Microsoft ändert ab dem Mai-Sicherheitsupdate 2026 das Standardverhalten in Windows Autopatch: Für geeignete, verwaltete Geräte werden Hotpatch-Updates standardmäßig aktiviert.
Gemeint sind Geräte in Microsoft Intune sowie Umgebungen, die den Dienst über die Microsoft Graph API ansteuern. Wichtig ist dabei die Einschränkung: Die neue Voreinstellung gilt nicht pauschal für alle Windows-Geräte, sondern nur für hotpatch-fähige Endpunkte und in der Praxis vor allem dort, wo Geräte nicht bereits einer eigenen Quality-Update-Richtlinie zugewiesen sind. Bestehende Richtlinien haben weiterhin Vorrang.
Für Unternehmen ist das vor allem operativ relevant. Hotpatch installiert die monatlichen B-Sicherheitsupdates, ohne dass dafür unmittelbar ein Neustart erforderlich ist. Laut Microsoft werden die Updates nach der Installation direkt wirksam. Das soll die Zeit bis zur Sicherheits-Compliance verkürzen und gleichzeitig Unterbrechungen für Anwender reduzieren. Microsoft verweist dazu auf Kundendaten aus vier Umgebungen mit 30.000 bis 70.000 Geräten, in denen 90 Prozent Patch-Compliance in etwa der halben bisherigen Zeit erreicht worden seien. Microsoft nennt zudem mehr als 10 Millionen produktive Geräte, die bereits für Hotpatch registriert sind.
Für IT-Entscheider ist entscheidend, was sich nicht ändert
Microsoft beschreibt Hotpatch nicht als kompletten Ersatz für klassische kumulative Updates. Das Verfahren läuft in einem quartalsweisen Zyklus. In den Monaten Januar, April, Juli und Oktober wird jeweils ein Baseline-Update mit Neustart installiert. In den beiden Folgemonaten des Quartals kommen dann Hotpatch-Updates ohne Neustart. Der praktische Effekt: weniger geplante Reboots im Regelbetrieb, aber kein vollständiger Verzicht auf Neustarts.
Ebenso wichtig sind die Voraussetzungen. Hotpatch erfordert laut Microsoft unter anderem Windows 11 Enterprise, Version 24H2 oder höher, eine berechtigte Lizenz, Microsoft Intune, den aktuellen Baseline-Stand sowie aktivierte virtualization-based security (VBS). In der Microsoft-Dokumentation werden als geeignete Lizenzen unter anderem Windows 11 Enterprise E3/E5, Microsoft 365 F3, Windows 11 Education A3/A5, Microsoft 365 Business Premium und Windows 365 Enterprise genannt. Geräte, die diese Anforderungen nicht erfüllen, werden weiter über den regulären Update-Mechanismus versorgt.
Für den konkreten Start im Mai 2026 nennt Microsoft außerdem eine klare Bedingung: Geräte müssen zunächst das April-Sicherheitsupdate 2026 als aktuelle Baseline erhalten haben. Erst danach starten sie mit dem Hotpatch-Zyklus ab Mai 2026. Ab 1. April 2026 stellt Microsoft zusätzliche Steuerungsoptionen bereit, falls Unternehmen die neue Standardaktivierung zunächst nicht übernehmen wollen.
Einordnung für B2B und Enterprise-IT
Für B2B-Organisationen liegt der Nutzen weniger in einer „neuen Update-Funktion“ als in einer Änderung des Standardbetriebs: Hotpatch selbst ist auf dem Windows-Client nicht neu, sondern für x64-Geräte seit April 2025 allgemein verfügbar; für Arm64-Geräte meldete Microsoft die allgemeine Verfügbarkeit im Juli 2025. Neu ist jetzt, dass Microsoft die Funktion in Windows Autopatch ab Mai 2026 standardmäßig einschaltet, sofern Geräte die Voraussetzungen erfüllen. Für IT-Abteilungen bedeutet das vor allem weniger manuelle Steuerung, schnellere Wirksamkeit von Security-Updates und potenziell weniger Reibung im laufenden Betrieb — vorausgesetzt, Intune, Windows 11 24H2, VBS und die Update-Richtlinien sind sauber vorbereitet.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.