Microsoft Windows 11: Neue Updates vor dem ersten Start – aber nur auf Wunsch

Microsoft gibt IT-Administratoren mit einer neuen Richtlinie die Kontrolle darüber, ob Windows-11-Geräte noch vor dem ersten Login die neuesten Sicherheitsupdates installieren. Allerdings ist die Funktion standardmäßig ausgeschaltet – eine strategische Kehrtwende.

Ab sofort können Unternehmen mit der Policy AllowOOBEUpdates steuern, ob während der Erstinstallation (Out-of-Box Experience, OOBE) die aktuellen Qualitätsupdates eingespielt werden. Die Einstellung ist im Microsoft Intune Admin Center unter den Windows Autopilot-Einstellungen zu finden. Doch anders als zunächst geplant, müssen Administratoren sie aktiv manuell aktivieren. Der Standard ist „Aus“.

Strategische Kehrtwende: Kontrolle vor Geschwindigkeit

Diese Entscheidung markiert eine deutliche Kurskorrektur. Noch Ende 2025 deutete vieles darauf hin, dass Microsoft die automatischen Updates während der OOBE standardmäßig aktivieren würde, um maximale Sicherheit von der ersten Minute an zu gewährleisten. Doch das Unternehmen reagierte auf Feedback aus der Unternehmenspraxis.

Passend zum Thema Gerätesicherheit: Viele Unternehmen unterschätzen, wie schnell frisch ausgelieferte PCs durch veraltete Images zur Angriffsfläche werden. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ erklärt praxisnah, welche konkreten Maßnahmen IT‑Verantwortliche sofort umsetzen können — von Update‑Strategien über Zero‑Trust‑Ansätze bis zu Awareness‑Programmen für Anwender. Er eignet sich besonders für Teams, die Autopilot‑Rollouts und Update‑Policies sicher planen wollen. Jetzt kostenloses Cyber-Security-E‑Book für IT-Verantwortliche herunterladen

Im Dezember 2025 verkündete Microsoft die Wende hin zu einem „Opt-in“-Modell. Der Grund: Vorhersehbare Bereitstellungszeiten sind für IT-Abteilungen oft wichtiger als sofortige Patches. Ein automatisches Update kann den Setup-Vorgang im Schnitt um 20 Minuten verlängern – eine Verzögerung, die bei der Auslieferung hunderter neuer Laptops ins Gewicht fällt.

„Die Entscheidung spiegelt den Wunsch nach Planbarkeit wider“, kommentiert ein Branchenbeobachter. „In Niederlassungen mit schwacher Internetanbindung hätten standardmäßige Updates ungeplante Verzögerungen verursacht.“

So funktioniert die neue Richtlinie

Die Funktion richtet sich klar an professionell verwaltete Umgebungen. Voraussetzungen sind:
* Windows 11, Version 22H2 oder höher
* Geräte müssen Microsoft Entra joined oder Microsoft Entra hybrid joined sein
* Die Policy wird im Enrollment Status Page (ESP)-Profil in Intune verwaltet

Ist die Option aktiviert, sucht das Gerät noch vor Erreichen des Desktops nach dem neuesten kumulativen Update, lädt es herunter und installiert es. Dies schließt eine kritische Sicherheitslücke: Bisher starteten viele neue Geräte mit einem Monate alten Windows-Image und blieben so lange verwundbar, bis der Hintergrund-Update-Dienst aktiv wurde.

Wichtig ist die Abgrenzung zu Zero Day Package (ZDP)-Updates. Diese kritischen Patches für den OOBE-Prozess selbst bleiben obligatorisch und automatisch. AllowOOBEUpdates betrifft hingegen die regulären monatlichen Qualitätsupdates.

Der Preis der sofortigen Sicherheit: Zeit

Der Sicherheitsgewinn hat einen konkreten Nachteil: längere Bereitstellungszeiten. Während der „Geräteeinrichtung“ sieht der Nutzer einen Bildschirm, der den Update-Fortschritt anzeigt. Die Dauer hängt stark von Hardware und Internetverbindung ab.

Für Heimarbeiter, die sich von potenziell unsicheren Netzwerken aus verbinden, ist die sofortige Aktualisierung ein großer Vorteil. Für IT-Teams, die im Feld dringend ein defektes Gerät ersetzen müssen, kann die zusätzliche Wartezeit jedoch ein Problem darstellen. Microsoft überlässt die Abwägung nun den Administratoren vor Ort.

Ausblick: Was bedeutet das für Unternehmen?

Das Rollout der Policy zeigt, wie Microsoft seine Cloud-Verwaltungstools weiter verfeinert. Windows Autopilot wird zum Standard für die Gerätebereitstellung – und mit ihm wachsen die Kontrollmöglichkeiten.

Die aktuelle Maßnahme für IT-Administratoren ist klar: Sie müssen ihre Windows Autopilot-Profile überprüfen. Unternehmen, für die Sicherheit Priorität hat, sollten die Policy jetzt in Pilotgruppen testen. Wer mit den aktuellen Bereitstellungszeiten zufrieden ist, kann abwarten – der Standardzustand „Aus“ verändert nichts an bestehenden Abläufen.

Zum Start des Hardware-Refresh-Zyklus 2026 bietet Microsoft damit ein mächtiges Werkzeug. Es stellt sicher, dass neue PCs nicht nur fabrikneu, sondern auch sicherheitsaktuell ausgeliefert werden können – wenn die IT-Abteilung es wünscht.

Übrigens: Gerade bei großen Hardware‑Rollouts entscheidet nicht nur ein einzelnes Update über die Sicherheit Ihres Bestands, sondern ein abgestimmtes Konzept aus Prozessen und Schulungen. Dieses kostenlose E‑Book fasst aktuelle Bedrohungstrends, Compliance‑Anforderungen und pragmatische Schutzmaßnahmen zusammen, die IT‑Teams sofort einführen können. Besonders nützlich sind die Kapitel zu Risikoanalyse, Phishing‑Prävention und Awareness‑Trainings — ideal als Entscheidungsgrundlage für Autopilot‑Profile und Update‑Strategien. Gratis‑Leitfaden „Cyber Security Awareness Trends“ anfordern