Implementación de actualizaciones de características con Windows Update servicio de implementación para empresas

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

El servicio de implementación Windows Update for Business se usa para aprobar y programar actualizaciones de software. El servicio de implementación expone sus funcionalidades a través de microsoft Graph API. Puede llamar a la API directamente, a través de un SDK de Graph, o integrarla con una herramienta de administración como Microsoft Intune.

En este artículo se usa el Explorador de Graph para recorrer todo el proceso de implementación de una actualización de características en los clientes. En este artículo, hará lo siguiente:

En este artículo, hará lo siguiente:

• Abrir el Explorador de Graph
• Ejecución de consultas para identificar dispositivos
• Inscribir dispositivos
• Enumerar entradas de catálogo para actualizaciones de características
• Creación de una implementación
• Agregar miembros a la audiencia de implementación
• Pausar una implementación
• Eliminación de una implementación
• Inscribir dispositivos

Requisitos previos

Se deben cumplir todos los requisitos previos para el servicio de implementación de Windows Update for Business.

Permisos

Los permisos siguientes son necesarios para las consultas enumeradas en este artículo:

• WindowsUpdates.ReadWrite.All para las operaciones del servicio de implementación de Windows Update para empresas.
• Al menos el permiso Device.Read.All para mostrar la información del dispositivo .

Algunos roles, como el administrador de implementación de Windows Update, ya tienen estos permisos.

Abrir el Explorador de Graph

En este artículo, usará el Explorador de Graph para realizar solicitudes a las API de Microsoft Graph para recuperar, agregar, eliminar y actualizar datos. Graph Explorer es una herramienta para desarrolladores que le permite obtener información sobre las API de Microsoft Graph. Para obtener más información sobre el uso del Explorador de Graph, consulte Introducción al Explorador de Graph.

Advertencia

• Las solicitudes enumeradas en este artículo requieren iniciar sesión con una cuenta de Microsoft 365. Si es necesario, hay disponible una evaluación gratuita de un mes para Microsoft 365 Empresa Premium.
• Se recomienda encarecidamente usar un inquilino de prueba para aprender y comprobar el proceso de implementación. Graph Explorer está diseñado para ser una herramienta de aprendizaje. Asegúrese de comprender la concesión de consentimiento y el tipo de consentimiento para el Explorador de Graph antes de continuar.

1. Desde un explorador, vaya al Explorador de Graph e inicie sesión con una cuenta de usuario Microsoft Entra.

2. Es posible que tenga que habilitar el WindowsUpdates.ReadWrite.All permiso para usar las consultas de este artículo. Para habilitar el permiso:

   1. Seleccione la pestaña Modificar permisos en el Explorador de Graph.

   2. En el cuadro de diálogo permisos, seleccione el permiso WindowsUpdates.ReadWrite.All y, a continuación, seleccione Consentimiento. Es posible que deba volver a iniciar sesión para conceder su consentimiento.

      

3. Para realizar solicitudes:

   1. Seleccione GET, POST, PUT, PATCH o DELETE en la lista desplegable del método HTTP.
   2. Escriba la solicitud en el campo URL. La versión se rellenará automáticamente en función de la dirección URL.
   3. Si necesita modificar el cuerpo de la solicitud, edite la pestaña Cuerpo de la solicitud .
   4. Seleccione el botón Ejecutar consulta . Los resultados aparecerán en la ventana Respuesta .

   Sugerencia

   Al revisar la documentación de Microsoft Graph, es posible que observe que las solicitudes de ejemplo suelen enumerar content-type: application/json. La especificación content-type normalmente no es necesaria para el Explorador de Graph, pero puede agregarla a la solicitud seleccionando la pestaña Encabezados y agregando al content-type campo Encabezados de solicitud como clave y application/json como valor.

Ejecución de consultas para identificar dispositivos

Use el tipo de recurso de dispositivo para buscar clientes que se inscriban en el servicio de implementación. Cambie los parámetros de consulta para que se ajusten a sus necesidades específicas. Para obtener más información, consulte Uso de parámetros de consulta.

• Muestra el identificador de dispositivo de AzureAD y el nombre de todos los dispositivos:

  GET https://graph.microsoft.com/v1.0/devices?$select=deviceid,displayName
  

• Muestra el id. de dispositivo de AzureAD y el nombre de los dispositivos que tienen un nombre a partir de Test:

  GET https://graph.microsoft.com/v1.0/devices?$filter=startswith(displayName,'Test')&$select=deviceid,displayName
  

Adición de un encabezado de solicitud para consultas avanzadas

Para las siguientes solicitudes, establezca el encabezado eventualConsistencyLevel en . Para obtener más información sobre los parámetros de consulta avanzados, consulte Funcionalidades avanzadas de consulta en Microsoft Entra objetos de directorio.

