Tutorial: Uso de CSP y MDM para configurar Windows Update para empresas

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

¿Buscas información para consumidores? Consulta Windows Update: preguntas más frecuentes

Introducción

Puede usar directivas de proveedor de servicios de configuración (CSP) para controlar cómo funciona Windows Update para empresas mediante una herramienta de mobile Administración de dispositivos (MDM). Debe tener en cuenta y diseñar una estrategia de implementación para las actualizaciones antes de realizar cambios en la configuración de Windows Update para empresas.

Un administrador de TI puede establecer directivas para Windows Update para empresas mediante Microsoft Intune o una herramienta MDM que no sea de Microsoft.

Para administrar las actualizaciones con Windows Update para empresas, debe prepararse con estos pasos, si aún no lo ha hecho:

• Create grupos de seguridad de Active Directory que se alinean con los anillos de implementación que se usan para la implementación por fases de las actualizaciones. Consulta Compilación de anillos de implementación para actualizaciones de cliente de Windows para obtener más información sobre los anillos de implementación en el cliente De Windows.
• Permitir el acceso al servicio Windows Update.

Administración de ofertas de Windows Update

Puede controlar cuándo se aplican las actualizaciones, por ejemplo, aplazando cuando se instala una actualización en un dispositivo o pausando las actualizaciones durante un período de tiempo determinado.

Determinar qué actualizaciones desea ofrecer a los dispositivos

Las actualizaciones de características y calidad se ofrecen automáticamente a los dispositivos conectados a Windows Update mediante directivas de Windows Update para empresas. Sin embargo, puede elegir si desea que los dispositivos reciban además otros controladores o Novedades de Microsoft que sean aplicables a ese dispositivo.

Para habilitar Microsoft Novedades, use Update/AllowMUUpdateService.

Los controladores se habilitan automáticamente porque son beneficiosos para los sistemas de dispositivos. Se recomienda permitir que la directiva de controladores permita que los controladores se actualicen en los dispositivos (valor predeterminado), pero puede desactivar esta configuración si prefiere administrar los controladores manualmente. Si quiere deshabilitar las actualizaciones de controladores por algún motivo, use Update/ExcludeWUDriversInQualityUpdate.

También se recomienda permitir las actualizaciones de productos de Microsoft como se ha explicado anteriormente.

Establecer cuándo los dispositivos reciben actualizaciones de características y calidad

Quiero recibir versiones preliminares de la siguiente actualización de características

1. Asegúrese de que está inscrito en el Programa Windows Insider para empresas. Windows Insider es un programa gratuito disponible para los clientes comerciales para ayudarles en la validación de actualizaciones de características antes de que se publiquen. Unirse al programa le permite recibir actualizaciones antes de su lanzamiento, así como recibir correos electrónicos y contenido relacionado con lo que viene en las próximas actualizaciones.

2. Para cualquiera de los dispositivos de prueba que quiera instalar compilaciones preliminares, use Update/ManagePreviewBuilds. Establezca la opción en Habilitar compilaciones en versión preliminar.

3. Use Update/BranchReadinessLevel y seleccione una de las compilaciones de vista previa. Windows Insider Program Slow es el canal recomendado para los clientes comerciales que usan compilaciones preliminares para la validación.

4. Además, puede aplazar las actualizaciones de características de versión preliminar de la misma manera que las actualizaciones publicadas, estableciendo un período de aplazamiento de hasta 14 días mediante Update/DeferFeatureUpdatesPeriodInDays. Si va a realizar pruebas con compilaciones lentas del Programa Windows Insider, se recomienda que reciba las actualizaciones en versión preliminar del departamento de TI el día 0, cuando se publique la actualización y, a continuación, tenga un aplazamiento de 7 a 10 días antes de implementarse en el grupo de evaluadores. Esta programación ayuda a garantizar que, si se detecta un problema, puede pausar el lanzamiento de la actualización en versión preliminar antes de que llegue a las pruebas.

Quiero administrar la actualización de características publicadas que reciben mis dispositivos

Un administrador de Windows Update para empresas puede aplazar o pausar las actualizaciones. Puede aplazar las actualizaciones de características hasta 365 días y aplazar las actualizaciones de calidad hasta 30 días. Aplazar simplemente significa que no recibe la actualización hasta que se haya publicado al menos durante el número de días de aplazamiento especificado (fecha de la oferta = fecha de lanzamiento + fecha de aplazamiento). Puede pausar las actualizaciones de características o calidad durante un máximo de 35 días a partir de una fecha de inicio determinada que especifique.

