Déployer les mises à jour Windows10 à l’aide de WindowsServer Update Services (WSUS)

S’applique à

  • Windows10

Vous recherchez des informations destinées aux utilisateurs? Voir Windows Update: FAQ

Important

En raison des modifications apportées aux noms, des termes anciens tels que CB et CBB peuvent toujours s’afficher dans certains de nos produits, par exemple dans une stratégie de groupe ou le registre. Si vous rencontrez ces conditions, la mention «CB» fait référence au canal semi-annuel (ciblé), qui n’est plus utilisé, et «CBB» fait référence au canal semi-annuel.

WindowsServerUpdateServices est un rôle WindowsServer disponible au sein des systèmes d’exploitationWindowsServer. Il fournit un hub unique pour les mises à jourWindows au sein d’une organisation. WSUS permet aux entreprises non seulement de différer les mises à jour, mais aussi de les approuver au cas par cas, de choisir à quel moment elles seront livrées et d’identifier les appareils ou les groupes d’appareils devant les recevoir. WSUS propose un contrôle supplémentaire par rapport à WindowsUpdate for Business, mais n’offre pas l’ensemble des options de planification ni la flexibilité en matière de déploiement qu’offre SystemCenter ConfigurationManager.

Lorsque vous choisissez WSUS en tant que source des mises à jourWindows, vous utilisez une stratégie de groupe pour diriger les appareils clients Windows10 vers le serveur WSUS, afin qu’ils puissent récupérer les mises à jour. Depuis cet emplacement, les mises à jour sont régulièrement téléchargées sur le serveurWSUS et gérées, approuvées et déployées via la console d’administrationWSUS ou la stratégie de groupe, ce qui rationalise la gestion des mises à jour de l’entreprise. Si vous utilisez actuellement WSUS pour gérer les mises à jourWindows dans votre environnement, vous pouvez continuer à le faire dans Windows10.

Exigences relatives à la maintenance de Windows10 avec WSUS

Pour pouvoir utiliser les services WSUS pour gérer et déployer des mises à jour de fonctionnalités Windows 10, vous devez utiliser une version WSUS prise en charge:

  • 10.0.14393 WSUS (rôle dans Windows Server 2016)
  • 10.0.17763 WSUS (rôle dans Windows Server 2019)
  • WSUS 6,2 et 6,3 (rôle dans Windows Server 2012 et Windows Server 2012 R2)
  • KB 3095113 et KB 3159706 (ou une mise à jour équivalente) doivent être installés sur WSUS 6,2 et 6,3.

Important

Les versions 3095113 et 3159706 sont incluses dans le Report de qualité mensuelle de sécurité à partir du 2017 juillet. Cela signifie que vous risquez de ne pas voir KB 3095113 et KB 3159706 comme mises à jour installées, car elles ont pu être installées avec un correctif cumulatif. Toutefois, si vous avez besoin de l’une de ces mises à jour, nous vous recommandons d’installer un correctif cumulatif de qualité mensuelle de sécurité publiée après le 2017 d’octobre , car ils contiennent une nouvelle mise à jour WSUS pour réduire l’utilisation de la mémoire sur les clientwebservices de l’application. Si vous avez synchronisé l’une de ces mises à jour avant le SRP Security Quality, vous pouvez rencontrer des problèmes. Pour résoudre ce problème, reportez-vous à la rubrique Comment supprimer des mises à niveau dans WSUS.

Évolutivité de WSUS

Pour utiliser WSUS afin de gérer toutes les mises à jour de Windows, certaines organisations doivent peut-être accéder à WSUS à partir d’un réseau de périmètre ou recourir à un autre scénario complexe. Le serviceWSUS est hautement évolutif et configurable, quelle que soit la taille de l’organisation ou la mise en page du site. Pour en savoir plus sur l’évolutivité de WSUS, notamment la configuration des serveurs en amont et en aval, la gestion des filiales, l’équilibrage de chargeWSUS et d’autres scénarios complexes, voir Choisir un type de déploiementWSUS.

