Azure Update Manager bietet eine automatisierte Steuerung von Windows- und Linux-Updates über zentrale Wartungskonfigurationen. Wie man die Update-Installation optimal plant, kritische Fehler durch falsche Registry- und WSUS-Einstellungen vermeidet und Remote-Skripte einbindet, zeigen wir Schritt für Schritt in diesem Video-Tipp.
In diesem Video-Tipp zeigen wir, wie man mit dem Azure Update Manager Updates zentral über die Cloud bereitstellt und sogar über den Browser installiert.
(Bild: Dall-E / KI-generiert)
Wenn ein Server im lokalen Rechenzentrum über Azure Arc an Azure angebunden und mit Azure Update Management verbunden ist, lassen sich Windows-Updates manuell oder automatisiert aus dem Azure-Portal heraus installieren. Wir zeigen die Abläufe in diesem Beitrag und den dazugehörigen Video.
Wir haben uns bereits in einem eigenen Beitrag mit der Einrichtung und Verwendung von Azure Update Manager auseinandergesetzt. Im folgenden Text zeigen wir die Installation von Updates, die im Azure-Portal angezeigt werden, sobald Server an Azure Update Manager angebunden sind. Azure Update Manager verwendet ebenfalls den Windows Update-Client, um Windows-Updates herunterzuladen und zu installieren, genauso wie die manuelle Installation von Updates oder bei der Verwendung von WSUS und anderen Tools zur Update-Verwaltung.
In diesem Video-Tipp und der Bildergalerie zeigen wir, wie man mit dem Azure Update Manager Wartungskonfigurationen erstellt, Updates zentral über die Cloud bereitstellt und sogar über den Browser installiert.
Sobald ein Server über Azure Arc an Azure angebunden ist und Azure Update Management so konfiguriert ist, wie im vorhergehenden Abschnitt besprochen, lassen sich manuell oder automatisiert Updates direkt aus dem Azure-Portal heraus verteilen. Zunächst erscheinen die Server als Objekte im Azure-Portal in der entsprechenden Ressourcengruppe. Nach einem Klick auf das Serverobjekt ist über die Kachel "Updates" im unteren Bereich zu sehen, ob Updates für den Server anstehen. Nach einem Klick auf die Kachel sind die einzelnen Updates und deren Details zu sehen. Mit "Check for Updates" lässt sich eine erneute Update-Suche direkt aus dem Azure-Portal triggern.
Um die Installation der Updates zu planen, kommt ein Zeitplan zum Einsatz, der über "Updates planen -> Updates planen" erstellt und konfiguriert werden. Zeitpläne basieren auf Wartungskonfigurationen. Eine Wartungskonfiguration ist ebenfalls ein Objekt, das einer Ressourcengruppe zugeordnet wird. Ein erstellter Zeitplan lässt sich natürlich an mehrere Server anbinden. Das geht über "Updates planen -> Vorhandenen Zeitplan anfügen".
Im Rahmen der Erstellung einer Wartungskonfiguration kann diese auch gleich einem bestimmten Server zugeordnet werden. Über den Menüpunkt "Updates" wird wiederum gesteuert, welche Arten von Updates zur Wartungskonfiguration gehören. Es lassen sich hier Unterscheidungen zwischen Windows und Linux und zwischen "Wichtige Updates, Sicherheitsupdates" (Windows) und "Sicherheit und kritische Updates" (Linux) treffen.
Wartungskonfigurationen übernehmen die Rolle des klassischen WSUS-Genehmigungsmechanismus, allerdings in stark automatisierter Form. Im Rahme der Erstellung lassen sich Wiederholungsintervalle festlegen, etwa wöchentliche Zyklen für sicherheitsrelevante Updates. Kritikalitätsstufen wie „Sicherheit“ oder „Kritisch“ können gezielt ausgewählt werden, ebenso die Behandlung von Neustarts. Optional erlauben Vor- und Nachbearbeitungsskripte die Integration individueller Automatisierungsschritte. Die Zuweisung erfolgt entweder direkt an ARC-verbundene Server oder über Ressourcentags. So lassen sich alle Maschinen mit identischen Eigenschaften wie "Produktionsumgebung" oder "Testbetrieb" dynamisch in Wartungspläne einbinden, ohne manuelle Zuordnung. Das erleichtert nicht nur die Skalierung, sondern sichert auch eine konsistente Update-Strategie über Systemgrenzen hinweg. Wartungskonfigurationen funktionieren nur in Kombination mit einer aktiven Update-Überprüfung. Ohne diesen Schritt wird kein Patch installiert, unabhängig vom Zeitplan.
Konfiguration des Windows Update-Clients für Azure Update Manager
Azure Update Manager steuert den Patchprozess über den nativen Windows Update-Client. Damit die Koordination funktioniert, müssen lokale Richtlinien, Registrierungswerte und Update-Quellen exakt definiert sein. Die automatische Update-Funktion des Clients wird beim Einsatz von Azure Update Manager deaktiviert. Das gilt unabhängig vom eingesetzten Mechanismus, sei es "AutomaticByPlatform" oder "AutomaticByOS". Ein zentraler Punkt bleibt die Wahl der Quelle: Standardmäßig zieht der Client Updates über "Windows Update", wodurch ausschließlich Betriebssystempatches bezogen werden. Um auch Sicherheitsupdates für Microsoft SQL Server, Office oder andere Produkte zu integrieren, muss Microsoft Update aktiviert werden. Das gelingt über PowerShell mit dem ServiceManager-Objekt und der Service-ID "7971f918-a847-4430-9279-4a52d1efe18d", insbesondere bei Servern mit älteren Betriebssystemen oder wenn das Patching Azure-orchestriert erfolgt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In diesem Video-Tipp und der Bildergalerie zeigen wir, wie man mit dem Azure Update Manager Wartungskonfigurationen erstellt, Updates zentral über die Cloud bereitstellt und sogar über den Browser installiert.
Für Systeme ab Windows Server 2016, bei denen keine Azure-basierte Patch-Steuerung eingerichtet ist, bietet sich stattdessen die Gruppenrichtlinie an. Über die administrativen Vorlagen lässt sich unter "Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update" die Option "Updates für andere Microsoft-Produkte bereitstellen" aktivieren. Damit wird beim regulären Windows-Update-Lauf automatisch nach Erweiterungen gesucht, sofern die Richtlinie korrekt eingebunden wurde.
Ebenfalls über Gruppenrichtlinien steuerbar ist das automatische Verhalten des Clients. Aktivieren oder deaktivieren von "Automatische Updates konfigurieren" erlaubt eine granulare Steuerung, die sich mit dem orchestrierten Verhalten des Azure Update Manager kombinieren lässt, solange die Richtlinien nicht im Widerspruch zu NoAutoUpdate oder ähnlichen Registrierungswerten stehen. Zu beachten ist, dass bestimmte Registrierungseinträge, insbesondere solche, die Neustarts steuern, unabhängig von Azure-Einstellungen wirken können. Auch wenn dort "Nie neu starten" gesetzt ist, kann ein falsch konfigurierter Registry-Schlüssel dennoch einen automatischen Reboot auslösen.
Für Umgebungen, die WSUS als zentrale Quelle verwenden, gilt besondere Vorsicht. Der Windows Update-Client akzeptiert einen WSUS-Endpunkt nur, wenn dieser korrekt in der Registrierung oder per Gruppenrichtlinie angegeben wurde. Die Option "Keine Verbindungen mit Windows Update-Internetadressen herstellen" blockiert jede Kommunikation mit Microsoft-Servern, was zu Fehlschlägen führt, wenn Updates im WSUS nicht genehmigt oder nicht vorhanden sind. Auch hier muss die Quelle exakt konfiguriert sein: entweder intern oder öffentlich, aber nicht beides gleichzeitig.
Ein automatischer Vorabdownload von Updates ist in Azure Update Manager nicht vorgesehen. Konfigurationen, die dies erzwingen, etwa über AUOptions oder bestimmte WSUS-Kombinationen, sind nicht kompatibel. Für performante und planbare Bereitstellungen innerhalb des Wartungsfensters bleibt daher nur der kontrollierte Download im Moment der Ausführung. Jede abweichende Konfiguration kann zu unvorhersehbarem Verhalten oder fehlerhaften Update-Zyklen führen.
Zur abschließenden Absicherung empfiehlt sich die Kontrolle sämtlicher Richtlinien per gpresult, die Validierung des Registry-Zustands sowie die Prüfung der konfigurierten Update-Quelle über die GUI des Windows Update-Clients oder per PowerShell-Cmdlets. Nur wenn alle Ebenen kohärent aufeinander abgestimmt sind, übernimmt Azure Update Manager die Steuerung vollständig und zuverlässig.
In diesem Video-Tipp und der Bildergalerie zeigen wir, wie man mit dem Azure Update Manager Wartungskonfigurationen erstellt, Updates zentral über die Cloud bereitstellt und sogar über den Browser installiert.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
![Lokale Server erscheinen als Objekt im Azure-Portal, wenn sie über Azure Arc angebunden sind.([Bild: , Bild: , Bild: , Bild: , Bild: , Bild: ] Joos)](https://cdn1.vogel.de/eavAf6zY5zzcIgbViBvMBeRWQpc=/300x300/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/e7/7b/e77b58c02644304cdf466f00477058c6/0125902417v1.jpeg "Lokale Server erscheinen als Objekt im Azure-Portal, wenn sie über Azure Arc angebunden sind.([Bild: , Bild: , Bild: , Bild: , Bild: , Bild: ] Joos)")
![Verwalten der Updates eines an Azure Arc angebundenen Servers.([Bild: , Bild: , Bild: , Bild: , Bild: , Bild: ] Joos)](https://cdn1.vogel.de/IjnTxZqeHXM5TyiH1MmjLDCcDwg=/300x300/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/0a/ae/0aaeac6eea1f1a7713c7783b26303acf/0125902422v1.jpeg "Verwalten der Updates eines an Azure Arc angebundenen Servers.([Bild: , Bild: , Bild: , Bild: , Bild: , Bild: ] Joos)")
![Anzeigen der zur Verfügung stehenden Updates für einen lokalen Server, der per Azure Arc angebunden ist.([Bild: , Bild: , Bild: , Bild: , Bild: , Bild: ] Joos)](https://cdn1.vogel.de/pzi1mjBkOrlIORzKfUqz923iztc=/300x300/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/ff/a3/ffa37bd9352a16e43b2dde28612460dc/0125902418v1.jpeg "Anzeigen der zur Verfügung stehenden Updates für einen lokalen Server, der per Azure Arc angebunden ist.([Bild: , Bild: , Bild: , Bild: , Bild: , Bild: ] Joos)")
![Manuelle Update-Suche für lokale Rechenzentren.([Bild: , Bild: , Bild: , Bild: , Bild: , Bild: ] Joos)](https://cdn1.vogel.de/9G0DqxpUf_1RKsTg7qW5DOdCAbs=/300x300/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/6e/04/6e04dc1b657cceccdd09bea2e376a0db/0125902415v1.jpeg "Manuelle Update-Suche für lokale Rechenzentren.([Bild: , Bild: , Bild: , Bild: , Bild: , Bild: ] Joos)")
:quality(80)/p7i.vogel.de/wcms/1a/79/1a79408090b0b1ea320553319528a2ed/0125179019v2.jpeg "So kann man den WSUS-Nachfolger Azure Upate Manager für die Patchbereitstellung nutzen. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/71/b171d1c2c4d5137d07619f41e9b26711/0123150889v1.jpeg "Eine der von Microsoft empfohlenen Alternativen für WSUS ist der Azure Update Manager. (Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/39/ef/39ef365ee7a1cb1de7549f743ffb721a/0121332988v2.jpeg "Microsoft hat die Update-Lösung Windows Server Update Services (WSUS) als „abgekündigt“ deklariert. Es ist also an der Zeit, auf alternative Lösungen zu setzen. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/f9/b7f934c624aa51173e76fede32f88956/0124966385v2.jpeg "Admins können Windows-Updates über Azure Arc auf angebundene Server verteilen, ohne dass ein lokal betriebener Dienst notwendig ist. (Bild: © Syda Productions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/82/018289984cdde9776482195479784efd/0122024689v2.jpeg "Mit Windows Server 2025 hat Microsoft die Technik des „Hotpatching“ verbessert und in allen Editionen von Windows Server 2025 integriert. Zusammen mit Azure Arc bringt Microsoft Hotpatching ins lokale Rechenzentrum. (Bild: Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/f9/b7f934c624aa51173e76fede32f88956/0124966385v2.jpeg "Admins können Windows-Updates über Azure Arc auf angebundene Server verteilen, ohne dass ein lokal betriebener Dienst notwendig ist. (Bild: © Syda Productions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1a/79/1a79408090b0b1ea320553319528a2ed/0125179019v2.jpeg "So kann man den WSUS-Nachfolger Azure Upate Manager für die Patchbereitstellung nutzen. (Bild: © Thares2020 - stock.adobe.com)")