• Para aplazar una actualización de características: Update/DeferFeatureUpdatesPeriodInDays
• Para pausar una actualización de características: Update/PauseFeatureUpdatesStartTime
• Para aplazar una actualización de calidad: Update/DeferQualityUpdatesPeriodInDays
• Para pausar una actualización de calidad: Update/PauseQualityUpdatesStartTime

Por ejemplo:

En este ejemplo, hay tres anillos para las actualizaciones de calidad. El primer anillo ("piloto") tiene un período de aplazamiento de 0 días. El segundo anillo ("rápido") tiene un aplazamiento de cinco días. El tercer anillo ("lento") tiene un aplazamiento de diez días.

Cuando se publica la actualización de calidad, se ofrece a los dispositivos del anillo piloto la próxima vez que busquen actualizaciones.

Cinco días después

A los dispositivos del anillo rápido se les ofrece la actualización de calidad la próxima vez que busquen actualizaciones.

Diez días después

Diez días después de que se publique la actualización de calidad, se ofrece a los dispositivos en el anillo lento la próxima vez que busquen actualizaciones.

Si no se produce ningún problema, a todos los dispositivos que buscan actualizaciones se les ofrece la actualización de calidad en un plazo de diez días a partir de su lanzamiento, en tres oleadas.

¿Qué ocurre si se produce un problema con la actualización?

En este ejemplo, se detecta algún problema durante la implementación de la actualización en el anillo "piloto".

En este momento, el administrador de TI puede establecer una directiva para pausar la actualización. En este ejemplo, el administrador activa la casilla Pausar actualizaciones de calidad .

Ahora todos los dispositivos están en pausa para actualizarse durante 35 días. Cuando se quita la pausa, se les ofrecerá la siguiente actualización de calidad, que idealmente no tendrá el mismo problema. Si todavía hay un problema, el administrador de TI puede pausar las actualizaciones de nuevo.

Quiero permanecer en una versión específica

Si necesita que un dispositivo permanezca en una versión más allá del punto en que transcurren los aplazamientos de la versión siguiente o si necesita omitir una versión (por ejemplo, actualizar la versión de otoño para la versión de otoño) use Update/TargetReleaseVersion (o Deploy Feature Novedades Preview in Intune) en lugar de usar aplazamientos de actualización de características. Cuando use esta directiva, especifique la versión a la que desea que se muevan o permanezcan los dispositivos (por ejemplo, "1909"). Puede encontrar información de versión en la página información de versión de Windows 10.

Administrar cómo experimentan los usuarios las actualizaciones

Quiero administrar cuándo descargan, instalan y reinician los dispositivos después de las actualizaciones

Se recomienda que permita actualizar automáticamente, que es el comportamiento predeterminado. Si no establece una directiva de actualización automática, el dispositivo intenta descargar, instalar y reiniciar en los mejores momentos para el usuario mediante inteligencia integrada, como las horas activas inteligentes.

Para un control más granular, puede establecer el período máximo de horas activas que el usuario puede establecer con Update/ActiveHoursMaxRange. También puede establecer tiempos de inicio y finalización específicos para el nuestro activo con Update/ActiveHoursEnd y Update/ActiveHoursStart.

Es mejor abstenerse de establecer la directiva de horas activas porque está habilitada de forma predeterminada cuando las actualizaciones automáticas no están deshabilitadas y proporciona una mejor experiencia cuando los usuarios pueden establecer sus propias horas activas.

Para actualizar fuera de las horas activas, use Update/AllowAutoUpdate con la opción 2 (que es la configuración predeterminada). Para obtener un control aún más pormenorizado, considere la posibilidad de usar actualizaciones automáticas para programar la hora de instalación, el día o la semana. Para usar una programación, use la opción 3 y, a continuación, establezca las siguientes directivas según corresponda para el plan:

• Update/ScheduledInstallDay
• Update/ScheduledInstallEveryWeek
• Update/ScheduledInstallFirstWeek
• Update/ScheduledInstallFourthWeek
• Update/ScheduledInstallSecondWeek
• Update/ScheduledInstallThirdWeek
• Update/ScheduledInstallTime

Cuando se establecen estas directivas, la instalación se realiza automáticamente en el momento especificado y el dispositivo se reiniciará 15 minutos después de que se complete la instalación (a menos que el usuario la interrumpa).

Si no desea permitir ninguna actualización automática antes de la fecha límite, establezca Update/AllowAutoUpdate en la opción 5, lo que desactiva las actualizaciones automáticas.

