Agilizar as atualizações de qualidade do Windows no Microsoft Intune

Com as Atualizações de qualidade para a política windows 10 e posterior , pode agilizar a instalação das atualizações de segurança mais recentes do Windows 10/11 em dispositivos que gere com o Microsoft Intune. A implementação de atualizações aceleradas é feita sem a necessidade de colocar em pausa ou editar as políticas de atualização mensal existentes. Por exemplo, pode agilizar uma atualização específica para mitigar uma ameaça de segurança quando o processo de atualização normal não implementar a atualização durante algum tempo.

Nem todas as atualizações podem ser agilizadas. No momento, somente as atualizações de segurança do Windows 10/11 que podem ser agilizadas estão disponíveis para implantação com a política de atualizações de qualidade. Para gerenciar atualizações de qualidade mensais regulares, use Políticas de anéis de atualização para Windows 10 e posterior.

Como funcionam as atualizações agilizadas

Com as atualizações aceleradas, pode agilizar a instalação de atualizações de qualidade, como o lançamento de patch de terça-feira mais recente ou uma atualização de segurança fora de banda para uma falha de zero dias.

As políticas de atualização aceleradas substituem temporariamente os diferimentos e outras definições para instalar atualizações o mais rapidamente possível. Este processo permite que os dispositivos iniciem a transferência e instalação de uma atualização acelerada sem terem de esperar que o dispositivo verifique a existência de atualizações.

O tempo real necessário para um dispositivo iniciar uma atualização depende da conectividade internet do dispositivo, da temporização da análise, se os canais de comunicação para o dispositivo estão a funcionar e de outros fatores, como o tempo de processamento na cloud.

  • Para cada política de atualização acelerada, selecione uma única atualização a implementar com base na respetiva data de lançamento. Ao utilizar a data de lançamento, não tem de criar políticas separadas para implementar diferentes instâncias dessa atualização em dispositivos com versões diferentes do Windows, como o Windows 10, versão 1809, 1909, etc.

  • O Windows Update avalia o build e a arquitetura de cada dispositivo e depois fornece a versão da atualização que se aplica.

  • Somente os dispositivos que precisam da atualização recebem a atualização agilizada:

    • O Windows Update não tenta agilizar a atualização para dispositivos que já tenham uma revisão igual ou superior à versão de atualização.
    • Para dispositivos com uma versão de build inferior à atualização, o Windows Update confirma que o dispositivo ainda exige a atualização antes de instalá-la.

    Importante

    Em alguns cenários, o Windows Update pode instalar uma atualização mais recente do que a atualização especificada na política de atualização agilizada. Para obter mais informações sobre esse cenário, confira Como instalar a atualização mais recente aplicável neste artigo.

  • As políticas de atualização agilizada ignoram e substituem os períodos de adiamento de atualização de qualidade da versão de atualização implantada. Você pode configurar adiamentos de atualizações de qualidade usando os Anéis de atualização do Windows do Intune e a configuração de Período de adiamento de atualização de qualidade.

  • Quando uma reinicialização for necessária para concluir a instalação da atualização, a política ajudará a gerenciar essa reinicialização. Na política, você pode configurar um período em que os usuários precisam reiniciar um dispositivo antes que a política force uma reinicialização automática. Os usuários também podem decidir agendar a reinicialização ou permitir que o dispositivo tente encontrar o melhor horário fora das Horas Ativas dos dispositivos. Antes de atingir a data limite de reinicialização, o dispositivo exibe notificações para alertar os usuários do dispositivo sobre a data limite e inclui opções para agendar a reinicialização.

    Se um dispositivo não reiniciar antes do prazo, o reinício pode ocorrer a meio do dia útil. Para obter mais informações sobre o comportamento de reinicialização, confira Como impor datas limite de conformidade para atualizações.

