Visão geral do registro do dispositivo
O Windows Autopatch tem de registar os seus dispositivos existentes no respetivo serviço para gerir as implementações de atualizações em seu nome.
O processo de registo do dispositivo de Bloqueio Automático do Windows é transparente para os utilizadores finais, uma vez que não requer a reposição dos dispositivos.
O processo geral de registo de dispositivos é o seguinte:
- O administrador de TI revê os pré-requisitos de registo de dispositivos do Windows Autopatch antes de registar dispositivos com o Windows Autopatch.
- O administrador de TI identifica os dispositivos a serem geridos pelo Windows Autopatch através da adição de grupos microsoft Entra baseados em dispositivos como parte do grupo Despatch Automático Personalizado ou do grupo Despatch Automático Predefinido.
- Em seguida, a Correção Automática do Windows:
- Efetua a preparação do dispositivo antes do registo (verificações de pré-requisitos).
- Calcula a distribuição da cadência de implementação.
- Atribui dispositivos a uma das cadentes de implementação com base no cálculo anterior.
- Atribui dispositivos a outros grupos do Microsoft Entra necessários para gestão.
- Marca os dispositivos como ativos para gestão para que possam aplicar as políticas de implementação de atualizações.
- Em seguida, o administrador de TI monitoriza as tendências de registo de dispositivos e os relatórios de implementação de atualizações.
Para obter mais informações sobre o fluxo de trabalho de registo de dispositivos, consulte a secção Diagrama detalhado do fluxo de trabalho de registo de dispositivos para obter mais detalhes técnicos por trás do processo de registo de dispositivos de Bloqueio Automático do Windows.
Diagrama de fluxo de trabalho de registo de dispositivos detalhado
Veja o seguinte diagrama de fluxo de trabalho detalhado. O diagrama abrange o processo de registo do dispositivo de Correspondência Automática do Windows:
Etapa | Descrição |
---|---|
Passo 1: identificar dispositivos | O administrador de TI identifica os dispositivos a serem geridos pelo serviço de Bloqueio Automático do Windows. |
Passo 2: Adicionar dispositivos | O administrador de TI adiciona dispositivos através da Associação direta ou aninha outros grupos dinâmicos ou atribuídos ao Microsoft Entra ID no grupo Microsoft Entra ID de Registo automático de Dispositivos atribuído ao utilizar a adição de grupos microsoft Entra baseados em dispositivos existentes enquanto cria/ aedição de grupos de Bloqueio Automático Personalizados ou a edição do grupo de Bloqueio Automático Predefinido |
Passo 3: Detetar dispositivos | A função Detetar Dispositivos de Deteção Automática do Windows deteta dispositivos (hora a hora) que foram adicionados anteriormente pelo administrador de TI ao grupo Microsoft Entra ID de Registo automático de Dispositivos ou a partir de grupos do Microsoft Entra utilizados com grupos de Bloqueio Automático no passo 2. O ID do dispositivo Microsoft Entra é utilizado pelo Windows Autopatch para consultar atributos de dispositivos no Microsoft Intune e no Microsoft Entra ID ao registar dispositivos no respetivo serviço.
|
Passo 4: Verificar os pré-requisitos | A função de pré-requisito do Windows Autopatch faz uma chamada à Graph API do Intune para validar sequencialmente os atributos de preparação do dispositivo necessários para o processo de registo. Para obter informações detalhadas, veja a secção Diagrama de fluxo de trabalho de verificação de pré-requisitos detalhado . O serviço verifica os seguintes atributos de preparação para dispositivos e/ou pré-requisitos:
|
Passo 5: Calcular a atribuição da cadência de implementação | Assim que o dispositivo passar todos os pré-requisitos descritos no passo 4, o Windows Autopatch inicia o cálculo da atribuição da cadência de implementação. A lógica seguinte é utilizada para calcular a atribuição da cadência de implementação do Windows Autopatch:
|
Passo 6: atribuir dispositivos a um grupo de cadências de implementação | Assim que o cálculo da cadência de implementação estiver concluído, o Windows Autopatch atribui dispositivos a dois conjuntos de cadências de implementação, sendo o primeiro o conjunto de cadência de implementação baseado no serviço representado pelos seguintes grupos do Microsoft Entra:
|
Passo 7: atribuir dispositivos a um grupo do Microsoft Entra | O Windows Autopatch também atribui dispositivos aos seguintes grupos do Microsoft Entra quando se aplicam determinadas condições:
|
Passo 8: Registo pós-dispositivo | No registo pós-dispositivo, ocorrem três ações:
|
Passo 9: Rever o estado do registo do dispositivo | Os administradores de TI analisam o estado de registo do dispositivo nos separadores Registados e Não registados .
|
Passo 10: Fim do fluxo de trabalho de registo | Este é o fim do fluxo de trabalho de registo de dispositivos do Windows Autopatch. |
Diagrama de fluxo de trabalho de verificação de pré-requisitos detalhado
Conforme descrito no passo 4 do diagrama de fluxo de trabalho De registo de dispositivos detalhado anterior, o diagrama seguinte é uma representação visual da construção de pré-requisitos para o processo de registo de dispositivos de Bloqueio Automático do Windows. As verificações de pré-requisitos são executadas sequencialmente.
