Directivas para el cumplimiento de actualizaciones, la actividad y la experiencia del usuario
Mantener los dispositivos actualizados es la mejor manera de mantenerlos funcionando sin problemas y de forma segura.
Fechas límite para el cumplimiento de actualizaciones
Puede controlar cómo los dispositivos deben cumplir de forma confiable la programación de actualización deseada mediante directivas de fecha límite de actualización. Los componentes de Windows se adaptan en función de estas fechas límite. Además, pueden hacer equilibrios entre la experiencia del usuario y la velocidad con el fin de cumplir con las fechas límite de actualización deseadas. Por ejemplo, puede priorizar la experiencia del usuario mucho antes de que se aproxime la fecha límite y, a continuación, priorizar la velocidad a medida que se aproxima la fecha límite, a la vez que ofrece al usuario cierto control.
Plazos
A partir de Windows 10, versión 1903 y con la actualización de seguridad de agosto de 2019 para Windows 10, versión 1709 y posteriores (incluidos Windows 11), se introdujo una nueva directiva para reemplazar directivas anteriores similares a las fechas límite: especificar fechas límite para actualizaciones automáticas y reinicios.
Las directivas anteriores comenzaron a aplicar fechas límite una vez que el dispositivo alcanzó un restart pending
estado para una actualización. La nueva directiva inicia la cuenta atrás para la fecha límite de instalación de la actualización desde el momento en que se publica la actualización más cualquier aplazamiento. Además, esta directiva incluye un período de gracia configurable y la opción de no realizar reinicios automáticos hasta que se alcance la fecha límite (aunque se recomienda permitir siempre reinicios automáticos para la velocidad máxima de actualización).
Se recomienda establecer las fechas límite de la siguiente manera:
- Fecha límite de actualización de calidad, en días: 2
- Fecha límite de actualización de características, en días: 2
Las notificaciones se presentan automáticamente al usuario en los momentos adecuados, y los usuarios pueden optar por que se les recuerde más adelante, volver a programar o reiniciar inmediatamente, en función del cierre de la fecha límite. Se recomienda no establecer ninguna directiva de notificación, ya que se configuran automáticamente con los valores predeterminados adecuados. Una excepción es si tiene quioscos o señalización digital.
Aunque tres días para las actualizaciones de calidad y siete para las actualizaciones de características son nuestra recomendación, es posible que decida que quiere más o menos, en función de su organización y sus requisitos, y esta directiva se puede configurar hasta un mínimo de dos días.
Importante
Si el dispositivo no puede acceder a Internet, no puede determinar cuándo Microsoft publicó la actualización, por lo que no podrá aplicar la fecha límite. Obtenga más información sobre los dispositivos de baja actividad.
Períodos de gracia
Puede establecer un período de días para que Windows encuentre un tiempo de reinicio automático mínimamente disruptivo antes de que se aplique el reinicio. Esto resulta especialmente útil en los casos en los que un usuario ha estado ausente durante muchos días (por ejemplo, de vacaciones) para que el dispositivo no se vea obligado a actualizarse inmediatamente cuando el usuario vuelva.
Se recomienda establecer lo siguiente:
- Período de gracia, en días: 5
Una vez transcurrido el plazo y el período de gracia, las actualizaciones se aplican automáticamente y se produce un reinicio independientemente de las horas activas.
Permitir que Windows elija cuándo reiniciar
Windows puede usar interacciones de usuario para identificar dinámicamente el menor tiempo de interrupción para un reinicio automático. Para aprovechar esta característica, asegúrese de que ConfigureDeadlineNoAutoReboot está establecido en Deshabilitado.
Directivas de actividad de dispositivo
Windows normalmente requiere que un dispositivo esté activo y conectado a Internet durante al menos seis horas, con al menos dos de actividad continua, para completar correctamente una actualización del sistema. El dispositivo podría tener otras circunstancias físicas que impidan la instalación correcta de una actualización, por ejemplo, si un portátil se está quedando sin batería o el usuario ha apagado el dispositivo antes de que finalicen las horas activas y el dispositivo no puede cumplir con la fecha límite.
