Grupos de Bloqueio Automático do Windows
Importante
As informações neste artigo ou secção só se aplicam se tiver licenças do Windows Enterprise E3+ ou F3 (incluídas nas licenças Microsoft 365 F3, E3 ou E5) e tiver ativado as funcionalidades de Bloqueio Automático do Windows.
A ativação de funcionalidades é opcional e sem custos adicionais se tiver licenças Windows 10/11 Enterprise E3 ou E5 (incluídas nas licenças Microsoft 365 F3, E3 ou E5).
Para obter mais informações, veja Licenças e elegibilidades. Se optar por não utilizar a ativação de funcionalidades, pode continuar a utilizar o serviço Despatch do Windows para as funcionalidades incluídas nas licenças Business Premium e A3+.
À medida que as organizações se movem para um modelo de serviço gerido em que a Microsoft gere os processos de atualização em seu nome, são desafiadas a ter a representação certa das estruturas organizacionais seguida da sua própria cadência de implementação. Os grupos do Windows Autopatch ajudam as organizações a gerir atualizações de uma forma que faça sentido para as suas empresas sem custos adicionais ou interrupções não planeadas.
O que são grupos de Bloqueio Automático do Windows?
Um grupo de Bloqueio Automático é um contentor lógico ou unidade que agrupa vários grupos de Microsoft Entra e políticas de atualização de software, como a política Cadertas de atualização para Windows 10 e posterior e atualizações de funcionalidades para políticas Windows 10 e posteriores.
Os grupos de correspondência automática destinam-se a ajudar as organizações que necessitam de uma representação mais precisa das estruturas da organização, juntamente com a sua própria cadência de implementação de atualizações no serviço.
Por predefinição, um grupo de Bloqueio Automático tem automaticamente os anéis de Teste e Última implementação presentes. Para obter mais informações, veja Anéis de teste e Última implementação.
Principais benefícios
Os grupos de correspondência automática ajudam os serviços do Microsoft Cloud-Managed a conhecer as organizações onde se encontram no seu percurso de gestão de atualizações. Os principais benefícios incluem:
| Benefício | Descrição |
|---|---|
| Replicar a sua estrutura organizacional | Pode configurar grupos de Correção Automática para replicar as estruturas organizacionais representadas pela lógica de filtragem de grupos de Microsoft Entra baseada em dispositivos existente. |
| Ter um número flexível de implementações | Os grupos de correspondência automática dão-lhe a flexibilidade de ter o número certo de anéis de implementação que funcionam na sua organização. Pode configurar até 15 anéis de implementação por grupo de Bloqueio Automático. |
| Decidir que dispositivos pertencem a anéis de implementação | Além de utilizar os grupos de Microsoft Entra baseados em dispositivos existentes e escolher o número de anéis de implementação, também pode decidir que dispositivos pertencem a anéis de implementação durante o processo de distribuição de dispositivos ao configurar grupos de Bloqueio automático. |
| Escolher a cadência de implementação | Pode escolher a cadência de implementação de atualização de software certa para a sua empresa. |
Pré-requisitos
Antes de começar a gerir grupos de Bloqueio Automático, certifique-se de que cumpre os seguintes pré-requisitos:
| Pré-requisito | Detalhes |
|---|---|
| Veja a documentação de descrição geral dos grupos de Bloqueio Automático do Windows | Compreenda os principais benefícios e formas comuns de utilizar grupos de Correção Automática na sua organização. |
| Certifique-se de que tem a autenticação apenas de aplicação ativada no inquilino do Windows Autopatch. Caso contrário, a funcionalidade Decorrer automaticamente grupos não funciona corretamente. O envio automático utiliza a autenticação apenas de aplicação para: |
|
| Certifique-se de que todos os grupos de Microsoft Entra baseados em dispositivos que pretende utilizar com grupos de Bloqueio Automático são criados antes de utilizar a funcionalidade. | Reveja as consultas dinâmicas do grupo de Microsoft Entra existentes e as associações diretas a dispositivos para:
|
| Certifique-se de que os dispositivos utilizados com os grupos de Microsoft Entra existentes cumprem as verificações de pré-requisitos de registo de dispositivos ao serem registados no serviço | Os grupos de correspondência automática registam dispositivos em seu nome e os estados de preparação do dispositivo são determinados com base no estado de registo e se os alertas aplicáveis estão a visar o dispositivo. Para obter mais informações, veja o relatório Dispositivos. |
Dica
As cadertas de atualização e as atualizações de funcionalidades para Windows 10 e políticas posteriores criadas e geridas pelo Windows Autopatch podem ser restauradas com a funcionalidade Estado de funcionamento da política. Para obter mais informações sobre as ações de remediação, veja Restaurar políticas de atualização do Windows.
Registar dispositivos em grupos de Bloqueio Automático
Os grupos de correspondência automática registam dispositivos com o serviço Despatch do Windows quando cria ou edita um grupo de Bloqueio Automático. Para obter mais informações, veja Registar dispositivos em grupos de Bloqueio Automático.
Descrição geral do diagrama de arquitetura de alto nível
Um grupo de Bloqueio Automático é uma aplicação de funções que faz parte do microsservidor de registo de dispositivos no serviço Despatch do Windows. A tabela seguinte explica o fluxo de trabalho de alto nível:
| Etapa | Descrição |
|---|---|
| Passo 1: Criar um grupo de Bloqueio Automático | Crie um grupo de Bloqueio Automático. Os grupos de correspondência automática registam dispositivos com o serviço Despatch do Windows quando cria ou edita um grupo de Bloqueio Automático. |
| Passo 2: o Envio Automático do Windows utiliza o Microsoft Graph para criar atribuições de políticas e Microsoft Entra ID | O serviço Deteção Automática do Windows utiliza o Microsoft Graph para coordenar a criação de:
|
| Passo 3: Intune atribui políticas de atualização de software | Depois de Microsoft Entra grupos serem criados no serviço de Microsoft Entra, Intune é utilizado para atribuir as políticas de atualização de software a estes grupos e fornecer o número de dispositivos que precisam das políticas de atualização de software para o serviço Windows Update para Empresas (WUfB). |
| Passo 4: responsabilidades do Windows Update para Empresas | Windows Update para Empresas (WUfB) é o serviço responsável por:
|
Anéis de implementação do grupo de correspondência automática
As cadências de implementação permitem que um grupo de Correção Automática tenha implementações de atualizações de software fornecidas sequencialmente numa implementação gradual no grupo Despatch Automático.
O Bloqueio Automático do Windows alinha-se com a terminologia Microsoft Entra ID e Intune para a gestão de grupos de dispositivos. Existem dois tipos de distribuição de grupos de cadências de implementação nos grupos de Correspondência Automática:
| Distribuição da cadência de implementação | Descrição |
|---|---|
| Dinâmico | Pode utilizar um ou mais grupos de Microsoft Entra baseados em dispositivos, baseados em consultas dinâmicas ou atribuídos para utilizar na composição da cadência de implementação. Microsoft Entra grupos que são utilizados com o tipo de distribuição Dinâmico podem ser utilizados para distribuir dispositivos por vários anéis de implementação com base em valores de percentagem que podem ser personalizados. |
| Atribuída | Pode utilizar um único grupo de Microsoft Entra baseado em dispositivos, baseado em consultas dinâmicas ou atribuído para utilizar na composição da cadência de implementação. |
| Combinação de Dinâmico e Atribuído | Para proporcionar um maior nível de flexibilidade ao trabalhar em composições da cadência de implementação, pode combinar ambos os tipos de distribuição de dispositivos em grupos de Bloqueio automático. A combinação de distribuição de dispositivos Dinâmicos e Atribuídos não é suportada para a cadência de Teste e Última implementação em grupos de Bloqueio Automático. |
Anéis de teste e última implementação
As anéis de Teste e Última implementação são anéis de implementação predefinidos que estão automaticamente presentes num grupo de Bloqueio Automático. Estas cadernetes de implementação predefinidas fornecem o número mínimo recomendado de anéis de implementação que um grupo de Bloqueio Automático deve ter.
