Поделиться через

Принятие профилей обслуживания для Приложений Microsoft 365

  • Статья

Профили обслуживания позволяют использовать автоматизацию для доставки ежемесячных обновлений в приложения Microsoft 365 для предприятий непосредственно из сети доставки содержимого Office (CDN). Благодаря обширному взаимодействию с глобальными предприятиями мы создали эту статью, чтобы ознакомиться с рекомендациями по включению профилей обслуживания в вашей среде и обсудить преимущества для вас и вашей организации.

Примечание.

Профили обслуживания устарели и заменяются облачным обновлением. Если облачное обновление еще не доступно в центре администрирования приложений Microsoft 365 , войдите в центр и нажмите кнопку Дать отзыв в правом верхнем углу. Выберите любой из параметров, введите комментарий, который вы хотите переключить на обновление облака и адрес электронной почты. Выберите Отправить. В ближайшее время мы протянем к вам протянуть.

В этой статье рассматривается следующее:

  • Преимущества использования профиля обслуживания
  • Пошаговое руководство по двум способам внедрения профилей обслуживания
  • Подробные сведения о том, как работают критерии выбора устройства
  • Что происходит с устройствами после включения профиля обслуживания

Примечание.

Все перечисленные выше и ниже относится только к обновлениям приложений Microsoft 365. Эта функция не заменяет, не изменяет и не влияет на существующие решения для развертывания других обновлений, например обновлений Windows.

Совет

Если вы предпочитаете видео, а не текст, у нас есть видео с обзором профиля обслуживания и видео с подробным обзором профиля обслуживания .

Преимущества использования профиля обслуживания

Использование профиля обслуживания по сравнению с распространенными средствами управления обновлениями имеет несколько преимуществ:

  • Улучшенная валюта безопасности: Для корпоративных сред мы обычно видим валюту безопасности около 66%. Это означает, что после каждого ежемесячного "Вторника исправлений" примерно 66% приложений Microsoft 365 на устройствах в клиенте были исправлены с помощью последних обновлений для системы безопасности. При использовании профиля обслуживания мы видим рост этой валюты выше 90%. Это означает, что новая служба помогает быстрее и шире уменьшать известные угрозы в вашей среде.

  • Увеличен охват: Распространенные средства управления обновлениями часто ограничены границей службы каталогов. Например, для управления данным решением устройства должны быть присоединены к Active Directory. С помощью профиля обслуживания вы преодолеваете этот барьер и можете управлять всеми экземплярами приложений Microsoft 365, которые были активированы клиентом, а пользователь Microsoft Entra из вашего клиента вошел в систему. Не имеет значения, будет ли устройство присоединено к Active Directory, Microsoft Entra ID, зарегистрировано в Microsoft Entra ID или остается в режиме рабочей группы.

  • Использование облака: Как облачная служба, профиль обслуживания не зависит от локальной инфраструктуры. Где бы ни находилось устройство, если оно может подключиться к облаку, его можно обслуживать.

  • Простое подключение: Если устройство попадает в область обслуживания профиля (описано далее в этой статье), оно автоматически переопределяет любой другой механизм управления обновлениями Office. Не нужно сначала отключать приложения Microsoft 365 от других решений по управлению. Если устройство выходит за рамки профиля обслуживания, то предыдущий элемент управления обновлениями восстанавливается. Профиль обслуживания изменит только способ обработки обновлений Office, а все остальное (например, управление обновлениями для Windows или Edge) остается прежним. Таким образом, устройством можно управлять с помощью двух решений одновременно без каких-либо конфликтов.

Решите, хотите ли вы внедрять профили обслуживания по каналу обновления или с помощью групп Microsoft Entra

Вместо того, чтобы включить профиль обслуживания для всех устройств одновременно, некоторые администраторы хотят внедрять их по шагам и отслеживать, работает ли все гладко. Существует два распространенных способа поэтапного внедрения функции:

  • По каналу обновления: При таком подходе профиль обслуживания сначала ориентируется на небольшой выбор каналов обновления. Он игнорирует все устройства в других каналах. Это позволяет переносить один канал за раз на ежемесячный корпоративный канал и управляться с помощью профиля обслуживания. Со временем вы расширяете выбор каналов, пока не будут охвачены все каналы и все устройства не будут перемещены.

  • По группе Microsoft Entra: Альтернативный подход заключается в использовании групп Microsoft Entra, чтобы ограничить использование профиля обслуживания только к указанным устройствам или пользователям. Это позволяет добавлять устройства в область на более детальном уровне.

Чтобы решить, какой подход лучше всего подходит для вас, проверьте, сколько приложений Microsoft 365 устанавливается на канал обновления.

