Gestion des périphériques mobiles (GPM) pour la mise à jour des appareils

Astuce

Si vous n’êtes pas développeur ou administrateur, vous trouverez des informations plus utiles dans la Windows Update : Forum aux questions.

Avec les PC, tablettes, téléphones et appareils IoT, les solutions de gestion des périphériques mobiles (MDM) deviennent répandues en tant que technologie légère de gestion des appareils. Dans Windows, nous investissons massivement dans l’extension des fonctionnalités de gestion disponibles pour les MMM. L’une des fonctionnalités clés que nous ajoutons est la possibilité pour les appareils mobiles de maintenir les appareils à jour avec les dernières mises à jour de Microsoft Corporation.

En particulier, Windows fournit des API pour permettre aux mdms de :

  • Assurez-vous que les machines restent à jour en configurant des stratégies de mise à jour automatique.
  • Testez les mises à jour sur un ensemble plus petit d’ordinateurs en configurant les mises à jour approuvées pour un appareil donné. Ensuite, lancez un déploiement à l’échelle de l’entreprise.
  • Obtenir l’état de conformité des appareils gérés Le système informatique peut comprendre les ordinateurs qui ont encore besoin d’un correctif de sécurité ou le niveau d’actualité d’un ordinateur particulier.
  • Configurez les stratégies de mise à jour automatique pour vous assurer que les appareils restent à jour.
  • Obtenez les informations de compatibilité de l’appareil (la liste des mises à jour qui sont nécessaires mais qui ne sont pas encore installées).
  • Entrez une liste d’approbation de mise à jour par appareil. La liste s’assure que les appareils installent uniquement les mises à jour approuvées et testées.
  • Approuver les contrats de licence utilisateur final (EULA) pour l’utilisateur final afin que le déploiement de la mise à jour puisse être automatisé, même pour les mises à jour avec les EULA.

Cet article fournit aux éditeurs de logiciels indépendants (ISV) les informations dont ils ont besoin pour implémenter la gestion des mises à jour dans Windows. Pour plus d’informations, consultez Fournisseur de services de configuration de stratégie - Mise à jour.

Remarque

Les API DM OMA pour spécifier les approbations de mise à jour et obtenir l’état de conformité font référence aux mises à jour à l’aide d’un ID de mise à jour. L’ID de mise à jour est un GUID qui identifie une mise à jour particulière. La gestion des appareils mobiles souhaite afficher des informations conviviales sur la mise à jour, au lieu d’un GUID brut, y compris le titre, la description, la base de connaissances, le type de mise à jour, comme une mise à jour de sécurité ou un Service Pack. Pour plus d’informations, consultez [MS-WSUSSS] : Windows Update Services : protocole Server-Server.

Le diagramme suivant fournit une vue d’ensemble conceptuelle du fonctionnement :

gestion des mises à jour des périphériques mobiles.

Le diagramme peut être divisé en trois parties :

  • Le service de gestion des appareils synchronise les informations de mise à jour (titre, description, applicabilité) à partir de Microsoft Update à l’aide du protocole de synchronisation Server-Server (haut du diagramme).
  • Le service de gestion des appareils définit les stratégies de mise à jour automatique, obtient les informations de conformité des mises à jour et définit les approbations via le DM OMA (partie gauche du diagramme).
  • L’appareil obtient les mises à jour de Microsoft Update à l’aide du protocole client/serveur. Il télécharge et installe uniquement les mises à jour qui s’appliquent à l’appareil et qui sont approuvées par l’équipe de la TI (partie droite du diagramme).

Mise à jour des métadonnées à l’aide du protocole de synchronisation Server-Server

Le catalogue Microsoft Update contient de nombreuses mises à jour qui ne sont pas nécessaires pour les appareils gérés par la gestion des périphériques mobiles. Il comprend des mises à jour pour les logiciels hérités, comme les mises à jour des serveurs, des systèmes d'exploitation de bureau de niveau inférieur et des applications héritées, ainsi qu'un grand nombre de pilotes. Nous recommandons à la gestion des périphériques mobiles d’utiliser Server-Server de synchronisation pour obtenir les métadonnées de mise à jour pour les mises à jour signalées par le client.

Cette section décrit cette configuration. Le diagramme suivant illustre le processus du protocole de synchronisation serveur-serveur.

synchronisation serveur-serveur mdm.

MSDN fournit de nombreuses informations sur le protocole de synchronisation Server-Server. En particulier :

  • Il s’agit d’un protocole SOAP et vous pouvez obtenir le protocole WSDL dans le service web de synchronisation de serveur. WSDL peut être utilisé pour générer des proxys appelants pour de nombreux environnements de programmation, afin de simplifier le développement.
  • Vous trouverez des exemples de code dans les Exemples de protocole. L’exemple de code affiche des commandes SOAP brutes qui peuvent être utilisées. Bien qu’il soit encore plus simple d’effectuer l’appel à partir d’un langage de programmation comme .NET (appel des proxys générés par WSDL). Le stub généré par le WSDL de synchronisation de serveur génère une URL de liaison incorrecte. L’URL de liaison doit être définie sur https://fe2.update.microsoft.com/v6/ServerSyncWebService/serversyncwebservice.asmx .

Quelques points importants :

  • Le protocole possède une phase d’autorisation (en appelant GetAuthConfig, GetAuthorizationCookie et GetCookie). Dans les exemples deprotocole, l’exemple 1 : code d’autorisation montre comment l’autorisation est effectuée. Même s’il s’agit de la phase d’autorisation, le protocole est complètement ouvert (aucune informations d’identification n’est nécessaire pour exécuter cette phase du protocole). Cette séquence d’appels doit être exécutée pour obtenir un cookie pour la partie principale du protocole de synchronisation. Dans le cadre d’une optimisation, vous pouvez mettre en cache le cookie et n’appeler de nouveau cette séquence que si votre cookie a expiré.
  • Le protocole permet à MDM de synchroniser les métadonnées de mise à jour d’une mise à jour particulière en appelant GetUpdateData. Pour plus d’informations, consultez GetUpdateData dans MSDN. LocURI pour obtenir les mises à jour applicables avec leurs numéros de révision est <LocURI>./Vendor/MSFT/Update/InstallableUpdates?list=StructData</LocURI>. Étant donné que toutes les mises à jour ne sont pas disponibles via la synchronisation S2S, assurez-vous de traiter les erreurs SOAP.
  • Pour les appareils mobiles, vous pouvez synchroniser les métadonnées pour une mise à jour particulière en appelant GetUpdateData. Ou, pour une solution locale, vous pouvez utiliser Windows Server Update Services (WSUS) et importer manuellement les mises à jour mobiles à partir du site de catalogue Microsoft Update. Pour plus d’informations, consultez l’article Schéma de processus de synchronisation du serveur.

Remarque

Au fil du temps, Microsoft Update modifie les métadonnées d’une mise à jour donnée, par exemple en mettant à jour les informations descriptives, en corrigeant les bogues dans les règles d’applicabilité, en apportant des modifications de localisation, etc. Chaque fois qu’une modification qui n’affecte pas la mise à jour elle-même, une nouvelle révision de mise à jour est créée. Un UpdateID (GUID) et un RevisionNumber (int) composent une clé d’identité pour une révision de mise à jour. La gestion des appareils mobiles ne présente pas de révision de mise à jour pour le service informatique. Au lieu de cela, pour chaque UpdateID (GUID), le GPM conserve les métadonnées pour la révision ultérieure de cette mise à jour, qui est celle avec le numéro de révision le plus élevé.