Se não adicionar mais anéis de implementação ao criar um grupo de Bloqueio Automático, a cadência de implementação de teste pode ser utilizada como a cadência de implementação piloto e Last pode ser utilizada como a cadência de implementação de produção.
Importante
As cadernetes Teste e Última implementação não podem ser removidas ou renomeadas dos grupos de Bloqueio Automático. Os grupos de correspondência automática não suportam a utilização de uma única cadência de implementação como parte da composição da cadência de implementação, uma vez que precisa de , pelo menos, duas cadências de implementação para a implementação gradual. Se tiver de implementar um cenário específico com uma única cadência de implementação e a implementação gradual não for necessária, considere gerir estes dispositivos fora dos grupos de Bloqueio automático.
Dica
As cadências De Teste e Última implementação só suportam uma única atribuição de grupo Microsoft Entra de cada vez. Se precisar de atribuir mais do que um grupo de Microsoft Entra, pode aninhar os outros grupos de Microsoft Entra nos grupos que planeia utilizar com os anéis De Teste e Última implementação. Só é suportado um nível de aninhamento de grupos Microsoft Entra.
Formas comuns de utilizar grupos de Bloqueio Automático
Seguem-se três utilizações comuns para utilizar grupos de Bloqueio Automático.
Caso de utilização n.º 1
| Cenário | Solução |
|---|---|
| Está a trabalhar como administrador de TI na Contoso Ltd. A sua organização tem de planear uma implementação gradual de atualizações de software em unidades ou departamentos empresariais críticos específicos para ajudar a mitigar o risco de interrupção do utilizador final. | Pode criar um grupo de Correspondência Automática para cada uma das suas unidades empresariais. Por exemplo, pode criar um grupo de Correspondência Automática para o departamento financeiro e discriminar a composição da cadência de implementação de acordo com as diferentes pessoas do utilizador ou com base no grau de importância que determinados grupos de utilizadores podem ser para o departamento e, em seguida, para a empresa. Segue-se uma representação visual de uma implementação gradual para o departamento financeiro da Contoso. |
Importante
Assim que os grupos de Correção Automática estiverem configurados, a versão das atualizações de qualidade ou de funcionalidades do Windows será implementada sequencialmente através das cadências de implementação.
Caso de utilização n.º 2
| Cenário | Solução |
|---|---|
| Está a trabalhar como administrador de TI na Contoso Ltd. A sua localização de sucursal em Chicago tem de planear uma implementação gradual de atualizações de software em departamentos específicos para garantir que o escritório de Chicago não sofre interrupções nas suas operações. | Pode criar um grupo de Correspondência Automática para a localização do ramo em Chicago e discriminar a composição da cadência de implementação de acordo com os departamentos na localização do ramo. Segue-se uma representação visual de uma implementação gradual para a localização do ramo Contoso Chicago. |
Importante
Assim que os grupos de Correção Automática estiverem configurados, a versão das atualizações de qualidade ou de funcionalidades do Windows será implementada sequencialmente através das cadências de implementação.
Configurações compatíveis
As seguintes configurações são suportadas ao utilizar grupos de Bloqueio Automático.
Cargas de trabalho de atualização de software
Os grupos de correspondência automática funcionam com as seguintes cargas de trabalho de atualização de software:
- Atualizações de recursos do Windows
- Atualizações de qualidade do Windows
- Atualizações de controlador e firmware
- Microsoft 365 Apps para Grandes Empresas
- O Microsoft Edge
Número máximo de grupos de Bloqueio Automático
O Windows Autopatch suporta até 50 grupos de Bloqueio Automático no seu inquilino. Cada grupo de Correção Automática suporta até 15 anéis de implementação.
Observação
Se atingir o número máximo de grupos de Correção Automática suportados (50) e tentar criar mais grupos de Bloqueio Automático, a opção "Criar" no painel Grupos de bloqueio automático estará desativada.
Para gerir os grupos de Bloqueio Automático, consulte Gerir grupos de Bloqueio Automático do Windows.