Comentários

Serviço de implantação do Windows Update para Empresas

  • Artigo
  • 4 minutos para ler

Aplica-se a

  • Windows 10
  • Windows 11

O Windows Update de implantação para Empresas é um serviço de nuvem dentro da família de produtos Windows Update para Empresas. Ele fornece controle sobre a aprovação, o agendamento e a proteção de atualizações entregues do Windows Update. Ele foi projetado para funcionar em harmonia com suas políticas existentes do Windows Update for Business.

O serviço de implantação foi projetado para profissionais de TI que estão procurando mais controle do que é fornecido por meio de políticas de adiamento e anéis de implantação. Ele fornece as seguintes habilidades:

  • Você pode agendar a implantação de atualizações para iniciar em uma data específica (por exemplo, implantar 20H2 em dispositivos especificados em 14 de março de 2021).
  • Você pode preparar implantações durante um período de dias ou semanas usando expressões avançadas (por exemplo, implantar 20H2 a 500 dispositivos por dia, começando em 14 de março de 2021).
  • Você pode ignorar as políticas de Windows Update para Empresas para implantar imediatamente uma atualização de segurança em sua organização quando surgirem emergências.
  • Você pode se beneficiar de implantações com piloto automático personalizado para sua população de dispositivos exclusiva para garantir a cobertura de hardware e software em sua organização.
  • Você pode usar proteções contra problemas de atualização prováveis que foram identificados por algoritmos de machine learning da Microsoft e manter automaticamente a implantação para todos os dispositivos afetados.

O serviço tem como foco a privacidade e o suporte das principais certificações de conformidade do setor.

Como funciona

O serviço de implantação complementa os recursos Windows Update para Empresas, incluindo políticas de dispositivo existentes e Conformidade de Atualizações.

Elementos no texto a seguir.

Windows Update for Business compreende três elementos:

  • Política de cliente para controlar experiências de atualização e tempo – disponível por meio de Política de Grupo e CSPs
  • APIs de serviço de implantação para aprovar e agendar atualizações específicas – disponíveis por meio do Microsoft Graph e SDKs associados (incluindo o PowerShell)
  • Atualizar a Conformidade para monitorar a implantação de atualização – disponível por meio do Azure Marketplace

Ao contrário da política de cliente existente, o serviço de implantação não interage diretamente com dispositivos. O serviço é nativo da nuvem e todas as operações ocorrem entre vários serviços Microsoft. Ele cria um canal de comunicação direta entre uma ferramenta de gerenciamento (incluindo ferramentas de script, como Windows PowerShell) e o serviço Windows Update para que a aprovação e a oferta de conteúdo possam ser controladas diretamente por um Pro de TI.

Processo descrito no texto a seguir.

O uso do serviço de implantação normalmente segue um padrão comum:

  1. O Pro de TI usa uma ferramenta de gerenciamento para selecionar dispositivos e aprovar o conteúdo a ser implantado. Essa ferramenta pode ser o PowerShell, um aplicativo microsoft Graph ou uma solução de gerenciamento mais completa, como Microsoft Endpoint Manager.
  2. A ferramenta escolhida transmite suas informações de aprovação, agendamento e seleção de dispositivo para o serviço de implantação.
  3. O serviço de implantação processa a aprovação de conteúdo e o compara com o conteúdo aprovado anteriormente. A aplicabilidade da atualização final é determinada e transmitida ao Windows Update, que, em seguida, oferece conteúdo aprovado aos dispositivos na próxima verificação de atualizações.

O serviço de implantação expõe esses recursos por meio das APIs REST do Microsoft Graph. Você pode chamar as APIs diretamente, por meio de Graph SDK, ou integrá-las a uma ferramenta de gerenciamento, como Microsoft Endpoint Manager.

