Windows Update for Business configuratie via Group Policy

Windows as a Service is de nieuwe manier om Windows 10-apparaten bij te werken. In Windows 10 bevatten nieuwe functie-updates en kwaliteitsupdates de inhoud van alle voorgaande updates.

Dit houdt in dat, wanneer de nieuwste update geïnstalleerd is, het zeker is dat de Windows 10-apparaten volledig zijn bijgewerkt. In tegenstelling tot eerdere versies van Windows, wordt nu de volledige update geïnstalleerd in plaats van een onderdeel van een update.

 

Met Windows Update for Business wordt updatebeheer vereenvoudigd, zodat er geen afzonderlijke updates voor groepen apparaten goedgekeurd hoeft te worden. Hierbij kan er nog steeds risico's in de omgeving beheerd worden door een strategie voor update-implementatie te configureren.

 

Type updates

Windows Update for Business biedt drie soorten updates voor Windows 10-apparaten:

  • Feature-updates: Feature-updates bevatten niet alleen veiligheids- en kwaliteitsrevisies, maar ook belangrijke toevoegingen en wijzigingen van functies; ze worden halfjaarlijks vrijgegeven.
  • Kwaliteitsupdates: dit zijn de traditionele updates van het besturingssysteem, ze worden meestal op de tweede dinsdag van elke maand vrijgegeven.
    Deze updates bevatten drivers, beveiligingsupdates, kritieke updates.
    Windows Update for Business beschouwt ook niet-Windows-updates (zoals die voor Microsoft Office of Visual Studio) als kwaliteitsupdates. Deze niet-Windows-updates staan bekend als Microsoft-updates en apparaten kunnen optioneel worden geconfigureerd om dergelijke updates samen met hun Windows-updates te ontvangen.
  • Non-deferrable updates: Dit zijn de antimalware en antispyware definitie-updates van Windows Update, momenteel kunnen deze niet worden uitgesteld.

 

Servicing channels

Om zich aan te passen aan de nieuwe methode voor het leveren van feature updates en kwaliteitsupdates in Windows 10, introduceert Microsoft het concept van service channels (kanalen) om klanten in staat te stellen aan te geven hoe vaak individuele apparaten worden bijgewerkt.

Er kan gekozen worden uit 3 service channels:

  • Het Windows Insider-programma biedt organisaties de mogelijkheid om de nieuwste versies, die nog niet vrijgegeven zijn aan het algemene publiek, te testen en feedback te geven.
  • De Semi-Annual Channel biedt nieuwe functionaliteit twee keer per jaar aan; de zgn. feature updates. Organisaties kunnen kiezen wanneer updates uit het semi-annual channel worden geïmplementeerd. 
  • De Long Term Servicing Channel is ontworpen om alleen te worden gebruikt voor gespecialiseerde apparaten (die meestal geen Office uitvoeren), zoals medische apparatuur of PIN automaten. Apparaten in deze channel ontvangen ongeveer elke drie jaar nieuwe feature updates.

 

Update ringen

Een update ring bevat een aantal instellingen waarin is geconfigureerd wanneer en hoe Windows 10-updates worden geïnstalleerd.

Men kan het volgende configureren:

  • Windows 10 Servicing Channel: Welke groepen apparaten ontvangen updates van de Semi-annual channel (Targeted) of van de Semi-annual channel.
  • Instellingen voor uitstel: configureer instellingen voor het uitstellen van updates om de installatie van updates voor groepen apparaten uit te stellen. Dit kan per type update geconfigureerd worden.
  • Onderbreken: stel de installatie van updates uit als u op enig moment tijdens de implementatie van de updates problemen ontdekt.

 

Voorbeeld configuratie

Globaal overzicht

In onderstaand figuur wordt een voorbeeld Windows Update for Business architectuur schematisch weergegeven.

image001 (1).jpg

 

De configuratie bestaat uit de volgende onderdelen:

  • Windows Update; cloud service
  • Functionaliteiten geboden vanuit Active Directory
    • GPOs
  • Instellingen geconfigureerd via GPOs
  • De windows 10 clients

 

Configuratie details

De details van de Windows Update for Business ringen configuratie wordt schematisch in onderstaand figuur weergegeven.

image002 (1).jpg

 

Er zijn drie ringen geconfigureerd, waarin verschillende groepen computers worden geconfigureerd.

  1. In ring 1 zitten de computers die meteen nadat Microsoft updates heeft uitgegeven, de updates zullen installeren.
  2. In ring 2 zitten de computers die na een week tot twee weken nadat Microsoft updates heeft uitgegeven, de updates zullen installeren.
  3. In ring 3 zitten de computers van de rest van de organisatie, de kwaliteitsupdates worden 2 weken tot een maand nadat Microsoft deze heeft uitgegeven, geïnstalleerd. Feature updates worden geïnstalleerd na 4 maanden (ongeveer) wanneer Microsoft deze updates als Semi-annual channel heeft gekenmerkt.

 

In onderstaande tabel worden de drie ringen in detail beschreven.

Capture3.JPG

 

GPOs

Er zijn 3 verschillende GPOs aangemaakt die de 3 vershillende update rings voorstellen.
Deze GPOs zijn gekoppeld aan een OU. De GPOs worden toegepast op basis van AD security group lidmaatschap.

Capture4.JPG

 

 Onderstaand een aantal screenshots van de WUFB-RING1-EA GPO als voorbeeld.

image003 (1).png
image004 (1).jpg
image005 (1).jpg