Gerenciamento de dispositivo móvel (MDM) para atualizações de dispositivo
Dica
Se não for um desenvolvedor ou administrador, você encontrará informações mais úteis no Windows Update: perguntas frequentes.
Com o uso de computadores, tablets, telefones e dispositivos IoT, as soluções de gerenciamento de dispositivo móvel (MDM) estão se tornando predominantes como uma tecnologia leve de gerenciamento de dispositivo. No Windows, estamos investindo pesado na extensão dos recursos de gerenciamento disponíveis para MDMs. Um recurso importante que estamos adicionando é a capacidade dos MDMs de manter os dispositivos atualizados com as últimas atualizações da Microsoft.
Em particular, o Windows fornece APIs para habilitar MDMs para:
- Certifique-se de que as máquinas fiquem atualizadas, configurando políticas de Atualização Automática.
- Teste atualizações em um conjunto menor de computadores ao configurar quais atualizações são aprovadas para um determinado dispositivo. Em seguida, faça uma distribuição em toda a empresa.
- Obtenha o status de conformidade dos dispositivos gerenciados. A TI pode saber quais computadores ainda precisam de um patch de segurança, ou como está a atualização de um computador específico.
- Configurar políticas de atualização automática para garantir que os dispositivos permaneçam atualizados.
- Obtenham informações de conformidade do dispositivo (a lista de atualizações necessárias, mas que ainda não foram instaladas).
- Insira uma lista de aprovação de atualização por dispositivo. A lista garante que os dispositivos instalem apenas atualizações aprovadas e testadas.
- Aprove EULAs (contratos de licença de usuário final) para o usuário final para que a implantação de atualização possa ser automatizada até mesmo para atualizações com EULAs.
Este artigo fornece isv (fornecedores de software independentes) com as informações necessárias para implementar o gerenciamento de atualizações no Windows. Para obter mais informações, consulte Política CSP – Atualização.
Observação
As APIs do OMA DM para especificar aprovações de atualização e obter o status de conformidade referem-se às atualizações usando uma ID de atualização. A ID de atualização é um GUID que identifica uma atualização específica. O MDM deseja mostrar informações amigáveis à TI sobre a atualização, em vez de um GUID bruto, incluindo o título, a descrição, o KB da atualização, o tipo de atualização, como uma atualização de segurança ou um service pack. Para obter mais informações, consulte [MS-WSUSSS]: Windows Update Services: Server-Server Protocol.
O diagrama a seguir fornece uma visão geral conceitual sobre como isso funciona:
O diagrama pode ser basicamente dividido em três áreas:
- O serviço de gerenciamento de dispositivo sincroniza informações de atualização (título, descrição, aplicabilidade) do Microsoft Update usando o protocolo de sincronização servidor-servidor (topo do diagrama).
- O serviço de gerenciamento de dispositivos define as políticas de atualização automática, obtém informações de conformidade de atualização e define aprovações via OMA DM (parte esquerda do diagrama).
- O dispositivo recebe atualizações do Microsoft Update usando o protocolo cliente/servidor. Ele só baixa e instala atualizações que se aplicam ao dispositivo e são aprovadas pela TI (parte direita do diagrama).
Obtendo metadados de atualização usando o protocolo de sincronização servidor-servidor
O Catálogo do Microsoft Update contém várias atualizações que não são necessárias para dispositivos gerenciados por MDM. Ele inclui atualizações para software herdado, como atualizações para servidores, sistemas operacionais de área de trabalho de nível inferior, & aplicativos herdados e um grande número de drivers. Recomendamos que os MDMs usem o protocolo de sincronização Servidor-Servidor para obter metadados de atualização para atualizações relatadas do cliente.
Esta seção descreve essa configuração. O diagrama a seguir mostra o processo de protocolo de sincronização do servidor-servidor.
O MSDN fornece muitas informações sobre o protocolo de sincronização servidor-servidor. Em particular:
- É um protocolo baseado em SOAP, e você pode obter o WSDL no Serviço Web de Sincronização do Servidor. O WSDL pode ser usado para gerar proxies de chamada para muitos ambientes de programação, para simplificar o desenvolvimento.
- Você pode encontrar exemplos de código em Exemplos de protocolo. O código de exemplo mostra comandos SOAP brutos, que podem ser usados. Embora seja ainda mais simples fazer a chamada de uma linguagem de programação como .NET (chamando os proxies gerados pelo WSDL). O stub gerado pelo WSDL de Sincronização do Servidor gera uma URL de associação incorreta. A URL de associação deve ser definida como
https://fe2.update.microsoft.com/v6/ServerSyncWebService/serversyncwebservice.asmx.
Alguns destaques importantes:
- O protocolo tem uma fase de autorização (chamando GetAuthConfig, GetAuthorizationCookie e GetCookie). Em Exemplos de Protocolo, o código Exemplo 1: Autorização mostra como a autorização é feita. Embora isso seja chamado de fase de autorização, o protocolo é completamente aberto (nenhuma credencial é necessária para executar essa fase do protocolo). Essa sequência de chamadas precisa ser feita para obter um cookie para a parte principal do protocolo de sincronização. Como uma otimização, você pode armazenar o cookie em cache e apenas chamar essa sequência novamente se o seu cookie tenha vencido.
- O protocolo permite que o MDM sincronize metadados de atualização para uma atualização específica chamando GetUpdateData. Para obter mais informações, consulte GetUpdateData no MSDN. O LocURI para obter as atualizações aplicáveis a seus números de revisão é
<LocURI>./Vendor/MSFT/Update/InstallableUpdates?list=StructData</LocURI>. Como nem todas as atualizações estão disponíveis por meio da sincronização de S2S, certifique-se de manipular erros de SOAP. - Para dispositivos móveis, você pode sincronizar metadados para uma atualização específica chamando GetUpdateData. Ou, para uma solução local, você pode usar o WSUS (Windows Server Update Services) e importe manualmente as atualizações móveis a partir do site Catálogo do Microsoft Update. Para obter mais informações, confira Diagrama de fluxo de processo e capturas de tela do processo de sincronização do servidor.
Observação
Ao longo do tempo, o Microsoft Update modifica metadados para uma determinada atualização, por exemplo, atualizando informações descritivas, corrigindo bugs em regras de aplicabilidade, fazendo alterações de localização e assim por diante. Sempre que ocorre uma alteração que não afeta a atualização em si, uma nova revisão de atualização é criada. Um GUID (UpdateID) e um composto RevisionNumber (int) para incluir uma chave de identidade para uma revisão de atualização. O MDM não apresenta uma revisão de atualização para TI. Em vez disso, para cada GUID (UpdateID), o MDM mantém os metadados para a revisão posterior dessa atualização, que é aquela com o número de revisão mais alto.
Exemplos de descrições de elementos e estruturas XML de metadados de atualização
A resposta da chamada GetUpdateData retorna uma matriz de ServerSyncUpdateData que contém os metadados de atualização no elemento XmlUpdateBlob. O esquema do XML de atualização está disponível nos Exemplos de protocolo. Alguns dos elementos-chave são descritos aqui:
- UpdateID - O identificador exclusivo para uma atualização
- RevisionNumber – Número de revisão para a atualização caso a atualização tenha sido modificada.
- CreationDate – a data em que essa atualização foi criada.
- UpdateType – O tipo de atualização, que pode incluir o seguinte:
- Detectoid – Se essa identidade de atualização representa uma lógica de compatibilidade
- Categoria – Esse elemento pode representar um dos seguintes elementos:
- Uma categoria de produto à qual a atualização pertence. Por exemplo, Windows, MS Office etc.
- A classificação à qual a atualização pertence. Por exemplo, drivers, segurança, etc.
- Software – Se a atualização for uma atualização de software.
- Driver – Se a atualização for uma atualização do driver.
- LocalizedProperties – Representa o idioma em que a atualização está disponível, o título e a descrição da atualização. Ele tem os seguintes campos:
- Idioma – O identificador de código de idioma (LCID). Por exemplo, en ou es.
- Título – Título da atualização. Por exemplo, "Windows SharePoint Services 3.0 Service Pack 3 x64 Edition (KB2526305)"
- Descrição – Descrição da atualização. Por exemplo, "Windows SharePoint Services 3.0 Service Pack 3 (KB2526305) fornece as atualizações mais recentes para Windows SharePoint Services 3.0. Depois de instalar esse item, reinicie o computador. Depois de instalar esse item, ele não poderá ser removido."
- KBArticleID - O número do artigo do KB para esta atualização que tem detalhes sobre a atualização específica. Por exemplo,
https://support.microsoft.com/kb/2902892.
Fluxo recomendado para usar o protocolo de sincronização servidor-servidor.
Essa seção descreve um algoritmo possível para usar o protocolo de sincronização servidor-servidor para extrair metadados de atualização para o MDM.
Primeiro, um pouco de contexto:
- Se você tiver um MDM multilocatário, os metadados de atualização poderão ser mantidos em uma partição compartilhada, já que é comum a todos os locatários.
- Em seguida, um serviço de sincronização de metadados poderá ser implementado. O serviço chama periodicamente a sincronização servidor-servidor para extrair metadados para as atualizações que a TI se interessa.
- O componente MDM que usa o OMA DM para controlar dispositivos (descrito na próxima seção) deve enviar ao serviço de sincronização de metadados a lista de atualizações necessárias obtidas de cada cliente se essas atualizações já não forem conhecidas pelo dispositivo.
O procedimento a seguir descreve um algoritmo básico para um serviço de sincronização de metadados:
- Crie uma lista vazia de "IDs de atualização necessárias para falha". Esta lista é atualizada pelo componente de serviço MDM que usa OMA DM. Recomendamos não adicionar atualizações de definição a essa lista, já que elas são temporárias. Por exemplo, o Defender pode liberar novas atualizações de definição várias vezes por dia, cada uma delas é cumulativa.
- Sincronize periodicamente (recomendamos uma vez a cada 2 horas, não mais do que uma vez/hora).
- Implemente a fase de autorização do protocolo para obter um cookie se você ainda não tiver um cookie não expirado. Consulte Amostra 1: autorização em Exemplos de protocolo.
- Implemente a parte de metadados do protocolo. Consulte Exemplo 2: Sincronização de Metadados e Implantações em Exemplos de Protocolo) e chame GetUpdateData para todas as atualizações na lista "IDs de atualização necessárias para falha" se os metadados de atualização ainda não tiverem sido puxados para o DB.
- Se a atualização for uma revisão mais recente de uma atualização existente (mesmo UpdateID, número de revisão maior), substitua os metadados de atualização anteriores pelo novo.
- Remova as atualizações da lista "IDs de atualização necessárias para a falha" depois que elas forem trazidas.
Essas etapas obtêm informações sobre o conjunto de atualizações da Microsoft que a TI precisa gerenciar, para que as informações possam ser usadas em vários cenários de gerenciamento de atualizações. Por exemplo, no momento da aprovação da atualização, você pode obter informações para que a TI possa ver quais atualizações eles estão aprovando. Ou, para ver quais atualizações são necessárias, mas ainda não foram instaladas, quando se tratar dos relatórios de conformidade.
Gerenciando atualizações usando o OMA DM
Um MDM pode gerenciar atualizações via OMA DM. Os detalhes de como usar e integrar um MDM com o protocolo Windows OMA DM e como registrar dispositivos para gerenciamento de MDM são documentados em Gerenciamento de dispositivos móveis. Essa seção destaca como estender essa integração para dar suporte ao gerenciamento de atualizações. Os principais aspectos do gerenciamento de atualizações incluem as seguintes informações:
- Configurar políticas de atualização automática para garantir que os dispositivos permaneçam atualizados.
- Obtenham informações de conformidade do dispositivo (a lista de atualizações necessárias, mas que ainda não foram instaladas).
- Especifique uma lista de aprovação de atualização por dispositivo. A lista garante que os dispositivos instalem apenas atualizações aprovadas e testadas.
- Aprove EULAs para o usuário final para que a implantação de atualização possa ser automatizada, mesmo para atualizações com EULAs.
A lista a seguir descreve um modelo sugerido para a aplicação de atualizações.
- Ter um "grupo de teste" e um "grupo todos".
- No grupo Teste, permita que todas as atualizações fluam.
- No Grupo Todos, defina o adiamento de Atualização de Qualidade por sete dias e, em seguida, Atualizações de qualidade são aprovados automaticamente após sete dias. Os adiamentos de Atualização de Qualidade excluem Definição Atualizações, portanto, Atualizações de definição são aprovados automaticamente quando estiverem disponíveis. Corresponda ao cronograma de Definição Atualizações com o agendamento de adiamento de Atualização de Qualidade definindo Atualização/AdiarQualityUpdatesPeriodInDays como sete. Deixe que as atualizações fluam após sete dias ou pausando se ocorrerem problemas.
Atualizações são configurados usando o CSP da Política de Atualização.
Captura de tela da experiência do usuário de gerenciamento de atualização
As capturas de tela a seguir do console de administrador mostram a lista de títulos de atualização, status de aprovação e outros campos de metadados.
Exemplo de SyncML
Configurar a atualização automática para notificar e adiar.
<SyncML xmlns="SYNCML:SYNCML1.1">
<SyncBody>
<Replace xmlns="">
<CmdID>1</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/Update/AllowUpdateService</LocURI>
</Target>
<Data>0</Data>
</Item>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/Update/RequireDeferUpgrade </LocURI>
</Target>
<Data>0</Data>
</Item>
<CmdID>3</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/Update/RequireUpdateApproval </LocURI>
</Target>
<Data>0</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Diagramas de fluxo de processo e capturas de tela do processo de sincronização do servidor
O diagrama e as capturas de tela a seguir mostram o fluxo de processo do processo de atualização de dispositivo usando o Windows Server Update Services e o Catálogo do Microsoft Update.
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de