Administración de dispositivos móviles (MDM) para actualizaciones de dispositivos
Sugerencia
Si no es un desarrollador ni un administrador, encontrará información más útil en Windows Update: preguntas frecuentes.
Con equipos, tabletas, teléfonos y dispositivos IoT, las soluciones de administración de dispositivos móviles (MDM) se están convirtiendo en una tecnología de administración de dispositivos ligera. En Windows, estamos invirtiendo mucho en ampliar las funcionalidades de administración disponibles para los MDM. Una característica clave que vamos a agregar es la capacidad de los MDM de mantener los dispositivos actualizados con las últimas actualizaciones de Microsoft.
En concreto, Windows proporciona API para permitir que los MDM:
- Se aseguren de que las máquinas se mantienen actualizadas mediante la configuración de directivas de actualización automática.
- Pruebe las actualizaciones en un conjunto más pequeño de máquinas configurando qué actualizaciones se aprueban para un dispositivo determinado. A continuación, realice una implementación en toda la empresa.
- Obtener el estado de cumplimiento de los dispositivos administrados. El equipo de TI puede comprender qué máquinas siguen necesitando una revisión de seguridad o cómo está actualizada una máquina determinada.
- Configure directivas de actualización automática para garantizar que los dispositivos permanezcan actualizados.
- Obtengan información sobre el cumplimiento de los dispositivos (es decir, la lista de actualizaciones necesarias que todavía no se han instalado).
- Escriba una lista de aprobación de actualización por dispositivo. La lista garantiza que los dispositivos solo instalen actualizaciones aprobadas y probadas.
- Apruebe contratos de licencia de usuario final (EULA) para el usuario final para que la implementación de actualizaciones se pueda automatizar incluso para las actualizaciones con EULA.
En este artículo se proporciona a los editores de software independientes (ISV) la información que necesitan para implementar la administración de actualizaciones en Windows. Para obtener más información, consulte CSP de directiva: actualización.
Nota
Las API de OMA DM para especificar las aprobaciones de actualizaciones y obtener el estado de cumplimiento hacen referencia a las actualizaciones mediante un identificador de actualización. El identificador de actualización es un GUID que identifica una actualización determinada. La MDM querrá mostrar información fácil de usar para TI sobre la actualización, en lugar de un GUID sin formato, incluido el título, la descripción, la KB, el tipo de actualización de la actualización, como una actualización de seguridad o service Pack. Para obtener más información, vea [MS-WSUSSS]: Windows Update Services: Server-Server Protocol.
El siguiente diagrama ofrece una visión general conceptual sobre su funcionamiento:
El diagrama se puede dividir por lo menos en tres áreas:
- El servicio de administración de dispositivos sincroniza los datos de actualización (título, descripción, aplicabilidad, etc.) de Microsoft Update mediante el protocolo de sincronización servidor-servidor (parte superior del diagrama).
- El servicio de administración de dispositivos establece las directivas de actualización automática, obtiene los datos sobre el cumplimiento de las actualizaciones y establece las aprobaciones mediante OMA-DM (parte izquierda del diagrama).
- El dispositivo obtiene actualizaciones de Microsoft Update mediante el protocolo cliente/servidor. Solo descarga e instala actualizaciones que se aplican al dispositivo y que son aprobadas por TI (parte derecha del diagrama).
Obtener metadatos de actualización mediante el protocolo de sincronización servidor-servidor
El catálogo de Microsoft Update contiene muchas actualizaciones que no son necesarias para los dispositivos administrados por MDM. Incluye actualizaciones de software heredado, como actualizaciones de servidores, sistemas operativos de escritorio de nivel inferior, & aplicaciones heredadas y un gran número de controladores. Se recomienda que los MDM usen el protocolo de sincronización de Server-Server para obtener metadatos de actualización para las actualizaciones notificadas desde el cliente.
En esta sección se describe esta configuración. En el siguiente diagrama se muestra el proceso de protocolo de sincronización servidor-servidor.
MSDN proporciona mucha información sobre el protocolo de sincronización servidor-servidor. En particular:
- Es un protocolo basado en SOAP y puede obtener el WSDL en el servicio web de sincronización de servidores. El WSDL se puede usar para generar servidores proxy de llamada para muchos entornos de programación, con el fin de simplificar el desarrollo.
- Encontrará otros ejemplos del código en la sección Ejemplos de protocolo. En el código de ejemplo se muestran los comandos SOAP sin procesar, los cuales pueden usarse. Aunque es incluso más sencillo realizar la llamada desde un lenguaje de programación como .NET (llamar a los servidores proxy generados por WSDL). El código auxiliar generado por wsdl de sincronización del servidor genera una dirección URL de enlace incorrecta. La dirección URL de enlace debe establecerse en
https://fe2.update.microsoft.com/v6/ServerSyncWebService/serversyncwebservice.asmx
.
Algunos aspectos importantes:
- El protocolo tiene una fase de autorización (llamando a GetAuthConfig, GetAuthorizationCookie y GetCookie). En Ejemplos de protocolo, el código ejemplo 1: autorización muestra cómo se realiza la autorización. Aunque se denomina fase de autorización, el protocolo está completamente abierto (no se necesitan credenciales para ejecutar esta fase del protocolo). Esta secuencia de llamadas debe realizarse para obtener una cookie para la parte principal del protocolo de sincronización. Como medida de optimización, puede almacenar en caché la cookie y llamar a esta secuencia de nuevo si su cookie ha expirado.
- El protocolo permite que MDM sincronice los metadatos de actualización para una actualización concreta efectuando una llamada a GetUpdateData. Para obtener más información, consulta GetUpdateData en MSDN. LocURI para obtener las actualizaciones aplicables con sus números de revisión es
<LocURI>./Vendor/MSFT/Update/InstallableUpdates?list=StructData</LocURI>
. Como no todas las actualizaciones están disponibles a través de la sincronización de S2S, asegúrese de controlar los errores de SOAP. - Para dispositivos móviles, puede sincronizar los metadatos de una actualización determinada llamando a GetUpdateData. O bien, para una solución local local, puede usar Windows Server Update Services (WSUS) e importar manualmente las actualizaciones móviles desde el sitio del catálogo de Microsoft Update. Para obtener más información, consulte el Diagrama de flujo del proceso y las capturas del proceso de sincronización del servidor.
Nota
Con el tiempo, Microsoft Update modifica los metadatos de una actualización determinada, por ejemplo, actualizando información descriptiva, solucionando errores en las reglas de aplicabilidad, realizando cambios de localización, etc. Cada vez que se produce un cambio que no afecta a la propia actualización, se crea una nueva revisión de actualización. Un UpdateID (GUID) y un elemento RevisionNumber (int) se componen de una clave de identidad para una revisión de actualización. La MDM no presenta una revisión de actualización a TI. En su lugar, para cada UpdateID (GUID), la MDM mantiene los metadatos de la revisión posterior de esa actualización, que es la que tiene el número de revisión más alto.
Ejemplos de las descripciones de estructuras XML y elementos de los metadatos de actualización
La respuesta de la llamada de GetUpdateData devuelve una matriz de ServerSyncUpdateData que contiene los metadatos de actualización en el elemento XmlUpdateBlob. El esquema de la actualización de XML está disponible en Ejemplos de protocolo. Algunos de los elementos clave se describen aquí:
- UpdateID : identificador único de una actualización
- RevisionNumber : número de revisión de la actualización en caso de que se modificara la actualización.
- CreationDate : la fecha en la que se creó esta actualización.
-
UpdateType : tipo de actualización, que podría incluir lo siguiente:
- Detectoid: si esta identidad de actualización representa una lógica de compatibilidad
-
Category : este elemento podría representar cualquiera de los siguientes elementos:
- La categoría de producto a la que pertenece la actualización Por ejemplo, Windows, MS office, etc.
- La clasificación a la que pertenece la actualización Por ejemplo, controladores, seguridad, etc.
- Software : si la actualización es una actualización de software.
- Controlador : si la actualización es una actualización del controlador.
-
LocalizedProperties : representa el idioma en el que está disponible la actualización, el título y la descripción de la actualización. Se compone de los siguientes campos:
- Idioma : identificador de código de idioma (LCID). (por ejemplo, EN o ES).
- Título : título de la actualización. Por ejemplo, "Windows SharePoint Services 3.0 Service Pack 3 x64 Edition (KB2526305)"
- Descripción : descripción de la actualización. Por ejemplo, "Windows SharePoint Services 3.0 Service Pack 3 (KB2526305) proporciona las actualizaciones más recientes de Windows SharePoint Services 3.0. Tras la instalación de este elemento, puede que sea necesario reiniciar el equipo. Después de instalar este elemento, no se puede quitar".
-
KBArticleID : número de artículo de KB para esta actualización que tiene detalles sobre la actualización determinada. (por ejemplo,
https://support.microsoft.com/kb/2902892
).
Flujo recomendado para usar el protocolo de sincronización servidor-servidor
En esta sección se describe un posible algoritmo para incorporar los metadatos de las actualizaciones al MDM usando el protocolo de sincronización servidor-servidor.
Primero, algo de contexto:
- Si tiene una MDM multiinquilino, los metadatos de actualización se pueden mantener en una partición compartida, ya que es común a todos los inquilinos.
- A continuación, se puede implementar un servicio de sincronización de metadatos. El servicio llama periódicamente a la sincronización servidor-servidor para extraer metadatos de las actualizaciones que le importan a TI.
