Acelerar las actualizaciones de calidad de Windows 10 en Microsoft Intune
Con las actualizaciones de calidad para la directiva de Windows 10 y versiones posteriores , puede acelerar la instalación de las actualizaciones de seguridad de Windows 10/11 más recientes en los dispositivos que administra con Microsoft Intune. La implementación de actualizaciones rápidas se realiza sin necesidad de pausar o editar las directivas de actualización mensuales existentes. Por ejemplo, podría acelerar una actualización específica para mitigar una amenaza de seguridad cuando el proceso de actualización normal no implementaría la actualización durante algún tiempo.
No todas las actualizaciones se pueden acelerar. Actualmente, solo aquellas actualizaciones de seguridad de Windows 10/11 que pueden acelerarse estarán disponibles para implementarse con la directiva de actualizaciones de calidad de Windows 10. Para administrar las actualizaciones de calidad mensuales periódicas, use las Directivas para el anillo de actualización para Windows 10 y versiones posteriores.
Funcionamiento de las actualizaciones rápidas
Con actualizaciones rápidas, puede acelerar la instalación de actualizaciones de calidad, como la versión del martes de revisión más reciente o una actualización de seguridad fuera de banda para un error de día cero.
Las directivas de actualización rápida invalidan temporalmente los aplazamientos y otras configuraciones para instalar las actualizaciones lo antes posible. Este proceso permite a los dispositivos iniciar la descarga e instalación de una actualización acelerada sin tener que esperar a que el dispositivo compruebe si hay actualizaciones.
El tiempo real necesario para que un dispositivo inicie una actualización depende de la conectividad a Internet del dispositivo, su tiempo de examen, si los canales de comunicación con el dispositivo están funcionando y otros factores como el tiempo de procesamiento en la nube.
Para cada directiva de actualización acelerada, seleccione una única actualización para implementar en función de su fecha de lanzamiento. Con la fecha de lanzamiento, no es necesario crear directivas independientes para implementar diferentes instancias de esa actualización en dispositivos que tengan versiones diferentes de Windows, como Windows 10 versión 1809, 1909, etc.
Windows Update evalúa la compilación y la arquitectura de cada dispositivo y, a continuación, entrega la versión de la actualización que se aplica.
Solo los dispositivos que necesitan la actualización reciben la actualización rápida:
- Windows Update no intenta acelerar la actualización de los dispositivos que ya tienen una revisión igual o mayor que la versión de actualización.
- En el caso de los dispositivos con una versión de compilación inferior a la de la actualización, Windows Update confirma que el dispositivo sigue necesitando la actualización antes de instalarla.
Importante
En algunos escenarios, Windows Update puede instalar una actualización más reciente que la actualización especificada en la directiva de actualización rápida. Para obtener más información sobre este escenario, consulte Acerca de la instalación de la actualización aplicable más reciente más adelante en este artículo.
Las directivas de actualización rápida ignoran y reemplazan cualquier período de aplazamiento de actualizaciones de calidad por la versión de actualización que implemente. Puede configurar el aplazamiento de las actualizaciones de calidad mediante el uso de los Anillos de actualización de Windows de Intune y de la configuración del Período de aplazamiento de las actualizaciones de calidad.
Cuando se requiera un reinicio para completar la instalación de la actualización, la directiva le ayudará a administrar el reinicio. En la directiva, puede configurar un período en el que los usuarios tengan que reiniciar un dispositivo antes de que la directiva fuerce un reinicio automático. Los usuarios también pueden optar por programar el reinicio o dejar que el dispositivo intente encontrar el mejor momento fuera de las horas activas de los dispositivos. Antes de alcanzar la fecha límite de reinicio, el dispositivo muestra notificaciones para alertar a los usuarios del dispositivo sobre la fecha límite e incluye opciones para programar el reinicio.
Si un dispositivo no se reinicia antes de la fecha límite, el reinicio puede producirse en medio del día laborable. Para obtener más información sobre el comportamiento de reinicio, consulte Aplicación de fechas límite de cumplimiento para las actualizaciones.
