Problemet

Når Microsoft 365 Apps styres av en miks av distribusjons-XML, Intune Administrative Templates og Cloud Update-profiler, kan oppdateringsadferden bli vanskelig å forutsi.

Denne guiden beskriver en overgang fra blandet styring til én tydelig modell: Cloud Update som eneste styringsmekanisme med Monthly Enterprise Channel som mål.

Rammer

  • Intune-administrerte Windows 11-enheter (Entra-tilknyttet, Autopilot-klargjort)
  • Microsoft 365 E3 og A5-lisenser
  • M365 Apps for Enterprise (64-bit, norsk språkpakke)
  • config.office.com Cloud Update med to aktive profiler (Monthly Enterprise Channel og Current Channel)
  • Intune Administrative Template-policy rettet mot alle enheter med oppdateringsinnstillinger aktivert

Beslutning

Tre lag kan overlappe og skape styringskonflikter:

Lag 1: Distribusjons-XMLen

M365 Apps ble rullet ut via Intune med en ODT-konfigurasjons-XML som brukte Channel="Current". Det betyr at nye enheter starter på Current Channel hvis ikke dette endres.

<!-- Originalt — feil kanal -->
<Add OfficeClientEdition="64" Channel="Current" MigrateArch="TRUE">

Lag 2: Intune Administrative Template

En eldre Office updates Administrative Template-policy var bredt tildelt med disse innstillingene aktivert:

  • Target Version: Enabled
  • Enable Automatic Updates: Enabled
  • Update Channel: Enabled
  • Hide option to enable or disable updates: Enabled
  • Update Deadline: Enabled

Disse innstillingene skriver til registret under HKLM:\SOFTWARE\Policies\Microsoft\office\16.0\common\officeupdate. Når disse GPO-baserte registernøklene finnes, kan ikke Cloud Update (config.office.com) ta styringskontroll over enheten. Microsoft dokumenterer at Cloud Update viker for GPO/Intune-policy registernøkler når de er til stede.

Hvis Target Version var låst til en eldre build, ville enheten aldri oppdatere forbi den. Hvis verdien var tom men Enabled, kunne det fortsatt forårsake uforutsigbar oppførsel sammen med Cloud Update.

Lag 3: Cloud Update (config.office.com)

To oppdateringsprofiler var aktive: én for Monthly Enterprise Channel og én for Current Channel, begge rettet bredt mot enheter. Når dette overlapper med Admin Template-registernøkler, blir kanalstyringen uforutsigbar.

Resultat

Typisk resultat i denne blandede modellen: enheter blir stående på uønsket kanal, og Cloud Update får ikke håndhevet forventet policy konsekvent.

Implementering

Løsningen er å konsolidere til én styringsmekanisme — Cloud Update via config.office.com — og fjerne alt som konkurrerer med den.

Steg 1: Oppdater distribusjons-XMLen

Oppdater M365 Apps Intune-distribusjonen til å bruke Monthly Enterprise Channel for alle nye enheter:

<!-- Konfigurasjons-ID genereres av config.office.com — generer din egen på https://config.office.com -->
<Configuration ID="xxx-xxx-xxx">
  <Add OfficeClientEdition="64" Channel="MonthlyEnterprise" MigrateArch="TRUE">
    <Product ID="O365ProPlusRetail">
      <Language ID="nb-no" />
      <!-- Ekskluder apper som ikke trengs i organisasjonen -->
      <ExcludeApp ID="Access" />
      <ExcludeApp ID="Groove" />   <!-- OneDrive for Business gammel synkklient -->
      <ExcludeApp ID="Lync" />     <!-- Skype for Business — utfaset -->
      <ExcludeApp ID="MSTeams" />  <!-- Gammel Teams — Nye Teams installeres  -->
    </Product>
  </Add>

  <!-- Lisensiering — alt deaktivert for standard brukerbasert lisensiering -->
  <Property Name="SharedComputerLicensing" Value="0" />
  <Property Name="SCLCacheOverride" Value="0" />
  <Property Name="AUTOACTIVATE" Value="0" />
  <Property Name="DeviceBasedLicensing" Value="0" />

  <!-- Tving lukking av Office-apper under installasjon for å unngå at den henger -->
  <Property Name="FORCEAPPSHUTDOWN" Value="TRUE" />

  <!-- Ingen <Updates>-element — Cloud Update (config.office.com) styrer oppdateringer.
       Oppdateringsinnstillinger her ville konfliktet med Cloud Update. -->

  <AppSettings>
    <Setup Name="Company" Value="Org navn" />
    <!-- Standard lagringsformat: Excel=.xlsx (51), PowerPoint=.pptx (27), Word=.docx (standard) -->
    <User Key="software\microsoft\office\16.0\excel\options"
          Name="defaultformat" Value="51" Type="REG_DWORD"
          App="excel16" Id="L_SaveExcelfilesas" />
    <User Key="software\microsoft\office\16.0\powerpoint\options"
          Name="defaultformat" Value="27" Type="REG_DWORD"
          App="ppt16" Id="L_SavePowerPointfilesas" />
    <User Key="software\microsoft\office\16.0\word\options"
          Name="defaultformat" Value="" Type="REG_SZ"
          App="word16" Id="L_SaveWordfilesas" />
  </AppSettings>

  <!-- Full installasjonsvisning med automatisk godkjenning av lisensavtale -->
  <Display Level="Full" AcceptEULA="TRUE" />
</Configuration>

Dette påvirker kun nye installasjoner. Eksisterende enheter trenger proactive remediation nedenfor.

