Patch-achterstand is een van de meest voorkomende beveiligingsrisico's in organisaties. Windows Autopatch neemt het volledige patchproces over voor Windows, Microsoft 365 Apps, Edge en Teams. Wat doet het, wat hebt u nodig en hoe rolt u het uit zonder uw gebruikers te verstoren?
Elke tweede dinsdag van de maand verschijnen er tientallen beveiligingsupdates van Microsoft. Voor IT-beheerders die meerdere taken balanceren, leidt dit tot een vast dilemma: snel uitrollen om beveiligingsgaten te dichten, of eerst testen om te voorkomen dat een update productiesystemen verstoort. Beide opties kosten tijd en capaciteit die er niet altijd is. Het resultaat is patch-achterstand, een van de meest aantoonbare oorzaken van succesvolle aanvallen op bedrijfsnetwerken.
Windows Autopatch biedt een uitweg. Microsoft nam in 2022 de patchlogistiek over als cloudservice. U bepaalt welke apparaten meedoen en in welke prioriteitsring ze zitten. Microsoft zorgt vervolgens voor planning, uitrol, monitoring en terugrol bij problemen. Voor IT-teams die beheer uitvoeren naast andere verantwoordelijkheden is dit een fundamentele verandering van werkwijze.
Windows Autopatch is een beheerde service die draait bovenop Microsoft Intune. U registreert uw apparaten eenmalig bij de service en stelt uitrolringen in. Daarna neemt Microsoft het over: de service monitort de Patch Tuesday-releases, beoordeelt de urgentie, plant de uitrol per ring en bewaakt de uitvoering. Als een update problemen veroorzaakt op apparaten in een vroege ring, wordt de uitrol naar de volgende ring automatisch tegengehouden tot de situatie is beoordeeld.
Autopatch is geen tool die u zelf draait en beheert, maar een service waarbij Microsoft verantwoordelijkheid neemt voor de tijdigheid en betrouwbaarheid van de uitrol. Uw IT-beheerder houdt zicht via een dashboard in de Intune-portal en ontvangt notificaties als er handmatige actie nodig is, maar de dagelijkse patchcyclus verloopt volledig automatisch.
De service dekt vier componentgroepen. Ten eerste Windows kwaliteitsupdates, de maandelijkse beveiligings- en foutcorrectiepatches voor Windows 10 en Windows 11. Autopatch zorgt dat deze updates binnen tien werkdagen na de Patch Tuesday-release zijn uitgerold naar alle geregistreerde apparaten. Urgente out-of-band patches worden versneld verwerkt.
Ten tweede Windows feature updates, de grotere versie-upgrades van het besturingssysteem. Autopatch beheert de overgang naar een nieuwe Windows-versie en houdt rekening met de supportkalender van Microsoft, zodat apparaten niet ongemerkt op een niet-meer-ondersteunde versie blijven draaien.
Ten derde Microsoft 365 Apps, de installaties van Word, Excel, Outlook, PowerPoint en de rest van de kantoorsuites. Autopatch houdt deze apps actueel via de maandelijkse kanaalreleases. Ten vierde Microsoft Edge en Microsoft Teams, die elk hun eigen updatekanaal hebben en door Autopatch synchroon worden gehouden met de rest van de omgeving.
Het hart van Autopatch is het ringmodel. De service maakt vier standaard uitrolringen aan: Test, First, Fast en Broad. Test bevat een kleine groep apparaten, idealiter van IT-personeel of testers, die de update als eerste ontvangen. First omvat ongeveer één procent van de overige apparaten, Fast nog eens negen procent, en Broad de rest.
Tussen elke ring zit een automatische wachttijd. Autopatch analyseert of de update problemen veroorzaakt voordat de uitrol naar de volgende ring start. Bij een detecteerbaar probleem, zoals een stijging van apparaatcrashes of mislukte installaties, wordt de uitrol gepauzeerd en ontvangt de beheerder een notificatie. De wachttijden zijn aanpasbaar, maar de standaardwaarden zijn geschikt voor de meeste omgevingen.
