Partager via

Procédure pas à pas : utiliser des fournisseurs de services cloud et des modules MDM pour configurer Windows Update entreprise

Vous recherchez des informations destinées aux utilisateurs ? Voir Windows Update : FAQ

Vue d'ensemble

Vous pouvez utiliser des stratégies fournisseur de services de configuration (CSP) pour contrôler le fonctionnement de Windows Update entreprise à l’aide d’un outil mobile Gestion des appareils (GPM). Vous devez prendre en compte et imaginer une stratégie de déploiement pour les mises à jour avant d’apporter des modifications aux paramètres Windows Update pour Entreprise.

Un administrateur informatique peut définir des stratégies pour Windows Update entreprise à l’aide de Microsoft Intune ou d’un outil GPM non-Microsoft.

Pour gérer les mises à jour avec Windows Update entreprise, vous devez effectuer les étapes suivantes si vous ne l’avez pas déjà fait :

Gérer les offres Windows Update

Vous pouvez contrôler le moment où les mises à jour s’appliquent, par exemple, en différant l’installation d’une mise à jour sur un appareil ou en suspendant les mises à jour pendant un certain temps.

Déterminer les mises à jour que vous souhaitez proposer à vos appareils

Les mises à jour des fonctionnalités et de la qualité sont automatiquement proposées aux appareils connectés à Windows Update à l’aide de stratégies Windows Update entreprise. Toutefois, vous pouvez choisir si vous souhaitez que les appareils reçoivent également d’autres Mises à jour Microsoft ou pilotes applicables à cet appareil.

Pour activer Microsoft Mises à jour, utilisez Update/AllowMUUpdateService.

Les pilotes sont automatiquement activés, car ils sont bénéfiques pour les systèmes d’appareil. Nous vous recommandons d’autoriser la stratégie de pilote à mettre à jour les pilotes sur les appareils (valeur par défaut), mais vous pouvez désactiver ce paramètre si vous préférez gérer les pilotes manuellement. Si vous souhaitez désactiver les mises à jour des pilotes pour une raison quelconque, utilisez Update/ExcludeWUDriversInQualityUpdate.

Nous vous recommandons également d’autoriser les mises à jour de produits Microsoft comme indiqué précédemment.

Définir quand les appareils reçoivent des mises à jour de fonctionnalités et de qualité

Je souhaite recevoir des versions préliminaires de la prochaine mise à jour des fonctionnalités

  1. Vérifiez que vous êtes inscrit au programme Windows Insider pour Entreprises. Windows Insider est un programme gratuit disponible pour les clients commerciaux pour les aider à valider les mises à jour des fonctionnalités avant leur publication. L’adhésion au programme vous permet de recevoir des mises à jour avant leur publication, ainsi que de recevoir des e-mails et du contenu lié à ce qui sera disponible dans les prochaines mises à jour.

  2. Pour tous les appareils de test que vous souhaitez installer des builds de préversion, utilisez Update/ManagePreviewBuilds. Définissez l’option sur Activer les builds en préversion.

  3. Utilisez Update/BranchReadinessLevel et sélectionnez l’une des builds en préversion. Le programme Windows Insider Lent est le canal recommandé pour les clients commerciaux qui utilisent des versions préliminaires pour la validation.

  4. En outre, vous pouvez différer les mises à jour des fonctionnalités de préversion de la même façon que les mises à jour publiées, en définissant une période de report pouvant atteindre 14 jours à l’aide de Update/DeferFeatureUpdatesPeriodInDays. Si vous testez avec les builds lentes du programme Windows Insider, nous vous recommandons de recevoir les mises à jour de la préversion de votre service informatique le jour 0, lorsque la mise à jour est publiée, puis de disposer d’un report de 7 à 10 jours avant le déploiement sur votre groupe de testeurs. Cette planification permet de s’assurer que si un problème est détecté, vous pouvez suspendre le déploiement de la mise à jour en préversion avant qu’elle n’atteigne vos tests.

Je souhaite gérer la mise à jour de fonctionnalité publiée que mes appareils reçoivent

Un administrateur Windows Update entreprise peut différer ou suspendre les mises à jour. Vous pouvez différer les mises à jour des fonctionnalités pendant jusqu’à 365 jours et différer les mises à jour qualité pendant jusqu’à 30 jours. Le report signifie simplement que vous ne recevez pas la mise à jour tant qu’elle n’a pas été publiée pendant au moins le nombre de jours de report que vous avez spécifié (date de l’offre = date de publication + date de report). Vous pouvez suspendre les mises à jour de fonctionnalités ou de qualité pour une période allant jusqu’à 35 jours à partir de la date de départ que vous spécifiez.

Exemple

Dans cet exemple, il existe trois anneaux pour les mises à jour qualité. Le premier anneau (« pilote ») dispose d’une période de report de 0 jour. Le deuxième anneau (« rapide ») dispose d’un report de cinq jours. Le troisième anneau (« lent ») dispose d’un report de dix jours.

illustration d’appareils divisés en trois anneaux.

Lorsque la mise à jour qualité est publiée, elle est proposée aux appareils de l’anneau pilote la prochaine fois qu’ils recherchent des mises à jour.

Cinq jours plus tard

La mise à jour de qualité est proposée lors de la prochaine recherche de mises à jour par les appareils présents dans l’anneau rapide.

illustration des appareils avec l’anneau rapide déployé.

Dix jours plus tard

Dix jours après la publication de la mise à jour de qualité, elle est proposée aux appareils dans l’anneau lent la prochaine fois qu’ils recherchent des mises à jour.

illustration d’appareils avec anneau lent déployé.

Si aucun problème ne se produit, tous les appareils qui recherchent les mises à jour se voient proposer la mise à jour de qualité dans les dix jours suivant sa publication, en trois vagues.

Que se passe-t-il si un problème se produit avec la mise à jour ?

Dans cet exemple, un problème est détecté pendant le déploiement de la mise à jour vers l’anneau « pilote ».

illustration des appareils divisés avec l’anneau pilote qui rencontre un problème.

À ce stade, l’administrateur informatique peut définir une stratégie pour suspendre la mise à jour. Dans cet exemple, l’administrateur sélectionne la case à cocher Suspendre les mises à jour de qualité.

illustration d’anneaux avec la case mise à jour de la qualité de pause case activée sélectionnée.

La mise à jour de tous les appareils est désormais suspendue pendant 35 jours. Lorsque la pause est supprimée, la prochaine mise à jour de qualité leur est proposée, ce qui, dans l’idéal, n’aura pas le même problème. En cas de problème, l’administrateur informatique peut suspendre à nouveau les mises à jour.

Je veux rester sur une version spécifique

Si vous avez besoin qu’un appareil reste sur une version au-delà du point où les reports de la version suivante s’écoulent ou si vous devez ignorer une version (par exemple, mettre à jour la version d’automne vers la version d’automne), utilisez update/TargetReleaseVersion (ou Déployer la fonctionnalité Mises à jour préversion dans Intune) au lieu d’utiliser les reports de mise à jour des fonctionnalités. Lorsque vous utilisez cette stratégie, spécifiez la version vers laquelle vous souhaitez que vos appareils soient déplacés ou sur lesquels ils restent (par exemple, « 1909 »). Vous trouverez des informations sur la version dans la page d’informations sur la version Windows 10.

Gérer l’expérience des utilisateurs sur les mises à jour

Je souhaite gérer le moment où les appareils téléchargent, installent et redémarrent après les mises à jour

Nous vous recommandons d’autoriser la mise à jour automatique, ce qui est le comportement par défaut. Si vous ne définissez pas de stratégie de mise à jour automatique, l’appareil tente de télécharger, d’installer et de redémarrer aux meilleurs moments pour l’utilisateur à l’aide de l’intelligence intégrée, comme les heures d’activité intelligentes.

Pour un contrôle plus précis, vous pouvez définir la période maximale d’heures d’activité que l’utilisateur peut définir avec Update/ActiveHoursMaxRange. Vous pouvez également définir des heures de début et de fin spécifiques pour les nôtres actifs avec Update/ActiveHoursEnd et Update/ActiveHoursStart.

Il est préférable de ne pas définir la stratégie d’heures d’activité, car elle est activée par défaut lorsque les mises à jour automatiques ne sont pas désactivées et offre une meilleure expérience lorsque les utilisateurs peuvent définir leurs propres heures d’activité.

Pour effectuer une mise à jour en dehors des heures d’activité, utilisez Update/AllowAutoUpdate avec l’option 2 (qui est le paramètre par défaut). Pour un contrôle encore plus précis, envisagez d’utiliser des mises à jour automatiques pour planifier l’heure, le jour ou la semaine d’installation. Pour utiliser une planification, utilisez l’option 3, puis définissez les stratégies suivantes en fonction de votre plan :

Lorsque vous définissez ces stratégies, l’installation se produit automatiquement à l’heure spécifiée et l’appareil redémarre 15 minutes après l’installation (sauf s’il est interrompu par l’utilisateur).

Si vous ne souhaitez pas autoriser les mises à jour automatiques avant l’échéance, définissez Update/AllowAutoUpdate sur Option 5, ce qui désactive les mises à jour automatiques.

Je souhaite que les appareils restent sécurisés et conformes aux échéances de mise à jour

Nous vous recommandons d’utiliser des délais spécifiques pour les mises à jour des fonctionnalités et de la qualité afin de garantir la sécurité des appareils sur Windows 10, version 1709 et ultérieure. Les délais fonctionnent en vous permettant de spécifier le nombre de jours qui peuvent s’écouler après qu’une mise à jour est proposée à un appareil avant qu’il ne doit être installé. Vous pouvez également définir le nombre de jours qui peuvent s’écouler après un redémarrage en attente avant que l’utilisateur soit forcé de redémarrer. Utilisez ces paramètres :

Ces stratégies offrent également la possibilité de refuser les redémarrages automatiques jusqu’à ce qu’une échéance soit atteinte en présentant une « expérience de redémarrage engagé » jusqu’à l’expiration effective de l’échéance. À ce stade, l’appareil planifie automatiquement un redémarrage, quelles que soient les heures d’activité.

Ces notifications sont ce que l’utilisateur voit en fonction des paramètres que vous choisissez :

Lorsque Spécifier des échéances pour les mises à jour automatiques et les redémarrages est défini (pour Windows 10, version 1709 et ultérieure) :

  • Pendant que le redémarrage est en attente, avant l’échéance :

    • Pendant les premiers jours, l’utilisateur reçoit une notification toast

    • Après cette période, l’utilisateur reçoit cette boîte de dialogue :

      Notification que les utilisateurs reçoivent pour un redémarrage imminent avant l’échéance.

    • Si l’utilisateur a planifié un redémarrage, ou si un redémarrage automatique est planifié, 15 minutes avant l’heure planifiée, l’utilisateur reçoit cette notification indiquant que le redémarrage est sur le point de se produire :

      Notification que les utilisateurs reçoivent pour un redémarrage imminent 15 minutes avant le redémarrage.

  • Si le redémarrage est toujours en attente après l’expiration de l’échéance :

    • Dans les 12 heures qui précèdent l’échéance, l’utilisateur reçoit cette notification indiquant que l’échéance approche :

      Notification que les utilisateurs reçoivent pour une échéance de redémarrage proche.

    • Une fois l’échéance dépassée, l’utilisateur est forcé de redémarrer pour maintenir la conformité de ses appareils et reçoit cette notification :

      Notification que les utilisateurs reçoivent pour un redémarrage imminent après l’échéance.

