pré-requisitos do serviço de implantação do Windows Update for Business

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Antes de iniciar o processo de implantação de atualizações com o serviço de implantação do Windows Update for Business, verifique se você atende aos pré-requisitos.

Azure e Microsoft Entra ID

• Uma assinatura do Azure com Microsoft Entra ID
• Os dispositivos devem ser Microsoft Entra ingressados e atender aos OSrequirements abaixo.
  • Os dispositivos podem ser Microsoft Entra ingressados ou Microsoft Entra ingressados híbridos.
  • Não há suporte para dispositivos Microsoft Entra registrados apenas (ingressados no local de trabalho) com Windows Update for Business

Licenciamento

Windows Update serviço de implantação para empresas exige que os usuários dos dispositivos tenham uma das seguintes licenças:

• Windows 10/11 Enterprise E3 ou E5 (incluído em Microsoft 365 F3, E3 ou E5)
• Windows 10/11 Educação A3 ou A5 (incluído em Microsoft 365 A3 ou A5)
• Windows Virtual Desktop Access E3 ou E5
• Microsoft 365 Business Premium

Sistemas operacionais e edições

• Windows 11 edições profissionais, educacionais, empresariais, pró-educação ou pro para estações de trabalho
• Windows 10 edições Professional, Education, Enterprise, Pro Education ou Pro for Workstations

Windows Update serviço de implantação para empresas dá suporte a dispositivos cliente Windows no Canal de Disponibilidade Geral.

Atualizações do sistema operacional Windows

• Acelerar atualizações requer as Ferramentas de Atualização de Integridade nos clientes. As ferramentas são instaladas a partir de KB4023057. Para confirmar a presença das Ferramentas de Integridade de Atualização em um dispositivo:

  • Procure a pasta C:\Program Files\Microsoft Update Health Tools ou examine Adicionar Programas de Remoção para Ferramentas de Integridade do Microsoft Update.
  • Como Administração, execute o seguinte script do PowerShell:Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

• Para alterações na coleta de dados de diagnóstico do Windows, é recomendável instalar a atualização cumulativa da versão de janeiro de 2023 ou uma atualização equivalente posterior

Requisitos de dados de diagnóstico

Os controles de agendamento de implantação estão sempre disponíveis. No entanto, para aproveitar as proteções de implantação exclusivas adaptadas à sua população e implantar atualizações de driver, os dispositivos devem compartilhar dados de diagnóstico com a Microsoft. Para esses recursos, no mínimo, o serviço de implantação exige que os dispositivos enviem dados de diagnóstico no nível obrigatório (anteriormente chamado de Básico) para esses recursos.

Quando você usa relatórios do Windows Update for Business em conjunto com o serviço de implantação, o uso de dados de diagnóstico nos seguintes níveis permite que os nomes do dispositivo apareçam nos relatórios:

• Nível opcional (anteriormente completo) para dispositivos Windows 11
• Nível aprimorado para dispositivos Windows 10

Permissões

• as operações de serviço de implantação do Windows Update for Business exigem WindowsUpdates.ReadWrite.All
  • Algumas funções, como a Windows Update administrador de implantação, já têm as permissões.

Observação

Aproveitar outras partes do API do Graph pode exigir permissões adicionais. Por exemplo, para exibir informações do dispositivo , é necessário um mínimo de permissão Device.Read.All .

Pontos de extremidade necessários

• Tenha acesso aos seguintes pontos de extremidade:

• Windows Update pontos de extremidade

  • *.prod.do.dsp.mp.microsoft.com
  • *.windowsupdate.com
  • *.dl.delivery.mp.microsoft.com
  • *.update.microsoft.com
  • *.delivery.mp.microsoft.com
  • tsfe.trafficshaping.dsp.mp.microsoft.com

• pontos de extremidade do serviço de implantação do Windows Update for Business

  • devicelistenerprod.microsoft.com
  • login.windows.net
  • payloadprod*.blob.core.windows.net

• Serviços de Notificação por Push do Windows: (recomendado, mas não necessário. Sem esse acesso, os dispositivos podem não agilizar as atualizações até o próximo marcar diário para atualizações.)

  • *.notify.windows.com

Limitações

Windows Update serviço de implantação para empresas é um serviço windows hospedado no Azure que usa dados de diagnóstico do Windows. Você deve estar ciente de que o serviço de implantação do Windows Update for Business não atende aos requisitos de GCC (conformidade com a comunidade do governo dos EUA). Para obter uma lista de ofertas de GCC para produtos e serviços da Microsoft, consulte o Centro de Confiança da Microsoft. Windows Update serviço de implantação para empresas está disponível na nuvem comercial do Azure, mas não está disponível para clientes do GCC High ou Estados Unidos Departamento de Defesa.