Configurer les mises à jour automatiques et l’emplacement du service de mise à jour

Lorsque vous utilisezWSUS pour gérer les mises à jour sur des appareils clientsWindows, commencez par configurer les paramètres de stratégie de groupe Configuration du service Mises à jour automatique et Emplacement intranet du service de mise à jour Microsoft pour votre environnement. De cette manière, les clients affectés sont forcés de contacter le serveurWSUS afin qu’il puisse les gérer. Le processus suivant explique comment spécifier ces paramètres et les déployer sur tous les appareils du domaine.

Pour utiliser les paramètres de stratégie de groupe Configuration du service Mises à jour automatique et Emplacement intranet du service de mise à jour Microsoft pour votre environnement

  1. Ouvrez la console de gestion des stratégies de groupe (GPMC. msc).

  2. Développez Forest\Domains\votre_domaine * *.

  3. Cliquez avec le bouton droit sur votre_domaine, puis sélectionnez créer un objet de stratégie de groupe dans ce domaine et associez-le ici.

    Exemple d’interface utilisateur

    Notes

    Dans cet exemple, les paramètres de stratégie de groupe Configuration du service Mises à jour automatique et Emplacement intranet du service de mise à jour Microsoft sont spécifiés pour l’ensemble du domaine. Ce n’est pas obligatoire. Vous pouvez cibler ces paramètres sur n’importe quel groupe de sécurité à l’aide du filtrage de sécurité ou d’une unité d’organisation spécifique.

  4. Dans la boîte de dialogue Nouvel objet GPO, donnez au nouveauGPO le nom WSUS-Auto Updates and Intranet Update Service Location.

  5. Cliquez avec le bouton droit sur l’objetGPO WSUS-Auto Updates and Intranet Update Service Location, puis cliquez sur Modifier.

  6. Dans l’éditeur de gestion des stratégies de groupe, accédez à l’emplacement Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\WindowsUpdate.

  7. Cliquez avec le bouton droit sur le paramètre Configuration du service Mises à jour automatiques, puis cliquez sur Modifier.

    Exemple d’interface utilisateur

  8. Dans la boîte de dialogue Configuration du service Mises à jour automatiques, sélectionnez Activer.

  9. Sous Options, à partir de la liste Configuration de la mise à jour automatique, sélectionnez 3-Téléchargement automatique et notification des installations, puis cliquez sur OK.

    Exemple d’interface utilisateur

    Notes

    Il existe trois autres paramètres permettant de télécharger et d’installer les mises à jour automatiques. Il s’agit simplement de l’option utilisée par cet exemple. Pour consulter d’autres exemples relatifs au contrôle des mises à jour automatiques et des stratégies associées, voir Configurer les mises à jour automatiques à l’aide d’une stratégie de groupe.

  10. Cliquez avec le bouton droit sur le paramètre spécifier l’emplacement du service intranet Microsoft Update , puis sélectionnez modifier.

  11. Dans la boîte de dialogue Spécifier l’emplacement intranet du service de mise à jour Microsoft, sélectionnez Activer.

  12. Sous options, dans les options définir le service intranet de mise à jour pour la détection des mises à jour et définir les options http://Your_WSUS_Server_FQDN:PortNumber de serveur de statistiques intranet , tapez, puis sélectionnez OK.

    Notes

    L’URL http://CONTOSO-WSUS1.contoso.com:8530 de l’image suivante est juste un exemple. Dans votre environnement, veillez à utiliser le nom du serveur et le numéro de port pour votre instanceWSUS.

    Exemple d’interface utilisateur

    Notes

    Le portHTTP par défaut pourWSUS est 8530. Le portHTTPS ( HTTP over Secure Sockets Layer) par défaut est 8531. (Les autres options sont 80 et 443; aucun autre port n’est pris en charge.)

Lorsque les clientsWindows actualisent leurs stratégies d’ordinateur (par défaut, la stratégie de groupe est actualisée toutes les 90minutes, ainsi que lors du redémarrage de l’ordinateur), les ordinateurs commencent à s’afficher dansWSUS. Les clients communiquent désormais avec le serveurWSUS. Vous devez ensuite créer les groupes d’ordinateurs qui s’alignent avec vos anneaux de déploiement.

Créer des groupes d’ordinateurs dans la console d’administrationWSUS

Notes

Les procédures suivantes utilisent les groupes du tableau1 de la section Créer des anneaux de déploiement pour les mises à jour Windows10 à titre d’exemple.