  • Убедитесь, что инвентаризация в Центре администрирования приложений Microsoft 365 включена и работает не менее недели, поэтому большинство устройств зарегистрировано в нем.
  • Перейдите на страницу Состояние обновления для системы безопасности в Центре администрирования Приложений Microsoft 365, прокрутите вниз и просмотрите количество устройств на канал.

Если вам удобно переносить все устройства на канале одновременно, это правильный подход. Если вы хотите перенести устройства небольшими пакетами, следует использовать группы Microsoft Entra. Например, это может произойти, если у вас есть несколько тысяч устройств в заданном канале и вы хотите перенести их в, например, три пакета, чтобы ограничить изменения.

Настройка профиля обслуживания с использованием подхода "по каналу обновления"

Если вы хотите пошагово внедрить профиль обслуживания, это можно сделать, сначала нацелив один канал обновления. Приложения Microsoft 365 на этих устройствах будут перенесены на ежемесячный корпоративный канал и обновляться автоматически. Вы можете отслеживать ход выполнения на портале и добавлять дополнительные каналы обновления с течением времени, чтобы увеличить охват.

  1. Войдите в Центр администрирования приложений Microsoft 365. Убедитесь, что в вашей среде выполнены требования к использованию профилей обслуживания.
  2. Перейдите в раздел Обслуживание>ежемесячное предприятие и запустите мастер, выбрав Начало работы. Нажмите кнопку Далее еще раз, чтобы перейти на страницу Условия выбора устройств .
  3. При включении профиля обслуживания устройства на ежемесячном корпоративном канале становятся целевыми автоматически. Диаграмма в правом верхнем углу содержит общие сведения о том, сколько устройств будет выбрано для текущего выбора.
  4. Установите флажки для всех каналов обновления, на которые вы хотите ориентироваться в первом пакете. Часто сначала мы нацелимся на ежемесячный корпоративный канал, бета-канал и текущий канал (предварительная версия). После массового обновления мы расширяемся до текущего канала, а затем до Semi-Annual Enterprise Channel, включая предварительную версию.
  5. Проверьте и измените другие критерии выбора.
  6. Нажмите кнопку Далее , чтобы перейти на страницу Даты исключения обновления . При необходимости введите даты исключения.
  7. Нажмите кнопку Далее , чтобы перейти на страницу Крайний срок обновления . Мы рекомендуем использовать параметр по умолчанию, чтобы сбалансировать взаимодействие с пользователем и быстро достичь соответствия требованиям безопасности. Узнайте больше о том, как работают крайние сроки.
  8. Нажмите кнопку Далее , чтобы перейти к просмотру конфигурации, а затем щелкните Создать профиль , чтобы все было по-другому.

После создания профиль обслуживания начнет вычислять, какие устройства подпадают под выбранные условия. Когда это будет завершено, он начинает инструктировать устройства, которые находятся в сети, обновиться до последнего ежемесячного выпуска Enterprise Channel. Просмотрите ход выполнения на вкладке Устройства . Может потребоваться несколько часов, прежде чем вы увидите первую волну устройств, поэтому регулярно просматривайте панель мониторинга. Если обновления на данном устройстве завершаются сбоем, дополнительные сведения см. на вкладке Проблемы .

Через несколько дней основная часть целевых устройств должна быть обновлена до последнего выпуска приложений Microsoft 365. Если все прошло гладко, перейдите на вкладку Параметры и добавьте дополнительные каналы обновления, чтобы перенести больше устройств в профиль обслуживания.

Настройка профиля обслуживания с использованием подхода "от группы Microsoft Entra"

Если вы хотите внедрить профиль обслуживания в более детализированных шагах, сделайте это с помощью групп Microsoft Entra, чтобы ограничить нацеливание определенным набором устройств. Приложения Microsoft 365 на этих устройствах будут перенесены на ежемесячный корпоративный канал и обновляться автоматически. Вы можете отслеживать ход выполнения на портале и добавлять дополнительные группы Или устройства Microsoft Entra в существующие группы с течением времени, чтобы увеличить охват.