1. En el Explorador de Graph, seleccione la pestaña Encabezados de solicitud .

2. En Tipo de clave en ConsistencyLevel y en Valor, escriba eventual.

3. Seleccione el botón Agregar . Cuando haya terminado, quite el encabezado de solicitud seleccionando el icono de papelera.

   

• Muestre la versión del sistema operativo y el nombre del dispositivo que tiene 01234567-89ab-cdef-0123-456789abcdef como identificador de dispositivo de AzureAD:

  GET https://graph.microsoft.com/v1.0/devices?$search="deviceid:01234567-89ab-cdef-0123-456789abcdef"&$select=displayName,operatingSystemVersion
  

• Para buscar dispositivos que probablemente no sean máquinas virtuales, filtre por los dispositivos que no tengan máquinas virtuales enumeradas como modelo, pero que tengan un fabricante en la lista. Muestre el identificador de dispositivo de AzureAD, el nombre y la versión del sistema operativo para cada dispositivo:

  GET https://graph.microsoft.com/v1.0/devices?$filter=model ne 'virtual machine' and NOT(manufacturer eq null)&$count=true&$select=deviceid,displayName,operatingSystemVersion
  

Sugerencia

Las solicitudes que usan el tipo de recurso de dispositivo suelen tener un id y un deviceid:

• deviceid es el Microsoft Entra id. de dispositivo y se usará en este artículo.
  • Más adelante en este artículo, se deviceid usará como cuando id realice determinadas solicitudes, como agregar un dispositivo a una audiencia de implementación.
• El id del tipo de recurso de dispositivo suele ser el Microsoft Entra id. de objeto, que no se usará en este artículo.

Inscribir dispositivos

Al inscribir dispositivos en la administración de actualizaciones de características, el servicio de implementación se convierte en la autoridad para las actualizaciones de características procedentes de Windows Update. Siempre que un dispositivo permanezca inscrito en la administración de actualizaciones de características a través del servicio de implementación, el dispositivo no recibirá ninguna otra actualización de características de Windows Update a menos que se implemente explícitamente mediante el servicio de implementación. Se ofrece a un dispositivo la actualización de características especificada si aún no ha recibido la actualización. Por ejemplo, si implementa Windows 11 versión de actualización de características 22H2 en un dispositivo inscrito en la administración de actualizaciones de características y que se encuentra actualmente en una versión anterior de Windows 11, el dispositivo se actualiza a la versión 22H2. Si el dispositivo ya está ejecutando la versión 22H2 o una versión posterior, permanece en su versión actual.

Sugerencia

Windows Update para informes empresariales tiene un libro que muestra la versión actual del sistema operativo para los dispositivos. En el libro, vaya a la pestaña Actualizaciones de características y, en el icono Actualización de características en servicio, seleccione el vínculo Ver detalles para abrir el control flotante de detalles. La versión del sistema operativo y Microsoft Entra ID de dispositivos se pueden exportar fácilmente a un archivo .csv o abrirse en los registros de Azure Monitor para ayudar a crear una audiencia de implementación.

Los dispositivos se inscriben en función de los tipos de actualizaciones que desea que reciban. Actualmente, puede inscribir dispositivos para recibir actualizaciones de características (feature) o controladores (driver). Puede inscribir dispositivos para recibir actualizaciones de varias clasificaciones de actualizaciones.

1. Para inscribir dispositivos, POST en updatableAssets mediante enrollAssets. En el ejemplo siguiente se inscriben tres dispositivos para recibir actualizaciones de controladores:

   1. En el Explorador de Graph, seleccione POST en la lista desplegable del verbo HTTP.

   2. Escriba la siguiente solicitud en el campo URL:
      https://graph.microsoft.com/beta/admin/windows/updates/updatableAssets/enrollAssets

   3. En la pestaña Cuerpo de la solicitud , escriba el código JSON siguiente y proporcione la siguiente información:

      • Microsoft Entra id. de dispositivo comoid
      • driver O feature para updateCategory

      {
        "updateCategory": "driver",
        "assets": [
          {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "01234567-89ab-cdef-0123-456789abcdef"
          },
          {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "01234567-89ab-cdef-0123-456789abcde0"
          },
          {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "01234567-89ab-cdef-0123-456789abcde1"
          }
        ]
      }
      

   4. Seleccione el botón Ejecutar consulta . Los resultados aparecerán en la ventana Respuesta . En este caso, el código de estado HTTP de 202 Accepted.

