Juli 9

Windows 10 Updates and Store GPO behavior with DualScan disabled and SCCM SUP/WSUS managed

Quelle: https://blogs.technet.microsoft.com/swisspfe/2018/04/13/win10-updates-store-gpos-dualscandisabled-sup-wsus/

Firstly…

Before
you start reading this, you should be familiar with the DualScan Feature of
Windows 10. Find more information on the following blog posts.

  • https://blogs.technet.microsoft.com/wsus/2017/08/04/improving-dual-scan-on-1607/
  • https://blogs.technet.microsoft.com/configurationmgr/2017/10/10/using-configmgr-with-windows-10-wufb-deferral-policies/
  • If
    you decided to disable DualScan (Do not allow update deferral policies to
    cause scan against Windows Update
    – Enabled) this post is for
    you.

    Let’s double check that!

    To
    check if dualscan is disabled. Simple run the following PowerShell commands on
    your target machines.

    $MUSM = New-Object
    -ComObject "Microsoft.Update.ServiceManager"
    $MUSM.Services | select Name,
    IsDefaultAUService

    Dual Scan Check

    Verify
    that DefaultAUService is WSUS. Also make sure that you have the following reg
    key set to
    1.
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
    DisableDualScan REG_DWORD 1

    Note:
    The recent SCCM Client configures a local policy if Software Updates are enabled
    via Client settings.

    Which GPO does what?

    Let’s
    assume you want to control:

  • the „Check for Updates
    Button to be disabled or not

  • Note: the Button has no use if
    dualscan is disabled.
  • The Link „Check online for
    updates from Microsoft Update
    “ whether it is shown or not

  • Note: a click on the link would fetch
    updates and upgrades from Microsoft Update
  • Whether you can manually search for
    drivers against Microsoft Update
    in the Device Manager or
    not
  • Whether drivers are updated via
    Microsoft Update, WSUS
    or not at all
  • Whether Apps
    are getting updates from the Microsoft Store or
    not
  • then
    find your scenario in the following table:


     

    Check Updates
    Button

    Check online for updates
    from Microsoft
    Update

    Updates / Upgrades from SUP/WSUS
    (SUP) or Microsoft
    Updates (MU)

    Updates for Microsoft Store

    Manual driver search against
    Microsoft
    Update

    Drivers via Updates
    SUP/WSUS (SUP)

    Windows 10 Ent with 2017-11 CU

    1607

    1703

    1709

    1607

    1703

    1709

    1607

    1703

    1709

    1607

    1703

    1709

    1607

    1703

    1709

    1607

    1703

    1709

    Remove access to use all Windows Update
    features

    enabled

    dis

    dis

    dis

    yes

    yes

    rem

    SUP

    SUP

    SUP

    yes

    yes

    yes

    yes

    yes

    yes

    no

    no

    no

    Do not connect to any Windows Update Internet
    locations


    enabled

    yes

    yes

    yes

    rem

    rem

    rem

    SUP

    SUP

    SUP

    no

    no

    no

    no

    no

    no

    no

    no

    no

    Turn Off Access to all Windows Update
    Feature

    enabled

    yes

    yes

    yes

    rem

    rem

    rem

    SUP

    SUP

    SUP

    yes

    yes

    yes

    no

    no

    no

    no

    no

    no

    Do not include drivers with Windows Update –
    enabled

    yes

    yes

    yes

    yes

    yes

    yes

    SUP

    SUP

    SUP

    yes

    yes

    yes

    yes

    yes

    yes

    no

    no

    no

    Specify the search server for device driver
    updates

    Managed
    Server

    yes

    yes

    yes

    yes

    yes

    yes

    SUP

    SUP

    SUP

    yes

    yes

    yes

    yes

    yes

    yes

    SUP

    SUP

    SUP

    Specify search order for device driver source –
    Do not search
    Windows
    Update

    yes

    yes

    yes

    yes

    yes

    yes

    SUP

    SUP

    SUP

    yes

    yes

    yes

    yes

    yes

    yes

    no

    no

    no

    Turn Off Windows Update device driver
    searching

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    Notes

    *dis = disabled, *rem = removed, *SUP = SCCM’s Software
    Update Point or WSUS

     

    Change

    No change

    Not a Win10
    GPO


    Where do i find these GPOs?

