Wie aus diesem Beitrag zu entnehmen ist, versuche ich, einzelne “Workloads” von SCCM auf Intune zu migrieren.

Um die Windows Updates auf “Windows Update for Business”, zu wechseln, muss man beim Co-Management den “Workload” Regler für “Windows Update-Richtlinien” auf Intune schieben. Hinweis: Bevor man dieser Anleitung folgt, empfiehlt es sich, das ganze Vorgehen mit einer Pilotgruppe zu testen.

Als nächstes muss man beim SCCM eine “Windows-Update for Business Richtline erstellen”

Diese Richtlinie kann man auf die gewünschte Gruppe verteilen, in meinem Fall auf “Alle Systeme”.

Die nächsten Schritte erfolgen in Intune. Hier wählt man “Softwareupdates” –> “Windows 10-Updateringe” –> “Erstellen”.

Der Unterschied zwischen “Halbjährlicher Kanal (gezielt)”  und “Halbjährlicher Kanal” ist, dass die halbjährlichen Upgrades ohne (gezielt) 4 Monate zurückgehalten werden. Da es immer wieder zu Problemen mit den Upgrades kommt, habe ich eine Updatering für Testgeräte erstellt, bei der Upgrades sofort ankommen und einen für alle Computer, bei dem die Upgrades verzögert werden.

Bei diesen Einstellungen muss man selber herausfinden, welche die besten für die eigene Umgebung sind.

Nachdem man den Updatering erstellt hat, muss man ihn über “Zuweisungen” noch einer Gruppe zuweisen.

Standardmässig würden so alle Clients im Netzwerk die Dateien von den Microsoft Servern übers Internet holen. Bei 600 Clients würde das die Internetleitung ziemlich belasten und wäre ein grosser Rückschritt gegenüber WSUS resp. SCCM, der die Updates zwischenspeichert und im Netzwerk verwaltet. Microsoft hat aber eine “Peer to Peer” Lösung implementiert, um dieses Problem zu adressieren. Dabei liefern die Clients anderen Clients bereits heruntergeladene Teile, so dass die Internetleitung nicht so stark belastet wird. Das Ganze nennt sich “Übermittlungsoptimierung” oder auf Englisch “Delivery Optimization” oft abgekürzt mit “DO”.

Bei den Updateringen kann man DO im Moment aber nicht aktivieren. Es steht aber, wie man vorgehen muss.

Um DO zu aktivieren muss man also unter “Gerätekonfiguration” –> “Profile” –> ein “Profil erstellen”.

Bei den Eigenschaften wählt man dann z.B. die Einstellung “HTTP kombiniert mi Peering hinter derselben NAT”.

Auch dieses Profil muss man der entsprechenden Gruppe zuweisen.

Einmal mehr habe ich gute Informationen im Internet gefunden, vielen Dank an die Autoren. Für meine Tests bin ich diesem sehr guten Blogbeitrag gefolgt. Dort ist ein Problem mit “Dualscan” erwähnt, aber nicht weiter ausgeführt. Da hat mir dann dieser Beitrag weitergeholfen.

Nachtrag
Es genügt nicht, den Regler vom SCCM Server auf Intune zu schieben. Der SCCM Client muss auch noch angepasst werden. Falls man über „Benutzerdefinierte Geräteclienteinstellungen erstellen“ eigene Richtlinien für Softwareupdates erstellt hat, sollte man diese löschen und dann bei den „Clientstandardeinstellungen“ bei „Softwareupdates auf Clients aktivieren“ „Nein“ auswählen.

Falls man dies nicht macht, werden die Clients weiterhin von Intune und SCCM gemeinsam verwaltet. Man sieht dies daran, dass unter „Einstellungen“ -> „Update und Sicherheit“ -> „Konfigurierte Updaterichtlinien anzeigen“ nicht nur Richtlinien vom Typ „Mobile Geräteverwaltung“ sieht. Oder auch dass beim SCCM Client bei den Aktionen weiterhin diejenigen im Zusammenhang mit den Softwareupdates angezeigt werden.

Indem man in einer mit administrativen Rechten gestarteten PowerShell Sitzung „get-windowsupdatelog“ eingibt, erhält man ein ausführliches Logfile. Hier sieht man, dass immer noch der WSUS Server eingetragen ist. Ausserdem sieht man dass verschiedene Timer gesetzt werden. Derjenige, der die Updates übers Internet holen soll (= not network-only) wird erst mit einem Tag Verzögerung (was laufend angepasst wird) ausgelöst und findet darum nicht statt.

Konsequenz daraus ist, dass die Updates zwar mit „Status: Installation ausstehend“ und mit dem Hinweis „Updates werden automatisch installiert, wenn das Gerät nicht in Gebrauch ist. Sie können Updates auch sofort installieren.“ angezeigt aber nicht installiert werden.

Wenn man auf „Jetzt installieren“ klickt, funktioniert alles. Daher bin ich bei meinen Tests davon ausgegangen, dass alles in Ordnung ist…