Adotando perfis de manutenção para o Microsoft 365 Apps

  • Artigo
  • 15 minutos para o fim da leitura

Os perfis de manutenção permitem que você use a automação para fornecer atualizações mensais para Microsoft 365 Apps para Grandes Empresas diretamente da CDN (Rede de Entrega de Conteúdo do Office). Por meio de um amplo envolvimento um-a-um com empresas globais, criamos este artigo para orientar você sobre as melhores práticas de habilitar perfis de manutenção em seu ambiente e discutir os benefícios para você e sua organização.

Este artigo aborda:

  • Os benefícios de usar um perfil de manutenção
  • Diretrizes passo a passo sobre duas maneiras de adotar perfis de manutenção
  • Mergulho profundo em como os critérios de seleção do dispositivo funcionam
  • O que acontece com os dispositivos depois que o perfil de manutenção é habilitado

Observação

Todas as atualizações acima e abaixo se aplicam apenas a atualizações de Microsoft 365 Apps. Esse recurso não substitui, modifica ou afeta soluções existentes para implantar outras atualizações, por exemplo, atualizações do Windows.

Dica

Se você preferir vídeo em vez de texto, teremos um vídeo de visão geral do perfil de manutenção e um vídeo de mergulho profundo do perfil de manutenção disponível.

Benefícios de usar um perfil de manutenção

Há vários benefícios de usar um perfil de manutenção em ferramentas comuns de gerenciamento de atualizações:

  • Moeda de segurança aprimorada: Para ambientes corporativos, geralmente vemos uma moeda de segurança de cerca de 66%. Isso significa que, após cada "Patch Tuesday" mensal, aproximadamente 66% dos Microsoft 365 Apps em dispositivos dentro de um locatário foram corrigidos com as atualizações de segurança mais recentes. Com um perfil de manutenção, vemos essa moeda subir acima de 90%. Isso significa que o novo serviço ajuda a reduzir as ameaças conhecidas em seu ambiente de forma mais rápida e ampla.

  • Maior alcance: As ferramentas comuns de gerenciamento de atualizações geralmente são limitadas pelo limite de um serviço de diretório. Por exemplo, os dispositivos devem ser ingressados no Active Directory para serem gerenciados por uma determinada solução. Com um perfil de manutenção, você está quebrando essa barreira e pode gerenciar todas as Microsoft 365 Apps instâncias que foram ativadas pelo locatário e ter um usuário do Azure Active Directory (Azure AD) de seu locatário conectado. Não importa se o dispositivo está ingressado no Active Directory, no Azure Active Directory, registrado no Azure Active Directory ou permanece no modo de grupo de trabalho.

  • Aproveitando a nuvem: Como um verdadeiro serviço baseado em nuvem, um perfil de manutenção não depende de nenhuma infraestrutura local. Onde quer que o dispositivo esteja, se ele puder se conectar à nuvem, ele será atendido.

  • Integração fácil: Se um dispositivo cair no escopo de um perfil de manutenção (vamos aprofundar isso mais tarde no artigo), ele substituirá automaticamente qualquer outro mecanismo de gerenciamento de atualizações do Office. Não é necessário desanexar o Microsoft 365 Apps de outras soluções de gerenciamento primeiro. Se um dispositivo ficar fora do escopo do perfil de manutenção, o controle de gerenciamento de atualização anterior será restaurado. O perfil de manutenção só mudará a maneira como as atualizações do Office são tratadas, todo o resto (por exemplo, como as atualizações para Windows ou Edge são gerenciadas) permanece a mesma. Em resumo, um dispositivo pode ser gerenciado por duas soluções ao mesmo tempo sem conflitos.

Decida se deseja adotar perfis de manutenção por canal de atualização ou usando grupos de Azure AD

Em vez de habilitar um perfil de manutenção para todos os dispositivos ao mesmo tempo, alguns administradores desejam adotá-los passo a passo e monitorar se tudo for executado sem problemas. Há duas maneiras comuns de adotar o recurso de maneira encenada:

  • Por canal de atualização: Com essa abordagem, o perfil de manutenção terá como destino uma pequena seleção de canais de atualização primeiro. Ele ignorará todos os dispositivos em outros canais. Isso permite que você migre um canal de cada vez para o Canal da Empresa Mensal e seja gerenciado por meio de um perfil de manutenção. Ao longo do tempo, você estende a seleção de canais até que todos os canais sejam cobertos e todos os dispositivos sejam movidos.

  • Por Azure AD grupo: a abordagem alternativa é usar Azure AD grupos para restringir o perfil de manutenção a ser aplicado apenas a dispositivos ou usuários especificados. Isso permite adicionar dispositivos ao escopo em um nível mais granular.

Para decidir qual abordagem é melhor para você, examine quantas instalações Microsoft 365 Apps você tem por canal de atualização:

  • Verifique se o inventário no centro de administração Microsoft 365 Apps está habilitado e em execução por pelo menos uma semana, portanto, a maioria dos dispositivos se registrou nele.
  • Navegue até a página Status da Atualização de Segurança no centro de administração Microsoft 365 Apps, role para baixo e examine o número de dispositivos por canal.

Se você estiver confortável em migrar todos os dispositivos em um canal de uma só vez, essa será a abordagem certa para você. Se você quiser migrar dispositivos em lotes menores, deverá passar por grupos de Azure AD. Isso pode, por exemplo, ser o caso se você tiver alguns milhares de dispositivos em um determinado canal e quiser migrou-los em, por exemplo, três lotes para limitar a alteração.

Como configurar um perfil de manutenção com a abordagem "por canal de atualização"

Se você quiser adotar um perfil de manutenção passo a passo, poderá fazê-lo direcionando um único canal de atualização primeiro. Microsoft 365 Apps nesses dispositivos serão migrados para o Canal da Empresa Mensal e mantidos atualizados automaticamente. Você pode monitorar o progresso no portal e adicionar canais de atualização adicionais ao longo do tempo para aumentar a cobertura.

  1. Entre no centro de administração Microsoft 365 Apps. Verifique se os requisitos para usar perfis de manutenção são atendidos em seu ambiente.
  2. Navegue até Atender>a Empresa Mensal e inicie o assistente selecionando Introdução. Selecione Avançar novamente para acessar a página Critérios de Seleção do Dispositivo .
  3. Ao habilitar um perfil de manutenção, os dispositivos no Canal da Empresa Mensal serão direcionados automaticamente. O gráfico na parte superior direita fornece uma visão geral de quantos dispositivos serão direcionados com a seleção atual.
  4. Selecione as caixas de seleção para todos os canais de atualização que você deseja direcionar no primeiro lote. Geralmente, começamos a direcionar o Canal Mensal da Empresa mais o Canal Beta e o Canal Atual (Versão Prévia) primeiro. Depois que a massa for atualizada, estendemos para o Canal Atual e, em seguida, para Semi-Annual Enterprise Channel, incluindo Preview.
  5. Examine e ajuste os outros critérios de seleção.
  6. Selecione Avançar para acessar a página Atualizar datas de exclusão . Insira datas de exclusão, se necessário.
  7. Selecione Avançar para acessar a página Atualizar prazo . Recomendamos ir com a configuração padrão para equilibrar a experiência do usuário e alcançar a conformidade de segurança rapidamente. Saiba mais sobre como funcionam os prazos.
  8. Selecione Avançar para ir examinar sua configuração e, em seguida, selecione Criar Perfil para obter as coisas.

Após a criação, o perfil de manutenção começará a calcular quais dispositivos se enquadram nos critérios selecionados. Depois que isso for concluído, ele começará a instruir os dispositivos que estão online a serem atualizados para a versão mais recente do Monthly Enterprise Channel. Examine o progresso na guia Dispositivos . Pode levar algumas horas até que você veja a primeira onda de dispositivos em movimento, portanto, examine o painel regularmente. Se as atualizações falharem em um determinado dispositivo, confira mais detalhes na guia Problemas .

Após alguns dias, a maior parte dos dispositivos direcionados deve ter sido atualizada para a versão mais recente Microsoft 365 Apps. Se tudo correu bem, vá para a guia Configurações e adicione canais de atualização adicionais para migrar mais dispositivos para o perfil de manutenção.

Como configurar o perfil de manutenção com a abordagem "by Azure AD group"

Se você quiser adotar um perfil de manutenção em etapas mais granulares, faça isso usando Azure AD grupos para limitar o direcionamento a um determinado conjunto de dispositivos. Microsoft 365 Apps nesses dispositivos serão migrados para o Canal da Empresa Mensal e mantidos atualizados automaticamente. Você pode monitorar o progresso no portal e adicionar grupos ou dispositivos de Azure AD adicionais aos grupos existentes ao longo do tempo para aumentar a cobertura.

  1. Crie um ou vários grupos de Azure AD que você deseja usar para segmentação. Adicione três tipos de itens a um grupo e a combinação deles é possível:
    • Dispositivos: eles devem ser Azure AD ingressados ou híbridos Azure AD unidos e conhecidos pelo inventário no centro de administração Microsoft 365 Apps.
    • Usuários: com base nos dados de ativação, o perfil de manutenção identificará quais dispositivos no inventário têm uma instalação Microsoft 365 Apps ativada pelas contas de usuário especificadas. Isso também abrangerá dispositivos em execução no modo de ativação de computador compartilhado em que um usuário especificado se conectou e usou Microsoft 365 Apps.
    • Azure AD grupos: use grupos aninhados, por exemplo, para delegar o gerenciamento de grupos para unidades de negócios. Há suporte para aninhamento para até três níveis.
  2. Entre no centro de administração Microsoft 365 Apps. Verifique se os requisitos para usar um perfil de manutenção são atendidos em seu ambiente.
  3. Navegue até Atender>a Empresa Mensal e inicie o assistente selecionando Introdução. Selecione Avançar novamente para acessar a página Critérios de Seleção do Dispositivo .
  4. Na parte superior, selecione Escolher grupos para incluir e adicionar os grupos de Azure AD que você deseja direcionar. Isso define o conjunto máximo de dispositivos que serão direcionados após a aplicação dos critérios de seleção restantes.
    • Exemplo: você especifica um grupo Azure AD com dois dispositivos, um em execução no Canal Atual, outro no Canal Da Empresa Mensal. Se você selecionar apenas o Canal Da Empresa Mensal na seção Canais , apenas um dispositivo será adicionado ao escopo do perfil de manutenção, pois o outro não corresponde a todos os critérios de seleção. Se você tiver mais dispositivos nesse canal em seu inventário, o direcionamento ainda será restrito ao único dispositivo do grupo Azure AD.
  5. Ao habilitar um perfil de manutenção, os dispositivos no Canal da Empresa Mensal serão direcionados automaticamente. O gráfico na parte superior direita fornece uma visão geral de quantos dispositivos serão direcionados com a seleção atual.
  6. Examine e ajuste os outros critérios de seleção.
  7. Selecione Avançar para acessar a página Atualizar datas de exclusão . Insira datas de exclusão, se necessário.
  8. Selecione Avançar para acessar a página Atualizar prazo . Recomendamos ir com a configuração padrão para equilibrar a experiência do usuário e alcançar a conformidade de segurança rapidamente. Saiba mais sobre como funcionam os prazos.
  9. Selecione Avançar para ir examinar sua configuração e, em seguida, selecione Criar Perfil para obter as coisas.

Após a criação, o perfil de manutenção começará a calcular quais dispositivos se enquadram nos critérios selecionados. Depois que isso for concluído, ele começará a instruir os dispositivos que estão online a serem atualizados para a versão mais recente do Monthly Enterprise Channel. Examine o progresso na guia Dispositivos . Pode levar algumas horas até que você veja a primeira onda de dispositivos em movimento, portanto, examine o painel regularmente. Se as atualizações falharem em um determinado dispositivo, confira mais detalhes na guia Problemas .

Após alguns dias, a maior parte dos dispositivos direcionados deve ter sido atualizada para a versão mais recente Microsoft 365 Apps. Se tudo correu bem, vá para a guia Configurações e adicione grupos de Azure AD adicionais ou apenas adicione dispositivos ou usuários aos grupos diretamente para ampliar o escopo. Recomendamos considerar a remoção do filtro de grupo Azure AD em algum momento para também cobrir dispositivos que não estão Azure AD ingressados.

Melhores práticas trabalhando com perfis de manutenção

Aqui estão algumas práticas recomendadas quando se trata de gerenciar atualizações com um perfil de manutenção:

  • Como outros serviços de nuvem ou microsoft Configuration Manager, o perfil de manutenção é um serviço assíncrono. Quando você cria ou altera a configuração, o serviço processará sua entrada em segundo plano. A interface do usuário (especialmente a guia Dispositivos ) não refletirá suas alterações imediatamente.
  • Depois de alterar a configuração (critérios de seleção, atualização de prazo, ondas de distribuição do cliente etc.), permita ao serviço algum tempo para processar suas alterações. Durante esse processamento, você pode ver o número de dispositivos em perfis cair à medida que o serviço recalcula o escopo e o estado dos dispositivos. Em seguida, os dispositivos serão adicionados de volta ao escopo em lotes de várias centenas ou milhares de dispositivos. Dependendo do número total de dispositivos em seu ambiente, esse processo pode levar várias horas para ser concluído.
  • Isso também se aplica quando uma nova atualização é lançada. Inicialmente, o perfil de manutenção será redefinido para zero dispositivos e os dispositivos serão adicionados novamente ao perfil de manutenção ao longo do tempo.
  • É recomendável permitir que cada alteração conclua o cálculo antes de introduzir a próxima alteração. Seja paciente durante esse processo.
  • O mesmo se aplica ao pausar ou retomar um perfil de manutenção. Permitir que o serviço processe a alteração e não pausar/retomar o serviço em sequência rápida. Observe que pausar um perfil de manutenção não interromperá as instalações de atualização já iniciadas em dispositivos, mas impedirá que o serviço envie novos comandos de atualização para dispositivos.
  • Ao disparar uma reversão, o mesmo se aplica. Depois de configurar uma ação de reversão, o serviço precisa de tempo para processar a alteração e aguarda o check-in do dispositivo para enviar os comandos de reversão.
  • Ao usar Azure AD grupos para incluir ou excluir dispositivos ou criar ondas de distribuição personalizadas, é recomendável limitar o número de membros a 20.000 por grupo. Claro, você pode especificar vários grupos. Além disso, processar vários grupos menores é mais rápido do que processar um único grupo grande. Em vez de usar um grupo Azure AD com, por exemplo, 40.000 membros, é recomendável usar dois grupos com 20.000 membros cada.

Como funcionam os seletores

Um perfil de manutenção oferece vários seletores para permitir que você direcione o conjunto certo de dispositivos. Depois que os seletores forem escolhidos e salvos, o perfil de manutenção verificará cada dispositivo listado no inventário em relação a eles. Qualquer dispositivo determinado deve corresponder a todos os critérios selecionados a serem adicionados ao perfil. Se um dispositivo não passar por uma verificação, ele não será adicionado, mesmo que passe por outras verificações.

  • Grupos: Esse seletor permite especificar um ou vários grupos de Azure AD. Há suporte para grupos aninhados. Para passar a verificação, uma das duas condições deve ser atendida:
    • Para dispositivos: eles devem ser híbridos Azure AD ingressados (também conhecidos como HAADJ) ou Azure AD ingressados (também conhecidos como AADJ) e listados no inventário.
    • Para usuários: todos os dispositivos em inventário com uma instalação de Microsoft 365 Apps ativada pelo usuário especificado passarão pela verificação. Para essa condição, não há necessidade de um dispositivo ser ingressado em qualquer serviço de diretório.
  • Canais: Este seletor verifica o canal de atualização atualmente instalado do Microsoft 365 Apps. Para passar a verificação, um dispositivo deve executar um canal de atualização Microsoft 365 Apps selecionado.
  • Espaço em disco: Esse seletor verifica o espaço em disco disponível relatado no inventário. Para passar a verificação, um dispositivo deve ter mais espaço em disco disponível do que o especificado.
  • Macros: Esse seletor verifica se o inventário relatou o uso da macro nos últimos 30 dias. O inventário contém uma informação binária Sim/Não, se pelo menos um arquivo com macros tiver sido aberto nos últimos 30 dias.
  • Suplementos: esse seletor verifica se o inventário relatou suplementos que estão sendo instalados em um dispositivo. O inventário contém dados detalhados de instalação do suplemento, mas esta é uma verificação binária Sim/Não. É baseado apenas na presença de um suplemento, não no uso real.

Como um perfil de manutenção é aplicado a um dispositivo

Depois que o perfil de manutenção for criado, o serviço calculará previamente o número de dispositivos que devem ser direcionados. Todos os dispositivos se conectarão ao centro de administração Microsoft 365 Apps regularmente e verificarão se há ações pendentes ou carregarão um inventário atualizado. Os dispositivos que são alvo de um perfil de manutenção receberão comandos para começar a executar uma atualização para a versão mais recente do Canal Empresarial Mensal. Esses dispositivos também receberão comandos que instruem o Mecanismo de Atualização do Office local a ignorar comandos provenientes de outras soluções de gerenciamento. Isso é escopo apenas para Microsoft 365 Apps atualizações; todas as outras tarefas de gerenciamento (inventário de relatórios, instalações em execução, atualização de outros produtos) permanecem inalteradas.

Depois que o dispositivo receber o comando para executar uma atualização, ele usará a CDN do Office, a Otimização de Entrega e os caches conectados ou pares potencialmente disponíveis para baixar e aplicar a atualização. Se a atualização não puder ser aplicada devido à abertura de aplicativos do Microsoft 365, ela tentará silenciosamente fazê-lo em segundo plano, durante a reinicialização do dispositivo ou quando o dispositivo estiver bloqueado e o sistema operacional entrar em ocioso. Se a atualização não puder ser aplicada até que o prazo especificado seja atingido, o usuário receberá vários prompts para fechar os aplicativos e aplicar as atualizações. Após cerca de 48 horas, o usuário receberá uma notificação final com uma contagem regressiva. Quando isso atingir zero, os documentos abertos serão salvos, os aplicativos fechados e atualizados, depois reabertos e documentos recarregados. Mas, na maioria dos casos, as atualizações pendentes podem ser aplicadas silenciosamente em segundo plano sem precisar solicitar o usuário.

O portal receberá informações de status sobre essas etapas e o administrador verá dispositivos em transição de Não Iniciado para Em Andamento e para Atualizado por fim. Se ocorrer um erro no dispositivo, ele será sinalizado de acordo no portal e será iniciado novamente. Na maioria dos casos, as falhas estão relacionadas ao download da atualização; por exemplo, quando o dispositivo foi desligado enquanto o download estava ativo.

Depois que os dispositivos forem atualizados, eles permanecerão nesse estado até que a Microsoft libere a próxima atualização para o Canal Da Empresa Mensal. Em seguida, o serviço recalculará automaticamente as ações necessárias por dispositivo e começará a distribuí-las aos dispositivos. Por padrão, isso acontece em ondas ao longo de quatro dias para reduzir o impacto na rede. Não há nenhuma ação manual necessária para iniciar o ciclo de atualização mensal.