    Remove
    access to use all Windows Update features

    GPO:
    Computer Configuration\Administrative Templates\Windows Components\Windows
    Updates\
    Registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
    SetDisableUXWUAccess REG_DWORD

    Do
    not connect to any Windows Update Internet locations

    GPO:
    Computer Configuration\Administrative Templates\Windows Components\Windows
    Updates\
    Registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

    DoNotConnectToWindowsUpdateInternetLocations REG_DWORD

    Turn
    Off Access to all Windows Update Feature

    GPO:
    Computer Configuration\Administrative Templates\System\Internet Communication
    Management\Internet Communication settings\
    Registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
    DisableWindowsUpdateAccess REG_DWORD

    Do
    not include drivers with Windows Update

    GPO:
    Computer Configuration\Administrative Templates\Windows Components\Windows
    Updates\
    Registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
    ExcludeWUDriversInQualityUpdate
    REG_DWORD

    Specify
    the search server for device driver updates

    GPO:
    Computer Configuration\Administrative Templates\System\Device
    Installation\
    Registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DriverSearching\
    DriverServerSelection REG_DWORD

    Specify
    search order for device driver source locations

    GPO:
    Computer Configuration\Administrative Templates\System\Device
    Installation\
    Registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DriverSearching\
    SearchOrderConfig REG_DWORD

    there
    are many more GPOs related to Windows Update. In the SCCM/SUP & dualscan
    disabled scenario these should fulfil most of your basic needs.

    Managing Microsoft Store and App Updates!

    You
    may have your own requirements on how you want to configure the Microsoft Store
    and its App Updates. Let me show you what and how you can do that.
    Some might
    not know, but it’s the Microsoft Store App that updates Apps, including calc,
    photos, etc.. So if you have removed it, which I do not recommend, there is not
    much to configure nor are you getting any updates.

    Let’s
    see what these Microsoft Store GPOs do…


    Turn Off Access to the Store

    Description

    This policy setting
    specifies whether to use the Store service for finding an application to open a
    file with an unhandled file type or protocol association. When a user opens a
    file type or protocol that is not associated with any applications on the
    computer, the user is given the choice to select a local application or use the
    Store service to find an application. If you enable this policy setting, the
    „Look for an app in the Store“ item in the Open With dialog is removed. If you
    disable or do not configure this policy setting, the user is allowed to use the
    Store service and the Store item is available in the Open With
    dialog.

    GPO:
    Computer Configuration\Administrative Templates\System\Internet Communication
    Management\Internet Communication
    settings\
    Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer

    NoUseStoreOpenWith REG_DWORD

    App
    Updates
    : not affected

    One might think
    this is the GPO to disable the Microsoft Store, this is what is really
    does:
    Your users won’t be asked to find a app in the store if they try to
    open an unknown file extension.


    Turn off Store application

    Description

    Denies or allows
    access to the Store application.If you enable this setting, access to the Store
    application is denied. Access to the Store is required for installing app
    updates. If you disable or don’t configure this setting, access to the Store
    application is allowed.

    GPO:
    Computer Configuration\Administrative
    Templates\Windows Components\Store
    or
    User Configuration\Administrative
    Templates\Windows
    Components\Store
    Registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore

    RemoveWindowsStore REG_DWORD

    or
    HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsStore

    RemoveWindowsStore REG_DWORD

    App Updates: If
    configured in the computer context, it turns off app updates

    Blocks the
    Microsoft Store app, with the following message


    Only display the private store within the Microsoft
    Store app

    Description

    Denies access to
    the retail catalog in the Windows Store app, but displays the private store. If
    you enable this setting, users will not be able to view the retail catalog in
    the Windows Store app, but they will be able to view apps in the private store.
    If you disable or don’t configure this setting, users can access the retail
    catalog in the Windows Store app

    GPO:
    Computer Configuration\Administrative
    Templates\Windows Components\Store
    or
    User Configuration\Administrative
    Templates\Windows
    Components\Store
    Registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore

    RequirePrivateStoreOnly  REG_DWORD

    or
    HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsStore

    RequirePrivateStoreOnly REG_DWORD

    App Updates: not
    affected

    Users will only be
    presented with the Apps you have added into the Store for Business


    Disable all apps from Windows Store

    Description

    Disable turns off
    the launch of all apps from the Windows Store that came pre-installed or were
    downloaded. Apps will not be updated. Your Store will also be disabled. Enable
    turns all of it back on. This setting applies only to Enterprise and Education
    editions of Windows.

    GPO:
    Computer Configuration\Administrative Templates\Windows
    Components\Store
    Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore

    DisableStoreApps REG_DWORD
    (Note: disable = 1 = apps
    disabled
    )
    App Updates: not affected

    Apps cannot be
    started and you will be presented witht this message


    Note:
    Does include Calculator, Maps, Photos, Camera, etc. Does not affect
    Edge.


    Turn off Automatic Download and Install of
    updates

    Description

    Enables or disables
    the automatic download and installation of app updates. If you enable this
    setting, the automatic download and installation of app updates is turned off.
    If you disable this setting, the automatic download and installation of app
    updates is turned on. If you don’t configure this setting, the automatic
    download and installation of app updates is determined by a registry setting
    that the user can change using Settings in the Windows
    Store.