  • As atualizações aceleradas não são recomendadas para o serviço de atualização de qualidade mensal normal. Em vez disso, considere usar as configurações de data limite de um grupo de atualização para Windows 10 e política posterior. Para obter informações, confira Usar configurações de data limite nas configurações de experiência do usuário nas configurações de atualização do Windows.

Pré-requisitos

Importante

Esta funcionalidade não é suportada em ambientes de cloud GCC e GCC High/DoD.

Ativar a ativação da subscrição com um EA existente não é aplicável a ambientes de cloud GCC e GCC High/DoD para capacidades wuFB-DS.

Veja os seguintes requisitos de qualificação para instalar atualizações de qualidade agilizadas com o Intune:

Licenciamento:

Além de uma licença do Intune, a sua organização tem de ter uma das seguintes subscrições que inclua uma licença para o serviço de implementação do Windows Update para Empresas:

  • Windows 10/11 Enterprise E3 ou E5 (incluído no Microsoft 365 F3, E3 ou E5)
  • Windows 10/11 Education A3 ou A5 (incluído no Microsoft 365 A3 ou A5)
  • Windows Virtual Desktop Access E3 ou E5
  • Microsoft 365 Business Premium

A partir de novembro de 2022, a licença do serviço de implementação do Windows Update para Empresas (WUfB ds) será verificada e imposta.

Se estiver bloqueado ao criar novas políticas para capacidades que exijam DS WUfB e obtenha as suas licenças para utilizar o WUfB através de um Contrato Enterprise (EA), contacte a origem das suas licenças, como a equipa da sua conta Microsoft ou o parceiro que lhe vendeu as licenças. A equipa ou parceiro da conta pode confirmar que as licenças dos inquilinos cumprem os requisitos de licença do WUfB ds. Veja Ativar a ativação da subscrição com um EA existente.

Versões do Windows 10/11 com suporte:

  • Versões do Windows 10/11 que continuam com suporte para Manutenção, na arquitetura x86 ou x64

Só são suportadas atualizações de compilações que estão geralmente disponíveis. As pré-visualizações de compilações, incluindo os canais Beta e Dev, não têm suporte com atualizações aceleradas.

Edições do Windows 10/11 com suporte:

  • Professional
  • Enterprise
  • Educação
  • Pro Education
  • Pro for Workstations

Os dispositivos precisam:

  • Estar inscrito na MDM do Intune .

  • Esteja associado ao Microsoft Entra ou à Associação híbrida do Microsoft Entra. Não há suporte para o Workplace Join.

  • Ter acesso aos pontos finais. Para obter uma lista detalhada dos pontos finais necessários para os serviços associados listados aqui, veja Pontos finais de rede.

  • Configure para obter atualizações de qualidade diretamente do serviço Windows Update.

  • Ter o Update Health Tools, que é instalado com o KB 4023057 – Atualização para componentes do Serviço de Atualização do Windows 10. Para confirmar a presença do Update Health Tools em um dispositivo:

    • Procure a pasta C:\Program Files\Microsoft Update Health Tools ou revise Adicionar ou Remover Programas para Microsoft Update Health Tools.
    • Como administrador, execute o seguinte script do PowerShell:
    $Session = New-Object -ComObject Microsoft.Update.Session
    $Searcher = $Session.CreateUpdateSearcher()
    $historyCount = $Searcher.GetTotalHistoryCount()
    $list = $Searcher.QueryHistory(0, $historyCount) | Select-Object -Property "Title"
    foreach ($update in $list)
    {
       if ($update.Title.Contains("4023057"))
       {
          return 1
       }
    }
    return 0 
    

    Se o script devolver um 1, o dispositivo tem um cliente UHS. Se o script devolver um 0, o dispositivo não tem um cliente UHS.

Configurações do dispositivo:

Como uma ajuda para evitar conflitos ou configurações que possam bloquear a instalação de atualizações agilizadas, defina os dispositivos com as configurações a seguir. Você pode usar as políticas de Anéis de atualização para Windows 10 e posterior do Intune para gerenciar essas configurações.

Configuração do anel de atualização Valor recomendado
Habilitar compilações de versão prévia Esta configuração deve ser definida como Não configurado. As pré-visualizações de compilações, incluindo os canais Beta e Dev, não têm suporte com atualizações aceleradas.
Comportamento de atualização automática Redefinir para o padrão

Outros valores podem causar uma má experiência de utilizador e atrasar o processo para acelerar as atualizações.
Alterar o nível de atualização da notificação Use qualquer valor que não seja Desativar todas as notificações, incluindo os avisos de reinicialização

Para obter mais informações sobre essas configurações, confira CSP de política – Atualização.

As configurações de Política de Grupo substituem as políticas do gerenciamento de dispositivo móvel, e a lista de configurações de Política de Grupo a seguir pode interferir na política Agilizada. Nos dispositivos em que essas configurações eram gerenciadas pela Política de Grupo, restaure-as para os padrões do dispositivo (Não configurado):

  • CorpWuURL – Especificar o local do serviço Microsoft Update na intranet.
  • AutoUpdateCfg – Configurar as Atualizações Automáticas.
  • DeferFeatureUpdates – Selecionar quando as compilações de pré-visualização e as atualizações de recursos são recebidas.
  • Desabilitar a Frequência Dupla – Não permitir que as políticas de adiamento de atualização causem verificações no Windows Update.

Monitorização e relatórios:

Antes de poder monitorizar os resultados e o estado da atualização para atualizações aceleradas, o inquilino do Intune tem de ativar a recolha de dados.

Limitações para dispositivos Associados à Área de Trabalho

As políticas do Intune para Atualizações de qualidade para o Windows 10 e posteriores requerem a utilização do Windows Update para Empresas (WUfB) e do serviço de implementação do Windows Update para Empresas (WUfB ds). Quando o WUfB suporta dispositivos WPJ, o WUfB ds fornece capacidades adicionais que não são suportadas para dispositivos WPJ.

Para obter mais informações sobre as limitações do WPJ para políticas do Windows Update no Intune, veja Limitações de políticas para dispositivos Associados à Área de Trabalho em Gerir atualizações de software do Windows 10 e Windows 11 no Intune.

Criar e atribuir uma atualização de qualidade agilizada

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Gerir atualizações>Windows 10 e atualizações posteriores> Separador >Atualizações de qualidadeCriar perfil.

    Captura de ecrã da IU Criar perfil.

  3. Em Configurações, insira as seguintes propriedades para identificar esse perfil:

    • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde.

    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

  4. Em Configurações, defina Agilizar a instalação de atualizações de qualidade se a versão do sistema operacional do dispositivo for inferior a. Selecione a atualização que deseja agilizar na lista suspensa. A lista inclui apenas as atualizações que você pode agilizar.

    Dica

    As atualizações de qualidade opcionais do Windows não podem ser aceleradas e não estarão disponíveis para seleção.

    Captura de ecrã da IU de seleção de atualização.

    Ao selecionar uma atualização:

    • As atualizações são identificadas pela data de lançamento e você pode selecionar apenas uma atualização por política.

    • As atualizações que incluem a letra B no nome identificam as atualizações lançadas como parte de um evento de Patch Tuesday. A letra B identifica que a atualização foi lançada na segunda terça-feira do mês.

    • As atualizações de segurança do Windows 10/11 lançadas fora da banda de um Patch Tuesday podem ser agilizadas. Em vez da letra B, as versões de patch fora da banda têm identificadores diferentes.

    • Quando a atualização é implantada, o Windows Update garante que cada dispositivo que recebe a política instale uma versão da atualização que se aplica à arquitetura e à versão atual do Windows (como a versão 1809, 2004 e assim por diante) desse dispositivo.

