Como usar Política de Grupo para implantar uma reversão de problemas conhecidos

  • Artigo

Este artigo descreve como configurar Política de Grupo usar uma definição de política kir (reversão de problemas conhecidos) que ativa um KIR em dispositivos gerenciados.

Aplica-se a: Windows Server (todas as versões com suporte), cliente Windows (todas as versões com suporte)

Resumo

A Microsoft desenvolveu uma nova tecnologia de manutenção do Windows chamada KIR para Windows Server 2019 e Windows 10, versões 1809 e versões posteriores. Para as versões com suporte do Windows, um KIR reverte uma alteração específica que foi aplicada como parte de uma versão de não segurança Windows Update. Todas as outras alterações feitas como parte dessa versão permanecem intactas. Usando essa tecnologia, se uma atualização do Windows causar uma regressão ou outro problema, você não precisará desinstalar toda a atualização e retornar o sistema para a última boa configuração conhecida. Você reverte apenas a alteração que causou o problema. Essa reversão é temporária. Depois que a Microsoft lança uma nova atualização que corrige o problema, a reversão não é mais necessária.

Importante

OS KIRs se aplicam apenas a atualizações de não segurança. Isso ocorre porque reverter uma correção para uma atualização de não segurança não cria uma vulnerabilidade de segurança em potencial.

A Microsoft gerencia o processo de implantação do KIR para dispositivos não empresariais. Para dispositivos empresariais, a Microsoft fornece arquivos MSI de definição de política KIR. Em seguida, as empresas podem usar Política de Grupo para implantar KIRs em domínios híbridos de Microsoft Entra ID ou Active Directory Domain Services (AD DS).

Observação

Você precisa reiniciar os computadores afetados para aplicar essa alteração Política de Grupo.

O processo KIR

Se a Microsoft determinar que uma atualização de não segurança tem uma regressão crítica ou um problema semelhante, a Microsoft gerará um KIR. A Microsoft anuncia o KIR no Painel de Integridade do Windows e adiciona as informações aos seguintes locais:

Para clientes não empresariais, o processo Windows Update aplica o KIR automaticamente. Não é necessária nenhuma ação do usuário.

Para clientes corporativos, a Microsoft fornece um arquivo MSI de definição de política. Os clientes corporativos podem propagar o KIR para sistemas gerenciados usando a infraestrutura de Política de Grupo empresarial.

Para ver um exemplo de um arquivo KIR MSI, baixe Windows 10 (2004 & 20H2) 031321 01.mside reversão de problemas conhecidos .

Uma definição de política KIR tem uma vida útil limitada (alguns meses, no máximo). Depois que a Microsoft publica uma atualização alterada para resolver o problema original, o KIR não é mais necessário. Em seguida, a definição de política pode ser removida da infraestrutura de Política de Grupo.

Aplicar KIR a um único dispositivo usando Política de Grupo

Para usar Política de Grupo para aplicar um KIR a um único dispositivo, siga estas etapas:

  1. Baixe o arquivo MSI de definição de política KIR para o dispositivo.

    Importante

    Verifique se o sistema operacional listado no .msi nome do arquivo corresponde ao sistema operacional do dispositivo que você deseja atualizar.

  2. Execute o arquivo .msi no dispositivo. Essa ação instala a definição de política KIR no Modelo Administrativo.
  3. Abra a Política de Grupo Editor Local. Para fazer isso, selecione Iniciar e insira gpedit.msc.
  4. SelecioneModelos administrativos> deconfiguração> de computador de política > de computador localKB ####### Problema XXX Reversão>Windows 10, versão YYMM.

    Observação

    Nesta etapa, ####### está o número do artigo KB da atualização que causou o problema. XXX é o número de problema e YYMM é o número da versão Windows 10.

  5. Clique com o botão direito do mouse na política e selecione Editar>OKdesabilitado>.
  6. Reinicie o dispositivo.

Para obter mais informações sobre como usar a Política de Grupo Editor Local, consulte Trabalhando com as configurações de política de Modelo Administrativo usando o Política de Grupo Editor Local.

Aplicar um KIR a dispositivos em um Microsoft Entra ID híbrido ou domínio do AD DS usando Política de Grupo

Para aplicar uma definição de política KIR a dispositivos que pertencem a uma Microsoft Entra ID híbrida ou domínio do AD DS, siga estas etapas:

  1. Baixar e instalar os arquivos KIR MSI
  2. Crie um objeto Política de Grupo (GPO).
  3. Crie e configure um filtro WMI que aplique o GPO.
  4. Vincule o GPO e o filtro WMI.
  5. Configure o GPO.
  6. Monitore os resultados do GPO.

1. Baixe e instale os arquivos KIR MSI

  1. Verifique as informações de versão do KIR ou as listas de problemas conhecidos para identificar quais versões do sistema operacional você precisa atualizar.
  2. Baixe a definição de política KIR .msi arquivos necessários para atualizar para o computador que você usa para gerenciar Política de Grupo para seu domínio.
  3. Execute os arquivos .msi. Essa ação instala a definição de política KIR no Modelo Administrativo.

    Observação

    As definições de política são instaladas na pasta C:\Windows\PolicyDefinitions . Se você implementou o Política de Grupo Central Store, deverá copiar os arquivos .admx e .adml para a Central Store.

2. Criar um GPO

  1. Abra Política de Grupo Console de Gerenciamento e selecione Floresta: Domínios de> Nome de Domínio.
  2. Clique com o botão direito do mouse no nome do domínio e selecione Criar um GPO neste domínio e vincule-o aqui.
  3. Insira o nome do novo GPO (por exemplo, PROBLEMA KIR XXX) e selecione OK.

Para obter mais informações sobre como criar GPOs, consulte Criar um objeto Política de Grupo.

3. Criar e configurar um filtro WMI que aplica o GPO

  1. Clique com o botão direito do mouse em Filtros WMI e selecione Novo.

  2. Insira um nome para seu novo filtro WMI.

  3. Insira uma descrição do filtro WMI, como Filtrar para todos os dispositivos Windows 10 versão 2004.

  4. Selecione Adicionar.

  5. Em Consulta, insira a seguinte cadeia de caracteres de consulta:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Importante

    Nesta cadeia de caracteres, <VersionNumber> representa a versão do Windows à qual você deseja que o GPO se aplique. O número da versão deve usar o seguinte formato (exclua os colchetes quando você usa o número na cadeia de caracteres):

    10.0.xxxxxx

    onde xxxxx é um número de cinco dígitos. Atualmente, os KIRs dão suporte às seguintes versões:

    Versão Número de compilação
    Windows 10, versão 20H2 10.0.19042
    Windows 10, versão 2004 10.0.19041
    Windows 10, versão 1909 10.0.18363
    Windows 10, versão 1903 10.0.18362
    Windows 10, versão 1809 10.0.17763

    Para obter uma lista atualizada de versões do Windows e números de build, consulte Windows 10 - informações de versão.

    Importante

    Os números de build listados na página de informações de versão Windows 10 não incluem o prefixo 10.0. Para usar um número de build na consulta, você deve adicionar o prefixo 10.0 .

Para obter mais informações sobre como criar filtros WMI, consulte Criar filtros WMI para o GPO.

  1. Selecione o GPO que você criou anteriormente, abra o menu Filtragem WMI e selecione o filtro WMI que você acabou de criar.
  2. Selecione Sim para aceitar o filtro.

5. Configurar o GPO

Edite seu GPO para usar a política de ativação kir:

  1. Clique com o botão direito do mouse no GPO que você criou anteriormente e selecione Editar.
  2. No Política de Grupo Editor, selecioneModelos Administrativos> deConfiguração> do Computador GPOName>KB ####### Problema XXX Reversão>Windows 10, versão YYMM.
  3. Clique com o botão direito do mouse na política e selecione Editar>OKdesabilitado>.

Para obter mais informações sobre como editar GPOs, consulte Editar um objeto Política de Grupo do GPMC.

6. Monitorar os resultados do GPO

Na configuração padrão de Política de Grupo, os dispositivos gerenciados devem aplicar a nova política dentro de 90 a 120 minutos. Para acelerar esse processo, você pode executar gpupdate em dispositivos afetados para marcar manualmente para políticas atualizadas.

Verifique se cada dispositivo afetado será reiniciado após a aplicação da política.

Importante

A correção que introduziu o problema é desabilitada depois que o dispositivo aplica a política e, em seguida, reinicia.

Implantar uma ativação KIR usando Microsoft Intune ingestão de política do ADMX para os dispositivos gerenciados

Observação

Para usar as soluções nesta seção, você deve instalar a atualização cumulativa lançada em 26 de julho de 2022 ou posterior no computador.

Políticas de grupo e GPOs não são compatíveis com soluções baseadas em MDM (gerenciamento de dispositivo móvel), como Microsoft Intune. Essas instruções orientarão você sobre como usar Intune configurações personalizadas para ingestão do ADMX e configurar políticas de MDM apoiadas pelo ADMX para executar uma ativação KIR sem exigir um GPO.

Para executar uma ativação KIR em Intune dispositivos gerenciados, siga estas etapas:

  1. Baixe e instale o arquivo KIR MSI para obter arquivos ADMX.
  2. Crie um perfil de configuração personalizado no Microsoft Intune.
  3. Monitorar a ativação do KIR.

1. Baixe e instale o arquivo KIR MSI para obter arquivos ADMX

  1. Verifique as informações de versão do KIR ou as listas de problemas conhecidos para identificar quais versões do sistema operacional (sistema operacional) você deve atualizar.

  2. Baixe a definição de política KIR necessária .msi arquivos no computador que você usa para entrar no Microsoft Intune.

    Observação

    Você precisará de acesso ao conteúdo de um arquivo ADMX de ativação kir.

  3. Execute os .msi arquivos. Essa ação instala a definição de política KIR no Modelo Administrativo.

    Observação

    As definições de política são instaladas na pasta C:\Windows\PolicyDefinitions .

    Se você quiser extrair os arquivos ADMX para outro local, use o msiexec comando com a propriedade TARGETDIR . Por exemplo:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Criar um perfil de configuração personalizado no Microsoft Intune

Para configurar dispositivos para executar uma ativação KIR, você precisa criar um perfil de configuração personalizado para cada sistema operacional de seus dispositivos gerenciados. Para criar um perfil personalizado, siga estas etapas:

  1. Selecione propriedades e adicione informações básicas do perfil.
  2. Adicione a configuração personalizada para ingerir arquivos ADMX para ativação kir.
  3. Adicione a configuração personalizada para definir a nova política de ativação kir.
  4. Atribua dispositivos ao perfil de configuração personalizada de ativação kir.
  5. Use regras de aplicabilidade para direcionar dispositivos para receber as configurações de configuração personalizadas do KIR pelo sistema operacional.
  6. Examine e crie o perfil de configuração personalizada de ativação KIR.

R. Selecione propriedades e adicione informações básicas sobre o perfil

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Perfis de configuração>Criar perfil.

  3. Selecione as seguintes propriedades:

    • Plataforma: Windows 10 e posterior
    • Perfil: Modelos Personalizados>

  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para a política. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é "Ativação KIR 04/30 – Windows 10 21H2".
    • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

    Observação

    O tipo de plataforma e perfil já deve ter valores selecionados.

  6. Selecione Avançar.

Observação

Para obter mais informações sobre como criar perfis de configuração personalizados e configurações, consulte Usar configurações de dispositivo personalizadas em Microsoft Intune.

Antes de prosseguir para as duas próximas etapas, abra o arquivo ADMX em um editor de texto (por exemplo, Bloco de Notas) em que o arquivo foi extraído. O arquivo ADMX deve estar no caminho C:\Windows\PolicyDefinitions se você o instalou como um arquivo MSI.

Aqui está um exemplo do arquivo ADMX:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Registre os valores para policy name e parentCategory. Essas informações estão no nó "políticas" no final do arquivo.

B. Adicionar configuração personalizada para ingerir arquivos ADMX para ativação kir

Essa configuração é usada para instalar a política de ativação KIR em dispositivos de destino. Siga estas etapas para adicionar as configurações de ingestão do ADMX:

  1. Em Definições de configuração, selecione Adicionar.

  2. Insira as seguintes propriedades:

    • Nome: insira um nome descritivo para a configuração. Nomeie suas configurações para que você possa identificá-las mais tarde. Por exemplo, um bom nome de configuração é "Ingestão do ADMX: Ativação KIR 04/30 – Windows 10 21H2".

    • Descrição: insira uma descrição para a configuração. Essa configuração é opcional, mas recomendada.

    • OMA-URI: insira a cadeia de caracteres ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Observação

      Substitua <o Nome> da Política do ADMX pelo valor do nome da política registrado do arquivo ADMX. Por exemplo, "KB5011563_220428_2000_1_KnownIssueRollback".

    • Tipo de dados: selecione Cadeia de caracteres.

    • Valor: Abra o arquivo ADMX com um editor de texto (por exemplo, Bloco de Notas). Copie e cole todo o conteúdo do arquivo ADMX que você pretende ingerir neste campo.

  3. Selecione Salvar.

C. Adicionar configuração personalizada para definir a nova política de ativação kir

Essa configuração é usada para configurar a política de ativação KIR, que é definida na etapa anterior.

Siga estas etapas para adicionar as configurações de configuração de ativação do KIR:

  1. Em Definições de configuração, selecione Adicionar.

  2. Insira as seguintes propriedades:

    • Nome: insira um nome descritivo para a configuração. Nomeie suas configurações para que você possa identificá-las mais tarde. Por exemplo, um bom nome de configuração é "Ativação KIR: ativação KIR 04/30 – Windows 10 21H2".

    • Descrição: insira uma descrição para a configuração. Essa configuração é opcional, mas recomendada.

    • OMA-URI: insira a cadeia de caracteres ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Observação

      Substitua <Categoria> Pai pela cadeia de caracteres de categoria pai registrada na etapa anterior. Por exemplo, "KnownIssueRollback_Win_11". Substitua <o Nome> da Política do ADMX pelo mesmo nome da política usado na etapa anterior.

    • Tipo de dados: selecione Cadeia de caracteres.

    • Valor: Inserir <desabilitado/>.

  3. Selecione Salvar.

  4. Selecione Avançar.

D. Atribuir dispositivos ao perfil de configuração personalizada de ativação kir

Depois de definir o que o perfil de configuração personalizado faz, siga estas etapas para identificar quais dispositivos você configurará:

  1. Em Atribuições, selecione Adicionar todos os dispositivos.
  2. Selecione Avançar.

E. Usar regras de aplicabilidade para direcionar dispositivos para receber configurações de configuração personalizadas do KIR pelo sistema operacional

Para direcionar os dispositivos pelo sistema operacional aplicáveis ao GP, adicione uma regra de aplicabilidade para marcar a versão do sistema operacional do dispositivo (Build) antes de aplicar essa configuração. Você pode pesquisar os números de build para o sistema operacional com suporte nas seguintes páginas:

Os números de build mostrados nas páginas são formatados como MMMMM.mmmm (M= versão principal e m= versão menor). As propriedades da versão do sistema operacional usam os principais dígitos de versão. Os valores da versão do sistema operacional inseridos nas Regras de Aplicabilidade devem ser formatados como "10.0.MMMMM". Por exemplo, "10.0.22000".

Siga estas instruções para definir as Regras de Aplicabilidade corretas para a ativação do KIR:

  1. Em Regras de Aplicabilidade, crie uma regra de aplicabilidade inserindo as seguintes propriedades na regra em branco já na página:

    • Regra: selecione Atribuir perfil se estiver na lista suspensa.
    • Propriedade: selecione Versão do sistema operacional na lista suspensa.
    • Valor: insira o Min e os números de versão do sistema operacional máximo formatados como "10.0.MMMMM".

  2. Selecione Avançar.

Observação

A versão do sistema operacional de um dispositivo pode ser encontrada executando o winver comando no menu Iniciar. Ele mostrará um número de versão de duas partes separado por um "". Por exemplo, "22000.613". Você pode acrescentar o número esquerdo a "10.0". para a versão do Min OS. Obtenha o número da versão do sistema operacional máximo adicionando 1 ao último dígito do número da versão do Sistema Operacional Min. Para este exemplo, você pode usar esses valores:
Versão do sistema operacional min: "10.0.22000"
Versão máxima do sistema operacional: "10.0.22001"

F. Examinar e criar o perfil de configuração personalizada de ativação KIR

Examine as configurações do perfil de configuração personalizado e selecione Criar.

3. Monitorar a ativação do KIR

Sua ativação kir deve estar em andamento agora. Siga estas etapas para monitorar o progresso do perfil de configuração:

  1. Acesse Perfisde configuração de dispositivos> e selecione um perfil existente. Por exemplo, selecione um perfil do macOS.

  2. Selecione a guia Visão geral. Nesta visualização, o status de atribuição de perfil inclui os seguintes status:

    • Êxito: a política foi aplicada com êxito.
    • Erro: houve falha na aplicação da política. A mensagem normalmente exibe um código de erro que é vinculado a uma explicação.
    • Conflito: duas configurações foram aplicadas ao mesmo dispositivo e o Intune não pode classificar o conflito. Um administrador deve examinar o conflito.
    • Pendente: o dispositivo ainda não fez check-in no Intune para receber a política.
    • Não aplicável: o dispositivo não pode receber a política. Por exemplo, a política atualiza uma configuração específica para iOS 11.1, mas o dispositivo usa iOS 10.

Para obter mais informações, consulte Monitorar perfis de configuração de dispositivo no Microsoft Intune.

Mais informações