[English]Wenn Windows 10 22H2 am 14. Oktober 2025 planmäßig aus dem Support fällt, können Unternehmen sogenannte Extended Security Update-Lizenzen (ESU) aus dem betreffenden Programm buchen. Administratoren, die größere Client-Flotten mit Windows 10 22H2 über Microsoft Intune verwalten, können die ESU-Lizenzen dort aktivieren.
Ich hatte mich hier im Blog ja bereits ausgiebig zum Supportende von Windows 10 22H2 zum 14. Oktober 2025 geäußert. Supportende (End of Life, EOL) bedeutet, dass die Produkte zwar weiter funktionieren, aber keine Unterstützung oder Sicherheitsupdates von Microsoft mehr bekommen. Aber es gibt Möglichkeiten, über das kostenpflichtige Extended Security Update Program (ESU) weiterhin Updates zu bekommen.
Für Firmenumgebungen mit Windows 10 Pro, Enterprise und Education gibt es ESU für drei Jahre und das Ganze beginnt ab 61 US-Dollar. Der Preis für eine Lizenz verdoppelt sich jedes Jahr. Ist ein Windows 10 22H2-Client mit einer ESU-Lizenz aktiviert, bekommt er die Updates weiterhin wie gewohnt über Windows Update.
Die ESU-Lizenzen für Firmen soll es meines Wissens ab September 2025 bei Cloud Solution Providern (CSP) zu kaufen geben.
Wie aktiviere ich ESU per Intune?
Bei Windows 7 erinnere ich mich, dass es einige Fummelei war, meinen Client die gültige ESU-Lizenz zuzuweisen. Bei vielen hundert Clients ist das eine aufwändige Angelegenheit für Administratoren. Microsoft will die Aktivierung entsprechender ESU-Lizenzen aber über Microsoft Intune unterstützen. Raphael hat mich die Tage über Facebook auf den Techcommunity-Artikel Enabling Extended Security Updates (ESU) for Windows 10 with Intune hingewiesen (danke dafür).
Jon Warnken, Cloud Solutions Architect, hat eine Anleitung zur Aktivierung von Extended Security Updates (ESU) für Windows 10 22H2 mittels Intune erstellt. Die Anleitung soll insbesondere für Systeme helfen, die nicht auf Windows 11 aktualisiert werden können.
Wer die benötigten kostenpflichtigen Lizenzen über eine Registrierung der betroffenen Windows 10-Systeme im ESU-Programm erworben hat, muss im nächsten Schritt die Installation und Aktivierung des ESU-Schlüssels für jeden Client vornehmen (siehe Enable Extended Security Updates (ESU)).
Um eine ESU-Lizenz auf dem Client aktivieren zu können, muss unter Windows 10 22H2 das Update KB5046613 oder höher installiert sein. Der Windows 10-Client benötigt Zugriff auf die Netzwerkendpunkte, die für die Client-Aktivierung erforderlich sind. Und der Prozess, der für die Aktivierung verwendet wird, benötigt administrative Berechtigungen auf dem Gerät.
Im Blog-Beitrag stellt Warken ein PowerShell-Script bereit, mit dem die betreffenden Voraussetzungen zur ESU-Aktivierung auf dem Windows 10 22H2-Client geprüft werden können. Anschließend beschreibt er, wie die ESU-Aktivierung mittels Scripten über Intune für die Clients erfolgen kann.
Ähnliche Artikel:
Windows 10: Überraschung, es gibt ESU-Supportverlängerung; auch für Privatanwender
Windows 10: Preise für Extended Security Updates bekannt gegeben
Microsoft will 30 US-$ für 1 Jahr Windows 10-Supportverlängerung
Windows 10: 0patch sorgt für 5 Jahre Zusatzsupport
Microsoft will 30 US-$ für 1 Jahr Windows 10-Supportverlängerung
Windows 10: 0patch sorgt für 5 Jahre Zusatzsupport
MS-Marketing-FUD: Windows 11 ist für kurze Zeit gratis; Support für Microsoft 365 App endet im Oktober 2025 für Windows 10
OneNote-App für Windows 10: Einschränkungen ab Juni; Supportende im Oktober 2025
MS-Marketing-FUD: Windows 11 ist für kurze Zeit gratis; Support für Microsoft 365 App endet im Oktober 2025 für Windows 10
Support für Microsoft 365 für Windows 10 ESU-Systeme um 3 Jahre verlängert
14. Oktober 2025: Support-Ende für Windows 10 und weitere Software
Windows 10: Neues zum ESU-Programm – Gratis-Option für Einzelnutzer
MVP: 2013 – 2016
Danke für den Link und Hinweis, das man ESU auch per Intune verteilen kann. So wie ich aber verstanden habe, erhalte ich für jeden Client eine eigene MAK. Aber in den Scripten wird sehe ich nur die Möglichkeit, das ich EINE Key angeben kann.
Das M in MAK steht für Multiple
Somit kannst du mit einem Key soviel Geräte aktivieren wie du gekauft hast.
Du kann Remediation nehmen oder eine Win32 App, ….
Wenn du wirklich Intune hast kommen noch weitere Probleme auf dich zu.
Hallo,
ja, ist schon klar, dass man Scripte auch über Intune verteilen kann – das ist nicht das Problem. Die Aktivierung selbst funktioniert ebenfalls problemlos.
Aber: die Updates kommen nicht. Ich gehe davon aus, dass jeder, der Intune nutzt, auch Windows Update for Business (WUfB) aktiviert hat. Und genau da liegt das Problem: über WUfB werden die ESU-Updates nicht verteilt.
Das bedeutet:
– Man muss eine eigene Gerätegruppe für die ESU-Clients anlegen
– Dann braucht man eine Gegen-Policy, die WUfB für diese Gruppe deaktiviert und stattdessen das klassische Consumer-Windows-Update reaktiviert
– Zusätzlich müssen die bestehenden Update-Ringe für diese Gruppe deaktiviert werden
– Und je nach Setup müssen eventuell noch Registry-Einträge entfernt werden, weil Intune das nicht vollständig abbilden kann
Lt. ChatGPT:
„Windows 10 ESU in einer Intune-/WUfB-Umgebung ist der mit Abstand beschissenste Weg, den Microsoft hätte wählen können. Es ist teuer, verwirrend, technisch uneinheitlich, schlecht dokumentiert, und es passt überhaupt nicht in moderne MEM-/Intune-Deployments. Und du bist gerade an dem Punkt, den jeder Enterprise-Admin jetzt durchläuft, der noch W10-Clients hat."
Damit du nicht in diesem Chaos hängenbleibst, hier die klare Strategie, wie du ESU-Geräte in Intune sauber trennst:
– ❌ Kein WUfB für ESU-Clients
– ❌ Keine Zuweisung zu bestehenden Update-Ringen
– ❌ Keine Feature-/Quality-Update-Policies auf diese Gruppe anwenden
– ✔ ESU-LCUs manuell oder per Intune LOB Script + MDM verteilen
– ✔ Compliance und Reporting trotzdem erhalten