Servizio di distribuzione di Windows Update for Business

Si applica a

  • Windows 10
  • Windows 11

Il servizio di distribuzione Windows Update for Business è un servizio cloud all'interno della famiglia di prodotti Windows Update for Business. Fornisce il controllo sull'approvazione, la pianificazione e la protezione degli aggiornamenti distribuiti da Windows Update. È progettato per funzionare in armonia con i criteri di Windows Update per le aziende esistenti.

Il servizio di distribuzione è progettato per i professionisti IT che cercano un controllo maggiore rispetto a quello fornito tramite criteri di rinvio e circuiti di distribuzione. Offre le funzionalità seguenti:

  • È possibile pianificare la distribuzione degli aggiornamenti per l'avvio in una data specifica, ad esempio la distribuzione 20H2 nei dispositivi specificati il 14 marzo 2021.
  • È possibile organizzare le distribuzioni in un periodo di giorni o settimane usando espressioni avanzate( ad esempio, distribuire da 20H2 a 500 dispositivi al giorno, a partire dal 14 marzo 2021).
  • È possibile ignorare i criteri di Windows Update per le aziende pre-configurati per distribuire immediatamente un aggiornamento della sicurezza nell'organizzazione quando si verificano emergenze.
  • È possibile trarre vantaggio dalle distribuzioni con piloting automatico su misura per il popolamento univoco dei dispositivi per garantire la copertura dell'hardware e del software nell'organizzazione.
  • È possibile usare misure di sicurezza contro i probabili problemi di aggiornamento identificati dagli algoritmi di Machine Learning Microsoft e mantenere automaticamente la distribuzione per tutti i dispositivi interessati.

Il servizio è incentrato sulla privacy e supportato da certificazioni di conformità leader del settore.

Come funziona

Il servizio di distribuzione integra le funzionalità di Windows Update per le aziende esistenti, inclusi i criteri dei dispositivi esistenti e i report Windows Update for Businesss.

Elementi nel testo seguente.

Windows Update for Business comprende tre elementi:

  • Criteri client per gestire le esperienze e i tempi degli aggiornamenti, disponibili tramite Criteri di gruppo e CSP
  • API del servizio di distribuzione per approvare e pianificare aggiornamenti specifici, disponibili tramite Microsoft Graph e gli SDK associati (incluso PowerShell)
  • Windows Update per le aziende per monitorare la distribuzione degli aggiornamenti

A differenza dei criteri client esistenti, il servizio di distribuzione non interagisce direttamente con i dispositivi. Il servizio è nativo del cloud e tutte le operazioni vengono eseguite tra vari servizi Microsoft. Crea un canale di comunicazione diretta tra uno strumento di gestione (inclusi strumenti di scripting come Windows PowerShell) e il servizio Windows Update in modo che l'approvazione e l'offerta di contenuto possano essere controllate direttamente da un professionista IT.

Processo descritto nel testo seguente.

L'uso del servizio di distribuzione segue in genere un modello comune:

  1. IT Pro usa uno strumento di gestione per selezionare i dispositivi e approvare il contenuto da distribuire. Questo strumento può essere PowerShell, un'app Microsoft Graph o una soluzione di gestione più completa, ad esempio Microsoft Intune.
  2. Lo strumento scelto trasmette le informazioni di approvazione, pianificazione e selezione del dispositivo al servizio di distribuzione.
  3. Il servizio di distribuzione elabora l'approvazione del contenuto e la confronta con il contenuto approvato in precedenza. L'applicabilità dell'aggiornamento finale viene determinata e trasmessa a Windows Update, che offre quindi contenuti approvati ai dispositivi al successivo controllo della disponibilità di aggiornamenti.

Il servizio di distribuzione espone queste funzionalità tramite le API REST di Microsoft Graph. È possibile chiamare direttamente le API tramite Graph SDK o integrarle con uno strumento di gestione come Microsoft Intune.

Prerequisiti

Per usare il servizio di distribuzione, i dispositivi devono soddisfare tutti questi requisiti:

  • Essere in esecuzione Windows 10 versione 1709 o successiva (o Windows 11)
  • Essere aggiunti ad Azure Active Directory (AD) o Ad ibrido
  • Installare una delle seguenti edizioni Windows 10 o Windows 11:
    • Pro
    • Funzionalità per le aziende
    • Education
    • Pro Education
    • Pro for Workstations

Inoltre, l'organizzazione deve avere una delle sottoscrizioni seguenti:

  • Windows 10/11 Enterprise E3 o E5 (incluso in Microsoft 365 F3, E3 o E5)
  • Windows 10/11 Education A3 o A5 (incluso in Microsoft 365 A3 o A5)
  • Accesso a Desktop virtuale Windows E3 o E5
  • Microsoft 365 Business Premium

Attività iniziali

Per usare il servizio di distribuzione, usare uno strumento di gestione basato sulla piattaforma, creare script di azioni comuni usando PowerShell o creare un'applicazione personalizzata.

Uso di Microsoft Intune

Intune si integra con il servizio di distribuzione per fornire funzionalità di gestione degli aggiornamenti client Windows. Per altre informazioni, vedere Aggiornamenti delle funzionalità per Windows 10 e criteri successivi in Intune.

Scripting di azioni comuni con PowerShell

Microsoft Graph SDK include un'estensione di PowerShell che è possibile usare per creare script e automatizzare le azioni di aggiornamento comuni. Per altre informazioni, vedere Introduzione a Microsoft Graph PowerShell SDK.

Creazione di un'applicazione personalizzata

Microsoft Graph rende disponibili le API del servizio di distribuzione tramite . Introduzione a questi percorsi di apprendimento:

Dopo aver acquisito familiarità con lo sviluppo di Microsoft Graph, vedi Panoramica dell'API aggiornamenti di Windows in Microsoft Graph per altre informazioni.

Protezioni per la distribuzione

Il servizio di distribuzione protegge le distribuzioni tramite una combinazione di controlli di implementazione e algoritmi di Machine Learning che monitorano le distribuzioni e reagiscono ai problemi durante l'implementazione.

Pianificare le implementazioni con il piloting automatico

Il servizio di distribuzione consente la distribuzione di qualsiasi aggiornamento in un periodo di giorni o settimane. Dopo aver pianificato un aggiornamento, il servizio di distribuzione ottimizza la distribuzione in base ai parametri di pianificazione e agli attributi univoci che si estendono sui dispositivi da aggiornare. Il servizio segue questa procedura:

  1. Determinare il numero di dispositivi da aggiornare in ogni ondata di distribuzione, in base ai parametri di pianificazione.
  2. Selezionare i dispositivi per ogni ondata di distribuzione in modo che le onde precedenti abbiano una varietà di hardware e software, per funzionare come popolazioni di dispositivi pilota.
  3. Avviare la distribuzione in onde precedenti per creare la copertura degli attributi del dispositivo presenti nella popolazione.
  4. Continuare la distribuzione a una velocità uniforme fino al completamento di tutte le onde e all'aggiornamento di tutti i dispositivi.

Questa funzionalità di pilotaggio integrata integra la struttura dell'anello esistente e fornisce un altro supporto per ridurre e gestire i rischi durante un aggiornamento. A differenza di strumenti come Desktop Analytics, questa funzionalità è progettata per funzionare all'interno di ogni anello. Il servizio di distribuzione non fornisce un flusso di lavoro per la creazione di circuiti.

È consigliabile continuare a usare gli anelli di distribuzione come parte della strategia di manutenzione per l'organizzazione, ma usare implementazioni graduali per aggiungere praticità di pianificazione e altre protezioni all'interno di ogni anello.

Proteggere i blocchi da problemi noti e probabili

Microsoft usa i blocchi di protezione per proteggere i dispositivi da problemi noti di qualità o compatibilità impedendo loro di installare l'aggiornamento o l'aggiornamento. Per le distribuzioni Windows 11, il servizio di distribuzione estende questi blocchi di protezione per proteggere anche i dispositivi che Microsoft identifica come ad un rischio maggiore di riscontrare problemi dopo un aggiornamento (ad esempio rollback del sistema operativo, arresti anomali delle app o problemi grafici). Il servizio mantiene temporaneamente la distribuzione per questi dispositivi mentre Microsoft esamina il problema probabile. I blocchi di protezione si applicano alle distribuzioni per impostazione predefinita, ma è possibile rifiutare esplicitamente.

Per verificare se un dispositivo è interessato da un blocco di protezione, vedere Sono interessati da un blocco di protezione?

Monitoraggio delle distribuzioni per rilevare i problemi di rollback

Durante le distribuzioni di aggiornamenti delle funzionalità di Windows 11 o Windows 10, le combinazioni di driver possono talvolta causare un errore di aggiornamento imprevisto che consente al dispositivo di ripristinare la versione del sistema operativo installata in precedenza. Il servizio di distribuzione può monitorare i dispositivi per individuare tali problemi e sospendere automaticamente le distribuzioni in questo caso, offrendo il tempo necessario per rilevare e attenuare i problemi.

Come abilitare le protezioni di distribuzione

I controlli di pianificazione della distribuzione sono sempre disponibili, ma per sfruttare le protezioni di distribuzione univoche personalizzate per la popolazione, i dispositivi devono condividere i dati di diagnostica con Microsoft.

Prerequisiti del dispositivo

  • I dati di diagnostica sono impostati su Obbligatorio o Facoltativo.
  • Il criterio AllowWUfBCloudProcessing è impostato su 8.

Impostare i criteri AllowWUfBCloudProcessing

Per registrare i dispositivi nell'elaborazione cloud Windows Update for Business, impostare i criteri AllowWUfBCloudProcessing usando i criteri di gestione dei dispositivi mobili (MDM) o Criteri di gruppo.

Criterio Imposta la chiave del Registro di sistema in HKLM\Software
Oggetto Criteri di gruppo per Windows 10, versione 1809 o versioni successive: Configurazione > computer Modelli > amministrativi Componenti > di Windows Raccolta dati e Versioni di > anteprima Consenti elaborazione cloud WUfB \Policies\Microsoft\Windows\DataCollection\AllowWUfBCloudProcessing
MDM per Windows 10, versione 1809 o versioni successive: .. /Vendor/MSFT/ Policy/Config/System/AllowWUfBCloudProcessing \Microsoft\PolicyManager\current\device\System\AllowWUfBCloudProcessing

Di seguito è riportato un esempio di impostazione dei criteri tramite Intune:

  1. Accedere all'interfaccia di amministrazione di Endpoint Manager.

  2. Selezionare Profilidi configurazione dispositivi>>Crea profilo.

  3. Selezionare Windows 10 e successivamente in Piattaforma, selezionare Modelli nel tipo di profilo, selezionare Personalizzato in Nome modello e quindi selezionare Crea.

  4. In Nozioni di base immettere un nome significativo e una descrizione per i criteri e quindi selezionare Avanti.

  5. In Impostazioni di configurazione selezionare Aggiungi, immettere le impostazioni seguenti, selezionare Salva e quindi selezionare Avanti.

    • Nome: AllowWUfBCloudProcessing
    • Descrizione: immettere una descrizione.
    • URI OMA: ./Vendor/MSFT/Policy/Config/System/AllowWUfBCloudProcessing
    • Tipo di dati: Integer
    • Valore: 8
  6. In Assegnazioni selezionare i gruppi che riceveranno il profilo e quindi selezionare Avanti.

  7. In Rivedi e crea esaminare le impostazioni e quindi selezionare Crea.

  8. (Facoltativo) Per verificare che i criteri abbiano raggiunto il client, controllare il valore della voce del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\System\AllowWUfBCloudProcessing

Procedure consigliate

Seguire questi suggerimenti per ottenere i risultati migliori con il servizio.

Onboarding dei dispositivi

  • Attendere fino a quando i dispositivi non completano il provisioning prima di gestire con il servizio. Se un dispositivo viene sottoposto a provisioning da Autopilot, può essere gestito dal servizio di distribuzione solo al termine del provisioning (in genere un giorno).

  • Usare il servizio di distribuzione per la gestione degli aggiornamenti delle funzionalità senza criteri di differimento degli aggiornamenti delle funzionalità. Se si vuole usare il servizio di distribuzione per gestire gli aggiornamenti delle funzionalità in un dispositivo che in precedenza usava un criterio di differimento degli aggiornamenti delle funzionalità, è consigliabile impostare i criteri di differimento degli aggiornamenti delle funzionalità su 0 giorni per evitare di avere più condizioni che regolano gli aggiornamenti delle funzionalità. È consigliabile modificare il valore dei criteri di differimento dell'aggiornamento della funzionalità solo a 0 giorni dopo aver confermato che il dispositivo è stato registrato nel servizio senza errori.

Generale

Evitare di usare canali diversi per gestire le stesse risorse. Se si usa Microsoft Intune insieme alle API di Microsoft Graph o a PowerShell, gli aspetti delle risorse (ad esempio dispositivi, distribuzioni, gruppi di asset aggiornabili) potrebbero essere sovrascritti se si usano entrambi i canali per gestire le stesse risorse. Gestire invece solo ogni risorsa tramite il canale che l'ha creata.

Passaggi successivi

Per altre informazioni sul servizio di distribuzione, provare quanto segue: