Agilizar as atualizações de qualidade do Windows no Microsoft Intune

Com atualizações de qualidade para Windows 10 e política posterior, você pode agilizar a instalação das atualizações de segurança Windows 10/11 mais recentes em dispositivos que você gerencia com Microsoft Intune. A implantação de atualizações aceleradas é feita sem a necessidade de pausar ou editar suas políticas de atualização mensal existentes. Por exemplo, você poderá agilizar uma atualização específica para mitigar uma ameaça de segurança quando o processo de atualização normal for demorar para implantar a atualização.

Nem todas as atualizações podem ser agilizadas. No momento, somente as atualizações de segurança do Windows 10/11 que podem ser agilizadas estão disponíveis para implantação com a política de atualizações de qualidade. Para gerenciar atualizações de qualidade mensais regulares, use Políticas de anéis de atualização para Windows 10 e posterior.

Como funcionam as atualizações agilizadas

Com atualizações aceleradas, você pode agilizar a instalação de atualizações de qualidade, como a versão mais recente do patch terça-feira ou uma atualização de segurança fora de banda para uma falha de zero dia.

Políticas de atualização aceleradas substituem temporariamente adiamentos e outras configurações para instalar atualizações o mais rápido possível. Esse processo permite que os dispositivos iniciem o download e a instalação de uma atualização acelerada sem precisar esperar que o dispositivo marcar para obter atualizações.

O tempo real necessário para que um dispositivo inicie uma atualização depende da conectividade com a Internet do dispositivo, seu tempo de verificação, se os canais de comunicação para o dispositivo estão funcionando e outros fatores, como o tempo de processamento de nuvem.

• Para cada política de atualização acelerada, você seleciona uma única atualização para implantar com base na data de lançamento. Ao usar a data de lançamento, você não precisa criar políticas separadas para implantar diferentes instâncias dessa atualização em dispositivos com versões diferentes do Windows, como o Windows 10 versão 1809, 1909 e assim por diante.

• O Windows Update avalia o build e a arquitetura de cada dispositivo e depois fornece a versão da atualização que se aplica.

• Somente os dispositivos que precisam da atualização recebem a atualização agilizada:

  • O Windows Update não tenta agilizar a atualização em dispositivos que já têm uma revisão igual ou superior à versão da atualização.
  • Para dispositivos com uma versão de build inferior à atualização, o Windows Update confirma que o dispositivo ainda exige a atualização antes de instalá-la.

  Importante

  Em alguns cenários, o Windows Update pode instalar uma atualização mais recente do que a atualização especificada na política de atualização agilizada. Para obter mais informações sobre esse cenário, confira Como instalar a atualização mais recente aplicável neste artigo.

• As políticas de atualização agilizada ignoram e substituem os períodos de adiamento de atualização de qualidade da versão de atualização implantada. Você pode configurar adiamentos de atualizações de qualidade usando os Anéis de atualização do Windows do Intune e a configuração de Período de adiamento de atualização de qualidade.

• Quando uma reinicialização for necessária para concluir a instalação da atualização, a política ajudará a gerenciar essa reinicialização. Na política, você pode configurar um período em que os usuários precisam reiniciar um dispositivo antes que a política force uma reinicialização automática. Os usuários também podem decidir agendar a reinicialização ou permitir que o dispositivo tente encontrar o melhor horário fora das Horas Ativas dos dispositivos. Antes de atingir a data limite de reinicialização, o dispositivo exibe notificações para alertar os usuários do dispositivo sobre a data limite e inclui opções para agendar a reinicialização.

  Se um dispositivo não é reiniciado antes da data limite, a reinicialização pode ocorrer no meio do dia útil. Para obter mais informações sobre o comportamento de reinicialização, confira Como impor datas limite de conformidade para atualizações.

• Atualizações aceleradas não são recomendadas para manutenção de atualização de qualidade mensal normal. Em vez disso, considere usar as configurações de data limite de um grupo de atualização para Windows 10 e política posterior. Para obter informações, confira Usar configurações de data limite nas configurações de experiência do usuário nas configurações de atualização do Windows.

Pré-requisitos

Importante

Esse recurso não tem suporte em ambientes de nuvem GCC e GCC High/DoD.

Habilitar a ativação de assinatura com um EA existente não é aplicável a ambientes de nuvem GCC e GCC High/DoD para recursos WuFB-DS.

Veja os seguintes requisitos de qualificação para instalar atualizações de qualidade agilizadas com o Intune:

Licenciamento:

Além de uma licença para Intune, sua organização deve ter uma das seguintes assinaturas que incluem uma licença para Windows Update serviço de implantação do Business:

• Windows 10/11 Enterprise E3 ou E5 (incluído no Microsoft 365 F3, E3 ou E5)
• Windows 10/11 Education A3 ou A5 (incluído no Microsoft 365 A3 ou A5)
• Windows Virtual Desktop Access E3 ou E5
• Microsoft 365 Business Premium

A partir de novembro de 2022, a licença do serviço de implantação do Windows Update for Business (WUfB ds) será verificada e imposta.

Se você estiver bloqueado ao criar novas políticas para recursos que exigem ds WUfB e obter suas licenças para usar o WUfB por meio de um Enterprise Agreement (EA), entre em contato com a origem de suas licenças, como sua equipe de conta microsoft ou o parceiro que vendeu as licenças. A equipe da conta ou o parceiro podem confirmar que as licenças de locatários atendem aos requisitos de licença do WUfB ds. Consulte Habilitar ativação de assinatura com um EA existente.

Versões do Windows 10/11 com suporte:

• Versões do Windows 10/11 que continuam com suporte para Manutenção, na arquitetura x86 ou x64

Só são suportadas atualizações de compilações que estão geralmente disponíveis. As pré-visualizações de compilações, incluindo os canais Beta e Dev, não têm suporte com atualizações aceleradas.

Edições do Windows 10/11 com suporte:

• Professional
• Enterprise
• Educação
• Pro Education
• Pro for Workstations

Os dispositivos precisam:

• Registre-se no Intune MDM.

• Seja Microsoft Entra ingressado ou Microsoft Entra híbrido ingressado. Não há suporte para o Workplace Join.

• Tenha acesso a pontos de extremidade. Para obter uma lista detalhada de pontos de extremidade necessários para os serviços associados listados aqui, consulte Pontos de extremidade de rede.

  • Windows Update
  • Serviço de implantação do Windows Update para Empresas
  • Serviços de notificação por push do Windows: (recomendado, mas não necessário. Sem esse acesso, os dispositivos podem não agilizar as atualizações até a próxima verificação diária de atualizações.)

• Configure para obter atualizações de qualidade diretamente do serviço Windows Update.

• Ter o Update Health Tools, que é instalado com o KB 4023057 – Atualização para componentes do Serviço de Atualização do Windows 10. Para confirmar a presença do Update Health Tools em um dispositivo:

  • Procure a pasta C:\Program Files\Microsoft Update Health Tools ou revise Adicionar ou Remover Programas para Microsoft Update Health Tools.
  • Como administrador, execute o seguinte script do PowerShell:

  $Session = New-Object -ComObject Microsoft.Update.Session
  $Searcher = $Session.CreateUpdateSearcher()
  $historyCount = $Searcher.GetTotalHistoryCount()
  $list = $Searcher.QueryHistory(0, $historyCount) | Select-Object -Property "Title"
  foreach ($update in $list)
  {
     if ($update.Title.Contains("4023057"))
     {
        return 1
     }
  }
  return 0 
  

  Se o script retornar um 1, o dispositivo terá cliente UHS. Se o script retornar um 0, o dispositivo não terá cliente UHS.

Configurações do dispositivo:

Como uma ajuda para evitar conflitos ou configurações que possam bloquear a instalação de atualizações agilizadas, defina os dispositivos com as configurações a seguir. Você pode usar as políticas de Anéis de atualização para Windows 10 e posterior do Intune para gerenciar essas configurações.

Configuração do anel de atualização	Valor recomendado
Habilitar compilações de versão prévia	Esta configuração deve ser definida como Não configurado. As pré-visualizações de compilações, incluindo os canais Beta e Dev, não têm suporte com atualizações aceleradas.
Comportamento de atualização automática	Redefinir para o padrão Outros valores podem causar uma má experiência do usuário e retardar o processo para agilizar as atualizações.
Alterar o nível de atualização da notificação	Use qualquer valor que não seja Desativar todas as notificações, incluindo os avisos de reinicialização

Para obter mais informações sobre essas configurações, confira CSP de política – Atualização.

As configurações de Política de Grupo substituem as políticas do gerenciamento de dispositivo móvel, e a lista de configurações de Política de Grupo a seguir pode interferir na política Agilizada. Nos dispositivos em que essas configurações eram gerenciadas pela Política de Grupo, restaure-as para os padrões do dispositivo (Não configurado):

• CorpWuURL – Especificar o local do serviço Microsoft Update na intranet.
• AutoUpdateCfg – Configurar as Atualizações Automáticas.
• DeferFeatureUpdates – Selecionar quando as compilações de pré-visualização e as atualizações de recursos são recebidas.
• Desabilitar a Frequência Dupla – Não permitir que as políticas de adiamento de atualização causem verificações no Windows Update.

Monitoramento e relatórios:

Antes de monitorar os resultados e atualizar status para atualizações rápidas, seu locatário Intune deve habilitar a coleta de dados.

Limitações para dispositivos ingressados no local de trabalho

Intune políticas para atualizações de qualidade para Windows 10 e posteriores exigem o uso do WUfB (Windows Update for Business) e do serviço de implantação do Windows Update for Business (WUfB ds). Quando o WUfB dá suporte a dispositivos WPJ, o WUfB ds fornece recursos adicionais que não têm suporte para dispositivos WPJ.

Para obter mais informações sobre limitações do WPJ para políticas de Intune Windows Update, consulte Limitações de política para dispositivos ingressados no local de trabalho em Gerenciar atualizações de software Windows 10 e Windows 11 em Intune.

Criar e atribuir uma atualização de qualidade agilizada

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Dispositivos>Windows 10 e atualizações posteriores>De qualidade>Create perfil.

   

3. Em Configurações, insira as seguintes propriedades para identificar esse perfil:

   • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde.

   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

4. Em Configurações, defina Agilizar a instalação de atualizações de qualidade se a versão do sistema operacional do dispositivo for inferior a. Selecione a atualização que deseja agilizar na lista suspensa. A lista inclui apenas as atualizações que você pode agilizar.

   Dica

   As atualizações de qualidade do Windows opcionais não podem ser agilizadas e não ficam disponíveis para seleção.

   

   Ao selecionar uma atualização:

   • As atualizações são identificadas pela data de lançamento e você pode selecionar apenas uma atualização por política.

   • As atualizações que incluem a letra B no nome identificam as atualizações lançadas como parte de um evento de Patch Tuesday. A letra B identifica que a atualização foi lançada na segunda terça-feira do mês.

   • As atualizações de segurança do Windows 10/11 lançadas fora da banda de um Patch Tuesday podem ser agilizadas. Em vez da letra B, as versões de patch fora da banda têm identificadores diferentes.

   • Quando a atualização é implantada, o Windows Update garante que cada dispositivo que recebe a política instale uma versão da atualização que se aplica à arquitetura e à versão atual do Windows (como a versão 1809, 2004 e assim por diante) desse dispositivo.

   Atualizações de aceleração sem segurança: inclui correções de qualidade após a versão anterior B/Security. Os administradores podem acelerar a instalação da atualização de qualidade aplicável mais recente em dispositivos, sem aguardar o período de adiamento.

   • Atualizações sem a palavra SecurityUpdate indicam que não é uma atualização de segurança. Atualizações que incluem a letra D em seu nome identificam atualizações lançadas desde a última semana de segurança de terça-feira do patch. Você também pode ver a Atualização do OOB 2024.01 (versões de patch fora de banda ). Atualização mensal do Windows explicada

   • As atualizações de não segurança só são mostradas quando é a versão mais recente. A lista suspensa é atualizada para exibir as duas atualizações de segurança mais recentes, incluindo se uma for uma atualização fora de banda. Se a atualização não de segurança mais recente for mais recente que a mais recente atualização de segurança, a atualização não de segurança também será incluída na lista suspensa. Como resultado, às vezes, duas atualizações são mostradas e, em outras ocasiões, três atualizações são mostradas.

     Dica

     Para obter mais informações, confira o blog Cadência de manutenção de atualização do Windows 10 – Microsoft Tech Community.

   • As atualizações rápidas sem segurança se aplicam a dispositivos Windows 11. Se Windows 10 dispositivos forem atribuídos a uma política do Expedite que define uma versão D, esses dispositivos não serão acelerados e mostrarão um alerta nos relatórios a seguir.

     • Relatórios>Relatório de atualização aceleradado Windows Atualizações>Reports Tab >
     • Dispositivos>Windows 10 e atualizações posterioresMonitor Tab> Políticas >de atualização de qualidade acelerada com bloco de alertas e clique no título.

5. Em Configurações, defina o Número de dias de espera antes da reinicialização forçada. Para essa configuração, selecione depois de quanto tempo após a instalação da atualização um dispositivo será reiniciado automaticamente para concluir a instalação da atualização. Você pode selecionar de zero a dois dias. A reinicialização automática será cancelada se um dispositivo for reiniciado manualmente antes da data limite. Se uma atualização não exigir uma reinicialização, essa configuração não será imposta.

   • Uma configuração de 0 dias significa que, assim que o dispositivo instalar a atualização, o usuário será notificado sobre a reinicialização e terá um tempo limitado para salvar o trabalho.

     Importante

     Essa experiência pode afetar a produtividade do usuário. Considere usá-la para os dispositivos ou as atualizações que precisam ser concluídas e reiniciar o dispositivo o quanto antes.

   • Uma configuração de 1 dia ou 2 dias oferece aos usuários do dispositivo flexibilidade para gerenciar uma reinicialização antes que ela seja forçada. Essas configurações correspondem a um atraso de 24 ou 48 horas da reinicialização automática após a instalação da atualização no dispositivo.

     

6. Em Atribuições, selecione Adicionar grupos e depois selecione os grupos de usuários ou de dispositivos aos quais a política será atribuída.

7. Em Revisar + criar,selecione Criar. Depois que a política é criada, ela é implantada nos grupos atribuídos.

Identificar a atualização mais recente aplicável

Há alguns cenários em que a política para agilizar uma atualização resulta na instalação de uma atualização mais recente do que a especificada na política. Esse resultado ocorre quando a atualização mais recente inclui e ultrapassa a atualização especificada e essa atualização mais recente está disponível antes que um dispositivo faça check-in para instalar a atualização especificada na política de atualização agilizada. Há um exemplo detalhado desse cenário mais adiante neste artigo.

A instalação da atualização de qualidade mais recente reduz as interrupções no dispositivo e para o usuário, além de aplicar os benefícios da atualização pretendida. Isso evita a necessidade de instalar várias atualizações, que podem exigir reinicializações separadas.

Uma atualização mais recente é implantada quando as seguintes condições são atendidas:

• Não há uma política de adiamento direcionada ao dispositivo que bloqueie a instalação de uma atualização mais recente. Nesse caso, a atualização disponível mais recente que não é adiada é aquela que pode ser instalada.

• Durante o processo de agilizar uma atualização, o dispositivo executa uma nova verificação que detecta a atualização mais recente. Isso pode ocorrer devido ao momento em que:

  • O dispositivo é reiniciado para concluir a instalação
  • O dispositivo executa a verificação diária
  • Uma nova atualização fica disponível

  Quando uma verificação identifica uma atualização mais recente, o Windows Update tenta interromper a instalação da atualização original e cancelar a reinicialização e depois inicia o download e a instalação da atualização mais recente.

Embora as políticas de atualização agilizada substituam um adiamento de atualização para versão de atualização especificada na política, elas não substituem os adiamentos que estão em vigor para nenhuma outra versão de atualização.

Exemplo de instalação de uma atualização agilizada

A sequência de eventos a seguir oferece um exemplo de como dois dispositivos, chamados Teste-1 e Teste-2, instalam uma atualização com base em uma política de Atualização de qualidade do Windows 10 e posterior que é atribuída aos dispositivos.

1. Todo mês, os administradores do Intune implantam as atualizações de qualidade mais recentes do Windows 10 na quarta terça-feira do mês. Com esse período, eles têm duas semanas após o evento Patch Tuesday para validar as atualizações no ambiente antes de forçar a instalação da atualização.

2. Em 19 de janeiro de 2021, os dispositivos Teste-1 e Teste-2 instalam a atualização de qualidade mais recente da versão do Patch Tuesday de 12 de Janeiro. No dia seguinte, os dois dispositivos são desligados pelos respectivos usuários que estão saindo de férias.

3. Em 9 de fevereiro, o administrador do Intune cria a política para agilizar a instalação da versão do Patch Tuesday 09/02/2021 – Atualizações de Segurança do Windows 10 2021.02 B como uma ajuda para proteger os dispositivos da empresa contra uma ameaça crítica que a atualização resolve. A política de agilização é atribuída a um grupo de dispositivos que inclui o Teste-1 e o Teste-2. Todos os dispositivos nesse grupo que estão ativos recebem e instalam a política de atualização agilizada.

4. No evento de Patch Tuesday de 9 de março, uma nova atualização de qualidade é lançada como 09/03/2021 – Atualizações de Segurança do Windows 10 2021.03 B. Não há nenhum problema crítico que exija uma implantação agilizada dessa atualização, mas os administradores encontraram um possível conflito. Para que haja tempo de examinar o possível problema, os administradores usam uma política de anel de atualização do Windows a fim de criar uma política de adiamento de sete dias. Todos os dispositivos gerenciados são impedidos de instalar essa atualização até 14 de março.

5. Agora, considere os seguintes resultados para o Teste-1 e o Teste-2, com base em quando cada um deles é ligado novamente:

   • Teste-1 – Em 12 de março, o Teste-1 é ligado novamente, conecta-se com a rede e recebe notificações de atualização agilizada:

     1. O Windows Update determina que o Teste-1 ainda precisa agilizar a instalação da atualização, de acordo com a política.
     2. Como a atualização de 9 de março substitui a atualização de fevereiro, o Windows Update pôde instalar a atualização de 9 de março.
     3. Há um adiamento ativo para a atualização de março que não vai expirar até 14 de março.

     Resultado: com a política de adiamento da atualização de março ainda ativa e o bloqueio da instalação dessa atualização, o Dispositivo-1 instala a atualização de fevereiro de acordo com a configuração da política.

   • Teste-2 – Em 20 de março, o Teste-2 é ligado novamente, conecta-se com a rede e recebe notificações de atualização agilizada:

     1. O Windows Update determina que o Teste-2 ainda precisa agilizar a instalação da atualização, de acordo com a política.
     2. Como a atualização de 9 de março substitui a atualização de fevereiro, o Windows Update pôde instalar a atualização de 9 de março.
     3. Não há mais nenhum adiamento ativo para a atualização de março.

     Resultado: com a expiração da política de adiamento da atualização de março, o Teste-2 instala a atualização mais recente de março, ignorando a atualização de fevereiro e instalando uma atualização posterior à especificada na política.

Gerenciar políticas para agilizar atualizações de qualidade

No centro de administração, vá para Dispositivos>Windows>Atualizações de qualidade para Windows 10 e posterior e selecione a política que você deseja gerenciar. A política é aberta no painel Visão geral.

Nesse painel, você pode:

• Selecione Excluir para excluir a política do Intune. A exclusão de uma política remove-a do Intune, mas não resulta na desinstalação da atualização, quando a instalação já foi concluída. O Windows Update tenta cancelar as instalações em andamento, mas não é possível garantir o sucesso do cancelamento de uma instalação em andamento.

• Selecione Propriedades para modificar a implantação. No painel Propriedades, selecione Editar para abrir as Configurações, as Marcas de escopo ou as Atribuições, nas quais é possível modificar a implantação.

Monitoramento e relatório

Antes de monitorar os resultados e atualizar status para atualizações rápidas, seu locatário Intune deve habilitar a coleta de dados.

Depois que uma política é criada, você pode monitorar os resultados, o status de atualização e os erros dos relatórios a seguir.

Relatório de resumo

Esse relatório mostra o estado atual de todos os dispositivos no perfil e oferece uma visão geral de quantos dispositivos têm uma instalação de atualização em andamento, concluíram a instalação ou têm um erro.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Relatórios>Atualizações do Windows. Na guia Resumo, veja a tabela Atualizações de Qualidade Agilizadas do Windows.

3. Para obter mais informações, selecione a guia Relatórios e depois Relatório de Atualização Agilizada do Windows.

4. Clique no link Selecionar um perfil de atualização agilizada.

5. Na lista de perfis que é mostrada no lado direito da página, selecione um perfil para ver os resultados.

6. Selecione o botão Gerar relatório.

Relatório de dispositivos

Esse relatório pode ajudar você a localizar dispositivos com alertas ou erros e a solucionar problemas de atualização.

1. Entre no centro de administração do Microsoft Intune

2. Selecione Dispositivos>Monitor.

3. Na lista de relatórios de monitoramento, role até a seção Atualizações de software e selecione Falhas de atualização agilizada do Windows.

4. Na lista de perfis que é mostrada no lado direito da página, selecione um perfil para ver os resultados.

   

Estados da atualização

Estado da Atualização	Subestado da Atualização	Definição
Pending	Validando	O dispositivo foi adicionado à política no serviço e foi iniciada a validação de que o dispositivo pode ser agilizado.
Pending	Agendada	O dispositivo foi aprovado na validação e será agilizado.
Oferta	OfferReady	As instruções de agilização foram enviadas ao dispositivo.
Instalando	OfferReceived	O dispositivo foi examinado em relação ao Windows Update. A atualização é aplicável, mas o download ainda não foi iniciado.
Instalando	DownloadStart	O dispositivo começou a baixar a atualização.
Instalando	DownloadComplete	O dispositivo baixou a atualização.
Instalando	InstallStart	O dispositivo começou a instalar a atualização.
Instalando	InstallComplete	O dispositivo concluiu a instalação da atualização. A menos que a atualização tenha algum erro, o dispositivo passará rapidamente para RestartRequired ou UpdateInstalled.
Instalando	RestartRequired	A instalação foi concluída e exige uma reinicialização.
Instalando	RestartInitiated	O dispositivo iniciou uma reinicialização.
Instalando	RestartComplete	O dispositivo concluiu a reinicialização.
Instalado	UpdateInstalled	A atualização foi concluída com êxito.

Próximas etapas

• Configurar Anéis de atualização para o Windows 10 e posterior
• Configurar Atualizações de recurso para o Windows 10 e posterior
• Usar relatórios de compatibilidade de atualização do Windows
• Exibir Informações da versão do Windows