Déployer des mises à jour de fonctionnalités avec le service de déploiement Windows Update entreprise

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Le service de déploiement Windows Update entreprise est utilisé pour approuver et planifier les mises à jour logicielles. Le service de déploiement expose ses fonctionnalités via le API Graph Microsoft. Vous pouvez appeler l’API directement, via un KIT de développement logiciel (SDK) Graph, ou l’intégrer à un outil de gestion tel que Microsoft Intune.

Cet article utilise graph Explorer pour parcourir l’ensemble du processus de déploiement d’une mise à jour des fonctionnalités sur les clients. Dans cet article, vous allez :

Dans cet article, vous allez :

• Ouvrir l’Explorer Graph
• Exécuter des requêtes pour identifier les appareils
• Inscrire des périphériques
• Répertorier les entrées de catalogue pour les mises à jour de fonctionnalités
• Créer un déploiement
• Ajouter des membres à l’audience de déploiement
• Suspendre un déploiement
• Supprimer un déploiement
• Désinscrire des appareils

Conditions préalables

Toutes les conditions préalables pour le service de déploiement Windows Update for Business doivent être remplies.

Autorisations

Les autorisations suivantes sont nécessaires pour les requêtes répertoriées dans cet article :

• WindowsUpdates.ReadWrite.All pour les opérations du service de déploiement Windows Update entreprise.
• Au moins l’autorisation Device.Read.All pour afficher les informations de l’appareil .

Certains rôles, tels que l’administrateur de déploiement Windows Update, disposent déjà de ces autorisations.

Ouvrir l’Explorer Graph

Pour cet article, vous allez utiliser Graph Explorer pour effectuer des demandes aux API Microsoft Graph pour récupérer, ajouter, supprimer et mettre à jour des données. Graph Explorer est un outil de développement qui vous permet d’en savoir plus sur les API Microsoft Graph. Pour plus d’informations sur l’utilisation de Graph Explorer, consultez Prise en main de Graph Explorer.

Warning

• Les demandes répertoriées dans cet article nécessitent une connexion avec un compte Microsoft 365. Si nécessaire, un essai gratuit d’un mois est disponible pour Microsoft 365 Business Premium.
• L’utilisation d’un locataire de test pour apprendre et vérifier le processus de déploiement est fortement recommandée. Graph Explorer est destiné à être un outil d’apprentissage. Veillez à bien comprendre l’octroi du consentement et le type de consentement pour Graph Explorer avant de continuer.

1. À partir d’un navigateur, accédez à Graph Explorer et connectez-vous à l’aide d’un compte d’utilisateur Microsoft Entra.

2. Vous devrez peut-être activer l’autorisationWindowsUpdates.ReadWrite.All pour utiliser les requêtes de cet article. Pour activer l’autorisation :

   1. Sélectionnez l’onglet Modifier les autorisations dans Graph Explorer.

   2. Dans la boîte de dialogue Autorisations, sélectionnez l’autorisation WindowsUpdates.ReadWrite.All , puis sélectionnez Consentement. Vous devrez peut-être vous reconnecter pour accorder votre consentement.

      

3. Pour effectuer des demandes :

   1. Sélectionnez GET, POST, PUT, PATCH ou DELETE dans la liste déroulante de la méthode HTTP.
   2. Entrez la demande dans le champ URL. La version est renseignée automatiquement en fonction de l’URL.
   3. Si vous devez modifier le corps de la demande, modifiez l’onglet Corps de la demande .
   4. Sélectionnez le bouton Exécuter la requête . Les résultats s’affichent dans la fenêtre Réponse .

   Astuce

   Lorsque vous passez en revue la documentation Microsoft Graph, vous pouvez remarquer que des exemples de requêtes répertorient content-type: application/jsongénéralement . content-type En règle générale, la spécification n’est pas obligatoire pour graph Explorer, mais vous pouvez l’ajouter à la requête en sélectionnant l’onglet En-têtes et en ajoutant au content-type champ En-têtes de la demande comme clé et application/jsoncomme valeur.

Exécuter des requêtes pour identifier les appareils

Utilisez le type de ressource d’appareil pour rechercher les clients à inscrire au service de déploiement. Modifiez les paramètres de requête en fonction de vos besoins spécifiques. Pour plus d’informations, consultez Utiliser des paramètres de requête.

• Affiche l’ID d’appareil AzureAD et le nom de tous les appareils :

  GET https://graph.microsoft.com/v1.0/devices?$select=deviceid,displayName
  

• Affiche l’ID d’appareil AzureAD et le nom des appareils dont le nom commence par Test:

  GET https://graph.microsoft.com/v1.0/devices?$filter=startswith(displayName,'Test')&$select=deviceid,displayName
  

Ajouter un en-tête de requête pour les requêtes avancées

Pour les requêtes suivantes, définissez l’en-tête ConsistencyLevel sur eventual. Pour plus d’informations sur les paramètres de requête avancés, consultez Fonctionnalités de requête avancées sur Microsoft Entra objets d’annuaire.

1. Dans Graph Explorer, sélectionnez l’onglet En-têtes de requête.

2. Pour Type clé dans ConsistencyLevel et pour Valeur, tapez eventual.

3. Sélectionnez le bouton Ajouter . Lorsque vous avez terminé, supprimez l’en-tête de requête en sélectionnant l’icône de corbeille.

   

• Affichez le nom et la version du système d’exploitation pour l’appareil qui a 01234567-89ab-cdef-0123-456789abcdef comme ID d’appareil AzureAD :

  GET https://graph.microsoft.com/v1.0/devices?$search="deviceid:01234567-89ab-cdef-0123-456789abcdef"&$select=displayName,operatingSystemVersion
  

• Pour rechercher les appareils qui ne sont probablement pas des machines virtuelles, filtrez les appareils qui n’ont pas de machine virtuelle répertoriée comme modèle, mais dont le fabricant est répertorié. Affichez l’ID, le nom et la version du système d’exploitationAzureAD pour chaque appareil :

  GET https://graph.microsoft.com/v1.0/devices?$filter=model ne 'virtual machine' and NOT(manufacturer eq null)&$count=true&$select=deviceid,displayName,operatingSystemVersion
  

Astuce

Les requêtes utilisant le type de ressource d’appareil ont généralement à la fois un id et un deviceid:

• deviceid est l’ID d’appareil Microsoft Entra et sera utilisé dans cet article.
  • Plus loin dans cet article, il deviceid sera utilisé en tant que id lorsque vous effectuez certaines demandes, telles que l’ajout d’un appareil à une audience de déploiement.
• Le id du type de ressource d’appareil est généralement l’ID d’objet Microsoft Entra, qui ne sera pas utilisé dans cet article.

Inscrire des périphériques

Lorsque vous inscrivez des appareils dans la gestion des mises à jour des fonctionnalités, le service de déploiement devient l’autorité pour les mises à jour des fonctionnalités provenant de Windows Update. Tant qu’un appareil reste inscrit dans la gestion des mises à jour des fonctionnalités via le service de déploiement, l’appareil ne reçoit aucune autre mise à jour des fonctionnalités de Windows Update, sauf s’il est explicitement déployé à l’aide du service de déploiement. Un appareil reçoit la mise à jour des fonctionnalités spécifiée s’il n’a pas déjà reçu la mise à jour. Par exemple, si vous déployez Windows 11 version de mise à jour des fonctionnalités 22H2 sur un appareil inscrit dans la gestion des mises à jour des fonctionnalités et qui se trouve actuellement sur une version antérieure de Windows 11, l’appareil passe à la version 22H2. Si l’appareil exécute déjà la version 22H2 ou une version ultérieure, il reste sur sa version actuelle.