Voici quelques exemples de descriptions de structure et de structure XML de métadonnées de mise à jour

La réponse de l’appel GetUpdateData retourne un tableau de ServerSyncUpdateData qui contient les métadonnées de mise à jour de l’élément XmlUpdateBlob. Le schéma du XML Update est disponible dans les Exemples de protocole. Certains des éléments clés sont décrits ici :

  • UpdateID : identificateur unique d’une mise à jour
  • RevisionNumber : numéro de révision de la mise à jour si la mise à jour a été modifiée.
  • CreationDate : date à laquelle cette mise à jour a été créée.
  • UpdateType : type de mise à jour, qui peut inclure les éléments suivants :
    • Detectoid : si cette identité de mise à jour représente une logique de compatibilité
    • Category : cet élément peut représenter l’un des éléments suivants :
      • Catégorie de produit à laquelle la mise à jour appartient. Par exemple, Windows, MS office, etc.
      • Classification à laquelle appartient la mise à jour. Par exemple, les pilotes, la sécurité, etc.
    • Logiciel : si la mise à jour est une mise à jour logicielle.
    • Pilote : si la mise à jour est une mise à jour du pilote.
  • LocalizedProperties : représente la langue dans laquelle la mise à jour est disponible, son titre et sa description. Il contient les champs suivants :
    • Language : identificateur de code de langue (LCID). Par exemple, en ou es.
    • Titre : titre de la mise à jour. Par exemple, « Windows SharePoint Services 3.0 Service Pack 3 x64 Edition (KB2526305) »
    • Description : description de la mise à jour. Par exemple, « Windows SharePoint Services 3.0 Service Pack 3 (KB2526305) fournit les dernières mises à jour de Windows SharePoint Services 3.0. Après l'installation, vous devrez peut-être redémarrer votre ordinateur. Une fois que vous avez installé cet élément, il ne peut pas être supprimé. »
  • KBArticleID : numéro d’article de la base de connaissances pour cette mise à jour qui contient des détails sur la mise à jour particulière. Exemple : https://support.microsoft.com/kb/2902892.

Cette section décrit un algorithme possible d’utilisation du protocole de synchronisation serveur-serveur pour extraire les métadonnées de mise à jour vers la gestion des périphériques mobiles.

Voici quelques informations :

  • Si vous avez un modèle de gestion des données multi-locataires, les métadonnées de mise à jour peuvent être conservées dans une partition partagée, car elle est commune à tous les locataires.
  • Un service de synchronisation des métadonnées peut ensuite être implémenté. Le service appelle périodiquement la synchronisation serveur-serveur pour obtenir les métadonnées des mises à jour qui intéressent le service informatique.
  • Le composant de la gestion des périphériques mobiles qui utilise OMA DM pour contrôler les périphériques (décrit dans la section suivante) doit envoyer au service de synchronisation des métadonnées la liste des mises à jour nécessaires qu’il obtient de chaque client, si ces mises à jour ne sont pas déjà connues de l’appareil.

La procédure suivante décrit un algorithme de base pour un service de synchronisation des métadonnées :

  1. Créez une liste vide d'« ID de mise à jour nécessaires à l’erreur ». Cette liste est mise à jour par le composant de service MDM qui utilise OMA DM. Nous vous recommandons de ne pas ajouter de mises à jour de définitions à cette liste, car elles sont temporaires. Par exemple, Defender peut publier de nouvelles mises à jour de définitions plusieurs fois par jour, chacune d’entre elles est cumulative.
  2. Synchronisez périodiquement (nous recommandons une fois toutes les 2 heures – pas plus d'une fois par heure).
    1. Implémentez la phase d’autorisation du protocole pour obtenir un cookie si vous n’avez pas encore de cookie non expiré. Voir Exemple 1 : autorisation dans les Exemples de protocole.
    2. Implémentez la partie métadonnées du protocole. Consultez l’exemple 2 : Synchronisation des métadonnées et des déploiements dans exemples de protocole) et appelez GetUpdateData pour toutes les mises à jour dans la liste « ID de mise à jour nécessaires à l’erreur » si les métadonnées de mise à jour n’ont pas déjà été extraites dans la base de données.
      • S’il s’agit d’une nouvelle version de la mise à jour d’une mise à jour existante (même UpdateID, numéro de révision supérieur), remplacez les métadonnées de mise à jour précédentes par la nouvelle.
      • Supprimez les mises à jour de la liste « ID de mise à jour nécessaires à l’erreur » une fois qu’elles ont été apportées.

Ces étapes obtiennent des informations sur l’ensemble des mises à jour Microsoft Corporation que le secteur de l’information doit gérer, de sorte que les informations peuvent être utilisées dans différents scénarios de gestion des mises à jour. Par exemple, au moment de l’approbation de la mise à jour, vous pouvez obtenir des informations pour que le gouvernement puisse voir les mises à jour qu’il approuve. Ou, pour que les rapports de conformité voient quelles mises à jour sont nécessaires, mais pas encore installées.

Gestion des mises à jour à l’aide du DM OMA

Un GPM peut gérer les mises à jour via le DM OMA. Les détails sur l’utilisation et l’intégration d’une gestion des périphériques mobiles avec le protocole DM Windows OMA et la façon d’inscrire des appareils pour la gestion de la gestion des appareils mobiles sont documentés dans la gestion des appareils mobiles. Cette section décrit la façon d’étendre cette intégration pour prendre en charge la gestion des mises à jour. Les principaux aspects de la gestion des mises à jour incluent les informations suivantes :

  • Configurez les stratégies de mise à jour automatique pour vous assurer que les appareils restent à jour.
  • Obtenez les informations de compatibilité de l’appareil (la liste des mises à jour qui sont nécessaires mais qui ne sont pas encore installées).
  • Spécifiez une liste d’approbation de mise à jour par périphérique. La liste s’assure que les appareils installent uniquement les mises à jour approuvées et testées.
  • Approuvez les CLUF pour l’utilisateur final afin que le déploiement des mises à jour puisse être automatisé, même pour les mises à jour avec des CLUF.

La liste suivante décrit un modèle suggéré pour l’application des mises à jour.

  1. Avoir un « groupe test » et un « groupe général ».
  2. Dans le groupe Test, laissez toutes les mises à jour circuler.
  3. Dans le groupe Tous, définissez le report de mise à jour de la qualité pendant sept jours, puis les Mises à jour qualité sont automatiquement approuvées après sept jours. Les reports de mise à jour qualité excluent les Mises à jour de définition. Les Mises à jour de définition sont donc automatiquement approuvées lorsqu’elles sont disponibles. Faites correspondre la planification de definition Mises à jour à la planification du report de mise à jour qualité en définissant Update/DeferQualityUpdatesPeriodInDays sur sept. Laissez les mises à jour s’écouler après sept jours ou en suspendant si des problèmes se produisent.

Mises à jour sont configurés à l’aide du fournisseur de services de configuration de stratégie de mise à jour.

Capture d’écran de l’interface utilisateur gestion des mises à jour

Les captures d’écran suivantes de la console administrateur montrent la liste des titres de mise à jour, les status d’approbation et d’autres champs de métadonnées.

Capture d’écran de gestion des mises à jour mdm.

Capture d’écran des métadonnées de gestion des mises à jour mdm.

Exemple de SyncML

Définissez la mise à jour automatique pour notifier et différer.

<SyncML xmlns="SYNCML:SYNCML1.1">
    <SyncBody>
        <Replace xmlns="">
            <CmdID>1</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/AllowUpdateService</LocURI>
                </Target>
                <Data>0</Data>
            </Item>
            <CmdID>2</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/RequireDeferUpgrade </LocURI>
                </Target>
                <Data>0</Data>
            </Item>
            <CmdID>3</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/RequireUpdateApproval </LocURI>
               </Target>
                <Data>0</Data>
            </Item>
        </Replace>
       <Final/>
    </SyncBody>
</SyncML>

Diagramme de flux de processus et captures d’écran du processus de synchronisation du serveur

Le diagramme et les captures d’écran suivants montrent le flux de processus du processus de mise à jour de l’appareil avec Windows Server Update Services et du catalogue Microsoft Update.

Gestion des mises à jour des périphériques mdm capture d’écran3.

capture d’écran4 de la gestion des mises à jour des périphériques

capture d’écran5 de la gestion des mises à jour des périphériques

capture d’écran6 de la gestion des mises à jour des périphériques

capture d’écran7 de la gestion des mises à jour des périphériques

capture d’écran8 de la gestion des mises à jour des périphériques

capture d’écran9 de la gestion des mises à jour des périphériques