Gerenciamento de atualizações do Windows Driver no Microsoft Intune

Com o Gerenciamento de Atualizações do Windows Driver em Microsoft Intune, você pode examinar, aprovar para implantação e pausar implantações de atualizações de driver para seus dispositivos Windows 10 e Windows 11 gerenciados. Intune e o DS (serviço de implantação do Windows Update for Business) cuidam do trabalho pesado para identificar as atualizações de driver aplicáveis para dispositivos atribuídos a uma política de atualizações de driver. Intune e atualizações de classificação WUfB-DS por categorias que ajudam você a identificar facilmente as atualizações recomendadas do driver para todos os dispositivos ou atualizações que podem ser consideradas opcionais para uso mais limitado.

Usando políticas de atualização do driver do Windows, você permanece no controle de quais atualizações de driver podem ser instaladas em seus dispositivos. Você pode:

• Habilitar aprovações automáticas de atualizações recomendadas do driver. As políticas definidas para aprovação automática aprovam e implantam automaticamente cada nova versão de atualização do driver que é considerada um driver recomendado para os dispositivos atribuídos à política. Os drivers recomendados normalmente são a atualização de driver mais recente publicada pelo editor de driver que o editor marcou conforme necessário. Os drivers que não são identificados como o driver recomendado atual também estão disponíveis como outros drivers, o que pode ser considerado como atualizações opcionais do driver.

  Posteriormente, quando uma atualização mais recente do driver do OEM for lançada e identificada como a atualização de driver recomendada atual, Intune adiciona-a automaticamente à política e move o driver recomendado anteriormente para a lista de outros drivers.

  Dica

  Uma atualização de driver recomendada aprovada que é movida para a lista de outros drivers devido a uma atualização de driver recomendada mais recente se tornando disponível, permanece aprovada. Quando uma atualização de driver recomendada e aprovada mais recente estiver disponível, o WUfB-DS instalará apenas essa versão aprovada mais recente. Se a versão de atualização aprovada mais recente for pausada, o serviço de implantação oferecerá automaticamente a próxima versão de atualização mais recente e aprovada, que agora está na lista de outros drivers . Esse comportamento garante que a última versão de atualização de driver conhecida que foi aprovada possa continuar a ser instalada em dispositivos, enquanto a versão recomendada mais recente permanece pausada.

  Com essa configuração de política, você também pode optar por examinar as atualizações disponíveis para aprovar, pausar ou recusar seletivamente qualquer atualização que permaneça disponível para dispositivos com a política.

• Configure a política para exigir a aprovação manual de todas as atualizações. Essa política garante que os administradores aprovem uma atualização de driver antes que ela possa ser implantada. Versões mais recentes de atualizações de driver para dispositivos com essa política são adicionadas automaticamente à política, mas permanecem inativas até serem aprovadas.

Posteriormente, quando uma atualização mais recente do driver do OEM é recomendada para um dispositivo na política, a política status atualizações para indicar que há drivers pendentes de sua revisão. Essa status se torna uma chamada à ação para revisar a política e decidir se deseja aprovar a implantação dos drivers mais recentes para dispositivos.

• Gerenciar quais drivers são aprovados para implantação. Você pode editar qualquer política de atualização de driver para modificar quais drivers são aprovados para implantação. Você pode pausar a implantação de qualquer atualização individual do driver para interromper sua implantação em novos dispositivos e, posteriormente, reaprove a atualização pausada para permitir que Windows Update retomem a instalação em dispositivos aplicáveis.

Independentemente da configuração da política e dos drivers incluídos, somente drivers aprovados podem ser instalados em dispositivos. Além disso, Windows Update só instala a atualização mais recente disponível e aprovada quando a versão é mais recente do que a instalada atualmente no dispositivo.

O gerenciamento de atualização do driver do Windows se aplica a:

• Windows 10
• Windows 11

Pré-requisitos

Importante

Esse recurso não tem suporte no ambiente de nuvem do GCC.

Habilitar a ativação de assinatura com um EA existente não é aplicável a ambientes de nuvem GCC e GCC High/DoD para recursos WuFB-DS.

