Acelerar las actualizaciones de calidad de Windows 10 en Microsoft Intune

  • Artículo

Con las actualizaciones de calidad para Windows 10 y las directivas posteriores, puede acelerar la instalación de las actualizaciones de seguridad de Windows 10/11 más recientes en los dispositivos que administra con Microsoft Intune. La implementación de actualizaciones rápidas se realiza sin necesidad de pausar o editar las directivas de actualización mensuales existentes. Por ejemplo, podría acelerar una actualización específica para mitigar una amenaza de seguridad si el proceso de actualización habitual no implementa la actualización durante algún tiempo.

No todas las actualizaciones se pueden acelerar. Actualmente, solo aquellas actualizaciones de seguridad de Windows 10/11 que pueden acelerarse estarán disponibles para implementarse con la directiva de actualizaciones de calidad de Windows 10. Para administrar las actualizaciones de calidad mensuales periódicas, use las Directivas para el anillo de actualización para Windows 10 y versiones posteriores.

Funcionamiento de las actualizaciones rápidas

Con actualizaciones rápidas, puede acelerar la instalación de actualizaciones de calidad, como la versión del martes de revisión más reciente o una actualización de seguridad fuera de banda para un error de día cero.

Las directivas de actualización rápida invalidan temporalmente los aplazamientos y otras configuraciones para instalar las actualizaciones lo antes posible. Este proceso permite a los dispositivos iniciar la descarga e instalación de una actualización acelerada sin tener que esperar a que el dispositivo compruebe si hay actualizaciones.

El tiempo real necesario para que un dispositivo inicie una actualización depende de la conectividad a Internet del dispositivo, su tiempo de examen, si los canales de comunicación con el dispositivo están funcionando y otros factores como el tiempo de procesamiento en la nube.

  • Para cada directiva de actualización acelerada, seleccione una única actualización para implementar en función de su fecha de lanzamiento. Con la fecha de lanzamiento, no tiene que crear directivas independientes para implementar diferentes instancias de esa actualización en dispositivos con versiones diferentes de Windows 10, como 1809, 1909, etc.

  • Windows Update evalúa la compilación y la arquitectura de cada dispositivo y, a continuación, entrega la versión de la actualización que se aplica.

  • Solo los dispositivos que necesitan la actualización reciben la actualización rápida:

    • Windows Update no intenta acelerar la actualización de los dispositivos que ya tienen una revisión igual o mayor que la versión de actualización.
    • En el caso de los dispositivos con una versión de compilación inferior a la de la actualización, Windows Update confirma que el dispositivo sigue necesitando la actualización antes de instalarla.

    Importante

    En algunos escenarios, Windows Update puede instalar una actualización más reciente que la actualización especificada en la directiva de actualización rápida. Para obtener más información sobre este escenario, consulte Acerca de la instalación de la actualización aplicable más reciente más adelante en este artículo.

  • Las directivas de actualización rápida ignoran y reemplazan cualquier período de aplazamiento de actualizaciones de calidad por la versión de actualización que implemente. Puede configurar el aplazamiento de las actualizaciones de calidad mediante el uso de los Anillos de actualización de Windows de Intune y de la configuración del Período de aplazamiento de las actualizaciones de calidad.

  • Cuando se requiera un reinicio para completar la instalación de la actualización, la directiva le ayudará a administrar el reinicio. En la directiva, puede configurar un período en el que los usuarios tengan que reiniciar un dispositivo antes de que la directiva fuerce un reinicio automático. Los usuarios también pueden optar por programar el reinicio o dejar que el dispositivo intente encontrar el mejor momento fuera de las horas activas de los dispositivos. Antes de alcanzar la fecha límite de reinicio, el dispositivo muestra notificaciones para alertar a los usuarios del dispositivo sobre la fecha límite e incluye opciones para programar el reinicio.

    Si un dispositivo no se reinicia antes de la fecha límite, el reinicio puede producirse en medio de una jornada laboral. Para obtener más información sobre el comportamiento de reinicio, consulte Aplicación de fechas límite de cumplimiento para las actualizaciones.

  • No se recomiendan actualizaciones rápidas para el mantenimiento normal de actualizaciones de calidad mensuales. En su lugar, considere la posibilidad de usar los valores de la fecha límite desde una directiva de Anillos de actualización para Windows 10 y versiones posteriores. Para obtener información, consulte Usar los valores de la fecha límite en la configuración de la experiencia del usuario en la Configuración de Windows Update.

Requisitos previos

Importante

Esta característica no se admite en entornos de nube de GCC y GCC High/DoD.

Habilitar la activación de suscripciones con un EA existente no es aplicable a los entornos de nube de GCC y GCC High/DoD para las funcionalidades de WuFB-DS.

Estos son los requisitos necesarios para instalar actualizaciones rápidas de calidad con Intune:

Licencias:

Además de una licencia para Intune, su organización debe tener una de las siguientes suscripciones que incluyan una licencia para Windows Update servicio de implementación empresarial:

  • Windows 10/11 Enterprise E3 o E5 (incluido en Microsoft 365 F3, E3 o E5)
  • Windows 10/11 Education A3 o A5 (incluido en Microsoft 365 A3 o A5)
  • Windows Virtual Desktop Access E3 o E5
  • Microsoft 365 Empresa Premium

A partir de noviembre de 2022, se comprobará y aplicará la licencia del servicio de implementación de Windows Update for Business (WUfB ds).

Si está bloqueado al crear nuevas directivas para las funcionalidades que requieren WUfB ds y obtiene sus licencias para usar WUfB a través de un Enterprise Agreement (EA), póngase en contacto con el origen de las licencias, como el equipo de su cuenta microsoft o el asociado que le vendió las licencias. El equipo o asociado de la cuenta puede confirmar que las licencias de los inquilinos cumplen los requisitos de licencia de WUfB ds. Consulte Habilitación de la activación de suscripciones con un ea existente.

Versiones compatibles de Windows 10/11:

  • Versiones de Windows 10/11 que siguen siendo compatibles con el mantenimiento en la arquitectura x86 o x64

Solo se admiten las compilaciones de actualización que están disponibles con carácter general. Las compilaciones en versiones preliminares, incluidos los canales con versiones beta y para programadores, no se admiten con actualizaciones rápidas.

Ediciones compatibles de Windows 10/11:

  • Professional
  • Enterprise
  • Educación
  • Pro Education
  • Pro for Workstations

Los dispositivos deben:

  • Inscribirse en Intune MDM.

  • Estar Microsoft Entra unido o Microsoft Entra unido a un híbrido. No se admite Workplace Join.

  • Tener acceso a los puntos de conexión. Para obtener una lista detallada de los puntos de conexión necesarios para los servicios asociados enumerados aquí, consulte Puntos de conexión de red.

  • Estar configurados para obtener actualizaciones de calidad directamente desde el servicio Windows Update.

  • Tener instaladas Update Health Tools, que se instalan con KB 4023057: Actualización para componentes del servicio de actualización de Windows 10. Para confirmar la presencia de Update Health Tools en un dispositivo:

    • Busque la carpeta C:\Archivos de programa\Microsoft Update Health Tools o revise Agregar o quitar programas para Microsoft Update Health Tools.
    • Como administrador, ejecute el siguiente script de PowerShell:
    $Session = New-Object -ComObject Microsoft.Update.Session
$Searcher = $Session.CreateUpdateSearcher()
$historyCount = $Searcher.GetTotalHistoryCount()
$list = $Searcher.QueryHistory(0, $historyCount) | Select-Object -Property "Title"
foreach ($update in $list)
{
   if ($update.Title.Contains("4023057"))
   {
      return 1
   }
}
return 0

    Si el script devuelve un 1, el dispositivo tiene el cliente UHS. Si el script devuelve un 0, el dispositivo no tiene cliente UHS.

Configuración del dispositivo:

Para ayudar a evitar conflictos o configuraciones que puedan bloquear la instalación de las actualizaciones rápidas, configure los dispositivos de la manera siguiente. Puede usar las directivas de Intune Actualizar anillos para Windows 10 y versiones posteriores para administrar esta configuración.

Configuración del anillo de actualización Valor recomendado
Habilitación de compilaciones de versión preliminar Esta configuración debe establecerse en No configurado. Las compilaciones en versiones preliminares, incluidos los canales con versiones beta y para programadores, no se admiten con actualizaciones rápidas.
Comportamiento de las actualizaciones automáticas Restablecer valores predeterminados

Otros valores pueden provocar una experiencia de usuario deficiente y ralentizar el proceso para acelerar las actualizaciones.
Cambiar el nivel de actualización de las notificaciones Use cualquier valor distinto de Desactivar todas las notificaciones, incluidas las advertencias de reinicio.

Para obtener más información sobre esta configuración, consulte CSP de directiva: actualización.

La configuración de directiva de grupo reemplaza las directivas de administración de dispositivos móviles y la siguiente lista de configuración de directiva de grupo puede interferir con la directiva de aceleración. En aquellos dispositivos en los que la directiva de grupo administró esta configuración, restáurela a sus valores predeterminados de dispositivo (Sin configurar):

  • CorpWuURL: especifique la ubicación del servicio Microsoft Update en la intranet.
  • AutoUpdateCfg: configure las actualizaciones automáticas.
  • DeferFeatureUpdates: seleccione cuándo se reciben las versiones preliminares y las actualizaciones de características.
  • Deshabilitar examen dual: No permita que las directivas de aplazamiento de las actualizaciones hagan exámenes contra Windows Update.

Supervisión e informes:

Para poder supervisar los resultados y el estado de actualización de actualizaciones rápidas, el inquilino de Intune debe habilitar la recopilación de datos.

Limitaciones de los dispositivos unidos al área de trabajo

Intune directivas de actualizaciones de calidad para Windows 10 y versiones posteriores requieren el uso de Windows Update para empresas (WUfB) y Windows Update para el servicio de implementación empresarial (WUfB ds). Donde WUfB admite dispositivos WPJ, WUfB ds proporciona funcionalidades adicionales que no son compatibles con dispositivos WPJ.

Para obtener más información sobre las limitaciones de WPJ para las directivas de Intune Windows Update, consulte Limitaciones de directivas para dispositivos unidos a Workplace en Administrar Windows 10 y Windows 11 actualizaciones de software en Intune.

Creación y asignación de una actualización de calidad acelerada

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Windows 10 y actualizaciones posteriores Actualizaciones>> decalidadCreate perfil.

    Captura de pantalla de la interfaz de usuario del perfil de Create.

  3. En Configuración, escriba las siguientes propiedades para identificar este perfil:

    • Nombre: Introduzca un nombre descriptivo para el perfil. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante.

    • Descripción: Introduzca una descripción para el perfil. Esta configuración es opcional, pero se recomienda aplicarla.

  4. En Configuración, configure Acelere la instalación de las actualizaciones de calidad si la versión del sistema operativo del dispositivo es anterior a. Seleccione la actualización que quiera acelerar en la lista desplegable. La lista incluye solo las actualizaciones que puede acelerar.

    Sugerencia

    Las actualizaciones de calidad de Windows opcionales no se pueden acelerar y no estarán disponibles para su selección.

    Captura de pantalla de la interfaz de usuario de selección de actualizaciones.

    Al seleccionar una actualización:

    • Las actualizaciones se identifican por su fecha de lanzamiento y solo puede seleccionar una actualización por directiva.

    • Las actualizaciones que incluyen la letra B en su nombre identifican las actualizaciones publicadas como parte de un evento de Patch Tuesday. La letra B identifica que la actualización fue publicada el segundo martes del mes.

    • Las actualizaciones de seguridad para Windows 10/11 que se publican fuera de banda desde un Martes de revisión se pueden acelerar. En lugar de la letra B, las versiones de revisión fuera de banda tienen identificadores diferentes.

    • Cuando se implementa la actualización, Windows Update garantiza que cada dispositivo que recibe la directiva instala una versión de la actualización que se aplica a la arquitectura de esos dispositivos y a su versión actual de Windows, como la versión 1809, 2004, etc.

    Novedades de aceleración que no son de seguridad: incluye correcciones de calidad después de la versión B/Security anterior. Los administradores pueden acelerar la instalación de la última actualización de calidad aplicable en los dispositivos, sin esperar el período de aplazamiento.

    • Novedades sin la palabra SecurityUpdate indican que no es una actualización de seguridad. Novedades que incluyen la letra D en su nombre identifican las actualizaciones que se publican desde la última semana de seguridad del martes de revisión. También puede ver la actualización OOB 2024.01 (versiones de revisión fuera de banda ). Explicación de la actualización mensual de Windows

    • Las actualizaciones que no son de seguridad solo se muestran cuando se trata de la versión más reciente. La lista desplegable se actualiza para mostrar las dos actualizaciones de seguridad más recientes, incluido si una es una actualización fuera de banda. Si la actualización que no es de seguridad más reciente es más reciente que la actualización de seguridad más reciente, la actualización que no es de seguridad también se incluye en la lista desplegable. Como resultado, a veces se muestran dos actualizaciones y, en otras ocasiones, se muestran tres actualizaciones.

      Sugerencia

      Para obtener más información, vea la entrada de blog Cadencia de mantenimiento de actualización de Windows 10: Microsoft Tech Community.

    • Las actualizaciones rápidas que no son de seguridad se aplican a los dispositivos Windows 11. Si Windows 10 dispositivos se asignan a una directiva de aceleración que establece una versión D, esos dispositivos no se aceleran y muestran una alerta en los informes siguientes.

      • Informes>Windows Novedades>Informe de la pestaña >Windows Expedited Update Report
      • Dispositivos>Windows 10 y versiones posteriores actualiza las directivas> de actualización de calidad rápida de la pestaña >Monitor con el icono de alertas y haga clic en el título.

  5. En Configuración, configure Número de días que debe esperarse antes de aplicar el reinicio. Para esta configuración, seleccione el tiempo que tardará un dispositivo en reiniciarse automáticamente después de instalar la actualización para completar la instalación de la actualización. Puede seleccionar de cero a dos días. El reinicio automático se cancela si un dispositivo se reinicia manualmente antes de la fecha límite. Si una actualización no requiere un reinicio, esta configuración no se aplica.

    • Una configuración de 0 días significa que, en cuanto el dispositivo instala la actualización, se notifica al usuario sobre el reinicio y tiene un tiempo limitado para guardar su trabajo.

      Importante

      Esta experiencia puede afectar a la productividad del usuario. Considere la posibilidad de usarla para los dispositivos o las actualizaciones que deben completarse y reiniciar el dispositivo lo antes posible.

    • Una configuración de 1 día o 2 días proporciona a los usuarios del dispositivo flexibilidad para administrar un reinicio antes de forzarlo. Esta configuración corresponde a un retraso de reinicio automático de 24 o 48 horas después de que la actualización se instale en el dispositivo.

      Captura de pantalla de la selección de días antes del reinicio forzado.

  6. En Asignaciones, seleccione Agregar grupos y, a continuación, seleccione grupos de dispositivos o usuarios a los que asignar la directiva.

  7. En Revisar + crear seleccione Crear. Una vez creada la directiva, se implementará en los grupos asignados.

Identificación de la actualización aplicable más reciente

Hay algunos escenarios en los que la directiva para acelerar una actualización da lugar a la instalación de una actualización más reciente que la especificada en la directiva. Este resultado se produce cuando la actualización más reciente incluye y supera la actualización especificada, y esa actualización más reciente está disponible antes de que un dispositivo se registre para instalar la actualización especificada en la directiva de actualización rápida. Más adelante en este artículo se proporciona un ejemplo detallado de este escenario.

La instalación de la actualización de calidad más reciente reduce las interrupciones en el dispositivo y el usuario, al mismo tiempo que se aplican las ventajas de la actualización prevista. Esto evita tener que instalar varias actualizaciones, cada una de las cuales puede requerir reinicios independientes.