No se recomiendan actualizaciones rápidas para el mantenimiento normal de actualizaciones de calidad mensuales. En su lugar, considere la posibilidad de usar los valores de la fecha límite desde una directiva de Anillos de actualización para Windows 10 y versiones posteriores. Para obtener información, consulte Usar los valores de la fecha límite en la configuración de la experiencia del usuario en la Configuración de Windows Update.
Requisitos previos
Importante
Esta característica no se admite en entornos de nube de GCC y GCC High/DoD.
Habilitar la activación de suscripciones con un EA existente no es aplicable a los entornos de nube de GCC y GCC High/DoD para las funcionalidades de WuFB-DS.
Estos son los requisitos necesarios para instalar actualizaciones rápidas de calidad con Intune:
Licencias:
Además de una licencia para Intune, su organización debe tener una de las siguientes suscripciones que incluyan una licencia para el servicio de implementación de Windows Update para empresas:
- Windows 10/11 Enterprise E3 o E5 (incluido en Microsoft 365 F3, E3 o E5)
- Windows 10/11 Education A3 o A5 (incluido en Microsoft 365 A3 o A5)
- Windows Virtual Desktop Access E3 o E5
- Microsoft 365 Empresa Premium
A partir de noviembre de 2022, se comprobará y aplicará la licencia del servicio de implementación de Windows Update para empresas (WUfB ds).
Si está bloqueado al crear nuevas directivas para las funcionalidades que requieren WUfB ds y obtiene sus licencias para usar WUfB a través de un Contrato Enterprise (EA), póngase en contacto con el origen de sus licencias, como el equipo de su cuenta Microsoft o el asociado que le vendió las licencias. El equipo o asociado de la cuenta puede confirmar que las licencias de los inquilinos cumplen los requisitos de licencia de WUfB ds. Consulte Habilitación de la activación de suscripciones con un ea existente.
Versiones compatibles de Windows 10/11:
- Versiones de Windows 10/11 que siguen siendo compatibles con el mantenimiento en la arquitectura x86 o x64
Solo se admiten las compilaciones de actualización que están disponibles con carácter general. Las compilaciones en versiones preliminares, incluidos los canales con versiones beta y para programadores, no se admiten con actualizaciones rápidas.
Ediciones compatibles de Windows 10/11:
- Professional
- Enterprise
- Educación
- Pro Education
- Pro for Workstations
Los dispositivos deben:
Inscribirse en MDM de Intune .
Estar unido a Microsoft Entra o unido a Microsoft Entra híbrido. No se admite Workplace Join.
Tener acceso a los puntos de conexión. Para obtener una lista detallada de los puntos de conexión necesarios para los servicios asociados enumerados aquí, consulte Puntos de conexión de red.
- Windows Update
- Servicio de implementación de Windows Update para empresas
- Servicios de notificaciones de inserción de Windows: (recomendado, pero no obligatorio. Sin este acceso, es posible que los dispositivos no aceleren las actualizaciones hasta su próxima comprobación diaria de las actualizaciones).
Estar configurados para obtener actualizaciones de calidad directamente desde el servicio Windows Update.
Tener instaladas Update Health Tools, que se instalan con KB 4023057: Actualización para componentes del servicio de actualización de Windows 10. Para confirmar la presencia de Update Health Tools en un dispositivo:
- Busque la carpeta C:\Archivos de programa\Microsoft Update Health Tools o revise Agregar o quitar programas para Microsoft Update Health Tools.
- Como administrador, ejecute el siguiente script de PowerShell:
$Session = New-Object -ComObject Microsoft.Update.Session $Searcher = $Session.CreateUpdateSearcher() $historyCount = $Searcher.GetTotalHistoryCount() $list = $Searcher.QueryHistory(0, $historyCount) | Select-Object -Property "Title" foreach ($update in $list) { if ($update.Title.Contains("4023057")) { return 1 } } return 0
Si el script devuelve un 1, el dispositivo tiene el cliente UHS. Si el script devuelve un 0, el dispositivo no tiene cliente UHS.