Puede usar la configuración de esta sección para asegurarse de que los dispositivos están disponibles para instalar actualizaciones durante el período de cumplimiento de actualizaciones.
Horas activas
Las "horas activas" identifican el período de tiempo en el que se espera que un dispositivo esté en uso. Normalmente, los reinicios se producen fuera de estas horas. Windows 10, la versión 1903 introdujo "horas activas inteligentes", que permiten al sistema aprender las horas activas en función de las actividades de un usuario, en lugar de que usted como administrador tenga que tomar decisiones para su organización o permitir al usuario elegir horas activas que minimicen el período en el que el sistema puede instalar una actualización.
Importante
Si usó la opción Configurar horas activas en versiones anteriores de Windows 10, estas opciones deben estar deshabilitadas para aprovechar las horas activas inteligentes.
Si establece horas activas, se recomienda establecer las siguientes directivas en Deshabilitado para aumentar la velocidad de actualización:
Retrasar el reinicio automático. Aunque es posible establecer que el sistema retrase los reinicios de los usuarios que han iniciado sesión, esta configuración podría retrasar indefinidamente una actualización si un usuario siempre ha iniciado sesión o se ha cerrado. En su lugar, se recomienda establecer las siguientes directivas en Deshabilitado:
Desactivar el reinicio automático durante las horas activas
No se reinicia automáticamente con los usuarios que han iniciado sesión para las actualizaciones automáticas programadas
Limitar los retrasos de reinicio. Mediante el uso de fechas límite de cumplimiento, los usuarios reciben notificaciones de que se producirán actualizaciones, por lo que se recomienda establecer esta directiva en Deshabilitada para permitir que las fechas límite de cumplimiento eliminen la capacidad del usuario de retrasar un reinicio fuera de la configuración de la fecha límite de cumplimiento.
No permita que los usuarios aprueben actualizaciones y reinicios. Permitir que los usuarios aprueben o interactúen con el proceso de actualización fuera de las directivas de fecha límite reduce la velocidad de actualización y aumenta el riesgo. Estas directivas deben establecerse en Deshabilitado:
Configure la actualización automática. Al establecer correctamente las directivas para configurar las actualizaciones automáticas, puede aumentar la velocidad de las actualizaciones haciendo que los clientes se pongan en contacto con un servidor de Windows Server Update Services (WSUS) para que pueda administrarlas. Se recomienda establecer esta directiva en Deshabilitado. Sin embargo, si necesita proporcionar valores, asegúrese de establecer las descargas para que se instalen automáticamente estableciendo el directiva de grupo en 4. Si usa Microsoft Intune, establezca el valor en Restablecer en Predeterminado.
Permitir que la Windows Update automática se descargue a través de redes de uso medido. Dado que más dispositivos usan principalmente datos de telefonía móvil y no tienen acceso wi-fi, considere la posibilidad de permitir que los usuarios descarguen automáticamente las actualizaciones de una red de uso medido. Aunque la configuración predeterminada no permite la descarga a través de una red de uso medido, establecer este valor en 1 puede aumentar la velocidad al permitir que los usuarios obtengan actualizaciones tanto si están conectados a Internet como si no, siempre que tengan servicio de telefonía móvil.
Importante
Las versiones anteriores de Windows no admiten horas activas inteligentes. Si el dispositivo ejecuta una versión de Windows antes de Windows 10, versión 1903, se recomienda establecer las siguientes directivas:
- Configure las horas activas. A partir de Windows 10, versión 1703, puede especificar un intervalo máximo de horas activas que se cuenta a partir de la hora de inicio de las horas activas. Se recomienda establecer este valor en 10.
-
Programar la instalación de actualizaciones. En la configuración Configurar Novedades automática, hay dos maneras de controlar un reinicio forzado después de un tiempo de instalación especificado. Si usa la instalación de actualizaciones programadas, no habilite ambas opciones porque lo más probable es que entren en conflicto.
- Especifique el tiempo de mantenimiento automático. Esta configuración le permite establecer ventanas de mantenimiento más amplias para las actualizaciones y garantiza que esta programación no entre en conflicto con las horas activas. Se recomienda establecer este valor en 3 (correspondiente a las 3 AM). Si a las 3:00 am está en medio del turno de trabajo, elija otra hora que sea al menos un par de horas antes de que comience la hora de trabajo programada.
- Programe la hora de instalación. Esta configuración le permite programar una hora de instalación para un reinicio. No se recomienda establecerlo en Deshabilitado, ya que podría entrar en conflicto con las horas activas.
Directivas de energía
Los dispositivos deben estar disponibles realmente durante horas no reactivas para una actualización. No pueden hacerlo si las directivas de energía impiden que se despierten. En nuestra organización, nos esforzamos por establecer un equilibrio entre la seguridad y las configuraciones ecológicas. Se recomienda la siguiente configuración para lograr lo que creemos que son los inconvenientes adecuados:
Para un usuario, un dispositivo está activado o desactivado, pero para Windows, hay estados que permiten que se produzca una actualización (activa) y estados que no (inactivos). Algunos estados se consideran activos (suspensión), pero el usuario puede pensar que el dispositivo está apagado. Además, hay estados de energía (conectados o batería) que Windows comprueba antes de iniciar una actualización.
Puede invalidar la configuración predeterminada e impedir que los usuarios las cambien para asegurarse de que los dispositivos estén disponibles para las actualizaciones durante horas no activas.
Nota
Una manera de asegurarse de que los dispositivos puedan instalar actualizaciones cuando las necesite es educar a los usuarios para que mantengan los dispositivos conectados durante horas no activas. Incluso con las mejores directivas, un dispositivo que no está conectado no se actualizará, incluso en modo de suspensión.
Se recomienda esta configuración de administración de energía:
- Modo de suspensión (S1 o S0 bajo consumo inactivo o modo de espera moderno). Cuando un dispositivo está en modo de suspensión, el sistema parece estar apagado, pero si hay una actualización disponible, puede reactivar el dispositivo para realizar una actualización. El consumo de energía en modo de suspensión está entre trabajar (sistema totalmente utilizable) e hibernar (S4- nivel de energía más bajo antes del apagado). Cuando no se usa un dispositivo, el sistema generalmente pasará al modo de suspensión antes de que entre en hibernación. Los problemas de velocidad surgen cuando el tiempo entre suspensión e hibernación es demasiado corto y Windows no tiene tiempo para completar una actualización. El modo de suspensión es una configuración importante porque el sistema puede reactivar el sistema de suspensión para iniciar el proceso de actualización, siempre y cuando haya suficiente potencia.
Establezca las siguientes directivas en Habilitar o no configurar para permitir que el dispositivo use el modo de suspensión:
Establezca las siguientes directivas en 1 (suspensión) para que cuando un usuario cierre la tapa de un dispositivo, el sistema pase al modo de suspensión y el dispositivo tenga la oportunidad de realizar una actualización:
Hibernar. Cuando un dispositivo está hibernando, el consumo de energía es bajo y el sistema no puede reactivarse sin la intervención del usuario, como presionar el botón de encendido. Si un dispositivo está en este estado, no se puede actualizar a menos que admita un dispositivo de alarma y hora acpi (TAD). Dicho esto, si un dispositivo compatible con el suspensión tradicional (S3) está conectado y hay una actualización de Windows disponible, se retrasa un estado de hibernación hasta que se completa la actualización.
Nota
Esto no se aplica a los dispositivos que admiten el modo de espera moderno (S0 inactividad de bajo consumo). Puede comprobar qué estado de suspensión del sistema (S3 o S0 Inactividad de bajo consumo) admite un dispositivo mediante la ejecución powercfg /a
en un símbolo del sistema. Para obtener más información, consulte Opciones de Powercfg.
El tiempo de espera predeterminado en los dispositivos que admiten suspensión tradicional se establece en tres horas. Se recomienda no reducir estas directivas para permitir Windows Update la oportunidad de reiniciar el dispositivo antes de enviarlo a hibernación:
Directivas antiguas o en conflicto
Cada versión del cliente de Windows puede introducir nuevas directivas para mejorar la experiencia tanto para los administradores como para sus organizaciones. Cuando lanzamos una nueva directiva de cliente, la publicamos únicamente para esa versión y versiones posteriores, o la respaldamos para que esté disponible en versiones anteriores.
Importante
Si usa directiva de grupo, tenga en cuenta que no actualizamos las plantillas de ADMX antiguas y debe usar la plantilla ADMX más reciente (1903) para poder usar la directiva más reciente. Además, si usa una herramienta MDM (Microsoft o no Microsoft), no puede usar la nueva directiva hasta que esté disponible en la interfaz de la herramienta.
Como administradores, ha configurado y espera ciertos comportamientos, por lo que expresamente no quitamos directivas anteriores, ya que se configuraron para los casos de uso concretos. Sin embargo, si establece una nueva directiva sin deshabilitar una directiva anterior similar, podría tener un comportamiento en conflicto y es posible que las actualizaciones no funcionen según lo esperado.
Importante
En ocasiones, los administradores establecen dispositivos para obtener la configuración de directiva de grupo y la configuración de MDM de un servidor MDM, como Microsoft Intune. Los conflictos de directivas se controlan de forma diferente, en función de cómo se configuren en última instancia:
- Actualizaciones de Windows: directiva de grupo configuración tiene prioridad sobre MDM.
- Microsoft Intune: si establece valores diferentes para la misma directiva en dos grupos diferentes, recibirá una alerta y ninguna de ellas se establecerá hasta que se resuelva el conflicto. Es fundamental deshabilitar las directivas en conflicto para que los dispositivos de su organización tomen actualizaciones según lo previsto. Por ejemplo, si un dispositivo no reacciona a los cambios de la directiva MDM, compruebe si se establece una directiva similar en directiva de grupo con un valor diferente. Si ve que la velocidad de actualización no es tan alta como espera o si algunos dispositivos son más lentos que otros, puede que sea el momento de borrar todas las directivas y configuraciones y especificar solo las directivas de actualización recomendadas. Consulte la referencia directiva y configuración para obtener una lista consolidada de directivas recomendadas.
A continuación se muestran las directivas que puede que desee deshabilitar porque podrían reducir la velocidad de actualización o hay mejores directivas que usar que podrían entrar en conflicto:
- Aplazar la característica Novedades período en días. Para obtener la velocidad máxima de actualización, es mejor establecerlo en 0 (sin aplazamiento) para que la actualización de características se pueda completar y se vuelvan a ofrecer actualizaciones de seguridad mensuales. Incluso si hay una actualización de calidad urgente que debe implementarse rápidamente, es mejor usar pausar la característica Novedades en lugar de establecer una directiva de aplazamiento. Puede elegir un período más largo si no desea mantenerse al día con la actualización de características más reciente.
- Aplazar el período de Novedades de calidad en días. Para minimizar el riesgo y maximizar la velocidad de actualización, es posible que el tiempo máximo que quiera tener en cuenta al evaluar la actualización con un anillo diferente de dispositivos sea de dos a tres días.
- Pausar la característica Novedades hora de inicio. Establézcalo en Deshabilitado a menos que haya un problema conocido que requiera tiempo para una resolución.
- Pausar la hora de inicio Novedades calidad. Establézcalo en Deshabilitado a menos que haya un problema conocido que requiera tiempo para una resolución.
- Fecha límite sin reinicio automático. El valor predeterminado es Deshabilitado: se establece en 0 . Se recomienda que los dispositivos intenten reiniciarse automáticamente cuando se reciba una actualización. Windows usa interacciones de usuario para identificar dinámicamente el tiempo de menor interrupción para reiniciar.
También hay directivas adicionales que ya no se admiten o que se han reemplazado.