Déployer les mises à jour Windows10 à l’aide de WindowsServer Update Services (WSUS)

S’applique à

  • Windows10

Vous recherchez des informations destinées aux utilisateurs? Consultez Windows Update: FAQ

Important

En raison des modifications de nom, des termes plus anciens comme CB, CBB et LTSB peuvent encore figurer dans certains de nos produits.

Dans les paramètres suivants, CB fait référence à Canal semi-annuel (ciblé), tandis que CBB désigne le Canal semi-annuel.

WindowsServerUpdateServices est un rôle WindowsServer disponible au sein des systèmes d’exploitationWindowsServer. Il fournit un hub unique pour les mises à jourWindows au sein d’une organisation. WSUS permet aux entreprises non seulement de différer les mises à jour, mais aussi de les approuver au cas par cas, de choisir à quel moment elles seront livrées et d’identifier les appareils ou les groupes d’appareils devant les recevoir. WSUS propose un contrôle supplémentaire par rapport à WindowsUpdate for Business, mais n’offre pas l’ensemble des options de planification ni la flexibilité en matière de déploiement qu’offre SystemCenter ConfigurationManager.

Lorsque vous choisissez WSUS en tant que source des mises à jourWindows, vous utilisez une stratégie de groupe pour diriger les appareils clients Windows10 vers le serveur WSUS, afin qu’ils puissent récupérer les mises à jour. Depuis cet emplacement, les mises à jour sont régulièrement téléchargées sur le serveurWSUS et gérées, approuvées et déployées via la console d’administrationWSUS ou la stratégie de groupe, ce qui rationalise la gestion des mises à jour de l’entreprise. Si vous utilisez actuellement WSUS pour gérer les mises à jourWindows dans votre environnement, vous pouvez continuer à le faire dans Windows10.

Exigences relatives à la maintenance de Windows10 avec WSUS

Pour être en mesure d’utiliser WSUS pour gérer et déployer des mises à jour de fonctionnalitésWindows10, vous devez disposer de WSUS4.0, qui est disponible dans les systèmes d’exploitation WindowsServer2012R2 et WindowsServer2012. En plus de WSUS4.0, vous devez installer les correctifs KB3095113 et KB3159706 sur le serveurWSUS.

Évolutivité de WSUS

Pour utiliser WSUS afin de gérer toutes les mises à jour de Windows, certaines organisations doivent peut-être accéder à WSUS à partir d’un réseau de périmètre ou recourir à un autre scénario complexe. Le serviceWSUS est hautement évolutif et configurable, quelle que soit la taille de l’organisation ou la mise en page du site. Pour en savoir plus sur l’évolutivité de WSUS, notamment la configuration des serveurs en amont et en aval, la gestion des filiales, l’équilibrage de chargeWSUS et d’autres scénarios complexes, voir Choisir un type de déploiementWSUS.

Fichiers d’installation rapide

Dans Windows10, les mises à jour qualité sont plus volumineuses que les mises à jourWindowstraditionnelles, car elles sont cumulatives. Pour gérer la bande passante requise par les clients qui téléchargent les mises à jour volumineuses, WSUS propose les fichiers d’installation rapide.

Au niveau binaire, les fichiers associés aux mises à jour peuvent ne pas évoluer de manière importante. En fait, dans les mises à jour qualité cumulatives, la majorité du contenu provient de mises à jour précédentes. Plutôt que de télécharger l’ensemble d’une mise à jour alors qu’un pourcentage réduit de sa charge utile a changé, les fichiers d’installation rapide analysent les différences entre les nouveaux fichiers associés à une mise à jour et les fichiers existants sur le client. Cette approche réduit considérablement la quantité de bande passante utilisée, car une fraction du contenu de la mise à jour est distribuée.

Pour configurerWSUS afin de télécharger les fichiers de mise à jour rapide

  1. Ouvrez la console d’administrationWSUS.

  2. Dans le volet de navigation, accédez à Votre_serveur\Options.

  3. Dans la section Options, cliquez sur Fichiers et langues des mises à jour.

    Exemple d’interface utilisateur

  4. Dans la boîte de dialogue Fichiers et langues des mises à jour, sélectionnez Télécharger les fichiers d’installation rapide.