      

Enumerar entradas de catálogo para actualizaciones de características

Cada actualización de características está asociada a una entrada de catálogo única. El id valor devuelto es el identificador de catálogo y se usa para crear una implementación. Las actualizaciones de características se pueden implementar hasta que alcancen sus fechas de retirada de soporte técnico. Para obtener más información, consulte las fechas del ciclo de vida de soporte técnico para las ediciones de Windows 10 y Windows 11 Enterprise y Education. En la consulta siguiente se enumeran todas las entradas del catálogo de actualizaciones de características que se pueden implementar:

GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$filter=isof('microsoft.graph.windowsUpdates.featureUpdateCatalogEntry')

La siguiente respuesta truncada muestra un identificador de catálogo de para la actualización de características de d9049ddb-0ca8-4bc1-bd3c-41a456ef300f la versión 22H2 del Windows 11:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries",
    "value": [
        {
            "@odata.type": "#microsoft.graph.windowsUpdates.featureUpdateCatalogEntry",
            "id": "d9049ddb-0ca8-4bc1-bd3c-41a456ef300f",
            "displayName": "Windows 11, version 22H2",
            "deployableUntilDateTime": "2025-10-14T00:00:00Z",
            "releaseDateTime": "2022-09-20T00:00:00Z",
            "version": "Windows 11, version 22H2",
            "buildNumber": "22621"
        }
    ]
}

Creación de una implementación

Al crear una implementación para una actualización de características, hay varias opciones disponibles para definir cómo se comporta la implementación. La configuración de implementación y supervisión es opcional. La siguiente configuración de implementación se define en el cuerpo de la solicitud de ejemplo para implementar la actualización de características de Windows 11, versión 22H2 (id. de catálogo de d9049ddb-0ca8-4bc1-bd3c-41a456ef300f):

• Fecha de inicio de la implementación del 14 de febrero de 2023 a las 5:00 UTC
• Lanzamiento gradual a una velocidad de 100 dispositivos cada tres días
• Regla de supervisión que pausará la implementación si cinco dispositivos reviertan la actualización de características
• Comportamiento de suspensión de protección predeterminado de la aplicación de todas las medidas de seguridad aplicables a los dispositivos de una implementación
  • Cuando las retenciones de protección no se definen explícitamente, el comportamiento de retención de protección predeterminado se aplica automáticamente.

POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
content-type: application/json

{
    "content": {
        "@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
        "catalogEntry": {
            "@odata.type": "#microsoft.graph.windowsUpdates.featureUpdateCatalogEntry",
            "id": "d9049ddb-0ca8-4bc1-bd3c-41a456ef300f"
        }
    },
    "settings": {
        "@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
        "schedule": {
            "startDateTime": "2023-02-14T05:00:00Z",
            "gradualRollout": {
                "@odata.type": "#microsoft.graph.windowsUpdates.rateDrivenRolloutSettings",
                "durationBetweenOffers": "P3D",
                "devicesPerOffer": "100"
            }
        },
        "monitoring": {
            "monitoringRules": [
                {
                    "signal": "rollback",
                    "threshold": 5,
                    "action": "pauseDeployment"
                }
            ]
        }
    }
}

El cuerpo de la respuesta contendrá:

• El nuevo identificador de implementación, de910e12-3456-7890-abcd-ef1234567890 en el ejemplo

• El nuevo identificador de audiencia, d39ad1ce-0123-4567-89ab-cdef01234567 en el ejemplo

• Cualquier configuración definida en el cuerpo de la solicitud de implementación

  {
       "@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments/$entity",
       "id": "de910e12-3456-7890-abcd-ef1234567890",
       "createdDateTime": "2023-02-07T19:21:15.425905Z",
       "lastModifiedDateTime": "2023-02-07T19:21:15Z",
       "state": {
           "effectiveValue": "scheduled",
           "requestedValue": "none",
           "reasons": []
       },
       "content": {
           "@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
           "catalogEntry@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('de910e12-3456-7890-abcd-ef1234567890')/content/microsoft.graph.windowsUpdates.catalogContent/catalogEntry/$entity",
           "catalogEntry": {
               "@odata.type": "#microsoft.graph.windowsUpdates.featureUpdateCatalogEntry",
               "id": "d9049ddb-0ca8-4bc1-bd3c-41a456ef300f",
               "displayName": "Windows 11, version 22H2",
               "deployableUntilDateTime": "2025-10-14T00:00:00Z",
               "releaseDateTime": "0001-01-01T00:00:00Z",
               "version": "Windows 11, version 22H2"
           }
       },
       "settings": {
           "contentApplicability": null,
           "userExperience": null,
           "expedite": null,
           "schedule": {
               "startDateTime": "2023-02-14T05:00:00Z",
               "gradualRollout": {
                   "@odata.type": "#microsoft.graph.windowsUpdates.rateDrivenRolloutSettings",
                   "durationBetweenOffers": "P3D",
                   "devicesPerOffer": 100
               }
           },
           "monitoring": {
               "monitoringRules": [
                   {
                       "signal": "rollback",
                       "threshold": 5,
                       "action": "pauseDeployment"
                   }
               ]
           }
       },
       "audience@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('de910e12-3456-7890-abcd-ef1234567890')/audience/$entity",
       "audience": {
           "id": "d39ad1ce-0123-4567-89ab-cdef01234567",
           "applicableContent": []
       }
  }
  

