Visão geral dos grupos do Windows Autopatch
À medida que as organizações se movem para um modelo de serviço gerido em que a Microsoft gere os processos de atualização em seu nome, são desafiadas a ter a representação certa das estruturas organizacionais seguida da sua própria cadência de implementação. Os grupos do Windows Autopatch ajudam as organizações a gerir atualizações de uma forma que faça sentido para as suas empresas sem custos adicionais ou interrupções não planeadas.
O que são grupos de Bloqueio Automático do Windows?
Os grupos de bloqueio automático são um contentor lógico ou unidade que agrupa vários grupos do Microsoft Entra e políticas de atualização de software, como a política Caderdão de atualização para Windows 10 e posterior eatualizações de funcionalidades para o Windows 10 e políticas posteriores.
Principais benefícios
Os grupos de correspondência automática ajudam os serviços do Microsoft Cloud-Managed a conhecer as organizações onde se encontram no seu percurso de gestão de atualizações. Os principais benefícios incluem:
Benefício | Descrição |
---|---|
Replicar a sua estrutura organizacional | Pode configurar grupos de Correção Automática para replicar as estruturas organizacionais representadas pela lógica de destino do grupo microsoft Entra existente baseada no dispositivo. |
Ter um número flexível de implementações | Os grupos de correspondência automática dão-lhe a flexibilidade de ter o número certo de anéis de implementação que funcionam na sua organização. Pode configurar até 15 anéis de implementação por grupo de Bloqueio Automático. |
Decidir que dispositivos pertencem a anéis de implementação | Além de utilizar os grupos microsoft Entra existentes baseados em dispositivos e escolher o número de anéis de implementação, também pode decidir quais os dispositivos que pertencem às cadernetas de implementação durante o processo de registo do dispositivo ao configurar grupos de Correção Automática. |
Escolher a cadência de implementação | Pode escolher a cadência de implementação de atualização de software certa para a sua empresa. |
Descrição geral do diagrama de arquitetura de alto nível
Os grupos de bloqueio automático são uma aplicação de funções que faz parte do microserção de registo de dispositivos no serviço Despatch do Windows Autopatch. A tabela seguinte explica o fluxo de trabalho de alto nível:
Etapa | Descrição |
---|---|
Passo 1: Criar um grupo de Bloqueio Automático | Crie um grupo de Bloqueio Automático. |
Passo 2: o Bloqueio Automático do Windows utiliza o Microsoft Graph para criar o ID do Microsoft Entra e atribuições de políticas | O serviço Deteção Automática do Windows utiliza o Microsoft Graph para coordenar a criação de:
|
Passo 3: o Intune atribui políticas de atualização de software | Assim que os grupos do Microsoft Entra forem criados no serviço Microsoft Entra, o Intune é utilizado para atribuir as políticas de atualização de software a estes grupos e fornecer o número de dispositivos que precisam das políticas de atualização de software para o serviço Windows Update para Empresas (WUfB). |
Passo 4: responsabilidades do Windows Update para Empresas | O Windows Update para Empresas (WUfB) é o serviço responsável por:
|
Principais conceitos
Existem alguns conceitos-chave com que se deve familiarizar antes de utilizar grupos de Correspondência Automática.
Acerca do grupo Predefinição de Bloqueio Automático
Observação
O grupo Predefinido de Bloqueio Automático é recomendado para organizações que possam satisfazer as suas necessidades empresariais com a composição pré-configurada de cinco cadências de implementação.
O grupo Predefinição de Bloqueio Automático utiliza a recomendação predefinida do processo de gestão de atualizações do Windows Autopatch. O grupo Predefinição de Bloqueio Automático contém:
- Um conjunto de cinco anéis de implementação
- Uma cadência de implementação de atualização predefinida para atualizações de qualidade e funcionalidades do Windows.
O grupo Predefinição de Bloqueio Automático destina-se a servir organizações que pretendem:
- Inscrever-se no serviço
- Alinhe-se com o processo de gestão de atualizações predefinido do Windows Autopatch sem precisar de mais personalizações.
Não é possível eliminar ou mudar o nome do grupo Despatch Automático Predefinido. No entanto, pode personalizar a composição da cadência de implementação para adicionar e/ou remover anéis de implementação e também pode personalizar as cadências de implementação de atualização para cada cadência de implementação no mesmo.
Composição da cadência de implementação predefinida
Por predefinição, são utilizadas as seguintes cadentes de implementação baseadas em atualizações de software, representadas por grupos atribuídos pelo Microsoft Entra ID:
- Bloqueio Automático do Windows - Teste
- Bloqueio Automático do Windows - Anel1
- Bloqueio Automático do Windows - Cadência2
- Bloqueio Automático do Windows - Cadência3
- Bloqueio Automático do Windows - Último
Bloqueio Automático do Windows – o Teste e o Último só podem ser utilizados como Distribuições de dispositivos atribuídas . Envio Automático do Windows – a Cadência1, a Cadência2 e a Cadência3 podem ser utilizadas com distribuições de dispositivos Atribuídas ou Dinâmicas ou têm uma combinação de ambos os tipos de distribuição de dispositivos.
Dica
Para obter mais informações sobre as diferenças entre os tipos de distribuição da cadência de implementação Atribuída e Dinâmica , veja sobre as cadências de implementação. Apenas as cadências de implementação que são colocadas entre as cadências De Teste e Última implementação podem ser utilizadas com as distribuições da cadência de implementação Dinâmica .
Cuidado
Estes e outros grupos atribuídos ao Microsoft Entra ID criados por grupos de Bloqueio Automático não podem estar em falta no seu inquilino. Caso contrário, os grupos de Bloqueio automático poderão não funcionar corretamente.
A última cadência de implementação, a quinta cadência de implementação no grupo Predefinição de Bloqueio Automático, destina-se a fornecer cobertura para cenários em que um grupo de dispositivos especializados e/ou utilizadores VIP/Executivos. Têm de receber implementações de atualizações de software após a população geral da organização para mitigar as perturbações nas empresas críticas da sua organização.
Cadências de implementação de atualizações predefinidas
O grupo Predefinição de Bloqueio Automático fornece uma cadência de implementação de atualização predefinida para as cadências de implementação, exceto para a última (quinta) cadência de implementação.
Política de caderias de atualização para o Windows 10 e posterior
Os grupos de bloqueio automático configuram a política Cadernetes de atualização para o Windows 10 e posterior para cada uma das cadernetes de implementação no grupo Deteção Automática Predefinida. Veja os seguintes valores de política predefinidos:
Nome da política | Atribuição de grupo do Microsoft Entra | Diferimento das atualizações de qualidade em dias | Diferimento das atualizações de funcionalidades em dias | Janela de desinstalação de atualizações de funcionalidades em dias | Prazo para atualizações de qualidade em dias | Prazo para atualizações de funcionalidades em dias | Período de tolerância | Reinício automático antes do prazo |
---|---|---|---|---|---|---|---|---|
Política de Atualização de Bloqueio Automático do Windows – predefinição – Teste | Bloqueio Automático do Windows - Teste | 0 | 0 | 30 | 0 | 5 | 0 | Sim |
Política de Atualização de Bloqueio Automático do Windows – predefinição – Cadência1 | Bloqueio Automático do Windows - Anel1 | 1 | 0 | 30 | 2 | 5 | 2 | Sim |
Política de Atualização de Bloqueio Automático do Windows – predefinição – Cadência2 | Bloqueio Automático do Windows - Cadência2 | 6 | 0 | 30 | 2 | 5 | 2 | Sim |
Política de Atualização de Bloqueio Automático do Windows – predefinição – Cadência3 | Bloqueio Automático do Windows - Cadência3 | 9 | 0 | 30 | 5 | 5 | 2 | Sim |
Política de Atualização de Bloqueio Automático do Windows – predefinição – Última | Bloqueio Automático do Windows - Último | 11 | 0 | 30 | 3 | 5 | 2 | Sim |
Política de atualização de funcionalidades para Windows 10 e posterior
Os grupos de correção automática configuram as atualizações de funcionalidades para o Windows 10 e políticas posteriores para cada uma das cadernetas de implementação no grupo Predefinição de Bloqueio Automático. Veja os seguintes valores de política predefinidos:
Nome da política | Atribuição de grupo do Microsoft Entra | Versão da atualização de funcionalidades | Opções de implementação | Disponibilidade da primeira cadência de implementação | Disponibilidade final da cadência de implementação | Dia entre anéis de implementação | Data de fim do suporte |
---|---|---|---|---|---|---|---|
Bloqueio Automático do Windows – Política DSS [Teste] | Bloqueio Automático do Windows - Teste | Windows 10 21H2 | Disponibilizar a atualização o mais rapidamente possível | N/D | N/D | N/D | 11 de junho de 2024; 1:00 |
Bloqueio Automático do Windows – Política DSS [Ring1] | Bloqueio Automático do Windows - Anel1 | Windows 10 21H2 | Disponibilizar a atualização o mais rapidamente possível | N/D | N/D | N/D | 11 de junho de 2024; 1:00 |
Bloqueio Automático do Windows – Política DSS [Cadência2] | Bloqueio Automático do Windows - Cadência2 | Windows 10 21H2 | Disponibilizar a atualização o mais rapidamente possível | 14 de dezembro de 2022 | 21 de dezembro de 2022 | 1 | 11 de junho de 2024; 1:00 |
Bloqueio Automático do Windows – Política DSS [Ring3] | Bloqueio Automático do Windows - Cadência3 | Windows 10 21H2 | Disponibilizar a atualização o mais rapidamente possível | 15 de dezembro de 2022 | 29 de dezembro de 2022 | 1 | 11 de junho de 2024; 1:00 |
Bloqueio Automático do Windows – Política DSS [Última] | Bloqueio Automático do Windows - Último | Windows 10 21H2 | Disponibilizar a atualização o mais rapidamente possível | 15 de dezembro de 2022 | 29 de dezembro de 2022 | 1 | 11 de junho de 2024; 1:00 |
Acerca dos grupos de Bloqueio Automático Personalizados
Observação
O grupo Predefinido de Bloqueio Automático é recomendado para organizações que possam satisfazer as suas necessidades empresariais com a composição pré-configurada de cinco cadências de implementação.
Os grupos de Correspondência Automática Personalizada destinam-se a ajudar as organizações que necessitam de uma representação mais precisa das estruturas da organização, juntamente com a sua própria cadência de implementação de atualizações no serviço.
Por predefinição, um grupo de Bloqueio Automático Personalizado tem automaticamente os anéis de Teste e Última implementação presentes. Para obter mais informações, veja Anéis de teste e Última implementação.
Acerca dos anéis de implementação
As cadências de implementação permitem que um grupo de Correção Automática tenha implementações de atualizações de software fornecidas sequencialmente numa implementação gradual no grupo Despatch Automático.
O Windows Autopatch alinha-se com o Microsoft Entra ID e a terminologia do Intune para a gestão de grupos de dispositivos. Existem dois tipos de distribuição de grupos de cadências de implementação nos grupos de Correspondência Automática:
Distribuição da cadência de implementação | Descrição |
---|---|
Dinâmico | Pode utilizar um ou mais grupos do Microsoft Entra baseados em dispositivos, baseados em consultas dinâmicas ou atribuídos para utilização na composição da cadência de implementação. Os grupos do Microsoft Entra que são utilizados com o tipo de distribuição Dinâmico podem ser utilizados para distribuir dispositivos por vários anéis de implementação com base em valores de percentagem que podem ser personalizados. |
Atribuída | Pode utilizar um único grupo microsoft Entra baseado em dispositivos, baseado em consultas dinâmicas ou atribuído para utilizar na composição da cadência de implementação. |
Combinação de Dinâmico e Atribuído | Para proporcionar um maior nível de flexibilidade ao trabalhar em composições da cadência de implementação, pode combinar ambos os tipos de distribuição de dispositivos em grupos de Bloqueio automático. A combinação de distribuição de dispositivos Dinâmicos e Atribuídos não é suportada para a cadência de Teste e Última implementação em grupos de Bloqueio Automático. |
Acerca dos anéis de Teste e Última implementação
As cadernetes De Teste e Última implementação são anéis de implementação predefinidos que estão automaticamente presentes no grupo Despatch Automático Predefinido e nos grupos de Bloqueio Automático Personalizado. Estas cadernetes de implementação predefinidas fornecem o número mínimo recomendado de anéis de implementação que um grupo de Bloqueio Automático deve ter.
Se apenas mantiver as cadências de Teste e Última implementação no grupo Predefinição de Bloqueio Automático ou não adicionar mais anéis de implementação ao criar um grupo de Bloqueio Automático Personalizado, a cadência de implementação teste pode ser utilizada como a cadência de implementação piloto e a cadência de implementação Último pode ser utilizada como a cadência de implementação de produção.
Importante
As cadernetes Teste e Última implementação não podem ser removidas ou renomeadas dos grupos Predefinição ou Bloqueio Automático Personalizado. Os grupos de correspondência automática não suportam a utilização de uma única cadência de implementação como parte da composição da cadência de implementação, uma vez que precisa de, pelo menos, duas cadências de implementação para a implementação gradual. Se tiver de implementar um cenário específico com uma única cadência de implementação e a implementação gradual não for necessária, considere gerir estes dispositivos fora do Windows Autopatch.
Dica
As cadências De Teste e Última implementação só suportam uma única atribuição de grupo do Microsoft Entra de cada vez. Se precisar de atribuir mais do que um grupo do Microsoft Entra, pode aninhar os outros grupos do Microsoft Entra nos grupos que planeia utilizar com os anéis de Teste e Última implementação. Só é suportado um nível de aninhamento do grupo Microsoft Entra.
Anéis de implementação baseadas em serviços versus baseadas em atualizações de software
Os grupos de correspondência automática criam duas camadas diferentes. Cada camada contém o seu próprio conjunto de cadências de implementação.
Importante
Os conjuntos de cadência de implementação baseados em atualizações de software e baseados em serviço são, por predefinição, atribuídos a dispositivos que se registam com êxito com o Windows Autopatch.
Anéis de implementação baseados no serviço
O conjunto de cadências de implementação baseado no serviço é utilizado exclusivamente para manter o Windows Autopatch atualizado com políticas de configuração ao nível do serviço e do dispositivo, aplicações e APIs necessárias para funções principais do serviço.
Seguem-se os grupos atribuídos ao Microsoft Entra ID que representam os anéis de implementação baseados no serviço. Não é possível eliminar ou mudar o nome destes grupos:
- Devices-Windows Autopatch-Test da Área de Trabalho Moderna
- Devices-Windows Autopatch-First da Área de Trabalho Moderna
- Devices-Windows Autopatch-Fast da Área de Trabalho Moderna
- Devices-Windows Autopatch-Broad da Área de Trabalho Moderna
Cuidado
Não modifique os tipos de associação do grupo Microsoft Entra (Atribuído e Dinâmico). Caso contrário, o serviço Despatch automático do Windows não conseguirá ler a associação ao grupo de dispositivos a partir destes grupos e fará com que a funcionalidade Grupos de correspondência automática e outras operações relacionadas com o serviço não funcionem corretamente.
Além disso, não é suportado que as coleções do Configuration Manager sejam sincronizadas diretamente com qualquer grupo do Microsoft Entra criado por grupos de Bloqueio Automático.
Anéis de implementação baseados em software
O conjunto de cadências de implementação baseado em software é utilizado exclusivamente com políticas de gestão de atualizações de software, tais como a cadência de atualização do Windows e as políticas de atualização de funcionalidades, no grupo Predefinição do Windows Autopatch.
Seguem-se os grupos atribuídos ao Microsoft Entra ID que representam os anéis de implementação baseados em atualizações de software. Não é possível eliminar ou mudar o nome destes grupos:
- Bloqueio Automático do Windows - Teste
- Bloqueio Automático do Windows - Anel1
- Bloqueio Automático do Windows - Cadência2
- Bloqueio Automático do Windows - Cadência3
- Bloqueio Automático do Windows - Último
Importante
Os grupos adicionais atribuídos ao Microsoft Entra ID são criados e adicionados à lista quando adiciona mais anéis de implementação ao grupo Predefinição de Bloqueio Automático.
Cuidado
Não modifique os tipos de associação do grupo Microsoft Entra (Atribuído e Dinâmico). Caso contrário, o serviço Despatch automático do Windows não conseguirá ler a associação ao grupo de dispositivos a partir destes grupos e fará com que a funcionalidade Grupos de correspondência automática e outras operações relacionadas com o serviço não funcionem corretamente.
Além disso, não é suportado que as coleções do Configuration Manager sejam sincronizadas diretamente com qualquer grupo do Microsoft Entra criado por grupos de Bloqueio Automático.
Acerca do registo de dispositivos
Os grupos de correspondência automática registam dispositivos com o serviço Depatch Automático do Windows quando cria ou edita um grupo de Bloqueio Automático Personalizado e/ou quando edita o grupo Predefinição de Bloqueio Automático para utilizar os grupos do Microsoft Entra existentes em vez do grupo Registo de Dispositivos de Bloqueio Automático do Windows fornecido pelo serviço.
Formas comuns de utilizar grupos de Bloqueio Automático
Seguem-se três utilizações comuns para utilizar grupos de Bloqueio Automático.
Caso de utilização n.º 1
Observação
O grupo Predefinido de Bloqueio Automático é recomendado para organizações que possam satisfazer as suas necessidades empresariais com a composição pré-configurada de cinco cadências de implementação.
Cenário | Solução |
---|---|
Está a trabalhar como administrador de TI na Contoso Ltd. E faça a gestão de vários serviços cloud da Microsoft e não da Microsoft. Não tem tempo extra para configurar e gerir vários grupos de Bloqueio Automático. Atualmente, a sua organização opera a gestão de atualizações através de cinco cadências de implementação, mas existe a oportunidade de ter cadências de implementação flexíveis se for pré-comunicada aos seus utilizadores finais. |
Se não tiver milhares de dispositivos para gerir, utilize o grupo Predefinição de Bloqueio Automático para a sua organização. Pode editar o grupo Predefinição de Bloqueio Automático para incluir anéis de implementação adicionais e/ou modificar ligeiramente algumas das cadências de implementação predefinidas. O grupo Deteção Automática Predefinido está pré-configurado e não requer configurações adicionais ao registar dispositivos com o serviço de Reparação Automática do Windows. Segue-se uma representação visual de uma implementação gradual para o grupo predefinido de Bloqueio Automático pré-configurado e totalmente gerido pelo serviço de Reparação Automática do Windows. |
Caso de utilização n.º 2
Cenário | Solução |
---|---|
Está a trabalhar como administrador de TI na Contoso Ltd. A sua organização tem de planear uma implementação gradual de atualizações de software em unidades ou departamentos empresariais críticos específicos para ajudar a mitigar o risco de interrupção do utilizador final. | Pode criar um grupo de Bloqueio Automático Personalizado para cada uma das suas unidades empresariais. Por exemplo, pode criar um grupo de Autopatch Personalizado para o departamento financeiro e discriminar a composição da cadência de implementação de acordo com as diferentes pessoas do utilizador ou com base no grau de importância que determinados grupos de utilizadores podem ser para o departamento e, em seguida, para a empresa. Segue-se uma representação visual de uma implementação gradual para o departamento financeiro da Contoso. |
Importante
Assim que os grupos de Correção Automática estiverem configurados, a versão das atualizações de qualidade ou de funcionalidades do Windows será implementada sequencialmente através das cadências de implementação.
Caso de utilização n.º 3
Cenário | Solução |
---|---|
Está a trabalhar como administrador de TI na Contoso Ltd. A sua localização de sucursal em Chicago tem de planear uma implementação gradual de atualizações de software em departamentos específicos para garantir que o escritório de Chicago não sofre interrupções nas suas operações. | Pode criar um grupo de Correspondência Automática Personalizada para a localização do ramo em Chicago e discriminar a composição da cadência de implementação de acordo com os departamentos na localização do ramo. Segue-se uma representação visual de uma implementação gradual para a localização do ramo Contoso Chicago. |
Importante
Assim que os grupos de Correção Automática estiverem configurados, a versão das atualizações de qualidade ou de funcionalidades do Windows será implementada sequencialmente através das cadências de implementação.
Configurações compatíveis
As seguintes configurações são suportadas ao utilizar grupos de Bloqueio Automático.
Cargas de trabalho de atualização de software
Os grupos de correspondência automática funcionam com as seguintes cargas de trabalho de atualização de software:
Número máximo de grupos de Bloqueio Automático
O Windows Autopatch suporta até 50 grupos de Bloqueio Automático no seu inquilino. Pode criar até 49 grupos de Bloqueio Automático Personalizado , além do grupo Predefinição de Bloqueio Automático. Cada grupo de Correção Automática suporta até 15 anéis de implementação.
Dica
Se atingir o número máximo de grupos de Correção Automática suportados (50) e tentar criar mais grupos de Bloqueio Automático Personalizados, a opção "Criar" no painel Grupos de bloqueio automático estará desativada.
Para gerir os grupos de Bloqueio Automático, consulte Gerir grupos de Bloqueio Automático do Windows.