Criteri per la conformità, l'attività e l'esperienza utente degli aggiornamenti

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Mantenere aggiornati i dispositivi è il modo migliore per mantenerli funzionanti senza problemi e in modo sicuro.

Scadenze per la conformità degli aggiornamenti

È possibile controllare il modo in cui i dispositivi devono rispettare in modo affidabile la pianificazione degli aggiornamenti desiderata usando i criteri di scadenza degli aggiornamenti. I componenti di Windows si adattano in base a queste scadenze. Inoltre, possono fare compromessi tra l'esperienza utente e la velocità per rispettare le scadenze di aggiornamento desiderate. Ad esempio, possono assegnare priorità all'esperienza utente ben prima dell'avvicinarsi della scadenza e quindi assegnare priorità alla velocità man mano che la scadenza si avvicina, offrendo comunque all'utente un certo controllo.

Scadenze

A partire da Windows 10, versione 1903 e con l'aggiornamento della sicurezza di agosto 2019 per Windows 10, versione 1709 e successive (incluso Windows 11), è stato introdotto un nuovo criterio per sostituire i criteri di scadenza precedenti: specificare le scadenze per gli aggiornamenti automatici e i riavvii.

I criteri meno recenti hanno iniziato ad applicare le scadenze dopo che il dispositivo ha raggiunto uno restart pending stato per un aggiornamento. Il nuovo criterio avvia il conto alla rovescia per la scadenza dell'installazione dell'aggiornamento da quando viene pubblicato l'aggiornamento più eventuali rinvii. Inoltre, questo criterio include un periodo di tolleranza configurabile e l'opzione per rifiutare esplicitamente i riavvii automatici fino al raggiungimento della scadenza (anche se è consigliabile consentire sempre i riavvii automatici per la massima velocità di aggiornamento).

È consigliabile impostare le scadenze come indicato di seguito:

• Scadenza aggiornamento qualità, in giorni: 2
• Scadenza dell'aggiornamento delle funzionalità, in giorni: 2

Le notifiche vengono presentate automaticamente all'utente in orari appropriati e gli utenti possono scegliere di ricordarsi in un secondo momento, di riprogrammare o di riavviare immediatamente, a seconda della scadenza. È consigliabile non impostare criteri di notifica, perché vengono configurati automaticamente con le impostazioni predefinite appropriate. Un'eccezione è se si dispone di chioschi multimediali o di digital signage.

Anche se è consigliabile usare tre giorni per gli aggiornamenti qualitativi e sette giorni per gli aggiornamenti delle funzionalità, è possibile decidere di volerlo più o meno, a seconda dell'organizzazione e dei relativi requisiti, e questo criterio è configurabile fino a un minimo di due giorni.

Importante

Se il dispositivo non riesce a raggiungere Internet, non può determinare quando Microsoft ha pubblicato l'aggiornamento, quindi non sarà in grado di applicare la scadenza. Altre informazioni sui dispositivi a bassa attività.

Periodi di tolleranza

È possibile impostare un periodo di giorni per Windows per trovare un tempo di riavvio automatico con interruzioni minime prima dell'applicazione del riavvio. Ciò è particolarmente utile nei casi in cui un utente è stato assente per molti giorni (ad esempio, in vacanza) in modo che il dispositivo non venga forzato ad aggiornarsi immediatamente al ritorno dell'utente.

È consigliabile impostare quanto segue:

• Periodo di tolleranza, in giorni: 5

Dopo aver superato la scadenza e il periodo di tolleranza, gli aggiornamenti vengono applicati automaticamente e viene eseguito un riavvio indipendentemente dalle ore di attività.

Consenti a Windows di scegliere quando riavviare

Windows può usare le interazioni utente per identificare in modo dinamico il tempo meno dannoso per un riavvio automatico. Per sfruttare questa funzionalità, assicurarsi che ConfigureDeadlineNoAutoReboot sia impostato su Disabilitato.

Criteri attività del dispositivo

Windows richiede in genere che un dispositivo sia attivo e connesso a Internet per almeno sei ore, con almeno due attività continue, per completare correttamente un aggiornamento del sistema. Il dispositivo potrebbe avere altre circostanze fisiche che impediscono l'installazione corretta di un aggiornamento, ad esempio se un portatile è a basso consumo a batteria o l'utente ha spento il dispositivo prima della fine dell'orario di attività e il dispositivo non può rispettare la scadenza.

È possibile usare le impostazioni in questa sezione per assicurarsi che i dispositivi siano disponibili per installare gli aggiornamenti durante il periodo di conformità degli aggiornamenti.

Orario di attività

Le "ore attive" identificano il periodo di tempo in cui si prevede che un dispositivo sia in uso. In genere, i riavvii si verificano al di fuori di queste ore. Windows 10 versione 1903 ha introdotto le "ore attive intelligenti", che consentono al sistema di apprendere gli orari di attività in base alle attività di un utente, anziché l'utente come amministratore che deve prendere decisioni per l'organizzazione o consentire all'utente di scegliere orari di attività che riducono al minimo il periodo in cui il sistema può installare un aggiornamento.

Importante

Se è stata usata l'impostazione Configura orario di attività nelle versioni precedenti di Windows 10, queste opzioni devono essere disabilitate per sfruttare le ore di attività intelligenti.

Se si impostano le ore di attività, è consigliabile impostare i criteri seguenti su Disabilitato per aumentare la velocità di aggiornamento:

• Ritardare il riavvio automatico. Anche se è possibile impostare il sistema per ritardare i riavvii per gli utenti che hanno effettuato l'accesso, questa impostazione potrebbe ritardare un aggiornamento a tempo indeterminato se un utente è sempre connesso o arrestato. È invece consigliabile impostare i criteri seguenti su Disabilitato:

  • Disattivare il riavvio automatico durante gli orari di attività

  • Nessun riavvio automatico con gli utenti connessi per gli aggiornamenti automatici pianificati

  • Limitare i ritardi di riavvio. Utilizzando le scadenze di conformità, gli utenti ricevono notifiche che gli aggiornamenti verranno eseguiti, quindi è consigliabile impostare questo criterio su Disabilitato, per consentire le scadenze di conformità per eliminare la possibilità dell'utente di ritardare un riavvio al di fuori delle impostazioni di scadenza di conformità.

• Non consentire agli utenti di approvare aggiornamenti e riavvii. Consentire agli utenti di approvare o interagire con il processo di aggiornamento al di fuori dei criteri di scadenza riduce la velocità di aggiornamento e aumenta il rischio. Questi criteri devono essere impostati su Disabilitato:

  • Update/RequireUpdateApproval
  • Update/EngagedRestartDeadline
  • Update/EngagedRestartDeadlineForFeatureUpdates
  • Update/EngagedRestartSnoozeSchedule
  • Update/EngagedRestartSnoozeScheduleForFeatureUpdates
  • Update/EngagedRestartTransitionSchedule

• Configurare l'aggiornamento automatico. Impostando correttamente i criteri per configurare gli aggiornamenti automatici, è possibile aumentare la velocità di aggiornamento facendo in modo che i client contattino un server Windows Server Update Services (WSUS) in modo che possa gestirli. È consigliabile impostare questo criterio su Disabilitato. Tuttavia, se è necessario specificare i valori, assicurarsi di impostare i download per l'installazione automatica impostando il Criteri di gruppo su 4. Se si usa Microsoft Intune, impostare il valore su Reimposta su Predefinito.

• Consentire il download delle Windows Update automatiche su reti a consumo. Poiché più dispositivi usano principalmente dati della rete cellulare e non hanno accesso wi-fi, è consigliabile consentire agli utenti di scaricare automaticamente gli aggiornamenti da una rete a consumo. Anche se l'impostazione predefinita non consente il download su una rete a consumo, l'impostazione di questo valore su 1 può aumentare la velocità consentendo agli utenti di ottenere gli aggiornamenti indipendentemente dal fatto che siano connessi a Internet o meno, a condizione che dispongano di un servizio cellulare.

Importante

Le versioni precedenti di Windows non supportano gli orari di attività intelligenti. Se il dispositivo esegue una versione di Windows precedente a Windows 10 versione 1903, è consigliabile impostare i criteri seguenti:

• Configurare gli orari di attività. A partire da Windows 10 versione 1703, è possibile specificare un intervallo massimo di ore attive che viene conteggiato dall'ora di inizio degli orari di attività. È consigliabile impostare questo valore su 10.
• Pianificare l'installazione degli aggiornamenti. Nelle impostazioni Configura Aggiornamenti automatico esistono due modi per controllare un riavvio forzato dopo un tempo di installazione specificato. Se si usa l'installazione di pianificazione degli aggiornamenti, non abilitare entrambe le impostazioni perché molto probabilmente saranno in conflitto.
  • Specificare il tempo di manutenzione automatica. Questa impostazione consente di impostare finestre di manutenzione più ampie per gli aggiornamenti e garantisce che questa pianificazione non sia in conflitto con gli orari di attività. È consigliabile impostare questo valore su 3 (corrispondente alle 3 del mattino). Se le 3:00 sono al centro del turno di lavoro, selezionare un'altra ora che è di almeno un paio d'ore prima dell'inizio dell'orario di lavoro pianificato.
  • Pianificare l'ora di installazione. Questa impostazione consente di pianificare un'ora di installazione per un riavvio. Non è consigliabile impostare questa opzione su Disabilitato perché potrebbe essere in conflitto con le ore di attività.

Criteri di alimentazione

I dispositivi devono essere effettivamente disponibili durante le ore non attive per un aggiornamento. Non possono farlo se i criteri di alimentazione impediscono loro di svegliarsi. Nell'organizzazione ci impegniamo a stabilire un equilibrio tra la sicurezza e le configurazioni ecocompatibili. Per ottenere i compromessi appropriati, è consigliabile usare le impostazioni seguenti:

Per un utente, un dispositivo è attivato o disattivato, ma per Windows sono presenti stati che consentono l'esecuzione di un aggiornamento (attivo) e stati che non lo fanno (inattivo). Alcuni stati sono considerati attivi (sospensione), ma l'utente potrebbe pensare che il dispositivo sia spento. Inoltre, ci sono stati di alimentazione (alimentazione elettrica/batteria) che Windows controlla prima di avviare un aggiornamento.

È possibile ignorare le impostazioni predefinite e impedire agli utenti di modificarle per assicurarsi che i dispositivi siano disponibili per gli aggiornamenti durante le ore non attive.

Nota

Un modo per garantire che i dispositivi possano installare gli aggiornamenti quando necessario è quello di educare gli utenti a mantenere i dispositivi collegati durante le ore non attive. Anche con i criteri migliori, un dispositivo che non è collegato non verrà aggiornato, nemmeno in modalità sospensione.

È consigliabile usare queste impostazioni di risparmio energia:

• Modalità sospensione (S1 o S0 inattivo a basso consumo o standby moderno). Quando un dispositivo è in modalità sospensione, il sistema sembra disattivato, ma se è disponibile un aggiornamento, può riattivare il dispositivo per eseguire un aggiornamento. Il consumo di energia in modalità sospensione è compreso tra il funzionamento (completamente utilizzabile dal sistema) e l'ibernazione (S4 - livello di alimentazione più basso prima dell'arresto). Quando un dispositivo non viene usato, il sistema passa in genere alla modalità sospensione prima di passare all'ibernazione. I problemi di velocità si verificano quando il tempo tra sospensione e ibernazione è troppo breve e Windows non ha tempo per completare un aggiornamento. La modalità sospensione è un'impostazione importante perché il sistema può riattivare il sistema dalla sospensione per avviare il processo di aggiornamento, purché sia disponibile una potenza sufficiente.

Impostare i criteri seguenti su Abilita o Non configurare per consentire al dispositivo di usare la modalità sospensione:

• Power/AllowStandbyStatesWhenSleepingOnBattery
• Power/AllowStandbyWhenSleepingPluggedIn

Impostare i criteri seguenti su 1 (Sospensione) in modo che quando un utente chiude il coperchio di un dispositivo, il sistema passi alla modalità sospensione e il dispositivo abbia l'opportunità di eseguire un aggiornamento:

• Power/SelectLidCloseActionOnBattery

• Power/SelectLidCloseActionPluggedIn

• Ibernazione. Quando un dispositivo è in ibernazione, il consumo di energia è basso e il sistema non può riattivarsi senza l'intervento dell'utente, ad esempio premendo il pulsante di accensione. Se un dispositivo è in questo stato, non può essere aggiornato a meno che non supporti un dispositivo ACPI Time and Alarm Device (TAD). Detto questo, se un dispositivo che supporta la sospensione tradizionale (S3) è collegato e è disponibile un aggiornamento di Windows, lo stato di ibernazione viene ritardato fino al completamento dell'aggiornamento.

Nota

Questo non si applica ai dispositivi che supportano lo standby moderno (S0 inattivo a basso consumo). È possibile controllare lo stato di sospensione del sistema (S3 o S0 inattivo a basso consumo) supportato da un dispositivo eseguendo powercfg /a al prompt dei comandi. Per altre informazioni, vedere Opzioni di Powercfg.

Il timeout predefinito nei dispositivi che supportano la sospensione tradizionale è impostato su tre ore. È consigliabile non ridurre questi criteri per consentire a Windows Update l'opportunità di riavviare il dispositivo prima di inviarlo in ibernazione:

• Power/HibernateTimeoutOnBattery
• Power/HibernateTimeoutPluggedIn

Criteri obsoleti o in conflitto

Ogni versione del client Windows può introdurre nuovi criteri per migliorare l'esperienza sia per gli amministratori che per le organizzazioni. Quando si rilascia un nuovo criterio client, viene rilasciato esclusivamente per tale versione e versioni successive oppure viene eseguito il backup dei criteri per renderlo disponibile nelle versioni precedenti.

Importante

Se si usa Criteri di gruppo, si noti che non vengono aggiornati i modelli ADMX precedenti ed è necessario usare il modello ADMX più recente (1903) per usare i criteri più recenti. Inoltre, se si usa uno strumento MDM (Microsoft o non Microsoft), non è possibile usare il nuovo criterio finché non è disponibile nell'interfaccia degli strumenti.

Gli amministratori hanno configurato e si aspettano determinati comportamenti, pertanto non rimuoviamo esplicitamente i criteri meno recenti poiché sono stati configurati per i casi d'uso specifici. Tuttavia, se si imposta un nuovo criterio senza disabilitare un criterio precedente simile, potrebbe verificarsi un comportamento in conflitto e gli aggiornamenti potrebbero non funzionare come previsto.

Importante

A volte gli amministratori impostano i dispositivi per ottenere sia le impostazioni di Criteri di gruppo che le impostazioni MDM da un server MDM, ad esempio Microsoft Intune. I conflitti di criteri vengono gestiti in modo diverso, a seconda di come vengono configurati:

• Aggiornamenti di Windows: le impostazioni Criteri di gruppo hanno la precedenza su MDM.
• Microsoft Intune: se si impostano valori diversi per lo stesso criterio in due gruppi diversi, si riceverà un avviso e nessuno dei due criteri verrà impostato fino alla risoluzione del conflitto. È fondamentale disabilitare i criteri in conflitto per consentire ai dispositivi dell'organizzazione di eseguire gli aggiornamenti come previsto. Ad esempio, se un dispositivo non reagisce alle modifiche ai criteri MDM, verificare se un criterio simile è impostato in Criteri di gruppo con un valore diverso. Se si rileva che la velocità di aggiornamento non è così elevata come previsto o se alcuni dispositivi sono più lenti di altri, potrebbe essere il momento di cancellare tutti i criteri e le impostazioni e specificare solo i criteri di aggiornamento consigliati. Per un elenco consolidato dei criteri consigliati, vedere le informazioni di riferimento su criteri e impostazioni.

Di seguito sono riportati i criteri che è possibile disabilitare perché potrebbero ridurre la velocità di aggiornamento o esistono criteri migliori da usare che potrebbero essere in conflitto:

• Posticipare la funzionalità Aggiornamenti periodo in giorni. Per la velocità massima di aggiornamento, è consigliabile impostare questo valore su 0 (nessun rinvio) in modo che l'aggiornamento delle funzionalità possa essere completato e vengano offerti di nuovo gli aggiornamenti della sicurezza mensili. Anche se è presente un aggiornamento della qualità urgente che deve essere distribuito rapidamente, è consigliabile usare Sospendi funzionalità Aggiornamenti anziché impostare un criterio di rinvio. È possibile scegliere un periodo più lungo se non si vuole rimanere aggiornati con l'aggiornamento delle funzionalità più recente.
• Posticipare il periodo di Aggiornamenti qualità in giorni. Per ridurre al minimo il rischio e ottimizzare la velocità di aggiornamento, il tempo massimo da prendere in considerazione durante la valutazione dell'aggiornamento con un anello diverso di dispositivi è da due a tre giorni.
• Sospendi funzionalità Aggiornamenti ora di inizio. Impostare su Disabilitato a meno che non si sia verificato un problema noto che richiede tempo per la risoluzione.
• Sospendi qualità Aggiornamenti ora di inizio. Impostare su Disabilitato a meno che non si sia verificato un problema noto che richiede tempo per la risoluzione.
• Scadenza Nessun riavvio automatico. Il valore predefinito è Disabilitato: impostato su 0 . È consigliabile che i dispositivi provino automaticamente a riavviare quando viene ricevuto un aggiornamento. Windows usa le interazioni utente per identificare dinamicamente il tempo meno dannoso per il riavvio.

Esistono anche criteri aggiuntivi che non sono più supportati o sono stati superati.