  1. Создайте одну или несколько групп Microsoft Entra , которые вы хотите использовать для таргетинга. Добавьте в группу три типа элементов и их можно смешивать:
    • Устройства: они должны быть присоединены к Microsoft Entra или Microsoft Entra hybrid joined и известны инвентаризации в Центре администрирования приложений Microsoft 365.
    • Пользователи. На основе данных активации профиль обслуживания определяет, какие устройства в инвентаризации имеют установку приложений Microsoft 365, активированную указанными учетными записями пользователей. Это также относится к устройствам, работающим в режиме активации общего компьютера , где указанный пользователь вошел в систему и использовал приложения Microsoft 365.
    • Группы Microsoft Entra. Используйте вложенные группы, например для делегирования управления группами подразделениям. Вложение поддерживается для трех уровней.
  2. Войдите в Центр администрирования приложений Microsoft 365. Убедитесь, что в вашей среде выполнены требования для использования профиля обслуживания.
  3. Перейдите в раздел Обслуживание>ежемесячное предприятие и запустите мастер, выбрав Начало работы. Нажмите кнопку Далее еще раз, чтобы перейти на страницу Условия выбора устройств .
  4. В верхней части страницы выберите Выберите группы для включения и добавьте группы Microsoft Entra, на которые вы хотите ориентироваться. Это определяет максимальный набор устройств, которые будут целевыми после применения остальных критериев выбора.
    • Пример. Вы указываете группу Microsoft Entra с двумя устройствами, одно из которых работает в Current Channel, а другое — в Monthly Enterprise Channel. Если выбрать только Ежемесячный корпоративный канал в разделе Каналы , в область профиля обслуживания будет добавлено только одно устройство, так как другое не соответствует всем критериям выбора. Если у вас есть больше устройств в этом канале в вашем инвентаре, таргетинг по-прежнему будет ограничен одним устройством из группы Microsoft Entra.
  5. При включении профиля обслуживания устройства на ежемесячном корпоративном канале будут использоваться автоматически. Диаграмма в правом верхнем углу содержит общие сведения о том, сколько устройств можно выбрать с помощью текущего выбора.
  6. Проверьте и измените другие критерии выбора.
  7. Нажмите кнопку Далее , чтобы перейти на страницу Даты исключения обновления . При необходимости введите даты исключения.
  8. Нажмите кнопку Далее , чтобы перейти на страницу Крайний срок обновления . Мы рекомендуем использовать параметр по умолчанию, чтобы сбалансировать взаимодействие с пользователем и быстро достичь соответствия требованиям безопасности. Узнайте больше о том, как работают крайние сроки.
  9. Нажмите кнопку Далее , чтобы перейти к просмотру конфигурации, а затем щелкните Создать профиль , чтобы все было по-другому.

После создания профиль обслуживания начнет вычислять, какие устройства подпадают под выбранные условия. Когда это будет завершено, он начинает инструктировать устройства, которые находятся в сети, обновиться до последнего ежемесячного выпуска Enterprise Channel. Просмотрите ход выполнения на вкладке Устройства . Может потребоваться несколько часов, прежде чем вы увидите первую волну устройств, поэтому регулярно просматривайте панель мониторинга. Если обновления на данном устройстве завершаются сбоем, дополнительные сведения см. на вкладке Проблемы .

Через несколько дней основная часть целевых устройств должна быть обновлена до последнего выпуска приложений Microsoft 365. Если все прошло гладко, перейдите на вкладку Параметры и добавьте дополнительные группы Microsoft Entra или просто добавьте в группы устройств или пользователей непосредственно, чтобы расширить область действия. Мы рекомендуем в какой-то момент удалить фильтр группы Microsoft Entra, чтобы также охватывать устройства, которые не присоединены к Microsoft Entra.

Рекомендации по работе с профилями обслуживания

Ниже приведены некоторые рекомендации по управлению обновлениями с помощью профиля обслуживания.

  • Как и другие облачные службы или Microsoft Configuration Manager, профиль обслуживания является асинхронной службой. При создании или изменении конфигурации служба обрабатывает входные данные в фоновом режиме. В пользовательском интерфейсе (особенно на вкладке Устройства ) изменения будут отражены не сразу.
  • После изменения конфигурации (критерии выбора, крайний срок обновления, волны развертывания клиентов и т. д.) разрешите службе некоторое время для обработки изменений. Во время этой обработки количество устройств в профилях может падать, так как служба пересчитывает область и состояние устройств. Затем устройства добавляются обратно в область несколькими сотнями или тысячами устройств. В зависимости от общего количества устройств в вашей среде этот процесс может занять несколько часов.
  • Это также применяется при выпуске нового обновления. Изначально профиль обслуживания сбрасывается до нуля устройств, и устройства будут со временем добавляться обратно в профиль обслуживания.
  • Рекомендуется разрешить каждому изменению сначала завершить вычисление перед введением следующего изменения. Будьте терпеливы во время этого процесса.
  • То же самое относится и к приостановке или возобновлению обслуживания профиля. Разрешите службе обрабатывать изменения и не приостанавливайте и не возобновляйте работу службы в быстрой последовательности. Приостановка профиля обслуживания не остановит уже инициированные установки обновлений на устройствах, но не позволит службе отправлять новые команды обновления на устройства.
  • При активации отката применяется то же самое. После настройки действия отката службе требуется время для обработки изменения и ожидается, пока устройство вернется, чтобы отправить команды отката.
  • При использовании групп Microsoft Entra для включения или исключения устройств или создания настраиваемых волн развертывания рекомендуется ограничить число участников до 20 000 на группу. Можно указать несколько групп. Кроме того, обработка нескольких небольших групп выполняется быстрее, чем обработка одной большой группы. Вместо одной группы Microsoft Entra с, например, 40 000 участников, рекомендуется использовать две группы с 20 000 участников каждая.

Как работают селекторы

Профиль обслуживания предлагает несколько селекторов, позволяющих выбрать правильный набор устройств. После выбора и сохранения селекторов профиль обслуживания проверяет каждое устройство, указанное в инвентаризации, с учетом этих устройств. Любое устройство должно соответствовать всем выбранным критериям для добавления в профиль. Если устройство не прошло проверку, оно не будет добавлено, даже если оно прошло другие проверки.

  • Группы: Этот селектор позволяет указать одну или несколько групп Microsoft Entra. Поддерживаются вложенные группы. Чтобы пройти проверку, необходимо выполнить одно из двух условий:
    • Для устройств: они должны быть присоединены к Microsoft Entra (также известный как HAADJ) или Microsoft Entra присоединены (также известные как AADJ) и перечислены в инвентаризации.
    • Для пользователей: все устройства, на которые выполняется инвентаризация с установкой приложений Microsoft 365, активированной указанным пользователем, проходят проверку. Для этого условия не требуется присоединение устройства к какой-либо службе каталогов.
  • Каналами: Этот селектор проверяет наличие установленного в настоящее время канала обновления приложений Microsoft 365. Чтобы пройти проверку, на устройстве должен быть запущен выбранный канал обновления приложений Microsoft 365.
  • Диске: Этот селектор проверяет наличие свободного места на диске, указанного в инвентаризации. Чтобы пройти проверку, на устройстве должно быть больше свободного места на диске, чем указано.
  • Макросы: Этот селектор проверяет, сообщалось ли инвентаризация об использовании макросов за последние 30 дней. Инвентаризация содержит двоичные данные "Да/Нет", если за последние 30 дней был открыт хотя бы один файл с макросами.
  • Надстройки. Этот селектор проверяет, сообщили ли в инвентаризации надстройки, устанавливаемые на устройстве. Инвентаризация содержит подробные данные об установке надстройки, но это двоичная проверка "Да/Нет". Он основан только на наличии надстройки, а не на фактическом использовании.

Применение профиля обслуживания к устройству

После создания профиля обслуживания служба предварительно вычислит количество устройств, которые должны быть целевыми. Все устройства регулярно подключаются к Центру администрирования приложений Microsoft 365 и проверяют наличие ожидающих действий или отправляют обновленные данные инвентаризации. Устройства, предназначенные для профиля обслуживания, получат команды, чтобы начать обновление до последней версии ежемесячного канала Enterprise Channel. Эти устройства также будут получать команды, которые предписывают локальному обработчику обновлений Office игнорировать команды, поступающие из других решений управления. Это относится только к обновлениям приложений Microsoft 365; все остальные задачи управления (создание отчетов инвентаризации, запуск установок, обновление других продуктов) остаются неизменными.

После того как устройство получит команду для выполнения обновления, оно будет использовать CDN Office, оптимизацию доставки и потенциально доступные подключенные кэши или одноранговые узлы для скачивания и применения обновления. Если обновление не удается применить из-за открытия приложений Microsoft 365, оно автоматически повторяет попытку сделать это в фоновом режиме, во время перезагрузки устройства или когда устройство заблокировано, а операционная система бездействует. Если обновление не может быть применено до достижения указанного крайнего срока, пользователь получает несколько запросов на закрытие приложений и применение обновлений. Примерно через 48 часов пользователь получит окончательное уведомление с обратным отсчетом. Когда это достигает нуля, открытые документы сохраняются, приложения закрываются и обновляются, а затем снова открываются, а документы перезагружаются. Но в большинстве случаев ожидающие обновления могут автоматически применяться в фоновом режиме без запроса пользователя.

Портал получает сведения о состоянии этих шагов, и администратор увидит, что устройства переходят с "Не начато" на "Выполняется " и " Обновляется ". Если на устройстве возникает ошибка, она помечается соответствующим образом на портале и повторно инициируется. В большинстве случаев сбои связаны с загрузкой обновления; например, когда устройство было выключено во время загрузки.

После обновления устройства останутся в этом состоянии до тех пор, пока корпорация Майкрософт не выпустит следующее обновление для ежемесячного корпоративного канала. Затем служба автоматически пересчитает необходимые действия для каждого устройства и начнет передавать их устройствам. По умолчанию это происходит волнами в течение четырех дней, чтобы уменьшить влияние на сеть. Для запуска ежемесячного цикла обновления не требуется никаких действий вручную.