Habilitar atualizações de terceiros

Aplica-se a: Gerenciador de Configurações (branch atual)

O nó Catálogos de Atualizações de Software de Terceiros no console Configuration Manager permite que você assine catálogos de terceiros, publique suas atualizações no SEU PONTO de atualização de software (SUP) e, em seguida, implante-as em clientes.

Observação

Na versão 2006 e anterior, Configuration Manager não habilita esse recurso por padrão. Antes de usá-lo, habilite o recurso opcional Habilitar o suporte de atualização de terceiros em clientes. Para obter mais informações, consulte Habilitar recursos opcionais das atualizações.

Pré-requisitos

• Espaço em disco suficiente no diretório do ponto de atualização de WSUSContent software de nível superior para armazenar o conteúdo binário de origem para atualizações de software de terceiros.
  • A quantidade de armazenamento necessário varia de acordo com o fornecedor, tipos de atualizações e atualizações específicas que você publica para implantação.
  • Se você precisar mover o WSUSContent diretório para outra unidade com mais espaço livre, confira como alterar o local em que o WSUS armazena atualizações de postagem de blog localmente .
• O serviço de sincronização de atualização de software de terceiros requer acesso à Internet.
  • Para a lista de catálogos de parceiros, é necessário download.microsoft.com pela porta HTTPS 443.
  • Acesso à Internet a catálogos de terceiros e arquivos de conteúdo de atualização. Podem ser necessárias portas adicionais que não sejam 443.
  • As atualizações de terceiros usam as mesmas configurações de proxy que o SUP.

Requisitos adicionais quando o SUP é remoto do servidor de site de nível superior

1. O SSL deve ser habilitado no SUP quando for remoto. Isso requer um certificado de autenticação de servidor gerado de uma autoridade de certificado interna ou por meio de um provedor público.

   • Configurar o SSL no WSUS
     • Ao configurar o SSL no WSUS, observe que alguns dos serviços Web e os diretórios virtuais são sempre HTTP e não HTTPS.
     • Configuration Manager baixa conteúdo de terceiros para pacotes de atualização de software do diretório de conteúdo do WSUS por HTTP.
   • Configurar o SSL no SUP

2. Ao definir a configuração de certificado de assinatura do WSUS de terceiros para Configuration Manager gerencia o certificado nas Propriedades do Componente do Ponto de Atualização de Software, as seguintes configurações são necessárias para permitir a criação do certificado de assinatura do WSUS autoassinado:

   • O registro remoto deve ser habilitado no servidor SUP.
   • A conta de conexão do servidor WSUS deve ter permissões de registro remoto no servidor SUP/WSUS.

3. Crie a seguinte chave de registro no servidor do site Configuration Manager:

   • HKLM\Software\Microsoft\Update Services\Server\Setup, crie um novo DWORD chamado EnableSelfSignedCertificates com um valor de 1.

4. Para habilitar a instalação do certificado de assinatura do WSUS autoassinado para os Editores Confiáveis e repositórios raiz confiáveis no servidor SUP remoto:

   • A conta de conexão do servidor WSUS deve ter permissões de administração remota no servidor SUP.

     Se esse item não for possível, exporte o certificado do repositório WSUS do computador local para os repositórios Trusted Publisher e Trusted Root.

Observação

A conta de conexão do servidor WSUS pode ser identificada exibindo a guia Configurações do Proxy e da Conta nas propriedades de função do Sistema de Site do SUP. Se uma conta não for especificada, a conta do computador do servidor do site será usada.

Habilitar atualizações de terceiros no SUP

Se você habilitar essa opção, poderá assinar catálogos de atualizações de terceiros no console Configuration Manager. Em seguida, você pode publicar essas atualizações no WSUS e implantá-las em clientes. As etapas a seguir devem ser executadas uma vez por hierarquia para habilitar e configurar o recurso para uso. As etapas podem precisar ser executadas novamente se você substituir o servidor WSUS do SUP de nível superior.

1. No console Configuration Manager, acesse o workspace Administração. Expanda Configuração do Site e selecione o nó Sites .

2. Selecione o site de nível superior na hierarquia. Na faixa de opções, selecione Configurar Componentes do Site e selecionePonto de Atualização de Software.