Astuce

Windows Update rapports pour les entreprises dispose d’un classeur qui affiche la version actuelle du système d’exploitation pour les appareils. Dans le classeur, accédez à l’onglet Mises à jour des fonctionnalités et, dans la vignette Mise à jour des fonctionnalités en service , sélectionnez le lien Afficher les détails pour ouvrir le menu volant des détails. La version du système d’exploitation et la Microsoft Entra ID des appareils peuvent facilement être exportées dans un fichier .csv ou ouvertes dans les journaux Azure Monitor pour faciliter la création d’une audience de déploiement.

Vous inscrivez des appareils en fonction des types de mises à jour que vous souhaitez qu’ils reçoivent. Actuellement, vous pouvez inscrire des appareils pour recevoir des mises à jour de fonctionnalités (feature) ou des pilotes (driver). Vous pouvez inscrire des appareils pour recevoir les mises à jour de plusieurs classifications de mise à jour.

1. Pour inscrire des appareils, postez sur updatableAssets à l’aide de enrollAssets. L’exemple suivant inscrit trois appareils pour recevoir les mises à jour du pilote :

   1. Dans Graph Explorer, sélectionnez POST dans la liste déroulante du verbe HTTP.

   2. Entrez la requête suivante dans le champ URL :
      https://graph.microsoft.com/beta/admin/windows/updates/updatableAssets/enrollAssets

   3. Sous l’onglet Corps de la demande , entrez le code JSON suivant, en fournissant les informations suivantes :

      • Microsoft Entra l’ID de l’appareil en tant queid
      • Soit feature pour driver la catégorie updateCategory

      {
        "updateCategory": "driver",
        "assets": [
          {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "01234567-89ab-cdef-0123-456789abcdef"
          },
          {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "01234567-89ab-cdef-0123-456789abcde0"
          },
          {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "01234567-89ab-cdef-0123-456789abcde1"
          }
        ]
      }
      

   4. Sélectionnez le bouton Exécuter la requête . Les résultats s’affichent dans la fenêtre Réponse . Dans ce cas, le code HTTP status de 202 Accepted.

      

Répertorier les entrées de catalogue pour les mises à jour de fonctionnalités

Chaque mise à jour de fonctionnalité est associée à une entrée de catalogue unique. Le id retourné est l’ID de catalogue et est utilisé pour créer un déploiement. Les mises à jour des fonctionnalités sont déployables jusqu’à ce qu’elles atteignent leur date de retrait du support. Pour plus d’informations, consultez les dates de cycle de vie de support pour les éditions Windows 10 et Windows 11 Enterprise et Éducation. La requête suivante répertorie toutes les entrées du catalogue de mises à jour de fonctionnalités déployables :

GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$filter=isof('microsoft.graph.windowsUpdates.featureUpdateCatalogEntry')

La réponse tronquée suivante affiche un ID de catalogue pour la mise à jour des d9049ddb-0ca8-4bc1-bd3c-41a456ef300f fonctionnalités Windows 11, version 22H2 :

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries",
    "value": [
        {
            "@odata.type": "#microsoft.graph.windowsUpdates.featureUpdateCatalogEntry",
            "id": "d9049ddb-0ca8-4bc1-bd3c-41a456ef300f",
            "displayName": "Windows 11, version 22H2",
            "deployableUntilDateTime": "2025-10-14T00:00:00Z",
            "releaseDateTime": "2022-09-20T00:00:00Z",
            "version": "Windows 11, version 22H2",
            "buildNumber": "22621"
        }
    ]
}

Créer un déploiement

Lors de la création d’un déploiement pour une mise à jour de fonctionnalité, plusieurs options sont disponibles pour définir le comportement du déploiement. Les paramètres de déploiement et de surveillance sont facultatifs. Les paramètres de déploiement suivants sont définis dans l’exemple de corps de demande pour le déploiement de la mise à jour des fonctionnalités Windows 11, version 22H2 (ID de catalogue de d9049ddb-0ca8-4bc1-bd3c-41a456ef300f) :

