Procedura dettagliata: Usare Criteri di gruppo per configurare Windows Update per le aziende

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Stai cercando informazioni per utenti privati? Vedi Windows Update: domande frequenti

Panoramica

È possibile usare Criteri di gruppo tramite Criteri di gruppo Management Console (GPMC) per controllare il funzionamento di Windows Update for Business. È consigliabile prendere in considerazione e definire una strategia di distribuzione per gli aggiornamenti prima di apportare modifiche alle impostazioni di Windows Update for Business. Per altre informazioni, vedere Preparare la strategia di manutenzione per gli aggiornamenti client Windows per altre informazioni.

Un amministratore IT può impostare criteri per Windows Update per le aziende usando Criteri di gruppo oppure possono essere impostati in locale (per dispositivo). Tutti i criteri pertinenti si trovano nel percorso Configurazione > computer Modelli > amministrativi Componenti > di Windows Windows Update.

Per gestire gli aggiornamenti con Windows Update for Business come descritto in questo articolo, è necessario prepararsi con questi passaggi, se non è già stato fatto:

• Creare gruppi di sicurezza di Active Directory allineati agli anelli di distribuzione usati per la distribuzione graduale degli aggiornamenti.
• Consentire l'accesso al servizio Windows Update.
• Scaricare e installare modelli ADMX appropriati per la versione Windows 10. Per altre informazioni, vedere How to create and manage the Central Store for Criteri di gruppo Administrative Templates in Windows and Step-By-Step: Managing Windows 10 with Administrative templates (Come creare e gestire l'archivio centrale per i modelli amministrativi Criteri di gruppo in Windows) e Step-By-Step: Managing Windows 10 with Administrative templates (Come creare e gestire l'archivio centrale per i modelli amministrativi in Windows) e Step-By-Step: Managing Windows 10 with Administrative templates (Come creare e gestire l'archivio centrale per i modelli amministrativi

Configurare Windows Update per le aziende

In questo esempio viene usato un gruppo di sicurezza per gestire gli aggiornamenti. In genere è consigliabile avere almeno tre anelli (tester iniziali per le build non definitive, distribuzione ampia per le versioni, dispositivi critici per le versioni mature) da distribuire.

Seguire questa procedura in un dispositivo che esegue gli strumenti di amministrazione remota del server o in un controller di dominio:

Configurare un anello

1. Avviare Criteri di gruppo Management Console (gpmc.msc).

2. Espandere **Forest Domains your domain (Domini ><foresta) nel dominio>>.

3. Fare clic con il pulsante destro del mouse sul <dominio> e scegliere Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui.

4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo immettere Windows Update for Business - Group 1 come nome del nuovo oggetto Criteri di gruppo.

5. Fare clic con il pulsante destro del mouse sull'oggetto "Windows Update for Business - Group 1" e quindi scegliere Modifica.

6. Nella Editor gestione Criteri di gruppo passare a Criteri > di configurazione > computer Modelli amministrativi Componenti >> di Windows Windows Update. A questo punto si è pronti per iniziare ad assegnare i criteri a questo anello (gruppo) di dispositivi.

Gestire le offerte Windows Update

È possibile controllare quando vengono applicati gli aggiornamenti, ad esempio posticipando l'installazione di un aggiornamento in un dispositivo o sospendendo gli aggiornamenti per un determinato periodo di tempo.

Determinare gli aggiornamenti che si desidera offrire ai dispositivi

Gli aggiornamenti delle funzionalità e della qualità vengono offerti automaticamente ai dispositivi connessi a Windows Update usando i criteri di Windows Update for Business. Tuttavia, è possibile scegliere se si desidera che i dispositivi ricevano anche altri Aggiornamenti Microsoft o driver applicabili a tale dispositivo.

Per abilitare Microsoft Aggiornamenti, usare Criteri di gruppo Management Console passare a Configurazione > computer Modelli > amministrativi Componenti > di Windows Windows Update > Configura Aggiornamenti automatica e selezionare Installa aggiornamenti per altri prodotti Microsoft. Per un elenco di altri prodotti Microsoft che potrebbero essere aggiornati, vedere Aggiornare altri prodotti Microsoft.