Quiero mantener los dispositivos seguros y conformes a las fechas límite de actualización

Se recomienda que use establecer fechas límite específicas para las actualizaciones de características y calidad para garantizar que los dispositivos permanezcan seguros en Windows 10, versión 1709 y posteriores. Las fechas límite funcionan al permitirle especificar el número de días que pueden transcurrir después de que se ofrezca una actualización a un dispositivo antes de que se deba instalar. También puede establecer el número de días que pueden transcurrir después de un reinicio pendiente antes de que el usuario se vea obligado a reiniciar. Usa esta configuración:

• Update/ConfigureDeadlineForFeatureUpdates
• Update/ConfigureDeadlineForQualityUpdates
• Update/ConfigureDeadlineGracePeriod
• Update/ConfigureDeadlineGracePeriodForFeatureUpdates
• Update/ConfigureDeadlineNoAutoReboot

Estas directivas también ofrecen la opción de no participar en los reinicios automáticos hasta que se alcance una fecha límite mediante la presentación de una "experiencia de reinicio comprometida" hasta que la fecha límite haya expirado realmente. En ese momento, el dispositivo programa automáticamente un reinicio independientemente de las horas activas.

Estas notificaciones son las que ve el usuario en función de la configuración que elija:

Cuando se establece Especificar fechas límite para actualizaciones y reinicios automáticos (para Windows 10, versión 1709 y posteriores):

• Mientras el reinicio está pendiente, antes de que se produzca la fecha límite:

  • Durante los primeros días, el usuario recibe una notificación del sistema

  • Después de este período, el usuario recibe este cuadro de diálogo:

    

  • Si el usuario programó un reinicio o si está programado un reinicio automático, 15 minutos antes de la hora programada, el usuario recibe esta notificación de que el reinicio está a punto de producirse:

    

• Si el reinicio sigue pendiente después de que se supere la fecha límite:

  • Dentro de las 12 horas anteriores a la fecha límite, el usuario recibe esta notificación de que la fecha límite se está aproximando:

    

  • Una vez superada la fecha límite, el usuario se ve obligado a reiniciar para mantener sus dispositivos en cumplimiento y recibe esta notificación:

    

Configuración del usuario final para las notificaciones

Se aplica a:

• Windows 11, versión 23H2 con KB5037771 o posterior
• Windows 11, versión 22H2 con KB5037771 o posterior

Los usuarios pueden establecer una preferencia por las notificaciones sobre reinicios pendientes para las actualizaciones en Configuración>Windows Update> Opciones >avanzadasNotificarme cuando se requiere un reinicio para finalizar la actualización. Esta configuración está controlada por el usuario final y no está controlada o configurable por los administradores de TI.

Los usuarios tienen las siguientes opciones para la opción Notificarme cuando se requiere un reinicio para finalizar la actualización :

• Desactivado (valor predeterminado): una vez que el dispositivo entra en un estado de reinicio pendiente para las actualizaciones, las notificaciones de reinicio se suprimen durante 24 horas. Durante las primeras 24 horas, los reinicios automáticos todavía pueden producirse fuera del horario activo. Normalmente, los usuarios reciben menos notificaciones sobre los próximos reinicios mientras se aproxima la fecha límite.

  • Cuando la fecha límite se establece para 1 día, los usuarios solo reciben una notificación sobre la fecha límite y una notificación final no aceptable 15 minutos antes de un reinicio forzado.

• Activado: los usuarios reciben inmediatamente una notificación del sistema cuando el dispositivo entra en un estado pendiente de reinicio para las actualizaciones. Los reinicios automáticos de las actualizaciones se bloquean durante 24 horas después de la notificación inicial para dar a estos usuarios tiempo para prepararse para un reinicio. Una vez transcurridos 24 horas, pueden producirse reinicios automáticos. Esta configuración se recomienda para los usuarios que quieran recibir notificaciones sobre los próximos reinicios.

  • Cuando se establece la fecha límite para 1 día, se produce una notificación inicial, el reinicio automático se bloquea durante 24 horas y los usuarios reciben otra notificación antes de la fecha límite y una notificación final no aceptable 15 minutos antes de un reinicio forzado.

Cuando se establece una fecha límite para 0 días, independientemente de qué opción esté seleccionada, la única notificación que reciben los usuarios es una notificación final que no se puede permitir 15 minutos antes de un reinicio forzado.

La preferencia del usuario por las notificaciones se aplica cuando se usan las siguientes directivas para las fechas límite de cumplimiento :

• Update/ConfigureDeadlineForFeatureUpdates
• Update/ConfigureDeadlineForQualityUpdates
• Update/ConfigureDeadlineGracePeriod
• Update/ConfigureDeadlineGracePeriodForFeatureUpdates (Windows 11, versión 22H2 o posterior)
• Update/ConfigureDeadlineNoAutoReboot

Quiero administrar las notificaciones que ve un usuario

Hay configuraciones adicionales que afectan a las notificaciones.

Se recomienda usar las notificaciones predeterminadas, ya que tienen como objetivo proporcionar la mejor experiencia de usuario al tiempo que se ajustan a las directivas de cumplimiento establecidas. Si tiene más necesidades que no se cumplen con la configuración de notificación predeterminada, puede usar la directiva Update/NoUpdateNotificationsDuringActiveHours con estos valores:

0 (valor predeterminado): use las notificaciones de Windows Update predeterminadas.
1 - Desactivar todas las notificaciones, excepto las advertencias de reinicio
2 - Desactivar todas las notificaciones, incluidas las advertencias de reinicio

Nota

La opción 2 crea una experiencia deficiente para los dispositivos personales; solo se recomienda para dispositivos de pantalla completa en los que se han deshabilitado los reinicios automáticos.

Todavía hay más opciones disponibles en Update/ScheduleRestartWarning. Esta configuración le permite especificar el período para las notificaciones de aviso de advertencia de reinicio automático (de 2 a 24 horas; 4 horas es el valor predeterminado) antes de la actualización. También puede especificar el período para las notificaciones de advertencia inminentes de reinicio automático con Update/ScheduleImminentRestartWarning (15-60 minutos es el valor predeterminado). Se recomienda usar las notificaciones predeterminadas.

Quiero administrar la configuración de actualización a la que un usuario puede acceder

Cada dispositivo Windows proporciona a los usuarios varios controles que pueden usar para administrar windows Novedades. Para acceder a estos controles, busque Windows Novedades o seleccione Novedades y Seguridad en Configuración. Proporcionamos la capacidad de deshabilitar una variedad de estos controles que son accesibles para los usuarios.

Los usuarios con acceso para actualizar la configuración de pausa pueden evitar actualizaciones de características y de calidad durante 7 días. Puede evitar que los usuarios pausan las actualizaciones a través de la página de configuración de Windows Update mediante Update/SetDisablePauseUXAccess. Al deshabilitar esta configuración, los usuarios ven algunas opciones administradas por su organización y la configuración de pausa de actualización está atenuada.

Si usa Windows Server Update Server (WSUS), puede impedir que los usuarios puedan examinar Windows Update. Para ello, use Update/SetDisableUXWUAccess.

Quiero habilitar las características introducidas a través del mantenimiento que están desactivadas de forma predeterminada

(A partir de Windows 11, versión 22H2 o posterior)

Las nuevas características y mejoras se presentan a través de la actualización acumulativa mensual para proporcionar innovación continua para Windows 11. Para dar a las organizaciones tiempo para planear y prepararse, algunas de estas nuevas características se desactivan temporalmente de forma predeterminada. Las características que están desactivadas de manera predeterminada se enumeran en el artículo de KB para la actualización acumulativa mensual. Normalmente, se selecciona que una característica esté desactivada de manera predeterminada porque afecta significativamente a la experiencia del usuario o a los administradores de TI.

Las características que están desactivadas de forma predeterminada de las actualizaciones de mantenimiento se habilitarán en la siguiente actualización anual de características. Las organizaciones pueden optar por implementar actualizaciones de características a su propio ritmo, para retrasar estas características hasta que estén listas para ellas.

Puede habilitar estas características mediante AllowTemporaryEnterpriseFeatureControl. Están disponibles las siguientes opciones:

• 0 (valor predeterminado): no permitido. Las características que se envían desactivadas de forma predeterminada permanecerán desactivadas
• 1: Permitido. Todas las características de la última actualización acumulativa mensual están habilitadas.
  • Cuando la directiva se establece en 1, todas las características que están actualmente desactivadas se activarán cuando el dispositivo se reinicie.

Quiero habilitar actualizaciones opcionales

Se aplica a:

• Windows 11, versión 22H2 con KB5029351 y versiones posteriores
• Windows 10, versión 22H2 con KB5032278 o una actualización acumulativa posterior instalada

Además de la actualización acumulativa mensual, hay disponibles actualizaciones opcionales para proporcionar nuevas características y cambios no relacionados con la seguridad. La mayoría de las actualizaciones opcionales se publican el cuarto martes del mes, lo que se conoce como versiones preliminares opcionales que no son de seguridad. Las actualizaciones opcionales también pueden incluir características que se implementan gradualmente, conocidas como implementaciones de características controladas (CFR). La instalación de actualizaciones opcionales no está habilitada de forma predeterminada para los dispositivos que reciben actualizaciones mediante Windows Update para empresas. Sin embargo, puede habilitar actualizaciones opcionales para dispositivos mediante AllowOptionalContent. Para obtener más información sobre el contenido opcional, vea Habilitar actualizaciones opcionales.