Implementar atualizações aceleradas com o serviço de implementação do Windows Update para Empresas
Neste artigo, irá:
Pré-requisitos
Todos os pré-requisitos para o serviço de implementação do Windows Update para Empresas têm de ser cumpridos, incluindo garantir que as Ferramentas de Estado de Funcionamento da Atualização estão instaladas nos clientes.
- As Ferramentas de Estado de Funcionamento da Atualização são instaladas a partir de KB4023057. Para confirmar a presença das Ferramentas de Estado de Funcionamento de Atualização num dispositivo, utilize um dos seguintes métodos:
- Executar um teste de preparação para atualizações aceleradas
- Procure a pasta C:\Program Files\Microsoft Update Health Tools ou reveja Adicionar Remover Programas para Ferramentas do Microsoft Update Health.
- Script do PowerShell de exemplo para verificar a instalação das ferramentas:
Get-CimInstance -ClassName Win32_Product \| Where-Object {$_.Name -match "Microsoft Update Health Tools"}
Permissões
São necessárias as seguintes permissões para as consultas listadas neste artigo:
- WindowsUpdates.ReadWrite.All para operações do serviço de implementação do Windows Update para Empresas .
- Pelo menos , permissão Device.Read.All para apresentar informações do dispositivo .
Algumas funções, como o administrador de implementação do Windows Update, já têm estas permissões.
Abrir o Explorador de Gráficos
Para este artigo, irá utilizar o Graph Explorer para fazer pedidos às APIs do Microsoft Graph para obter, adicionar, eliminar e atualizar dados. O Graph Explorer é uma ferramenta de programador que lhe permite saber mais sobre as APIs do Microsoft Graph. Para obter mais informações sobre como utilizar o Graph Explorer, consulte Introdução ao Graph Explorer.
Aviso
- Os pedidos listados neste artigo requerem o início de sessão com uma conta do Microsoft 365. Se necessário, está disponível uma avaliação gratuita de um mês para o Microsoft 365 Empresas Premium.
- Utilizar um inquilino de teste para aprender e verificar se o processo de implementação é altamente recomendado. O Graph Explorer destina-se a ser uma ferramenta de aprendizagem. Certifique-se de que compreende a concessão de consentimento e o tipo de consentimento do Graph Explorer antes de continuar.
A partir de um browser, aceda ao Graph Explorer e inicie sessão com uma conta de utilizador do Microsoft Entra.
Poderá ter de ativar a
WindowsUpdates.ReadWrite.Allpermissão para utilizar as consultas neste artigo. Para ativar a permissão:Selecione o separador Modificar permissões no Graph Explorer.
Na caixa de diálogo permissões, selecione a permissão WindowsUpdates.ReadWrite.All e, em seguida, selecione Consentimento. Poderá ter de iniciar sessão novamente para conceder consentimento.
Para fazer pedidos:
- Selecione GET, POST, PUT, PATCH ou DELETE na lista pendente do método HTTP.
- Introduza o pedido no campo URL. A versão será preenchido automaticamente com base no URL.
- Se precisar de modificar o corpo do pedido, edite o separador Corpo do pedido.
- Selecione o botão Executar consulta . Os resultados serão apresentados na janela Resposta .
Dica
Ao rever a documentação do Microsoft Graph, poderá reparar que os pedidos de exemplo normalmente listam
content-type: application/json. Especificarcontent-typenormalmente não é necessário para o Graph Explorer, mas pode adicioná-lo ao pedido ao selecionar o separador Cabeçalhos e ao adicionar ocontent-typeao campo Cabeçalhos de pedido como a Chave eapplication/jsoncomo o Valor.
Executar consultas para identificar dispositivos
Utilize o tipo de recurso do dispositivo para localizar clientes para se inscreverem no serviço de implementação. Altere os parâmetros de consulta de acordo com as suas necessidades específicas. Para obter mais informações, veja Utilizar parâmetros de consulta.
Apresenta o ID do Dispositivo do AzureAD e o Nome de todos os dispositivos:
GET https://graph.microsoft.com/v1.0/devices?$select=deviceid,displayNameApresenta o ID do Dispositivo do AzureAD e o Nome dos dispositivos que têm um nome a começar por
Test:GET https://graph.microsoft.com/v1.0/devices?$filter=startswith(displayName,'Test')&$select=deviceid,displayName
Adicionar um cabeçalho de pedido para consultas avançadas
Para os próximos pedidos, defina o cabeçalho ConsistencyLevel como eventual. Para obter mais informações sobre parâmetros de consulta avançados, veja Capacidades de consulta avançadas em objetos de diretório do Microsoft Entra.
No Explorador de Gráficos, selecione o separador Cabeçalhos do pedido .
Para Tipo de chave em
ConsistencyLevele para Valor, escrevaeventual.Selecione o botão Adicionar . Quando tiver terminado, remova o cabeçalho do pedido ao selecionar o ícone do caixote do lixo.
Apresentar o Nome e a versão do sistema operativo do dispositivo que tem
01234567-89ab-cdef-0123-456789abcdefcomo ID de Dispositivo do AzureAD:GET https://graph.microsoft.com/v1.0/devices?$search="deviceid:01234567-89ab-cdef-0123-456789abcdef"&$select=displayName,operatingSystemVersionPara localizar dispositivos que provavelmente não são máquinas virtuais, filtre por dispositivos que não tenham máquinas virtuais listadas como modelo, mas que tenham um fabricante listado. Apresentar o ID do Dispositivo do AzureAD, o Nome e a versão do sistema operativo para cada dispositivo:
GET https://graph.microsoft.com/v1.0/devices?$filter=model ne 'virtual machine' and NOT(manufacturer eq null)&$count=true&$select=deviceid,displayName,operatingSystemVersion
Dica
Normalmente, os pedidos que utilizam o tipo de recurso do dispositivo têm um id e um deviceid:
- O
deviceidé o ID do Dispositivo do Microsoft Entra e será utilizado neste artigo.- Mais adiante neste artigo, será
deviceidutilizado como umidquando efetuar determinados pedidos, como adicionar um dispositivo a uma audiência de implementação.
- Mais adiante neste artigo, será
- Normalmente
id, o do tipo de recurso do dispositivo é o ID de Objeto do Microsoft Entra, que não será utilizado neste artigo.
Listar entradas de catálogo para atualizações aceleradas
Cada atualização está associada a uma entrada de catálogo exclusiva. Pode consultar o catálogo para encontrar atualizações que podem ser aceleradas. O id devolvido é o ID do Catálogo e é utilizado para criar uma implementação. A consulta seguinte lista todas as atualizações de qualidade de segurança e não relacionadas com segurança que podem ser implementadas como atualizações aceleradas pelo serviço de implementação. A utilização $top=2 e ordenação por ReleaseDateTimeshows apresenta as atualizações mais recentes que podem ser implementadas conforme expedito.
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true&$orderby=releaseDateTime desc&$top=2
A seguinte resposta truncada apresenta um ID de Catálogo de para a 08/08/2023 - 2023.08 B SecurityUpdate for Windows 10 and later atualização de e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5 segurança:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5",
"displayName": "08/08/2023 - 2023.08 B SecurityUpdate for Windows 10 and later",
"deployableUntilDateTime": null,
"releaseDateTime": "2023-08-08T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2023-08 Cumulative Update for Windows 10 and later",
"shortName": "2023.08 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 9.8,
"exploitedCves@odata.context": "https://graph.microsoft.com/$metadata#admin/windows/updates/catalog/entries('e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5')/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves",
"exploitedCves": [
{
"number": "ADV230003",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/ADV230003"
},
{
"number": "CVE-2023-38180",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180"
}
]
}
}
]
}
O serviço de implementação pode apresentar mais informações sobre as atualizações lançadas em ou depois de janeiro de 2023. A utilização da revisão do produto fornece-lhe informações adicionais sobre as atualizações, tais como os números KB e .MajorVersion.MinorVersion.BuildNumber.UpdateBuildRevision O Windows 10 e 11 partilham as mesmas versões principais e secundárias, mas têm números de compilação diferentes.
Utilize o seguinte para apresentar as informações de revisão do produto para a atualização de qualidade mais recente:
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions&$orderby=releaseDateTime desc&$top=1
A seguinte resposta truncada apresenta informações sobre KB5029244 para o Windows 10, versão 22H2 e KB5029263 para o Windows 11, versão 22H2:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries(microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions())",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5",
"displayName": "08/08/2023 - 2023.08 B SecurityUpdate for Windows 10 and later",
"deployableUntilDateTime": null,
"releaseDateTime": "2023-08-08T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2023-08 Cumulative Update for Windows 10 and later",
"shortName": "2023.08 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 9.8,
"exploitedCves@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries('e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5')/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves",
"exploitedCves": [
{
"number": "ADV230003",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/ADV230003"
},
{
"number": "CVE-2023-38180",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180"
}
]
},
"productRevisions@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries('e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5')/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions",
"productRevisions": [
{
"id": "10.0.19045.3324",
"displayName": "Windows 10, version 22H2, build 19045.3324",
"releaseDateTime": "2023-08-08T00:00:00Z",
"version": "22H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19045,
"updateBuildRevision": 3324
},
"knowledgeBaseArticle@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries('e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5')/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions('10.0.19045.3324')/knowledgeBaseArticle/$entity",
"knowledgeBaseArticle": {
"id": "KB5029244",
"url": "https://support.microsoft.com/help/5029244"
}
},
{
"id": "10.0.22621.2134",
"displayName": "Windows 11, version 22H2, build 22621.2134",
"releaseDateTime": "2023-08-08T00:00:00Z",
"version": "22H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22621,
"updateBuildRevision": 2134
},
"knowledgeBaseArticle@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries('e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5')/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions('10.0.22621.2134')/knowledgeBaseArticle/$entity",
"knowledgeBaseArticle": {
"id": "KB5029263",
"url": "https://support.microsoft.com/help/5029263"
}
},
Criar uma implementação
Ao criar uma implementação, existem várias opções disponíveis para definir o comportamento da implementação. O exemplo seguinte cria uma implementação para a atualização de segurança com o 08/08/2023 - 2023.08 B SecurityUpdate for Windows 10 and later ID e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5de entrada do catálogo e define as expedite opções de implementação e userExperience no corpo do pedido.
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.deployment",
"content": {
"@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
"catalogEntry": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5"
}
},
"settings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"expedite": {
"isExpedited": true
},
"userExperience": {
"daysUntilForcedReboot": 2
}
}
}
O pedido devolve um código de resposta 201 Criado e um objeto de implementação no corpo da resposta para a implementação recentemente criada, que inclui:
- O ID
de910e12-3456-7890-abcd-ef1234567890de Implementação da implementação recentemente criada. - O ID
d39ad1ce-0123-4567-89ab-cdef01234567da Audiência da audiência de implementação recém-criada.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments/$entity",
"id": "de910e12-3456-7890-abcd-ef1234567890",
"createdDateTime": "2024-01-30T19:43:37.1672634Z",
"lastModifiedDateTime": "2024-01-30T19:43:37.1672644Z",
"state": {
"effectiveValue": "offering",
"requestedValue": "none",
"reasons": []
},
"content": {
"@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
"catalogEntry@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('073fb534-5cdd-4326-8aa2-a4d29037b60f')/content/microsoft.graph.windowsUpdates.catalogContent/catalogEntry/$entity",
"catalogEntry": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "e317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5",
"displayName": null,
"deployableUntilDateTime": null,
"releaseDateTime": "2023-08-08T00:00:00Z",
"isExpeditable": false,
"qualityUpdateClassification": "security",
"catalogName": null,
"shortName": null,
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": null
}
},
"settings": {
"schedule": null,
"monitoring": null,
"contentApplicability": null,
"userExperience": {
"daysUntilForcedReboot": 2,
"offerAsOptional": null
},
"expedite": {
"isExpedited": true,
"isReadinessTest": false
}
},
"audience@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('de910e12-3456-7890-abcd-ef1234567890')/audience/$entity",
"audience": {
"id": "d39ad1ce-0123-4567-89ab-cdef01234567",
"applicableContent": []
}
}
Adicionar membros à audiência de implementação
O ID da Audiência, d39ad1ce-0123-4567-89ab-cdef01234567, foi criado quando a implementação foi criada. O ID de Audiência é utilizado para adicionar membros à audiência de implementação. Após a atualização da audiência de implementação, o Windows Update começa a oferecer a atualização aos dispositivos de acordo com as definições de implementação. Desde que a implementação exista e o dispositivo esteja na audiência, a atualização será acelerada.
