Gestione dispositivi mobili per aggiornamenti di dispositivi

Suggerimento

Se non si è uno sviluppatore o un amministratore, è possibile trovare informazioni più utili in Windows Update: domande frequenti.

Con PC, tablet, telefoni e dispositivi IoT, le soluzioni DIS (Mobile Device Management) stanno diventando sempre più diffuse come una tecnologia di gestione dei dispositivi leggera. In Windows stiamo investendo molto nell'estensione delle funzionalità di gestione disponibili per gli MDM. Una funzionalità chiave che stiamo aggiungendo è la possibilità per gli MDM di mantenere i dispositivi aggiornati con gli aggiornamenti Microsoft più recenti.

In particolare, Windows fornisce le API per abilitare gli MDM per:

  • Assicurarsi che i computer rimangano aggiornati configurando i criteri di aggiornamento automatico.
  • Testare gli aggiornamenti in un set di computer più piccolo configurando gli aggiornamenti approvati per un determinato dispositivo. Eseguire quindi un'implementazione a livello aziendale.
  • Ottenere lo stato di conformità dei dispositivi gestiti. L'IT può comprendere quali computer necessitano ancora di una patch di sicurezza o quanto sia corrente un determinato computer.
  • Configurare i criteri di aggiornamento automatico per garantire che i dispositivi rimangano aggiornati.
  • Ottenere le informazioni sulla conformità dei dispositivi (l'elenco degli aggiornamenti necessari ma non ancora installati).
  • Immettere un elenco di approvazione degli aggiornamenti per dispositivo. L'elenco assicura che i dispositivi installi solo gli aggiornamenti approvati e testati.
  • Approvare i contratti di licenza con l'utente finale (EULA) per l'utente finale in modo che la distribuzione degli aggiornamenti possa essere automatizzata anche per gli aggiornamenti con l’EULA.

Questo articolo fornisce ai fornitori di software indipendenti (ISV) le informazioni necessarie per implementare la gestione degli aggiornamenti in Windows. Per altre informazioni, vedere Policy CSP - Update.

Nota

Le API OMA DM per specificare le approvazioni degli aggiornamenti e ottenere lo stato di conformità fanno riferimento agli aggiornamenti usando un ID aggiornamento. L'ID aggiornamento è un GUID che identifica un determinato aggiornamento. MDM vuole visualizzare informazioni descrittive per l'IT sull'aggiornamento, anziché un GUID non elaborato, inclusi il titolo, la descrizione, la KNOWLEDGE e il tipo di aggiornamento dell'aggiornamento, ad esempio un aggiornamento della sicurezza o un Service Pack. Per altre informazioni, vedere [MS-WSUSSS]: Windows Update Services: Server-Server Protocol.

Il diagramma seguente offre una panoramica concettuale di come funziona:

gestione degli aggiornamenti dei dispositivi mobili.

Il diagramma può essere diviso approssimativamente in tre aree:

  • Il servizio gestione dispositivi sincronizza le informazioni di aggiornamento (titolo, descrizione, applicabilità) da Microsoft Update usando il protocollo di sincronizzazione Server-Server (inizio del diagramma).
  • Il servizio di gestione dei dispositivi imposta i criteri di aggiornamento automatico, ottiene le informazioni sulla conformità degli aggiornamenti e imposta le approvazioni tramite OMA DM (parte sinistra del diagramma).
  • Il dispositivo ottiene gli aggiornamenti da Microsoft Update utilizzando il protocollo client/server. Scarica e installa solo gli aggiornamenti applicabili al dispositivo e approvati dall'IT (parte destra del diagramma).

Recupero dei metadati di aggiornamento con il protocollo di sincronizzazione Server-Server

Il Microsoft Update Catalog contiene molti aggiornamenti che non sono necessari per i dispositivi gestiti da MDM. Include aggiornamenti per il software legacy, come gli aggiornamenti dei server, i sistemi operativi desktop di livello inferiore, le app legacy e un numero elevato di driver. È consigliabile che MDM utilizzi il protocollo Server-Server di sincronizzazione per ottenere i metadati di aggiornamento per gli aggiornamenti segnalati dal client.

Questa sezione descrive questa configurazione. Il diagramma seguente mostra il processo del protocollo di sincronizzazione server-server.

sincronizzazione server-server mdm.

MSDN offre molte informazioni sul protocollo di sincronizzazione Server-Server. In particolare:

  • Si tratta di un protocollo basato su SOAP ed è possibile ottenere il file WSDL nel Servizio Web sincronizzazione server. WsDL può essere usato per generare proxy di chiamata per molti ambienti di programmazione, per semplificare lo sviluppo.
  • Esempi di codice sono disponibili in Esempi di protocollo. Il codice di esempio mostra i comandi SOAP non elaborati, che possono essere usati. Anche se è ancora più semplice effettuare la chiamata da un linguaggio di programmazione come .NET (chiamando i proxy generati da WSDL). Lo stub generato da WSDL di Sincronizzazione server genera un URL di associazione non corretto. L'URL di binding deve essere impostato su https://fe2.update.microsoft.com/v6/ServerSyncWebService/serversyncwebservice.asmx.

Alcuni aspetti importanti da sottolineare:

  • Il protocollo prevede una fase di autorizzazione (chiamata di GetAuthConfig, GetAuthorizationCookie e GetCookie). In Esempi di protocollo, il codice dell’Esempio 1: autorizzazione mostra come viene eseguita l'autorizzazione. Anche se viene definita fase di autorizzazione, il protocollo è completamente aperto (non sono necessarie credenziali per eseguire questa fase del protocollo). Questa sequenza di chiamate deve essere eseguita per ottenere un cookie per la parte principale del protocollo di sincronizzazione. Come ottimizzazione, è possibile memorizzare nella cache il cookie e chiamare nuovamente questa sequenza solo se il cookie è scaduto.
  • Il protocollo consente alla soluzione MDM di sincronizzare i metadati di aggiornamento per un particolare aggiornamento chiamando GetUpdateData. Per altre informazioni, vedere GetUpdateData in MSDN. Il LocURI per ottenere gli aggiornamenti applicabili con i relativi numeri di revisione è <LocURI>./Vendor/MSFT/Update/InstallableUpdates?list=StructData</LocURI>. Poiché non tutti gli aggiornamenti sono disponibili tramite la sincronizzazione S2S, assicurarsi di risolvere gli errori SOAP.
  • Per i dispositivi mobili, è possibile sincronizzare i metadati per un determinato aggiornamento chiamando GetUpdateData. In alternativa, per una soluzione locale, è possibile usare Windows Server Update Services (WSUS) e importare manualmente gli aggiornamenti per dispositivi mobili dal sito Microsoft Update Catalog. Per altre informazioni, vedere Diagramma di flusso del processo e screenshot del processo di sincronizzazione del server.

Nota

Nel corso del tempo, Microsoft Update modifica i metadati per un determinato aggiornamento, ad esempio aggiornando le informazioni descrittive, correggendo i bug nelle regole di applicabilità, apportando modifiche alla localizzazione e così via. Ogni volta che si verifica una modifica che non influisce sull'aggiornamento stesso, viene creata una nuova revisione dell'aggiornamento. Composti UpdateID (GUID) e RevisionNumber (int) per includere una chiave di identità per una revisione dell'aggiornamento. MDM non presenta una revisione dell'aggiornamento all'IT. Invece, per ogni UpdateID (GUID) il MDM mantiene i metadati per la revisione successiva di tale aggiornamento, ovvero quello con il numero di revisione più alto.

Esempi di struttura XML dei metadati di aggiornamento e descrizioni degli elementi

La risposta della chiamata GetUpdateData restituisce una matrice di ServerSyncUpdateData che contiene i metadati di aggiornamento nell'elemento XmlUpdateBlob. Lo schema dell'aggiornamento XML è disponibile in Esempi di protocollo. Alcuni degli elementi chiave sono descritti di seguito:

  • UpdateID - Identificatore univoco per un aggiornamento
  • RevisionNumber : numero di revisione per l'aggiornamento nel caso in cui l'aggiornamento sia stato modificato.
  • CreationDate : data di creazione dell'aggiornamento.
  • UpdateType : tipo di aggiornamento, che può includere quanto segue:
    • Detectoid : se questa identità di aggiornamento rappresenta una logica di compatibilità
    • Category : questo elemento può rappresentare uno dei seguenti elementi:
      • Una categoria di prodotto a cui appartiene l'aggiornamento. Ad esempio, Windows, MS Office e così via.
      • La classificazione a cui appartiene l'aggiornamento. Ad esempio, driver, sicurezza e così via.
    • Software : se l'aggiornamento è un aggiornamento software.
    • Driver : se l'aggiornamento è un aggiornamento del driver.
  • LocalizedProperties : rappresenta la lingua in cui è disponibile l'aggiornamento, il titolo e la descrizione dell'aggiornamento. Sono disponibili i campi seguenti:
    • Language - Identificatore del codice della lingua (LCID). Ad esempio, en o es.
    • Titolo : titolo dell'aggiornamento. Ad esempio, "Windows SharePoint Services 3.0 Service Pack 3 x64 Edition (KB2526305)"
    • Descrizione : descrizione dell'aggiornamento. Ad esempio, "Windows SharePoint Services 3.0 Service Pack 3 (KB2526305) fornisce gli aggiornamenti più recenti per Windows SharePoint Services 3.0. Al termine dell'installazione potrebbe essere necessario riavviare il computer. Dopo aver installato questo elemento, non è possibile rimuoverlo."
  • KBArticleID : numero dell'articolo della Knowledge Base per questo aggiornamento che contiene informazioni dettagliate sull'aggiornamento specifico. Ad esempio: https://support.microsoft.com/kb/2902892.

Questa sezione descrive un possibile algoritmo per l'uso del protocollo di sincronizzazione server-server per inserire i metadati di aggiornamento nella soluzione MDM.

Prima di tutto alcune informazioni generali:

  • Se si ha una soluzione MDM multi-tenant, i metadati di aggiornamento possono essere conservati in una partizione condivisa, poiché è comune a tutti i tenant.
  • È quindi possibile implementare un servizio di sincronizzazione dei metadati. Il servizio chiama periodicamente la sincronizzazione server-server per eseguire il pull dei metadati per gli aggiornamenti a cui l'IT è interessato.
  • Il componente MDM che usa OMA DM per i dispositivi di controllo (descritto nella sezione successiva) deve inviare al servizio di sincronizzazione dei metadati l'elenco degli aggiornamenti necessari che riceve da ogni client, se questi aggiornamenti non sono già noti al dispositivo.

La procedura seguente descrive un algoritmo di base per un servizio di sincronizzazione dei metadati:

  1. Creare un elenco vuoto di "ID di aggiornamento necessari per l'errore". Questo elenco viene aggiornato dal componente del servizio MDM che usa OMA DM. È consigliabile non aggiungere aggiornamenti delle definizioni a questo elenco, poiché sono temporanei. Ad esempio, Defender può rilasciare nuovi aggiornamenti delle definizioni molte volte al giorno, ognuno dei quali è cumulativo.
  2. Sincronizzare periodicamente (è consigliabile una volta ogni due ore, ma non più di una volta all'ora).
    1. Implementare la fase di autorizzazione del protocollo per ottenere un cookie se non si dispone già di un cookie non scaduto. Vedere l' Esempio 1: Autorizzazione in Esempi di protocollo.
    2. Implementare la parte dei metadati del protocollo. Vedere Esempio 2: Sincronizzazione dei metadati e delle distribuzioni negli esempi di protocollo e chiamare GetUpdateData per tutti gli aggiornamenti nell'elenco "ID di aggiornamento necessari in cui eseguire l'errore" se i metadati di aggiornamento non sono già stati estratti nel database.
      • Se l'aggiornamento è una versione più recente di un aggiornamento esistente (lo stesso codice UpdateID, numero di revisione superiore), sostituire i metadati di aggiornamento precedenti con quelli nuovi.
      • Rimuovere gli aggiornamenti dall'elenco "ID di aggiornamento necessari per l'errore" dopo che sono stati inseriti.

Questi passaggi consentono di ottenere informazioni sul set di aggiornamenti Microsoft che l'IT deve gestire, in modo che le informazioni possano essere usate in vari scenari di gestione degli aggiornamenti. Ad esempio, in fase di approvazione degli aggiornamenti, è possibile ottenere informazioni in modo che l'IT possa vedere quali aggiornamenti sono in fase di approvazione. Oppure, per i report di conformità vedere quali aggiornamenti sono necessari ma non ancora installati.

Gestione degli aggiornamenti con OMA DM

Una soluzione MDM può gestire gli aggiornamenti con OMA DM. La documentazione su come usare e integrare una soluzione MDM con il protocollo OMA DM di Windows e su come registrare i dispositivi per la gestione MDM è disponibile nell'argomento Gestione di dispositivi mobili. Questa sezione illustra come estendere tale integrazione in modo da supportare la gestione degli aggiornamenti. Gli aspetti chiave della gestione degli aggiornamenti includono le informazioni seguenti:

  • Configurare i criteri di aggiornamento automatico per garantire che i dispositivi rimangano aggiornati.
  • Ottenere le informazioni sulla conformità dei dispositivi (l'elenco degli aggiornamenti necessari ma non ancora installati).
  • Specificare un elenco di approvazione degli aggiornamenti per dispositivo. L'elenco assicura che i dispositivi installi solo gli aggiornamenti approvati e testati.
  • Approvare gli EULA per l'utente finale in modo che la distribuzione degli aggiornamenti possa essere automatizzata, anche per gli aggiornamenti con EULA.

L'elenco seguente descrive un modello consigliato per l'applicazione degli aggiornamenti.

  1. Avere un Gruppo di test" e un "Gruppo tutti".
  2. Nel gruppo Test consentire il flusso di tutti gli aggiornamenti.
  3. In Tutti i gruppi impostare il differimento dell'aggiornamento qualità per sette giorni e quindi la Aggiornamenti qualità viene approvata automaticamente dopo sette giorni. I rinvii degli aggiornamenti qualitativi escludono la definizione Aggiornamenti, quindi le Aggiornamenti di definizione vengono approvate automaticamente quando sono disponibili. Trovare la corrispondenza tra la pianificazione per la definizione Aggiornamenti e la pianificazione del differimento degli aggiornamenti qualitativi impostando Update/DeferQualityUpdatesPeriodInDays su sette. Consentire il flusso degli aggiornamenti dopo sette giorni o sospendendo se si verificano problemi.

Aggiornamenti vengono configurati tramite il provider di servizi di configurazione dei criteri di aggiornamento.

Schermata dell'esperienza utente di gestione aggiornamenti

Gli screenshot seguenti della console di amministrazione mostrano l'elenco dei titoli di aggiornamento, lo stato di approvazione e altri campi dei metadati.

screenshot gestione aggiornamento mdm

screenshot metadati gestione aggiornamento mdm.

Esempio di SyncML

Impostare l'aggiornamento automatico su notifica e rinvia.

<SyncML xmlns="SYNCML:SYNCML1.1">
    <SyncBody>
        <Replace xmlns="">
            <CmdID>1</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/AllowUpdateService</LocURI>
                </Target>
                <Data>0</Data>
            </Item>
            <CmdID>2</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/RequireDeferUpgrade </LocURI>
                </Target>
                <Data>0</Data>
            </Item>
            <CmdID>3</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/RequireUpdateApproval </LocURI>
               </Target>
                <Data>0</Data>
            </Item>
        </Replace>
       <Final/>
    </SyncBody>
</SyncML>

Diagramma di flusso del processo e screenshot del processo di sincronizzazione del server

Il diagramma e gli screenshot seguenti mostrano il flusso del processo di aggiornamento del dispositivo usando Windows Server Update Services e Microsoft Update Catalog.

schermata 3 di gestione degli aggiornamenti dei dispositivi mdm.

schermata 4 di gestione degli aggiornamenti dei dispositivi mdm

schermata 5 di gestione degli aggiornamenti dei dispositivi mdm

schermata 6 di gestione degli aggiornamenti dei dispositivi mdm

schermata 7 di gestione degli aggiornamenti dei dispositivi mdm

schermata 8 di gestione degli aggiornamenti dei dispositivi mdm

schermata 9 di gestione degli aggiornamenti dei dispositivi mdm