Considerações de política para drivers

É possível que o serviço receba aprovação de conteúdo, mas o conteúdo não é instalado no dispositivo devido a uma configuração de Política de Grupo, CSP ou registro no dispositivo. Em alguns casos, as organizações configuram especificamente essas políticas para atender às suas necessidades atuais ou futuras. Por exemplo, as organizações podem querer examinar o conteúdo do driver aplicável por meio do serviço de implantação, mas não permitir a instalação. Configurar esse tipo de comportamento pode ser útil, especialmente ao fazer a transição do gerenciamento de atualizações de driver devido à alteração das necessidades organizacionais. A lista a seguir descreve políticas de atualização relacionadas ao driver que podem afetar implantações por meio do serviço de implantação:

Políticas que excluem drivers de Windows Update para um dispositivo

As seguintes políticas excluem drivers de Windows Update para um dispositivo:

• Locais de políticas que excluem drivers:
  • Política de Grupo: \Windows Components\Windows Update\Do not include drivers with Windows Updates definido comoenabled
  • CSP: ExcludeWUDriversInQualityUpdate definido como 1
  • Registro: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates definido como 1
  • Intune: configuração de atualização do Windows Drivers para o anel de atualização definido comoBlock

Comportamento com o serviço de implantação: dispositivos com polícias de exclusão de driver que são registrados para drivers e adicionados a uma audiência por meio do serviço de implantação:

• Exibirá o conteúdo do driver aplicável no serviço de implantação
• Não instalará drivers aprovados no serviço de implantação
  • Se os drivers forem implantados em um dispositivo que os está bloqueando, o serviço de implantação exibirá o driver que está sendo oferecido e os relatórios exibirão que a instalação está pendente.

Políticas que definem a origem das atualizações de driver

As políticas a seguir definem a origem das atualizações de driver como Windows Update ou WSUS (Serviço de Atualização do Windows Server):

• Locais de políticas que definem uma fonte de atualização:
  • Política de Grupo: \Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows Updates definido como enabled com a opção Driver Updates definida comoWindows Update
  • CSP: SetPolicyDrivenUpdateSourceForDriverUpdates definido como 0 para Windows Update como a origem
  • Registro: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates definido como 0. Em \AU, UseUpdateClassPolicySource também precisa ser definido como 1
  • Intune: não aplicável. Intune implanta atualizações usando Windows Update for Business. Clientes cogerenciados de Configuration Manager com a carga de trabalho para políticas de Windows Update definidas como Intune também usarão Windows Update for Business.

Comportamento com o serviço de implantação: dispositivos com essas políticas de origem de atualização que são registradas para drivers e adicionados a um público-alvo no serviço de implantação:

• Exibirá o conteúdo do driver aplicável no serviço de implantação
• Instalará drivers aprovados no serviço de implantação

Observação

Quando a fonte de verificação para drivers é definida como WSUS, o serviço de implantação não obtém eventos de inventário de dispositivos. Isso significa que o serviço de implantação não será capaz de relatar a aplicabilidade de um driver para o dispositivo.

Dicas gerais para o serviço de implantação

Siga estas sugestões para obter os melhores resultados com o serviço:

• Aguarde até que os dispositivos terminem o provisionamento antes de gerenciar com o serviço. Se um dispositivo estiver sendo provisionado pelo Autopilot, ele só poderá ser gerenciado pelo serviço de implantação depois de concluir o provisionamento (normalmente um dia).

• Use o serviço de implantação para gerenciamento de atualização de recursos sem a política de adiamento da atualização de recursos. Se você quiser usar o serviço de implantação para gerenciar atualizações de recursos em um dispositivo que usou anteriormente uma política de adiamento de atualização de recursos, é melhor definir a política de adiamento de atualização de recursos como 0 dias para evitar ter várias condições que regem as atualizações de recursos. Você só deve alterar o valor da política de adiamento de atualização de recurso para 0 dias depois de confirmar que o dispositivo foi registrado no serviço sem erros.

• Evite usar canais diferentes para gerenciar os mesmos recursos. Se você usar Microsoft Intune junto com APIs do Microsoft Graph ou PowerShell, aspectos de recursos (como dispositivos, implantações, grupos de ativos atualizáveis) poderão ser substituídos se você usar ambos os canais para gerenciar os mesmos recursos. Em vez disso, gerencie apenas cada recurso por meio do canal que o criou.