Cadernetes de implementação do Windows Autopatch
Durante o processo de inscrição de inquilinos, o Windows Autopatch cria dois conjuntos de cadências de implementação diferentes:
- Conjunto de cadências de implementação baseada no serviço
- Conjunto de cadências de implementação baseadas em atualizações de software
Os quatro grupos atribuídos do Microsoft Entra ID seguintes são utilizados para organizar dispositivos para o conjunto de cadências de implementação baseado no serviço:
Anel de implementação baseado no serviço | Descrição |
---|---|
Devices-Windows Autopatch-Test da Área de Trabalho Moderna | Cadência de implementação para testar a configuração baseada no serviço, implementações de aplicações antes da implementação de produção |
Devices-Windows Autopatch-First da Área de Trabalho Moderna | Primeira cadência de implementação de produção para adotantes iniciais. |
Devices-Windows Autopatch-Fast da Área de Trabalho Moderna | Cadência de implementação rápida para implementação rápida e adoção |
Devices-Windows Autopatch-Broad da Área de Trabalho Moderna | Cadência de implementação final para implementação abrangente na organização |
Os cinco grupos atribuídos ao Microsoft Entra ID que são utilizados para organizar dispositivos para a cadência de implementação baseada na atualização de software definida no grupo Predefinição de Bloqueio Automático:
Cadência de implementação baseada em atualizações de software | Descrição |
---|---|
Bloqueio Automático do Windows - Teste | Cadência de implementação para testar implementações baseadas em atualizações de software antes da implementação de produção. |
Bloqueio Automático do Windows - Anel1 | Primeira cadência de implementação de produção para adotantes iniciais. |
Bloqueio Automático do Windows - Cadência2 | Cadência de implementação rápida para implementação rápida e adoção. |
Bloqueio Automático do Windows - Cadência3 | Cadência de implementação final para implementação abrangente na organização. |
Bloqueio Automático do Windows - Último | Cadência de implementação opcional para dispositivos especializados ou VIP/executivos que têm de receber implementações de atualizações de software depois de serem bem testadas com populações precoces e gerais numa organização. |
No conjunto da cadência de implementação baseada em software, cada cadência de implementação tem um conjunto diferente de políticas de implementação de atualizações para controlar a implementação de atualizações.
Cuidado
A adição ou importação de dispositivos diretamente para qualquer um destes grupos não é suportada. Ao fazê-lo, poderá afetar o serviço de Bloqueio Automático do Windows. Para mover dispositivos entre estes grupos, veja Mover dispositivos entre anéis de implementação.
Importante
O registo de dispositivos com a Correção Automática do Windows não atribui dispositivos às cadências de implementação de Teste baseadas no serviço (Modern Workplace Devices-Windows Autopatch-Test) ou atualizações de software baseadas em atualizações (Bloqueio Automático do Windows – Teste e Bloqueio Automático do Windows – Último) no grupo Predefinição de Bloqueio Automático. Isto destina-se a impedir que dispositivos essenciais para uma empresa sejam afetados ou que os dispositivos utilizados pelos executivos recebam implementações de atualizações de software antecipadas.
Durante o processo de registo de dispositivos, o Windows Autopatch atribui cada dispositivo a uma cadência de implementação baseada em atualizações de software e baseada em serviço para que o serviço tenha a representação adequada da diversidade de dispositivos em toda a sua organização.
A distribuição da cadência de implementação foi concebida para lançar implementações de atualizações de software para o menor número possível de dispositivos para obter os sinais necessários para fazer uma avaliação de qualidade de uma determinada implementação de atualização.
Observação
Não pode criar anéis de implementação adicionais nem utilizar os seus próprios anéis para dispositivos geridos pelo serviço Despatch do Windows.
Lógica de cálculo da cadência de implementação predefinida
O cálculo da cadência de implementação do Windows Autopatch ocorre durante o processo de registo do dispositivo e aplica-se aos conjuntos de cadências de implementação baseados em atualizações de software e baseados em serviço:
- Se o tamanho do dispositivo gerido existente do inquilino do Windows Autopatch for ≤ 200, a atribuição da cadência de implementação será First (5%), Fast (15%), os restantes dispositivos vão para a Cadência Ampla (80%).
- Se o tamanho de dispositivo gerido existente do inquilino do Windows Autopatch for >200, a atribuição da cadência de implementação será First (1%), Fast (9%), os restantes dispositivos vão para a cadência Broad (90%).
Observação
Pode personalizar a lógica de cálculo da cadência de implementação ao editar o grupo Despatch Automático Predefinido.
Anel de implementação baseado no serviço | Cadência de implementação do grupo de Bloqueio Automático Predefinido | Percentagem de balanceamento de dispositivos predefinida | Descrição |
---|---|---|---|
Testar | Testar | zero | O Windows Autopatch não adiciona automaticamente dispositivos a esta cadência de implementação. Tem de adicionar manualmente dispositivos à cadência de teste ao seguir o procedimento necessário. Para obter mais informações sobre estes procedimentos, veja Mover dispositivos entre anéis de implementação. O número recomendado de dispositivos nesta cadência, com base no tamanho do seu ambiente, é o seguinte:
|
Primeiro | Anel 1 | 1% | A Primeira cadência é o primeiro grupo de utilizadores de produção a receber uma alteração. Este grupo é o primeiro conjunto de dispositivos a enviar dados para o Windows Autopatch e é utilizado para gerar um sinal de estado de funcionamento em todos os utilizadores finais. Por exemplo, a Correspondência Automática do Windows pode gerar um sinal estatisticamente significativo a indicar que os erros críticos estão a surgir numa versão específica para todos os utilizadores finais, mas não pode ter a certeza de que o está a fazer na sua organização. Uma vez que o Windows Autopatch ainda não tem dados suficientes para informar uma decisão de lançamento, os dispositivos nesta cadência de implementação poderão sofrer falhas se existirem cenários que não foram abrangidos durante os testes antecipados na cadência de teste. |
Rápido | Anel 2 | 9% | A Cadência rápida é o segundo grupo de utilizadores de produção a receber alterações. Os sinais da primeira cadência são considerados como parte do processo de lançamento para a cadência Broad. O objetivo desta cadência de implementação é ultrapassar o limiar de 500 dispositivos necessário para gerar uma análise estatisticamente significativa ao nível do inquilino. Estes dispositivos adicionais permitem que o Windows Autopatch considere o efeito de uma versão no resto dos seus dispositivos e avalie se é necessária uma ação direcionada para o seu inquilino. |
Ampla | Anel 3 | 80% ou 90% | A cadência Broad é o último grupo de utilizadores a receber implementações de atualizações de software. Uma vez que contém a maioria dos dispositivos registados com o Windows Autopatch, favorece a estabilidade em comparação com a velocidade numa implementação de atualização de software. |
N/D | Último | zero | A Última cadência destina-se a ser utilizada para dispositivos especializados ou dispositivos que pertencem a VIP/executivos numa organização. O Windows Autopatch não adiciona automaticamente dispositivos a esta cadência de implementação. |
Mapeamento da cadência de implementação baseada em atualizações de software para serviços
Existe um mapeamento um-para-um entre as cadernetas de implementação baseadas em atualizações de software e baseadas em atualizações de serviço introduzidas com grupos de Correção Automática. Este mapeamento destina-se a ajudar a mover dispositivos entre anéis de implementação para outras cargas de trabalho de atualização de software que ainda não suportam grupos de Bloqueio automático, como o Microsoft 365 Apps e o Microsoft Edge.
Se mover um dispositivo para | O dispositivo também é movido para |
---|---|
Bloqueio Automático do Windows - Teste | Devices-Windows Autopatch-Test da Área de Trabalho Moderna |
Bloqueio Automático do Windows - Anel1 | Devices-Windows Autopatch-First da Área de Trabalho Moderna |
Bloqueio Automático do Windows - Cadência2 | Devices-Windows Autopatch-Fast da Área de Trabalho Moderna |
Bloqueio Automático do Windows - Cadência3 | Devices-Windows Autopatch-Broad da Área de Trabalho Moderna |
Bloqueio Automático do Windows - Último | Devices-Windows Autopatch-Broad da Área de Trabalho Moderna |
Se os grupos de Correção Automática tiverem mais de cinco anéis de implementação e tiver de mover dispositivos para anéis de implementação após a Cadência3. Por exemplo, <Autopatch group name - Ring4, Ring5, Ring6, etc.>
. Os dispositivos serão movidos para a Área de Trabalho Moderna Devices-Windows Autopatch-Broad.
