Stratégies de conformité, d’activité et d’expérience utilisateur des mises à jour
Maintenir les appareils à jour est la meilleure façon de les maintenir en douceur et en toute sécurité.
Échéances pour la conformité des mises à jour
Vous pouvez contrôler la façon dont les appareils doivent respecter de manière fiable la planification des mises à jour souhaitées à l’aide de stratégies d’échéance de mise à jour. Les composants Windows s’adaptent en fonction de ces délais. En outre, ils peuvent faire des compromis entre l’expérience utilisateur et la rapidité afin de respecter les échéances de mise à jour souhaitées. Par exemple, ils peuvent hiérarchiser l’expérience utilisateur bien avant l’approche de l’échéance, puis hiérarchiser la vitesse à mesure que l’échéance approche, tout en offrant à l’utilisateur un certain contrôle.
Délais
À compter de Windows 10, version 1903 et avec la mise à jour de sécurité d’août 2019 pour Windows 10, version 1709 et ultérieure (y compris Windows 11), une nouvelle stratégie a été introduite pour remplacer les anciennes stratégies de type échéance : Spécifier des échéances pour les mises à jour automatiques et les redémarrages.
Les anciennes stratégies ont commencé à appliquer des délais une fois que l’appareil a atteint un restart pending
état pour une mise à jour. La nouvelle stratégie démarre le compte à rebours de l’échéance d’installation de la mise à jour à partir du moment où la mise à jour est publiée, plus tout report. En outre, cette stratégie inclut une période de grâce configurable et la possibilité de refuser les redémarrages automatiques jusqu’à ce que l’échéance soit atteinte (bien que nous vous recommandons de toujours autoriser les redémarrages automatiques pour une vitesse de mise à jour maximale).
Nous vous recommandons de définir des échéances comme suit :
- Échéance de mise à jour qualité, en jours : 2
- Échéance de mise à jour des fonctionnalités, en jours : 2
Les notifications sont automatiquement présentées à l’utilisateur aux moments appropriés, et les utilisateurs peuvent choisir d’être rappelés ultérieurement, de replanifier ou de redémarrer immédiatement, en fonction de la clôture de l’échéance. Nous vous recommandons de ne pas définir de stratégies de notification, car elles sont automatiquement configurées avec les valeurs par défaut appropriées. Une exception est si vous avez des kiosques ou une signalisation numérique.
Bien que trois jours pour les mises à jour de qualité et sept jours pour les mises à jour de fonctionnalités soient notre recommandation, vous pouvez décider de vouloir plus ou moins, en fonction de votre organization et de ses exigences, et cette stratégie est configurable jusqu’à un minimum de deux jours.
Important
Si l’appareil ne parvient pas à accéder à Internet, il ne peut pas déterminer quand Microsoft a publié la mise à jour. Il ne pourra donc pas appliquer la date limite. En savoir plus sur les appareils à faible activité.
Périodes de grâce
Vous pouvez définir une période de jours pour Windows afin de trouver une heure de redémarrage automatique minimalement perturbatrice avant l’application du redémarrage. Cela est particulièrement utile dans les cas où un utilisateur est absent pendant de nombreux jours (par exemple, en vacances) afin que l’appareil ne soit pas obligé de se mettre à jour immédiatement lorsque l’utilisateur revient.
Nous vous recommandons de définir les éléments suivants :
- Période de grâce, en jours : 5
Une fois l’échéance et la période de grâce passées, les mises à jour sont appliquées automatiquement et un redémarrage se produit quelles que soient les heures d’activité.
Laisser Windows choisir quand redémarrer
Windows peut utiliser les interactions utilisateur pour identifier dynamiquement la durée la moins perturbatrice pour un redémarrage automatique. Pour tirer parti de cette fonctionnalité, vérifiez que ConfigureDeadlineNoAutoReboot est défini sur Désactivé.
Stratégies d’activité des appareils
Windows exige généralement qu’un appareil soit actif et connecté à Internet pendant au moins six heures, avec au moins deux d’activité continue, afin de réussir une mise à jour du système. L’appareil peut avoir d’autres circonstances physiques qui empêchent l’installation réussie d’une mise à jour, par exemple, si un ordinateur portable est à court d’alimentation de la batterie, ou si l’utilisateur a arrêté l’appareil avant la fin des heures d’activité et que l’appareil ne peut pas se conformer à l’échéance.
Vous pouvez utiliser les paramètres de cette section pour vous assurer que les appareils sont disponibles pour installer des mises à jour pendant la période de conformité des mises à jour.
Heures d’activité
Les « heures d’activité » identifient la période pendant laquelle un appareil est censé être utilisé. Normalement, les redémarrages se produisent en dehors de ces heures. Windows 10, la version 1903 a introduit des « heures d’activité intelligentes », qui permettent au système d’apprendre les heures d’activité en fonction des activités d’un utilisateur, au lieu que vous, en tant qu’administrateur, de prendre des décisions pour votre organization ou de permettre à l’utilisateur de choisir des heures d’activité qui réduisent la période pendant laquelle le système peut installer une mise à jour.
Important
Si vous avez utilisé le paramètre Configurer les heures d’activité dans les versions précédentes de Windows 10, ces options doivent être Désactivées pour tirer parti des heures d’activité intelligentes.
Si vous définissez des heures d’activité, nous vous recommandons de définir les stratégies suivantes sur Désactivé afin d’augmenter la vitesse des mises à jour :
Retarder le redémarrage automatique. Bien qu’il soit possible de définir le système pour qu’il retarde les redémarrages pour les utilisateurs connectés, ce paramètre peut retarder indéfiniment une mise à jour si un utilisateur est toujours connecté ou arrêté. Au lieu de cela, nous vous recommandons de définir les stratégies suivantes sur Désactivé :
Désactiver le redémarrage automatique pendant les heures d’activité
Aucun redémarrage automatique avec des utilisateurs connectés pour les mises à jour automatiques planifiées
Limitez les retards de redémarrage. En utilisant les échéances de conformité, vos utilisateurs reçoivent des notifications indiquant que des mises à jour se produisent. Nous vous recommandons donc de définir cette stratégie sur Désactivé pour permettre aux délais de conformité d’éliminer la capacité de l’utilisateur à retarder un redémarrage en dehors des paramètres d’échéance de conformité.
N’autorisez pas les utilisateurs à approuver les mises à jour et les redémarrages. Le fait de permettre aux utilisateurs d’approuver ou de s’impliquer dans le processus de mise à jour en dehors des stratégies d’échéance réduit la vitesse des mises à jour et augmente les risques. Ces stratégies doivent être définies sur Désactivé :
Configurer la mise à jour automatique. En définissant correctement des stratégies pour configurer les mises à jour automatiques, vous pouvez augmenter la vitesse des mises à jour en demandant aux clients de contacter un serveur Windows Server Update Services (WSUS) afin qu’il puisse les gérer. Nous vous recommandons de définir cette stratégie sur Désactivé. Toutefois, si vous avez besoin de fournir des valeurs, veillez à définir les téléchargements à installer automatiquement en définissant le stratégie de groupe sur 4. Si vous utilisez Microsoft Intune, définissez la valeur sur Rétablir la valeur par défaut.
Autoriser le téléchargement automatique Windows Update sur les réseaux limités. Étant donné que d’autres appareils utilisent principalement des données cellulaires et n’ont pas d’accès Wi-Fi, envisagez d’autoriser les utilisateurs à télécharger automatiquement les mises à jour à partir d’un réseau limité. Bien que le paramètre par défaut n’autorise pas le téléchargement sur un réseau limité, la définition de cette valeur sur 1 peut augmenter la vitesse en permettant aux utilisateurs d’obtenir des mises à jour, qu’ils soient connectés à Internet ou non, à condition qu’ils disposent d’un service cellulaire.
Important
Les versions antérieures de Windows ne prennent pas en charge les heures d’activité intelligentes. Si votre appareil exécute une version de Windows antérieure à Windows 10 version 1903, nous vous recommandons de définir les stratégies suivantes :
- Configurer les heures d’activité. À compter de Windows 10, version 1703, vous pouvez spécifier une plage maximale d’heures d’activité qui est comptabilisée à partir de l’heure de début des heures d’activité. Nous vous recommandons de définir cette valeur sur 10.
-
Planifier l’installation des mises à jour. Dans les paramètres Configurer automatique Mises à jour, il existe deux façons de contrôler un redémarrage forcé après une heure d’installation spécifiée. Si vous utilisez la planification de l’installation des mises à jour, n’activez pas les deux paramètres, car ils seront probablement en conflit.
- Spécifiez l’heure de maintenance automatique. Ce paramètre vous permet de définir des fenêtres de maintenance plus larges pour les mises à jour et garantit que cette planification n’entre pas en conflit avec les heures d’activité. Nous vous recommandons de définir cette valeur sur 3 (correspondant à 3 h 00). Si 3:00 AM est au milieu de l’équipe de travail, choisissez une autre heure qui est au moins quelques heures avant le début de votre horaire de travail planifié.
- Planifiez l’heure d’installation. Ce paramètre vous permet de planifier une heure d’installation pour un redémarrage. Nous vous déconseillons de définir cette option sur Désactivé , car elle peut entrer en conflit avec les heures d’activité.
Stratégies d’alimentation
Les appareils doivent être réellement disponibles pendant les heures non-active pour pouvoir effectuer une mise à jour. Ils ne peuvent pas le faire si les stratégies d’alimentation les empêchent de se réveiller. Dans notre organization, nous nous efforçons d’établir un équilibre entre la sécurité et les configurations écologiques. Nous vous recommandons d’utiliser les paramètres suivants pour obtenir ce que nous pensons être les compromis appropriés :
Pour un utilisateur, un appareil est activé ou désactivé, mais pour Windows, il existe des états qui autorisent une mise à jour (active) et des états qui ne le font pas (inactif). Certains états sont considérés comme actifs (veille), mais l’utilisateur peut penser que l’appareil est éteint. En outre, il existe des états d’alimentation (branchés/batterie) que Windows vérifie avant de démarrer une mise à jour.
Vous pouvez remplacer les paramètres par défaut et empêcher les utilisateurs de les modifier afin de vous assurer que les appareils sont disponibles pour les mises à jour pendant les heures d’activité.
Remarque
Une façon de vous assurer que les appareils peuvent installer les mises à jour quand vous en avez besoin consiste à informer vos utilisateurs pour qu’ils restent branchés pendant les heures d’activité. Même avec les meilleures stratégies, un appareil qui n’est pas branché ne sera pas mis à jour, même en mode veille.
Nous vous recommandons ces paramètres de gestion de l’alimentation :
- Mode veille (S1 ou S0 faible consommation d’inactivité ou veille moderne). Lorsqu’un appareil est en mode veille, le système semble désactivé, mais si une mise à jour est disponible, il peut sortir l’appareil afin d’effectuer une mise à jour. La consommation d’énergie en mode veille se situe entre le fonctionnement (système entièrement utilisable) et la mise en veille prolongée (S4 - niveau d’alimentation le plus bas avant l’arrêt). Lorsqu’un appareil n’est pas utilisé, le système passe généralement en mode veille avant d’être mis en veille prolongée. Des problèmes de vitesse surviennent lorsque le délai entre la mise en veille et la mise en veille prolongée est trop court et que Windows n’a pas le temps d’effectuer une mise à jour. Le mode veille est un paramètre important, car le système peut sortir le système de veille afin de démarrer le processus de mise à jour, tant qu’il y a suffisamment de puissance.
Définissez les stratégies suivantes sur Activer ou Ne pas configurer afin de permettre à l’appareil d’utiliser le mode veille :
Définissez les stratégies suivantes sur 1 (Veille) afin que lorsqu’un utilisateur ferme le couvercle d’un appareil, le système passe en mode veille et que l’appareil ait la possibilité d’effectuer une mise à jour :
Mise en veille prolongée. Lorsqu’un appareil est en veille prolongée, la consommation d’énergie est faible et le système ne peut pas se réveiller sans intervention de l’utilisateur, comme appuyer sur le bouton d’alimentation. Si un appareil se trouve dans cet état, il ne peut pas être mis à jour, sauf s’il prend en charge un périphérique d’heure et d’alarme (TAD) ACPI. Cela dit, si un appareil prenant en charge la mise en veille traditionnelle (S3) est branché et qu’une mise à jour Windows est disponible, un état de mise en veille prolongée est retardé jusqu’à ce que la mise à jour soit terminée.
Remarque
Cela ne s’applique pas aux appareils qui prennent en charge la veille moderne (S0 Basse consommation d’inactivité). Vous pouvez case activée l’état de veille du système (S3 ou S0 faible consommation d’inactivité) pris en charge par un appareil en exécutant powercfg /a
une invite de commandes. Pour plus d’informations, consultez Options powercfg.
Le délai d’expiration par défaut sur les appareils qui prennent en charge la mise en veille traditionnelle est défini sur trois heures. Nous vous recommandons de ne pas réduire ces stratégies afin de permettre aux Windows Update de redémarrer l’appareil avant de l’envoyer en veille prolongée :
Stratégies anciennes ou en conflit
Chaque version du client Windows peut introduire de nouvelles stratégies pour améliorer l’expérience des administrateurs et de leurs organisations. Lorsque nous publions une nouvelle stratégie client, nous la publions uniquement pour cette version et ultérieurement, ou nous rétroportons la stratégie pour la rendre disponible sur les versions antérieures.
Important
Si vous utilisez stratégie de groupe, notez que nous ne mettons pas à jour les anciens modèles ADMX et que vous devez utiliser le modèle ADMX le plus récent (1903) pour pouvoir utiliser la stratégie la plus récente. En outre, si vous utilisez un outil MDM (Microsoft ou non-Microsoft), vous ne pouvez pas utiliser la nouvelle stratégie tant qu’elle n’est pas disponible dans l’interface de l’outil.
En tant qu’administrateurs, vous avez configuré et attendu certains comportements. Nous ne supprimons donc pas les stratégies plus anciennes, car elles ont été configurées pour vos cas d’usage particuliers. Toutefois, si vous définissez une nouvelle stratégie sans désactiver une stratégie antérieure similaire, vous risquez d’avoir un comportement conflictuel et les mises à jour peuvent ne pas s’exécuter comme prévu.
Important
Nous constatons parfois que les administrateurs définissent des appareils pour obtenir à la fois les paramètres stratégie de groupe et les paramètres GPM à partir d’un serveur GPM tel que Microsoft Intune. Les conflits de stratégie sont gérés différemment, selon la façon dont ils sont finalement configurés :
- Mises à jour Windows : les paramètres stratégie de groupe sont prioritaires sur GPM.
- Microsoft Intune : si vous définissez des valeurs différentes pour la même stratégie sur deux groupes différents, vous recevrez une alerte et aucune stratégie n’est définie tant que le conflit n’est pas résolu. Il est essentiel de désactiver les stratégies en conflit pour que les appareils de votre organization prennent les mises à jour comme prévu. Par exemple, si un appareil ne réagit pas aux modifications de votre stratégie MDM, case activée pour voir si une stratégie similaire est définie dans stratégie de groupe avec une valeur différente. Si vous constatez que la vitesse des mises à jour n’est pas aussi élevée que prévu ou si certains appareils sont plus lents que d’autres, il peut être temps d’effacer toutes les stratégies et paramètres et de spécifier uniquement les stratégies de mise à jour recommandées. Consultez les informations de référence sur les stratégies et les paramètres pour obtenir une liste consolidée des stratégies recommandées.
Voici les stratégies que vous souhaiterez peut-être désactiver, car elles peuvent réduire la vitesse de mise à jour ou il existe de meilleures stratégies à utiliser qui peuvent entrer en conflit :
- Différer la période de Mises à jour fonctionnalité en jours. Pour une vitesse de mise à jour maximale, il est préférable de définir cette valeur sur 0 (aucun report) afin que la mise à jour des fonctionnalités puisse se terminer et que les mises à jour de sécurité mensuelles soient à nouveau proposées. Même s’il existe une mise à jour qualité urgente qui doit être déployée rapidement, il est préférable d’utiliser suspendre la fonctionnalité Mises à jour plutôt que de définir une stratégie de report. Vous pouvez choisir une période plus longue si vous ne souhaitez pas rester à jour avec la dernière mise à jour des fonctionnalités.
- Différer la période de Mises à jour qualité en jours. Pour réduire les risques et optimiser la vitesse des mises à jour, la durée maximale que vous pouvez prendre en compte lors de l’évaluation de la mise à jour avec un autre anneau d’appareils est de deux à trois jours.
- Suspendre la fonctionnalité Mises à jour l’heure de début. Définissez sur Désactivé , sauf si un problème connu nécessite du temps pour une résolution.
- Suspendre la qualité Mises à jour l’heure de début. Définissez sur Désactivé , sauf si un problème connu nécessite du temps pour une résolution.
- Échéance Aucun redémarrage automatique. La valeur par défaut est Désactivé - défini sur 0 . Nous vous recommandons de redémarrer automatiquement les appareils lors de la réception d’une mise à jour. Windows utilise les interactions utilisateur pour identifier dynamiquement la durée de redémarrage la moins perturbatrice.
Il existe également des stratégies supplémentaires qui ne sont plus prises en charge ou qui ont été remplacées.