Pré-requisitos do serviço de implementação do Windows Update para Empresas

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Antes de iniciar o processo de implementação de atualizações com o serviço de implementação do Windows Update para Empresas, certifique-se de que cumpre os pré-requisitos.

Azure e Microsoft Entra ID

• Uma subscrição do Azure com o Microsoft Entra ID
• Os dispositivos têm de estar associados ao Microsoft Entra e cumprir os requisitos de SO abaixo.
  • Os dispositivos podem ser associados ao Microsoft Entra ou associados ao Microsoft Entra híbrido.
  • Os dispositivos apenas registados no Microsoft Entra (associados à área de trabalho) não são suportados com o Windows Update para Empresas

Licensing

O serviço de implementação do Windows Update para Empresas requer que os utilizadores dos dispositivos tenham uma das seguintes licenças:

• Windows 10/11 Enterprise E3 ou E5 (incluído no Microsoft 365 F3, E3 ou E5)
• Windows 10/11 Educação A3 ou A5 (incluído no Microsoft 365 A3 ou A5)
• Windows Virtual Desktop Access E3 ou E5
• Microsoft 365 Business Premium

Sistemas operativos e edições

• Edições Windows 11 Professional, Education, Enterprise, Pro Education ou Pro for Workstations
• Edições Windows 10 Professional, Education, Enterprise, Pro Education ou Pro for Workstations

O serviço de implementação do Windows Update para Empresas suporta dispositivos cliente Windows no Canal de Disponibilidade Geral.

Atualizações do sistema operativo Windows

• Acelerar as atualizações requer as Ferramentas de Estado de Funcionamento de Atualização nos clientes. As ferramentas são instaladas a partir de KB4023057. Para confirmar a presença das Ferramentas de Estado de Funcionamento de Atualização num dispositivo:

  • Procure a pasta C:\Program Files\Microsoft Update Health Tools ou reveja Adicionar Remover Programas para Ferramentas do Microsoft Update Health.
  • Enquanto Administrador, execute o seguinte script do PowerShell: Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

• Para a recolha de dados de diagnóstico de Alterações ao Windows, é recomendada a instalação da atualização cumulativa de pré-visualização da versão de janeiro de 2023 ou uma atualização equivalente posterior

Requisitos de dados de diagnóstico

Os controlos de agendamento de implementação estão sempre disponíveis. No entanto, para tirar partido das proteções de implementação exclusivas adaptadas à sua população e implementar atualizações de controladores, os dispositivos têm de partilhar dados de diagnóstico com a Microsoft. Para estas funcionalidades, no mínimo, o serviço de implementação requer que os dispositivos enviem dados de diagnóstico ao nível Necessário (anteriormente denominado Básico) para estas funcionalidades.

Quando utiliza relatórios do Windows Update para Empresas em conjunto com o serviço de implementação, a utilização de dados de diagnóstico nos seguintes níveis permite que os nomes dos dispositivos apareçam nos relatórios:

• Nível opcional (anteriormente Completo) para dispositivos Windows 11
• Nível melhorado para dispositivos Windows 10

Permissões

• As operações do serviço de implementação do Windows Update para Empresas requerem WindowsUpdates.ReadWrite.All
  • Algumas funções, como o administrador de implementação do Windows Update, já têm as permissões.

Observação

Tirar partido de outras partes da Graph API pode exigir permissões adicionais. Por exemplo, para apresentar as informações do dispositivo , é necessário um mínimo de permissão Device.Read.All .

Pontos finais necessários

• Tenha acesso aos seguintes pontos finais:

• Pontos finais do Windows Update

  • *.prod.do.dsp.mp.microsoft.com
  • *.windowsupdate.com
  • *.dl.delivery.mp.microsoft.com
  • *.update.microsoft.com
  • *.delivery.mp.microsoft.com
  • tsfe.trafficshaping.dsp.mp.microsoft.com

• Pontos finais do serviço de implementação do Windows Update para Empresas

  • devicelistenerprod.microsoft.com
    • devicelistenerprod.eudb.microsoft.com para a Fronteira dos Dados da UE
  • login.windows.net
  • payloadprod*.blob.core.windows.net

• Serviços de Notificação Push do Windows: (Recomendado, mas não obrigatório. Sem este acesso, os dispositivos poderão não acelerar as atualizações até à próxima verificação diária de atualizações.)

  • *.notify.windows.com

Limitações

O serviço de implementação do Windows Update para Empresas é um serviço Windows alojado no Azure Commercial que utiliza dados de diagnóstico do Windows. Embora os clientes com inquilinos GCC possam optar por utilizá-lo, o serviço de implementação do Windows Update para Empresas está fora do limite de conformidade da comunidade do Governo dos EUA (GCC ). Para obter uma lista de ofertas GCC para produtos e serviços Microsoft, consulte o Centro de Confiança da Microsoft.

O serviço de implementação do Windows Update para Empresas não está disponível nos inquilinos do Azure Government para Office 365 GCC High e DoD .

Considerações de política para controladores

É possível que o serviço receba aprovação de conteúdo, mas o conteúdo não é instalado no dispositivo devido a uma definição de Política de Grupo, CSP ou registo no dispositivo. Em alguns casos, as organizações configuram especificamente estas políticas para se adaptarem às suas necessidades atuais ou futuras. Por exemplo, as organizações podem querer rever o conteúdo do controlador aplicável através do serviço de implementação, mas não permitir a instalação. A configuração deste tipo de comportamento pode ser útil, especialmente quando faz a transição da gestão de atualizações de controladores devido à alteração das necessidades organizacionais. A lista seguinte descreve as políticas de atualização relacionadas com o controlador que podem afetar as implementações através do serviço de implementação:

Políticas que excluem controladores do Windows Update para um dispositivo

As seguintes políticas excluem os controladores do Windows Update para um dispositivo:

• Localizações de políticas que excluem controladores:
  • Política de Grupo: \Windows Components\Windows Update\Do not include drivers with Windows Updates definida como enabled
  • CSP: ExcludeWUDriversInQualityUpdate definido como 1
  • Registo: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates definido como 1
  • Intune: Definição de atualização de Controladores do Windows para a cadência de atualização definida comoBlock

Comportamento com o serviço de implementação: dispositivos com políticas de exclusão de controladores que estão inscritos para controladores e adicionados a uma audiência através do serviço de implementação:

• Irá apresentar o conteúdo do controlador aplicável no serviço de implementação
• Não instalará controladores aprovados a partir do serviço de implementação
  • Se os controladores forem implementados num dispositivo que os está a bloquear, o serviço de implementação apresenta que o controlador está a ser oferecido e o relatório apresenta que a instalação está pendente.

Políticas que definem a origem das atualizações do controlador

As seguintes políticas definem a origem das atualizações do controlador como Windows Update ou Windows Server Update Service (WSUS):

• Localizações de políticas que definem uma origem de atualização:
  • Política de Grupo: \Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows Updates definida como enabled com a opção Driver Updates definida como Windows Update
  • CSP: SetPolicyDrivenUpdateSourceForDriverUpdates definido 0 como para o Windows Update como a origem
  • Registo: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates definido como 0. Em \AU, UseUpdateClassPolicySource também tem de ser definido como 1
  • Intune: não aplicável. O Intune implementa atualizações com o Windows Update para Empresas. Os clientes cogeridos do Configuration Manager com a carga de trabalho das políticas do Windows Update definidas para o Intune também utilizarão o Windows Update para Empresas.

Comportamento com o serviço de implementação: dispositivos com estas políticas de origem de atualização que estão inscritos para controladores e adicionados a uma audiência através do serviço de implementação:

• Irá apresentar o conteúdo do controlador aplicável no serviço de implementação
• Irá instalar controladores aprovados a partir do serviço de implementação

Observação

Quando a origem de análise dos controladores está definida como WSUS, o serviço de implementação não obtém eventos de inventário dos dispositivos. Isto significa que o serviço de implementação não poderá comunicar a aplicabilidade de um controlador para o dispositivo.

Sugestões gerais para o serviço de implementação

Siga estas sugestões para obter os melhores resultados com o serviço:

• Aguarde até que os dispositivos terminem o aprovisionamento antes de gerir com o serviço. Se um dispositivo estiver a ser aprovisionado pelo Autopilot, só pode ser gerido pelo serviço de implementação depois de concluir o aprovisionamento (normalmente, um dia).

• Utilize o serviço de implementação para a gestão de atualizações de funcionalidades sem a política de diferimento da atualização de funcionalidades. Se quiser utilizar o serviço de implementação para gerir atualizações de funcionalidades num dispositivo que tenha utilizado anteriormente uma política de diferimento de atualização de funcionalidades, é melhor definir a política de diferimento da atualização de funcionalidades para 0 dias para evitar ter várias condições que regem as atualizações de funcionalidades. Só deve alterar o valor da política de diferimento da atualização de funcionalidades para 0 dias depois de ter confirmado que o dispositivo foi inscrito no serviço sem erros.

• Evite utilizar canais diferentes para gerir os mesmos recursos. Se utilizar o Microsoft Intune juntamente com as APIs do Microsoft Graph ou o PowerShell, os aspetos dos recursos (como dispositivos, implementações, grupos de recursos atualizáveis) poderão ser substituídos se utilizar ambos os canais para gerir os mesmos recursos. Em vez disso, faça apenas a gestão de cada recurso através do canal que o criou.