3. Alterne para a guia Atualizações de terceiros. Selecione a opção Habilitar atualizações de software de terceiros.

   

Configurar o certificado de assinatura do WSUS

Você precisará decidir se deseja Configuration Manager gerenciar automaticamente o certificado de assinatura WSUS de terceiros usando um certificado autoassinado ou se precisa configurar manualmente o certificado.

Gerenciar automaticamente o certificado de assinatura do WSUS

Se você não tiver um requisito para usar certificados PKI, poderá optar por gerenciar automaticamente os certificados de assinatura para atualizações de terceiros. O gerenciamento de certificado do WSUS é feito como parte do ciclo de sincronização e é registrado no wsyncmgr.log.

1. No console Configuration Manager, acesse o workspace Administração. Expanda Configuração do Site e selecione o nó Sites .
2. Selecione o site de nível superior na hierarquia. Na faixa de opções, selecione Configurar Componentes do Site e selecionePonto de Atualização de Software.
3. Alterne para a guia Atualizações de terceiros. Selecione a opção Configuration Manager gerencia o certificado.
4. Um novo certificado do tipo Assinatura WSUS de terceiros é criado no nó Certificados em Segurança no workspace Administração .

Gerenciar manualmente o certificado de assinatura do WSUS

Se você precisar configurar manualmente o certificado, como a necessidade de usar um certificado PKI, precisará usar o System Center Atualizações Publisher ou outra ferramenta para fazê-lo.

1. Configure o certificado de assinatura usando o System Center Atualizações Publisher.
2. No console Configuration Manager, acesse o workspace Administração. Expanda Configuração do Site e selecione o nó Sites .
3. Selecione o site de nível superior na hierarquia. Na faixa de opções, selecione Configurar Componentes do Site e selecionePonto de Atualização de Software.
4. Alterne para a guia Atualizações de terceiros. Selecione a opção para gerenciar manualmente o certificado.

Habilitar atualizações de terceiros nos clientes

Habilite atualizações de terceiros nos clientes nas configurações do cliente. A configuração define a política de agente Windows Update para Permitir atualizações assinadas para uma intranet Microsoft local do serviço de atualização. Essa configuração de cliente também instala o certificado de assinatura do WSUS no repositório Editor Confiável no cliente. O log de gerenciamento de certificados é visto nos updatesdeployment.log clientes. Execute estas etapas para cada configuração de cliente personalizada que você deseja usar para atualizações de terceiros. Para obter mais informações, consulte o artigo Sobre as configurações do cliente .

1. No console Configuration Manager, acesse o workspace Administração e selecione o nó Configurações do Cliente.
2. Selecione uma configuração de cliente personalizada existente ou crie uma nova.
3. Selecione a guia Software Atualizações no lado esquerdo. Se você não tiver essa guia, verifique se a caixa software Atualizações está habilitada.
4. Defina Habilitar atualizações de software de terceiros como Sim.

Adicionar um catálogo personalizado

Catálogos de parceiros são catálogos de fornecedores de software que têm suas informações já registradas com Microsoft. Com catálogos de parceiros, você pode assiná-los sem precisar especificar nenhuma informação adicional. Os catálogos que você adiciona são chamados de catálogos personalizados. Você pode adicionar um catálogo personalizado de um fornecedor de atualização de terceiros a Configuration Manager. Os catálogos personalizados devem usar https e as atualizações devem ser assinadas digitalmente.

1. Acesse o workspace biblioteca de software Atualizações, expanda atualizações de software e selecione o nó Catálogos de Atualizações de Software de Terceiros.

   

2. selecione Adicionar Catálogo Personalizado na faixa de opções.

   

3. Na página Geral , especifique os seguintes itens:

   • Baixar URL: um endereço HTTPS válido do catálogo personalizado.
   • Publicador: o nome da organização que publica o catálogo.
   • Nome: o nome do catálogo a ser exibido no console Configuration Manager.
   • Descrição: uma descrição do catálogo.
   • URL de suporte (opcional): um endereço HTTPS válido de um site para obter ajuda com o catálogo.
   • Contato de suporte (opcional): entre em contato com informações para obter ajuda com o catálogo.

4. Selecione Avançar para revisar o resumo do catálogo e continuar concluindo o Assistente de Catálogo Personalizado Atualizações software de terceiros.

Assinar um catálogo de terceiros e sincronizar atualizações

Quando você assina um catálogo de terceiros no console Configuration Manager, os metadados de cada atualização no catálogo são sincronizados com os servidores WSUS para seus SUPs. A sincronização dos metadados permite que os clientes determinem se alguma das atualizações é aplicável. Execute as seguintes etapas para cada catálogo de terceiros ao qual você deseja assinar:

1. No console Configuration Manager, acesse o workspace da Biblioteca de Software. Expanda Software Atualizações e selecione o nó Catálogos de Atualizações de Software de Terceiros.
2. Selecione o catálogo para assinar e selecione Assinar o Catálogo na faixa de opções.
3. Examine e aprove o certificado de catálogo na página Revisar e aprovar do assistente.

   Observação

   Quando você assina um catálogo de atualizações de software de terceiros, o certificado que você revisa e aprova no assistente é adicionado ao site. Esse certificado é do tipo Catálogo de Atualizações de Software de Terceiros. Você pode gerenciá-lo no nó Certificados em Segurança no workspace administração .

4. Se o catálogo de terceiros for v3, você receberá páginas para Selecionar Categorias e Conteúdo de Estágio. Para obter mais informações sobre como configurar essas opções, consulte a seção Opções de catálogo v3 de terceiros .
5. Escolha suas opções na página Agendar :
   • Agendamento simples: escolha o intervalo de hora, dia ou mês. O padrão é um agendamento simples que sincroniza a cada 7 dias.
   • Agendamento personalizado: defina uma agenda complexa.
6. Examine suas configurações na página Resumo e conclua o assistente.
7. Depois que o catálogo é baixado, os metadados do produto precisam ser sincronizados do banco de dados WSUS no banco de dados Configuration Manager. Inicie manualmente a sincronização de atualizações de software para sincronizar as informações do produto.
8. Depois que as informações do produto forem sincronizadas, configure o SUP para sincronizar o produto desejado em Configuration Manager.
9. Inicie manualmente a sincronização de atualizações de software para sincronizar as atualizações do novo produto em Configuration Manager.
10. Quando a sincronização for concluída, você poderá ver as atualizações de terceiros no nó Todos Atualizações. Essas atualizações são publicadas como atualizações somente de metadados até que você opte por publicá-las.
    • O ícone com a seta azul representa uma atualização de software somente metadados.

Publicar e implantar atualizações de software de terceiros

Depois que as atualizações de terceiros estiverem no nó Todos os Atualizações, você poderá escolher quais atualizações devem ser publicadas para implantação. Quando você publica uma atualização, os arquivos binários são baixados do fornecedor e colocados no WSUSContent diretório no SUP de nível superior.

1. No console Configuration Manager, acesse o workspace da Biblioteca de Software. Expanda Software Atualizações e selecione o nó Todos os Atualizações de Software.

2. Selecione Adicionar Critérios para filtrar a lista de atualizações. Por exemplo, adicione Fornecedor para HP. para exibir todas as atualizações do HP.

3. Selecione as atualizações necessárias pela sua organização. Selecione Publicar Conteúdo de Atualização de Software de Terceiros.

   • Essa ação baixa os binários de atualização do fornecedor e os armazena no WSUSContent diretório no ponto de atualização de software de nível superior.

4. Inicie manualmente a sincronização de atualizações de software para alterar o estado das atualizações publicadas somente de metadados para atualizações implantáveis com conteúdo.

   Observação

   Quando você publica conteúdo de atualização de software de terceiros, todos os certificados usados para assinar o conteúdo são adicionados ao site. Esses certificados são do tipo Conteúdo Atualizações de Software de Terceiros. Você pode gerenciá-los no nó Certificados em Segurança no workspace administração .

5. Examine o progresso no SMS_ISVUPDATES_SYNCAGENT.log. O log está localizado no ponto de atualização de software de nível superior na pasta Logs do sistema de sites.

6. Implante as atualizações usando o processo Implantar atualizações de software .

7. Na página Baixar Locais do Assistente de Implantação de Software Atualizações, selecione a opção padrão para Baixar atualizações de software na Internet. Nesse cenário, o conteúdo já é publicado no ponto de atualização de software, que é usado para baixar o conteúdo do pacote de implantação.

8. Os clientes precisarão executar uma verificação e avaliar atualizações antes que você possa ver os resultados da conformidade. Você pode disparar manualmente esse ciclo do painel de controle Configuration Manager em um cliente executando a ação Ciclo de Verificação Atualizações software.

Opções de catálogo v3 de terceiros

Os catálogos V3 permitem atualizações categorizadas. Ao usar catálogos que incluem atualizações categorizadas, você pode configurar a sincronização para incluir apenas categorias específicas de atualizações para evitar a sincronização de todo o catálogo. Com catálogos categorizados, quando estiver confiante de que implantará uma categoria, você pode configurá-la para baixar e publicar automaticamente no WSUS.

Importante

Essa opção só está disponível para catálogos de atualizações de terceiros v3, que dão suporte a categorias para atualizações. Essas opções estão desabilitadas para catálogos que não são publicados no formato v3.

1. No console Configuration Manager, acesse o workspace da Biblioteca de Software. Expanda Software Atualizações e selecione o nó Catálogos de Atualizações de Software de Terceiros.

2. Selecione o catálogo para assinar e selecione Assinar o Catálogo na faixa de opções.

3. Escolha suas opções na página Selecionar Categorias :

   • Sincronizar todas as categorias de atualização (padrão)

     • Sincroniza todas as atualizações no catálogo de atualizações de terceiros em Configuration Manager.

   • Selecionar categorias para sincronização

     • Escolha quais categorias e categorias filho sincronizar em Configuration Manager.

     

4. Escolha se deseja realizar o conteúdo de atualização para o catálogo. Quando você encena o conteúdo, todas as atualizações nas categorias selecionadas são baixadas automaticamente para o ponto de atualização de software de nível superior, o que significa que você não precisa garantir que elas já sejam baixadas antes da implantação. Você só deve encenar conteúdo automaticamente para atualizações que você provavelmente implantará para evitar requisitos excessivos de largura de banda e armazenamento.

   • Não faça o conteúdo do estágio, sincronize apenas para verificação (recomendado)
     • Não baixe nenhum conteúdo para atualizações no catálogo de terceiros
   • Encenar o conteúdo para categorias selecionadas automaticamente
     • Escolha as categorias de atualização que baixarão conteúdo automaticamente.
     • O conteúdo das atualizações em categorias selecionadas será baixado para o diretório de conteúdo WSUS do ponto de atualização de software de nível superior.

5. Defina sua Agenda para sincronização de catálogo e conclua o assistente.

Editar uma assinatura existente

Você pode editar uma assinatura existente selecionando Propriedades na faixa de opções ou no menu com o botão direito do mouse.

Importante

Algumas opções só estão disponíveis para catálogos de atualizações de terceiros v3, que dão suporte a categorias para atualizações. Essas opções estão desabilitadas para catálogos que não são publicados no formato v3.

1. No nó Catálogos de Atualizações de Software de Terceiros , clique com o botão direito do mouse no catálogo e selecione Propriedades ou selecione Propriedades na faixa de opções.

2. Você pode exibir as seguintes informações na guia Geral, mas não editar as informações.:

   Observação

   Se você precisar alterar qualquer uma das informações aqui, você precisará adicionar um novo catálogo personalizado.
   Desde que a URL de download não seja alterada, o catálogo existente deve ser removido antes que uma com a mesma URL de download possa ser adicionada.

   • Baixar URL: o endereço HTTPS do catálogo personalizado.
   • Publicador: o nome da organização que publica o catálogo.
   • Nome: o nome do catálogo a ser exibido no console Configuration Manager.
   • Descrição: uma descrição do catálogo.
   • URL de suporte: um endereço HTTPS válido de um site para obter ajuda com o catálogo.
   • Contato de suporte: entre em contato com informações para obter ajuda com o catálogo.

3. Escolha suas opções na guia Selecionar Categorias .

   • Sincronizar todas as categorias de atualização (padrão)
     • Sincroniza todas as atualizações no catálogo de atualizações de terceiros em Configuration Manager.
   • Selecionar categorias para sincronização
     • Escolha quais categorias e categorias filho sincronizar em Configuration Manager.

4. Escolha suas opções para a guia Conteúdo de atualização de estágio .

   • Não faça o conteúdo do estágio, sincronize apenas para verificação (recomendado)
     • Não baixe nenhum conteúdo para atualizações no catálogo de terceiros
   • Encenar o conteúdo para categorias selecionadas automaticamente
     • Escolha as categorias de atualização que baixarão conteúdo automaticamente.
     • O conteúdo das atualizações em categorias selecionadas será baixado para o diretório de conteúdo WSUS do ponto de atualização de software de nível superior.

5. Selecione com que frequência sincronizar o catálogo na guia Agendar .

   • Agendamento simples: escolha o intervalo de hora, dia ou mês.
   • Agendamento personalizado: defina uma agenda complexa.

Cancelar assinatura do catálogo e excluir catálogos personalizados

No nó Catálogos de Atualização de Software de Terceiros , clique com o botão direito do mouse no catálogo e selecione Cancelar assinatura para parar de sincronizar o catálogo.
Você também pode usar a opção Cancelar assinatura na faixa de opções. Quando você cancelar a assinatura de um catálogo, a aprovação para assinatura de catálogo e certificados de conteúdo de atualização são removidas. As atualizações existentes não são removidas, mas talvez você não possa implantá-las. Com catálogos personalizados, você também tem a opção de excluí-lo depois de cancelar a assinatura. Selecione Excluir Catálogo Personalizado na faixa de opções ou no menu com o botão direito do mouse para o catálogo. Excluir o catálogo personalizado o remove da exibição no nó Catálogos de Atualizações de Software de Terceiros .

Monitoramento do progresso das atualizações de software de terceiros

A sincronização de atualizações de software de terceiros é tratada pelo componente SMS_ISVUPDATES_SYNCAGENT no ponto de atualização de software padrão de nível superior. Você pode exibir mensagens de status deste componente ou ver o status mais detalhado no SMS_ISVUPDATES_SYNCAGENT.log. Esse log está no ponto de atualização de software de nível superior na pasta Logs do sistema de sites. Por padrão, esse caminho é C:\Arquivos de Programas\Microsoft Configuration Manager\Logs. Para obter mais informações sobre como monitorar o processo geral de gerenciamento de atualizações de software, consulte Monitorar atualizações de software.

Listar catálogos adicionais de atualizações de terceiros

Para ajudar você a encontrar catálogos personalizados que você pode importar para atualizações de software de terceiros, há uma página de documentação com links para provedores de catálogo. A partir de Configuration Manager 2107, você também pode escolher Mais Catálogos na faixa de opções no nó Catálogos de atualizações de software de terceiros. Clicar com o botão direito do mouse no nó Catálogos de Atualizações de Software de Terceiros exibe um item de menu Mais Catálogos . Selecionar Mais Catálogos abre um link para uma página de documentação que contém uma lista de provedores adicionais de catálogo de atualizações de software de terceiros.

Problemas conhecidos

• O computador em que o console está em execução é usado para baixar as atualizações do WSUS e adicioná-lo ao pacote de atualizações. O certificado de assinatura do WSUS deve ser confiável no computador de console. Se não for, você poderá ver problemas com a verificação de assinatura durante o download de atualizações de terceiros.
• O serviço de sincronização de atualização de software de terceiros não pode publicar conteúdo para atualizações somente metadados que foram adicionadas ao WSUS por outro aplicativo, ferramenta ou script, como SCUP. A ação Publicar conteúdo de atualização de software de terceiros falha nessas atualizações. Se você precisar implantar atualizações de terceiros que esse recurso ainda não dá suporte, use o processo existente na íntegra para implantar essas atualizações.
• Configuration Manager tem uma nova versão para o formato de arquivo de táxi do catálogo. A nova versão inclui os certificados para os arquivos binários do fornecedor. Esses certificados são adicionados ao nó Certificados em Segurança no workspace administração depois que você aprova e confia no catálogo.
  • Você ainda pode usar a versão mais antiga do arquivo de táxi do catálogo desde que a URL de download seja https e as atualizações sejam assinadas. O conteúdo não será publicado porque os certificados dos binários não estão no arquivo de táxi e já foram aprovados. Você pode contornar esse problema encontrando o certificado no nó Certificados , desbloqueando-o e publicando a atualização novamente. Se você estiver publicando várias atualizações assinadas com certificados diferentes, precisará desbloquear cada certificado usado.
  • Para obter mais informações, confira mensagens de status 11523 e 11524 na tabela de mensagens de status abaixo.
• Quando o serviço de sincronização de atualização de software de terceiros no ponto de atualização de software de nível superior requer um servidor proxy para acesso à Internet, as verificações de assinatura digital podem falhar. Para atenuar esse problema, configure as configurações de proxy WinHTTP no sistema de sites. Para obter mais informações, confira Comandos netsh para WinHTTP.
• Ao usar um CMG para armazenamento de conteúdo, o conteúdo para atualizações de terceiros não será baixado para clientes se o conteúdo delta baixar quando a configuração do cliente disponível estiver habilitada.
• Se o provedor de catálogo tiver alterado o certificado de assinatura do catálogo desde que você o aprovou ou assinou pela última vez, a sincronização do catálogo falhará até que a certificação seja aprovada no nó Certificados . Para obter mais informações, consulte MessageID 11508 na tabela mensagens de status .

Mensagens de status

MessageID	Severity	Descrição	Causa possível	Possível solução
11508	Error	Falha ao verificar a assinatura do nome> do catálogo do catálogo <no WSUS. Verifique se o catálogo está inscrito e o certificado> de certificado <de catálogo não está bloqueado. Confira SMS_ISVUPDATES_SYNCAGENT.log mais detalhes.	A certificação de assinatura no catálogo pode ter sido alterada desde que foi originalmente subscrita ou aprovada pela última vez.	Verifique e aprove o certificado no nó Certificados para permitir que o catálogo seja sincronizado.
11516	Error	Falha ao publicar conteúdo para atualizar a "ID de atualização" porque o conteúdo não está assinado. Somente conteúdo com assinaturas válidas pode ser publicado.	Configuration Manager não permite que atualizações não assinadas sejam publicadas.	Publique a atualização de forma alternativa. Confira se uma atualização assinada está disponível no fornecedor.
11523	Aviso	O catálogo "X" não inclui certificados de assinatura de conteúdo, as tentativas de publicar conteúdo de atualização para atualizações deste catálogo podem não ter êxito até que os certificados de assinatura de conteúdo sejam adicionados e aprovados.	Essa mensagem pode ocorrer quando você importa um catálogo que está usando uma versão mais antiga do formato de arquivo de táxi.	Entre em contato com o provedor de catálogo para obter um catálogo atualizado que inclua os certificados de assinatura de conteúdo. Os certificados para os binários não estão incluídos no arquivo de táxi para que o conteúdo não seja publicado. Você pode contornar esse problema encontrando o certificado no nó Certificados , desbloqueando-o e publicando a atualização novamente. Se você estiver publicando várias atualizações assinadas com certificados diferentes, precisará desbloquear cada certificado usado.
11524	Error	Falha ao publicar a atualização "ID" devido a metadados de atualização ausentes.	A atualização pode ter sido sincronizada com o WSUS fora do Configuration Manager.	Sincronize a atualização com Configuration Manager antes de tentar publicá-la. Se uma ferramenta externa foi usada para publicar a atualização apenas como Metadados, use a mesma ferramenta para publicar o conteúdo de atualização.

Trabalhando com vídeo de atualizações de terceiros

PowerShell

Você pode usar os seguintes cmdlets do PowerShell para automatizar o gerenciamento de atualizações de terceiros no Configuration Manager:

• Get-CMThirdPartyUpdateCatalog
• New-CMThirdPartyUpdateCatalog
• Remove-CMThirdPartyUpdateCatalog
• Set-CMThirdPartyUpdateCatalog
• Publish-CMThirdPartySoftwareUpdateContent
• Get-CMThirdPartyUpdateCategory
• Set-CMThirdPartyUpdateCategory

Próxima etapa

Implantar atualizações de software