Para usar o gerenciamento do Windows Driver Update, sua organização deve ter as seguintes licenças, assinaturas e configurações de rede:

Assinaturas

• Intune: seu locatário requer a assinatura Microsoft Intune Plano 1.

• Microsoft Entra ID: Microsoft Entra ID assinatura gratuita (ou maior).

Requisitos de edição & dispositivo

Assinaturas e licenças do Windows:

Sua organização deve ter uma das seguintes assinaturas que incluem uma licença para o serviço de implantação do Windows Update for Business:

• Windows 10/11 Enterprise E3 ou E5 (incluído no Microsoft 365 F3, E3 ou E5)
• Windows 10/11 Education A3 ou A5 (incluído no Microsoft 365 A3 ou A5)
• Windows Virtual Desktop Access E3 ou E5
• Microsoft 365 Business Premium

Examine os detalhes da assinatura para obter aplicabilidade para Windows 11.

Se você estiver bloqueado ao criar novas políticas para recursos que exigem WUfB-DS e obter suas licenças para usar o WUfB por meio de um Enterprise Agreement (EA), entre em contato com a origem de suas licenças, como sua equipe de conta microsoft ou o parceiro que vendeu as licenças. A equipe da conta ou o parceiro podem confirmar que as licenças de seus locatários atendem aos requisitos de licença WUfB-DS. Consulte Habilitar ativação de assinatura com um EA existente.

Edições do Windows:

Há suporte para atualizações de driver para as seguintes edições Windows 10/11:

• Pro
• Corporativo
• Educação
• Pro for Workstations

Observação

Versões e edições não suportadas:
Windows 10/11 Enterprise LTSC: o Windows Update para Empresas (WUfB) não é compatível com a versão do Canal de Serviço de Longo Prazo. Planeje usar métodos alternativos de aplicação de patches, como o WSUS ou o Configuration Manager.

Os dispositivos precisam:

• Executar uma versão do Windows 10/11 que seja compatível.

• Registre-se no Intune MDM e seja ingressado ou ingressado no Hybrid AD ou Microsoft Entra ingressado.

• Ter a Telemetria ativada e configurada para relatar um nível de dados mínimo do Basic , conforme definido em Alterações na coleta de dados de diagnóstico do Windows na documentação do Windows.

  Você pode usar um dos seguintes Intune caminhos de perfil de configuração do dispositivo para configurar a Telemetria para dispositivos Windows 10 ou Windows 11:

  • Modelo de restrição de dispositivo: com esse perfil, defina Compartilhar dados de uso como Obrigatórios. Também há suporte para opcionais.
  • Catálogo de configurações: no catálogo Configurações, adicione Permitir Telemetria da categoria Sistema e defina-o como Básico. Também há suporte para full.

  Para obter mais informações sobre as configurações da Telemetria do Windows, incluindo as opções de configuração atuais e passadas do Windows, consulte Alterações na coleta de dados de diagnóstico do Windows na documentação do Windows.

• O Assistente de Logon da Conta da Microsoft (wlidsvc) deve poder ser executado. Se o serviço estiver bloqueado ou definido como Desabilitado, ele não receberá a atualização. Para obter mais informações, confira As atualizações de recursos não estão sendo oferecidas enquanto outras atualizações estão. Por padrão, o serviço é definido como Manual (Início do Gatilho), que permite que ele seja executado quando necessário.

• Tenha acesso aos pontos de extremidade de rede exigidos por Intune dispositivos gerenciados. Consulte Pontos de extremidade de rede.

Habilitar a coleta de dados para relatórios

Para dar suporte a relatórios para atualizações do Windows Driver, você deve habilitar o uso de dados de diagnóstico do Windows em Intune. É possível que os dados de diagnóstico já estejam habilitados para outros relatórios, como atualizações de recursos do Windows e relatórios de atualização de qualidade acelerada. Para habilitar o uso de dados de diagnóstico do Windows:

1. Entre no centro de administração Microsoft Intune e acesse Conectores de administração>de locatários e tokens>dados do Windows.

2. Expanda dados do Windows e verifique se a configuração Habilitar recursos que exigem dados de diagnóstico do Windows na configuração do processador é alternada para Ativar.

Para obter mais informações, consulte Habilitar o uso de dados de diagnóstico do Windows por Intune.

Suporte ao GCC High

Intune política para driver Atualizações não tem suporte atualmente com ambientes GCC High.

Requisitos RBAC

Para gerenciar atualizações do Windows Driver, sua conta deve receber uma função RBAC (controle de acesso baseado em função) Intune que inclui as seguintes permissões:

• Configurações do dispositivo:
  • Atribuir
  • Criar
  • Excluir
  • Exibir relatórios
  • Atualizar
  • Leitura

Você pode adicionar a permissão configurações do dispositivo com um ou mais direitos às suas próprias funções de RBAC personalizadas ou usar uma função interna de Gerenciador de Perfil e Política , que inclui esses direitos.

Para obter mais informações, consulte Controle de acesso baseado em função para Microsoft Intune.

Limitações para dispositivos ingressados no local de trabalho

Intune políticas para atualizações de driver para Windows 10 e posteriores exigem o uso do WUfB (Windows Update for Business) e do serviço de implantação do Windows Update for Business (WUfB ds). Quando o WUfB dá suporte a dispositivos WPJ, o WUfB ds fornece outros recursos que não têm suporte para dispositivos WPJ.

Para obter mais informações sobre limitações do WPJ para políticas de Intune Windows Update, consulte Limitações de política para dispositivos ingressados no local de trabalho em Gerenciar atualizações de software Windows 10 e Windows 11 em Intune.

Arquitetura

Arquitetura de Gerenciamento de Atualizações do Windows Driver:

1. Microsoft Intune fornece as configurações de política de Microsoft Entra IDs e Intune para dispositivos no WUfB-DS. Intune também fornece a lista de aprovações de driver e comandos de pausa para WUfB-DS.
2. O WUfB-DS configura o Windows Atualizações com base nas informações fornecidas pelo Intune. O Windows Atualizações fornece o inventário de atualização de driver aplicável por ID do dispositivo.
3. Os dispositivos enviam dados para a Microsoft para que Windows Update possam identificar as atualizações de driver aplicáveis para um dispositivo durante suas verificações de Windows Update regulares para obter atualizações. Todas as atualizações aprovadas são instaladas no dispositivo.
4. O WUfB-DS relata os dados de diagnóstico do Windows de volta ao Intune para relatórios.

Planejar atualizações de driver

Antes de criar políticas e gerenciar a aprovação de drivers em suas políticas, recomendamos construir um plano de implantação de atualização de driver que inclua membros da equipe que possam aprovar atualizações de driver e firmware. Os sujeitos a considerar incluem:

• Quando usar aprovações automáticas de driver versus usar aprovações manuais do driver.

• Uso de anéis de implantação para políticas de atualização do driver para limitar a instalação de novas atualizações de driver para testar grupos de dispositivos antes de instalar amplamente essas atualizações em todos os dispositivos. Com essa abordagem, sua equipe pode identificar possíveis problemas em um anel inicial antes de implantar atualizações amplamente. O uso de anéis pode fornecer tempo para pausar uma atualização problemática em anéis subsequentes para atrasar ou impedir sua implantação. Exemplos de abordagens organizacionais para anéis incluem:

  • Estruturar políticas de atualização do driver para diferentes modelos de dispositivo e hardware, alinhados com suas unidades organizacionais ou uma combinação de ambos.

  • Usando períodos de adiamento de política para atualizações automáticas e a data disponível para atualizações aprovadas manualmente, para alinhar-se aos anéis de atualização para agendamentos de atualizações de qualidade e recursos.

  Você também pode definir a disponibilidade de atualização para atualizações aprovadas manualmente para corresponder a ciclos de atualização comuns, como a versão de terça-feira do Patch da Microsoft. O alinhamento de agendamentos pode ajudar a reduzir as reinicializações extras do sistema que algumas atualizações de driver exigem.

• Atribua dispositivos a apenas uma política de atualização de driver para ajudar a impedir que um dispositivo tenha seus drivers gerenciados por mais de uma política. Isso pode ajudar a evitar ter um driver instalado por uma política quando você recusou ou fez uma pausa na mesma atualização em uma política separada. Para obter mais informações sobre implantações de planejamento, consulte Criar um plano de implantação na documentação de implantação do Windows.

Perguntas frequentes

As políticas para atualizações de driver dão suporte a Filtros de Atribuição?

• Não. No momento, não há suporte para Atualizações de driver com filtros de atribuição.

Posso aplicar a política de atualizações de driver durante o Autopilot?

• Não. Não há suporte para Atualizações de piloto automático durante o piloto automático no momento.

Posso usar a política para reverter uma atualização do driver?

• Não. No momento, o WUfB não dá suporte à reversão do Driver. Embora a reversão possa ser roteada, há muitas variáveis potenciais para fornecer um script de exemplo útil para fazer isso. Se você precisar remover um driver, considere métodos manuais como o PowerShell.

Para ajudar a evitar problemas que exigem a reversão de um driver de um grande número de dispositivos, use anéis de implantação para limitar a instalação do driver a pequenos grupos iniciais de dispositivos. Essa abordagem permite tempo para avaliar o êxito ou a compatibilidade de um driver antes de implantá-lo amplamente em sua organização.

• Para políticas com aprovações manuais, você deve examinar e aprovar manualmente cada driver antes que ele possa ser implantado em dispositivos. Embora trabalhe mais do que políticas com aprovações automáticas, a aprovação manual pode ajudar a evitar problemas com drivers aprovados automaticamente.
• Se você usar políticas com aprovação automática, planeje monitorar a política para obter sinais iniciais de problemas. Se um problema de atualização do driver for identificado em um anel de implantação inicial, você poderá pausar essa mesma atualização em suas outras políticas.

Posso gerenciar um dispositivo por meio de várias políticas de atualização de driver?

• Embora haja suporte para o uso de várias políticas por dispositivo, não recomendamos fazê-lo. Em vez disso, recomendamos adicionar dispositivos a uma única política para evitar confusão sobre se um driver para um dispositivo é ou não aprovado.

  Considere um dispositivo que recebe atualizações de driver de duas políticas. Em uma política, uma atualização específica é aprovada e, na outra política, essa atualização é pausada. Como o status de aprovado sempre ganha, o driver instala no dispositivo, apesar de qualquer outra status para essa atualização que está definida em qualquer outra política.

Como reduzir reinicializações em dispositivos que recebem atualizações de driver?

• Como nem sempre é claro com antecedência quando um OEM lança uma nova atualização ou se essa atualização requer uma reinicialização, considere um padrão regular de revisões de atualização.

  • Para políticas com aprovação manual, ao aprovar drivers e definir uma data de aprovação disponível, você pode definir essa data como um evento como a terça-feira do Patch mensal ou qualquer outra hora de sua escolha.
  • Para políticas com aprovação automática, você pode pausar um recém-adicionado e, em seguida, voltar a aprová-lo. Ao reaproximar qualquer atualização pausada, você pode definir uma data de aprovação disponível.

  Para ajudar a atenuar esse tipo de desafio recorrente, estamos avaliando as alterações que podem atenuar a necessidade de coordenar manualmente as atualizações do driver com atualizações do Patch Tuesday .

Por que um driver desapareceu da lista de drivers disponíveis na minha política?

• Quando um OEM substitui um driver por um novo driver recomendado, o driver mais antigo pode ser movido para a categoria Outros drivers . No entanto, se esse driver mais antigo for a mesma versão ou mais antigo que os drivers em uso por todos os dispositivos, esse driver será totalmente removido da política, pois não há dispositivos que possam instalá-lo por meio de políticas de atualizações do Driver.

Como fazer remover drivers mais antigos da lista de driver das minhas políticas?

• Para garantir que a lista de drivers disponíveis esteja atualizada, os drivers com versões mais antigas do que aqueles já instalados em todos os dispositivos direcionados por uma política não são mais aplicáveis. Esses drivers mais antigos são removidos da lista de driver de políticas ativas e implantadas anteriormente. Somente os drivers que podem atualizar a versão do driver atualmente instalada em um dispositivo direcionado por uma política permanecem disponíveis na política.

  A instalação de drivers com versões mais antigas do que as que já estão presentes em um dispositivo não é possível por meio do gerenciamento de atualização do driver.

O que é a frequência de sincronização WUfB-DS?

• Intune a sincronizações WUfB-DS são executadas todos os dias e você pode usar a opção Sincronizar para executar uma sincronização sob demanda. O tempo para concluir uma sincronização depende das informações do dispositivo envolvidas, mas geralmente deve levar apenas alguns minutos para ser concluída.

  Os dispositivos sincronizam com o serviço WUfB-DS todos os dias quando o dispositivo executa uma verificação de Windows Update.

Quais drivers estão disponíveis para serem gerenciados?

• Todas as atualizações de driver que atualmente são publicadas em Windows Update e aplicáveis a um ou mais dispositivos na política estão disponíveis por meio de políticas de atualizações de driver.

E os drivers que atualizam um BIOS bloqueado por senha. Como isso funciona?

• Atualizações que são publicados no Windows Update têm a necessidade de usar um mecanismo windows que permita atualizar com segurança o firmware ou o driver sem exigir que o BIOS/UEFI seja desbloqueado.

Se um fornecedor tiver seu próprio aplicativo para examinar e instalar atualizações de driver e firmware, haverá um atraso na disponibilidade de atualização entre o aplicativo e o WUfB-DS?

• A possibilidade de um atraso depende do fornecedor ou do OEM que determina a disponibilidade de suas atualizações. Como as atualizações de driver são assinadas digitalmente pelo mesmo portal antes de serem publicadas no Windows Atualizações, as atualizações de driver podem ficar disponíveis por meio de Windows Update antes de ficarem disponíveis por meio das ferramentas de fornecedores.

Por que meus dispositivos têm atualizações de driver instaladas que não passaram por uma política de atualizações?

• Estes são drivers de extensão prováveis, que são "sub drivers" que um driver main pode referenciar para ser instalado quando o driver main estiver instalado ou atualizado. Os drivers de extensão aparecem nos drivers instalados ou no histórico de atualizações no dispositivo, mas não são gerenciáveis diretamente. Como os drivers de extensão não funcionam sem drivers base, é seguro permitir que eles instalem.

Quão rapidamente as atualizações pausadas são realmente pausadas?

• Pausar é um esforço melhor e, quando uma atualização é pausada, o WUfB-DS remove a aprovação. No entanto, os dispositivos não saberão que uma atualização está pausada até que seja a próxima verificação de atualizações.
  • Se um dispositivo ainda não tiver verificado a atualização, a atualização pausada não será oferecida e Pause funcionará conforme o esperado.
  • Se um dispositivo examinar atualizações e descobrir uma atualização for pausado e o dispositivo estiver em processo de download, instalação ou espera para reiniciar, Windows Update no dispositivo tentará um "melhor esforço" para remover a instalação da atualização do driver. Se não conseguir interromper a instalação, a atualização concluirá sua instalação.
  • Se uma atualização concluir sua instalação antes da próxima verificação de atualizações, nada acontecerá e a atualização permanecerá instalada.

Onde posso saber mais sobre os drivers disponíveis?

• Você pode obter mais informações sobre drivers copiando o nome e pesquisando no site catalog.update.microsoft.com.

As políticas de atualizações do driver atualizam drivers para dispositivos plug-in?

• Sim, se as atualizações do driver forem publicadas no Windows Update pelo fornecedor OEM.

Quais atualizações de driver meus usuários de dispositivo podem ver?

• Depois que um dispositivo é atribuído a uma política de atualização do driver, os drivers opcionais não são mostrados ao usuário final. Quando o administrador aprova uma atualização do driver, ele efetivamente se torna "necessário" e instala na próxima vez que o dispositivo verifica as atualizações.

Como fazer usar o gerenciamento de driver se estiver usando Configuration Manager para atualizações?

Você pode continuar a usar Configuration Manager para atualizações diferentes de Drivers ou começar a mover outros tipos de atualização para o gerenciamento de nuvem em Intune um de cada vez. Para fazer isso, primeiro, habilite a anexação de nuvem ou o cogerenciamento em sua hierarquia Configuration Manager para registrar seus dispositivos gerenciados em Intune.

