pré-requisitos do serviço de implantação do Windows Update for Business
Antes de iniciar o processo de implantação de atualizações com o serviço de implantação do Windows Update for Business, verifique se você atende aos pré-requisitos.
Azure e Microsoft Entra ID
- Uma assinatura do Azure com Microsoft Entra ID
- Os dispositivos devem ser Microsoft Entra ingressados e atender aos OSrequirements abaixo.
- Os dispositivos podem ser Microsoft Entra ingressados ou Microsoft Entra ingressados híbridos.
- Não há suporte para dispositivos Microsoft Entra registrados apenas (ingressados no local de trabalho) com Windows Update for Business
Licenciamento
Windows Update serviço de implantação para empresas exige que os usuários dos dispositivos tenham uma das seguintes licenças:
- Windows 10/11 Enterprise E3 ou E5 (incluído em Microsoft 365 F3, E3 ou E5)
- Windows 10/11 Educação A3 ou A5 (incluído em Microsoft 365 A3 ou A5)
- Windows Virtual Desktop Access E3 ou E5
- Microsoft 365 Business Premium
Sistemas operacionais e edições
- Windows 11 edições profissionais, educacionais, empresariais, pró-educação ou pro para estações de trabalho
- Windows 10 edições Professional, Education, Enterprise, Pro Education ou Pro for Workstations
Windows Update serviço de implantação para empresas dá suporte a dispositivos cliente Windows no Canal de Disponibilidade Geral.
Atualizações do sistema operacional Windows
Acelerar atualizações requer as Ferramentas de Atualização de Integridade nos clientes. As ferramentas são instaladas a partir de KB4023057. Para confirmar a presença das Ferramentas de Integridade de Atualização em um dispositivo:
- Procure a pasta C:\Program Files\Microsoft Update Health Tools ou examine Adicionar Programas de Remoção para Ferramentas de Integridade do Microsoft Update.
- Como Administração, execute o seguinte script do PowerShell:
Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}
Para alterações na coleta de dados de diagnóstico do Windows, é recomendável instalar a atualização cumulativa da versão de janeiro de 2023 ou uma atualização equivalente posterior
Requisitos de dados de diagnóstico
Os controles de agendamento de implantação estão sempre disponíveis. No entanto, para aproveitar as proteções de implantação exclusivas adaptadas à sua população e implantar atualizações de driver, os dispositivos devem compartilhar dados de diagnóstico com a Microsoft. Para esses recursos, no mínimo, o serviço de implantação exige que os dispositivos enviem dados de diagnóstico no nível obrigatório (anteriormente chamado de Básico) para esses recursos.
Quando você usa relatórios do Windows Update for Business em conjunto com o serviço de implantação, o uso de dados de diagnóstico nos seguintes níveis permite que os nomes do dispositivo apareçam nos relatórios:
- Nível opcional (anteriormente completo) para dispositivos Windows 11
- Nível aprimorado para dispositivos Windows 10
Permissões
- as operações de serviço de implantação do Windows Update for Business exigem WindowsUpdates.ReadWrite.All
- Algumas funções, como a Windows Update administrador de implantação, já têm as permissões.
Observação
Aproveitar outras partes do API do Graph pode exigir permissões adicionais. Por exemplo, para exibir informações do dispositivo , é necessário um mínimo de permissão Device.Read.All .
Pontos de extremidade necessários
Tenha acesso aos seguintes pontos de extremidade:
Windows Update pontos de extremidade
- *.prod.do.dsp.mp.microsoft.com
- *.windowsupdate.com
- *.dl.delivery.mp.microsoft.com
- *.update.microsoft.com
- *.delivery.mp.microsoft.com
- tsfe.trafficshaping.dsp.mp.microsoft.com
pontos de extremidade do serviço de implantação do Windows Update for Business
- devicelistenerprod.microsoft.com
- login.windows.net
- payloadprod*.blob.core.windows.net
Serviços de Notificação por Push do Windows: (recomendado, mas não necessário. Sem esse acesso, os dispositivos podem não agilizar as atualizações até o próximo marcar diário para atualizações.)
- *.notify.windows.com
Limitações
Windows Update serviço de implantação para empresas é um serviço windows hospedado no Azure que usa dados de diagnóstico do Windows. Você deve estar ciente de que o serviço de implantação do Windows Update for Business não atende aos requisitos de GCC (conformidade com a comunidade do governo dos EUA). Para obter uma lista de ofertas de GCC para produtos e serviços da Microsoft, consulte o Centro de Confiança da Microsoft. Windows Update serviço de implantação para empresas está disponível na nuvem comercial do Azure, mas não está disponível para clientes do GCC High ou Estados Unidos Departamento de Defesa.