    GPO:
    Computer Configuration\Administrative Templates\Windows
    Components\Store
    Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore

    AutoDownload REG_DWORD
    (NB: enable = 2 = apps will not be updated, disable
    = 4 = app will be automatically updated)
    App Update: Yes and
    No, Keyword here is automatic, the “Get Updates” button in the store app will
    not be disabled.

    Automatic App
    updates can be locked to be on or off, again „Get Updates“ in the Download and
    Updates Menu would still download and update apps

    Finally…

  • Please make sure you have tested your GPO
    settings thoroughly, before you continue to implement them in your production
    environment.
    Especially if you use a combination of the GPOs explained in
    this blog or any other Update/Store related GPO.
  • Things might change with the soon to be
    release Win10 1803 Release.
  • Stop hurting yourself by not
    updating:
    https://blogs.technet.microsoft.com/yongrhee/2018/03/20/stop-hurting-yourself-by-not-updating-the-drivers-and-firmwares-in-windows-and-windows-server/
  •  

    Katgeorie:Allgemein | Kommentare deaktiviert für Windows 10 Updates and Store GPO behavior with DualScan disabled and SCCM SUP/WSUS managed
    Mai 12

    Microsoft Build 2019: Neue nutzerzentrierte Funktionen in Microsoft 365 für mehr Produktivität

    Auf der jährlichen Entwicklerkonferenz Microsoft Build (#MSBuild) hat Microsoft heute neue Technologien vorgestellt, mit denen Entwickler noch leichter intelligente, kollaborative Lösungen erstellen können. Dazu gehören KI-Funktionen in Microsoft 365 sowie plattformübergreifende Dienste für bessere Zusammenarbeit und höhere Produktivität. Zusätzlich hat das Unternehmen neue Open-Source-Technologien und Entwicklertools in Azure und Windows angekündigt.
    Ankündigungen für Microsoft 365 im Überblick:

    • Microsoft Graph data connect ist ab heute weltweit verfügbar. Der Service ermöglicht Unternehmen, die Produktivitätsdaten aus Microsoft Graph mit ihren eigenen Geschäftsdaten sicher und maßstabsgetreu mit Azure Data Factory zusammenzubringen. Microsoft Graph data connect ist ab sofort als Funktion in Workplace Analytics enthalten und steht auch für Independent Software Vendors (ISVs) zur Verfügung. Hier finden Sie weitere Informationen dazu.
    • Mit dem Fluid Framework kündigt Microsoft eine neue webbasierte Plattform und ein auf Komponenten basierendes Modell für die Zusammenarbeit in Teams an. Damit werden die Begrenzungen traditioneller Dokumente aufgelöst, um die Zusammenarbeit über verschiedene Anwendungen hinweg zu vereinfachen. Das Fluid Framework wird noch in diesem Jahr über ein Software Developer Kit für Entwickler verfügbar. Die Technologie wird außerdem in Microsoft 365 integriert, unter anderem in Word, Teams und Outlook. Die Funktionen des Fluid Frameworks beinhalten:
      • die Möglichkeit, Inhalte, beispielsweise aus dem Web oder Produktivitäts-Apps, in modulare, kollaborative Bausteine zu zerlegen, um leichter neue Inhalte erstellen zu können,
      • Co-Authoring mit mehreren Personen in bislang ungekannter Schnelligkeit und Leistungsfähigkeit,
      • die Zusammenarbeit von Teams mit intelligenten Agenten, die Bildvorschläge machen, Experten identifizieren und Daten übersetzen.
    • Microsoft Search ist ab sofort weltweit verfügbar. Das entsprechende Suchfeld ist in Microsoft 365-Anwendungen wie SharePoint, OneDrive, Outlook, Windows und Bing enthalten. Mit Microsoft Search können Geschäftsanwender relevante Personen, Inhalte und Aktivitäten in ihrer Organisation identifizieren. Weitere Informationen finden Sie hier.
    • Fokussiert arbeiten: Microsoft Graph unterstützt in Microsoft 365-Anwendungen wie Teams Fokus-Zeiten, in denen Nutzer ungestört arbeiten können. Benachrichtigungen werden in diesen Zeiten unterdrückt und gespeichert. Mit der neuen Funktion MyAnalytics können Nutzer eine Routine für tägliche Fokus-Zeiten etablieren: Das Tool ermittelt auf KI-Basis passende Zeiträume für konzentriertes Arbeiten und kann diese automatisch im Kalender für bestimmte ausstehende Aufgaben blocken. Die Funktion wird ab Sommer als Preview verfügbar.
    • Ideas ist ein neuer KI-basierter Editor in Word, der intelligente Vorschläge macht, um Texte präziser, besser lesbar und inklusiver zu machen. Das Tool stellt auch geschätzte Lesezeiten, die Zusammenfassung der wichtigsten Inhalte eines Dokuments und die Bedeutung von Akronymen zur Verfügung. Die Preview von Ideas wird ab Juni für Word Online verfügbar. Mehr Informationen erhalten Sie hier.
    • Actionable Messages in Outlook machen es Nutzern ab sofort möglich, auf bestimmte E-Mails sofort zu reagieren ohne die Anwendung zu wechseln, beispielsweise Budgets zu bestätigen, Zugang zu Dokumenten zu gewähren oder an Umfragen teilzunehmen.
    • @Mentions können ab sofort in Word-Dokumenten genutzt werden, um Kollegen Aufgaben zuzuteilen, Fragen zu stellen oder ihnen direkt zu antworten. In Word Online wird die Funktion ab dem Sommer zur Verfügung stehen.