O caminho recomendado e preferido para adotar atualizações baseadas em nuvem é mover a carga de trabalho Windows Update para Intune. Se sua organização não estiver pronta para isso, você poderá usar o recurso de gerenciamento driver e firmware no Intune sem mover a carga de trabalho concluindo as seguintes etapas:

1. Deixe a carga de trabalho Windows Update definida como Configuration Manager.

2. Configure suas políticas de driver no Intune para registrar dispositivos e prepará-los para o gerenciamento conforme detalhado em Gerenciar política para atualizações do Windows Driver com Microsoft Intune.

3. Configure uma política de grupo baseada em domínio para configurar Windows Update como a origem do Driver Atualizações usando a fonte Especificar para classes específicas da política de Atualizações do Windows.

   Observação

   Como Configuration Manager usa uma política de grupo local para configurar a política de origem de atualização, usar Intune ou um CSP para tentar configurar essas mesmas configurações resulta em um estado de dispositivo indefinido e imprevisível.

4. Habilite a coleta de dados no Intune para dispositivos aos quais você deseja implantar drivers e firmware.

5. [Opcional] Impor a permissão de envio de dados de diagnóstico usando uma política. O envio de dados de diagnóstico à Microsoft permite o uso de relatórios de Windows Update para Microsoft Intune.

   Observação

   Por padrão, o envio de dados de diagnóstico à Microsoft é permitido em dispositivos Windows. Desabilitar a coleta de dados de diagnóstico impede o uso de relatórios de Windows Update para Microsoft Intune de relatar qualquer informação de atualização para seus dispositivos gerenciados.

   Configure a configuração Permitir dados de diagnóstico como Opcional ou Obrigatório usando uma política de grupo baseada em domínio ou Intune. Para obter mais informações sobre como concluir essa tarefa, acesse:

   • Usar Política de Grupo para gerenciar a coleta de dados de diagnóstico

   • Usar o MDM para gerenciar a coleta de dados de diagnóstico

6. [Opcional] Habilitar a coleta de nomes de dispositivo em dados de diagnóstico. Para obter mais informações sobre a configuração usando uma política de grupo baseada em domínio ou Intune, consulte Requisitos de dados de diagnóstico.

   Observação

   Usar Intune para configurar qualquer uma das configurações de dados de diagnóstico mencionadas anteriormente requer que você mova a carga de trabalho de cogerenciamento de configuração de dispositivo para Intune.

Você pode mover o gerenciamento de atualização de recursos para a nuvem em Intune configurando uma política de atualização de recursos no Intune e definindo a configuração de Atualizações de recursos para Windows Update usando a fonte Especificar para classes específicas da política de grupo de políticas do Windows Atualizações.

Usar políticas do Anel de Atualização em Intune para Qualidade ou Atualizações de Recursos exige que você mova a carga de trabalho Windows Update para Intune.

Há uma maneira de definir um prazo para os drivers?

• As configurações de prazo e período de carência da Atualização de Qualidade se aplicam aos drivers. O prazo começa a partir do momento em que o driver é oferecido pela primeira vez ao dispositivo, mas não é um período de adiamento. O período de adiamento atrasa quando as atualizações são oferecidas pela primeira vez a um dispositivo.

As configurações de experiência do usuário de uma política do Anel de Atualização são aplicadas às atualizações do driver?

• Sim, configurações de experiência do usuário, como comportamento de atualização automática, horas ativas, notificações e assim por diante, também são aplicadas às atualizações do driver.

Por que leva até 24 horas para que o inventário de atualização do driver seja retornado?

• Para disponibilizar o inventário de driver, há várias etapas que devem ser concluídas. O mais importante é que, depois que a política é enviada e os dispositivos são registrados para gerenciamento, o Windows Atualizações deve aguardar que cada dispositivo faça sua verificação diária para obter atualizações. Esse processo ocorre diariamente, portanto, pode levar até 24 horas para que todos os dispositivos saudáveis marcar. Depois disso, Intune precisa processar os resultados da verificação para fornecer o inventário das atualizações de driver disponíveis.

Próximas etapas

• Criar uma política de atualização do driver do Windows
• Usar relatórios de atualização do driver do Windows