Поделиться через


Ускорение применения исправлений Windows в Microsoft Intune

С помощью политики "Исправления" для Windows 10 и более поздних версий можно ускорить установку последних обновлений системы безопасности Windows 10/11 на устройствах, управляемых с помощью Microsoft Intune. Развертывание ускоряемых обновлений выполняется без необходимости приостанавливать или изменять существующие политики ежемесячных обновлений. Например, вы можете ускорить конкретное обновление, чтобы устранить угрозу безопасности, если обычный процесс обновления не развертывает обновление в течение некоторого времени.

Не все обновления можно ускорить. Сейчас для развертывания с помощью политики "Исправления Windows" доступны только те исправления Windows 10/11, которые можно ускорить. Для управления регулярными ежемесячными исправлениями используйте политики кругов обновления Windows 10 и более поздней версии.

Как работают срочные обновления

С помощью ускоряемых обновлений можно ускорить установку обновлений качества, таких как последний выпуск исправлений во вторник или внеполосное обновление для системы безопасности для уязвимости нулевого дня.

Политики ускоренного обновления временно переопределяют отсрочки и другие параметры для максимально быстрой установки обновлений. Этот процесс позволяет устройствам запускать скачивание и установку ускоренного обновления, не дожидаясь, пока устройство будет зарегистрировано для получения обновлений.

Фактическое время, необходимое устройству для запуска обновления, зависит от подключения устройства к Интернету, времени его сканирования, работы каналов связи с устройством и других факторов, таких как время облачной обработки.

  • Для каждой политики ускоренного обновления вы выбираете одно обновление для развертывания в зависимости от даты выпуска. Используя дату выпуска, вам не нужно создавать отдельные политики для развертывания различных экземпляров этого обновления на устройствах с разными версиями Windows, например Windows 10 версии 1809, 1909 и т. д.

  • Центр обновления Windows оценивает сборку и архитектуру каждого устройства, а затем доставляет версию обновления, которую нужно применить.

  • Срочное обновление получают только устройства, которым требуется обновление:

    • Центр обновления Windows не пытается ускорить обновление для устройств, которые уже имеют редакцию, равную или превышающую версию обновления.
    • Для устройств, версия сборки которых ниже версии обновления, Центр обновления Windows предварительно проверяет, что на этом устройстве действительно необходимо установить обновление.

    Важно!

    В некоторых сценариях Центр обновления Windows может установить обновление, имеющее более позднюю версию, чем обновление, указанное в политике ускорения обновлений. Дополнительные сведения об этом сценарии см. в подразделе Об установке последнего применимого обновления далее в этой статье.

  • Политики ускорения обновлений игнорируют и переопределяют любые периоды отсрочки исправлений для развертываемой версии обновления. Вы можете настроить периоды отсрочки исправлений с помощью кругов обновления Windows в Intune и параметра Период отсрочки исправлений.

  • Если для завершения установки обновления требуется перезапуск, политика помогает управлять перезапуском. В политике можно настроить период, в течение которого пользователи должны перезапустить устройство; в противном случае будет выполнен автоматический перезапуск. Пользователи также могут запланировать перезапуск или позволить устройству определить наилучшее время для перезапуска за пределами рабочих часов устройства. Перед достижением крайнего срока для перезапуска устройство отображает уведомления, оповещающие пользователей устройства о крайнем сроке, и предоставляет пользователям возможность запланировать перезапуск.

    Если устройство не перезапускается до истечения крайнего срока, перезапуск может произойти в середине рабочего дня. Дополнительные сведения о поведении перезапуска см. в разделе Принудительное обеспечение крайнего срока перезапуска для обновлений.

  • Ускоряемые обновления не рекомендуется использовать для обычной ежемесячной проверки качества обновлений. Вместо этого рекомендуется использовать параметры крайнего срока в политике круга обновления Windows 10 или более поздней версии. Дополнительные сведения см. в разделе Использование параметров крайнего срока в параметрах пользовательского интерфейса в разделе Параметры обновления Windows.

Предварительные требования

Важно!

Эта функция не поддерживается в облачных средах GCC и GCC High и DoD.

Включение активации подписки с помощью существующего ea не применимо к облачным средам GCC и GCC High/DoD для возможностей WuFB-DS.

