Este é definitivamente um equilíbrio para o seu ambiente. Existem dois campos diametralmente opostos sobre se deve ou não atualizar o Java automaticamente:
O caso de
Java is an extremely common exploit vector. J. Random Website and their ad-providers can and do load java to exploit stuff. Since this is Java, it'll exploit not just IE users but Chrome and Firefox users as well. The malware writers really like it since it's installed everywhere and not commonly updated. Keeping it updated means less machines requiring rebuilds due to malware infestations.
O caso contra
It breaks our Java apps when we update. We have to test each and every one, and doing so for each and every bugfix release is too expensive.
Se o seu escritório não estiver usando aplicativos Java, o segundo caso não será relevante. Meu escritório faz; Existem duas peças de hardware que possuem consoles Java, esses consoles não são atualizados com uma frequência suficiente, então temos que manter instalações java antigas / danificadas apenas para usá-las. Você pode não ter esse problema.
Descobri que as implementações de software baseadas em Java e GPO realmente combinam razoavelmente bem. Melhor ainda, não é tão difícil chegar ao MSI necessário. Alguns cliques , e todos receberão o Java atualizado na próxima reinicialização. Pode haver hacks de registro para fazer isso diretamente no atualizador Java, mas não tenho certeza do que eles são.