Se implementa una actualización más reciente cuando se cumplen las condiciones siguientes:

  • El dispositivo no tiene como destino una directiva de aplazamiento que bloquee la instalación de una actualización más reciente. En este caso, la actualización disponible más reciente que no se aplaza es la actualización que podría instalarse.

  • Durante el proceso de aceleración de una actualización, el dispositivo ejecuta un nuevo examen que detecta la actualización más reciente. Esto puede ocurrir debido al momento en que:

    • El dispositivo se reinicia para completar la instalación
    • El dispositivo ejecuta su examen diario
    • Está disponible una nueva actualización

    Cuando un examen identifica una actualización más reciente, Windows Update intenta detener la instalación de la actualización original, cancela el reinicio e inicia la descarga y la instalación de la actualización más reciente.

Aunque las directivas de actualización rápida reemplazarán un aplazamiento de actualización por la versión de actualización especificada en la directiva, no reemplazarán los aplazamientos disponibles para otra versión de actualización.

Ejemplo de instalación de una actualización rápida

La siguiente secuencia de eventos proporciona un ejemplo de cómo dos dispositivos, denominados Test-1 y Test-2, instalan una actualización basada en la directiva de Actualización de calidad de Windows 10 y posterior asignada a los dispositivos.

  1. Cada mes, los administradores de Intune implementan las actualizaciones de calidad de Windows 10 más recientes el cuarto martes del mes. Este período les proporciona dos semanas después del evento de Patch Tuesday para validar las actualizaciones en su entorno antes de forzar la instalación de la actualización.

  2. El 19 de enero de 2021, los dispositivos Test-1 y Test-2 instalan la actualización de calidad más reciente de la versión de Patch Tuesday del 12 de enero. Al día siguiente, los usuarios que se van de vacaciones desactivan ambos dispositivos.

  3. El 9 de febrero, el administrador de Intune crea una directiva para acelerar la instalación de la versión de Patch Tuesday 02/09/2021 – 2021.02 B Security Updates for Windows 10 para ayudar a proteger los dispositivos de la empresa frente a una amenaza crítica que resuelve la actualización. La directiva de aceleración se asigna a un grupo de dispositivos que incluye a Test-1 y Test-2. Todos los dispositivos de ese grupo que están activos reciben e instalan la directiva de actualización rápida.

  4. En el evento de Patch Tuesday del 9 de marzo, se publica una nueva actualización de calidad: 03/09/2021 – 2021.03 B Security Updates for Windows 10. No hay ningún problemas crítico que requiera una implementación rápida de esta actualización, sin embargo los administradores encontraron un posible conflicto. Para proporcionar tiempo para revisar el posible problema, los administradores usan una directiva de anillos de actualización de Windows para crear una directiva de aplazamiento de siete días. Se impide que todos los dispositivos administrados instalen esta actualización hasta el 14 de marzo.

  5. Ahora tenga en cuenta los siguientes resultados para Test-1 y Test-2, en función de cuándo se vuelva a activar cada uno:

    • Test-1: el 12 de marzo, Test-1 se vuelve a encender, se conecta a la red y recibe notificaciones de actualizaciones rápidas:

      1. Windows Update determina que Test-1 todavía necesita acelerar la instalación de actualizaciones por directiva.
      2. Dado que la actualización del 9 de marzo reemplaza a la actualización de febrero, Windows Update podría instalar la actualización del 9 de marzo.
      3. Hay un aplazamiento activo para la actualización de marzo que no expirará hasta el 14 de marzo.

      Resultado: con la directiva de aplazamiento de la actualización de marzo aún activa y bloqueando la instalación de esa actualización, Device-1 instala la actualización de febrero tal como se configuró en la directiva.

    • Test-2: el 20 de marzo, Test-2 se vuelve a encender, se conecta a la red y recibe notificaciones de actualización rápida:

      1. Windows Update determina que Test-2 todavía necesita acelerar la instalación de actualizaciones por directiva.
      2. Dado que la actualización del 9 de marzo reemplaza a la actualización de febrero, Windows Update podría instalar la actualización del 9 de marzo.
      3. Ya no hay un aplazamiento activo para la actualización de marzo.

      Resultado: tras haber expirado la directiva de aplazamiento de la actualización de marzo, Test-2 instala la actualización de marzo más reciente, omitiendo la actualización de febrero e instalando una actualización posterior a la especificada en la directiva.

Administración de directivas para acelerar las actualizaciones de calidad

En el Centro de administración, vaya a Dispositivos>Windows>Actualizaciones de calidad para Windows 10 y versiones posteriores y seleccione la directiva que desea administrar. La directiva se abre en el panel de Información general.

Desde este panel, podrá:

  • Seleccionar Eliminar para eliminar la directiva de Intune. Al eliminar una directiva, se quita de Intune, pero la actualización no se desinstala si ya se ha completado. Windows Update intentará cancelar las instalaciones en curso, pero no se puede garantizar una cancelación correcta de una instalación en curso.

  • Seleccione Propiedades para modificar la implementación. En el panel Propiedades, seleccione Editar para abrir la Configuración, las Etiquetas de ámbito o las Asignaciones, donde podrá entonces modificar la implementación.

Supervisión e informes

Para poder supervisar los resultados y el estado de actualización de actualizaciones rápidas, el inquilino de Intune debe habilitar la recopilación de datos.

Una vez creada una directiva, podrá supervisar los resultados, el estado de actualización y los errores de los informes siguientes.

Informe de resumen

Este informe muestra el estado actual de todos los dispositivos del perfil y proporciona información general sobre cuántos dispositivos están en curso para instalar una actualización, han completado la instalación o tienen un error.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Informes>Actualizaciones de Windows. En la pestaña Resumen puede ver la tabla de Actualizaciones de calidad aceleradas de Windows.

  3. Para obtener más información, seleccione la pestaña Informes y, después, el informe de actualización urgente de Windows.

  4. Haga clic en el vínculo Seleccionar un perfil de actualización acelerada.

  5. En la lista de perfiles que se muestra en el lado derecho de la página, seleccione un perfil para ver los resultados.

  6. Seleccione el botón Generar informe.

Informe de dispositivos

Este informe puede ayudarle a encontrar dispositivos con alertas o errores, así como a solucionar problemas de actualización.

  1. Iniciar sesión en el centro de administración de Microsoft Intune

  2. Seleccione Dispositivos>Supervisar.

  3. En la lista de informes de supervisión, desplácese hasta la sección Actualizaciones de software y seleccione Windows Expedited update failures (Errores de actualización urgente de Windows).

  4. En la lista de perfiles que se muestra en el lado derecho de la página, seleccione un perfil para ver los resultados.

    Ejemplo del informe del dispositivo.

Estados de las actualizaciones

Estado de la actualización Subestado de la actualización Definición
Pendiente Validating El dispositivo se ha agregado a la directiva en el servicio y ha comenzado la validación de que el dispositivo se puede acelerar.
Pendiente Scheduled El dispositivo ha superado la validación y se acelerará.
Oferta OfferReady Se han enviado las instrucciones de aceleración al dispositivo.
Instalación OfferReceived El dispositivo se ha examinado con Windows Update y la actualización es aplicable, pero todavía no se ha iniciado la descarga.
Instalación DownloadStart El dispositivo ha empezado a descargar la actualización.
Instalación DownloadComplete El dispositivo ha descargado la actualización.
Instalación InstallStart El dispositivo ha empezado a instalar la actualización.
Instalación InstallComplete El dispositivo ha completado la instalación de la actualización. A menos que la actualización tenga un error de actualización, el dispositivo debe moverse rápidamente a RestartRequired o UpdateInstalled.
Instalación RestartRequired La instalación se ha completado y requiere un reinicio.
Instalación RestartInitiated El dispositivo ha comenzado un reinicio.
Instalación RestartComplete El dispositivo ha completado el reinicio.
Instalada UpdateInstalled La actualización se ha completado correctamente.

Siguientes pasos