Paramètres de l’utilisateur final pour les notifications

S’applique à :

  • Windows 11, version 23H2 avec KB5037771 ou version ultérieure
  • Windows 11, version 22H2 avec KB5037771 ou version ultérieure

Les utilisateurs peuvent définir une préférence pour les notifications concernant les redémarrages en attente pour les mises à jour sous Paramètres>Windows Update>Options avancées>M’avertir quand un redémarrage est nécessaire pour terminer la mise à jour. Ce paramètre est contrôlé par l’utilisateur final et non contrôlé ou configurable par les administrateurs informatiques.

Les utilisateurs disposent des options suivantes pour le paramètre M’avertir quand un redémarrage est nécessaire pour terminer la mise à jour :

  • Désactivé (par défaut) : une fois que l’appareil entre dans un état de redémarrage en attente pour les mises à jour, les notifications de redémarrage sont supprimées pendant 24 heures. Pendant les 24 premières heures, les redémarrages automatiques peuvent toujours se produire en dehors des heures d’activité. En règle générale, les utilisateurs reçoivent moins de notifications sur les redémarrages à venir alors que l’échéance approche.

    • Lorsque l’échéance est définie sur 1 jour, les utilisateurs reçoivent uniquement une notification concernant l’échéance et une notification finale non modifiable 15 minutes avant un redémarrage forcé.

  • Activé : les utilisateurs reçoivent immédiatement une notification toast lorsque l’appareil passe à l’état d’attente de redémarrage pour les mises à jour. Les redémarrages automatiques pour les mises à jour sont bloqués pendant 24 heures après la notification initiale afin de donner à ces utilisateurs le temps de se préparer à un redémarrage. Après 24 heures, des redémarrages automatiques peuvent se produire. Ce paramètre est recommandé pour les utilisateurs qui souhaitent être avertis des redémarrages à venir.

    • Lorsque l’échéance est définie pour 1 jour, une notification initiale se produit, le redémarrage automatique est bloqué pendant 24 heures et les utilisateurs reçoivent une autre notification avant l’échéance et une notification finale non modifiable 15 minutes avant un redémarrage forcé.

Lorsqu’une échéance est définie pour 0 jour, quelle que soit l’option sélectionnée, la seule notification que les utilisateurs reçoivent est une notification finale non modifiable 15 minutes avant un redémarrage forcé.

La préférence utilisateur pour les notifications s’applique lorsque les stratégies suivantes pour les délais de conformité sont utilisées :

Je souhaite gérer les notifications qu’un utilisateur voit

Des paramètres supplémentaires affectent les notifications.

Nous vous recommandons d’utiliser les notifications par défaut, car elles visent à fournir la meilleure expérience utilisateur tout en vous adaptant aux stratégies de conformité que vous définissez. Si vous avez d’autres besoins qui ne sont pas satisfaits par les paramètres de notification par défaut, vous pouvez utiliser la stratégie Update/NoUpdateNotificationsDuringActiveHours avec les valeurs suivantes :

0 (par défaut) - Utiliser les notifications Windows Update par défaut
1 - Désactiver toutes les notifications, à l’exception des avertissements de redémarrage
2 - Désactiver toutes les notifications, y compris les avertissements de redémarrage

Remarque

L’option 2 crée une expérience médiocre pour les appareils personnels ; Il est recommandé uniquement pour les appareils kiosque où les redémarrages automatiques ont été désactivés.

D’autres options sont disponibles dans Update/ScheduleRestartWarning. Ce paramètre vous permet de spécifier la période pour les notifications de rappel d’avertissement de redémarrage automatique (de 2 à 24 heures ; 4 heures est la valeur par défaut) avant la mise à jour. Vous pouvez également spécifier la période pour les notifications d’avertissement de redémarrage automatique imminent avec Update/ScheduleImminentRestartWarning (15 à 60 minutes est la valeur par défaut). Nous vous recommandons d’utiliser les notifications par défaut.

Je souhaite gérer les paramètres de mise à jour auquel un utilisateur peut accéder

Chaque appareil Windows fournit aux utilisateurs différents contrôles qu’ils peuvent utiliser pour gérer les Mises à jour Windows. Ils peuvent accéder à ces contrôles en effectuant une recherche pour rechercher des Mises à jour Windows ou en sélectionnant Mises à jour et sécurité dans Paramètres. Nous offrons la possibilité de désactiver une variété de ces contrôles accessibles aux utilisateurs.

Les utilisateurs ayant accès aux paramètres de suspension de mise à jour peuvent empêcher les mises à jour de fonctionnalités et de qualité pendant 7 jours. Vous pouvez empêcher les utilisateurs de suspendre les mises à jour via la page des paramètres de Windows Update à l’aide de Update/SetDisablePauseUXAccess. Lorsque vous désactivez ce paramètre, les utilisateurs voient que certains paramètres sont gérés par votre organization et que les paramètres de pause de mise à jour sont grisés.

Si vous utilisez Windows Server Update Server (WSUS), vous pouvez empêcher les utilisateurs d’analyser Windows Update. Pour ce faire, utilisez Update/SetDisableUXWUAccess.

Je souhaite activer les fonctionnalités introduites via la maintenance qui sont désactivées par défaut

(À partir de Windows 11, version 22H2 ou ultérieure)

De nouvelles fonctionnalités et améliorations sont introduites par le biais de la mise à jour cumulative mensuelle afin de fournir une innovation continue pour Windows 11. Pour donner aux organisations le temps de planifier et de se préparer, certaines de ces nouvelles fonctionnalités sont temporairement désactivées par défaut. Les fonctionnalités désactivées par défaut sont répertoriées dans l’article de la Base de connaissances pour la mise à jour cumulative mensuelle. En règle générale, une fonctionnalité est sélectionnée pour être désactivée par défaut, car elle affecte considérablement l’expérience utilisateur ou les administrateurs informatiques.

Les fonctionnalités qui sont désactivées par défaut des mises à jour de maintenance seront activées dans la prochaine mise à jour annuelle des fonctionnalités. Les organisations peuvent choisir de déployer des mises à jour de fonctionnalités à leur propre rythme, afin de retarder ces fonctionnalités jusqu’à ce qu’elles soient prêtes pour elles.

Vous pouvez activer ces fonctionnalités à l’aide de AllowTemporaryEnterpriseFeatureControl. Les options suivantes sont disponibles :

  • 0 (valeur par défaut) : non autorisé. Les fonctionnalités livrées désactivées par défaut restent désactivées
  • 1 : Autorisé. Toutes les fonctionnalités de la dernière mise à jour cumulative mensuelle sont activées.
    • Lorsque la stratégie est définie sur 1, toutes les fonctionnalités actuellement désactivées s’activent lors du prochain redémarrage de l’appareil.

Je souhaite activer les mises à jour facultatives

S’applique à :

  • Windows 11, version 22H2 avec KB5029351 et versions ultérieures
  • Windows 10, version 22H2 avec KB5032278 ou une mise à jour cumulative ultérieure installée

En plus de la mise à jour cumulative mensuelle, des mises à jour facultatives sont disponibles pour fournir de nouvelles fonctionnalités et des modifications non liées à la sécurité. La plupart des mises à jour facultatives sont publiées le quatrième mardi du mois, appelées préversions facultatives non liées à la sécurité. Les mises à jour facultatives peuvent également inclure des fonctionnalités qui sont déployées progressivement, appelées déploiements de fonctionnalités contrôlées (CFR). L’installation des mises à jour facultatives n’est pas activée par défaut pour les appareils qui reçoivent des mises à jour à l’aide de Windows Update entreprise. Toutefois, vous pouvez activer les mises à jour facultatives pour les appareils à l’aide de AllowOptionalContent. Pour plus d’informations sur le contenu facultatif, consultez Activer les mises à jour facultatives.