Considerações de política para drivers
É possível que o serviço receba aprovação de conteúdo, mas o conteúdo não é instalado no dispositivo devido a uma configuração de Política de Grupo, CSP ou registro no dispositivo. Em alguns casos, as organizações configuram especificamente essas políticas para atender às suas necessidades atuais ou futuras. Por exemplo, as organizações podem querer examinar o conteúdo do driver aplicável por meio do serviço de implantação, mas não permitir a instalação. Configurar esse tipo de comportamento pode ser útil, especialmente ao fazer a transição do gerenciamento de atualizações de driver devido à alteração das necessidades organizacionais. A lista a seguir descreve políticas de atualização relacionadas ao driver que podem afetar implantações por meio do serviço de implantação:
Políticas que excluem drivers de Windows Update para um dispositivo
As seguintes políticas excluem drivers de Windows Update para um dispositivo:
- Locais de políticas que excluem drivers:
- Política de Grupo:
\Windows Components\Windows Update\Do not include drivers with Windows Updates
definido comoenabled
- CSP: ExcludeWUDriversInQualityUpdate definido como
1
- Registro:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates
definido como1
- Intune: configuração de atualização do Windows Drivers para o anel de atualização definido como
Block
- Política de Grupo:
Comportamento com o serviço de implantação: dispositivos com polícias de exclusão de driver que são registrados para drivers e adicionados a uma audiência por meio do serviço de implantação:
- Exibirá o conteúdo do driver aplicável no serviço de implantação
- Não instalará drivers aprovados no serviço de implantação
- Se os drivers forem implantados em um dispositivo que os está bloqueando, o serviço de implantação exibirá o driver que está sendo oferecido e os relatórios exibirão que a instalação está pendente.
Políticas que definem a origem das atualizações de driver
As políticas a seguir definem a origem das atualizações de driver como Windows Update ou WSUS (Serviço de Atualização do Windows Server):
- Locais de políticas que definem uma fonte de atualização:
- Política de Grupo:
\Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows Updates
definido comoenabled
com a opçãoDriver Updates
definida comoWindows Update
- CSP: SetPolicyDrivenUpdateSourceForDriverUpdates definido como
0
para Windows Update como a origem - Registro:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates
definido como0
. Em\AU
,UseUpdateClassPolicySource
também precisa ser definido como1
- Intune: não aplicável. Intune implanta atualizações usando Windows Update for Business. Clientes cogerenciados de Configuration Manager com a carga de trabalho para políticas de Windows Update definidas como Intune também usarão Windows Update for Business.
- Política de Grupo:
Comportamento com o serviço de implantação: dispositivos com essas políticas de origem de atualização que são registradas para drivers e adicionados a um público-alvo no serviço de implantação:
- Exibirá o conteúdo do driver aplicável no serviço de implantação
- Instalará drivers aprovados no serviço de implantação
Observação
Quando a fonte de verificação para drivers é definida como WSUS, o serviço de implantação não obtém eventos de inventário de dispositivos. Isso significa que o serviço de implantação não será capaz de relatar a aplicabilidade de um driver para o dispositivo.
Dicas gerais para o serviço de implantação
Siga estas sugestões para obter os melhores resultados com o serviço:
Aguarde até que os dispositivos terminem o provisionamento antes de gerenciar com o serviço. Se um dispositivo estiver sendo provisionado pelo Autopilot, ele só poderá ser gerenciado pelo serviço de implantação depois de concluir o provisionamento (normalmente um dia).
Use o serviço de implantação para gerenciamento de atualização de recursos sem a política de adiamento da atualização de recursos. Se você quiser usar o serviço de implantação para gerenciar atualizações de recursos em um dispositivo que usou anteriormente uma política de adiamento de atualização de recursos, é melhor definir a política de adiamento de atualização de recursos como 0 dias para evitar ter várias condições que regem as atualizações de recursos. Você só deve alterar o valor da política de adiamento de atualização de recurso para 0 dias depois de confirmar que o dispositivo foi registrado no serviço sem erros.
Evite usar canais diferentes para gerenciar os mesmos recursos. Se você usar Microsoft Intune junto com APIs do Microsoft Graph ou PowerShell, aspectos de recursos (como dispositivos, implantações, grupos de ativos atualizáveis) poderão ser substituídos se você usar ambos os canais para gerenciar os mesmos recursos. Em vez disso, gerencie apenas cada recurso por meio do canal que o criou.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de