Partager via

Prérequis pour le service de déploiement Windows Update for Business

Avant de commencer le processus de déploiement des mises à jour avec le service de déploiement Windows Update for Business, vérifiez que vous remplissez les conditions préalables.

ID Azure et Microsoft Entra

Licences

Le service de déploiement Windows Update for Business exige que les utilisateurs des appareils disposent de l’une des licences suivantes :

  • Windows 10/11 Entreprise E3 ou E5 (inclus dans Microsoft 365 F3, E3 ou E5)
  • Windows 10/11 Éducation A3 ou A5 (inclus dans Microsoft 365 A3 ou A5)
  • Windows Virtual Desktop Access E3 ou E5
  • Microsoft 365 Business Premium

Systèmes d’exploitation et éditions

  • Windows 11 Professionnel, Éducation, Entreprise, Professionnel Éducation ou Professionnel pour stations de travail
  • Windows 10 Professionnel, Éducation, Entreprise, Professionnel Éducation ou Professionnel pour stations de travail

Le service de déploiement Windows Update for Business prend en charge les appareils clients Windows sur le canal de disponibilité générale.

Mises à jour du système d’exploitation Windows

  • L’accélération des mises à jour nécessite les outils d’intégrité de mise à jour sur les clients. Les outils sont installés à partir de KB4023057. Pour confirmer la présence des outils d’intégrité de mise à jour sur un appareil :

    • Recherchez le dossier C :\Program Files\Microsoft Update Health Tools ou passez en revue Ajouter des programmes de suppression pour Microsoft Update Health Tools.
    • En tant qu’administrateur, exécutez le script PowerShell suivant : Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

  • Pour la collecte des données de diagnostic Des modifications apportées à Windows, il est recommandé d’installer la mise à jour cumulative de la préversion de janvier 2023 ou une mise à jour équivalente ultérieure.

Exigences relatives aux données de diagnostic

Les contrôles de planification de déploiement sont toujours disponibles. Toutefois, pour tirer parti des protections de déploiement uniques adaptées à votre population et déployer des mises à jour de pilotes, les appareils doivent partager des données de diagnostic avec Microsoft. Pour ces fonctionnalités, au minimum, le service de déploiement exige que les appareils envoient des données de diagnostic au niveau Requis (précédemment appelé De base) pour ces fonctionnalités.

Lorsque vous utilisez des rapports Windows Update for Business conjointement avec le service de déploiement, l’utilisation des données de diagnostic aux niveaux suivants permet d’afficher les noms des appareils dans les rapports :

  • Niveau facultatif (précédemment Complet) pour les appareils Windows 11
  • Niveau amélioré pour les appareils Windows 10

Autorisations

Remarque

L’utilisation d’autres parties de l’API Graph peut nécessiter des autorisations supplémentaires. Par exemple, pour afficher les informations de l’appareil , un minimum d’autorisation Device.Read.All est nécessaire.

Points de terminaison requis

  • Avoir accès aux points de terminaison suivants :

  • Points de terminaison Windows Update

    • *.prod.do.dsp.mp.microsoft.com
    • *.windowsupdate.com
    • *.dl.delivery.mp.microsoft.com
    • *.update.microsoft.com
    • *.delivery.mp.microsoft.com
    • tsfe.trafficshaping.dsp.mp.microsoft.com

  • Points de terminaison de service de déploiement Windows Update for Business

    • devicelistenerprod.microsoft.com
    • login.windows.net
    • payloadprod*.blob.core.windows.net

  • Services de notification Push Windows : (recommandé, mais pas obligatoire. Sans cet accès, les appareils risquent de ne pas accélérer les mises à jour avant leur prochaine vérification quotidienne des mises à jour.)

    • *.notify.windows.com

Limitations

Le service de déploiement Windows Update for Business est un service Windows hébergé dans Azure Commercial qui utilise les données de diagnostic Windows. Bien que les clients disposant de locataires gcc puissent choisir de l’utiliser, le service de déploiement Windows Update for Business se trouve en dehors de la limite de conformité de la communauté du gouvernement des États-Unis (GCC). Pour obtenir la liste des offres GCC pour les produits et services Microsoft, consultez le Centre de gestion de la confidentialité Microsoft.

Le service de déploiement Windows Update for Business n’est pas disponible dans Azure Government pour les locataires Office 365 GCC High et DoD .

Considérations relatives à la stratégie pour les pilotes

Il est possible que le service reçoive l’approbation du contenu, mais le contenu n’est pas installé sur l’appareil en raison d’une stratégie de groupe, d’un csp ou d’un paramètre de Registre sur l’appareil. Dans certains cas, les organisations configurent spécifiquement ces stratégies en fonction de leurs besoins actuels ou futurs. Par exemple, les organisations peuvent souhaiter examiner le contenu du pilote applicable via le service de déploiement, mais ne pas autoriser l’installation. La configuration de ce type de comportement peut être utile, en particulier lors de la transition de la gestion des mises à jour des pilotes en raison de l’évolution des besoins de l’organisation. La liste suivante décrit les stratégies de mise à jour liées au pilote qui peuvent affecter les déploiements via le service de déploiement :

Stratégies qui excluent les pilotes de Windows Update pour un appareil

Les stratégies suivantes excluent les pilotes de Windows Update pour un appareil :

  • Emplacements des stratégies qui excluent les pilotes :
    • Stratégie de groupe : \Windows Components\Windows Update\Do not include drivers with Windows Updates définissez sur enabled
    • CSP : ExcludeWUDriversInQualityUpdate défini sur 1
    • Registre : HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates défini sur 1
    • Intune : Paramètre de mise à jour des pilotes Windows pour l’anneau de mise à jour défini surBlock

Comportement avec le service de déploiement : appareils avec des stratégies d’exclusion de pilote qui sont inscrits pour les pilotes et ajoutés à une audience par le biais du service de déploiement :

  • Affiche le contenu du pilote applicable dans le service de déploiement
  • N’installe pas les pilotes approuvés à partir du service de déploiement
    • Si les pilotes sont déployés sur un appareil qui les bloque, le service de déploiement indique que le pilote est proposé et que le rapport indique que l’installation est en attente.

Stratégies qui définissent la source pour les mises à jour de pilotes

Les stratégies suivantes définissent la source des mises à jour des pilotes comme Windows Update ou Windows Server Update Service (WSUS) :

  • Emplacements des stratégies qui définissent une source de mise à jour :
    • Stratégie de groupe : \Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows Updates définie sur enabled avec l’option Driver Updates définie sur Windows Update
    • CSP : SetPolicyDrivenUpdateSourceForDriverUpdates défini 0 sur pour Windows Update comme source
    • Registre : HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates défini sur 0. Sous \AU, UseUpdateClassPolicySource doit également être défini sur 1
    • Intune : non applicable. Intune déploie des mises à jour à l’aide de Windows Update for Business. Les clients cogérés à partir de Configuration Manager avec la charge de travail pour les stratégies Windows Update définie sur Intune utilisent également Windows Update pour Entreprise.

Comportement avec le service de déploiement : appareils avec ces stratégies de source de mise à jour qui sont inscrits pour les pilotes et ajoutés à une audience par le biais du service de déploiement :

  • Affiche le contenu du pilote applicable dans le service de déploiement
  • Installera les pilotes approuvés à partir du service de déploiement

Remarque

Lorsque la source d’analyse des pilotes est définie sur WSUS, le service de déploiement n’obtient pas les événements d’inventaire des appareils. Cela signifie que le service de déploiement ne sera pas en mesure de signaler l’applicabilité d’un pilote pour l’appareil.

Conseils généraux pour le service de déploiement

Suivez ces suggestions pour obtenir les meilleurs résultats avec le service :

  • Attendez que les appareils terminent l’approvisionnement avant de gérer avec le service. Si un appareil est approvisionné par Autopilot, il ne peut être géré par le service de déploiement qu’une fois l’approvisionnement terminé (généralement un jour).

  • Utilisez le service de déploiement pour la gestion des mises à jour des fonctionnalités sans stratégie de report de mise à jour des fonctionnalités. Si vous souhaitez utiliser le service de déploiement pour gérer les mises à jour des fonctionnalités sur un appareil qui utilisait précédemment une stratégie de report de mise à jour des fonctionnalités, il est préférable de définir la stratégie de report des mises à jour des fonctionnalités sur 0 jours pour éviter d’avoir plusieurs conditions régissant les mises à jour des fonctionnalités. Vous devez uniquement modifier la valeur de stratégie de report de mise à jour des fonctionnalités sur 0 jours après avoir confirmé que l’appareil a été inscrit dans le service sans erreur.

  • Évitez d’utiliser différents canaux pour gérer les mêmes ressources. Si vous utilisez Microsoft Intune avec les API Microsoft Graph ou PowerShell, les aspects des ressources (tels que les appareils, les déploiements, les groupes de ressources pouvant être mis à jour) peuvent être remplacés si vous utilisez les deux canaux pour gérer les mêmes ressources. Au lieu de cela, gérez uniquement chaque ressource via le canal qui l’a créée.