- El componente MDM que usa OMA DM para controlar dispositivos (que se describe en la sección siguiente) debe enviar al servicio de sincronización de metadatos la lista de actualizaciones necesarias que obtiene de cada cliente, si el dispositivo aún no conoce esas actualizaciones.
El siguiente procedimiento describe un algoritmo básico para un servicio de sincronización de metadatos:
- Cree una lista vacía de "identificadores de actualización necesarios para que se produzca un error". El componente de servicio MDM que usa OMA DM actualiza esta lista. Se recomienda no agregar actualizaciones de definiciones a esta lista, ya que son temporales. Por ejemplo, Defender puede publicar nuevas actualizaciones de definiciones muchas veces al día, cada una de las cuales es acumulativa.
- La sincronización periódica (se recomienda realizarla una vez cada 2 horas y no más de una vez por cada hora).
- Implemente la fase de autorización del protocolo para obtener una cookie si aún no tiene una cookie sin conexión. Consulte Ejemplo 1: autorización en Ejemplos de protocolo.
- Implemente la parte de metadatos del protocolo. Consulte Ejemplo 2: Sincronización de metadatos e implementaciones en ejemplos de protocolo y llame a GetUpdateData para obtener todas las actualizaciones de la lista "Identificadores de actualización necesarios para que se produzca un error" si los metadatos de actualización aún no se han extraído en la base de datos.
- Si la actualización es una revisión más reciente de una actualización existente (con el mismo UpdateID y un número de revisión más alto), debe reemplazar los metadatos de la actualización anterior por los nuevos.
- Quite las actualizaciones de la lista de "identificadores de actualización necesarios para que se inste" una vez que se hayan incluido.
En estos pasos se obtiene información sobre el conjunto de actualizaciones de Microsoft que necesita administrar ti, por lo que la información se puede usar en diversos escenarios de administración de actualizaciones. Por ejemplo, en el momento de la aprobación de la actualización, puede obtener información para que EL TI pueda ver qué actualizaciones aprueban. O bien, para que los informes de cumplimiento vean qué actualizaciones son necesarias pero aún no instaladas.
Administrar actualizaciones con OMA-DM
MDM puede administrar las actualizaciones mediante OMA-DM. Los detalles sobre cómo usar e integrar una MDM con el protocolo OMA DM de Windows y cómo inscribir dispositivos para la administración de MDM se documentan en Administración de dispositivos móviles. Esta sección se centra en cómo ampliar esa integración para admitir la administración de actualizaciones. Los aspectos clave de la administración de actualizaciones incluyen la siguiente información:
- Configure directivas de actualización automática para garantizar que los dispositivos permanezcan actualizados.
- Obtengan información sobre el cumplimiento de los dispositivos (es decir, la lista de actualizaciones necesarias que todavía no se han instalado).
- Especifique una lista de aprobación de actualización por dispositivo. La lista garantiza que los dispositivos solo instalen actualizaciones aprobadas y probadas.
- Apruebe las EULA para el usuario final para que la implementación de actualizaciones se pueda automatizar, incluso para las actualizaciones con EULA.
La siguiente lista describe un modelo sugerido para aplicar actualizaciones:
- Tener un "grupo de prueba" y un "grupo de todos".
- En el grupo Prueba, deje que fluyan todas las actualizaciones.
- En el grupo Todos, establezca el aplazamiento de actualización de calidad durante siete días y, a continuación, las actualizaciones de calidad se aprueban automáticamente después de siete días. Los aplazamientos de actualización de calidad excluyen las actualizaciones de definición, por lo que las actualizaciones de definición se aprueban automáticamente cuando están disponibles. Coincide con la programación de actualizaciones de definiciones con la programación de aplazamiento de Actualización de calidad estableciendo Update/DeferQualityUpdatesPeriodInDays en siete. Deje que las actualizaciones fluyan después de siete días o pausando si se producen problemas.
Las actualizaciones se configuran mediante el CSP de la directiva de actualización.
Captura de pantalla de la administración de actualizaciones para la experiencia del usuario
En las capturas de pantalla siguientes de la consola de administrador se muestra la lista de títulos de actualización, estado de aprobación y otros campos de metadatos.
Ejemplo de SyncML
Establezca Microsoft AutoUpdate para notificar y aplazar.
<SyncML xmlns="SYNCML:SYNCML1.1">
<SyncBody>
<Replace xmlns="">
<CmdID>1</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/Update/AllowUpdateService</LocURI>
</Target>
<Data>0</Data>
</Item>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/Update/RequireDeferUpgrade </LocURI>
</Target>
<Data>0</Data>
</Item>
<CmdID>3</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/Update/RequireUpdateApproval </LocURI>
</Target>
<Data>0</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Diagrama de flujo del proceso y capturas del proceso de sincronización del servidor
El siguiente diagrama y las capturas de pantalla muestran el flujo del proceso de actualización del dispositivo utilizando Windows Server Update Services y el Catálogo de Microsoft Update.