O exemplo seguinte adiciona dois dispositivos à audiência de implementação com o ID do Microsoft Entra para cada dispositivo:
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/updateAudience
content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "01234567-89ab-cdef-0123-456789abcdef"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "01234567-89ab-cdef-0123-456789abcde0"
}
]
}
Para verificar se os dispositivos foram adicionados à audiência, execute a seguinte consulta com o ID de Audiência de d39ad1ce-0123-4567-89ab-cdef01234567:
GET https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/members
Eliminar uma implementação
Para parar uma implementação acelerada, elimine a implementação. A eliminação da implementação impedirá que os conteúdos sejam oferecidos aos dispositivos se ainda não o tiverem recebido. Para retomar a oferta do conteúdo, terá de ser criada uma nova aprovação.
O exemplo seguinte elimina a implementação com um ID de Implementação do de910e12-3456-7890-abcd-ef1234567890:
DELETE https://graph.microsoft.com/beta/admin/windows/updates/deployments/de910e12-3456-7890-abcd-ef1234567890
Teste de preparação para agilizar atualizações
Pode verificar a preparação dos clientes para receber atualizações aceleradas com isReadinessTest. Crie uma implementação que especifique que é um teste de preparação rápida e, em seguida, adicione membros à audiência de implementação. O serviço irá verificar se os clientes cumprem os pré-requisitos para acelerar as atualizações. Os resultados do teste são apresentados no livro Relatórios do Windows Update para Empresas. No separador Atualizações de qualidade , selecione o mosaico Agilizar estado, que abre uma lista de opções com um separador Preparação com os resultados do teste de preparação.
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.deployment",
"content": {
"@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
"catalogEntry": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "317aa8a0455ca604de95329b524ec921ca57f2e6ed3ff88aac757a7468998a5"
}
},
"settings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"expedite": {
"isExpedited": true,
"isReadinessTest": true
}
}
}
A resposta truncada é apresentada que isReadinessTest está definida como true e dá-lhe um DeploymentID de de910e12-3456-7890-abcd-ef1234567890. Em seguida, pode adicionar membros à audiência de implementação para que o serviço verifique se os dispositivos cumprem os pré-requisitos e, em seguida, rever os resultados no livro de relatórios do Windows Update para Empresas.
"expedite": {
"isExpedited": true,
"isReadinessTest": true
}
},
"audience@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deployments('6a6c03b5-008e-4b4d-8acd-48144208f179_Readiness')/audience/$entity",
"audience": {
"id": "de910e12-3456-7890-abcd-ef1234567890",
"applicableContent": []
}
Localização do registo das Ferramentas de Estado de Funcionamento da Atualização
As Ferramentas de Estado de Funcionamento da Atualização são utilizadas quando implementa atualizações aceleradas. Em alguns casos, poderá querer rever os registos das Ferramentas de Estado de Funcionamento da Atualização.
Localização do registo: %ProgramFiles%\Microsoft Update Health Tools\Logs
- Os registos estão no
.etlformato .- A Microsoft oferece o PerfView como uma transferência no GitHub, que apresenta ficheiros
.etl.
- A Microsoft oferece o PerfView como uma transferência no GitHub, que apresenta ficheiros
Para obter mais informações, veja Resolução de problemas de atualizações aceleradas.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de