Políticas para conformidade de atualizações, atividade e experiência do utilizador

Manter os dispositivos atualizados é a melhor forma de os manter a funcionar sem problemas e de forma segura.

Prazos para a conformidade de atualizações

Pode controlar a forma estrita como os dispositivos têm de cumprir de forma fiável a agenda de atualização pretendida através de políticas de prazo de atualização. Os componentes do Windows adaptam-se com base nestes prazos. Além disso, podem fazer compromissos entre a experiência do utilizador e a velocidade para cumprir os prazos de atualização pretendidos. Por exemplo, podem priorizar a experiência do utilizador muito antes da aproximação do prazo e, em seguida, priorizar a velocidade à medida que o prazo se aproxima, ao mesmo tempo que dá algum controlo ao utilizador.

Prazos

A partir de Windows 10, versão 1903 e com a atualização de segurança de agosto de 2019 para Windows 10, versão 1709 e posterior (incluindo Windows 11), foi introduzida uma nova política para substituir políticas semelhantes a prazos mais antigas: Especificar prazos para atualizações e reinícios automáticos.

As políticas mais antigas começaram a impor prazos assim que o dispositivo atingiu o restart pending estado de uma atualização. A nova política inicia a contagem decrescente para o prazo de instalação da atualização a partir do momento em que a atualização é publicada e qualquer diferimento. Além disso, esta política inclui um período de tolerância configurável e a opção para optar ativamente por não reiniciar os reinícios automáticos até atingir o prazo (embora recomendemos permitir sempre reinícios automáticos para a velocidade máxima da atualização).

Recomendamos que defina prazos da seguinte forma:

  • Prazo de atualização de qualidade, em dias: 2
  • Prazo de atualização de funcionalidades, em dias: 2

As notificações são apresentadas automaticamente ao utilizador em momentos adequados e os utilizadores podem optar por ser lembrados mais tarde, reagendar ou reiniciar imediatamente, dependendo da proximidade do prazo. Recomendamos que não defina políticas de notificação, uma vez que são configuradas automaticamente com predefinições adequadas. Uma exceção é se tiver quiosques ou sinalização digital.

Embora três dias para atualizações de qualidade e sete dias para atualizações de funcionalidades seja a nossa recomendação, pode decidir que pretende mais ou menos, dependendo da sua organização e dos respetivos requisitos, e esta política é configurável até um mínimo de dois dias.

Importante

Se o dispositivo não conseguir aceder à Internet, não poderá determinar quando a Microsoft publicou a atualização, pelo que não poderá impor o prazo. Saiba mais sobre os dispositivos de baixa atividade.

Períodos de tolerância

Pode definir um período de dias para que o Windows encontre um tempo de reinício automático minimamente disruptivo antes de o reinício ser imposto. Isto é especialmente útil nos casos em que um utilizador esteve ausente durante muitos dias (por exemplo, em férias) para que o dispositivo não seja forçado a atualizar imediatamente quando o utilizador regressar.

Recomendamos que defina o seguinte:

  • Período de tolerância, em dias: 5

Após o prazo e o período de tolerância terem passado, as atualizações são aplicadas automaticamente e ocorre um reinício independentemente das horas de atividade.

Permitir que o Windows escolha quando reiniciar

O Windows pode utilizar interações do utilizador para identificar dinamicamente o tempo menos disruptivo para um reinício automático. Para tirar partido desta funcionalidade, certifique-se de que ConfigureDeadlineNoAutoReboot está definido como Desativado.

Políticas de atividade do dispositivo

Normalmente, o Windows requer que um dispositivo esteja ativo e ligado à Internet durante, pelo menos, seis horas, com pelo menos duas atividades contínuas, para concluir com êxito uma atualização do sistema. O dispositivo pode ter outras circunstâncias físicas que impeçam a instalação bem-sucedida de uma atualização, por exemplo, se um portátil estiver com pouca energia da bateria ou se o utilizador tiver encerrado o dispositivo antes do fim das horas de atividade e o dispositivo não conseguir cumprir o prazo.

Pode utilizar as definições nesta secção para garantir que os dispositivos estão disponíveis para instalar atualizações durante o período de conformidade da atualização.

Horas de atividade

As "horas de atividade" identificam o período de tempo em que se espera que um dispositivo esteja a ser utilizado. Normalmente, os reinícios ocorrem fora destas horas. Windows 10, a versão 1903 introduziu "horas de atividade inteligentes", que permitem ao sistema aprender horas de atividade com base nas atividades de um utilizador, em vez de o utilizador, enquanto administrador, ter de tomar decisões para a sua organização ou permitir que o utilizador escolha horas de atividade que minimizem o período em que o sistema pode instalar uma atualização.

Importante

Se utilizou a definição Configurar Horas de Atividade em versões anteriores do Windows 10, estas opções têm de ser Desativadas para tirar partido das horas de atividade inteligentes.

Se definir as horas de atividade, recomendamos que defina as seguintes políticas para Desativado para aumentar a velocidade de atualização:

  • Atrasar o reinício automático. Embora seja possível definir o sistema para atrasar os reinícios para os utilizadores com sessão iniciada, esta definição poderá atrasar uma atualização indefinidamente se um utilizador tiver sempre sessão iniciada ou encerrado. Em vez disso, recomendamos que defina as seguintes políticas como Desativados:

    • Desativar o reinício automático durante as horas de atividade

    • Sem reinício automático com utilizadores com sessão iniciada para atualizações automáticas agendadas

    • Limite os atrasos de reinício. Ao utilizar prazos de conformidade, os seus utilizadores recebem notificações de que irão ocorrer atualizações, pelo que recomendamos que defina esta política como Desativada, para permitir prazos de conformidade para eliminar a capacidade do utilizador de adiar um reinício fora das definições de prazo de conformidade.

  • Não permita que os utilizadores aprovem atualizações e reinícios. Permitir que os utilizadores aprovem ou interajam com o processo de atualização fora das políticas de prazo diminui a velocidade da atualização e aumenta o risco. Estas políticas devem ser definidas como Desativadas:

  • Configurar a atualização automática. Ao definir corretamente políticas para configurar as atualizações automáticas, pode aumentar a velocidade de atualização ao fazer com que os clientes contactem um servidor de Windows Server Update Services (WSUS) para que possam geri-las. Recomendamos que defina esta política como Desativada. No entanto, se precisar de fornecer valores, certifique-se de que define as transferências para serem instaladas automaticamente ao definir o Política de Grupo como 4. Se estiver a utilizar Microsoft Intune, defina o valor como Repor para Predefinição.

  • Permitir a transferência automática de Windows Update através de redes com tráfego limitado. Uma vez que mais dispositivos utilizam principalmente dados via rede móvel e não têm acesso wi-fi, considere permitir que os utilizadores transfiram automaticamente atualizações a partir de uma rede com tráfego limitado. Embora a predefinição não permita a transferência através de uma rede com tráfego limitado, definir este valor como 1 pode aumentar a velocidade ao permitir que os utilizadores obtenham atualizações quer estejam ou não ligadas à Internet, desde que tenham serviço de rede móvel.

Importante

As versões mais antigas do Windows não suportam horas de atividade inteligentes. Se o seu dispositivo executar uma versão do Windows antes de Windows 10, versão 1903, recomendamos que defina as seguintes políticas:

  • Configurar horas de atividade. A partir do Windows 10, versão 1703, pode especificar um intervalo máximo de horas ativas, que é contado a partir da hora de início das horas de atividade. Recomendamos que defina este valor como 10.
  • Agendar a instalação da atualização. Nas definições Configurar a Atualizações Automática, existem duas formas de controlar um reinício forçado após uma hora de instalação especificada. Se utilizar a instalação da atualização agendada, não ative ambas as definições, uma vez que provavelmente entrarão em conflito.
    • Especifique o tempo de manutenção automática. Esta definição permite-lhe definir janelas de manutenção mais amplas para atualizações e garante que esta agenda não entra em conflito com as horas de atividade. Recomendamos que defina este valor como 3 (correspondente a 3 DA MANHÃ). Se as 3:00 estiverem a meio do turno de trabalho, escolha outra hora que seja, pelo menos, algumas horas antes do início da hora de trabalho agendada.
    • Agende a hora de instalação. Esta definição permite-lhe agendar uma hora de instalação para um reinício. Não recomendamos que defina esta opção como Desativado, uma vez que pode entrar em conflito com as horas de atividade.

Políticas de energia

Os dispositivos têm de estar realmente disponíveis durante horas não ativas para uma atualização. Não podem fazê-lo se as políticas de energia os impedirem de acordar. Na nossa organização, esforçamo-nos por estabelecer um equilíbrio entre as configurações de segurança e eco-friendly. Recomendamos as seguintes definições para alcançar o que consideramos serem as vantagens adequadas:

Para um utilizador, um dispositivo está ativado ou desativado, mas para o Windows, existem estados que permitem a ocorrência de uma atualização (ativa) e estados que não o fazem (inativos). Alguns estados são considerados ativos (suspensão), mas o utilizador pode pensar que o dispositivo está desligado. Além disso, existem estados de energia (ligados à corrente/bateria) que o Windows verifica antes de iniciar uma atualização.

Pode substituir as predefinições e impedir que os utilizadores as alterem para garantir que os dispositivos estão disponíveis para atualizações durante horas não ativas.

Observação

Uma forma de garantir que os dispositivos podem instalar atualizações quando precisar deles é informar os seus utilizadores para que mantenham os dispositivos ligados durante horas não ativas. Mesmo com as melhores políticas, um dispositivo que não esteja ligado à corrente não será atualizado, mesmo no modo de suspensão.

Recomendamos estas definições de gestão de energia:

  • Modo de suspensão (S1 ou S0 Baixa Potência Inativa ou Modo de Espera Moderno). Quando um dispositivo está no modo de suspensão, o sistema parece estar desligado, mas se estiver disponível uma atualização, pode reativar o dispositivo para efetuar uma atualização. O consumo de energia no modo de suspensão é entre funcionar (sistema totalmente utilizável) e hibernar (S4 – nível de energia mais baixo antes do encerramento). Quando um dispositivo não está a ser utilizado, o sistema geralmente muda para o modo de suspensão antes de entrar em hibernação. Os problemas de velocidade surgem quando o tempo entre o modo de suspensão e a hibernação é demasiado curto e o Windows não tem tempo para concluir uma atualização. O modo de suspensão é uma definição importante porque o sistema pode reativar o sistema do modo de suspensão para iniciar o processo de atualização, desde que exista energia suficiente.

Defina as seguintes políticas como Ativar ou Não Configurar para permitir que o dispositivo utilize o modo de suspensão:

Defina as seguintes políticas como 1 (Suspensão) para que, quando um utilizador fechar a tampa de um dispositivo, o sistema aceda ao modo de suspensão e o dispositivo tenha a oportunidade de efetuar uma atualização:

  • Ligar/SelecionarLidCloseActionOnBattery

  • Ligar/SelecionarLidCloseActionPluggedIn

  • Hibernar. Quando um dispositivo está em hibernação, o consumo de energia é baixo e o sistema não consegue reativar sem a intervenção do utilizador, como premir o botão para ligar/desligar. Se um dispositivo estiver neste estado, não poderá ser atualizado, a menos que suporte um Dispositivo ACPI de Tempo e Alarme (TAD). Dito isto, se um dispositivo que suporte a Suspensão Tradicional (S3) estiver ligado à corrente e estiver disponível uma atualização do Windows, o estado de hibernação será adiado até a atualização estar concluída.

Observação

Isto não se aplica a dispositivos que suportam o Modo de Espera Moderno (S0 Inativa de Baixa Potência). Pode marcar o estado de suspensão do sistema (S3 ou S0 Inativo de Baixa Energia) suportado por um dispositivo ao executar powercfg /a numa linha de comandos. Para obter mais informações, veja Opções do Powercfg.