    Neuerungen für Microsoft Edge

    • Im Dezember des letzten Jahres hat Microsoft angekündigt, das Open-Source-Projekt Chromium bei der weiteren Entwicklung von Microsoft Edge für den Desktop einzusetzen. Im Rahmen der Build 2019 hat Microsoft nun eine Vielzahl neuer Funktionen für die kommende Version des Browsers unter Windows 10 angekündigt:
      • IE-Modus – richtet sich an die mehr als 60 Prozent der Unternehmen, die heute mehrere Browser verwenden. Der IE-Modus integriert den Internet Explorer als Tab in Microsoft Edge. Dies ermöglicht Unternehmen, Internet Explorer-basierte Anwendungen in einem modernen Browser auszuführen.
      • Datenschutz-Tools – zusätzliche Kontrollwerkzeuge erlauben Anwendern, künftig drei verschiedene Datenschutzstufen in Microsoft Edge auszuwählen: uneingeschränkt, ausgewogen und strikt. Je nachdem, welche Option die Nutzer auswählen, wird die Nachvollziehbarkeit des Nutzungsverhaltens für Drittanbieter entsprechend begrenzt. Das bietet Usern mehr Kontrolle und Transparenz bei der Nutzung des Browsers.
      • Sammlungen – zielen ab auf die Informationsflut im Web. Dank Office-Integration erlaubt die neue Funktion Anwendern, Inhalte effizienter zu sammeln, zu organisieren, zu teilen und diese zu exportieren.
    • Die neuen Features werden sukzessive eingeführt. Neben einer verbesserten Web-Kompatibilität für Edge-Nutzer stellt Microsoft zudem sicher, dass auch Entwickler, die Chromium kompatible Webseiten erstellt haben, künftig ohne zusätzlichen Aufwand von der gleichen Kompatibilität in Microsoft Edge profitieren.
    • Mehr Details zu den Neuerungen für Microsoft Edge gibt es auf dem Developer Blog. Ein Video gibt es hier. Die neuesten Preview-Builds des Browsers können auf der Microsoft Edge Insider Website heruntergeladen werden.
    • Microsoft baut seine Aktivitäten im Bereich Conversational Interfaces mit Hilfe des Teams von Semantic Machines aus. Dieser neue Ansatz beinhaltet den Aufbau leistungsfähiger Conversational Interfaces aus Daten und maschinellem Lernen statt aus Regeln und Code. Die Technologie wird in Cortana integriert und steht Entwicklern künftig im Microsoft Bot Framework und Azure Bot Service zur Verfügung.

    Mehr Informationen zu den heutigen Neuigkeiten rund um Microsoft 365 sowie Details zu den Entwicklertools aus Windows, Office und Microsoft Teams gibt es hier.

    Entwicklertools für intelligente Apps in Cloud- und Edge-Szenarien

    Neue Features und Funktionen in Azure Kubernetes Service (AKS) sollen die Kubernetes Workloads weiter beschleunigen und absichern:

    • Kubernetes Event-Driven Autoscaling (KEDA) bietet eine neue Hosting-Option für Azure Functions, die als Container in Kubernetes-Cluster bereitgestellt werden kann und Komponenten wie das Programmiermodell oder den Skalierungscontroller für sämtliche Kubernetes-Implementierungen nutzbar macht. KEDA ist ab sofort als Public Preview verfügbar.
    • Azure Policy für AKS sichert AKS-Cluster zentral und konsistent ab, blockiert auftretende Richtlinienverstöße während der Runtime und führt Compliance-Bewertungen für alle bestehenden Cluster durch.

    Außerdem hat Microsoft angekündigt, dass Q# Compiler und Simulatoren als Open Source verfügbar sind, Azure Active Directory (Azure AD) in GitHub integriert wird und die neue Hyperscale (Citus)-Option in Azure Database für PostgreSQL in Azure SQL Database Hyperscale integriert wird.


    Katgeorie:Allgemein | Kommentare deaktiviert für Microsoft Build 2019: Neue nutzerzentrierte Funktionen in Microsoft 365 für mehr Produktivität