    Atualizações de Aceleração Não Relacionadas com Segurança: inclui correções de qualidade após a versão B/Segurança anterior. Os administradores podem agilizar a instalação da atualização de qualidade mais recente aplicável nos dispositivos, sem aguardar pelo período de diferimento.

    • As atualizações sem a palavra SecurityUpdate indicam que não é uma atualização de segurança. As atualizações que incluem a letra D no respetivo nome identificam as atualizações lançadas desde a última semana de segurança de terça-feira . Também poderá ver a Atualização OOB 2024.01 (lançamentos de patches fora de banda ). Explicação da atualização mensal do Windows

    • As atualizações não relacionadas com segurança só são apresentadas quando é a versão mais recente. A lista pendente é atualizada para apresentar as duas atualizações de segurança mais recentes, incluindo se uma for uma atualização fora de banda. Se a atualização não relacionada com segurança mais recente for mais recente do que a atualização de segurança mais recente, a atualização não relacionada com segurança também será incluída na lista pendente. Como resultado, por vezes são apresentadas duas atualizações e, noutras alturas, são apresentadas três atualizações.

    • As atualizações rápidas não relacionadas com segurança aplicam-se a dispositivos Windows 11. Se os dispositivos Windows 10 estiverem atribuídos a uma política Agilizar que define uma versão D , esses dispositivos não serão acelerados e apresentarão um alerta nos seguintes relatórios.

      • Relatórios>Atualizações do> WindowsRelatórios Separador >Relatório de Atualização Acelerada do Windows
      • Dispositivos>Gerir atualizações>Windows 10 e atualizações posteriores>Separador> Monitorizar Políticas de atualização de qualidade aceleradas com o mosaico alertas e clique no título.
  5. Em Configurações, defina o Número de dias de espera antes da reinicialização forçada. Para essa configuração, selecione depois de quanto tempo após a instalação da atualização um dispositivo será reiniciado automaticamente para concluir a instalação da atualização. Você pode selecionar de zero a dois dias. A reinicialização automática será cancelada se um dispositivo for reiniciado manualmente antes da data limite. Se uma atualização não exigir um reinício, esta definição não é imposta.

    • Uma configuração de 0 dias significa que, assim que o dispositivo instalar a atualização, o usuário será notificado sobre a reinicialização e terá um tempo limitado para salvar o trabalho.

      Importante

      Essa experiência pode afetar a produtividade do usuário. Considere usá-la para os dispositivos ou as atualizações que precisam ser concluídas e reiniciar o dispositivo o quanto antes.

    • Uma definição de 1 dia ou 2 dias proporciona aos utilizadores do dispositivo flexibilidade para gerir um reinício antes de ser forçado. Essas configurações correspondem a um atraso de 24 ou 48 horas da reinicialização automática após a instalação da atualização no dispositivo.

      Captura de ecrã da seleção de dias antes do reinício forçado.

  6. Em Atribuições, selecione Adicionar grupos e depois selecione os grupos de usuários ou de dispositivos aos quais a política será atribuída.

  7. Em Revisar + criar,selecione Criar. Depois que a política é criada, ela é implantada nos grupos atribuídos.

Identificar a atualização mais recente aplicável

Há alguns cenários em que a política para agilizar uma atualização resulta na instalação de uma atualização mais recente do que a especificada na política. Esse resultado ocorre quando a atualização mais recente inclui e ultrapassa a atualização especificada e essa atualização mais recente está disponível antes que um dispositivo faça check-in para instalar a atualização especificada na política de atualização agilizada. Há um exemplo detalhado desse cenário mais adiante neste artigo.

A instalação da atualização de qualidade mais recente reduz as interrupções no dispositivo e para o usuário, além de aplicar os benefícios da atualização pretendida. Isso evita a necessidade de instalar várias atualizações, que podem exigir reinicializações separadas.

Uma atualização mais recente é implantada quando as seguintes condições são atendidas:

  • Não há uma política de adiamento direcionada ao dispositivo que bloqueie a instalação de uma atualização mais recente. Nesse caso, a atualização disponível mais recente que não é adiada é aquela que pode ser instalada.

  • Durante o processo de agilizar uma atualização, o dispositivo executa uma nova verificação que detecta a atualização mais recente. Isso pode ocorrer devido ao momento em que:

    • O dispositivo é reiniciado para concluir a instalação
    • O dispositivo executa a verificação diária
    • Uma nova atualização fica disponível

    Quando uma verificação identifica uma atualização mais recente, o Windows Update tenta interromper a instalação da atualização original e cancelar a reinicialização e depois inicia o download e a instalação da atualização mais recente.

Embora as políticas de atualização rápida substituam um diferimento de atualização para a versão de atualização especificada na política, não substituem os diferimentos em vigor para qualquer outra versão de atualização.

Exemplo de instalação de uma atualização agilizada

A sequência de eventos a seguir oferece um exemplo de como dois dispositivos, chamados Teste-1 e Teste-2, instalam uma atualização com base em uma política de Atualização de qualidade do Windows 10 e posterior que é atribuída aos dispositivos.

  1. Todo mês, os administradores do Intune implantam as atualizações de qualidade mais recentes do Windows 10 na quarta terça-feira do mês. Com esse período, eles têm duas semanas após o evento Patch Tuesday para validar as atualizações no ambiente antes de forçar a instalação da atualização.

  2. Em 19 de janeiro de 2021, os dispositivos Teste-1 e Teste-2 instalam a atualização de qualidade mais recente da versão do Patch Tuesday de 12 de Janeiro. No dia seguinte, os dois dispositivos são desligados pelos respectivos usuários que estão saindo de férias.

  3. Em 9 de fevereiro, o administrador do Intune cria a política para agilizar a instalação da versão do Patch Tuesday 09/02/2021 – Atualizações de Segurança do Windows 10 2021.02 B como uma ajuda para proteger os dispositivos da empresa contra uma ameaça crítica que a atualização resolve. A política de agilização é atribuída a um grupo de dispositivos que inclui o Teste-1 e o Teste-2. Todos os dispositivos nesse grupo que estão ativos recebem e instalam a política de atualização agilizada.

  4. No evento de Patch Tuesday de 9 de março, uma nova atualização de qualidade é lançada como 09/03/2021 – Atualizações de Segurança do Windows 10 2021.03 B. Não há nenhum problema crítico que exija uma implantação agilizada dessa atualização, mas os administradores encontraram um possível conflito. Para que haja tempo de examinar o possível problema, os administradores usam uma política de anel de atualização do Windows a fim de criar uma política de adiamento de sete dias. Todos os dispositivos gerenciados são impedidos de instalar essa atualização até 14 de março.

  5. Agora, considere os seguintes resultados para o Teste-1 e o Teste-2, com base em quando cada um deles é ligado novamente:

    • Teste-1 – Em 12 de março, o Teste-1 é ligado novamente, conecta-se com a rede e recebe notificações de atualização agilizada:

      1. O Windows Update determina que o Teste-1 ainda precisa agilizar a instalação da atualização, de acordo com a política.
      2. Como a atualização de 9 de março substitui a atualização de fevereiro, o Windows Update pôde instalar a atualização de 9 de março.
      3. Há um adiamento ativo para a atualização de março que não vai expirar até 14 de março.

      Resultado: com a política de adiamento da atualização de março ainda ativa e o bloqueio da instalação dessa atualização, o Dispositivo-1 instala a atualização de fevereiro de acordo com a configuração da política.

    • Teste-2 – Em 20 de março, o Teste-2 é ligado novamente, conecta-se com a rede e recebe notificações de atualização agilizada:

      1. O Windows Update determina que o Teste-2 ainda precisa agilizar a instalação da atualização, de acordo com a política.
      2. Como a atualização de 9 de março substitui a atualização de fevereiro, o Windows Update pôde instalar a atualização de 9 de março.
      3. Não há mais nenhum adiamento ativo para a atualização de março.