I driver vengono abilitati automaticamente perché sono vantaggiosi per i sistemi di dispositivi. È consigliabile consentire ai criteri driver di consentire l'aggiornamento dei driver nei dispositivi (impostazione predefinita), ma è possibile disattivare questa impostazione se si preferisce gestire manualmente i driver. Per disabilitare gli aggiornamenti dei driver per qualche motivo, usare Criteri di gruppo Management Console per passare a Configurazione > computer Modelli > amministrativi Componenti > di Windows Windows Update > Non includere driver con Windows Aggiornamenti e abilitare i criteri.

È anche consigliabile consentire gli aggiornamenti dei prodotti Microsoft, come illustrato in precedenza.

Impostare quando i dispositivi ricevono gli aggiornamenti di funzionalità e qualità

Si vogliono ricevere versioni non definitive dell'aggiornamento delle funzionalità successivo

1. Assicurarsi di essere registrati nel programma Windows Insider per le aziende. Questo è un programma gratuito disponibile per i clienti commerciali per aiutarli nella convalida degli aggiornamenti delle funzionalità prima che vengano rilasciati. L'aggiunta al programma consente di ricevere gli aggiornamenti prima del rilascio e di ricevere messaggi di posta elettronica e contenuti correlati a ciò che verrà visualizzato negli aggiornamenti successivi.

2. Usare Criteri di gruppo Console di gestione per passare a: Configurazione > computer Modelli > amministrativi Componenti > di Windows Windows Update > Windows Update per le aziende > Gestire le compilazioni di anteprima e impostare il criterio su Abilita compilazioni di anteprima per uno qualsiasi dei dispositivi di test che si desidera installare le build non definitive.

3. Usare Criteri di gruppo Management Console per passare a Configurazione > computer Modelli > amministrativi Componenti > di Windows Windows Update > Windows Update per le aziende > Selezionare quando vengono ricevute le compilazioni di anteprima e gli aggiornamenti delle funzionalità. Nel riquadro Opzioni usare il menu a discesa per selezionare una delle build di anteprima. Il programma Windows Insider viene consigliato lentamente per i clienti commerciali usando build non definitive per la convalida.

4. Selezionare OK.

Si vuole gestire l'aggiornamento della funzionalità rilasciata che i dispositivi ricevono

Un amministratore di Windows Update for Business può rinviare o sospendere gli aggiornamenti. È possibile posticipare gli aggiornamenti delle funzionalità per un massimo di 365 giorni e rinviare gli aggiornamenti qualitativi per un massimo di 30 giorni. Posticipare significa semplicemente che l'aggiornamento non verrà ricevuto fino a quando non è stato rilasciato almeno per il numero di giorni di differimento specificati (data dell'offerta = data di rilascio + data di differimento). È possibile sospendere gli aggiornamenti delle funzionalità o della qualità per un massimo di 35 giorni a partire da una data di inizio specificata.

• Per rinviare o sospendere un aggiornamento delle funzionalità: Configurazione > computer Modelli > amministrativi Componenti > di Windows Windows Update > Windows Update per le aziende > Selezionare quando vengono ricevute le compilazioni e gli aggiornamenti delle funzionalità in anteprima
• Posticipare o sospendere un aggiornamento qualitativo: configurazione > computer Modelli > amministrativi Componenti > di > Windows Windows Update Windows Update per le aziende > Selezionare quando vengono ricevuti i Aggiornamenti qualità

Esempio

In questo esempio sono disponibili tre anelli per gli aggiornamenti qualitativi. Il primo anello ("pilota") ha un periodo di differimento di 0 giorni. Il secondo anello ("veloce") ha un rinvio di cinque giorni. Il terzo anello ("lento") ha un rinvio di 10 giorni.

Quando viene rilasciato, l'aggiornamento della qualità viene offerto ai dispositivi nell'anello pilota la volta successiva in cui analizzano gli aggiornamenti.

Cinque giorni dopo

Ai dispositivi nell'anello veloce viene offerto l'aggiornamento della qualità la volta successiva in cui analizzano gli aggiornamenti.

Dieci giorni dopo

Dieci giorni dopo il rilascio dell'aggiornamento della qualità, viene offerto ai dispositivi nell'anello lento la volta successiva che analizzano gli aggiornamenti.

Se non si verificano problemi, a tutti i dispositivi che eseguono l'analisi degli aggiornamenti verrà offerto l'aggiornamento qualitativo entro 10 giorni dal rilascio, in tre ondate.

Cosa accade se si verifica un problema con l'aggiornamento?

In questo esempio viene rilevato un problema durante la distribuzione dell'aggiornamento all'anello "pilota".

A questo punto, l'amministratore IT può impostare un criterio per sospendere l'aggiornamento. In questo esempio l'amministratore seleziona la casella di controllo Sospendi aggiornamenti qualitativi .

Ora tutti i dispositivi sono sospesi dall'aggiornamento per 35 giorni. Quando la pausa viene rimossa, verrà offerto loro il successivo aggiornamento qualitativo, che idealmente non avrà lo stesso problema. Se si verifica ancora un problema, l'amministratore IT può sospendere nuovamente gli aggiornamenti.

Voglio rimanere su una versione specifica

Se è necessario che un dispositivo rimanga su una versione oltre il punto in cui scadono i rinvii nella versione successiva o se è necessario ignorare una versione, usare l'impostazione Selezionare la versione di aggiornamento della funzionalità di destinazione anziché usare l'impostazione Specifica quando vengono ricevuti gli aggiornamenti delle versioni di anteprima e delle funzionalità per i rinvii degli aggiornamenti delle funzionalità. Quando si usa questo criterio, specificare la versione da usare per i dispositivi. Se non lo si aggiorna prima che il dispositivo raggiunga la fine del servizio, il dispositivo verrà aggiornato automaticamente dopo 60 giorni dalla fine del servizio per la sua edizione.

Quando si impostano i criteri di versione di destinazione, se si specifica una versione di aggiornamento delle funzionalità precedente alla versione corrente o si imposta un valore non valido, il dispositivo non riceverà alcun aggiornamento delle funzionalità fino a quando il criterio non viene aggiornato. Quando si specificano i criteri di versione di destinazione, i rinvii degli aggiornamenti delle funzionalità non saranno effettivi.

Gestire il modo in cui gli utenti sperimentano gli aggiornamenti

Si vuole gestire quando i dispositivi scaricano, installano e riavviano dopo gli aggiornamenti

È consigliabile consentire l'aggiornamento automatico. Si tratta del comportamento predefinito. Se non si imposta un criterio di aggiornamento automatico, il dispositivo tenterà di scaricare, installare e riavviare nei momenti migliori per l'utente usando l'intelligence predefinita, ad esempio orari di attività intelligenti e controllo intelligente della disponibilità.

Per un controllo più granulare, è possibile impostare il periodo massimo di ore di attività che l'utente può impostare con Configurazione > computer Modelli > amministrativi Componenti > di Windows Windows Update > Specificare l'intervallo di ore di attività per il riavvio automatico.

È consigliabile evitare di impostare i criteri di orario di attività perché è abilitato per impostazione predefinita quando gli aggiornamenti automatici non sono disabilitati e offre un'esperienza migliore quando gli utenti possono impostare le proprie ore di attività. Se si vuole impostare l'orario di attività, usare Configurazione > computer Modelli > amministrativi Componenti > di Windows Windows Update > Disattiva riavvio automatico per gli aggiornamenti durante gli orari di attività.

Per eseguire l'aggiornamento al di fuori degli orari di attività, non è necessario impostare impostazioni aggiuntive: è sufficiente non disabilitare i riavvii automatici. Per un controllo ancora più granulare, è consigliabile usare gli aggiornamenti automatici per pianificare l'ora di installazione, il giorno o la settimana. A tale scopo, usare Configurazione > computer Modelli > amministrativi Componenti > di Windows Windows Update > Configura Aggiornamenti automatica e selezionare Download automatico e pianificare l'installazione. È possibile personalizzare questa impostazione in base all'ora in cui si vuole installare l'aggiornamento per i dispositivi.

Quando si impostano questi criteri, l'installazione viene eseguita automaticamente all'ora specificata e il dispositivo verrà riavviato 15 minuti dopo il completamento dell'installazione(a meno che non venga interrotto dall'utente).

Voglio mantenere i dispositivi sicuri e conformi alle scadenze di aggiornamento

È consigliabile usare i modelli > amministrativi di Configurazione > computer Componenti > di Windows Windows Update > Specificare la scadenza per gli aggiornamenti automatici e i riavvii per gli aggiornamenti delle funzionalità e della qualità per garantire che i dispositivi rimangano sicuri in Windows 10 versione 1709 e successive. Ciò funziona consentendo di specificare il numero di giorni che possono trascorrere dopo l'offerta di un aggiornamento a un dispositivo prima che sia necessario installarlo. È anche possibile impostare il numero di giorni che possono trascorrere dopo un riavvio in sospeso prima che l'utente venga forzato a riavviarlo.

Questo criterio offre anche la possibilità di rifiutare esplicitamente i riavvii automatici fino a quando non viene raggiunta una scadenza presentando un'"esperienza di riavvio impegnata" fino a quando la scadenza non è effettivamente scaduta. A quel punto il dispositivo pianificherà automaticamente un riavvio indipendentemente dalle ore di attività.

Queste notifiche sono quelle visualizzate dall'utente a seconda delle impostazioni scelte:

Quando è impostato Specificare le scadenze per gli aggiornamenti automatici e i riavvii (per Windows 10, versione 1709 e successive):

• Mentre il riavvio è in sospeso, prima che si verifichi la scadenza:

  • Per i primi giorni, l'utente riceve una notifica di tipo avviso popup

  • Dopo questo periodo, l'utente riceve questa finestra di dialogo:

    

  • Se l'utente ha pianificato un riavvio o se è pianificato un riavvio automatico, 15 minuti prima dell'ora pianificata in cui l'utente riceve la notifica che il riavvio sta per verificarsi:

    

• Se il riavvio è ancora in sospeso dopo il termine della scadenza:

  • Entro 12 ore dal termine della scadenza, l'utente riceve questa notifica che indica che la scadenza si sta avvicinando:

    

  • Una volta superata la scadenza, l'utente viene costretto a riavviare per mantenere i dispositivi in conformità e riceve questa notifica:

    

Si vogliono gestire le notifiche visualizzate da un utente

Sono disponibili impostazioni aggiuntive che influiscono sulle notifiche.

È consigliabile usare le notifiche predefinite perché hanno lo scopo di offrire la migliore esperienza utente durante la regolazione dei criteri di conformità impostati. Se sono presenti altre esigenze che non sono soddisfatte dalle impostazioni di notifica predefinite, è possibile usare Configurazione computer > Modelli > amministrativi Componenti > di Windows Windows Update > Opzioni di visualizzazione per le notifiche di aggiornamento con questi valori:

0 (impostazione predefinita) - Usare il Windows Update notifiche
predefinito 1 - Disattiva tutte le notifiche, esclusi gli avvisi
di riavvio 2 - Disattiva tutte le notifiche, inclusi gli avvisi di riavvio

L'opzione 2 crea un'esperienza scadente per i dispositivi personali; è consigliabile solo per i dispositivi in modalità tutto schermo in cui i riavvii automatici sono stati disabilitati.

Nota

A partire da Windows 11 versione 22H2, l'opzione Applica solo durante gli orari di attività è stata aggiunta come opzione aggiuntiva per Opzioni di visualizzazione per le notifiche di aggiornamento. Quando si seleziona Applica solo durante gli orari di attività , le notifiche verranno disabilitate solo durante gli orari di attività quando vengono usate le opzioni 1 o 2 . Per garantire che il dispositivo rimanga aggiornato, verrà comunque visualizzata una notifica durante gli orari di attività se è selezionata l'opzione Applica solo durante gli orari di attività e una volta raggiunta una scadenza quando viene configurata la scadenza per gli aggiornamenti automatici e i riavvii .

Sono ancora disponibili altre opzioni in Configurazione > computer Modelli > amministrativi Componenti > di Windows Windows Update > Configurare la pianificazione delle notifiche di avviso per il riavvio automatico per gli aggiornamenti. Questa impostazione consente di specificare il periodo per il riavvio automatico delle notifiche di promemoria di avviso (da 2 a 24 ore; 4 ore è l'impostazione predefinita) prima dell'aggiornamento e di specificare il periodo per il riavvio automatico delle notifiche di avviso imminenti (15-60 minuti è l'impostazione predefinita). È consigliabile usare le notifiche predefinite.

Si vuole gestire le impostazioni di aggiornamento a cui un utente può accedere

Ogni dispositivo Windows offre agli utenti vari controlli che possono usare per gestire Windows Aggiornamenti. Possono accedere a questi controlli tramite ricerca per trovare Windows Aggiornamenti o selezionando Aggiornamenti e sicurezza nelle impostazioni. Microsoft offre la possibilità di disabilitare un'ampia gamma di controlli accessibili agli utenti.

Gli utenti con accesso alle impostazioni di sospensione degli aggiornamenti possono impedire gli aggiornamenti delle funzionalità e della qualità per 7 giorni. È possibile impedire agli utenti di sospendere gli aggiornamenti tramite la pagina delle impostazioni di Windows Update usando i modelli amministrativi di > Configurazione > computer Componenti > di > Windows Windows Update Rimuovere l'accesso agli aggiornamenti di sospensione. Quando si disabilita questa impostazione, gli utenti visualizzeranno alcune impostazioni gestite dall'organizzazione e le impostazioni di sospensione degli aggiornamenti sono disattivate.

Se si usa Windows Server Update Server (WSUS), è possibile impedire agli utenti di analizzare Windows Update. A tale scopo, usare Configurazione computer > Modelli > amministrativi Componenti > di > Windows Windows Update Rimuovere l'accesso per usare tutte le funzionalità di Windows Update.

Si vogliono abilitare gli aggiornamenti facoltativi

Si applica a:

• Windows 11 versione 22H2 con KB5029351 e versioni successive
• Windows 10 versione 22H2 con KB5032278 o un aggiornamento cumulativo successivo installato

Oltre all'aggiornamento cumulativo mensile, sono disponibili aggiornamenti facoltativi per fornire nuove funzionalità e modifiche non di sicurezza. La maggior parte degli aggiornamenti facoltativi viene rilasciata il quarto martedì del mese, nota come versioni facoltative di anteprima non di sicurezza. Gli aggiornamenti facoltativi possono includere anche funzionalità implementate gradualmente, note come implementazioni di funzionalità controllate (CFR). L'installazione degli aggiornamenti facoltativi non è abilitata per impostazione predefinita per i dispositivi che ricevono gli aggiornamenti usando Windows Update per le aziende. È tuttavia possibile abilitare gli aggiornamenti facoltativi per i dispositivi usando i modelli amministrativi di > configurazione > computer Componenti > di Windows Windows Update > Gestire gli aggiornamenti offerti da Windows Update > Abilitare i criteri di aggiornamento facoltativi.

Per mantenere coerente la tempistica degli aggiornamenti, il criterio Abilita aggiornamenti facoltativi rispetta il periodo di differimento per gli aggiornamenti qualitativi. Questo criterio consente di scegliere se i dispositivi devono ricevere cfr oltre alle versioni facoltative di anteprima non di sicurezza o se l'utente finale può decidere di installare gli aggiornamenti facoltativi. Questo criterio può modificare il comportamento dell'opzione Recupera gli aggiornamenti più recenti non appena sono disponibili in Impostazioni>Aggiorna & sicurezza> *Windows Update>Opzioni avanzate.

Per i criteri sono disponibili le opzioni seguenti:

• Ricevere automaticamente gli aggiornamenti facoltativi (inclusi i CFR):Automatically receive optional updates (including CFR):

  • Gli aggiornamenti facoltativi più recenti e i CFR facoltativi vengono installati automaticamente nel dispositivo. Il periodo di differimento degli aggiornamenti qualitativi viene applicato all'installazione di questi aggiornamenti.
  • L'opzione Recupera gli aggiornamenti più recenti non appena sono disponibili è selezionata e gli utenti non possono modificare l'impostazione.
  • I dispositivi riceveranno i cfr nelle prime fasi dell'implementazione.

• Ricevere automaticamente gli aggiornamenti facoltativi:

  • Gli aggiornamenti facoltativi più recenti non relativi alla sicurezza vengono installati automaticamente nel dispositivo, ma i cfR non lo sono. Il periodo di differimento degli aggiornamenti qualitativi viene applicato all'installazione di questi aggiornamenti.
  • L'opzione Recupera gli aggiornamenti più recenti non appena sono disponibili non è selezionata e gli utenti non possono modificare l'impostazione.

• Gli utenti possono selezionare gli aggiornamenti facoltativi da ricevere:

  • Gli utenti possono selezionare gli aggiornamenti facoltativi da installare da Impostazioni>Aggiornamento & sicurezza>Windows Update>Opzioni> avanzateAggiornamenti facoltativi.
    • Gli aggiornamenti facoltativi vengono offerti al dispositivo, ma è necessaria l'interazione dell'utente per installarli, a meno che non sia abilitata anche l'opzione Ottieni gli aggiornamenti più recenti non appena sono disponibili .
    • I CFR vengono offerti al dispositivo, ma non necessariamente nelle prime fasi dell'implementazione.
  • Gli utenti possono abilitare l'opzione Ottieni gli aggiornamenti più recenti non appena sono disponibili in Impostazioni>Aggiornamento & sicurezza> *Windows Update>Opzioni avanzate. Se l'utente abilita Ottenere gli aggiornamenti più recenti non appena sono disponibili, procedere come segue:
    • Il dispositivo riceverà i CFR nelle prime fasi dell'implementazione.
    • Gli aggiornamenti facoltativi vengono installati automaticamente nel dispositivo.

• Non configurato (impostazione predefinita):

  • Gli aggiornamenti facoltativi non vengono installati nel dispositivo e l'opzione Ottieni gli aggiornamenti più recenti non appena sono disponibili è disabilitata.

Si vogliono abilitare le funzionalità introdotte tramite la manutenzione disattivata per impostazione predefinita

(A partire da Windows 11 versione 22H2 o successiva)

Nuove funzionalità e miglioramenti vengono introdotti tramite l'aggiornamento cumulativo mensile per offrire innovazione continua per Windows 11. Per concedere alle organizzazioni il tempo necessario per pianificare e preparare, alcune di queste nuove funzionalità vengono disattivate temporaneamente per impostazione predefinita. Le funzionalità disattivate per impostazione predefinita sono elencate nell'articolo della Knowledge Base per l'aggiornamento cumulativo mensile. In genere, una funzionalità viene selezionata per essere disattivata per impostazione predefinita perché influisce in modo significativo sull'esperienza utente o sugli amministratori IT.

Le funzionalità disattivate per impostazione predefinita dagli aggiornamenti di manutenzione verranno abilitate nel prossimo aggiornamento annuale delle funzionalità. Le organizzazioni possono scegliere di distribuire gli aggiornamenti delle funzionalità al proprio ritmo, per ritardare queste funzionalità fino a quando non sono pronte.

È possibile abilitare queste funzionalità usando Configurazione computer > Modelli > amministrativi Componenti > di Windows Windows Update > Gestire l'esperienza > utente finale Abilitare le funzionalità introdotte tramite la manutenzione disattivata per impostazione predefinita. Sono disponibili le opzioni seguenti:

• Abilitato: tutte le funzionalità dell'ultimo aggiornamento cumulativo mensile sono abilitate.
  • Quando il criterio è impostato su Abilitato, tutte le funzionalità attualmente disattivate si attiveranno al successivo riavvio del dispositivo
• Disabilitato : le funzionalità che vengono spedite disattivate per impostazione predefinita rimarranno disattivate
• Non configurata : le funzionalità spedite disattivate per impostazione predefinita rimarranno disattivate