Come usare Criteri di gruppo per distribuire un rollback dei problemi noti

  • Articolo

Questo articolo descrive come configurare Criteri di gruppo per l'uso di una definizione di criteri KIR (Known Issue Rollback) che attiva una KIR nei dispositivi gestiti.

Si applica a: Windows Server (tutte le versioni supportate), client Windows (tutte le versioni supportate)

Riepilogo

Microsoft ha sviluppato una nuova tecnologia di manutenzione di Windows denominata KIR per Windows Server 2019 e Windows 10, versioni 1809 e successive. Per le versioni supportate di Windows, una KIR esegue il rollback di una modifica specifica applicata come parte di una versione di Windows Update non di sicurezza. Tutte le altre modifiche apportate come parte di tale versione rimangono invariate. Usando questa tecnologia, se un aggiornamento di Windows causa una regressione o un altro problema, non è necessario disinstallare l'intero aggiornamento e restituire il sistema all'ultima configurazione valida nota. Si esegue il rollback solo della modifica che ha causato il problema. Questo rollback è temporaneo. Dopo che Microsoft ha rilasciato un nuovo aggiornamento che risolve il problema, il rollback non è più necessario.

Importante

Le KIR si applicano solo agli aggiornamenti non di sicurezza. Questo perché il rollback di una correzione per un aggiornamento non di sicurezza non crea una potenziale vulnerabilità di sicurezza.

Microsoft gestisce il processo di distribuzione KIR per i dispositivi non aziendali. Per i dispositivi aziendali, Microsoft fornisce file MSI di definizione dei criteri KIR. Le aziende possono quindi usare Criteri di gruppo per distribuire kir in domini ibridi Microsoft Entra ID o Active Directory Domain Services (AD DS).

Nota

È necessario riavviare i computer interessati per applicare questa modifica Criteri di gruppo.

Processo KIR

Se Microsoft determina che un aggiornamento non di sicurezza presenta una regressione critica o un problema simile, Microsoft genera una KIR. Microsoft annuncia kir nel dashboard di integrità di Windows e aggiunge le informazioni alle posizioni seguenti:

Per i clienti non aziendali, il processo di Windows Update applica automaticamente la KIR. Non è richiesta alcuna azione da parte dell'utente.

Per i clienti aziendali, Microsoft fornisce un file MSI di definizione dei criteri. I clienti aziendali possono propagare kir ai sistemi gestiti usando l'infrastruttura di Criteri di gruppo aziendale.

Per visualizzare un esempio di file KIR MSI, scaricare Windows 10 (2004 & 20H2) Known Issue Rollback 031321 01.msi.

Una definizione di criteri KIR ha una durata limitata (al massimo alcuni mesi). Dopo che Microsoft ha pubblicato un aggiornamento modificato per risolvere il problema originale, kir non è più necessario. La definizione dei criteri può quindi essere rimossa dall'infrastruttura Criteri di gruppo.

Applicare KIR a un singolo dispositivo usando Criteri di gruppo

Per usare Criteri di gruppo per applicare una KIR a un singolo dispositivo, seguire questa procedura:

  1. Scaricare il file MSI di definizione dei criteri KIR nel dispositivo.

    Importante

    Assicurarsi che il sistema operativo elencato nel nome del file .msi corrisponda al sistema operativo del dispositivo da aggiornare.

  2. Eseguire il file .msi nel dispositivo. Questa azione installa la definizione dei criteri KIR nel modello amministrativo.
  3. Aprire il Criteri di gruppo Editor locale. A tale scopo, selezionare Start e quindi immettere gpedit.msc.
  4. Selezionare Local Computer Policy Computer Configuration Administrative Templates KB Issue XXX Rollback Windows 10, version YYMM.SelectLocal Computer Policy>Computer Configuration>Administrative Templates>KB ####### Issue XXX Rollback> Windows 10, version YYMM.

    Nota

    In questo passaggio è ####### il numero dell'articolo della Knowledge Base dell'aggiornamento che ha causato il problema. XXX è il numero di problema e YYMM è il numero di versione Windows 10.

  5. Fare clic con il pulsante destro del mouse sul criterio e quindi scegliere Modifica>disabilitato>OK.
  6. Riavviare il dispositivo.

Per altre informazioni su come usare il Criteri di gruppo Editor locale, vedere Uso delle impostazioni dei criteri del modello amministrativo tramite il Criteri di gruppo Editor locale.

Applicare una KIR ai dispositivi in un Microsoft Entra ID ibrido o in un dominio di Active Directory Domain Services usando Criteri di gruppo

Per applicare una definizione di criteri KIR ai dispositivi che appartengono a un Microsoft Entra ID ibrido o a un dominio di Active Directory Domain Services, seguire questa procedura:

  1. Scaricare e installare i file MSI KIR
  2. Creare un oggetto Criteri di gruppo (GPO).
  3. Creare e configurare un filtro WMI che applica l'oggetto Criteri di gruppo.
  4. Collegare l'oggetto Criteri di gruppo e il filtro WMI.
  5. Configurare l'oggetto Criteri di gruppo.
  6. Monitorare i risultati dell'oggetto Criteri di gruppo.

1. Scaricare e installare i file MSI KIR

  1. Controllare le informazioni sulla versione kir o gli elenchi di problemi noti per identificare le versioni del sistema operativo da aggiornare.
  2. Scaricare la definizione dei criteri KIR .msi file che è necessario aggiornare al computer usato per gestire Criteri di gruppo per il dominio.
  3. Eseguire i file .msi. Questa azione installa la definizione dei criteri KIR nel modello amministrativo.

    Nota

    Le definizioni dei criteri vengono installate nella cartella C:\Windows\PolicyDefinitions . Se è stato implementato il Criteri di gruppo Archivio centrale, è necessario copiare i file con estensione admx e adml nello Store centrale.

2. Creare un oggetto Criteri di gruppo

  1. Aprire Criteri di gruppo Management Console e quindi selezionare Foresta: DomainNameDomains.Open Criteri di gruppo Management Console, and then select Forest: DomainName> Domains.
  2. Fare clic con il pulsante destro del mouse sul nome del dominio, quindi scegliere Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui.
  3. Immettere il nome del nuovo oggetto Criteri di gruppo (ad esempio, KIR Issue XXX) e quindi selezionare OK.

Per altre informazioni su come creare oggetti Criteri di gruppo, vedere Creare un oggetto Criteri di gruppo.

3. Creare e configurare un filtro WMI che applica l'oggetto Criteri di gruppo

  1. Fare clic con il pulsante destro del mouse su Filtri WMI e quindi scegliere Nuovo.

  2. Immettere un nome per il nuovo filtro WMI.

  3. Immettere una descrizione del filtro WMI, ad esempio Filtro per tutti i dispositivi Windows 10 versione 2004.

  4. Selezionare Aggiungi.

  5. In Query immettere la stringa di query seguente:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Importante

    In questa stringa VersionNumber <> rappresenta la versione di Windows a cui si vuole applicare l'oggetto Criteri di gruppo. Il numero di versione deve utilizzare il formato seguente (escludere le parentesi quadre quando si usa il numero nella stringa):

    10.0.xxxxx

    dove xxxxx è un numero a cinque cifre. Attualmente, le kir supportano le versioni seguenti:

    Versione Numero di build
    Windows 10 versione 20H2 10.0.19042
    Windows 10, versione 2004 10.0.19041
    Windows 10, versione 1909 10.0.18363
    Windows 10, versione 1903 10.0.18362
    Windows 10, versione 1809 10.0.17763

    Per un elenco aggiornato delle versioni di Windows e dei numeri di build, vedere Windows 10 - informazioni sulla versione.

    Importante

    I numeri di build elencati nella pagina delle informazioni sulla versione Windows 10 non includono il prefisso 10.0. Per usare un numero di build nella query, è necessario aggiungere il prefisso 10.0 .

Per altre informazioni su come creare filtri WMI, vedere Creare filtri WMI per l'oggetto Criteri di gruppo.

  1. Selezionare l'oggetto Criteri di gruppo creato in precedenza, aprire il menu Filtro WMI e quindi selezionare il filtro WMI appena creato.
  2. Selezionare per accettare il filtro.

5. Configurare l'oggetto Criteri di gruppo

Modificare l'oggetto Criteri di gruppo per usare i criteri di attivazione KIR:

  1. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo creato in precedenza e quindi scegliere Modifica.
  2. Nel Criteri di gruppo Editor selezionare GPOName Computer>Configuration>Administrative Templates>KB ####### Issue XXX Rollback>Windows 10, version YYMM.
  3. Fare clic con il pulsante destro del mouse sul criterio e quindi scegliere Modifica>disabilitato>OK.

Per altre informazioni su come modificare oggetti Criteri di gruppo, vedere Modificare un oggetto Criteri di gruppo da Console Gestione Criteri di gruppo.

6. Monitorare i risultati dell'oggetto Criteri di gruppo

Nella configurazione predefinita di Criteri di gruppo, i dispositivi gestiti devono applicare i nuovi criteri entro 90-120 minuti. Per velocizzare questo processo, è possibile eseguire gpupdate nei dispositivi interessati per verificare manualmente la disponibilità di criteri aggiornati.

Assicurarsi che ogni dispositivo interessato venga riavviato dopo l'applicazione dei criteri.

Importante

La correzione che ha introdotto il problema viene disabilitata dopo che il dispositivo ha applicato i criteri e quindi riavviato.

Distribuire un'attivazione KIR usando Microsoft Intune inserimento di criteri ADMX nei dispositivi gestiti

Nota

Per usare le soluzioni in questa sezione, è necessario installare l'aggiornamento cumulativo rilasciato il 26 luglio 2022 o un aggiornamento successivo nel computer.

I criteri di gruppo e gli oggetti Criteri di gruppo non sono compatibili con le soluzioni basate sulla gestione dei dispositivi mobili (MDM), ad esempio Microsoft Intune. Queste istruzioni illustrano come usare Intune impostazioni personalizzate per l'inserimento di ADMX e configurare criteri MDM supportati da ADMX per eseguire un'attivazione KIR senza richiedere un oggetto Criteri di gruppo.

Per eseguire un'attivazione KIR in Intune dispositivi gestiti, seguire questa procedura:

  1. Scaricare e installare il file KIR MSI per ottenere i file ADMX.
  2. Creare un profilo di configurazione personalizzato in Microsoft Intune.
  3. Monitorare l'attivazione kir.

1. Scaricare e installare il file KIR MSI per ottenere i file ADMX

  1. Controllare le informazioni sulla versione kir o gli elenchi di problemi noti per identificare le versioni del sistema operativo che è necessario aggiornare.

  2. Scaricare la definizione dei criteri KIR necessaria .msi file nel computer usato per accedere a Microsoft Intune.

    Nota

    Sarà necessario accedere al contenuto di un file ADMX di attivazione KIR.

  3. Eseguire i .msi file. Questa azione installa la definizione dei criteri KIR nel modello amministrativo.

    Nota

    Le definizioni dei criteri vengono installate nella cartella C:\Windows\PolicyDefinitions .

    Se si desidera estrarre i file ADMX in un altro percorso, usare il msiexec comando con la proprietà TARGETDIR . Ad esempio:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Creare un profilo di configurazione personalizzato in Microsoft Intune

Per configurare i dispositivi per l'esecuzione di un'attivazione KIR, è necessario creare un profilo di configurazione personalizzato per ogni sistema operativo dei dispositivi gestiti. Per creare un profilo personalizzato, seguire questa procedura:

  1. Selezionare le proprietà e aggiungere informazioni di base del profilo.
  2. Aggiungere un'impostazione di configurazione personalizzata per inserire i file ADMX per l'attivazione KIR.
  3. Aggiungere un'impostazione di configurazione personalizzata per impostare nuovi criteri di attivazione KIR.
  4. Assegnare i dispositivi al profilo di configurazione personalizzato per l'attivazione kir.
  5. Usare le regole di applicabilità per i dispositivi di destinazione per ricevere le impostazioni di configurazione personalizzate kir dal sistema operativo.
  6. Esaminare e creare un profilo di configurazione personalizzato per l'attivazione kir.

R. Selezionare le proprietà e aggiungere informazioni di base sul profilo

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Dispositivi>Profili di configurazione>Crea profilo.

  3. Selezionare le proprietà seguenti:

    • Piattaforma: Windows 10 e versioni successive
    • Profilo: Modelli>personalizzati

  4. Selezionare Crea.

  5. In Informazioni di base immettere le seguenti proprietà:

    • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è "04/30 KIR Activation – Windows 10 21H2".
    • Descrizione: immettere una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.

    Nota

    I valori della piattaforma e del tipo di profilo devono essere già selezionati.

  6. Seleziona Avanti.

Nota

Per altre informazioni sulla creazione di profili di configurazione personalizzati e impostazioni di configurazione, vedere Usare le impostazioni del dispositivo personalizzate in Microsoft Intune.

Prima di procedere con i due passaggi successivi, aprire il file ADMX in un editor di testo (ad esempio Blocco note) in cui è stato estratto il file. Il file ADMX deve essere nel percorso C:\Windows\PolicyDefinitions se è stato installato come file MSI.

Ecco un esempio del file ADMX:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Registrare i valori per policy name e parentCategory. Queste informazioni si trova nel nodo "criteri" alla fine del file.

B. Aggiungere un'impostazione di configurazione personalizzata per inserire i file ADMX per l'attivazione KIR

Questa impostazione di configurazione viene usata per installare i criteri di attivazione KIR nei dispositivi di destinazione. Seguire questa procedura per aggiungere le impostazioni di inserimento ADMX:

  1. In Impostazioni di configurazione selezionare Aggiungi.

  2. Immettere le seguenti proprietà:

    • Nome: immettere un nome descrittivo per l'impostazione di configurazione. Assegnare un nome alle impostazioni in modo da poterle identificare facilmente in un secondo momento. Ad esempio, un nome di impostazione valido è "Inserimento ADMX: attivazione KIR 04/30 – Windows 10 21H2".

    • Descrizione: immettere una descrizione per l'impostazione. Questa impostazione è facoltativa ma consigliata.

    • OMA-URI: immettere la stringa ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Nota

      Sostituire <ADMX Policy Name> con il valore del nome del criterio registrato dal file ADMX. Ad esempio, "KB5011563_220428_2000_1_KnownIssueRollback".

    • Tipo di dati: selezionare Stringa.

    • Valore: aprire il file ADMX con un editor di testo, ad esempio blocco note. Copiare e incollare l'intero contenuto del file ADMX che si intende inserire in questo campo.

  3. Selezionare Salva.

C. Aggiungere un'impostazione di configurazione personalizzata per impostare nuovi criteri di attivazione KIR

Questa impostazione di configurazione viene usata per configurare i criteri di attivazione KIR, definiti nel passaggio precedente.

Seguire questa procedura per aggiungere le impostazioni di configurazione dell'attivazione KIR:

  1. In Impostazioni di configurazione selezionare Aggiungi.

  2. Immettere le seguenti proprietà:

    • Nome: immettere un nome descrittivo per l'impostazione di configurazione. Assegnare un nome alle impostazioni in modo da poterle identificare facilmente in un secondo momento. Ad esempio, un nome di impostazione valido è "Attivazione KIR: attivazione KIR 04/30 – Windows 10 21H2".

    • Descrizione: immettere una descrizione per l'impostazione. Questa impostazione è facoltativa ma consigliata.

    • URI OMA: immettere la stringa ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Nota

      Sostituire <Categoria> padre con la stringa di categoria padre registrata nel passaggio precedente. Ad esempio, "KnownIssueRollback_Win_11". Sostituire <ADMX Policy Name> con lo stesso nome dei criteri usato nel passaggio precedente.

    • Tipo di dati: selezionare Stringa.

    • Valore: immettere <disabled/>.

  3. Selezionare Salva.

  4. Seleziona Avanti.

D. Assegnare dispositivi al profilo di configurazione personalizzato per l'attivazione KIR

Dopo aver definito le operazioni eseguite dal profilo di configurazione personalizzato, seguire questa procedura per identificare i dispositivi da configurare:

  1. In Assegnazioni selezionare Aggiungi tutti i dispositivi.
  2. Seleziona Avanti.

E. Usare le regole di applicabilità per i dispositivi di destinazione per ricevere le impostazioni di configurazione personalizzate kir dal sistema operativo

Per impostare come destinazione i dispositivi dal sistema operativo applicabili al gruppo di criteri di gruppo, aggiungere una regola di applicabilità per controllare la versione del sistema operativo del dispositivo (build) prima di applicare questa configurazione. È possibile cercare i numeri di build per il sistema operativo supportato nelle pagine seguenti:

I numeri di build visualizzati nelle pagine sono formattati come MMMMM.mmmm (M= versione principale e m= versione secondaria). Le proprietà versione del sistema operativo usano le cifre della versione principale. I valori della versione del sistema operativo immessi nelle regole di applicabilità devono essere formattati come "10.0.MMMMM". Ad esempio, "10.0.22000".

Seguire queste istruzioni per impostare le regole di applicabilità corrette per l'attivazione KIR:

  1. In Regole di applicabilità creare una regola di applicabilità immettendo le proprietà seguenti nella regola vuota già nella pagina:

    • Regola: selezionare Assegna profilo se dall'elenco a discesa.
    • Proprietà: selezionare Versione del sistema operativo dall'elenco a discesa.
    • Valore: immettere i numeri di versione Min e Max del sistema operativo formattati come "10.0.MMMMM".

  2. Seleziona Avanti.

Nota

La versione del sistema operativo di un dispositivo è disponibile eseguendo il winver comando dal menu Start. Verrà visualizzato un numero di versione in due parti separato da ".". Ad esempio, "22000.613". È possibile aggiungere il numero sinistro a "10.0". per la versione min del sistema operativo. Ottenere il numero massimo di versione del sistema operativo aggiungendo 1 all'ultima cifra del numero di versione min del sistema operativo. Per questo esempio, è possibile usare questi valori:
Versione minima del sistema operativo: "10.0.22000"
Versione massima del sistema operativo: "10.0.22001"

F. Esaminare e creare un profilo di configurazione personalizzato per l'attivazione di KIR

Esaminare le impostazioni del profilo di configurazione personalizzato e selezionare Crea.

3. Monitorare l'attivazione KIR

L'attivazione kir deve essere in corso. Seguire questa procedura per monitorare lo stato del profilo di configurazione:

  1. Passare aProfili di configurazionedei dispositivi> e selezionare un profilo esistente. Ad esempio, selezionare un profilo macOS.

  2. Selezionare la scheda Panoramica . In questa visualizzazione lo stato di assegnazione del profilo include gli stati seguenti:

    • Operazione completata: i criteri vengono applicati correttamente.
    • Errore: non è stato possibile applicare i criteri. Il messaggio visualizza in genere un codice di errore collegato a una spiegazione.
    • Conflitto: due impostazioni vengono applicate allo stesso dispositivo e Intune non è in grado di risolvere il conflitto. Un amministratore deve esaminare il conflitto.
    • In sospeso: il dispositivo non ha ancora eseguito la sincronizzazione con Intune per ricevere i criteri.
    • Non applicabile: il dispositivo non può ricevere i criteri. Ad esempio, i criteri aggiornano un'impostazione specifica per iOS 11.1, ma il dispositivo usa iOS 10.

Per altre informazioni, vedere Monitorare i profili di configurazione dei dispositivi in Microsoft Intune.

Ulteriori informazioni