    Exemple d’interface utilisateur

    Notes

    Étant donné que les mises à jour Windows10 sont cumulatives, l’activation des fichiers d’installation rapide lorsque le serviceWSUS est configuré pour télécharger les mises à jourWindows10 augmente de manière importante l’espace disque requis par WSUS. Par ailleurs, lorsque vous utilisez les fichiers d’installation rapide des versions précédentes de Windows, les effets positifs de cette fonctionnalité ne se font pas sentir, car les mises à jour ne sont pas cumulatives.

Configurer les mises à jour automatiques et l’emplacement du service de mise à jour

Lorsque vous utilisezWSUS pour gérer les mises à jour sur des appareils clientsWindows, commencez par configurer les paramètres de stratégie de groupe Configuration du service Mises à jour automatique et Emplacement intranet du service de mise à jour Microsoft pour votre environnement. De cette manière, les clients affectés sont forcés de contacter le serveurWSUS afin qu’il puisse les gérer. Le processus suivant explique comment spécifier ces paramètres et les déployer sur tous les appareils du domaine.

Pour utiliser les paramètres de stratégie de groupe Configuration du service Mises à jour automatique et Emplacement intranet du service de mise à jour Microsoft pour votre environnement

  1. Ouvrez GPMC.

  2. Développez le domaine Forest\Domains\Votre_domaine.

  3. Cliquez avec le bouton droit sur Votre_domaine, puis sélectionnez Créer un objetGPO dans ce domaine, et le lier ici.

    Exemple d’interface utilisateur

    Notes

    Dans cet exemple, les paramètres de stratégie de groupe Configuration du service Mises à jour automatique et Emplacement intranet du service de mise à jour Microsoft sont spécifiés pour l’ensemble du domaine. Ce n’est pas obligatoire. Vous pouvez cibler ces paramètres sur n’importe quel groupe de sécurité à l’aide du filtrage de sécurité ou d’une unité d’organisation spécifique.

  4. Dans la boîte de dialogue Nouvel objet GPO, donnez au nouveauGPO le nom WSUS-Auto Updates and Intranet Update Service Location.

  5. Cliquez avec le bouton droit sur l’objetGPO WSUS-Auto Updates and Intranet Update Service Location, puis cliquez sur Modifier.

  6. Dans l’éditeur de gestion des stratégies de groupe, accédez à l’emplacement Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\WindowsUpdate.

  7. Cliquez avec le bouton droit sur le paramètre Configuration du service Mises à jour automatiques, puis cliquez sur Modifier.

    Exemple d’interface utilisateur

  8. Dans la boîte de dialogue Configuration du service Mises à jour automatiques, sélectionnez Activer.

  9. Sous Options, à partir de la liste Configuration de la mise à jour automatique, sélectionnez 3-Téléchargement automatique et notification des installations, puis cliquez sur OK.

    Exemple d’interface utilisateur

    Notes

    Il existe trois autres paramètres pour le téléchargement automatique des mises à jour et la définition des dates et heures d’installation. Il s’agit simplement de l’option utilisée par cet exemple. Pour consulter d’autres exemples relatifs au contrôle des mises à jour automatiques et des stratégies associées, voir Configurer les mises à jour automatiques à l’aide d’une stratégie de groupe.

  10. Cliquez avec le bouton droit sur le paramètre Spécifier l’emplacement intranet du service de mise à jour Microsoft, puis cliquez sur Modifier.

  11. Dans la boîte de dialogue Spécifier l’emplacement intranet du service de mise à jour Microsoft, sélectionnez Activer.

  12. Sous options, dans les options définir le service intranet de mise à jour pour la détection des mises à jour et définir les options http://Your_WSUS_Server_FQDN:PortNumber de serveur de statistiques intranet , tapez, puis cliquez sur OK.

    Notes

    L’URL http://CONTOSO-WSUS1.contoso.com:8530 de l’image suivante est juste un exemple. Dans votre environnement, veillez à utiliser le nom du serveur et le numéro de port pour votre instanceWSUS.

    Exemple d’interface utilisateur

    Notes

    Le portHTTP par défaut pourWSUS est 8530. Le portHTTPS ( HTTP over Secure Sockets Layer) par défaut est 8531. Si vous ne savez pas quel port WSUS utilise pour les communications des clients, cliquez avec le bouton droit sur le site d’administration deWSUS dans le Gestionnaire des servicesInternet, puis sélectionnez Modifier les liaisons.

Lorsque les clientsWindows actualisent leurs stratégies d’ordinateur (par défaut, la stratégie de groupe est actualisée toutes les 90minutes, ainsi que lors du redémarrage de l’ordinateur), les ordinateurs commencent à s’afficher dansWSUS. Les clients communiquent désormais avec le serveurWSUS. Vous devez ensuite créer les groupes d’ordinateurs qui s’alignent avec vos anneaux de déploiement.

Créer des groupes d’ordinateurs dans la console d’administrationWSUS

Notes

Les procédures suivantes utilisent les groupes du tableau1 de la section Créer des anneaux de déploiement pour les mises à jour Windows10 à titre d’exemple.

Vous pouvez utiliser des groupes d’ordinateurs pour cibler un sous-ensemble d’appareils présentant des mises à jour qualité et de fonctionnalités spécifiques. Ces groupes représentent vos anneaux de déploiement, tels que contrôlés parWSUS. Vous pouvez remplir les groupes manuellement, à l’aide de la console d’administrationWSUS, ou de manière automatique, via la stratégie de groupe. Quelle que soit la méthode que vous choisissez, vous devez d’abord créer les groupes dans la console d’administrationWSUS.

Pour créer des groupes d’ordinateurs dans la console d’administrationWSUS

  1. Ouvrez la console d’administrationWSUS.

  2. Accédez à l’emplacement Nom_serveur\Ordinateurs\Tous les ordinateurs, puis cliquez sur Ajouter un groupe d’ordinateurs.

    Exemple d’interface utilisateur

  3. Indiquez le nom Ring2Pilot BusinessUsers, puis cliquez sur Ajouter.

  4. Répétez ces étapes pour les groupes Ring3BroadIT et Ring4BroadBusinessUsers. Lorsque vous avez terminé, vous devez obtenir trois groupes d’anneaux de déploiement.

Maintenant que les groupes ont été créés, ajoutez les ordinateurs aux groupes d’ordinateurs conformes aux anneaux de déploiement souhaités. Vous pouvez le faire automatiquement, par le biais de la stratégie de groupe, ou manuellement, à l’aide de la console d’administrationWSUS.

Utiliser la console d’administrationWSUS pour remplir les anneaux de déploiement

L’ajout d’ordinateurs à des groupes dans la console d’administrationWSUS est une procédure simple, mais elle peut prendre plus de temps que la gestion de l’appartenance via une stratégie de groupe, surtout lorsque le nombre d’ordinateurs à ajouter est important. Dans la console d’administrationWSUS, la procédure d’ajout d’ordinateurs à des groupes est appelée ciblage côté serveur.

Dans cet exemple, vous ajoutez les ordinateurs à des groupes de deux manières différentes: en attribuant manuellement des ordinateurs non affectés à un groupe et en recherchant plusieurs ordinateurs.

Affecter manuellement des ordinateurs non affectés à des groupes

Lorsque de nouveaux ordinateurs communiquent avecWSUS, ils apparaissent dans le groupe Ordinateurs non affectés. À partir de là, vous pouvez utiliser la procédure suivante pour ajouter des ordinateurs aux groupes appropriés. Pour ces exemples, vous ajoutez deux PCWindows10 (appelés WIN10-PC1 et WIN10-PC2) dans des groupes d’ordinateurs.

Pour affecter manuellement des ordinateurs

  1. Dans la console d’administrationWSUS, accédez à l’emplacement Nom_serveur\Ordinateurs\Tous les ordinateurs\Ordinateurs non attribués.

    Vous voyez ici les nouveaux ordinateurs qui ont reçu l’objetGPO créé dans la section précédente et qui ont entamé des communications avec WSUS. Cet exemple repose uniquement sur deux ordinateurs; selon la portée du déploiement de votre stratégie, le nombre d’ordinateurs risque d’être élevé.

  2. Sélectionnez les deux ordinateurs, cliquez avec le bouton droit sur la sélection, puis cliquez sur Modifier l’appartenance.