• Date de début du déploiement : 14 février 2023 à 5 h UTC
• Déploiement progressif à un rythme de 100 appareils tous les trois jours
• Règle de surveillance qui interrompt le déploiement si cinq appareils restaurent la mise à jour des fonctionnalités
• Comportement de conservation de protection par défaut de l’application de toutes les protections applicables aux appareils dans un déploiement
  • Lorsque les conservations de protection ne sont pas définies explicitement, le comportement de conservation de protection par défaut est appliqué automatiquement

POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
content-type: application/json

{
    "content": {
        "@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
        "catalogEntry": {
            "@odata.type": "#microsoft.graph.windowsUpdates.featureUpdateCatalogEntry",
            "id": "d9049ddb-0ca8-4bc1-bd3c-41a456ef300f"
        }
    },
    "settings": {
        "@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
        "schedule": {
            "startDateTime": "2023-02-14T05:00:00Z",
            "gradualRollout": {
                "@odata.type": "#microsoft.graph.windowsUpdates.rateDrivenRolloutSettings",
                "durationBetweenOffers": "P3D",
                "devicesPerOffer": "100"
            }
        },
        "monitoring": {
            "monitoringRules": [
                {
                    "signal": "rollback",
                    "threshold": 5,
                    "action": "pauseDeployment"
                }
            ]
        }
    }
}

Le corps de la réponse contient :

• Nouvel ID de déploiement, de910e12-3456-7890-abcd-ef1234567890 dans l’exemple

• Nouvel ID d’audience, d39ad1ce-0123-4567-89ab-cdef01234567 dans l’exemple

• Tous les paramètres définis dans le corps de la demande de déploiement

  {
       "@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments/$entity",
       "id": "de910e12-3456-7890-abcd-ef1234567890",
       "createdDateTime": "2023-02-07T19:21:15.425905Z",
       "lastModifiedDateTime": "2023-02-07T19:21:15Z",
       "state": {
           "effectiveValue": "scheduled",
           "requestedValue": "none",
           "reasons": []
       },
       "content": {
           "@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
           "catalogEntry@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('de910e12-3456-7890-abcd-ef1234567890')/content/microsoft.graph.windowsUpdates.catalogContent/catalogEntry/$entity",
           "catalogEntry": {
               "@odata.type": "#microsoft.graph.windowsUpdates.featureUpdateCatalogEntry",
               "id": "d9049ddb-0ca8-4bc1-bd3c-41a456ef300f",
               "displayName": "Windows 11, version 22H2",
               "deployableUntilDateTime": "2025-10-14T00:00:00Z",
               "releaseDateTime": "0001-01-01T00:00:00Z",
               "version": "Windows 11, version 22H2"
           }
       },
       "settings": {
           "contentApplicability": null,
           "userExperience": null,
           "expedite": null,
           "schedule": {
               "startDateTime": "2023-02-14T05:00:00Z",
               "gradualRollout": {
                   "@odata.type": "#microsoft.graph.windowsUpdates.rateDrivenRolloutSettings",
                   "durationBetweenOffers": "P3D",
                   "devicesPerOffer": 100
               }
           },
           "monitoring": {
               "monitoringRules": [
                   {
                       "signal": "rollback",
                       "threshold": 5,
                       "action": "pauseDeployment"
                   }
               ]
           }
       },
       "audience@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('de910e12-3456-7890-abcd-ef1234567890')/audience/$entity",
       "audience": {
           "id": "d39ad1ce-0123-4567-89ab-cdef01234567",
           "applicableContent": []
       }
  }
  

Modifier un déploiement

Pour mettre à jour le déploiement, corrigez la ressource de déploiement par son ID de déploiement et fournissez les paramètres mis à jour dans le corps de la demande. L’exemple suivant conserve les paramètres de déploiement progressif existants qui ont été définis lors de la création du déploiement, mais modifie la date de début du déploiement au 28 février 2023 à 5 h UTC :

PATCH https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890
content-type: application/json

{
    "settings": {
        "@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
        "schedule": {
            "startDateTime": "2023-02-28T05:00:00Z",
            "gradualRollout": {
                "@odata.type": "#microsoft.graph.windowsUpdates.rateDrivenRolloutSettings",
                "durationBetweenOffers": "P3D",
                "devicesPerOffer": "100"
            }
        }
    }
}

Vérifiez les paramètres de déploiement pour le déploiement avec l’ID de déploiement :de910e12-3456-7890-abcd-ef1234567890

GET https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890

Ajouter des membres à l’audience de déploiement

L’ID d’audience, d39ad1ce-0123-4567-89ab-cdef01234567, a été créé lors de la création du déploiement. L’ID d’audience est utilisé pour ajouter des membres à l’audience de déploiement. Une fois l’audience de déploiement mise à jour, Windows Update commence à proposer la mise à jour aux appareils en fonction des paramètres de déploiement. Tant que le déploiement existe et que l’appareil est dans l’audience, la mise à jour est proposée.

L’exemple suivant ajoute trois appareils à l’audience de déploiement à l’aide de la Microsoft Entra ID pour chaque appareil :

POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/updateAudience
content-type: application/json

{
  "addMembers": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcdef"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcde0"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
     "id": "01234567-89ab-cdef-0123-456789abcde1"
    }
  ]
}

Pour vérifier que les appareils ont été ajoutés à l’audience, exécutez la requête suivante à l’aide de l’ID d’audience de d39ad1ce-0123-4567-89ab-cdef01234567:

GET https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/members

Suspendre un déploiement

Pour suspendre un déploiement, patchez le déploiement pour avoir un requestedValue de paused pour deploymentState. Pour reprendre le déploiement, utilisez la valeur none et l’état est mis à jour vers offering ou scheduled si le déploiement n’a pas encore atteint la date de début.

L’exemple suivant suspend le déploiement avec l’ID de déploiement :de910e12-3456-7890-abcd-ef1234567890

PATCH https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890
content-type: application/json

{
  "@odata.type": "#microsoft.graph.windowsUpdates.deployment",
  "state": {
    "@odata.type": "microsoft.graph.windowsUpdates.deploymentState",
    "requestedValue": "paused"
  }
}

Supprimer un déploiement

Pour supprimer complètement le déploiement, supprimez le déploiement. La suppression du déploiement empêche l’offre de contenu aux appareils s’ils ne l’ont pas déjà reçu. Pour reprendre l’offre du contenu, une nouvelle approbation doit être créée.

L’exemple suivant supprime le déploiement avec l’ID de déploiement :de910e12-3456-7890-abcd-ef1234567890

DELETE https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890

Désinscrire des appareils

Lorsqu’un appareil ne nécessite plus de gestion, désinscrivez-le du service de déploiement. Tout comme pour inscrire un appareil, spécifiez driver ou feature comme valeur pour .updateCategory L’appareil ne recevra plus de mises à jour du service de déploiement pour la catégorie de mise à jour spécifiée. Selon la configuration de l’appareil, il peut commencer à recevoir des mises à jour de Windows Update. Par instance, si un appareil est toujours inscrit pour les mises à jour des fonctionnalités, mais qu’il n’est pas inscrit à partir des pilotes :

• Les déploiements de pilotes existants à partir du service ne seront pas proposés à l’appareil
• L’appareil continue de recevoir les mises à jour des fonctionnalités du service de déploiement
• Les pilotes peuvent commencer à être installés à partir de Windows Update en fonction de la configuration de l’appareil

Pour désinscrire un appareil, postez sur updatableAssets à l’aide de unnrollAssets. Dans le corps de la demande, spécifiez :

• Microsoft Entra l’ID de l’appareil comme id pour l’appareil
• Soit feature pour driver la catégorie updateCategory

L’exemple suivant supprime driver l’inscription pour deux appareils et 01234567-89ab-cdef-0123-456789abcdef01234567-89ab-cdef-0123-456789abcde0:

POST https://graph.microsoft.com/beta/admin/windows/updates/updatableAssets/unenrollAssets
content-type: application/json

{
  "updateCategory": "driver",
  "assets": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcdef"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcde0"
    }
  ]
}