Implementar una actualización de seguridad acelerada mediante el servicio de Windows de implementación de actualización para empresas

Con el Windows de implementación de actualización para empresas, puede implementar actualizaciones Windows en dispositivos en un inquilino de Azure AD. En la actualidad, el servicio de implementación admite implementaciones de Windows 10 actualizaciones de características y actualizaciones de seguridad aceleradas. Este tema se centra en las implementaciones de actualizaciones de seguridad aceleradas. Para obtener información sobre la implementación de actualizaciones de características, vea Deploy a feature update.

La agilización de una actualización de seguridad invalida Windows de aplazamiento de Update for Business para que la actualización se instale lo antes posible. Puede ser útil cuando surgen eventos de seguridad críticos y necesita implementar las actualizaciones más recientes más rápidamente de lo normal. Sin embargo, aunque puede ayudar a alcanzar los objetivos de cumplimiento en una actualización de seguridad específica, no está diseñada para usarse cada mes. En su lugar, considere la posibilidad de usar las fechas límite de cumplimiento para las actualizaciones.

Cuando implementas una actualización de seguridad acelerada en un dispositivo, Windows Update ofrece la actualización aplicable más reciente al dispositivo si aún no ha recibido la actualización con la fecha de lanzamiento especificada. Por ejemplo, si implementas la actualización de seguridad de Windows 10 publicada el 13 de abril de 2021 en un dispositivo que no tiene actualmente la actualización, el dispositivo recibirá una actualización acelerada. Si el dispositivo ya tiene la actualización especificada o posterior, no recibe una actualización acelerada.

Las actualizaciones de seguridad aceleradas también tienen las siguientes características:

  • La actualización se inicia inmediatamente en lugar de esperar al siguiente examen de actualización regular, que se produce una vez cada 22 horas de forma predeterminada.
  • La actualización se descarga e instala lo más rápido posible.
  • El proceso de actualización invalida la configuración de directiva de dispositivo configurada, como días hasta que el dispositivo se ve obligado a reiniciarse. Una vez instalada la actualización acelerada, el dispositivo vuelve a la configuración de directiva actual.

Requisitos previos

Paso 1: (opcional) Obtener una lista de actualizaciones expediibles

Puede consultar el catálogo de servicios de implementación para obtener una lista de actualizaciones que se pueden acelerar a los dispositivos como contenido en una implementación.

Las actualizaciones de seguridad se representan mediante el tipo qualityUpdateCatalogEntry, con una calidadUpdateClassification de security . Todas Windows 10 de calidad clasificadas como actualizaciones de seguridad se pueden acelerar y etiquetarse con la propiedad isExpeditable establecida true para identificarlas.

A continuación se muestra un ejemplo de consulta de todas las Windows 10 de seguridad que el servicio de implementación puede implementar como actualizaciones aceleradas. Microsoft recomienda mostrar solo las tres actualizaciones más actuales, por lo que el ejemplo incluye $top=3 .

Solicitud

GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=3&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true&$orderby=releaseDateTime desc

Respuesta

HTTP/1.1 200 OK
Content-Type: application/json

{
    "value": [
        {
            "@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
            "id": "bd9554dc-2737-4e3c-b794-fa2b8b3f4a30",
            "displayName": "MM/DD/YYYY - YYYY.MM B Security Updates for Windows 10",
            "releaseDateTime": "String (timestamp)",
            "deployableUntilDateTime": null,
            "isExpeditable": true,
            "qualityUpdateClassification": "security"
        },
        {
            "@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
            "id": "68860630-c2d0-4dd2-8c4b-9b9737ee5081",
            "displayName": "MM/DD/YYYY - YYYY.MM B Security Updates for Windows 10",
            "releaseDateTime": "String (timestamp)",
            "deployableUntilDateTime": null,
            "isExpeditable": true,
            "qualityUpdateClassification": "security"
        },
        {
            "@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
            "id": "aa336b13-db33-4d94-89ea-90e43e4ad30b",
            "displayName": "MM/DD/YYYY - YYYY.MM B Security Updates for Windows 10",
            "releaseDateTime": "String (timestamp)",
            "deployableUntilDateTime": null,
            "isExpeditable": true,
            "qualityUpdateClassification": "security"
        }
    ]
}

Paso 2: Crear una implementación

Una implementación especifica el contenido que se va a implementar, cómo y cuándo implementar el contenido y los dispositivos de destino. Para las actualizaciones de calidad, el contenido se especifica mediante una fecha de cumplimiento de destino. Cuando se crea una implementación, se crea automáticamente una audiencia de implementación como relación.

Al implementar una actualización de seguridad acelerada en un dispositivo, Windows Update ofrece una actualización que pone el dispositivo por encima del nivel de cumplimiento mínimo especificado. Según el momento en que cada dispositivo examina y actualiza, algunos dispositivos pueden recibir actualizaciones más recientes (por ejemplo, si hay una actualización de seguridad más reciente que la correspondiente al nivel mínimo de cumplimiento deseado), pero todos los dispositivos cumplen el estándar de cumplimiento de la actualización de seguridad especificado. Este comportamiento de ofrecer la última actualización aplicable, indicada por la propiedad equivalentContent que se establece en el valor predeterminado, ayuda a mantener los dispositivos lo más seguros posible e impide que un dispositivo reciba una actualización acelerada seguida de otra actualización regular pocos días latestSecurity más tarde.

Puede configurar el período de gracia de reinicio del dispositivo mediante la propiedad daysUntilForcedReboot en la configuración de la experiencia del usuario de la implementación. El período de gracia establece la cantidad de tiempo después de la instalación que el usuario puede controlar el momento en que se reinicia el dispositivo. Si el dispositivo no se ha reiniciado cuando expira el período de gracia, se reinicia automáticamente.

A continuación se muestra un ejemplo de creación de una implementación para una actualización de calidad acelerada. Los dispositivos de destino se especifican en el paso siguiente.

Solicitud

POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.windowsUpdates.deployment",
    "content": {
        "@odata.type": "microsoft.graph.windowsUpdates.expeditedQualityUpdateReference",
        "releaseDate": "YYYY-MM-DD"
    },
    "settings": {
        "@odata.type": "microsoft.graph.windowsUpdates.windowsDeploymentSettings",
        "userExperience": {
            "daysUntilForcedReboot": 2
        }
    }
}

Respuesta

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.windowsUpdates.deployment",
    "id": "b5171742-1742-b517-4217-17b5421717b5",
    "state": {
        "@odata.type": "microsoft.graph.windowsUpdates.deploymentState",
        "value": "offering",
        "reasons": [
            {
                "@odata.type": "microsoft.graph.windowsUpdates.deploymentStateReason",
                "value": "offeringByRequest"
            }
        ],
        "requestedValue": "none",
        "effectiveSinceDate": "String (timestamp)"
    },
    "content": {
        "@odata.type": "microsoft.graph.windowsUpdates.expeditedQualityUpdateReference",
        "releaseDate": "YYYY-MM-DDT00:00:00Z",
        "classification": "security",
        "equivalentContent": "latestSecurity"
    },
    "settings": {
        "@odata.type": "microsoft.graph.windowsUpdates.windowsDeploymentSettings",
        "userExperience": {
            "daysUntilForcedReboot": 2
        },
        "monitoring": null,
        "rollout": null
    },
    "createdDateTime": "String (timestamp)",
    "lastModifiedDateTime": "String (timestamp)"
}

Paso 3: Asignar dispositivos a la audiencia de implementación

Después de crear una implementación, puede asignar dispositivos a la audiencia de implementación. Cuando la audiencia de implementación se actualiza correctamente, Windows Update comienza a ofrecer la actualización a los dispositivos relevantes de acuerdo con la configuración de implementación.

Los dispositivos se registran automáticamente en el servicio cuando se agregan a las colecciones de miembros o exclusiones de una audiencia de implementación (es decir, se crea automáticamente un objeto azureADDevice si aún no existe).

En el ejemplo siguiente se muestra cómo agregar dispositivos de Azure AD como miembros de la audiencia de implementación.

Solicitud

POST https://graph.microsoft.com/beta/admin/windows/updates/deployments/{deploymentId}/audience/updateAudience
Content-type: application/json

{
    "addMembers": [
        {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "String (identifier)"
        },
        {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "String (identifier)"
        },
        {
            "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
            "id": "String (identifier)"
        }
    ]
}

Respuesta

HTTP/1.1 202 Accepted

Durante una implementación

Mientras una implementación está en curso, puede pausar la implementación actualizando su estado, así como actualizar sus miembros de audiencia y exclusiones.

Después de una implementación

Después de que se haya ofrecido inicialmente la actualización a todos los dispositivos asignados a una audiencia de implementación, es posible que no todos los dispositivos hayan iniciado o completado la actualización, debido a factores como la conectividad de dispositivos. Mientras la implementación aún exista, se asegura de que Windows Update ofrezca la actualización a los dispositivos asignados cada vez que se vuelvan a conectar.