    Exemple d’interface utilisateur

  3. Dans la boîte de dialogue Définir les groupes d’ordinateurs, sélectionnez l’anneau de déploiement Ring2PilotBusinessUsers, puis cliquez sur OK.

    Comme ils sont été affectés à un groupe, les ordinateurs ne figurent plus dans le groupe Ordinateurs non affectés. Si vous sélectionnez le groupe d’ordinateurs Ring2PilotBusinessUsers, vous verrez apparaître les deux ordinateurs.

Rechercher plusieurs ordinateurs à ajouter à des groupes

Pour ajouter plusieurs ordinateurs à un anneau de déploiement dans la console d’administrationWSUS, vous pouvez également utiliser la fonction de recherche.

Pour rechercher plusieurs ordinateurs

  1. Dans la console d’administrationWSUS, accédez à l’emplacement Nom_serveur\Ordinateurs\Tous les ordinateurs, cliquez avec le bouton droit sur Tous les ordinateurs, puis sélectionnez Rechercher.

  2. Dans la zone de recherche, saisissez WIN10.

  3. Dans les résultats de la recherche, sélectionnez les ordinateurs, cliquez avec le bouton droit sur la sélection, puis cliquez sur Modifier l’appartenance.

    Exemple d’interface utilisateur

  4. Sélectionnez l’anneau de déploiement Ring3BroadIT, puis cliquez sur OK.

Vous pouvez maintenant visualiser ces ordinateurs dans le groupe d’ordinateurs Ring3BroadIT.

Utiliser la stratégie de groupe pour remplir les anneaux de déploiement

La console d’administrationWSUS fournit une interface conviviale, à partir de laquelle vous pouvez gérer les mises à jour qualité et de fonctionnalitésWindows10. Toutefois, l’ajout manuel de plusieurs ordinateurs à l’anneau de déploiementWSUS approprié, via la console d’administrationWSUS, peut s’avérer fastidieux. Dans ce cas, envisagez de cibler les ordinateurs adéquats via la stratégie de groupe, afin de les ajouter automatiquement à l’anneau de déploiementWSUS correct en fonction du groupe de sécurité ActiveDirectory. Ce processus est appelé ciblage côté client. Avant d’activer le ciblage côté client dans la stratégie de groupe, vous devez configurerWSUS de manière à accepter l’affectation de l’ordinateur de la stratégie de groupe.

Pour configurerWSUS afin d’autoriser le ciblage côté client de la stratégie de groupe

  1. Ouvrez la console d’administrationWSUS et accédez à l’emplacement Nom_serveur\Options, puis cliquez sur Ordinateurs.

    Exemple d’interface utilisateur

  2. Dans la boîte de dialogue Ordinateurs, sélectionnez Utiliser la stratégie du groupe ou les paramètres des Registres des ordinateurs, puis cliquez sur OK.

    Notes

    Cette option n’accepte qu’une seule valeur. Lorsque vous configurezWSUS de manière à utiliser la stratégie de groupe pour l’affectation de groupe, vous ne pouvez plus ajouter manuellement d’ordinateurs via la console d’administrationWSUS, jusqu’à ce que vous réaffectiez la valeur précédente à l’option.

WSUS est prêt pour le ciblage côté client. Vous pouvez désormais utiliser la stratégie de groupe afin de configurer ce ciblage.

Pour ce faire:

Conseil

Lorsque vous utilisez le ciblage côté client, donnez aux groupes de sécurité les mêmes noms qu’à vos anneaux de déploiement. Ce faisant, vous simplifiez le processus de création de stratégie et vous assurez que vous n’ajoutez pas de clients à des anneaux non adaptés.

  1. Ouvrez GPMC.

  2. Développez le domaine Forest\Domains\Votre_domaine.

  3. Cliquez avec le bouton droit sur Votre_domaine, puis sélectionnez Créer un objetGPO dans ce domaine, et le lier ici.

  4. Dans la boîte de dialogue Nouvel objetGPO, saisissez le nom WSUS-Client Targeting-Ring4BroadBusinessUsers pour le nouvel objetGPO.

