Procédure pas à pas : utiliser une stratégie de groupe pour configurer Windows Update for Business

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Vous recherchez des informations destinées aux utilisateurs ? Voir Windows Update : FAQ

Vue d'ensemble

Vous pouvez utiliser une stratégie de groupe via la Console de gestion des stratégies de groupe (GPMC) pour contrôler la manière dont Windows Update pour Entreprise fonctionne. Vous devez prendre en compte et imaginer une stratégie de déploiement pour les mises à jour avant d’apporter des modifications aux paramètres Windows Update pour Entreprise. Pour plus d’informations, consultez Préparer la stratégie de maintenance pour les mises à jour du client Windows pour plus d’informations.

Un administrateur informatique peut appliquer des stratégies Windows Update pour Entreprise à l’aide d’une stratégie de groupe, ou en local (par appareil). Toutes les stratégies pertinentes se trouvent sous le chemin Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update.

Pour gérer les mises à jour avec Windows Update entreprise, comme décrit dans cet article, vous devez effectuer les étapes suivantes si vous ne l’avez pas déjà fait :

• Créez des groupes de sécurité Active Directory qui s’alignent sur les anneaux de déploiement que vous utilisez pour déployer les mises à jour de façon progressive.
• Autoriser l’accès au service Windows Update.
• Téléchargez et installez les modèles ADMX convenant à votre version de Windows 10. Pour plus d’informations, consultez le Guide pratique pour créer et gérer le magasin central pour les modèles d’administration de stratégie de groupe dans Windows et Étape par étape : gérer Windows 10 avec des modèles administratifs.

Configurer Windows Update pour Entreprise

Dans cet exemple, un groupe de sécurité est utilisé pour gérer les mises à jour. En règle générale, nous vous conseillons d’avoir au moins trois anneaux (premiers tests pour les versions préliminaires, déploiement étendu pour les versions, appareils critiques pour les versions matures) de déploiement.

Suivez ces étapes sur un PC exécutant les outils d’administration de serveur distant ou sur un contrôleur de domaine :

Configuration d’un anneau

1. Démarrez la Console de gestion des stratégies de groupe (gpmc.msc).

2. Développez **Domaines de ><forêt de votre domaine>>.

3. Cliquez avec le bouton droit sur <votre domaine> , sélectionnez Créer un objet de stratégie de groupe dans ce domaine et liez-le ici.

4. Dans la boîte de dialogue Nouvel objet GPO, entrez Windows Update pour Entreprise – Groupe 1 en tant que nom du nouvel Objet de stratégie de groupe.

5. Cliquez avec le bouton droit sur l’objet « Windows Update pour Entreprise – Groupe 1 », puis sélectionnez sur Modifier.

6. Dans la Rédacteur Gestion des stratégie de groupe, accédez à Stratégies > de configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update. Vous êtes maintenant prêt à commencer à attribuer des stratégies à cet anneau (groupe) d’appareils.

Gérer les offres Windows Update

Vous pouvez contrôler le moment où les mises à jour s’appliquent, par exemple, en différant l’installation d’une mise à jour sur un appareil ou en suspendant les mises à jour pendant un certain temps.

Déterminer les mises à jour que vous souhaitez proposer à vos appareils

Les mises à jour des fonctionnalités et de la qualité sont automatiquement proposées aux appareils connectés à Windows Update à l’aide de stratégies Windows Update entreprise. Toutefois, vous pouvez choisir si vous souhaitez que les appareils reçoivent également d’autres Mises à jour Microsoft ou pilotes applicables à cet appareil.

Pour activer Microsoft Mises à jour, utilisez la console de gestion stratégie de groupe, accédez à Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Configurer l’Mises à jour automatique et sélectionnez Installer les mises à jour pour d’autres produits Microsoft. Pour obtenir la liste des autres produits Microsoft susceptibles d’être mis à jour, consultez Mettre à jour d’autres produits Microsoft.

Les pilotes sont automatiquement activés, car ils sont bénéfiques pour les systèmes d’appareil. Nous vous recommandons d’autoriser la stratégie de pilote à mettre à jour les pilotes sur les appareils (par défaut), mais vous pouvez désactiver ce paramètre si vous préférez gérer les pilotes manuellement. Si vous souhaitez désactiver les mises à jour des pilotes pour une raison quelconque, utilisez la console de gestion stratégie de groupe pour accéder à Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Ne pas inclure de pilotes avec Windows Mises à jour et activer la stratégie.

Nous vous recommandons également d’autoriser les mises à jour de produits Microsoft comme indiqué précédemment.

Définir quand les appareils reçoivent des mises à jour de fonctionnalités et de qualité

Je souhaite recevoir des versions préliminaires de la prochaine mise à jour des fonctionnalités

1. Vérifiez que vous êtes inscrit au programme Windows Insider pour Entreprises. Il s’agit d’un programme gratuit disponible pour les clients commerciaux pour les aider à valider les mises à jour des fonctionnalités avant leur publication. L’adhésion au programme vous permet de recevoir des mises à jour avant leur publication et de recevoir des e-mails et du contenu liés à ce qui est à venir dans les prochaines mises à jour.

2. Utilisez stratégie de groupe Console de gestion pour accéder à Configuration ordinateur > Modèles > d’administration Composants > Windows Windows Update > Windows Update entreprise > Gérer les builds en préversion et définissez la stratégie sur Activer les builds en préversion pour tous les appareils de test que vous souhaitez installer en préversion.

3. Utilisez stratégie de groupe Console de gestion pour accéder à Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Windows Update entreprise > Sélectionnez quand les versions en préversion et les mises à jour des fonctionnalités sont reçues. Dans le volet Options , utilisez le menu déroulant pour sélectionner l’une des builds d’aperçu. Nous renouvelons le programme Windows Insider Lent pour les clients commerciaux utilisant des versions préliminaires pour la validation.

4. Sélectionnez OK.

Je souhaite gérer la mise à jour de fonctionnalité publiée que mes appareils reçoivent

Un administrateur Windows Update entreprise peut différer ou suspendre les mises à jour. Vous pouvez différer les mises à jour des fonctionnalités pendant jusqu’à 365 jours et différer les mises à jour qualité pendant jusqu’à 30 jours. Différer signifie simplement que vous ne recevrez pas la mise à jour tant qu’elle n’aura pas été publiée pendant au moins le nombre de jours de report que vous avez spécifié (date de l’offre = date de publication + date de report). Vous pouvez suspendre les mises à jour de fonctionnalités ou de qualité pour une période allant jusqu’à 35 jours à partir de la date de départ que vous spécifiez.

• Pour différer ou suspendre une mise à jour de fonctionnalité : Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Windows Update entreprise > Sélectionner quand les versions en préversion et les mises à jour des fonctionnalités sont reçues
• Différer ou suspendre une mise à jour qualité : Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Windows Update entreprise > Sélectionner quand les Mises à jour qualité sont reçues

Exemple

Dans cet exemple, il existe trois anneaux pour les mises à jour qualité. Le premier anneau (« pilote ») dispose d’une période de report de 0 jour. Le deuxième anneau (« rapide ») dispose d’un report de cinq jours. Le troisième anneau (« lent ») a un report de 10 jours.

Lorsque la mise à jour qualité est publiée, elle est proposée aux appareils de l’anneau pilote la prochaine fois qu’ils recherchent des mises à jour.

Cinq jours plus tard

La mise à jour de qualité est proposée lors de la prochaine recherche de mises à jour par les appareils présents dans l’anneau rapide.

Dix jours plus tard

Dix jours après la publication de la mise à jour de qualité, elle est proposée aux appareils dans l’anneau lent la prochaine fois qu’ils recherchent des mises à jour.

Si aucun problème ne se produit, tous les appareils qui recherchent les mises à jour se voient proposer la mise à jour de qualité dans les 10 jours suivant sa publication, en trois vagues.

Que se passe-t-il si un problème se produit avec la mise à jour ?

Dans cet exemple, un problème est détecté pendant le déploiement de la mise à jour vers l’anneau « pilote ».

À ce stade, l’administrateur informatique peut définir une stratégie pour suspendre la mise à jour. Dans cet exemple, l’administrateur sélectionne la case à cocher Suspendre les mises à jour de qualité.

La mise à jour de tous les appareils est désormais suspendue pendant 35 jours. Lorsque la pause est supprimée, la prochaine mise à jour de qualité leur est proposée, ce qui, dans l’idéal, n’aura pas le même problème. En cas de problème, l’administrateur informatique peut suspendre à nouveau les mises à jour.

Je veux rester sur une version spécifique

Si vous avez besoin qu’un appareil reste sur une version au-delà du moment où les reports de la version suivante s’écoulent ou si vous devez ignorer une version, utilisez le paramètre Sélectionner la version de mise à jour des fonctionnalités cible au lieu d’utiliser le paramètre Spécifier quand les versions en préversion et les mises à jour des fonctionnalités sont reçues pour les reports de mise à jour des fonctionnalités. Lorsque vous utilisez cette stratégie, spécifiez la version que vous souhaitez que vos appareils utilisent. Si vous ne le mettez pas à jour avant la fin du service de l’appareil, l’appareil sera automatiquement mis à jour une fois qu’il sera mis à jour 60 jours après la fin du service pour son édition.

Lorsque vous définissez la stratégie de version cible, si vous spécifiez une version de mise à jour des fonctionnalités antérieure à votre version actuelle ou si vous définissez une valeur qui n’est pas valide, l’appareil ne reçoit aucune mise à jour des fonctionnalités tant que la stratégie n’est pas mise à jour. Lorsque vous spécifiez la stratégie de version cible, les reports de mise à jour des fonctionnalités ne sont pas appliqués.

Gérer l’expérience des utilisateurs sur les mises à jour

Je souhaite gérer le moment où les appareils téléchargent, installent et redémarrent après les mises à jour

Nous vous recommandons d’autoriser la mise à jour automatique : il s’agit du comportement par défaut. Si vous ne définissez pas de stratégie de mise à jour automatique, l’appareil tente de télécharger, d’installer et de redémarrer aux meilleurs moments pour l’utilisateur à l’aide d’une intelligence intégrée, telle que les heures d’activité intelligentes et les case activée de disponibilité intelligente.

Pour un contrôle plus précis, vous pouvez définir la période maximale d’heures d’activité que l’utilisateur peut définir avec Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update Spécifier la plage d’heures > d’activité pour le redémarrage automatique.

Il est préférable de ne pas définir la stratégie d’heures d’activité, car elle est activée par défaut lorsque les mises à jour automatiques ne sont pas désactivées et offre une meilleure expérience lorsque les utilisateurs peuvent définir leurs propres heures d’activité. Si vous souhaitez définir des heures d’activité, utilisez Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Désactiver le redémarrage automatique pour les mises à jour pendant les heures d’activité.

Pour effectuer une mise à jour en dehors des heures d’activité, vous n’avez pas besoin de définir de paramètres supplémentaires : ne désactivez simplement pas les redémarrages automatiques. Pour un contrôle encore plus précis, envisagez d’utiliser des mises à jour automatiques pour planifier l’heure, le jour ou la semaine d’installation. Pour ce faire, utilisez Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Configurer l’Mises à jour automatique et sélectionnez Télécharger automatiquement et planifier l’installation. Vous pouvez personnaliser ce paramètre pour prendre en charge le temps d’installation de la mise à jour pour vos appareils.

Lorsque vous définissez ces stratégies, l’installation se produit automatiquement à l’heure spécifiée et l’appareil redémarre 15 minutes après l’installation (sauf s’il est interrompu par l’utilisateur).

Je souhaite que les appareils restent sécurisés et conformes aux échéances de mise à jour

Nous vous recommandons d’utiliser configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Spécifier l’échéance pour les mises à jour automatiques et les redémarrages pour les mises à jour des fonctionnalités et de la qualité afin de garantir la sécurité des appareils sur Windows 10, version 1709 et ultérieure. Cela fonctionne en vous permettant de spécifier le nombre de jours qui peuvent s’écouler après qu’une mise à jour est proposée à un appareil avant qu’il ne doit être installé. Vous pouvez également définir le nombre de jours qui peuvent s’écouler après un redémarrage en attente avant que l’utilisateur soit forcé de redémarrer.

Cette stratégie offre également la possibilité de refuser les redémarrages automatiques jusqu’à ce qu’une échéance soit atteinte en présentant une « expérience de redémarrage engagé » jusqu’à l’expiration effective de l’échéance. À ce stade, l’appareil planifie automatiquement un redémarrage, quelles que soient les heures d’activité.

Ces notifications sont ce que l’utilisateur voit en fonction des paramètres que vous choisissez :

Lorsque Spécifier des échéances pour les mises à jour automatiques et les redémarrages est défini (pour Windows 10, version 1709 et ultérieure) :

• Pendant que le redémarrage est en attente, avant l’échéance :

  • Pendant les premiers jours, l’utilisateur reçoit une notification toast

  • Après cette période, l’utilisateur reçoit cette boîte de dialogue :

    

  • Si l’utilisateur a planifié un redémarrage, ou si un redémarrage automatique est planifié, 15 minutes avant l’heure planifiée, l’utilisateur reçoit cette notification indiquant que le redémarrage est sur le point de se produire :

    

• Si le redémarrage est toujours en attente après l’expiration de l’échéance :

  • Dans les 12 heures qui précèdent l’échéance, l’utilisateur reçoit cette notification indiquant que l’échéance approche :

    

  • Une fois l’échéance dépassée, l’utilisateur est forcé de redémarrer pour maintenir la conformité de ses appareils et reçoit cette notification :

    

Je souhaite gérer les notifications qu’un utilisateur voit

Des paramètres supplémentaires affectent les notifications.

Nous vous recommandons d’utiliser les notifications par défaut, car elles visent à fournir la meilleure expérience utilisateur tout en vous adaptant aux stratégies de conformité que vous avez définies. Si vous avez d’autres besoins qui ne sont pas satisfaits par les paramètres de notification par défaut, vous pouvez utiliser Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > options d’affichage pour les notifications de mise à jour avec les valeurs suivantes :

0 (par défaut) : utilisez la Windows Update notifications
par défaut 1 - Désactiver toutes les notifications, à l’exception des avertissements
de redémarrage 2 - Désactiver toutes les notifications, y compris les avertissements de redémarrage

L’option 2 crée une expérience médiocre pour les appareils personnels ; Il est recommandé uniquement pour les appareils kiosque où les redémarrages automatiques ont été désactivés.

Remarque

À compter de Windows 11, version 22H2, l’option Appliquer uniquement pendant les heures d’activité a été ajoutée comme option supplémentaire pour les options d’affichage pour les notifications de mise à jour. Lorsque l’option Appliquer uniquement pendant les heures d’activité est sélectionnée, les notifications sont désactivées uniquement pendant les heures d’activité lorsque les options 1 ou 2 sont utilisées. Pour vous assurer que l’appareil reste mis à jour, une notification s’affiche toujours pendant les heures d’activité si Appliquer uniquement pendant les heures d’activité est sélectionné, et une fois qu’une date limite a été atteinte lorsque l’option Spécifier les échéances pour les mises à jour automatiques et les redémarrages est configurée.

D’autres options sont disponibles dans Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Configurer la planification des notifications d’avertissement de redémarrage automatique pour les mises à jour. Ce paramètre vous permet de spécifier la période pour les notifications de rappel d’avertissement de redémarrage automatique (de 2 à 24 heures ; 4 heures est la valeur par défaut) avant la mise à jour et de spécifier la période pour les notifications d’avertissement de redémarrage automatique imminent (15 à 60 minutes est la valeur par défaut). Nous vous recommandons d’utiliser les notifications par défaut.

Je souhaite gérer les paramètres de mise à jour auquel un utilisateur peut accéder

Chaque appareil Windows fournit aux utilisateurs différents contrôles qu’ils peuvent utiliser pour gérer les Mises à jour Windows. Ils peuvent accéder à ces contrôles en effectuant une recherche pour rechercher des Mises à jour Windows ou en sélectionnant Mises à jour et sécurité dans Paramètres. Nous offrons la possibilité de désactiver une variété de ces contrôles accessibles aux utilisateurs.

Les utilisateurs ayant accès aux paramètres de suspension de mise à jour peuvent empêcher les mises à jour de fonctionnalités et de qualité pendant 7 jours. Vous pouvez empêcher les utilisateurs de suspendre les mises à jour via la page des paramètres de Windows Update en utilisant Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Supprimer l’accès à Suspendre les mises à jour. Lorsque vous désactivez ce paramètre, les utilisateurs voient que certains paramètres sont gérés par votre organization et que les paramètres de pause de mise à jour sont grisés.

Si vous utilisez Windows Server Update Server (WSUS), vous pouvez empêcher les utilisateurs d’analyser Windows Update. Pour ce faire, utilisez Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Supprimer l’accès pour utiliser toutes les fonctionnalités Windows Update.

Je souhaite activer les mises à jour facultatives

S’applique à :

• Windows 11, version 22H2 avec KB5029351 et versions ultérieures
• Windows 10, version 22H2 avec KB5032278 ou une mise à jour cumulative ultérieure installée

En plus de la mise à jour cumulative mensuelle, des mises à jour facultatives sont disponibles pour fournir de nouvelles fonctionnalités et des modifications non liées à la sécurité. La plupart des mises à jour facultatives sont publiées le quatrième mardi du mois, appelées préversions facultatives non liées à la sécurité. Les mises à jour facultatives peuvent également inclure des fonctionnalités qui sont déployées progressivement, appelées déploiements de fonctionnalités contrôlées (CFR). L’installation des mises à jour facultatives n’est pas activée par défaut pour les appareils qui reçoivent des mises à jour à l’aide de Windows Update entreprise. Toutefois, vous pouvez activer les mises à jour facultatives pour les appareils à l’aide de la configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Gérer les mises à jour proposées à partir de Windows Update > stratégie Activer les mises à jour facultatives.

Pour que le calendrier des mises à jour reste cohérent, la stratégie Activer les mises à jour facultatives respecte la période de report des mises à jour qualité. Cette stratégie vous permet de choisir si les appareils doivent recevoir des cfr en plus des versions d’évaluation non liées à la sécurité facultatives, ou si l’utilisateur final peut prendre la décision d’installer des mises à jour facultatives. Cette stratégie peut modifier le comportement de l’option Obtenir les dernières mises à jour dès qu’elles sont disponibles dans Paramètres>Mise à jour & sécurité> *Windows Update>Options avancées.

Les options suivantes sont disponibles pour la stratégie :

• Recevoir automatiquement les mises à jour facultatives (y compris les cfr) :

  • Les dernières mises à jour facultatives non liées à la sécurité et cfr sont automatiquement installées sur l’appareil. La période de report des mises à jour qualité est appliquée à l’installation de ces mises à jour.
  • L’option Obtenir les dernières mises à jour dès qu’elles sont disponibles est sélectionnée et les utilisateurs ne peuvent pas modifier le paramètre.
  • Les appareils recevront des CFR dans les premières phases du déploiement.

• Recevoir automatiquement les mises à jour facultatives :

  • Les dernières mises à jour facultatives non liées à la sécurité sont installées automatiquement sur l’appareil, mais pas les CFR. La période de report des mises à jour qualité est appliquée à l’installation de ces mises à jour.
  • L’option Obtenir les dernières mises à jour dès qu’elles sont disponibles n’est pas sélectionnée et les utilisateurs ne peuvent pas modifier le paramètre.

• Les utilisateurs peuvent sélectionner les mises à jour facultatives à recevoir :

  • Les utilisateurs peuvent sélectionner les mises à jour facultatives à installer dans Paramètres>Mise à jour & sécurité>Windows Update>Options> avancéesMises à jour facultatives.
    • Des mises à jour facultatives sont proposées à l’appareil, mais l’interaction de l’utilisateur est requise pour les installer, sauf si l’option Obtenir les dernières mises à jour dès qu’elles sont disponibles est également activée.
    • Les CFR sont proposés à l’appareil, mais pas nécessairement dans les premières phases du déploiement.
  • Les utilisateurs peuvent activer l’option Obtenir les dernières mises à jour dès qu’elles sont disponibles dans Paramètres>Mise à jour & sécurité> *Windows Update>Options avancées. Si l’utilisateur active l’option Obtenir les dernières mises à jour dès qu’elles sont disponibles, alors :
    • L’appareil recevra des CFR dans les premières phases du déploiement.
    • Les mises à jour facultatives sont automatiquement installées sur l’appareil.

• Non configuré (par défaut) :

  • Les mises à jour facultatives ne sont pas installées sur l’appareil et l’option Obtenir les dernières mises à jour dès qu’elles sont disponibles est désactivée.

Je souhaite activer les fonctionnalités introduites via la maintenance qui sont désactivées par défaut

(À partir de Windows 11, version 22H2 ou ultérieure)

De nouvelles fonctionnalités et améliorations sont introduites par le biais de la mise à jour cumulative mensuelle afin de fournir une innovation continue pour Windows 11. Pour donner aux organisations le temps de planifier et de se préparer, certaines de ces nouvelles fonctionnalités sont temporairement désactivées par défaut. Les fonctionnalités désactivées par défaut sont répertoriées dans l’article de la Base de connaissances pour la mise à jour cumulative mensuelle. En règle générale, une fonctionnalité est sélectionnée pour être désactivée par défaut, car elle affecte considérablement l’expérience utilisateur ou les administrateurs informatiques.

Les fonctionnalités qui sont désactivées par défaut des mises à jour de maintenance seront activées dans la prochaine mise à jour annuelle des fonctionnalités. Les organisations peuvent choisir de déployer des mises à jour de fonctionnalités à leur propre rythme, afin de retarder ces fonctionnalités jusqu’à ce qu’elles soient prêtes pour elles.

Vous pouvez activer ces fonctionnalités à l’aide de Configuration > ordinateur Modèles > d’administration Composants > Windows Windows Update > Gérer l’expérience > utilisateur final Activer les fonctionnalités introduites via la maintenance qui sont désactivées par défaut. Les options suivantes sont disponibles :

• Activé : toutes les fonctionnalités de la dernière mise à jour cumulative mensuelle sont activées.
  • Lorsque la stratégie est définie sur Activé, toutes les fonctionnalités actuellement désactivées sont activées lors du prochain redémarrage de l’appareil
• Désactivé : les fonctionnalités livrées désactivées par défaut restent désactivées
• Non configuré : les fonctionnalités livrées désactivées par défaut restent désactivées