей о наличии обновлений. Управление этими уведомлениями в настройках Windows 10 ограничено. Гораздо больше настроек доступно в «групповых политиках».
• Иногда Microsoft выпускает критически важные обновления безопасности вне обычного графика «вторников патчей». Обычно это нужно для исправления недочётов в безопасности, которыми злонамеренно пользуются третьи лица. Ускорять ли применение таких обновлений или ждать следующего окна в графике?
• Что делать с неудачными обновлениями: если обновлению не удалось встать правильно, или оно вызывает проблемы, что вы будете делать в этом случае?

Определив эти элементы, пора выбрать инструменты для работы с обновлениями.

Ручное управление обновлениями

На совсем малых предприятиях, включая магазины с единственным работником, довольно легко осуществить ручную настройку обновлений Windows. Параметры > Обновление и безопасность > Центр обновления Windows. Там можно подправить две группы настроек.

Сначала выберите «Изменить период активности» и подправьте настройки, чтобы они соответствовали вашим рабочим привычкам. Если вы обычно работаете по вечерам, можно избежать простоя, настроив эти значения с 18 до полуночи, в результате чего запланированные перезапуски будут происходить по утрам.

Затем выберите «Дополнительные параметры» и настройку «Выберите, когда устанавливать обновления», прописав её в соответствии с вашими правилами:

• Выберите, на сколько дней задерживать установку обновлений компонентов. Максимальное значение – 365.
• Выберите, на сколько дней задерживать установку обновлений качества, включая кумулятивные обновления безопасности, выходящие по «вторникам патчей». Максимальное значение – 30 дней.

Другие настройки на этой странице управляют демонстрацией уведомлений о перезапуске (включено по умолчанию) и разрешением скачивать обновления на соединениях с учётом трафика (выключено по умолчанию).

До версии Windows 10 1903 там была ещё настройка выбора канала – полугодового, или же целевого полугодового. Её убрали в версии 1903, а в более старых версиях она просто не работает.

Конечно, смысл задержки обновлений не в том, чтобы просто отлынивать от этого процесса, а потом удивить пользователей чуть позже. Если вы, к примеру, назначаете задержку установки обновлений качества на 15 дней, вам нужно использовать это время на проверку обновлений на совместимость, и запланировать в графике окошко на техобслуживание на удобное время перед тем, как этот период окончится.

Управление обновлениями через Групповые политики

Все упомянутые ручные настройки можно применять и через групповые политики, а в полном списке политик, связанных с обновлениями Windows 10, настроек куда как больше, чем тех, что доступны в обычных ручных настройках.

Их можно применять к отдельным ПК при помощи редактора локальной групповой политики Gpedit.msc, или при помощи скриптов. Но чаще всего их используют в домене Windows с Active Directory, где можно управлять комбинациями политик на группах ПК.

Значительное количество политик используется исключительно в Windows 10. Наиболее важные из них связаны с «Обновлениями Windows для бизнеса», расположенными в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Центр обновления Windows для бизнеса.

• Выберите, когда получать предварительные сборки – канал и задержки для обновлений компонентов.
• Выберите, когда получать обновления качества – задержки ежемесячных кумулятивных обновлений и других обновлений, связанных с безопасностью.
• Управляйте предварительными сборками: когда пользователь может подключить машину к программе Windows Insider и определите кольцо инсайдеров.

Дополнительная группа политик находится в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows, где можно:

• Удалить доступ к функции приостановки обновлений, что не даст пользователям мешать установке, задерживая её на 35 дней.
• Удалить доступ ко всем настройкам обновлений.
• Разрешить автоматическое скачивание обновлений на соединениях с учётом трафика.
• Не скачивать вместе с обновлениями драйвера.

Следующие установки есть только в Windows 10, и они относятся к перезапускам и уведомлениям:

• Отключить автоматическую перезагрузку для обновлений во время периода активности.
• Указать диапазон периода активности для автоматического перезапуска.
• Указать крайний срок для автоматического перезапуска с целью установки обновлений (от 2 до 14 дней).
• Настроить уведомления с напоминанием об автоматическом перезапуске: увеличить время, за которое пользователя предупреждают об этом (от 15 до 240 минут).
• Отключить уведомления об автоматическом перезапуске с целью установки обновлений.
• Настроить уведомление об автоматическом перезапуске так, чтобы оно не исчезало автоматически через 25 сек.
• Не разрешать политикам задержки получения обновлений инициировать сканирование в Центре обновления Windows: эта политика запрещает ПК проверять обновления, если назначена задержка.
• Разрешить пользователям управлять временем перезапуска и откладывать уведомления.
• Настроить уведомления об обновлениях (появление уведомлений, от 4 до 24 часов), и предупреждений о неминуемом перезапуске (от 15 до 60 минут).
• Обновление политики электропитания для перезапуска корзины (настройка для образовательных систем, позволяющая обновляться даже при питании от батареи).
• Выводить настройки уведомлений об обновлениях: позволяет запретить уведомления об обновлениях.

Следующие политики есть как в Windows 10, так и в некоторых более старых версиях Windows:

• Настройка автоматического обновления: эта группа настроек позволяет выбрать еженедельный, раз в две недели или ежемесячный график обновлений, включая день неделе и время для автоматического скачивания и установки обновлений.
• Указать размещение службы обновлений Microsoft в интрасети: настроить сервер Windows Server Update Services (WSUS) в домене.
• Разрешить клиенту присоединяться к целевой группе: администраторы могут использовать группы безопасности Active Directory для определения колец развёртывания WSUS.
• Не подключаться к расположениям Центра обновления Windows в интернете: запретить ПК, работающим с местным сервером обновления, связываться с внешними серверами обновлений.
• Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений.
• Всегда автоматически перезапускать систему в запланированное время.
• Не выполнять автоматическую перезагрузку, если в системе работают пользователи.

Инструменты работы в крупных организациях (Enterprise)

Крупные организации с сетевой инфраструктурой Windows могут обойти сервера обновления Microsoft и развёртывать обновления с местного сервера. Это требует повышенного внимания со стороны корпоративного IT-отдела, но добавляет компании гибкости. Два самых популярных варианта – это Windows Server Update Services (WSUS) и System Center Configuration Manager (SCCM).

Сервер WSUS устроен проще. Он работает в роли Windows Server и обеспечивает централизованное хранение обновлений Windows в организации. Используя групповые политики, администратор направляет ПК с Windows 10 на сервер WSUS, служащий единственным источником файлов для всей организации. С его консоли администратора можно одобрять обновления, выбирать, когда их ставить на отдельные ПК или группы ПК. ПК можно вручную привязывать к разным группам, или можно использовать выбор целей на стороне клиента для развёртывания обновлений на основе существующих групп безопасности Active Directory.

Поскольку кумулятивные обновления Windows 10 растут всё сильнее с каждым новым выпуском, они могут занимать значительную часть пропускной способности каналов связи. Сервера WSUS экономят трафик, используя Express Installation Files – это требует больше свободного места на севере, но значительно уменьшает размер файлов обновления, отправляемых на клиентские ПК.

На серверах версий WSUS 4.0 и далее можно также управлять обновлениями компонентов Windows 10.

Второй вариант, System Center Configuration Manager использует богатый по возможностям Configuration Manager for Windows совместно с WSUS для развёртывания обновлений качества и обновлений компонентов. Панель управления позволяет администраторам сети отслеживать использование Windows 10 во всей сети и создавать планы обслуживания на основе групп, включающие информацию по всем ПК, приближающимся к завершению своего цикла поддержки.

Если в организации уже установлен Configuration Manager для работы с более ранними версиями Windows, то добавить в него поддержку Windows 10 будет достаточно просто.

Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку

I would like to give you an overview of Windows Updates for Business (WUfB). I’ll show you the features it includes and the added value that Intune offers with its analytic features. With the right settings, you can replace a classic WSUS infrastructure and also save time and effort in operation.

Table of Contents

• Windows Updates for Business overview
• Configure Windows Updates for Business
  • Update Rings
  • Feature Updates
  • Quality Updates / Expedite Updates
• Reports in Intune
  • Community Tool for Reports
• Manage Updates with PowerShell

Windows Updates for Business overview

With Windows Update for Business (WUfB) and Windows Update for Business Deployment Service (WUfB DS)…
… yes, very long names 😉 But let’s not be put off by the name.

WUfB offers you a way between fully automatic updates and an environment with a WSUS where you release each update individually. In addition, you no longer need a server, all services run entirely in the cloud.

Configure Windows Updates for Business

You can change the WUfB settings completely in Intune. The analytics features are also integrated within Intune. In addition, for the analysis, there is also the way via «Windows Update for Business reports», you can find information about these directly from Microsoft on the one hand: Now generally available: Windows Update for Business reports
Or very nicely summarized and explained by Niklas Tinner: Summarized: Windows Update for Business reports

There are 3 update profile types you can configure:

• update rings
  • Postpone quality updates
  • Postpone feature updates (if no feature update profile is in use)
  • Define deadlines for quality and feature updates
• feature updates
  • Specify desired feature update status (freeze status)
• quality updates
  • Distribute emergency updates immediately and without restrictions by feature or update ring

Update Rings

With the update rings, you have the option of automating the updates and defining the time after which they are offered to the device. There is also the «Deadline Settings» function, which forces a device to carry out updates after a defined period of time and, if necessary, to force a restart.

A configuration can then look like this, for example:

Here also the configurations of the «GENERAL» update ring. I assigned this to the standard group (includes all Autopilot registered and Windows MDM managed devices) and excluded the groups for the faster rings:

If you decide to also distribute the feature updates according to the ring principle, please set the value for «Feature update deferral period» to «0».

Feature Updates

The Feature Update Policy allows you to specify which Windows version you want on which devices. You can choose up to which release Windows should be updated. The assigned release is then fixed for the device. It is also not possible to downgrade.

If you do not define any feature updates, the settings from your update rings will apply. This means that if you set 0 days for «Feature Deferral», the end devices will receive the feature update as soon as it is available for them.
Do you define under «Devices > Windows > Feature updates for Windows 10 and later» but a guideline, this is weighted more heavily than the update ring. In other words, the end device will not update itself beyond this guideline.

Below is an example configuration of the feature update rings.
In the support column you can see very quickly whether a Windows version is still supported, will end soon or is out of support.

You notice that the insider ring is missing, I did it that way on purpose, because they should always get the latest without me having to worry about the release.

Here is also the content of one of the guidelines.
You have the option of defining the following settings:

• Release (Windows 11 stands for Windows 11 22H1)
• How soon should the update be available?
  • Immediate: immediately
  • Specific Date: Date from which the update is offered to the end device
  • Gradually: Distribute the update over a certain period of time.
    (The start date must be at least two days in the future from today)
    • Groups ((Start — End) / «Days between») are automatically formed here and assigned randomly and evenly.

Quality Updates / Expedite Updates

The update ring is not optimal for every update. It may be the case that an update has to be installed immediately due to a zero-day vulnerability. That’s exactly what the Quality Updates (also called «Expedite Updates») guidelines are for, which ignores all «deferrals» and reboot restrictions.

To create it, navigate to: Devices > Windows > Quality updates for Windows 10 and later

You don’t have to do much in the directive itself. You only define a name, which CU is affected and when a restart is required.

Reports in Intune

Intune offers you reports with insight into Feature Updates and Expedite Updates. This gives you a quick overview of the update statuses in your area.
The reports only show you something if there is a corresponding policy. So if you only configured the update rings, you won’t see anything in the reports.