U kunt apparaten handmatig toewijzen aan ringen of de automatische verdeling accepteren. Voor apparaten in kritische functies, zoals gedeelde werkstations of de machine van de financieel directeur, is het zinvol om ze aan de Broad-ring toe te wijzen. Zo worden ze altijd als laatste bijgewerkt, nadat de stabiliteit van een update is bevestigd op een groot deel van de vloot.
Autopatch vereist een van de volgende licenties: Windows 10/11 Enterprise E3, E5 of F3, of Microsoft 365 Business Premium. Voor organisaties die al Intune gebruiken via Business Premium is de licentiedrempel dus laag. Organisaties op een zuivere Business Basic of Business Standard-licentie komen niet in aanmerking en hebben een upgrade nodig.
Aan de apparaatkant gelden drie eisen. Apparaten moeten Intune-beheerd zijn. Ze moeten Entra ID joined of hybrid Entra ID joined zijn. En ze moeten draaien op Windows 10 versie 1809 of hoger, of op Windows 11. Machines op een oudere Windows-versie moeten eerst geüpgraded worden voor ze kunnen worden geregistreerd.
Microsoft raadt minimaal acht apparaten per ring aan om de statistische analyse van update-problemen zinvol te maken. Kleinere omgevingen met minder dan tien apparaten kunnen Autopatch wel inschakelen, maar de automatische probleemdetectie is dan minder nauwkeurig dan bij grotere vloten.
De activering van Autopatch verloopt via de Intune-portal. Ten eerste navigeert u naar Windows Autopatch onder de Windows Updates-sectie en doorloopt u de readiness check. Die controleert of uw tenant voldoet aan de licentie- en apparaateisen en toont welke apparaten in aanmerking komen en welke niet.
Ten tweede registreert u de apparaten bij de service. Dit kan via een Entra ID-apparaatgroep of handmatig per machine. Autopatch maakt vervolgens automatisch de vier uitrolringen aan en verdeelt de apparaten. Ten derde stelt u de contactgegevens in voor notificaties: wie ontvangt meldingen als een uitrol wordt gepauzeerd of als handmatige actie nodig is?
Ten vierde controleert u de rapportages in de Autopatch-portal. Het dashboard toont per apparaat en per ring de update-status, eventuele fouten en de tijdigheid van uitrollen. Dit dashboard vervangt grotendeels de handmatige controle van WSUS-rapporten of updateoverzichten die voorheen nodig was, en geeft op één pagina een volledig beeld van de patch-gezondheid van uw omgeving.
Het is belangrijk om de scope helder af te bakenen. Autopatch beheert uitsluitend de vier genoemde componentgroepen. Derde-partij applicaties zoals Adobe Acrobat, Google Chrome, Java of bedrijfseigen software vallen buiten de scope. Daarvoor blijft u afhankelijk van Intune-scripts, een aparte patchbeheertool of de ingebouwde winget-integratie van Windows.
Autopatch beheert ook geen servers. Windows Server-updates vallen onder Windows Server Update Services, Microsoft Update of een aparte Intune-policy. Voor macOS-apparaten en mobiele apparaten geldt een andere beheerlijn. In een gemengde omgeving blijft een aanvullende patchstrategie nodig voor de niet-Windows-apparaten.
Wat Autopatch wél verandert, is de structurele werkdruk voor Windows en Microsoft 365. De combinatie van Intune-beheer en Autopatch maakt het haalbaar voor een klein IT-team om een patchcyclus te hanteren die vergelijkbaar is met wat grotere organisaties met een gespecialiseerd patchteam bereiken. Wilt u Autopatch activeren binnen uw Microsoft 365-omgeving of advies over uw Intune-inrichting? Neem contact op met Zarioh voor een vrijblijvend gesprek over wat past bij uw situatie.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
