Microsoft begründet die neue Voreinstellung damit, dass Hotpatch-Updates der schnellste Weg zu einem abgesicherten System seien. „Ab dem Windows-Sicherheitsupdate im Mai 2026 aktiviert Windows Autopatch Hotpatch-Sicherheitsupdates standardmäßig, weil sie der schnellste Weg zu einem sicheren Zustand sind. Diese Änderung des Standardverhaltens betrifft alle berechtigten Microsoft-Intune-Geräte. Zusätzliche IT-Steuerungen folgen im April“, erklärte das Unternehmen.
Die Voreinstellung lässt sich nach Angaben von Microsoft auf Mandantenebene wieder abschalten und gezielt für einzelne Geräte aktivieren oder deaktivieren. Wer Hotpatch-Updates als Standard zulassen möchte, stellt die Option „Bei Verfügbarkeit ohne Neustart des Geräts anwenden (Hotpatch)“ wieder auf „Zulassen“.
Ob Geräte bereit sind, können Administratoren über den Bericht zu Hotpatch-Qualitätsupdates in Intune prüfen. Dort lässt sich kontrollieren, ob die Geräte das Baseline-Update von April 2026 installiert haben und die Voraussetzungen für den Empfang der Hotpatch-Updates im Mai erfüllen.
Organisationen, die noch nicht so weit sind, können sich auf Mandantenebene über entsprechende Steuerungen in Microsoft Intune abmelden; diese sollen am 1. April 2026 verfügbar werden. Da der April ein Baseline-Monat ist, bleibt Administratoren bis zum 11. Mai 2026 Zeit, bevor Hotpatch-Updates ausgerollt werden – genug Spielraum, um die Einstellungen zu prüfen und anzupassen.
Windows Autopatch wurde erstmals im April 2022 angekündigt und erreichte im Juli 2022 die allgemeine Verfügbarkeit für Kunden mit Windows-Enterprise-Lizenzen der Stufen E3 und E5. Nach Angaben von Microsoft läuft der Dienst inzwischen auf mehr als zehn Millionen Produktivgeräten und spielt Sicherheitskorrekturen im Moment ihrer Installation ein, ohne dass ein Neustart erforderlich ist.