      Resultado: com a expiração da política de adiamento da atualização de março, o Teste-2 instala a atualização mais recente de março, ignorando a atualização de fevereiro e instalando uma atualização posterior à especificada na política.

Gerenciar políticas para agilizar atualizações de qualidade

No centro de administração, aceda a Dispositivos>Por plataforma>O Windows>Gerir atualiza o>Windows 10 e, posteriormente, atualiza> o separadorAtualizações de qualidade e selecione a política que pretende gerir. A política é aberta no painel Visão geral.

Nesse painel, você pode:

  • Selecione Excluir para excluir a política do Intune. Eliminar uma política remove-a do Intune, mas não resultará na desinstalação da atualização se já tiver concluído a instalação. O Windows Update tentará cancelar quaisquer instalações em curso, mas não é possível garantir um cancelamento bem-sucedido de uma instalação em curso.

  • Selecione Propriedades para modificar a implantação. No painel Propriedades, selecione Editar para abrir as Configurações, as Marcas de escopo ou as Atribuições, nas quais é possível modificar a implantação.

Monitoramento e relatório

Antes de poder monitorizar os resultados e o estado da atualização para atualizações aceleradas, o inquilino do Intune tem de ativar a recolha de dados.

Depois que uma política é criada, você pode monitorar os resultados, o status de atualização e os erros dos relatórios a seguir.

Relatório de resumo

Esse relatório mostra o estado atual de todos os dispositivos no perfil e oferece uma visão geral de quantos dispositivos têm uma instalação de atualização em andamento, concluíram a instalação ou têm um erro.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Relatórios>Atualizações do Windows. Na guia Resumo, veja a tabela Atualizações de Qualidade Agilizadas do Windows.

  3. Para obter mais informações, selecione a guia Relatórios e depois Relatório de Atualização Agilizada do Windows.

  4. Clique no link Selecionar um perfil de atualização agilizada.

  5. Na lista de perfis que é mostrada no lado direito da página, selecione um perfil para ver os resultados.

  6. Selecione o botão Gerar relatório.

Relatório de dispositivos

Esse relatório pode ajudar você a localizar dispositivos com alertas ou erros e a solucionar problemas de atualização.

  1. Iniciar sessão no centro de administração do Microsoft Intune

  2. Selecione Dispositivos>Monitor.

  3. Na lista de relatórios de monitoramento, role até a seção Atualizações de software e selecione Falhas de atualização agilizada do Windows.

  4. Na lista de perfis que é mostrada no lado direito da página, selecione um perfil para ver os resultados.

    Exemplo do relatório do dispositivo.

Estados da atualização

Estado da Atualização Subestado da Atualização Definição
Pending Validando O dispositivo foi adicionado à política no serviço e foi iniciada a validação de que o dispositivo pode ser agilizado.
Pending Agendada O dispositivo foi aprovado na validação e será agilizado.
Oferta OfferReady As instruções de agilização foram enviadas ao dispositivo.
Instalando OfferReceived O dispositivo foi examinado em relação ao Windows Update. A atualização é aplicável, mas o download ainda não foi iniciado.
Instalando DownloadStart O dispositivo começou a baixar a atualização.
Instalando DownloadComplete O dispositivo baixou a atualização.
Instalando InstallStart O dispositivo começou a instalar a atualização.
Instalando InstallComplete O dispositivo concluiu a instalação da atualização. A menos que a atualização tenha algum erro, o dispositivo passará rapidamente para RestartRequired ou UpdateInstalled.
Instalando RestartRequired A instalação foi concluída e exige uma reinicialização.
Instalando RestartInitiated O dispositivo iniciou uma reinicialização.
Instalando RestartComplete O dispositivo concluiu a reinicialização.
Instalado UpdateInstalled A atualização foi concluída com êxito.

Próximas etapas