Ниже приведены требования, которые необходимо выполнить для установки ускоренных исправлений с помощью Intune:

Лицензирование:

Помимо лицензии на Intune, у вашей организации должна быть одна из следующих подписок, включающих лицензию на службу развертывания Центра обновления Windows для бизнеса:

  • Windows 10/11 Корпоративная E3 или E5 (включено в Microsoft 365 F3, E3 или E5)
  • Windows 10/11 для образовательных учреждений A3 или A5 (включено в Microsoft 365 A3 или A5)
  • Доступ к виртуальному рабочему столу Windows E3 или E5
  • Microsoft 365 бизнес премиум

Начиная с ноября 2022 г. будет проверяться и применяться лицензия на службу развертывания Центра обновления Windows для бизнеса (WUfB ds).

Если вы заблокированы при создании новых политик для возможностей, требующих WUfB ds, и вы получаете лицензии на использование WUfB через Соглашение Enterprise (EA), обратитесь к источнику ваших лицензий, например к вашей команде учетных записей Майкрософт или партнеру, который продал вам лицензии. Команда по учетным записям или партнер может подтвердить, что ваши лицензии клиентов соответствуют требованиям к лицензии WUfB ds. См . раздел Включение активации подписки с помощью существующего ea.

Поддерживаемые версии Windows 10/11:

  • Версии Windows 10/11, обслуживание которых продолжится, с архитектурой x86 или x64

Поддерживаются только общедоступные обновленные сборки. Для предварительных сборок, в том числе в бета-канале и канале разработчика, ускоренные обновления не поддерживаются.

Поддерживаемые выпуски Windows 10/11:

  • Professional
  • Предприятие
  • Для образования
  • Pro для образовательных учреждений
  • Pro для рабочих станций

Устройства должны:

  • Зарегистрируйтесь в Intune MDM.

  • Присоединение к Microsoft Entra или гибридное присоединение к Microsoft Entra. Workplace Join не поддерживается.

  • Иметь доступ к конечным точкам. Подробный список конечных точек, необходимых для связанных служб, перечисленных здесь, см. в статье Конечные точки сети.

    • Центр обновления Windows
    • Служба развертывания Windows Update для бизнеса
    • Службы push-уведомлений Windows: (Рекомендуется, но не обязательно. Без доступа к этим службам устройства не смогут ускорить обновления до следующей ежедневной проверки на наличие обновлений.)
  • Включать настройку для получения исправлений непосредственно от службы Центра обновления Windows.

  • Включать установленные средства Update Health Tools, которые устанавливаются с обновлением KB 4023057 для компонентов службы обновления Windows 10. Чтобы подтвердить наличие средств Update Health Tools на устройстве, сделайте следующее:

    • Откройте папку C:\Program Files\Microsoft Update Health Tools или выберите Добавление и удаление программ и найдите Microsoft Update Health Tools.
    • Выполните следующий скрипт PowerShell с правами администратора:
    $Session = New-Object -ComObject Microsoft.Update.Session
    $Searcher = $Session.CreateUpdateSearcher()
    $historyCount = $Searcher.GetTotalHistoryCount()
    $list = $Searcher.QueryHistory(0, $historyCount) | Select-Object -Property "Title"
    foreach ($update in $list)
    {
       if ($update.Title.Contains("4023057"))
       {
          return 1
       }
    }
    return 0 
    

    Если скрипт возвращает значение 1, устройство имеет клиент UHS. Если скрипт возвращает значение 0, у устройства нет клиента UHS.

Параметры устройства:

Чтобы избежать конфликтов или конфигураций, которые могут препятствовать установке срочных обновлений, настройте устройства следующим образом. Для управления этими настройками можно использовать кольца обновления Intune для Windows 10 и более поздних политик.

Параметр круга обновления Рекомендованное значение
Включение предварительных сборок Этот параметр должен иметь значение Не настроено. Для предварительных сборок, в том числе в бета-канале и канале разработчика, ускоренные обновления не поддерживаются.
Режим автоматического обновления Восстановить значения по умолчанию

Другие значения могут привести к плохому взаимодействию с пользователем и замедлить процесс ускорения обновлений.
Изменение уровня уведомления об обновлениях Используйте любое значение кроме Отключить все уведомления, включая предупреждения о перезагрузке

Дополнительные сведения об этих параметрах см. в разделе Политика CSP — обновление.

Параметры групповой политики переопределяют политики управления мобильными устройствами, и приведенный ниже список параметров групповой политики может помешать выполнению политики ускорения обновлений. На устройствах, на которых этими параметрами управляет групповая политика, восстановите их значения на значения по умолчанию для устройства (не настроено):

  • CorpWuURL — указать размещение службы обновлений Майкрософт в интрасети.
  • AutoUpdateCfg — настроить автоматические обновления.
  • DeferFeatureUpdates — выбрать, когда следует получать предварительные сборки и обновления компонентов.
  • Disable Dual Scan — не разрешать политикам отсрочки обновлений выполнять сканирование в Центре обновления Windows.

Мониторинг и отчеты:

Прежде чем отслеживать результаты и состояние обновления для ускоренного обновления, клиент Intune должен включить сбор данных.

Ограничения для устройств, присоединенных к рабочему месту

Политики Intune для обновлений качества для Windows 10 и более поздних версий требуют использования Центра обновления Windows для бизнеса (WUfB) и службы развертывания Центра обновления Windows для бизнеса (WUfB ds). Там, где WUfB поддерживает устройства WPJ, WUfB ds предоставляет дополнительные возможности, которые не поддерживаются для устройств WPJ.

Дополнительные сведения об ограничениях WPJ для политик Центра обновления Windows Intune см. в статье Ограничения политик для устройств, присоединенных к рабочей области, в статье Управление обновлениями программного обеспечения Windows 10 и Windows 11 в Intune.

Создание и назначение срочного исправления

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление обновлениями>Windows 10 и более поздних версий Обновления>качества вкладка >Создать профиль.

    Снимок экрана: создание пользовательского интерфейса профиля.

  3. В окне Параметры введите следующие свойства для этого профиля:

    • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти.

    • Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.

  4. В разделе Параметры настройте параметр Использовать ускоренную установку исправлений, если версия ОС устройства ниже. Выберите обновление, которое нужно ускорить, из раскрывающегося списка. Список включает только те обновления, которые можно ускорить.

    Совет

    Необязательные обновления качества Windows не могут быть ускоряться и не будут доступны для выбора.

    Снимок экрана пользовательского интерфейса выбора обновления.

    При выборе обновления:

    • Обновления определяются по дате выпуска, и вы можете выбрать только одно обновление для каждой политики.

    • Обновления, включающие букву B в названии, — это обновления, выпущенные в рамках события День установки исправлений. Буква "B" указывает, что обновление выпущено во второй вторник месяца.

    • Обновления для системы безопасности Windows 10/11, которые выпускаются вне Дня установки исправлений, можно ускорить. Внеплановые выпуски исправлений вместо буквы "B" имеют различные идентификаторы.

    • При развертывании обновления Центр обновления Windows гарантирует, что на каждом устройстве, получающем политику, будет установлена версия обновления, соответствующая архитектуре этого устройства и его текущей версии Windows, например, 1809, 2004 и т. д.

    Ускоряемые обновления, не относящиеся к системе безопасности: включает исправления качества после предыдущего выпуска B/Security. Администраторы могут ускорить установку последнего применимого обновления качества на устройствах, не дожидаясь периода отсрочки.

    • Обновления без слова SecurityUpdate указывают на то, что это не обновление для системы безопасности. Обновления, которые содержат букву D в имени, определяют обновления, выпущенные с последней недели безопасности вторника исправлений . Вы также можете увидеть обновление OOB 2024.01 (выпуски исправлений вне диапазона ). Описание ежемесячного обновления Windows

    • Обновления, не относящиеся к системе безопасности, отображаются только в последнем выпуске. В раскрывающемся списке отображаются последние два обновления для системы безопасности, в том числе, если одно из них является обновлением вне диапазона. Если последнее обновление, не относяющееся к системе безопасности, является более новым, чем последнее обновление системы безопасности, в раскрывающийся список также включается обновление, отличное от системы безопасности. В результате иногда отображаются два обновления, а в других — три обновления.

      Совет

      Дополнительные сведения см. в записи блога Частота обновлений обслуживания для Windows 10 — сообщество Microsoft Tech.

    • Ускоряемые обновления, не относящиеся к безопасности, применяются к устройствам с Windows 11. Если устройствам Windows 10 назначена политика ускорения, которая задает выпуск D , эти устройства не ускоряются и отображают оповещение в следующих отчетах.

      • Отчеты>Обновления> WindowsОтчеты Вкладка >Отчет об ускоренном обновлении Windows
      • Приборы>Управление обновлениями>Обновления Windows 10 и более поздних версий>Вкладка> "Мониторинг политик ускоренного обновления качества" с плиткой "Оповещения" и щелкните заголовок.
  5. В окне Параметры настройте Число дней ожидания перед принудительной перезагрузкой. Для этого параметра укажите, как скоро после установки обновления устройство будет автоматически перезапущено для завершения установки обновления. Можно выбрать значение от 0 до 2 дней. Если устройство перезапускается вручную до наступления крайнего срока, автоматический перезапуск отменяется. Если обновление не требует перезапуска, этот параметр не применяется.

    • Значение 0 дней означает, что как только устройство установит обновление, пользователь получит уведомление о перезапуске и будет иметь ограниченное время на сохранение результатов работы.

      Важно!

      Такое поведение может повлиять на производительность пользователей. Рекомендуется использовать его для обновлений с перезагрузкой устройства, которые необходимо применить как можно быстрее.

    • Параметр в 1 день или 2 дня предоставляет пользователям устройств возможность управлять перезагрузкой до принудительного выполнения. Эти параметры соответствуют интервалу автоматического перезапуска в 24 или 48 часов после установки обновления на устройстве.

      Снимок экрана: выбор дней перед принудительной перезагрузкой.

  6. В разделе Назначения выберите Добавить группы, а затем выберите устройство или группы пользователей, которым будет назначена политика.

  7. В разделе Проверка и создание выберите Создать. После создания политики она развертывается в назначенных группах.

Определение последнего применимого обновления

Существуют некоторые сценарии, в которых применение политики ускорения обновлений приводит к установке более позднего обновления чем то, которое указано в политике. Это происходит, когда более свежее обновление включает и превосходит указанное обновление и более свежее обновление доступно до того, как устройство будет синхронизировано для установки обновления, указанного в политике ускорения обновлений. Подробный пример этого сценария приведен далее в этой статье.

Установка самого последнего исправления позволяет снизить количество прерываний работы устройства и пользователя и одновременно обладает преимуществами исходного обновления. Это позволяет избежать установки нескольких обновлений, для каждого из которых может потребоваться отдельная перезагрузка.

Более новое обновление развертывается при соблюдении следующих условий:

  • На устройство не распространяется политика отсрочки, блокирующая установку более нового обновления. В этом случае обновление, которое может быть установлено, — это последнее доступное обновление, которое не является отложенным.

  • Во время ускорения обновления устройство выполняет новую проверку, которая обнаруживает более свежее обновление. Это может произойти:

    • Когда устройство перезапускается для завершения установки
    • Когда устройство выполняет ежедневную проверку
    • Когда новое обновление станет доступным

    Когда при проверке обнаруживается более свежее обновление, Центр обновления Windows пытается прекратить установку исходного обновления и отменить перезапуск устройства и затем запускает скачивание и установку более свежего обновления.

Хотя политики ускорения обновления переопределяют отсрочку обновлений для версии обновления, указанной в политике, они не переопределяют отсрочки, имеющиеся для любой другой версии обновления.

Пример установки срочного обновления

В следующей последовательности событий приведен пример того, как два устройства с именами Test-1 и Test-2устанавливают обновление на основе политики исправлений Windows 10 или более поздней версии, назначенной для устройств.

  1. В каждый четвертый вторник месяца администраторы Intune развертывают последние исправления Windows 10. Этот период дает им две недели после события "День установки исправлений", чтобы проверить обновлений в своей среде перед принудительной установкой обновлений.

  2. 19 января 2021 г. устройства Test-1 и Test-2 устанавливают последнее исправление из выпуска "День установки исправлений" от 12 января. На следующий день оба устройства отключаются пользователями, которые уходят в отпуск.

  3. 9 февраля администратор Intune создает политику для ускорения установки выпуска "День установки исправлений" 09.02.2021 — 2021.02 B "Обновления системы безопасности для Windows 10", чтобы защитить устройства организации от критических угроз с помощью этих обновлений. Политика ускорения обновлений назначается группе устройств, включающих устройства Test-1 и Test-2. Все устройства в этой группе, которые являются активными, получают и устанавливают политику ускорения обновлений.

  4. 9 марта в очередной день установки исправлений, выходит новый выпуск исправлений 09.03.2021 — 2021.03 B "Обновления системы безопасности для Windows 10". В этом обновлении нет критических проблем, которые требовали бы ускоренного развертывания, но администраторы находят возможный конфликт. Чтобы получить время на проверку возможных проблем, администраторы используют политику круга обновления Windows, чтобы создать политику отсрочки на семь дней. Все управляемые устройства не смогут установить это обновление до 14 марта.

  5. Теперь рассмотрим следующие результаты для устройств Test-1 и Test-2 в зависимости от того, когда каждое из этих устройств будет включено снова:

    • Устройство Test-1 — 12 марта устройство Test-1 включается снова, подключается к сети и получает уведомления о срочных обновлениях:

      1. Центр обновления Windows определяет, что устройству Test-1 все еще необходимо ускорить установку обновления в соответствии с политикой.
      2. Поскольку обновление от 9 марта заменяет февральское обновление, Центр обновления Windows может установить обновление от 9 марта.
      3. Для мартовского обновления существует активная отсрочка, которая истечет 14 марта.

      Результат: так как политика отсрочки для мартовского обновления все еще активна и блокирует установку этого обновления, на устройстве Test-1 будет установлено февральское обновление в соответствии с политикой.

    • Устройство Test-2 — 20 марта устройство Test-2 включается снова, подключается к сети и получает уведомления о срочных обновлениях:

      1. Центр обновления Windows определяет, что устройству Test-2 все еще необходимо ускорить установку обновления в соответствии с политикой.
      2. Поскольку обновление от 9 марта заменяет февральское обновление, Центр обновления Windows может установить обновление от 9 марта.
      3. Для мартовского обновления больше нет активной отсрочки.

      Результат: так как политика отсрочки для мартовского обновления истекла, на устройстве Test-2 будет установлено самое свежее обновление за март с пропуском февральского обновления и с установкой более позднего обновления, чем указано в политике.

Управление политиками для ускорения установки исправлений

В Центре администрирования перейдите на вкладку Устройства>по платформе>Windows>Управление обновлениями>Windows 10 и более поздними обновлениями>и выберите политику, которой вы хотите управлять. Политика откроется на панели Обзор.

На этой панели можно:

  • Нажать кнопку Удалить, чтобы удалить политику из Intune. Удаление политики удаляет ее из Intune, но не приведет к удалению обновления, если установка уже завершена. Центр обновления Windows попытается отменить все выполняющиеся установки, но успешная отмена выполняемой установки не может быть гарантирована.

  • Выбрать Свойства, чтобы изменить развертывание. На панелиСвойства выберите Изменить, чтобы открыть раздел Параметры, Теги области или Назначения, в которых можно изменить развертывание.

Наблюдение и отчеты

Прежде чем отслеживать результаты и состояние обновления для ускоренного обновления, клиент Intune должен включить сбор данных.

После создания политики можно отслеживать результаты, состояние обновлений и ошибки в следующих отчетах.

Сводный отчет

В этом отчете представлено текущее состояние всех устройств в профиле, а также общие сведения о количестве устройств, на которых выполняются обновления, завершены обновления или произошли ошибки.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Отчеты>Обновления Windows. На вкладке Сводка можно просмотреть таблицу Срочные исправления Windows.

  3. Чтобы повысить детализацию, перейдите на вкладку Отчеты и выберите Windows Expedited Update Report (Отчет о срочных обновлениях Windows).

  4. Щелкните ссылку Выбрать профиль ускорения обновлений.

  5. В списке профилей, который отображается в правой части страницы, выберите профиль, чтобы просмотреть результаты.

  6. Нажмите кнопку Создать отчет.

Отчет об устройствах

Этот отчет помогает найти устройства с оповещениями или ошибками, а также может помочь в устранении неполадок, связанных с обновлением.

  1. Вход в Центр администрирования Microsoft Intune

  2. Выберите Устройства>Монитор.

  3. В списке отчетов мониторинга перейдите в раздел обновлений программного обеспечения и выберите Windows Expedited update failures (Ошибки при установке срочных исправлений Windows ).

  4. В списке профилей, который отображается в правой части страницы, выберите профиль, чтобы просмотреть результаты.

    Пример отчета об устройстве.

Состояния обновлений

Состояние обновления Вложенное состояние обновления Определение
Pending Идет проверка Устройство было добавлено в политику в службе, и началась проверка того, возможно ли ускорение обновлений на устройстве.
Pending Scheduled Устройство прошло проверку, и обновления будут ускорены.
Предложение Предложение подготовлено Инструкции по ускорению отправлены на устройство.
Установка Предложение получено Устройство проверено Центром обновления Windows, и обновление может быть применено, но его скачивание еще не началось.
Установка Скачивание начато На устройстве началось скачивание обновления.
Установка Скачивание завершено На устройстве завершено скачивание обновления.
Установка Установка запущена На устройстве начата установка обновления.
Установка InstallComplete На устройстве завершена установка обновления. Если обновление было установлено без ошибок, устройство должно быстро перейти в категорию Требуется перезапуск или Обновление установлено.
Установка Требуется перезапуск Установка завершена, и требуется перезапуск.
Установка Перезапуск начат Перезапуск устройства начат.
Установка Перезапуск завершен Перезапуск устройства завершен.
Установлено Обновление установлено Установка обновления успешно завершена.

Дальнейшие действия