Co-Management: Softwareupdates über Intune

Wie aus diesem Beitrag zu entnehmen ist, versuche ich, einzelne “Workloads” von SCCM auf Intune zu migrieren.

Um die Windows Updates auf “Windows Update for Business”, zu wechseln, muss man beim Co-Management den “Workload” Regler für “Windows Update-Richtlinien” auf Intune schieben. Hinweis: Bevor man dieser Anleitung folgt, empfiehlt es sich, das ganze Vorgehen mit einer Pilotgruppe zu testen.

image

Als nächstes muss man beim SCCM eine “Windows-Update for Business Richtline erstellen”

image

image

Diese Richtlinie kann man auf die gewünschte Gruppe verteilen, in meinem Fall auf “Alle Systeme”.

Die nächsten Schritte erfolgen in Intune. Hier wählt man “Softwareupdates” –> “Windows 10-Updateringe” –> “Erstellen”.

image

Der Unterschied zwischen “Halbjährlicher Kanal (gezielt)”  und “Halbjährlicher Kanal” ist, dass die halbjährlichen Upgrades ohne (gezielt) 4 Monate zurückgehalten werden. Da es immer wieder zu Problemen mit den Upgrades kommt, habe ich eine Updatering für Testgeräte erstellt, bei der Upgrades sofort ankommen und einen für alle Computer, bei dem die Upgrades verzögert werden.

image

Bei diesen Einstellungen muss man selber herausfinden, welche die besten für die eigene Umgebung sind.

Nachdem man den Updatering erstellt hat, muss man ihn über “Zuweisungen” noch einer Gruppe zuweisen.

image

Standardmässig würden so alle Clients im Netzwerk die Dateien von den Microsoft Servern übers Internet holen. Bei 600 Clients würde das die Internetleitung ziemlich belasten und wäre ein grosser Rückschritt gegenüber WSUS resp. SCCM, der die Updates zwischenspeichert und im Netzwerk verwaltet. Microsoft hat aber eine “Peer to Peer” Lösung implementiert, um dieses Problem zu adressieren. Dabei liefern die Clients anderen Clients bereits heruntergeladene Teile, so dass die Internetleitung nicht so stark belastet wird. Das Ganze nennt sich “Übermittlungsoptimierung” oder auf Englisch “Delivery Optimization” oft abgekürzt mit “DO”.

Bei den Updateringen kann man DO im Moment aber nicht aktivieren. Es steht aber, wie man vorgehen muss.

image

Um DO zu aktivieren muss man also unter “Gerätekonfiguration” –> “Profile” –> ein “Profil erstellen”.

image

Bei den Eigenschaften wählt man dann z.B. die Einstellung “HTTP kombiniert mi Peering hinter derselben NAT”.

image

Auch dieses Profil muss man der entsprechenden Gruppe zuweisen.

Einmal mehr habe ich gute Informationen im Internet gefunden, vielen Dank an die Autoren. Für meine Tests bin ich diesem sehr guten Blogbeitrag gefolgt. Dort ist ein Problem mit “Dualscan” erwähnt, aber nicht weiter ausgeführt. Da hat mir dann dieser Beitrag weitergeholfen.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s