Pré-requisitos

Para trabalhar com o serviço de implantação, os dispositivos devem atender a todos estes requisitos:

  • Estar executando Windows 10, versão 1709 ou posterior (ou Windows 11)
  • Ingressar no Azure Active Directory (AD) ou no AD Híbrido
  • Tenha uma das seguintes Windows 10 ou Windows 11 edições instaladas:
    • Pro
    • Enterprise
    • Education
    • Pro Education
    • Pro for Workstations

Além disso, sua organização deve ter uma das seguintes assinaturas:

  • Windows 10/11 Enterprise E3 ou E5 (incluído no Microsoft 365 F3, E3 ou E5)
  • Windows 10/11 Education A3 ou A5 (incluído no Microsoft 365 A3 ou A5)
  • Windows E3 ou E5 da Área de Trabalho Virtual
  • Microsoft 365 Business Premium

Começando

Para usar o serviço de implantação, use uma ferramenta de gerenciamento criada na plataforma, crie scripts de ações comuns usando o PowerShell ou crie seu próprio aplicativo.

Usando Microsoft Endpoint Manager

Microsoft Endpoint Manager integra-se ao serviço de implantação para fornecer Windows de gerenciamento de atualizações do cliente. Para obter mais informações, consulte Atualizações de recursos para Windows 10 e política posterior no Intune.

Script de ações comuns usando o PowerShell

O Microsoft Graph SDK inclui uma extensão do PowerShell que você pode usar para gerar scripts e automatizar ações comuns de atualização. Para obter mais informações, Introdução com o SDK do PowerShell do Microsoft Graph.

Criando seu próprio aplicativo

O Microsoft Graph disponibiliza APIs de serviço de implantação por meio de. Introdução com estes roteiros de aprendizagem:

Quando estiver familiarizado com o desenvolvimento do Microsoft Graph, confira Windows visão geral da API de atualizações no Microsoft Graph para obter mais informações.

Proteções de implantação

O serviço de implantação protege as implantações por meio de uma combinação de controles de distribuição e algoritmos de aprendizado de máquina que monitoram implantações e reagem a problemas durante a distribuição.

Agendar implantações com piloto automático

O serviço de implantação permite que qualquer atualização seja implantada em um período de dias ou semanas. Depois que uma atualização é agendada, o serviço de implantação otimiza a implantação com base nos parâmetros de agendamento e atributos exclusivos que abrangem os dispositivos que estão sendo atualizados. O serviço segue estas etapas:

  1. Determine o número de dispositivos a serem atualizados em cada onda de implantação, com base nos parâmetros de agendamento.
  2. Selecione dispositivos para cada onda de implantação para que as ondas anteriores tenham uma diversidade de hardware e software para funcionar como populações de dispositivo piloto.
  3. Comece a implantar em ondas anteriores para criar a cobertura de atributos de dispositivo presentes na população.
  4. Continue implantando a uma taxa uniforme até que todas as ondas sejam concluídas e todos os dispositivos sejam atualizados.

Essa funcionalidade de piloto interna complementa sua estrutura de anéis existente e fornece outro suporte para reduzir e gerenciar o risco durante uma atualização. Ao contrário de ferramentas como Análise de Área de Trabalho, essa funcionalidade destina-se a operar dentro de cada anel. O serviço de implantação não fornece um fluxo de trabalho para a criação de anéis por conta própria.

Você deve continuar a usar anéis de implantação como parte da estratégia de manutenção para sua organização, mas use distribuições graduales para adicionar conveniência de agendamento e proteções adicionais em cada anel.

Retenções de proteção contra problemas prováveis e conhecidos

A Microsoft usa retenções de proteção para proteger os dispositivos contra problemas conhecidos de qualidade ou compatibilidade, impedindo-os de instalar a atualização ou a atualização. Para implantações do Windows 11, o serviço de implantação estende essas retenções de proteção para também proteger dispositivos que a Microsoft identifica como tendo um risco maior de problemas após uma atualização (como reversões do sistema operacional, falhas de aplicativo ou problemas gráficos). O serviço mantém temporariamente a implantação para esses dispositivos enquanto a Microsoft investiga o problema provável. As retenções de proteção se aplicam às implantações por padrão, mas você pode recusar.

Para verificar se um dispositivo é afetado por uma retenção de proteção, consulte Sou afetado por uma retenção de proteção?

Monitoramento de implantações para detectar problemas de reversão

Durante implantações de atualizações de recursos Windows 11 ou Windows 10, às vezes, as combinações de driver podem resultar em uma falha inesperada de atualização que faz com que o dispositivo seja revertido para a versão do sistema operacional instalada anteriormente. O serviço de implantação pode monitorar esses problemas nos dispositivos e pausar automaticamente as implantações quando isso acontecer, dando tempo para detectar e atenuar problemas.

Como habilitar proteções de implantação

Os controles de agendamento de implantação estão sempre disponíveis, mas para aproveitar as proteções de implantação exclusivas adaptadas à sua população, os dispositivos devem compartilhar dados de diagnóstico com a Microsoft.

Pré-requisitos do dispositivo

  • Os dados de diagnóstico são definidos como Obrigatório ou Opcional.
  • A política AllowWUfBCloudProcessing está definida como 8.

Definir a política AllowWUfBCloudProcessing

Para registrar dispositivos no processamento de nuvem do Windows Update for Business, defina a política AllowWUfBCloudProcessing usando a política de MDM (gerenciamento de dispositivo móvel) ou Política de Grupo.

Política Define a chave do Registro em HKLM\Software
GPO para Windows 10, versão 1809 ou posterior: Modelos Administrativos > configuração do computador > Windows componentes > coleta de dados e builds de visualização > permitir processamento em nuvem WUfB \Policies\Microsoft\Windows\DataCollection\AllowWUfBCloudProcessing
MDM para Windows 10, versão 1809 ou posterior: .. /Vendor/MSFT/ Policy/Config/System/AllowWUfbCloudProcessing \Microsoft\PolicyManager\current\device\System\AllowWUfBCloudProcessing

A seguir está um exemplo de como definir a política usando Microsoft Endpoint Manager:

  1. Entre no Centro de administração do Microsoft Endpoint Manager.

  2. Selecione Perfis de > Configuração de Dispositivos > Criar perfil.

  3. Selecione Windows 10 e posterior na Plataforma, selecione Modelos no tipo **** de perfil, selecione Personalizar no nome do modelo e, em seguida, selecione Criar.

  4. Em Noções básicas, insira um nome significativo e uma descrição para a política e selecione Avançar.

  5. Em Definições de configuração, selecione Adicionar, insira as configurações a seguir , selecione Salvar e, em seguida, selecione Avançar.

    • Nome: AllowWUfBCloudProcessing
    • Descrição: insira uma descrição.
    • OMA-URI: ./Vendor/MSFT/Policy/Config/System/AllowWUfBCloudProcessing
    • Tipo de dados: Inteiro
    • Valor: 8

  6. Em Atribuições, selecione os grupos que receberão o perfil e, em seguida, selecione Avançar.

  7. Em Examinar + criar, examine suas configurações e selecione Criar.

  8. (Opcional) Para verificar se a política atingiu o cliente, verifique o valor da seguinte entrada do Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\System\AllowWUfBCloudProcessing

Práticas recomendadas

Siga estas sugestões para obter os melhores resultados com o serviço.

Integração de dispositivos

  • Aguarde até que os dispositivos concluam o provisionamento antes de gerenciar com o serviço. Se um dispositivo estiver sendo provisionado pelo Autopilot, ele só poderá ser gerenciado pelo serviço de implantação depois de concluir o provisionamento (normalmente um dia).

  • Use o serviço de implantação para o gerenciamento de atualização de recursos sem a política de adiamento de atualização de recursos. Se você quiser usar o serviço de implantação para gerenciar atualizações de recursos em um dispositivo que usou anteriormente uma política de adiamento de atualização de recursos, é melhor definir a política de adiamento de atualização de recursos como 0 dias para evitar ter várias condições que regem as atualizações de recursos. Você só deve alterar o valor da política de adiamento de atualização de recursos para 0 dias depois de confirmar que o dispositivo foi registrado no serviço sem erros.

Geral

Evite usar canais diferentes para gerenciar os mesmos recursos. Se você usar o Microsoft Endpoint Manager juntamente com as APIs do Microsoft Graph ou o PowerShell, aspectos dos recursos (como dispositivos, implantações, grupos de ativos atualizáveis) poderão ser substituídos se você usar ambos os canais para gerenciar os mesmos recursos. Em vez disso, gerencie apenas cada recurso por meio do canal que o criou.

Próximas etapas

Para saber mais sobre o serviço de implantação, tente o seguinte: