Adotando perfis de manutenção para o Microsoft 365 Apps

  • Artigo

Os perfis de manutenção permitem que você use a automação para fornecer atualizações mensais para Microsoft 365 Apps para Grandes Empresas diretamente da CDN (Rede de Entrega de Conteúdo do Office). Por meio de um amplo envolvimento um-a-um com empresas globais, criamos este artigo para orientar você sobre as melhores práticas de habilitar perfis de manutenção em seu ambiente e discutir os benefícios para você e sua organização.

Observação

Os perfis de manutenção são preteridos e substituídos pela atualização de nuvem. Se a atualização de nuvem ainda não estiver disponível no centro de administração Microsoft 365 Apps, entre no centro e selecione o botão Dar comentários na área superior direita. Selecione qualquer uma das opções, insira um comentário que você gostaria de ter alternado para atualização de nuvem e seu Email. Selecione Enviar. Entraremos em contato com você em breve.

Este artigo aborda:

  • Os benefícios de usar um perfil de manutenção
  • Diretrizes passo a passo sobre duas maneiras de adotar perfis de manutenção
  • Mergulho profundo em como os critérios de seleção do dispositivo funcionam
  • O que acontece com os dispositivos depois que o perfil de manutenção é habilitado

Observação

Todas as atualizações acima e abaixo se aplicam apenas a atualizações de Microsoft 365 Apps. Esse recurso não substitui, modifica ou afeta soluções existentes para implantar outras atualizações, por exemplo, atualizações do Windows.

Dica

Se você preferir vídeo em vez de texto, teremos um vídeo de visão geral do perfil de manutenção e um vídeo de mergulho profundo do perfil de manutenção disponível.

Benefícios de usar um perfil de manutenção

Há vários benefícios de usar um perfil de manutenção em ferramentas comuns de gerenciamento de atualizações:

  • Moeda de segurança aprimorada: Para ambientes corporativos, geralmente vemos uma moeda de segurança de cerca de 66%. Isso significa que, após cada "Patch Tuesday" mensal, aproximadamente 66% dos Microsoft 365 Apps em dispositivos dentro de um locatário foram corrigidos com as atualizações de segurança mais recentes. Com um perfil de manutenção, vemos essa moeda subir acima de 90%. Isso significa que o novo serviço ajuda a reduzir as ameaças conhecidas em seu ambiente de forma mais rápida e ampla.

  • Maior alcance: As ferramentas comuns de gerenciamento de atualizações geralmente são limitadas pelo limite de um serviço de diretório. Por exemplo, os dispositivos devem ser ingressados no Active Directory para serem gerenciados por uma determinada solução. Com um perfil de manutenção, você está quebrando essa barreira e pode gerenciar todas as Microsoft 365 Apps instâncias que foram ativadas pelo locatário e ter um usuário Microsoft Entra do locatário conectado. Não importa se o dispositivo está ingressado no Active Directory, Microsoft Entra ID, registrado em Microsoft Entra ID ou permanece no modo de grupo de trabalho.

  • Aproveitando a nuvem: Como um verdadeiro serviço baseado em nuvem, um perfil de manutenção não depende de nenhuma infraestrutura local. Onde quer que o dispositivo esteja, se ele puder se conectar à nuvem, ele poderá ser atendido.

  • Integração fácil: Se um dispositivo cair no escopo de um perfil de manutenção (elaborado posteriormente no artigo), ele substituirá automaticamente qualquer outro mecanismo de gerenciamento de atualizações do Office. Não é necessário desanexar o Microsoft 365 Apps de outras soluções de gerenciamento primeiro. Se um dispositivo ficar fora do escopo do perfil de manutenção, o controle de gerenciamento de atualização anterior será restaurado. O perfil de manutenção só mudará a maneira como as atualizações do Office são tratadas, todo o resto (por exemplo, como as atualizações para Windows ou Edge são gerenciadas) permanece a mesma. Em resumo, um dispositivo pode ser gerenciado por duas soluções ao mesmo tempo sem conflitos.