Configuración del dispositivo:
Para ayudar a evitar conflictos o configuraciones que puedan bloquear la instalación de las actualizaciones rápidas, configure los dispositivos de la manera siguiente. Puede usar las directivas de Intune Actualizar anillos para Windows 10 y versiones posteriores para administrar esta configuración.
Configuración del anillo de actualización | Valor recomendado |
---|---|
Habilitación de compilaciones de versión preliminar | Esta configuración debe establecerse en No configurado. Las compilaciones en versiones preliminares, incluidos los canales con versiones beta y para programadores, no se admiten con actualizaciones rápidas. |
Comportamiento de las actualizaciones automáticas |
Restablecer valores predeterminados Otros valores pueden provocar una experiencia de usuario deficiente y ralentizar el proceso para acelerar las actualizaciones. |
Cambiar el nivel de actualización de las notificaciones | Use cualquier valor distinto de Desactivar todas las notificaciones, incluidas las advertencias de reinicio. |
Para obtener más información sobre esta configuración, consulte CSP de directiva: actualización.
La configuración de directiva de grupo reemplaza las directivas de administración de dispositivos móviles y la siguiente lista de configuración de directiva de grupo puede interferir con la directiva de aceleración. En aquellos dispositivos en los que la directiva de grupo administró esta configuración, restáurela a sus valores predeterminados de dispositivo (Sin configurar):
- CorpWuURL: especifique la ubicación del servicio Microsoft Update en la intranet.
- AutoUpdateCfg: configure las actualizaciones automáticas.
- DeferFeatureUpdates: seleccione cuándo se reciben las versiones preliminares y las actualizaciones de características.
- Deshabilitar examen dual: No permita que las directivas de aplazamiento de las actualizaciones hagan exámenes contra Windows Update.
Supervisión e informes:
Para poder supervisar los resultados y el estado de actualización de las actualizaciones rápidas, el inquilino de Intune debe habilitar la recopilación de datos.
Limitaciones de los dispositivos unidos al área de trabajo
Las directivas de Intune para actualizaciones de calidad para Windows 10 y versiones posteriores requieren el uso de Windows Update para empresas (WUfB) y el servicio de implementación de Windows Update para empresas (WUfB ds). Donde WUfB admite dispositivos WPJ, WUfB ds proporciona funcionalidades adicionales que no son compatibles con dispositivos WPJ.
Para obtener más información sobre las limitaciones de WPJ para las directivas de Windows Update de Intune, consulte Limitaciones de directivas para dispositivos unidos aWorkplace en Administración de actualizaciones de software de Windows 10 y Windows 11 en Intune.
Creación y asignación de una actualización de calidad acelerada
Inicie sesión en el Centro de administración de Microsoft Intune.
Seleccione Dispositivos>Administrar actualizaciones>de Windows 10 y actualizaciones posterioresPestaña >Actualizaciones> de calidad Crear perfil.
En Configuración, escriba las siguientes propiedades para identificar este perfil:
Nombre: Introduzca un nombre descriptivo para el perfil. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante.
Descripción: Introduzca una descripción para el perfil. Esta configuración es opcional, pero se recomienda aplicarla.
En Configuración, configure Acelere la instalación de las actualizaciones de calidad si la versión del sistema operativo del dispositivo es anterior a. Seleccione la actualización que quiera acelerar en la lista desplegable. La lista incluye solo las actualizaciones que puede acelerar.
Sugerencia
Las actualizaciones de calidad opcionales de Windows no se pueden acelerar y no estarán disponibles para seleccionarlas.
Al seleccionar una actualización:
Las actualizaciones se identifican por su fecha de lanzamiento y solo puede seleccionar una actualización por directiva.
Las actualizaciones que incluyen la letra B en su nombre identifican las actualizaciones publicadas como parte de un evento de Patch Tuesday. La letra B identifica que la actualización fue publicada el segundo martes del mes.
Las actualizaciones de seguridad para Windows 10/11 que se publican fuera de banda desde un Martes de revisión se pueden acelerar. En lugar de la letra B, las versiones de revisión fuera de banda tienen identificadores diferentes.