Steg 2: Slett Intune Administrative Template

Fjern den eldre Office updates Administrative Template-policyen fra Intune. Dette er det kritiske steget. Så lenge policyen finnes, vil den fortsette å skrive blokkerende registernøkler ved hver policy-synkronisering og overstyre remediasjonsskript.

Naviger til: Intune Admin Center → Devices → Configuration → [eldre Office updates-policy] → Delete

Hvis du trenger å beholde innstillingen “Hide option to enable or disable updates”, opprett en ny minimal policy med kun den innstillingen og sett alt annet til Not Configured.

Steg 3: Konfigurer Cloud Update som eneste styringsmekanisme

I config.office.com → Cloud Update:

  1. Bekreft at Monthly Enterprise-profilen er aktiv
  2. Sett en fornuftig Update Deadline (f.eks. 48 eller 72 timer for sikkerhetsoppdateringer)
  3. Vurder å aktivere Rollout waves for å rulle ut oppdateringer gradvis via pilot- og produksjonsgrupper
  4. Sjekk Current Channel-profilen — når alle enheter migrerer til MEC, vil denne profilen ha null enheter

Steg 4: Rull ut proactive remediation for å bytte kanal på eksisterende enheter

Eksisterende enheter som fortsatt er på Current Channel med blokkerende registernøkler trenger aktiv remediering. Distribuer dette som et Proactive Remediation-skriptpar i Intune.

Deteksjonsskript — sjekker CDNBaseUrl, UpdateChannel, og blokkerende GPO-registernøkler:

# Monthly Enterprise Channel CDNBaseUrl
$targetCDNBaseUrl = "http://officecdn.microsoft.com/pr/55336b82-a18d-4dd6-b5f6-9e5095c314a6"
$c2rRegPath = "HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration"
$policiesRegPath = "HKLM:\SOFTWARE\Policies\Microsoft\office\16.0\common\officeupdate"

# Sjekk CDNBaseUrl (effektiv kanal)
$currentCDN = (Get-ItemProperty -Path $c2rRegPath -Name "CDNBaseUrl" -ErrorAction SilentlyContinue).CDNBaseUrl
if ($currentCDN -ne $targetCDNBaseUrl) { $nonCompliant = $true }

# Sjekk for blokkerende policy-nøkler som hindrer Cloud Update
foreach ($key in @("updatebranch", "updatepath", "updatetargetversion")) {
    $value = (Get-ItemProperty -Path $policiesRegPath -Name $key -ErrorAction SilentlyContinue).$key
    if ($null -ne $value -and $value -ne "") { $nonCompliant = $true }
}

# Fullt skript: https://github.com/Thugney/eriteach-scripts/blob/main/intune/remediations/m365apps-channel-switch-detection.ps1

Remediasjonsskript — fjerner blokkerende nøkler, setter riktig kanal, starter oppdateringssjekk og verifiserer:

# Fjern blokkerende policy-nøkler
foreach ($key in @("updatebranch", "updatepath", "updatetargetversion",
                   "enableautomaticupdates", "updatedeadline")) {
    Remove-ItemProperty -Path $policiesRegPath -Name $key -Force -ErrorAction SilentlyContinue
}

# Sett CDNBaseUrl og UpdateChannel til Monthly Enterprise Channel
Set-ItemProperty -Path $c2rRegPath -Name "CDNBaseUrl" -Value $targetCDNBaseUrl -Force
Set-ItemProperty -Path $c2rRegPath -Name "UpdateChannel" -Value $targetCDNBaseUrl -Force

# Start Office-oppdateringssjekk
$c2rExe = Join-Path $env:CommonProgramFiles "Microsoft Shared\ClickToRun\OfficeC2RClient.exe"
Start-Process -FilePath $c2rExe -ArgumentList "/update user displaylevel=false forceappshutdown=false" -Wait -NoNewWindow

# Fullt skript: https://github.com/Thugney/eriteach-scripts/blob/main/intune/remediations/m365apps-channel-switch-remediation.ps1

Distribuer i Intune: Devices → Remediations → Create script package, planlegg daglig, kjør som System (64-bit).

Steg 5: Overvåk

Etter utrulling, overvåk fra to steder:

  • config.office.com → Cloud Update → Monthly Enterprise → Overview — se at enheter dukker opp under MEC-styring
  • Intune Admin Center → Reports → Microsoft 365 Apps updates — se at risikotrenden går ned

Gi det 48–72 timer for at hele enhetsflåten skal bytte kanal og hente siste MEC-build.

Resultat

Praktisk regel: unngå å kjøre mer enn én styringsmekanisme for M365 Apps-oppdateringer samtidig.

Velg én av disse og bruk den eksklusivt:

StyringsmekanismePasser best forHvordan den styrer oppdateringer
Cloud Update (config.office.com)De fleste organisasjonerTjenestebasert styring, rollout waves, fristbasert håndhevelse
Intune Admin TemplateOrganisasjoner som trenger granulær GPO-kontrollRegisterbasert policy, fastlåste versjoner, kanalkontroll
Oppdateringsprofil via IntuneIntune-først-styringM365 Apps-oppdateringspolicyer i Intune-portalen

Hvis du bruker Cloud Update, bør du ikke samtidig sette Update Channel, Target Version eller Update Path via Intune Administrative Templates eller GPO. De registernøklene kan blokkere Cloud Update-styring.

Distribusjons-XMLens kanal bør også samsvare med den tiltenkte oppdateringskanalen, slik at nye enheter ikke trenger kanalbytte etter installasjon. Og kritisk viktig — ikke inkluder et <Updates>-element i XMLen hvis Cloud Update er din styringsmekanisme.

Avveininger

Relaterte lenker