Decida se deseja adotar perfis de manutenção por canal de atualização ou usando grupos de Microsoft Entra

Em vez de habilitar um perfil de manutenção para todos os dispositivos ao mesmo tempo, alguns administradores desejam adotá-los passo a passo e monitorar se tudo for executado sem problemas. Há duas maneiras comuns de adotar o recurso de maneira encenada:

  • Por canal de atualização: Com essa abordagem, o perfil de manutenção destina-se primeiro a uma pequena seleção de canais de atualização. Ele ignora todos os dispositivos em outros canais. Isso permite que você migre um canal de cada vez para o Canal da Empresa Mensal e seja gerenciado por meio de um perfil de manutenção. Ao longo do tempo, você estende a seleção de canais até que todos os canais sejam cobertos e todos os dispositivos sejam movidos.

  • Por Microsoft Entra grupo: a abordagem alternativa é usar Microsoft Entra grupos para restringir o perfil de manutenção a ser aplicado apenas a dispositivos ou usuários especificados. Isso permite adicionar dispositivos ao escopo em um nível mais granular.

Para decidir qual abordagem é melhor para você, examine quantas instalações Microsoft 365 Apps você tem por canal de atualização:

  • Verifique se o inventário no centro de administração Microsoft 365 Apps está habilitado e em execução por pelo menos uma semana, portanto, a maioria dos dispositivos se registrou nele.
  • Navegue até a página Status de Atualização de Segurança no centro de administração Microsoft 365 Apps, role para baixo e examine o número de dispositivos por canal.

Se você estiver confortável em migrar todos os dispositivos em um canal de uma só vez, essa será a abordagem certa para você. Se você quiser migrar dispositivos em lotes menores, deverá passar por grupos de Microsoft Entra. Isso pode, por exemplo, ser o caso se você tiver alguns milhares de dispositivos em um determinado canal e quiser migrou-los em, por exemplo, três lotes para limitar a alteração.

Como configurar um perfil de manutenção com a abordagem "por canal de atualização"

Se você quiser adotar um perfil de manutenção passo a passo, poderá fazê-lo direcionando um único canal de atualização primeiro. Microsoft 365 Apps nesses dispositivos seriam migrados para o Canal da Empresa Mensal e mantidos atualizados automaticamente. Você pode monitorar o progresso no portal e adicionar canais de atualização adicionais ao longo do tempo para aumentar a cobertura.

  1. Entre no centro de administração Microsoft 365 Apps. Verifique se os requisitos para usar perfis de manutenção são atendidos em seu ambiente.
  2. Navegue até Atender>a Empresa Mensal e inicie o assistente selecionando Introdução. Selecione Avançar novamente para acessar a página Critérios de Seleção do Dispositivo .
  3. Ao habilitar um perfil de manutenção, os dispositivos no Canal da Empresa Mensal são direcionados automaticamente. O gráfico na parte superior direita fornece uma visão geral de quantos dispositivos serão direcionados à seleção atual.
  4. Selecione as caixas de marcar para todos os canais de atualização que você deseja direcionar no primeiro lote. Geralmente, começamos a direcionar o Canal Mensal da Empresa mais o Canal Beta e o Canal Atual (Versão Prévia) primeiro. Depois que a massa for atualizada, estendemos para o Canal Atual e, em seguida, para Semi-Annual Enterprise Channel, incluindo Preview.
  5. Examine e ajuste os outros critérios de seleção.
  6. Selecione Avançar para acessar a página Atualizar datas de exclusão . Insira datas de exclusão, se necessário.
  7. Selecione Avançar para acessar a página Atualizar prazo . Recomendamos ir com a configuração padrão para equilibrar a experiência do usuário e alcançar a conformidade de segurança rapidamente. Saiba mais sobre como funcionam os prazos.
  8. Selecione Avançar para ir examinar sua configuração e, em seguida, selecione Criar Perfil para obter as coisas.

Após a criação, o perfil de manutenção começará a calcular quais dispositivos se enquadram nos critérios selecionados. Depois que isso é concluído, ele começa a instruir dispositivos que estão online a serem atualizados para a versão mais recente do Canal Da Empresa Mensal. Examine o progresso na guia Dispositivos. Pode levar algumas horas até você ver a primeira onda de dispositivos se movendo, portanto, examine o dashboard regularmente. Se as atualizações falharem em um determinado dispositivo, confira mais detalhes na guia Problemas .

Após alguns dias, a maior parte dos dispositivos direcionados deve ter sido atualizada para a versão mais recente Microsoft 365 Apps. Se tudo correu bem, vá para a guia Configurações e adicione canais de atualização adicionais para migrar mais dispositivos para o perfil de manutenção.

Como configurar o perfil de manutenção com a abordagem "by Microsoft Entra group"

Se você quiser adotar um perfil de manutenção em etapas mais granulares, faça isso usando Microsoft Entra grupos para limitar o direcionamento a um determinado conjunto de dispositivos. Microsoft 365 Apps nesses dispositivos seriam migrados para o Canal da Empresa Mensal e mantidos atualizados automaticamente. Você pode monitorar o progresso no portal e adicionar grupos ou dispositivos de Microsoft Entra adicionais aos grupos existentes ao longo do tempo para aumentar a cobertura.

  1. Crie um ou vários grupos de Microsoft Entra que você deseja usar para segmentação. Adicione três tipos de itens a um grupo e a combinação deles é possível:
    • Dispositivos: eles devem ser Microsoft Entra unidos ou Microsoft Entra híbridos unidos e conhecidos pelo inventário no centro de administração Microsoft 365 Apps.
    • Usuários: Com base nos dados de ativação, o perfil de manutenção identifica quais dispositivos no inventário têm uma instalação Microsoft 365 Apps ativada pelas contas de usuário especificadas. Isso também abrangerá dispositivos em execução no modo de ativação de computador compartilhado em que um usuário especificado se conectou e usou Microsoft 365 Apps.
    • Microsoft Entra grupos: use grupos aninhados, por exemplo, para delegar o gerenciamento de grupos para unidades de negócios. Há suporte para aninhamento para até três níveis.
  2. Entre no centro de administração Microsoft 365 Apps. Verifique se os requisitos para usar um perfil de manutenção são atendidos em seu ambiente.
  3. Navegue até Atender>a Empresa Mensal e inicie o assistente selecionando Introdução. Selecione Avançar novamente para acessar a página Critérios de Seleção do Dispositivo .
  4. Na parte superior, selecione Escolher grupos para incluir e adicione os grupos de Microsoft Entra que você deseja direcionar. Isso define o conjunto máximo de dispositivos que serão direcionados após a aplicação dos critérios de seleção restantes.
    • Exemplo: você especifica um grupo Microsoft Entra com dois dispositivos, um em execução no Canal Atual, outro no Canal Da Empresa Mensal. Se você selecionar apenas Canal Empresarial Mensal na seção Canais , apenas um dispositivo será adicionado ao escopo do perfil de manutenção, pois o outro não corresponde a todos os critérios de seleção. Se você tiver mais dispositivos nesse canal em seu inventário, o direcionamento ainda será restrito ao único dispositivo do grupo Microsoft Entra.
  5. Ao habilitar um perfil de manutenção, os dispositivos no Canal da Empresa Mensal serão direcionados automaticamente. O gráfico na parte superior direita fornece uma visão geral de quantos dispositivos podem ser direcionados com a seleção atual.
  6. Examine e ajuste os outros critérios de seleção.
  7. Selecione Avançar para acessar a página Atualizar datas de exclusão . Insira datas de exclusão, se necessário.
  8. Selecione Avançar para acessar a página Atualizar prazo . Recomendamos ir com a configuração padrão para equilibrar a experiência do usuário e alcançar a conformidade de segurança rapidamente. Saiba mais sobre como funcionam os prazos.
  9. Selecione Avançar para ir examinar sua configuração e, em seguida, selecione Criar Perfil para obter as coisas.

Após a criação, o perfil de manutenção começará a calcular quais dispositivos se enquadram nos critérios selecionados. Depois que isso é concluído, ele começa a instruir dispositivos que estão online a serem atualizados para a versão mais recente do Canal Da Empresa Mensal. Examine o progresso na guia Dispositivos. Pode levar algumas horas até você ver a primeira onda de dispositivos se movendo, portanto, examine o dashboard regularmente. Se as atualizações falharem em um determinado dispositivo, confira mais detalhes na guia Problemas .

Após alguns dias, a maior parte dos dispositivos direcionados deve ter sido atualizada para a versão mais recente Microsoft 365 Apps. Se tudo correu bem, vá para a guia Configurações e adicione grupos de Microsoft Entra adicionais ou apenas adicione dispositivos ou usuários aos grupos diretamente para ampliar o escopo. Recomendamos considerar a remoção do filtro de grupo Microsoft Entra em algum momento para também cobrir dispositivos que não estão Microsoft Entra ingressados.

Melhores práticas trabalhando com perfis de manutenção

Aqui estão algumas práticas recomendadas quando se trata de gerenciar atualizações com um perfil de manutenção:

  • Como outros serviços de nuvem ou Microsoft Configuration Manager, o perfil de manutenção é um serviço assíncrono. Quando você cria ou altera a configuração, o serviço processa sua entrada em segundo plano. A interface do usuário (especialmente a guia Dispositivos ) não refletirá suas alterações imediatamente.
  • Depois de alterar a configuração (critérios de seleção, prazo de atualização, ondas de distribuição do cliente etc.), permita ao serviço algum tempo para processar suas alterações. Durante esse processamento, você pode ver o número de dispositivos em perfis cair à medida que o serviço recalcula o escopo e o estado dos dispositivos. Em seguida, os dispositivos são adicionados de volta ao escopo em lotes de várias centenas ou milhares de dispositivos. Dependendo do número total de dispositivos em seu ambiente, esse processo pode levar várias horas para ser concluído.
  • Isso também se aplica quando uma nova atualização é lançada. Inicialmente, o perfil de manutenção será redefinido para zero dispositivos e os dispositivos serão adicionados novamente ao perfil de manutenção ao longo do tempo.
  • É recomendável permitir que cada alteração conclua o cálculo antes de introduzir a próxima alteração. Seja paciente durante esse processo.
  • O mesmo se aplica ao pausar ou retomar um perfil de manutenção. Permitir que o serviço processe a alteração e não pausar/retomar o serviço em sequência rápida. Pausar um perfil de manutenção não interromperá as instalações de atualização já iniciadas em dispositivos, mas impedirá que o serviço envie novos comandos de atualização para dispositivos.
  • Ao disparar uma reversão, o mesmo se aplica. Depois de configurar uma ação de reversão, o serviço precisa de tempo para processar a alteração e aguarda que o dispositivo marcar para enviar os comandos de reversão.
  • Ao usar Microsoft Entra grupos para incluir ou excluir dispositivos ou criar ondas de distribuição personalizadas, é recomendável limitar o número de membros a 20.000 por grupo. Você pode especificar vários grupos. Além disso, processar vários grupos menores é mais rápido do que processar um único grupo grande. Em vez de usar um grupo Microsoft Entra com, por exemplo, 40.000 membros, é recomendável usar dois grupos com 20.000 membros cada.

Como funcionam os seletores

Um perfil de manutenção oferece vários seletores para permitir que você direcione o conjunto certo de dispositivos. Depois que os seletores são escolhidos e salvos, o perfil de manutenção verifica cada dispositivo listado no inventário em relação a eles. Qualquer dispositivo determinado deve corresponder a todos os critérios selecionados a serem adicionados ao perfil. Se um dispositivo não passar por um marcar, ele não será adicionado, mesmo que passe por outras verificações.

  • Grupos: Esse seletor permite especificar um ou vários grupos de Microsoft Entra. Há suporte para grupos aninhados. Para passar o marcar, uma das duas condições deve ser atendida:
    • Para dispositivos: eles devem ser Microsoft Entra ingressados híbridos (também conhecidos como HAADJ) ou Microsoft Entra ingressados (também conhecidos como AADJ) e listados no inventário.
    • Para usuários: todos os dispositivos em inventário com uma instalação de Microsoft 365 Apps ativada pelo usuário especificado passam o marcar. Para essa condição, não há necessidade de um dispositivo ser ingressado em qualquer serviço de diretório.
  • Canais: Este seletor verifica o canal de atualização atualmente instalado do Microsoft 365 Apps. Para passar o marcar, um dispositivo deve executar um canal de atualização Microsoft 365 Apps selecionado.
  • Espaço em disco: Esse seletor verifica o espaço em disco disponível relatado no inventário. Para passar o marcar, um dispositivo deve ter mais espaço em disco disponível do que o especificado.
  • Macros: Esse seletor verifica se o inventário relatou o uso de macro nos últimos 30 dias. O inventário contém uma informação binária Sim/Não, se pelo menos um arquivo com macros tiver sido aberto nos últimos 30 dias.
  • Suplementos: esse seletor verifica se o inventário relatou suplementos que estão sendo instalados em um dispositivo. O inventário contém dados de instalação de suplemento detalhados, mas este é um marcar binário Sim/Não. É baseado apenas na presença de um suplemento, não no uso real.

Como um perfil de manutenção é aplicado a um dispositivo

Depois que o perfil de manutenção for criado, o serviço calculará previamente o número de dispositivos que devem ser direcionados. Todos os dispositivos se conectam ao centro de administração Microsoft 365 Apps regularmente e marcar para ações pendentes ou carregar um inventário atualizado. Os dispositivos que são alvo de um perfil de manutenção receberão comandos para começar a executar uma atualização para a versão mais recente do Canal Empresarial Mensal. Esses dispositivos também receberão comandos que instruem o Mecanismo de Atualização do Office local a ignorar comandos provenientes de outras soluções de gerenciamento. Isso é escopo apenas para Microsoft 365 Apps atualizações; todas as outras tarefas de gerenciamento (inventário de relatórios, instalações em execução, atualização de outros produtos) permanecem inalteradas.

Depois que o dispositivo receber o comando para executar uma atualização, ele usará a CDN do Office, a Otimização de Entrega e os caches conectados ou pares potencialmente disponíveis para baixar e aplicar a atualização. Se a atualização não puder ser aplicada devido à abertura de aplicativos do Microsoft 365, ela tenta silenciosamente fazê-lo em segundo plano, durante a reinicialização do dispositivo ou quando o dispositivo está bloqueado e o sistema operacional entrou em ocioso. Se a atualização não puder ser aplicada até que o prazo especificado seja atingido, o usuário receberá vários prompts para fechar os aplicativos e aplicar as atualizações. Após cerca de 48 horas, o usuário receberá uma notificação final com uma contagem regressiva. Quando isso atinge zero, os documentos abertos são salvos, os aplicativos fechados e atualizados, depois reabertos e documentos recarregados. Mas, na maioria dos casos, as atualizações pendentes podem ser aplicadas silenciosamente em segundo plano sem precisar solicitar o usuário.

O portal recebe status informações sobre essas etapas e o administrador verá dispositivos em transição de Não Iniciado para Em Andamento e para Atualizado por fim. Se ocorrer um erro no dispositivo, ele será sinalizado de acordo no portal e iniciado novamente. Na maioria dos casos, as falhas estão relacionadas ao download da atualização; por exemplo, quando o dispositivo foi desligado enquanto o download estava ativo.

Depois que os dispositivos forem atualizados, eles permanecerão nesse estado até que a Microsoft libere a próxima atualização para o Canal Da Empresa Mensal. Em seguida, o serviço recalculará automaticamente as ações necessárias por dispositivo e começará a distribuí-las aos dispositivos. Por padrão, isso acontece em ondas ao longo de quatro dias para reduzir o impacto na rede. Não há nenhuma ação manual necessária para iniciar o ciclo de atualização mensal.