Vous pouvez utiliser des groupes d’ordinateurs pour cibler un sous-ensemble d’appareils présentant des mises à jour qualité et de fonctionnalités spécifiques. Ces groupes représentent vos anneaux de déploiement, tels que contrôlés parWSUS. Vous pouvez remplir les groupes manuellement, à l’aide de la console d’administrationWSUS, ou de manière automatique, via la stratégie de groupe. Quelle que soit la méthode que vous choisissez, vous devez d’abord créer les groupes dans la console d’administrationWSUS.

Pour créer des groupes d’ordinateurs dans la console d’administrationWSUS

  1. Ouvrez la console d’administrationWSUS.

  2. Accédez à l’emplacement Nom_serveur\Ordinateurs\Tous les ordinateurs, puis cliquez sur Ajouter un groupe d’ordinateurs.

    Exemple d’interface utilisateur

  3. Indiquez le nom Ring2Pilot BusinessUsers, puis cliquez sur Ajouter.

  4. Répétez ces étapes pour les groupes Ring3BroadIT et Ring4BroadBusinessUsers. Lorsque vous avez terminé, vous devez obtenir trois groupes d’anneaux de déploiement.

Maintenant que les groupes ont été créés, ajoutez les ordinateurs aux groupes d’ordinateurs conformes aux anneaux de déploiement souhaités. Vous pouvez le faire automatiquement, par le biais de la stratégie de groupe, ou manuellement, à l’aide de la console d’administrationWSUS.

Utiliser la console d’administrationWSUS pour remplir les anneaux de déploiement

L’ajout d’ordinateurs à des groupes dans la console d’administrationWSUS est une procédure simple, mais elle peut prendre plus de temps que la gestion de l’appartenance via une stratégie de groupe, surtout lorsque le nombre d’ordinateurs à ajouter est important. Dans la console d’administrationWSUS, la procédure d’ajout d’ordinateurs à des groupes est appelée ciblage côté serveur.

Dans cet exemple, vous ajoutez les ordinateurs à des groupes de deux manières différentes: en attribuant manuellement des ordinateurs non affectés à un groupe et en recherchant plusieurs ordinateurs.

Affecter manuellement des ordinateurs non affectés à des groupes

Lorsque de nouveaux ordinateurs communiquent avecWSUS, ils apparaissent dans le groupe Ordinateurs non affectés. À partir de là, vous pouvez utiliser la procédure suivante pour ajouter des ordinateurs aux groupes appropriés. Pour ces exemples, vous ajoutez deux PCWindows10 (appelés WIN10-PC1 et WIN10-PC2) dans des groupes d’ordinateurs.

Pour affecter manuellement des ordinateurs

  1. Dans la console d’administrationWSUS, accédez à l’emplacement Nom_serveur\Ordinateurs\Tous les ordinateurs\Ordinateurs non attribués.

    Vous voyez ici les nouveaux ordinateurs qui ont reçu l’objetGPO créé dans la section précédente et qui ont entamé des communications avec WSUS. Cet exemple repose uniquement sur deux ordinateurs; selon la portée du déploiement de votre stratégie, le nombre d’ordinateurs risque d’être élevé.

  2. Sélectionnez les deux ordinateurs, cliquez avec le bouton droit sur la sélection, puis cliquez sur Modifier l’appartenance.

    Exemple d’interface utilisateur

  3. Dans la boîte de dialogue Définir les groupes d’ordinateurs, sélectionnez l’anneau de déploiement Ring2PilotBusinessUsers, puis cliquez sur OK.

    Comme ils sont été affectés à un groupe, les ordinateurs ne figurent plus dans le groupe Ordinateurs non affectés. Si vous sélectionnez le groupe d’ordinateurs Ring2PilotBusinessUsers, vous verrez apparaître les deux ordinateurs.

Rechercher plusieurs ordinateurs à ajouter à des groupes

Pour ajouter plusieurs ordinateurs à un anneau de déploiement dans la console d’administrationWSUS, vous pouvez également utiliser la fonction de recherche.

Pour rechercher plusieurs ordinateurs

  1. Dans la console d’administrationWSUS, accédez à l’emplacement Nom_serveur\Ordinateurs\Tous les ordinateurs, cliquez avec le bouton droit sur Tous les ordinateurs, puis sélectionnez Rechercher.

  2. Dans la zone de recherche, saisissez WIN10.

  3. Dans les résultats de la recherche, sélectionnez les ordinateurs, cliquez avec le bouton droit sur la sélection, puis cliquez sur Modifier l’appartenance.

    Exemple d’interface utilisateur

  4. Sélectionnez l’anneau de déploiement Ring3BroadIT, puis cliquez sur OK.

Vous pouvez maintenant visualiser ces ordinateurs dans le groupe d’ordinateurs Ring3BroadIT.

Utiliser la stratégie de groupe pour remplir les anneaux de déploiement

La console d’administrationWSUS fournit une interface conviviale, à partir de laquelle vous pouvez gérer les mises à jour qualité et de fonctionnalitésWindows10. Toutefois, l’ajout manuel de plusieurs ordinateurs à l’anneau de déploiementWSUS approprié, via la console d’administrationWSUS, peut s’avérer fastidieux. Dans ce cas, envisagez de cibler les ordinateurs adéquats via la stratégie de groupe, afin de les ajouter automatiquement à l’anneau de déploiementWSUS correct en fonction du groupe de sécurité ActiveDirectory. Ce processus est appelé ciblage côté client. Avant d’activer le ciblage côté client dans la stratégie de groupe, vous devez configurerWSUS de manière à accepter l’affectation de l’ordinateur de la stratégie de groupe.

Pour configurerWSUS afin d’autoriser le ciblage côté client de la stratégie de groupe

  1. Ouvrez la console d’administrationWSUS et accédez à l’emplacement Nom_serveur\Options, puis cliquez sur Ordinateurs.

    Exemple d’interface utilisateur

  2. Dans la boîte de dialogue Ordinateurs, sélectionnez Utiliser la stratégie du groupe ou les paramètres des Registres des ordinateurs, puis cliquez sur OK.

    Notes

    Cette option n’accepte qu’une seule valeur. Lorsque vous configurezWSUS de manière à utiliser la stratégie de groupe pour l’affectation de groupe, vous ne pouvez plus ajouter manuellement d’ordinateurs via la console d’administrationWSUS, jusqu’à ce que vous réaffectiez la valeur précédente à l’option.

WSUS est prêt pour le ciblage côté client. Vous pouvez désormais utiliser la stratégie de groupe afin de configurer ce ciblage.

Pour ce faire:

Conseil

Lorsque vous utilisez le ciblage côté client, donnez aux groupes de sécurité les mêmes noms qu’à vos anneaux de déploiement. Ce faisant, vous simplifiez le processus de création de stratégie et vous assurez que vous n’ajoutez pas de clients à des anneaux non adaptés.

  1. Ouvrez la console de gestion des stratégies de groupe (GPMC. msc).

  2. Développez le domaine Forest\Domains\Votre_domaine.

  3. Cliquez avec le bouton droit sur Votre_domaine, puis sélectionnez Créer un objetGPO dans ce domaine, et le lier ici.

  4. Dans la boîte de dialogue Nouvel objetGPO, saisissez le nom WSUS-Client Targeting-Ring4BroadBusinessUsers pour le nouvel objetGPO.

  5. Cliquez avec le bouton droit sur l’objetGPO WSUS-Client Targeting-Ring4BroadBusinessUsers, puis cliquez sur Modifier.

    Exemple d’interface utilisateur

  6. Dans l’éditeur de gestion des stratégies de groupe, accédez à l’emplacement Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\WindowsUpdate.

  7. Cliquez avec le bouton droit sur Autoriser le ciblage côté client, puis cliquez sur Modifier.

  8. Dans la boîte de dialogue Autoriser le ciblage côté client, sélectionnez Activer.

  9. Dans la zone Nom du groupe cible de cet ordinateur, saisissez Ring4BroadBusinessUsers. Il s’agit du nom de l’anneau de déploiementWSUS dans lequel ces ordinateurs seront ajoutés.

    Exemple d’interface utilisateur

Avertissement

Le nom du groupe cible doit correspondre au nom du groupe d’ordinateurs.

  1. Fermez l’éditeur de gestion des stratégies de groupe.

Vous êtes désormais prêt à déployer cet objetGPO dans le groupe de sécurité de l’ordinateur correspondant à l’anneau de déploiement Ring4BroadBusinessUsers.

Pour définir l’étendue de l’objetGPO à un groupe

  1. Dans GPMC, sélectionnez la stratégie WSUS-Client Targeting-Ring4BroadBusinessUsers.

  2. Cliquez sur l’onglet Étendue.

  3. Dans l’onglet Filtrage de sécurité, supprimez le groupe de sécurité UTILISATEURS AUTHENTIFIÉS par défaut, puis ajoutez le groupe Ring4BroadBusinessUsers.

    Exemple d’interface utilisateur

Ensuite, lorsque les clients du groupe de sécurité Ring4BroadBusinessUsers reçoivent leur stratégie d’ordinateur et contactentWSUS, ils sont ajoutés à l’anneau de déploiement Ring4BroadBusinessUsers.

Approuver et déployer automatiquement des mises à jour de fonctionnalités

Pour les clients dont les mises à jour de fonctionnalités doivent être approuvées dès qu’elles sont disponibles, vous pouvez configurer des règles d’approbation automatique dansWSUS.

Notes

WSUS respecte la branche de maintenance de l’appareil client. Si vous approuvez une mise à jour de fonctionnalité alors qu’elle est toujours au sein d’une même succursale, par exemple Insider Preview, WSUS n’installe la mise à jour que sur les appareils qui se trouvent dans cette branche de maintenance. Lorsque Microsoft publie la build pour le canal semi-annuel, les appareils du canal semi-annuel le peuvent. Les paramètres de succursale Windows Update pour les entreprises ne s’appliquent pas aux mises à jour de fonctionnalités via WSUS.

Pour configurer une règle d’approbation automatique des mises à jour de fonctionnalitésWindows10 et les approuver pour l’anneau de déploiement Ring3BroadIT

  1. Dans la console d’administrationWSUS, accédez à l’emplacementUpdate Services\Nom_serveur\Options, puis sélectionnez Approbations automatiques.

  2. Sur l’onglet Règles de mise à jour, cliquez sur Nouvelle règle.

  3. Dans la boîte de dialogue Ajouter une règle, activez les cases à cocher Lorsqu’une mise à jour se trouve dans une classification précise, Lorsqu’une mise à jour se trouve dans un produit précis et Définir un délai pour l’approbation.

    Exemple d’interface utilisateur

  4. Dans la zone Modifier les propriétés de l’utilisateur, sélectionnez n’importe quelle classification. Désactivez toutes les sélections, sauf Mises à niveau, puis cliquez sur OK.

  5. Dans la zone Modifier les propriétés, cliquez sur le lien Tout produit. Désactivez toutes les cases à cocher à l’exception de Windows10, puis cliquez sur OK.

    Windows10 apparaît sous Tous les produits\Microsoft\Windows.

  6. Dans la zone Modifier les propriétés, cliquez sur le lien Tous les ordinateurs. Désactivez toutes les cases à cocher des groupes d’ordinateurs à l’exception de Ring3BroadIT, puis cliquez sur OK.

  7. Laissez le délai défini sur 7jours après l’approbation à 15:00.

  8. Dans la zone Étape3: Indiquez un nom, saisissez Windows10Upgrade Auto-approval for Ring3BroadIT, puis cliquez sur OK.

    Exemple d’interface utilisateur

  9. Dans la boîte de dialogue Approbations automatiques, cliquez sur OK.

    Notes

    WSUS ne respecte pas les paramètres de reportpar mois/semaine/jour existants. Cela dit, si vous utilisez WindowsUpdate for Business pour un ordinateur dontWSUS gère également les mises à jour, lorsque ce service approuve la mise à jour, elle est installée sur l’ordinateur, que vous ayez ou non configuré la stratégie de groupe pour qu’elle attende.

Désormais, chaque fois que les mises à jour de fonctionnalitésWindows10 sont publiées sur le serviceWSUS, ces mises à jour sont automatiquement approuvées pour l’anneau de déploiement Ring3BroadIT avec une échéance d’installation d’1semaine.

