Partilhar via

Acelere atualizações de qualidade Windows 10 em Microsoft Intune

  • Artigo

Esta funcionalidade está em pré-visualização pública.

Com Windows 10 política de atualizações de qualidade, pode acelerar a instalação das mais recentes atualizações de segurança Windows 10 o mais rapidamente possível nos dispositivos que gere com Microsoft Intune. A implementação de atualizações expeditas é feita sem a necessidade de parar ou editar as suas políticas de manutenção mensais existentes. Por exemplo, pode agilizar uma atualização específica para mitigar uma ameaça de segurança quando o seu processo normal de atualização não implementaria a atualização durante algum tempo.

Nem todas as atualizações podem ser aceleradas. Atualmente, apenas Windows 10 atualizações de segurança que podem ser expedidas estão disponíveis para implementar com Windows 10 política de atualizações de qualidade. Para gerir atualizações regulares mensais de qualidade, utilize Windows 10 políticas de atualização de anéis.

Como as atualizações expeditas funcionam

Com atualizações aceleradas, pode acelerar a instalação de atualizações de qualidade, como o mais recente lançamento de terça-feira de patch ou uma atualização de segurança fora de banda para uma falha de zero dias.

Para acelerar a instalação, agilize as atualizações utiliza serviços disponíveis, como WNS e canais de notificação push, para entregar a mensagem aos dispositivos que existe uma atualização rápida para instalar. Este processo permite que os dispositivos iniciem o download e instalação de uma atualização mais rapidamente possível, sem ter de esperar que o dispositivo faça o check-in para obter atualizações.

O tempo real que um dispositivo começa a atualizar depende do dispositivo estar online, do seu tempo de verificação, se os canais de comunicação para o dispositivo estão a funcionar, e de outros fatores como o tempo de processamento da nuvem.

  • Para cada política de atualização expedita, selecione uma única atualização para implementar com base na data de lançamento. Ao utilizar a data de lançamento, não é necessário criar políticas separadas para implementar diferentes instâncias dessa atualização para dispositivos que tenham diferentes versões de Windows 10, como 1809, 1909, e assim por diante.

  • Windows A atualização avalia a construção e arquitetura de cada dispositivo e, em seguida, entrega a versão da atualização que se aplica.

  • Apenas os dispositivos que necessitam da atualização recebem a atualização expedita:

    • Windows A atualização não tenta agilizar a atualização para dispositivos que já tenham uma revisão igual ou superior à versão de atualização.
    • No que diz no que diz no que diz ser para dispositivos com uma versão de construção inferior à atualização, Windows Update confirma que o dispositivo ainda necessita da atualização antes de a instalar.

    Importante

    Em alguns cenários, Windows Update pode instalar uma atualização mais recente do que a atualização que especifica na política de atualização acelerada. Para mais informações sobre este cenário, consulte Sobre a instalação da mais recente atualização aplicável, mais tarde neste artigo.

  • Acelere as políticas de atualização ignorar e anular quaisquer períodos de diferimento de atualização de qualidade para a versão de atualização que implementar. Pode configurar os adiamentos de atualizações de qualidade utilizando os anéis de atualização intune Windows 10 e a definição para o período de diferimento da atualização da qualidade.

  • Quando é necessário reiniciar a instalação da atualização, a política ajuda a gerir o reinício. Na política, pode configurar um período em que os utilizadores têm de reiniciar um dispositivo antes que a política force o reinício automático. Os utilizadores também podem optar por agendar o reinício ou deixar que o dispositivo tente encontrar o melhor tempo fora dos dispositivos Ative Hours. Antes de atingir o prazo de reinício, o dispositivo apresenta notificações para alertar os utilizadores do dispositivo sobre o prazo e inclui opções para agendar o reinício.

    Se um dispositivo não recomeçar antes do prazo, o reinício pode acontecer a meio do dia de trabalho. Para obter mais informações sobre o comportamento reiniciado, consulte impor prazos de conformidade para atualizações.

  • O Expedite não é recomendado para a manutenção normal da qualidade mensal. Em vez disso, considere utilizar as definições de prazo de uma Windows 10 política de atualização de anéis. Para obter informações, consulte as definições de prazo de utilização nas definições de experiência do utilizador nas definições de atualização Windows.

Pré-requisitos

Seguem-se requisitos para a instalação de atualizações de qualidade aceleradas com o Intune:

Licenciamento:

Além de uma licença para a Intune, a sua organização deve ter uma das seguintes subscrições:

  • Windows 10 Enterprise E3 ou E5 (incluídos em Microsoft 365 F3, E3 ou E5)
  • Windows 10 Education A3 ou A5 (incluídos em Microsoft 365 A3 ou A5)
  • Windows 10 Acesso virtual ao ambiente de trabalho (VDA) por utilizador
  • Microsoft 365 Empresas Premium

Versões Windows 10 suportadas:

  • Windows 10 versões que permanecem em apoio à Manutenção, à arquitetura x86 ou x64

Edições Windows 10 apoiadas:

  • Profissional
  • Grandes Empresas
  • Pro Educação
  • Education

Os dispositivos devem:

  • Esteja matriculado no Intune MDM, ou seja cogerido com as políticas de atualização de Windows definidas para Intune ou Pilot Intune.

  • Seja Azure Ative Directory (AD) Unidos ou Híbrido Azure AD. A Workplace Join não é apoiada.

  • Tenha acesso aos seguintes pontos finais:

    • Windows Update

      • *.prod.do.dsp.mp.microsoft.com
      • *.windowsupdate.com
      • *.dl.delivery.mp.microsoft.com
      • *.update.microsoft.com
      • *.delivery.mp.microsoft.com
      • tsfe.trafficshaping.dsp.mp.microsoft.com

    • WUfB-DS

      • devicelistenerprod.microsoft.com
      • login.windows.net
      • payloadprod*.blob.core.windows.net

    • Windows Serviços de Notificação push: (Recomendado, mas não necessário. Sem este acesso, os dispositivos podem não acelerar as atualizações até à próxima verificação diária de atualizações.)

      • *.notify.windows.com

  • Esteja configurado para obter Atualizações de Qualidade diretamente do serviço Windows Update.

  • Instale as Ferramentas de Saúde de Atualização, que são instaladas com 4023057 KB - Atualização para Windows 10 componentes do Serviço de Atualização. Para confirmar a presença das Ferramentas de Saúde de Atualização num dispositivo:

    • Procure a pasta C:\Ficheiros do programa\Microsoft Update Health Tools ou rever Adicionar Programas de Remoção para Ferramentas de Saúde da Atualização do Microsoft.

    • Como administrador, execute o seguinte script PowerShell:

      Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

      Resultados de exemplo:
      Resultados de exemplo para a consulta do WMI

Definições do dispositivo:

Para ajudar a evitar conflitos ou configurações que possam bloquear a instalação de atualizações aceleradas, configurar os dispositivos da seguinte forma. Pode utilizar as políticas de toque de atualização intune Windows 10 para gerir estas definições.

Configuração do anel de atualização Valor recomendado
Canal de serviço Via de Atualizações Semianuais

Expedite não suporta canais adicionais neste momento.
Comportamento de atualização automática Repor para predefinição

Outros valores podem causar uma má experiência do utilizador e retardar o processo para acelerar as atualizações.
Alterar o nível de atualização da notificação Utilize qualquer valor que não desligue todas as notificações, incluindo avisos de reinício

Para obter mais informações sobre estas definições, consulte Policy CSP – Update.

As definições de Política de Grupo sobrepõem as políticas de gestão de dispositivos móveis, e a seguinte lista de definições de Política de Grupo pode interferir com a política expedita. Nos dispositivos em que estas definições foram geridas pela Política de Grupo, restaurá-las para os seus padrãos de dispositivo (não configuradas):

  • CorpWuURL - Especifique a localização do serviço de atualização intranet Microsoft.
  • AutoUpdateCfg - Configurar atualizações automáticas.
  • DiferimentoAsdesdes - Selecione quando forem recebidas as atualizações de pré-visualização e atualizações de funcionalidades.
  • Desativar a Dual Scan - Não permita que as políticas de diferimento de atualização causem verificações contra Windows Atualização.

Permitir Windows Monitorização da Saúde:

Antes de poder monitorizar os resultados e atualizar o estado para atualizações expeditas, o seu inquilino Intune deve permitir Windows Monitorização de Saúde. Ao configurar Windows Monitorização de Saúde, certifique-se de definir o Âmbito para Windows atualizações.

Criar e atribuir uma atualização de qualidade expedita

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione dispositivos > Windows > Windows 10 atualizações de qualidade (pré-visualização) Criar > perfil.

    Captura de ecrã da UI de perfil Criar

  3. Em Definições, insira as seguintes propriedades para identificar este perfil:

    • Nome: Introduza um nome descritivo para o perfil. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde.

    • Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.

  4. Em Definições, configurar a instalação de atualizações de qualidade se a versão OS do dispositivo for inferior a . Selecione a atualização que pretende acelerar a partir da lista de drop-down. A lista inclui apenas as atualizações que pode acelerar.

    Dica

    As atualizações de qualidade Windows 10 opcionais não podem ser expedidas e não estarão disponíveis para selecionar.

    Captura de ecrã da atualização da UI de seleção

    Ao selecionar uma atualização:

    • As atualizações são identificadas pela data de lançamento e pode selecionar apenas uma atualização por política.

    • As atualizações que incluem a letra B em seu nome identificam as atualizações que foram lançadas como parte de um evento de terça-feira de patch. A carta B identifica que a atualização foi divulgada na segunda terça-feira do mês.

    • As atualizações de segurança para Windows 10 que o lançamento fora da banda a partir de um patch terça-feira pode ser acelerado. Em vez da letra B, os lançamentos de patch fora de banda têm diferentes identificadores.

    • Quando a atualização é implementada, Windows Update garante que cada dispositivo que recebe a política instala uma versão da atualização que se aplica à arquitetura dos dispositivos e à sua versão atual Windows, como a versão 1809, 2004, e assim por diante.

    Dica

    Para mais informações, consulte o blog Windows 10 atualizar a cadência de manutenção - Microsoft Tech Community.

  5. Em Definições, configurar Número de dias para esperar antes do reboot forçado. Para esta definição, selecione quanto tempo após a instalação da atualização um dispositivo reiniciará automaticamente para completar a instalação da atualização. Pode selecionar de zero a dois dias. O reinício automático é cancelado se um dispositivo reiniciar manualmente antes do prazo. Se uma atualização não necessitar de um reinício, esta definição não é aplicada.

    • Uma definição de 0 dias significa que assim que o dispositivo instala a atualização, o utilizador é notificado sobre o reinício e tem tempo limitado para guardar o seu trabalho.

    Importante

    Esta experiência pode ter impacto na produtividade dos utilizadores. Considere a sua utilização para os dispositivos ou atualizações que devem completar e reiniciar o dispositivo o mais rapidamente possível.

    • Uma configuração de 1 dia ou 2 dias proporciona flexibilidade aos utilizadores do dispositivo para gerir um reinício antes de ser forçado. Estas definições correspondem a um atraso automático de reinício de 24 ou 48 horas após a instalação da atualização no dispositivo.

      Captura de ecrã de selecionar dias antes do reboot forçado

  6. Em Atribuições, selecione Adicionar grupos e, em seguida, selecione dispositivo ou grupos de utilizadores para atribuir a política.

  7. Em Rever + criar, selecione Criar. Após a criação da política, implementa-se em grupos designados.

Identifique a última atualização aplicável

Existem alguns cenários em que a sua política para acelerar uma atualização resulta na instalação de uma atualização mais recente do que especificada na política. Este resultado ocorre quando a nova atualização inclui e ultrapassa a atualização especificada, e essa atualização mais recente está disponível antes de um dispositivo fazer check-in para instalar a atualização especificada na política de atualização expedita. Um exemplo detalhado deste cenário é fornecido mais tarde neste artigo.

A instalação da mais recente atualização de qualidade reduz as perturbações no dispositivo e no utilizador ao mesmo tempo que aplica os benefícios da atualização pretendida. Isto evita ter de instalar várias atualizações, que cada uma delas pode necessitar de reboots separados.

Uma atualização mais recente é implementada quando as seguintes condições são satisfeitas:

  • O dispositivo não é direcionado para uma política de diferimento que bloqueia a instalação de uma atualização mais recente. Neste caso, a atualização mais recentemente disponível que não é adiada é a atualização que poderá ser instalada.

  • Durante o processo para acelerar uma atualização, o dispositivo executa uma nova digitalização que deteta a nova atualização. Isto pode ocorrer devido ao tempo de:

    • Quando o dispositivo reiniciar para completar a instalação
    • Quando o dispositivo executa a sua varredura diária
    • Quando uma nova atualização fica disponível

    Quando uma digitalização identifica uma nova atualização, Windows Update tenta parar a instalação da atualização original, cancelar o reinício e, em seguida, iniciar o download e instalação da atualização mais recente.

Embora as políticas de atualização expeditas substituam um adiamento de atualização para a versão de atualização especificada na política, não substituem os diferimentos que estão em vigor para qualquer outra versão de atualização.

Exemplo de instalação de uma atualização acelerada

A sequência de eventos que se segue fornece um exemplo de como dois dispositivos, chamados Test-1 e Test-2, instalam uma atualização baseada numa política de atualização de qualidade Windows 10 que é atribuída aos dispositivos.

  1. Todos os meses, os administradores da Intune implementam as mais recentes atualizações de qualidade Windows 10 na quarta terça-feira do mês. Este período dá-lhes duas semanas após o evento de terça-feira para validar as atualizações no seu ambiente antes de forçarem a instalação da atualização.

  2. No dia 19 de janeiro de 2021, o dispositivo Test-1 e Test-2 instalam a mais recente atualização de qualidade do patch terça-feira lançado a 12 de janeiro. No dia seguinte, ambos os dispositivos são desligados pelos seus utilizadores que estão cada um de férias.

  3. No dia 9 de fevereiro, o administrador Intune cria uma política para acelerar a instalação do patch Terça-feira lançar 02/09/2021 – 2021.02 B Atualizações de Segurança para Windows 10 para ajudar a proteger dispositivos da empresa contra uma ameaça crítica que a atualização resolve. A política de aceleração é atribuída a um grupo de dispositivos que inclui tanto o Teste-1 como o Teste-2. Todos os dispositivos desse grupo que estão ativos recebem e instalam a política de atualização expedita.

  4. No evento de terça-feira patch de 9 de março, uma nova atualização de qualidade é lançada como 03/09/2021 – 2021.03 B Atualizações de Segurança para Windows 10. Não existem questões críticas que exijam uma implementação rápida desta atualização, mas os administradores encontram um possível conflito. Para dar tempo para rever o possível problema, os administradores usam uma política de atualização de Windows 10 para criar uma política de adiamento de sete dias. Todos os dispositivos geridos estão impedidos de instalar esta atualização até 14 de março.

  5. Agora considere os seguintes resultados para o Teste-1 e o Teste-2, com base no momento em que cada um é ligado novamente:

    • Teste-1 - No dia 12 de março, o Test-1 é ligado de novo, conecta-se à rede e recebe notificações de atualização expeditas:

      1. Windows A atualização determina que o Test-1 ainda precisa de acelerar a instalação de atualização, por política.
      2. Como a atualização de 9 de março substitui a atualização de fevereiro, Windows Update poderia instalar a atualização de 9 de março.
      3. Há um adiamento ativo para a atualização de março que só expirará a 14 de março.

      Resultado: Com a política de diferimento para a atualização de março ainda ativa e bloqueando a instalação dessa atualização, o Device-1 instala a atualização de fevereiro conforme configurado na política.

    • Teste-2 - No dia 20 de março, o Test-2 é ligado de novo, conecta-se à rede e recebe notificações de atualização expeditas:

      1. Windows A atualização determina que o Test-2 ainda precisa de acelerar a instalação de atualização, por política.
      2. Como a atualização de 9 de março substitui a atualização de fevereiro, Windows Update poderia instalar a atualização de 9 de março.
      3. Já não há um adiamento ativo para a atualização de março.

      Resultado: Com a política de diferimento da atualização de março expirada, o Test-2 instala a atualização mais recente de março, saltando sobre a atualização de fevereiro e instalando uma atualização posterior do que estava especificado na política.

Gerir políticas para acelerar as atualizações de qualidade

No centro de administração, vá a Dispositivos > Windows > Windows 10 atualizações de qualidade e selecione a política que pretende gerir. A política abre-se ao seu painel de visão geral.

A partir deste painel, você pode:

  • Selecione Eliminar para eliminar a política do Intune. A eliminação de uma apólice remove-a do Intune, mas não resultará na desinstalação da atualização se já tiver concluído a instalação. Windows A atualização tentará cancelar quaisquer instalações em curso, mas não é possível garantir um cancelamento bem-sucedido de uma instalação em curso.

  • Selecione Propriedades para modificar a implementação. No painel Propriedades, selecione Editar para abrir o Definições, etiquetas de âmbito, ou Atribuições, onde pode modificar a implementação.

Monitorização e relatórios

Antes de poder monitorizar os resultados e atualizar o estado para atualizações expeditas, o seu inquilino Intune deve permitir Windows Monitorização de Saúde.

Importante

Ao configurar o perfil de monitorização da saúde Windows, durante o passo sete deve definir o Âmbito para Windows atualizações.

Depois de ter sido criada uma política, pode monitorizar resultados, atualizar o estado e erros dos seguintes relatórios.

Relatório sumário

Este relatório mostra o estado atual de todos os dispositivos no perfil e fornece uma visão geral de quantos dispositivos estão em andamento para instalar uma atualização, ter concluído a instalação ou ter um erro.

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione > Relatórios Windows atualizações. No separador Resumo pode ver a tabela de atualizações de qualidade Windows Expedited.

  3. Para obter mais informações, selecione o separador Relatórios e, em seguida, Windows Relatório de Atualização Expedited.

  4. Clique no link Selecione um perfil de atualização acelerado.

  5. A partir da lista de perfis que é mostrado no lado direito da página, selecione um perfil para ver os resultados.

  6. Selecione o botão 'Gerar relatório'.

Relatório do dispositivo

Este relatório pode ajudá-lo a encontrar dispositivos com alertas ou erros e pode ajudá-lo a resolver problemas de atualização.

  1. Inscreva-se no centro de administração Microsoft Endpoint Manager

  2. Selecione Monitor de Dispositivos > .

  3. Na lista de relatórios de monitorização, percorra a secção de atualizações de Software e selecione Windows falhas de atualização expeditas.

  4. A partir da lista de perfis que é mostrado no lado direito da página, selecione um perfil para ver os resultados.

    Exemplo do relatório do dispositivo

Estados de atualização

Estado de atualização Sub-Estado de Atualização Definição
Pendente Validação O dispositivo foi adicionado à política no serviço e a validação de que o dispositivo pode ser acelerado já começou.
Pendente Agendado O dispositivo passou na validação e será acelerado.
Oferta OfferReady As instruções foram enviadas para o dispositivo.
Instalação Oferta Reeceptivida O dispositivo foi analisado contra Windows Update e a atualização é aplicável, mas ainda não começou a ser descarregada.
Instalação DownloadStart O dispositivo começou a descarregar a atualização.
Instalação DownloadComplete O dispositivo descarregou a atualização.
Instalação InstalarStart O dispositivo começou a instalar a atualização.
Instalação InstallComplete O dispositivo completou a instalação da atualização. A menos que a atualização tenha um erro de atualização, o dispositivo deve mover-se rapidamente para RestartRequired ou UpdateInstalled.
Instalação RestartRequired A instalação está completa e requer um reinício.
Instalação Reinicieinado O dispositivo começou a reiniciar.
Instalação ReinícioCompleto O dispositivo completou o reinício.
Instalado Atualizado instalado A atualização foi concluída com sucesso.

Passos seguintes