Edición de una implementación

Para actualizar la implementación, revise el recurso de implementación por su identificador de implementación y proporcione la configuración actualizada en el cuerpo de la solicitud. En el ejemplo siguiente se mantiene la configuración de implementación gradual existente que se definió al crear la implementación, pero cambia la fecha de inicio de la implementación al 28 de febrero de 2023 a las 5:00 UTC:

PATCH https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890
content-type: application/json

{
    "settings": {
        "@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
        "schedule": {
            "startDateTime": "2023-02-28T05:00:00Z",
            "gradualRollout": {
                "@odata.type": "#microsoft.graph.windowsUpdates.rateDrivenRolloutSettings",
                "durationBetweenOffers": "P3D",
                "devicesPerOffer": "100"
            }
        }
    }
}

Compruebe la configuración de implementación de la implementación con un identificador de implementación de de910e12-3456-7890-abcd-ef1234567890:

GET https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890

Agregar miembros a la audiencia de implementación

El identificador de audiencia, d39ad1ce-0123-4567-89ab-cdef01234567, se creó cuando se creó la implementación. El identificador de audiencia se usa para agregar miembros a la audiencia de implementación. Una vez actualizada la audiencia de implementación, Windows Update comienza a ofrecer la actualización a los dispositivos según la configuración de implementación. Siempre que exista la implementación y el dispositivo esté en la audiencia, se ofrecerá la actualización.

En el ejemplo siguiente se agregan tres dispositivos a la audiencia de implementación mediante el Microsoft Entra ID para cada dispositivo:

POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/updateAudience
content-type: application/json

{
  "addMembers": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcdef"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcde0"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
     "id": "01234567-89ab-cdef-0123-456789abcde1"
    }
  ]
}

Para comprobar que los dispositivos se agregaron a la audiencia, ejecute la siguiente consulta con el identificador de audiencia de d39ad1ce-0123-4567-89ab-cdef01234567:

GET https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/members

Pausar una implementación

Para pausar una implementación, revise la implementación para que tenga un requestedValue valor de paused para deploymentState. Para reanudar la implementación, use el valor none y el estado se actualizará a offering o scheduled si la implementación aún no ha alcanzado la fecha de inicio.

En el ejemplo siguiente se pausa la implementación con un identificador de implementación de de910e12-3456-7890-abcd-ef1234567890:

PATCH https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890
content-type: application/json

{
  "@odata.type": "#microsoft.graph.windowsUpdates.deployment",
  "state": {
    "@odata.type": "microsoft.graph.windowsUpdates.deploymentState",
    "requestedValue": "paused"
  }
}

Eliminación de una implementación

Para quitar la implementación por completo, elimine la implementación. La eliminación de la implementación impedirá que el contenido se ofrezca a los dispositivos si aún no lo han recibido. Para reanudar la oferta del contenido, deberá crearse una nueva aprobación.

En el ejemplo siguiente se elimina la implementación con un identificador de implementación de de910e12-3456-7890-abcd-ef1234567890:

DELETE https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890

Inscribir dispositivos

Cuando un dispositivo ya no requiera administración, desinscribalo desde el servicio de implementación. Al igual que la inscripción de un dispositivo, especifique driver o feature como valor para updateCategory. El dispositivo ya no recibirá actualizaciones del servicio de implementación para la categoría de actualización especificada. Dependiendo de la configuración del dispositivo, puede empezar a recibir actualizaciones de Windows Update. Por ejemplo, si un dispositivo todavía está inscrito para las actualizaciones de características, pero no está inscrito desde los controladores:

• Las implementaciones de controladores existentes desde el servicio no se ofrecerán al dispositivo
• El dispositivo sigue recibiendo actualizaciones de características del servicio de implementación
• Los controladores pueden empezar a instalarse desde Windows Update en función de la configuración del dispositivo.

Para anular la inscripción de un dispositivo, POST en updatableAssets mediante unenrollAssets. En el cuerpo de la solicitud, especifique:

• Microsoft Entra id. de dispositivo como id para el dispositivo
• driver O feature para updateCategory

En el ejemplo siguiente se quita driver la inscripción de dos dispositivos 01234567-89ab-cdef-0123-456789abcdef y 01234567-89ab-cdef-0123-456789abcde0:

POST https://graph.microsoft.com/beta/admin/windows/updates/updatableAssets/unenrollAssets
content-type: application/json

{
  "updateCategory": "driver",
  "assets": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcdef"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcde0"
    }
  ]
}