Políticas para atualizar a conformidade, a atividade e a experiência do usuário

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Manter os dispositivos atualizados é a melhor maneira de mantê-los funcionando com tranquilidade e segurança.

Prazos para a conformidade de atualização

Você pode controlar como os dispositivos estritamente devem manter a agenda de atualização desejada usando políticas de prazo de atualização. Os componentes do Windows se adaptam com base nesses prazos. Além disso, eles podem fazer compensações entre a experiência do usuário e a velocidade para atender aos prazos de atualização desejados. Por exemplo, eles podem priorizar a experiência do usuário bem antes que o prazo se aproxime e, em seguida, priorizar a velocidade à medida que o prazo se aproxima, ao mesmo tempo em que oferece ao usuário algum controle.

Prazos

Começando com Windows 10, versão 1903 e com a atualização de segurança de agosto de 2019 para Windows 10, versão 1709 e posterior (incluindo Windows 11), uma nova política foi introduzida para substituir políticas anteriores semelhantes a prazo: especificar prazos para atualizações automáticas e reinicializações.

As políticas mais antigas começaram a impor prazos depois que o dispositivo atingiu um restart pending estado para uma atualização. A nova política inicia a contagem regressiva para o prazo de instalação da atualização de quando a atualização é publicada mais qualquer adiamento. Além disso, essa política inclui um período de carência configurável e a opção de optar por não reiniciar automaticamente até que o prazo seja atingido (embora seja recomendável sempre permitir reinicializações automáticas para velocidade máxima de atualização).

Recomendamos que você defina prazos da seguinte maneira:

• Prazo de atualização de qualidade, em dias: 2
• Prazo de atualização de recursos, em dias: 2

As notificações são apresentadas automaticamente ao usuário em horários apropriados e os usuários podem optar por ser lembrados posteriormente, reagendar ou reiniciar imediatamente, dependendo da proximidade do prazo. Recomendamos que você não defina nenhuma política de notificação, pois elas são configuradas automaticamente com padrões apropriados. Uma exceção é se você tiver quiosques ou sinalização digital.

Embora três dias para atualizações de qualidade e sete dias para atualizações de recursos seja nossa recomendação, você pode decidir que deseja mais ou menos, dependendo de sua organização e seus requisitos, e essa política é configurável até um mínimo de dois dias.

Importante

Se o dispositivo não conseguir acessar a Internet, ele não poderá determinar quando a Microsoft publicou a atualização, portanto, ele não poderá impor o prazo. Saiba mais sobre dispositivos de baixa atividade.

Períodos de graça

Você pode definir um período de dias para o Windows encontrar um tempo de reinicialização automático minimamente disruptivo antes que a reinicialização seja imposta. Isso é especialmente útil nos casos em que um usuário está afastado há muitos dias (por exemplo, de férias) para que o dispositivo não seja forçado a atualizar imediatamente quando o usuário retornar.

Recomendamos que você defina o seguinte:

• Período de carência, em dias: 5

Depois que o prazo e o período de carência tiverem passado, as atualizações são aplicadas automaticamente e uma reinicialização ocorre independentemente das horas ativas.

Permitir que o Windows escolha quando reiniciar

O Windows pode usar interações do usuário para identificar dinamicamente o tempo menos disruptivo para uma reinicialização automática. Para aproveitar esse recurso, verifique se ConfigureDeadlineNoAutoReboot está definido como Desabilitado.

Políticas de atividade do dispositivo

Normalmente, o Windows exige que um dispositivo esteja ativo e conectado à Internet por pelo menos seis horas, com pelo menos duas atividades contínuas, a fim de concluir com êxito uma atualização do sistema. O dispositivo pode ter outras circunstâncias físicas que impedem a instalação bem-sucedida de uma atualização , por exemplo, se um laptop estiver com pouca energia da bateria ou o usuário tiver desligado o dispositivo antes do término das horas ativas e o dispositivo não puder cumprir o prazo.

Você pode usar as configurações nesta seção para garantir que os dispositivos estejam disponíveis para instalar atualizações durante o período de conformidade da atualização.

Horário ativo

"Horas ativas" identificam o período de tempo em que se espera que um dispositivo esteja em uso. Normalmente, as reinicializações ocorrem fora dessas horas. Windows 10, a versão 1903 introduziu "horas ativas inteligentes", que permitem que o sistema aprenda horas ativas com base nas atividades de um usuário, em vez de você como administrador ter que tomar decisões para sua organização ou permitir que o usuário escolha horas ativas que minimizem o período em que o sistema pode instalar uma atualização.

Importante

Se você usou a configuração Configurar Horas Ativas em versões anteriores do Windows 10, essas opções devem ser desabilitadas para aproveitar as horas ativas inteligentes.

Se você definir o horário ativo, recomendamos definir as seguintes políticas como Desabilitado para aumentar a velocidade de atualização:

• Atrasar a reinicialização automática. Embora seja possível definir o sistema para atrasar as reinicializações para usuários que estão conectados, essa configuração pode atrasar uma atualização indefinidamente se um usuário estiver sempre conectado ou desligado. Em vez disso, recomendamos definir os seguintes policiais como Desabilitados:

  • Desativar a reinicialização automática durante o horário ativo

  • Nenhuma reinicialização automática com usuários conectados para atualizações automáticas agendadas

  • Limitar atrasos de reinicialização. Usando prazos de conformidade, seus usuários recebem notificações de que as atualizações ocorrerão, portanto, recomendamos que você defina essa política como Desabilitada, para permitir que os prazos de conformidade eliminem a capacidade do usuário de atrasar uma reinicialização fora das configurações de prazo de conformidade.

• Não permita que os usuários aprovem atualizações e reinicializações. Permitir que os usuários aprovem ou se envolvam com o processo de atualização fora das políticas de prazo diminui a velocidade de atualização e aumenta o risco. Essas políticas devem ser definidas como Desabilitadas:

  • Update/RequireUpdateApproval
  • Update/EngagedRestartDeadline
  • Update/EngagedRestartDeadlineForFeatureUpdates
  • Update/EngagedRestartSnoozeSchedule
  • Update/EngagedRestartSnoozeScheduleForFeatureUpdates
  • Update/EngagedRestartTransitionSchedule

• Configurar a atualização automática. Ao definir corretamente as políticas para configurar atualizações automáticas, você pode aumentar a velocidade de atualização fazendo com que os clientes entrem em contato com um servidor WSUS (Windows Server Update Services) para que ele possa gerenciá-las. Recomendamos que você defina essa política como Desabilitada. No entanto, se você precisar fornecer valores, certifique-se de definir downloads para instalar automaticamente definindo o Política de Grupo como 4. Se você estiver usando Microsoft Intune, defina o valor como Redefinir como Padrão.

• Permitir que Windows Update automáticas baixem em redes limitadas. Como mais dispositivos usam principalmente dados celulares e não têm acesso wi-fi, considere permitir que os usuários baixem automaticamente atualizações de uma rede limitada. Embora a configuração padrão não permita o download em uma rede limitada, definir esse valor como 1 pode aumentar a velocidade, permitindo que os usuários obtenham atualizações se estiverem conectados à Internet ou não, desde que tenham serviço de celular.

Importante

Versões mais antigas do Windows não dão suporte a horas ativas inteligentes. Se o dispositivo executar uma versão do Windows antes do Windows 10, versão 1903, recomendamos definir as seguintes políticas:

• Configurar o horário ativo. Começando com Windows 10, versão 1703, você pode especificar um intervalo máximo de horas ativas que é contado a partir do horário de início da hora ativa. Recomendamos definir esse valor como 10.
• Agendar a instalação da atualização. Nas configurações Configurar Atualizações Automática, há duas maneiras de controlar uma reinicialização forçada após um tempo de instalação especificado. Se você usar a instalação de atualização de agendamento, não habilite as duas configurações porque elas provavelmente entrarão em conflito.
  • Especifique o tempo de manutenção automática. Essa configuração permite definir janelas de manutenção mais amplas para atualizações e garante que essa agenda não entre em conflito com o horário ativo. Recomendamos definir esse valor como 3 (correspondente a 3 da manhã). Se as 3:00 da manhã estiverem no meio do turno de trabalho, escolha outra hora que seja pelo menos algumas horas antes do horário de trabalho agendado começar.
  • Agende a hora da instalação. Essa configuração permite agendar um tempo de instalação para uma reinicialização. Não recomendamos que você defina isso como Desabilitado, pois pode entrar em conflito com o horário ativo.

Políticas de energia

Os dispositivos devem realmente estar disponíveis durante horas não ativas para uma atualização. Eles não podem fazer isso se as políticas de energia os impedirem de acordar. Em nossa organização, nos esforçamos para definir um equilíbrio entre a segurança e as configurações ecológicas. Recomendamos as seguintes configurações para alcançar o que achamos ser as compensações apropriadas:

Para um usuário, um dispositivo está ativado ou desativado, mas para o Windows, há estados que permitem que uma atualização ocorra (ativa) e estados que não (inativos). Alguns estados são considerados ativos (sono), mas o usuário pode achar que o dispositivo está desativado. Além disso, há status de energia (conectado/bateria) que o Windows verifica antes de iniciar uma atualização.

Você pode substituir as configurações padrão e impedir que os usuários os alterem para garantir que os dispositivos estejam disponíveis para atualizações durante horas não ativas.

Observação

Uma maneira de garantir que os dispositivos possam instalar atualizações quando você precisar delas é instruir seus usuários a manter os dispositivos conectados durante horas não ativas. Mesmo com as melhores políticas, um dispositivo que não está conectado não será atualizado, mesmo no modo de sono.

Recomendamos essas configurações de gerenciamento de energia:

• Modo de sono (S1 ou S0 baixa potência ociosa ou espera moderna). Quando um dispositivo está no modo de sono, o sistema parece estar desativado, mas se uma atualização estiver disponível, ele poderá acordar o dispositivo para obter uma atualização. O consumo de energia no modo de sono é entre trabalhar (sistema totalmente utilizável) e hibernar (S4 – nível de energia mais baixo antes do desligamento). Quando um dispositivo não está sendo usado, o sistema geralmente se moverá para o modo de sono antes de hibernar. Problemas de velocidade surgem quando o tempo entre o sono e a hibernação é muito curto e o Windows não tem tempo para concluir uma atualização. O modo de sono é uma configuração importante porque o sistema pode acordar o sistema do sono para iniciar o processo de atualização, desde que haja energia suficiente.

Defina as seguintes políticas como Habilitar ou Não Configurar para permitir que o dispositivo use o modo de sono:

• Power/AllowStandbyStatesWhenSleepingOnBattery
• Power/AllowStandbyWhenSleepingPluggedIn

Defina as seguintes políticas como 1 (Dormir) para que, quando um usuário fechar a tampa de um dispositivo, o sistema vá para o modo de sono e o dispositivo tenha a oportunidade de fazer uma atualização:

• Power/SelectLidCloseActionOnBattery

• Power/SelectLidCloseActionPluggedIn

• Hibernar. Quando um dispositivo está hibernando, o consumo de energia é baixo e o sistema não pode acordar sem intervenção do usuário, como pressionar o botão de energia. Se um dispositivo estiver nesse estado, ele não poderá ser atualizado, a menos que dê suporte a um TAD (Dispositivo de Alarme e Tempo de ACPI). Dito isto, se um dispositivo com suporte ao Sono Tradicional (S3) estiver conectado e uma atualização do Windows estiver disponível, um estado de hibernação será adiado até que a atualização seja concluída.

Observação

Isso não se aplica a dispositivos que dão suporte a Espera Moderna (S0 Ocioso de Baixa Potência). Você pode marcar qual estado de sono do sistema (S3 ou S0 Low Power Idle) um dispositivo dá suporte executando powercfg /a em um prompt de comando. Para saber mais, confira Opções do Powercfg.

O tempo limite padrão em dispositivos com suporte ao sono tradicional é definido como três horas. Recomendamos que você não reduza essas políticas para permitir que Windows Update a oportunidade de reiniciar o dispositivo antes de enviá-lo para hibernação:

• Power/HibernateTimeoutOnBattery
• Power/HibernateTimeoutPluggedIn

Políticas antigas ou conflitantes

Cada versão do cliente Windows pode apresentar novas políticas para tornar a experiência melhor para os administradores e suas organizações. Quando lançamos uma nova política de cliente, ou a liberamos puramente para essa versão e posterior ou contamos novamente a política para disponibilizá-la em versões anteriores.

Importante

Se você estiver usando Política de Grupo, observe que não atualizamos os modelos antigos do ADMX e deve usar o modelo ADMX mais recente (1903) para usar a política mais recente. Além disso, se você estiver usando uma ferramenta MDM (Microsoft ou não Microsoft), não poderá usar a nova política até que ela esteja disponível na interface da ferramenta.

Como administradores, você configurou e espera certos comportamentos, portanto, expressamente não removemos políticas mais antigas, pois elas foram configuradas para seus casos de uso específicos. No entanto, se você definir uma nova política sem desabilitar uma política mais antiga semelhante, poderá ter um comportamento conflitante e as atualizações podem não funcionar conforme o esperado.

Importante

Às vezes, descobrimos que os administradores definem dispositivos para obter configurações de Política de Grupo e MDM de um servidor MDM, como Microsoft Intune. Os conflitos de política são tratados de forma diferente, dependendo de como eles são configurados:

• Atualizações do Windows: Política de Grupo configurações têm precedência sobre o MDM.
• Microsoft Intune: se você definir valores diferentes para a mesma política em dois grupos diferentes, receberá um alerta e nenhuma política será definida até que o conflito seja resolvido. É crucial desabilitar políticas conflitantes para que os dispositivos em sua organização levem as atualizações conforme o esperado. Por exemplo, se um dispositivo não estiver reagindo às alterações na política do MDM, marcar para ver se uma política semelhante é definida em Política de Grupo com um valor diferente. Se você descobrir que a velocidade de atualização não é tão alta quanto você espera ou se alguns dispositivos forem mais lentos do que outros, talvez seja hora de limpar todas as polícias e configurações e especificar apenas as políticas de atualização recomendadas. Consulte a referência Política e configurações para uma lista consolidada de polícias recomendadas.

A seguir estão políticas que talvez você queira desabilitar porque elas podem diminuir a velocidade de atualização ou há políticas melhores para usar que podem entrar em conflito:

• Adiar o recurso Atualizações período em dias. Para velocidade máxima de atualização, é melhor definir isso como 0 (sem adiamento) para que a atualização de recursos possa ser concluída e as atualizações de segurança mensais sejam oferecidas novamente. Mesmo que haja uma atualização de qualidade urgente que deve ser implantada rapidamente, é melhor usar o Recurso pausar Atualizações em vez de definir uma política de adiamento. Você pode escolher um período mais longo se não quiser ficar atualizado com a atualização de recursos mais recente.
• Adiar o período de Atualizações de qualidade em dias. Para minimizar o risco e maximizar a velocidade de atualização, o tempo máximo que você deseja considerar ao avaliar a atualização com um anel diferente de dispositivos é de dois a três dias.
• Pausar recurso Atualizações hora de início. Defina como Desabilitado , a menos que haja um problema conhecido que exija tempo para uma resolução.
• Pausar a qualidade Atualizações hora de início. Defina como Desabilitado , a menos que haja um problema conhecido que exija tempo para uma resolução.
• Prazo Sem Reinicialização Automática. O padrão é desabilitado – Definido como 0 . Recomendamos que os dispositivos tentem reiniciar automaticamente quando uma atualização é recebida. O Windows usa interações do usuário para identificar dinamicamente o tempo menos disruptivo para reiniciar.

Também não há mais suporte para políticas adicionais ou substituídas.