Very important, in order to use the feature, you must have configured the «Windows health monitoring» policy.
You create these under «Devices > Windows > Configuration profiles».
In the policy itself, you must at least enable «Windows updates».

You can find the reports at: Reports > Windows updates

When you open the reports, always press the refresh button first, otherwise the status displayed could be an old one.
After a short time you will then be shown a general overview of the stands:

You can use the Report item to display additional, granular reports.
Don’t let the «Enable Windows health…» message confuse you. This is also there if you have already distributed the policy. To generate the report, you simply have to select a policy and then the «Generate report» button becomes clickable.

After a few more seconds you will see the report with all the details:

Would you like to get a lot more out of the data from your devices and display them beautifully?
Then you will find a very nice and clear solution here: Windows Update Compliance Dashboard V8.0 — MSEndpointMgr

Manage Updates with PowerShell

You want to create your own update solution/automation based on the WUfB DS?
Yes, you can do it!

You can find out how to get started here: PowerShell for the Windows Update for Business deployment service — Microsoft Community Hub

In addition, I will go into more detail about the PowerShell / Graph possibilities with WHfB in a future post.

На новом грандиозном ИТ-мероприятии Micro­soft, Ignite, было объявлено о выпуске новой технологии обновления для бизнеса. Цель сего новшества — помочь компаниям управлять обновлениями Windows 10. Объявление о Windows Update for Business — важное событие, произошедшее в то время, когда о службе мало что было известно, кроме амбициозных планов распространения, периодов обслуживания, сведений об одноранговой доставке и интеграции с существующими инструментами. Но благодаря посещению штаб-квартиры Microsoft в Редмонде и нескольким беседам со специалистами круг моих знаний расширился. Вокруг Windows Update for Business существовало так много ложных представлений, которые даже излагались в недавно опубликованных статьях, что мне захотелось разобраться во всем самому.

Ко времени объявления о Windows Update for Business операционная система Windows 10 оставалась на начальных стадиях развития в рамках бета-программы Windows Insider и еще не имела официального статуса. Но по сравнению с Windows 10 того времени служба Windows Update for Business находилась едва ли в младенческом возрасте. В Microsoft мне рассказали, что сама идея Windows Update for Business появилась всего за пару недель до объявления на мероприятии Ignite. За прошедший после этого месяц у разработчиков Microsoft было дополнительное время для совершенствования планов в отношении Windows Update for Business. Но, как и сама Windows 10, проект продолжит развиваться.

Сразу надо пояснить, что Windows Update for Business — не продукт. То, что заявление было сделано на конференции Ignite, и способ объявления представлялись явным указанием на то, что Microsoft работает над выпуском настоящего продукта. И это первое заблуждение, которое, похоже, охватило нас всех.

Поэтому, несмотря на публикации и слухи, продукт Windows Update for Business не будет выпущен в этом году.

Windows Update for Business — это набор компонентов в составе Windows 10, призванный усовершенствовать процесс обновления в соответствии с новой моделью «Windows как служба». Частота и скорость обновлений операционной системы Windows 10 увеличились, поэтому Microsoft нуждается в решении, которое помогло бы компаниям управлять обновлениями. С появлением Windows 10 значительно изменился способ доставки компонентов самой операционной системы, поэтому необходимо изменить и способы применения дополнительных обновлений.

Два компонента Windows Update for Business уже доступны в открытой сборке Windows 10. Таким образом, заложена основа для дополнительной функциональности в будущем.

Что можно использовать сегодня

Два компонента Windows Update for Business реализованы в Windows 10, и в следующем крупном обновлении, которое должно быть выпущено в 2015 году, их число увеличится.

Доступные на сегодня компоненты:

1. Defer updates (часть плана обслуживания Current Branch for Business). Когда вы откладываете обновления, новые компоненты Windows не загружаются и не устанавливаются в течение нескольких месяцев, при этом обновления безопасности не затрагиваются. Обратите внимание, что задержка обновлений не позволит получить новейшие функции Windows сразу после их появления.
2. Windows Update Delivery Optimization (одноранговый механизм обновления). Windows Update Delivery Optimization позволяет получать обновления Windows и приложения Windows Store из других источников, помимо Microsoft. В результате можно будет быстрее получать обновления и приложения через ограниченные или ненадежные интернет-соединения. Владельцы двух или нескольких компьютеров смогут снизить полосу пропускания сети, необходимую для обновления всех компьютеров. Delivery Optimization также передает обновления и приложения с одного компьютера на другой по локальной сети или через Интернет.

Эти два компонента выглядят довольно скромно, но они составляют основу плана Microsoft.

Целевая аудитория

Компоненты Windows Update for Business будут доступны для использования в редакциях Windows 10 Pro и Корпоративная, подключенных к домену и управляемых через существующие решения доставки исправлений на основе WSUS (то есть WSUS, Enterprise Mobility Suite, System Center Configuration Manager и т. д.). Windows Update for Business предназначается на клиентов из сферы бизнеса, которым нужны более проработанные средства управления обновлениями Windows 10.

Планы на будущее

Как и Windows 10, компоненты для Windows Update for Business постоянно совершенствуются. Дополнительные функции должны появиться в ноябре, когда будет готово следующее крупное обновление Windows 10. Пока не ясно, как много дополнительных функций будет доступно, но об этом мы узнаем уже скоро. Джим Альков обещал, что новые функции войдут в сборку Windows Insider, до выпуска которой осталось совсем немного. Не стоит думать, что следующий набор компонентов будет последним. Microsoft чрезвычайно серьезно относится к отзывам потребителей. В своем отчете об изменениях в стратегии Microsoft я отмечал, что компания активно прислушивается к мнению клиентов и более не считает, что ей все известно о нуждах потребителей. Новые функции наверняка продолжат совершенствоваться, и дополнительные возможности будут внедряться по запросам пользователей.

Есть неофициальные сведения, что может потребоваться до двух лет, чтобы набор функций Windows Update for Business приобрел окончательный вид. Но по мере развития Windows 10 неизбежно будет изменяться и механизм Windows Update for Business.

Кроме того, можно предположить, что системы доставки обновлений Microsoft (WSUS, Configuration Manager и Enterprise Management Suite) со временем будут усовершенствованы, чтобы полнее использовать достоинства новых функций Windows 10. Microsoft обещает тесную интеграцию с существующими системами, поэтому их можно будет по-прежнему использовать как единый центр для управления системами. Уже известно, что готовится к выпуску новая версия System Center Configuration Manager, но в то же время есть сведения, что службы WSUS также будут обновлены. В ближайшем будущем службы WSUS должны обеспечить переход на запланированный на осень 2015 года выпуск Windows 10.

Официальное заявление Microsoft о Windows Update for Business

Windows Update for Business — группа компонентов, которые помогут клиентам из сферы бизнеса своевременно обновлять и надежно защитить устройства через соединение с Windows Update. Клиенты могут зарегистрироваться в плане обслуживания Current Branch for Business, а также воспользоваться преимуществами оптимизации доставки из центра обновления Windows. Windows Update for Business позволяет сократить затраты на управление, контролировать развертывание обновлений, быстрее получать обновления безопасности и критически важные исправления, а также незамедлительно получать доступ ко всем новшествам Microsoft.

Итак, мы вряд ли увидим официальный, торжественный выпуск продукта под названием Windows Update for Business, хотя, пожалуй, он нужен, чтобы привлечь пользователей. Вместо этого элементы технологии будут встраиваться непосредственно в Windows 10 и поставляться постепенно, что позволит компаниям более эффективно использовать уже имеющиеся технологии обновления (Windows Update, Enterprise Mobility Suite, WSUS, System Center Configuration Manager).

Если все пойдет хорошо, текущие процессы обновления не претерпят серьезных изменений. Просто у потребителя появится больше удобных вариантов, чтобы обеспечить надежную защиту и полноту функциональности Windows 10.