O tempo limite predefinido nos dispositivos que suportam o modo de suspensão tradicional está definido para três horas. Recomendamos que não reduza estas políticas para permitir Windows Update a oportunidade de reiniciar o dispositivo antes de o enviar para hibernação:

Políticas antigas ou em conflito

Cada versão do cliente Windows pode introduzir novas políticas para melhorar a experiência tanto para os administradores como para as respetivas organizações. Quando lançamos uma nova política de cliente, lançá-la-emos apenas para essa versão e posterior ou criamos backportar a política para a disponibilizar em versões anteriores.

Importante

Se estiver a utilizar Política de Grupo, tenha em atenção que não atualizamos os modelos antigos do ADMX e tem de utilizar o modelo ADMX mais recente (1903) para utilizar a política mais recente. Além disso, se estiver a utilizar uma ferramenta MDM (Microsoft ou não Microsoft), não poderá utilizar a nova política até estar disponível na interface de ferramentas.

Enquanto administradores, configurou e espera determinados comportamentos, pelo que não removemos expressamente políticas mais antigas, uma vez que foram configuradas para os seus casos de utilização específicos. No entanto, se definir uma nova política sem desativar uma política semelhante mais antiga, poderá ter um comportamento em conflito e as atualizações poderão não funcionar conforme esperado.

Importante

Por vezes, descobrimos que os administradores definem dispositivos para obter definições de Política de Grupo e definições de MDM a partir de um servidor MDM, como Microsoft Intune. Os conflitos de políticas são tratados de forma diferente, consoante a forma como são configurados:

  • Atualizações do Windows: Política de Grupo definições têm precedência sobre a MDM.
  • Microsoft Intune: se definir valores diferentes para a mesma política em dois grupos diferentes, receberá um alerta e nenhuma política será definida até que o conflito seja resolvido. É fundamental que desative as políticas em conflito para que os dispositivos na sua organização efetuem as atualizações conforme esperado. Por exemplo, se um dispositivo não estiver a reagir às alterações da política de MDM, marcar para ver se uma política semelhante está definida no Política de Grupo com um valor diferente. Se verificar que a velocidade de atualização não é tão elevada como esperava ou se alguns dispositivos forem mais lentos do que outros, talvez seja altura de limpar todas as políticas e definições e especificar apenas as políticas de atualização recomendadas. Veja a Referência de políticas e definições para obter uma lista consolidada de políticas recomendadas.

Seguem-se políticas que poderá querer desativar porque podem diminuir a velocidade da atualização ou existem melhores políticas a utilizar que podem entrar em conflito:

  • Diferir Funcionalidade Atualizações Período em Dias. Para obter a velocidade máxima de atualização, é melhor definir esta opção como 0 (sem diferimento) para que a atualização de funcionalidades possa ser concluída e as atualizações de segurança mensais sejam novamente disponibilizadas. Mesmo que exista uma atualização de qualidade urgente que tenha de ser rapidamente implementada, é melhor utilizar Colocar a Funcionalidade em Pausa Atualizações em vez de definir uma política de diferimento. Pode escolher um período mais longo se não quiser manter-se atualizado com a atualização de funcionalidades mais recente.
  • Diferir Período de Atualizações de Qualidade em Dias. Para minimizar o risco e maximizar a velocidade da atualização, o tempo máximo que poderá querer considerar ao avaliar a atualização com um toque diferente de dispositivos é de dois a três dias.
  • Colocar a Funcionalidade em Pausa Atualizações Hora de Início. Defina como Desativado , a menos que exista um problema conhecido que exija tempo para uma resolução.
  • Colocar em Pausa a Qualidade Atualizações Hora de Início. Defina como Desativado , a menos que exista um problema conhecido que exija tempo para uma resolução.
  • Prazo Sem Reinício Automático. A predefinição é Desativado – defina como 0 . Recomendamos que os dispositivos tentem reiniciar automaticamente quando uma atualização é recebida. O Windows utiliza interações do utilizador para identificar dinamicamente o tempo menos disruptivo para reiniciar.

Também existem políticas adicionais que já não são suportadas ou que foram substituídos.