Cuando se implementa la actualización, Windows Update garantiza que cada dispositivo que recibe la directiva instala una versión de la actualización que se aplica a la arquitectura de esos dispositivos y a su versión actual de Windows, como la versión 1809, 2004, etc.
Actualizaciones rápidas que no son de seguridad: incluye correcciones de calidad después de la versión B/Security anterior. Los administradores pueden acelerar la instalación de la última actualización de calidad aplicable en los dispositivos, sin esperar el período de aplazamiento.
Las actualizaciones sin la palabra SecurityUpdate indican que no es una actualización de seguridad. Las actualizaciones que incluyen la letra D en su nombre identifican las actualizaciones publicadas desde la última semana de seguridad del martes de revisión . También puede ver la actualización OOB 2024.01 (versiones de revisión fuera de banda ). Explicación de la actualización mensual de Windows
Las actualizaciones que no son de seguridad solo se muestran cuando se trata de la versión más reciente. La lista desplegable se actualiza para mostrar las dos actualizaciones de seguridad más recientes, incluido si una es una actualización fuera de banda. Si la actualización que no es de seguridad más reciente es más reciente que la actualización de seguridad más reciente, la actualización que no es de seguridad también se incluye en la lista desplegable. Como resultado, a veces se muestran dos actualizaciones y, en otras ocasiones, se muestran tres actualizaciones.
Sugerencia
Para obtener más información, vea la entrada de blog Cadencia de mantenimiento de actualización de Windows 10: Microsoft Tech Community.
Las actualizaciones rápidas que no son de seguridad se aplican a los dispositivos Windows 11. Si los dispositivos Windows 10 están asignados a una directiva de aceleración que establece una versión D , esos dispositivos no se aceleran y muestran una alerta en los informes siguientes.
- Informes>Actualizaciones de> WindowsInformes Tab >Windows Expedited Update Report (Informe de actualización rápida de Windows)
- Dispositivos>Administrar actualizaciones>Actualizaciones de Windows 10 y versiones posteriores>Pestaña Supervisar directivas >de actualización de calidad acelerada con el icono de alertas y haga clic en el título.
En Configuración, configure Número de días que debe esperarse antes de aplicar el reinicio. Para esta configuración, seleccione el tiempo que tardará un dispositivo en reiniciarse automáticamente después de instalar la actualización para completar la instalación de la actualización. Puede seleccionar de cero a dos días. El reinicio automático se cancela si un dispositivo se reinicia manualmente antes de la fecha límite. Si una actualización no requiere un reinicio, esta configuración no se aplica.
Una configuración de 0 días significa que, en cuanto el dispositivo instala la actualización, se notifica al usuario sobre el reinicio y tiene un tiempo limitado para guardar su trabajo.
Importante
Esta experiencia puede afectar a la productividad del usuario. Considere la posibilidad de usarla para los dispositivos o las actualizaciones que deben completarse y reiniciar el dispositivo lo antes posible.
Una configuración de 1 día o 2 días proporciona a los usuarios del dispositivo flexibilidad para administrar un reinicio antes de forzarlo. Esta configuración corresponde a un retraso de reinicio automático de 24 o 48 horas después de que la actualización se instale en el dispositivo.
En Asignaciones, seleccione Agregar grupos y, a continuación, seleccione grupos de dispositivos o usuarios a los que asignar la directiva.
En Revisar + crear seleccione Crear. Una vez creada la directiva, se implementará en los grupos asignados.
Identificación de la actualización aplicable más reciente
Hay algunos escenarios en los que la directiva para acelerar una actualización da lugar a la instalación de una actualización más reciente que la especificada en la directiva. Este resultado se produce cuando la actualización más reciente incluye y supera la actualización especificada, y esa actualización más reciente está disponible antes de que un dispositivo se registre para instalar la actualización especificada en la directiva de actualización rápida. Más adelante en este artículo se proporciona un ejemplo detallado de este escenario.
La instalación de la actualización de calidad más reciente reduce las interrupciones en el dispositivo y el usuario, al mismo tiempo que se aplican las ventajas de la actualización prevista. Esto evita tener que instalar varias actualizaciones, cada una de las cuales puede requerir reinicios independientes.
Se implementa una actualización más reciente cuando se cumplen las condiciones siguientes:
El dispositivo no tiene como destino una directiva de aplazamiento que bloquee la instalación de una actualización más reciente. En este caso, la actualización disponible más reciente que no se aplaza es la actualización que podría instalarse.
Durante el proceso de aceleración de una actualización, el dispositivo ejecuta un nuevo examen que detecta la actualización más reciente. Esto puede ocurrir debido al momento en que:
- El dispositivo se reinicia para completar la instalación
- El dispositivo ejecuta su examen diario
- Está disponible una nueva actualización
Cuando un examen identifica una actualización más reciente, Windows Update intenta detener la instalación de la actualización original, cancela el reinicio e inicia la descarga y la instalación de la actualización más reciente.
Aunque las directivas de actualización rápida invalidarán un aplazamiento de actualización para la versión de actualización especificada en la directiva, no invalidan los aplazamientos que se aplican a cualquier otra versión de actualización.
Ejemplo de instalación de una actualización rápida
La siguiente secuencia de eventos proporciona un ejemplo de cómo dos dispositivos, denominados Test-1 y Test-2, instalan una actualización basada en la directiva de Actualización de calidad de Windows 10 y posterior asignada a los dispositivos.
Cada mes, los administradores de Intune implementan las actualizaciones de calidad de Windows 10 más recientes el cuarto martes del mes. Este período les proporciona dos semanas después del evento de Patch Tuesday para validar las actualizaciones en su entorno antes de forzar la instalación de la actualización.
El 19 de enero de 2021, los dispositivos Test-1 y Test-2 instalan la actualización de calidad más reciente de la versión de Patch Tuesday del 12 de enero. Al día siguiente, los usuarios que se van de vacaciones desactivan ambos dispositivos.
El 9 de febrero, el administrador de Intune crea una directiva para acelerar la instalación de la versión de Patch Tuesday 02/09/2021 – 2021.02 B Security Updates for Windows 10 para ayudar a proteger los dispositivos de la empresa frente a una amenaza crítica que resuelve la actualización. La directiva de aceleración se asigna a un grupo de dispositivos que incluye a Test-1 y Test-2. Todos los dispositivos de ese grupo que están activos reciben e instalan la directiva de actualización rápida.
En el evento de Patch Tuesday del 9 de marzo, se publica una nueva actualización de calidad: 03/09/2021 – 2021.03 B Security Updates for Windows 10. No hay ningún problemas crítico que requiera una implementación rápida de esta actualización, sin embargo los administradores encontraron un posible conflicto. Para proporcionar tiempo para revisar el posible problema, los administradores usan una directiva de anillos de actualización de Windows para crear una directiva de aplazamiento de siete días. Se impide que todos los dispositivos administrados instalen esta actualización hasta el 14 de marzo.
Ahora tenga en cuenta los siguientes resultados para Test-1 y Test-2, en función de cuándo se vuelva a activar cada uno:
Test-1: el 12 de marzo, Test-1 se vuelve a encender, se conecta a la red y recibe notificaciones de actualizaciones rápidas:
- Windows Update determina que Test-1 todavía necesita acelerar la instalación de actualizaciones por directiva.
- Dado que la actualización del 9 de marzo reemplaza a la actualización de febrero, Windows Update podría instalar la actualización del 9 de marzo.
- Hay un aplazamiento activo para la actualización de marzo que no expirará hasta el 14 de marzo.
Resultado: con la directiva de aplazamiento de la actualización de marzo aún activa y bloqueando la instalación de esa actualización, Device-1 instala la actualización de febrero tal como se configuró en la directiva.
Test-2: el 20 de marzo, Test-2 se vuelve a encender, se conecta a la red y recibe notificaciones de actualización rápida:
- Windows Update determina que Test-2 todavía necesita acelerar la instalación de actualizaciones por directiva.
- Dado que la actualización del 9 de marzo reemplaza a la actualización de febrero, Windows Update podría instalar la actualización del 9 de marzo.
- Ya no hay un aplazamiento activo para la actualización de marzo.
Resultado: tras haber expirado la directiva de aplazamiento de la actualización de marzo, Test-2 instala la actualización de marzo más reciente, omitiendo la actualización de febrero e instalando una actualización posterior a la especificada en la directiva.
Administración de directivas para acelerar las actualizaciones de calidad
En el Centro de administración, vaya a Dispositivos>por plataforma>Windows>Administrar actualizaciones>de Windows 10 y actualizaciones posteriores pestaña Actualizaciones> decalidad y seleccione la directiva que desea administrar. La directiva se abre en el panel de Información general.
Desde este panel, podrá:
Seleccionar Eliminar para eliminar la directiva de Intune. La eliminación de una directiva la quita de Intune, pero no provocará la desinstalación de la actualización si ya ha completado la instalación. Windows Update intentará cancelar las instalaciones en curso, pero no se puede garantizar una cancelación correcta de una instalación en curso.
Seleccione Propiedades para modificar la implementación. En el panel Propiedades, seleccione Editar para abrir la Configuración, las Etiquetas de ámbito o las Asignaciones, donde podrá entonces modificar la implementación.
Supervisión e informes
Para poder supervisar los resultados y el estado de actualización de las actualizaciones rápidas, el inquilino de Intune debe habilitar la recopilación de datos.
Una vez creada una directiva, podrá supervisar los resultados, el estado de actualización y los errores de los informes siguientes.
Informe de resumen
Este informe muestra el estado actual de todos los dispositivos del perfil y proporciona información general sobre cuántos dispositivos están en curso para instalar una actualización, han completado la instalación o tienen un error.
Inicie sesión en el Centro de administración de Microsoft Intune.
Seleccione Informes>Actualizaciones de Windows. En la pestaña Resumen puede ver la tabla de Actualizaciones de calidad aceleradas de Windows.
Para obtener más información, seleccione la pestaña Informes y, después, el informe de actualización urgente de Windows.
Haga clic en el vínculo Seleccionar un perfil de actualización acelerada.
En la lista de perfiles que se muestra en el lado derecho de la página, seleccione un perfil para ver los resultados.
Seleccione el botón Generar informe.
Informe de dispositivos
Este informe puede ayudarle a encontrar dispositivos con alertas o errores, así como a solucionar problemas de actualización.
Inicio de sesión en el Centro de administración de Microsoft Intune
Seleccione Dispositivos>Supervisar.
En la lista de informes de supervisión, desplácese hasta la sección Actualizaciones de software y seleccione Windows Expedited update failures (Errores de actualización urgente de Windows).
En la lista de perfiles que se muestra en el lado derecho de la página, seleccione un perfil para ver los resultados.
Estados de las actualizaciones
Estado de la actualización | Subestado de la actualización | Definición |
---|---|---|
Pendiente | Validating | El dispositivo se ha agregado a la directiva en el servicio y ha comenzado la validación de que el dispositivo se puede acelerar. |
Pendiente | Scheduled | El dispositivo ha superado la validación y se acelerará. |
Oferta | OfferReady | Se han enviado las instrucciones de aceleración al dispositivo. |
Instalación | OfferReceived | El dispositivo se ha examinado con Windows Update y la actualización es aplicable, pero todavía no se ha iniciado la descarga. |
Instalación | DownloadStart | El dispositivo ha empezado a descargar la actualización. |
Instalación | DownloadComplete | El dispositivo ha descargado la actualización. |
Instalación | InstallStart | El dispositivo ha empezado a instalar la actualización. |
Instalación | InstallComplete | El dispositivo ha completado la instalación de la actualización. A menos que la actualización tenga un error de actualización, el dispositivo debe moverse rápidamente a RestartRequired o UpdateInstalled. |
Instalación | RestartRequired | La instalación se ha completado y requiere un reinicio. |
Instalación | RestartInitiated | El dispositivo ha comenzado un reinicio. |
Instalación | RestartComplete | El dispositivo ha completado el reinicio. |
Instalada | UpdateInstalled | La actualización se ha completado correctamente. |