  5. Cliquez avec le bouton droit sur l’objetGPO WSUS-Client Targeting-Ring4BroadBusinessUsers, puis cliquez sur Modifier.

    Exemple d’interface utilisateur

  6. Dans l’éditeur de gestion des stratégies de groupe, accédez à l’emplacement Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\WindowsUpdate.

  7. Cliquez avec le bouton droit sur Autoriser le ciblage côté client, puis cliquez sur Modifier.

  8. Dans la boîte de dialogue Autoriser le ciblage côté client, sélectionnez Activer.

  9. Dans la zone Nom du groupe cible de cet ordinateur, saisissez Ring4BroadBusinessUsers. Il s’agit du nom de l’anneau de déploiementWSUS dans lequel ces ordinateurs seront ajoutés.

    Exemple d’interface utilisateur

  10. Fermez l’éditeur de gestion des stratégies de groupe.

Vous êtes désormais prêt à déployer cet objetGPO dans le groupe de sécurité de l’ordinateur correspondant à l’anneau de déploiement Ring4BroadBusinessUsers.

Pour définir l’étendue de l’objetGPO à un groupe

  1. Dans GPMC, sélectionnez la stratégie WSUS-Client Targeting-Ring4BroadBusinessUsers.

  2. Cliquez sur l’onglet Étendue.

  3. Dans l’onglet Filtrage de sécurité, supprimez le groupe de sécurité UTILISATEURS AUTHENTIFIÉS par défaut, puis ajoutez le groupe Ring4BroadBusinessUsers.

    Exemple d’interface utilisateur

Ensuite, lorsque les clients du groupe de sécurité Ring4BroadBusinessUsers reçoivent leur stratégie d’ordinateur et contactentWSUS, ils sont ajoutés à l’anneau de déploiement Ring4BroadBusinessUsers.

Approuver et déployer automatiquement des mises à jour de fonctionnalités

Pour les clients dont les mises à jour de fonctionnalités doivent être approuvées dès qu’elles sont disponibles, vous pouvez configurer des règles d’approbation automatique dansWSUS.

Notes

WSUS respecte la branche de maintenance du client. Si vous approuvez une mise à jour de fonctionnalité alors qu’elle appartient toujours à la branche de maintenanceCurrentBranch (CB), WSUS installe la mise à jour uniquement sur les PC qui se trouvent dans cette branche. Lorsque Microsoft publie la build de la brancheCurrent Branch for Business (CBB), lesPC de la branche de maintenanceCBB l’installent. Les paramètres de succursale Windows Update pour les entreprises ne s’appliquent pas aux mises à jour de fonctionnalités via WSUS.

Pour configurer une règle d’approbation automatique des mises à jour de fonctionnalitésWindows10 et les approuver pour l’anneau de déploiement Ring3BroadIT

  1. Dans la console d’administrationWSUS, accédez à l’emplacementUpdate Services\Nom_serveur\Options, puis sélectionnez Approbations automatiques.

  2. Sur l’onglet Règles de mise à jour, cliquez sur Nouvelle règle.

  3. Dans la boîte de dialogue Ajouter une règle, activez les cases à cocher Lorsqu’une mise à jour se trouve dans une classification précise, Lorsqu’une mise à jour se trouve dans un produit précis et Définir un délai pour l’approbation.

    Exemple d’interface utilisateur

  4. Dans la zone Modifier les propriétés de l’utilisateur, sélectionnez n’importe quelle classification. Désactivez toutes les sélections, sauf Mises à niveau, puis cliquez sur OK.

  5. Dans la zone Modifier les propriétés, cliquez sur le lien Tout produit. Désactivez toutes les cases à cocher à l’exception de Windows10, puis cliquez sur OK.

    Windows10 apparaît sous Tous les produits\Microsoft\Windows.

  6. Dans la zone Modifier les propriétés, cliquez sur le lien Tous les ordinateurs. Désactivez toutes les cases à cocher des groupes d’ordinateurs à l’exception de Ring3BroadIT, puis cliquez sur OK.

  7. Laissez le délai défini sur 7jours après l’approbation à 15:00.

  8. Dans la zone Étape3: Indiquez un nom, saisissez Windows10Upgrade Auto-approval for Ring3BroadIT, puis cliquez sur OK.

    Exemple d’interface utilisateur

  9. Dans la boîte de dialogue Approbations automatiques, cliquez sur OK.

    Notes

    WSUS ne respecte pas les paramètres de report existants (mois/semaine/jour) pour la brancheCB ou CBB. Cela dit, si vous utilisez WindowsUpdate for Business pour un ordinateur dontWSUS gère également les mises à jour, lorsque ce service approuve la mise à jour, elle est installée sur l’ordinateur, que vous ayez ou non configuré la stratégie de groupe pour qu’elle attende.

Désormais, chaque fois que les mises à jour de fonctionnalitésWindows10 sont publiées sur le serviceWSUS, ces mises à jour sont automatiquement approuvées pour l’anneau de déploiement Ring3BroadIT avec une échéance d’installation d’1semaine.

Approuver et déployer manuellement des mises à jour de fonctionnalités

Vous pouvez également approuver manuellement des mises à jour et définir des échéances pour l’installation au sein de la console d’administrationWSUS. Pour simplifier le processus d’approbation manuelle, commencez par créer une vue des mises à jour de logiciels contenant uniquement les mises à jour Windows10.

Pour approuver et déployer manuellement des mises à jour de fonctionnalités

  1. Dans la console d’administrationWSUS, accédez à l’emplacementUpdate Services\Nom_serveur\Mises à jour. Dans le volet Action, cliquez sur Nouvelle vue de mise jour.

  2. Dans la boîte de dialogue Ajouter une vue de mise à jour, sélectionnez Les mises à jour se trouvent dans une classification précise et Les mises à jour concernent un produit précis.

  3. Sous Étape2: Modifiez les propriétés, cliquez sur n’importe quelle classification. Désactivez toutes les cases à cocher à l’exception de Mises à niveau, puis cliquez sur OK.

  4. Sous Étape2: Modifiez les propriétés, cliquez sur n’importe quel produit. Désactivez toutes les cases à cocher à l’exception de Windows10, puis cliquez sur OK.

    Windows10 apparaît sous Tous les produits\Microsoft\Windows.

  5. Dans la zone Étape3: Indiquez un nom, saisissez AllWindows10Upgrades, puis cliquez sur OK.

    Exemple d’interface utilisateur

La vueAllWindows10Upgrades est désormais affichée. Procédez comme suit pour approuver manuellement une mise à jour pour l’anneau de déploiement Ring4BroadBusinessUsers:

  1. Dans la console d’administrationWSUS, accédez à l’emplacementUpdate Services\Nom_serveur\Mises à jour\AllWindows10Upgrades.

  2. Cliquez avec le bouton droit sur la mise à jour de fonctionnalité à déployer, puis sélectionnez Approuver.

    Exemple d’interface utilisateur

  3. Dans la boîte de dialogue Approuver les mises à jour, dans la liste Ring4BroadBusinessUsers, sélectionnez Approuvée pour l’installation.

    Exemple d’interface utilisateur

  4. Dans la boîte de dialogue Approuver les mises à jour, dans la liste Ring4BroadBusinessUsers, cliquez sur Échéance, sélectionnez Une semaine, et cliquez sur OK.

    Exemple d’interface utilisateur

  5. Si la boîte de dialogue Termes du contrat de licence logicielMicrosoft s’ouvre, cliquez sur Accepter.

    Si le déploiement a abouti, vous recevez un rapport de progression signalant la réussite de l’opération.

    Exemple d’interface utilisateur

  6. Dans la boîte de dialogue Progression de l’approbation, cliquez sur Fermer.


Étapes à suivre pour gérer les mises à jour pour Windows10

terminé En savoir plus sur les mises à jour et les canaux de maintenance
terminé Préparer la stratégie de maintenance des mises à jour Windows10
terminé Créer des anneaux de déploiement pour les mises à jour Windows10
terminé Affecter des appareils aux canaux de maintenance pour les mises à jour Windows10
terminé Optimiser la distribution des mises à jour Windows10
terminé Déployer les mises à jour à l’aide de Windows Update for Business
ou Déployer les mises à jour Windows10 à l’aide de WindowsServer Update Services (présente rubrique)
ou Déployer les mises à jour Windows10 à l’aide de SystemCenterConfigurationManager

Rubriques associées