Avertissement

La règle d’approbation automatique s’exécute une fois la synchronisation effectuée. Cela signifie que la prochaine mise à niveau de chaque version de Windows 10 sera approuvée. Si vous sélectionnez exécuter la règle, toutes les mises à jour possibles correspondant au critère seront approuvées, en incluant éventuellement les mises à jour plus anciennes que vous ne souhaitez pas réellement vouloir, ce qui peut être un problème lorsque les tailles de téléchargement sont très importantes.

Approuver et déployer manuellement des mises à jour de fonctionnalités

Vous pouvez également approuver manuellement des mises à jour et définir des échéances pour l’installation au sein de la console d’administrationWSUS. Il peut être préférable d’approuver les règles de mise à jour manuellement après la mise à jour du déploiement pilote.

Pour simplifier le processus d’approbation manuelle, commencez par créer une vue des mises à jour de logiciels contenant uniquement les mises à jour Windows10.

Pour approuver et déployer manuellement des mises à jour de fonctionnalités

  1. Dans la console d’administrationWSUS, accédez à l’emplacementUpdate Services\Nom_serveur\Mises à jour. Dans le volet Action, cliquez sur Nouvelle vue de mise jour.

  2. Dans la boîte de dialogue Ajouter une vue de mise à jour, sélectionnez Les mises à jour se trouvent dans une classification précise et Les mises à jour concernent un produit précis.

  3. Sous Étape2: Modifiez les propriétés, cliquez sur n’importe quelle classification. Désactivez toutes les cases à cocher à l’exception de Mises à niveau, puis cliquez sur OK.

  4. Sous Étape2: Modifiez les propriétés, cliquez sur n’importe quel produit. Désactivez toutes les cases à cocher à l’exception de Windows10, puis cliquez sur OK.

    Windows10 apparaît sous Tous les produits\Microsoft\Windows.

  5. Dans la zone Étape3: Indiquez un nom, saisissez AllWindows10Upgrades, puis cliquez sur OK.

    Exemple d’interface utilisateur

À présent que vous disposez de l’affichage toutes les mises à jour de Windows 10 , suivez les étapes ci-dessous pour approuver manuellement une mise à jour de l’anneau de déploiement pour les utilisateurs larges de l’anneau 4 :

  1. Dans la console d’administrationWSUS, accédez à l’emplacementUpdate Services\Nom_serveur\Mises à jour\AllWindows10Upgrades.

  2. Cliquez avec le bouton droit sur la mise à jour de fonctionnalité à déployer, puis sélectionnez Approuver.

    Exemple d’interface utilisateur

  3. Dans la boîte de dialogue Approuver les mises à jour, dans la liste Ring4BroadBusinessUsers, sélectionnez Approuvée pour l’installation.

    Exemple d’interface utilisateur

  4. Dans la boîte de dialogue Approuver les mises à jour, dans la liste Ring4BroadBusinessUsers, cliquez sur Échéance, sélectionnez Une semaine, et cliquez sur OK.

    Exemple d’interface utilisateur

  5. Si la boîte de dialogue Termes du contrat de licence logicielMicrosoft s’ouvre, cliquez sur Accepter.

    Si le déploiement a abouti, vous recevez un rapport de progression signalant la réussite de l’opération.

    Exemple d’interface utilisateur

  6. Dans la boîte de dialogue Progression de l’approbation, cliquez sur Fermer.


Étapes à suivre pour gérer les mises à jour pour Windows10

terminé En savoir plus sur les mises à jour et les canaux de maintenance
terminé Préparer la stratégie de maintenance des mises à jour Windows10
terminé Créer des anneaux de déploiement pour les mises à jour Windows10
terminé Affecter des appareils aux canaux de maintenance pour les mises à jour Windows10
terminé Optimiser la distribution des mises à jour Windows10
terminé Déployer les mises à jour à l’aide de Windows Update for Business
ou Déployer les mises à jour Windows10 à l’aide de WindowsServer Update Services (présente rubrique)
ou Déployer les mises à jour Windows10 à l’aide de SystemCenterConfigurationManager

Rubriques associées