Mover dispositivos entre anéis de implementação
Se quiser mover dispositivos para diferentes cadências de implementação (baseadas em atualizações de serviços ou software), após a atribuição da cadência de implementação do Windows Autopatch, pode repetir os seguintes passos para um ou mais dispositivos a partir do separador Registado .
Importante
Só pode mover dispositivos entre anéis de implementação no mesmo grupo de Bloqueio Automático. Não pode mover dispositivos entre anéis de implementação em diferentes grupos de Correspondência Automática. Se tentar selecionar um dispositivo que pertença a um grupo de Bloqueio Automático e outro dispositivo que pertença a um grupo de Bloqueio Automático diferente, receberá a seguinte mensagem de erro no canto superior direito do portal do Microsoft Intune: "Ocorreu um erro. Selecione dispositivos dentro do mesmo grupo de Bloqueio Automático.
Para mover dispositivos entre anéis de implementação:
Observação
Só pode mover dispositivos para outras cadinhas de implementação quando estiverem num estado ativo no separador Registado .
- No centro de administração do Intune, selecioneDispositivos no painel esquerdo.
- Na secção Bloqueio Automático do Windows , selecione Dispositivos.
- No separador Registado , selecione um ou mais dispositivos que pretende atribuir. Todos os dispositivos selecionados serão atribuídos à cadência de implementação que especificar.
- Selecione Ações do dispositivo no menu.
- Selecione Atribuir cadência. É aberto um fly-in.
- Utilize o menu pendente para selecionar a cadência de implementação para onde mover os dispositivos e, em seguida, selecione Guardar. A coluna Cadência atribuída por será alterada para Pendente.
- Quando a atribuição estiver concluída, a Cadência atribuída pela coluna muda para Administrador (o que indica que efetuou a alteração) e a coluna Anel mostra a nova atribuição da cadência de implementação.
Se não vir a alteração da cadência atribuída pela coluna para Pendente no Passo 5, verifique se o dispositivo existe ou não no Microsoft Intune ao procurá-lo no respetivo painel de dispositivos. Para obter mais informações, veja Detalhes do dispositivo no Intune.
Aviso
Mover dispositivos entre anéis de implementação através da alteração direta da associação ao grupo do Microsoft Entra não é suportado e pode causar conflitos de configuração indesejados no serviço Depatch Do Windows. Para evitar a interrupção do serviço para dispositivos, utilize a ação Atribuir dispositivo para tocar descrita anteriormente para mover dispositivos entre anéis de implementação.
Funções de remediação da cadência de implementação automatizada
O Windows Autopatch monitoriza a associação de dispositivos nas cadências de implementação, exceto para o Modern Workplace Devices-Windows Autopatch-Test, Windows Autopatch - Test and Windows Autopatch - Last rings, to provide automated deployment ring remediation functions to mitigate the risk of not having its managed devices being part of one of its deployment rings. Estas funções automatizadas ajudam a mitigar o risco de potencialmente ter dispositivos num estado vulnerável e expostas a ameaças de segurança no caso de não estarem a receber implementações de atualização devido a:
- Alterações efetuadas pelo administrador de TI em objetos criados pelo processo de inscrição de inquilinos do Windows Autopatch ou
- Ocorreu um problema que impedia os dispositivos de receberem uma cadência de implementação atribuída durante o processo de registo do dispositivo.
Existem duas funções de remediação da cadência de implementação automatizada:
Função | Descrição |
---|---|
Verificar a associação à cadência de implementação de dispositivos | A cada hora, o Windows Autopatch verifica se algum dos seus dispositivos geridos não faz parte de uma das cadernetas de implementação. Se um dispositivo não fizer parte de uma cadência de implementação, o Windows Autopatch atribui aleatoriamente o dispositivo a uma das respetivas cadências de implementação (exceto para o Modern Workplace Devices-Windows Autopatch-Test, Windows Autopatch - Test e Windows Autopatch - Last rings). |
Remediador de dispositivos de cadência de várias implementações | A cada hora, o Windows Autopatch verifica se algum dos seus dispositivos geridos faz parte de várias cadências de implementação (exceto para o Modern Workplace Devices-Windows Autopatch-Test, Windows Autopatch - Test e Windows Autopatch - Last rings). Se um dispositivo fizer parte de várias cadências de implementação, o Windows Autopatch remove aleatoriamente o dispositivo até que o dispositivo faça apenas parte de uma cadência de implementação. |
Importante
As funções da cadência de implementação automatizada do Windows Autopatch não atribuem ou removem dispositivos de/para as seguintes cadências de implementação: