Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Mantenere i dispositivi Windows sicuri e aggiornati è una delle responsabilità più importanti per qualsiasi organizzazione. Microsoft Intune offre un approccio basato sul cloud alla gestione degli aggiornamenti di Windows, offrendo controllo, prevedibilità e interruzioni minime per gli utenti.
Questa panoramica illustra come Intune gestisce gli aggiornamenti di Windows, i tipi di criteri disponibili e come questi elementi si integrano in una strategia di aggiornamento completa.
Operazioni che è possibile eseguire con Intune
- Configurare le impostazioni di aggiornamento nei dispositivi senza gestire singole patch.
- Definire gli anelli di aggiornamento per controllare i tempi di implementazione e ridurre i rischi.
- Impedire ai dispositivi di installare nuove versioni delle funzionalità fino a quando non si è pronti, applicando al contempo gli aggiornamenti di sicurezza e qualità.
Intune archivia solo le assegnazioni di criteri, non gli aggiornamenti stessi. Quando si salva un criterio, Intune invia i dettagli di configurazione a Windows Autopatch, che determina gli aggiornamenti approvati per la distribuzione. I dispositivi scaricano gli aggiornamenti approvati direttamente da Windows Update, installando e applicando tali modifiche in base ai criteri client Windows Update.
Funzionalità di gestione degli aggiornamenti di Windows
I tipi di criteri seguenti consentono di gestire gli aggiornamenti di Windows in Intune:
criteri client Windows Update
Configura il provider di servizi di configurazione dei criteri di aggiornamento sottostante. Intune queste impostazioni vengono illustrate tramite gli anelli di aggiornamento e il Catalogo impostazioni, offrendo agli amministratori la flessibilità necessaria per applicare comportamenti di aggiornamento granulari a livello di dispositivo.
Aggiornare i criteri anello
Applica Windows Update criteri client a gruppi di dispositivi. Gli anelli di aggiornamento controllano i periodi di differimento, le scadenze, il comportamento di riavvio e le impostazioni dell'esperienza utente, abilitando l'implementazione in più fasi nell'ambiente.
Criteri di aggiornamento delle funzionalità
Blocca i dispositivi in una versione specifica di Windows, ad esempio Windows 11 24H2. Questi criteri impediscono ai dispositivi di eseguire l'aggiornamento oltre la versione di destinazione, garantendo coerenza e controllo sugli aggiornamenti principali del sistema operativo.
Criteri di aggiornamento della qualità
Fornisce aggiornamenti cumulativi mensili per la sicurezza e l'affidabilità. Supporta:
- Hotpatch: controllare se i dispositivi idonei ricevono patch di sicurezza senza un riavvio.
- Accelerare i criteri: eseguire immediatamente il push degli aggiornamenti critici della sicurezza eseguendo l'override delle impostazioni di rinvio.
Aggiornamenti della sicurezza hotpatch
Protegge i dispositivi più rapidamente offrendo patch di sicurezza idonee senza un riavvio. Gli aggiornamenti senza riavvio sono il modo predefinito per il recapito degli aggiornamenti della sicurezza di Windows mensili.
Criteri di aggiornamento del driver
Gestisce il recapito degli aggiornamenti dei driver hardware da Windows Update. I criteri di aggiornamento dei driver consentono di garantire la compatibilità e la stabilità dei dispositivi controllando quando e come vengono installati i driver.
Windows Autopatch
Windows Autopatch controlla quali Windows Update contenuto viene approvato per la distribuzione nei dispositivi Windows, mantenendoli aggiornati e sicuri. Se un dispositivo non è destinato a un criterio di archiviazione automatica per un determinato tipo di contenuto, viene distribuito tutto il contenuto più recente di Windows Update.
Microsoft Intune sfrutta La funzionalità di supporto automatico di Windows per abilitare la gestione degli aggiornamenti delle funzionalità, degli aggiornamenti qualitativi e degli aggiornamenti dei driver. Per abilitare tali flussi di lavoro, è disponibile un criterio per ognuno di questi tipi di contenuto.
Quando un dispositivo viene assegnato a un criterio, viene registrato in Autopatch per quel tipo di contenuto e solo il contenuto approvato viene distribuito nel dispositivo. Gli amministratori possono approvare gli aggiornamenti in un criterio automaticamente o manualmente, a seconda di ciò che funziona meglio per la propria organizzazione.
Oltre ai criteri, esistono diverse altre potenti funzionalità di Intune basate su Autopatch:
- I gruppi di supporto automatico consentono il raggruppamento dinamico dei dispositivi, l'implementazione graduale degli aggiornamenti, nonché i flussi di creazione e modifica di più criteri.
- I report di autopatch forniscono informazioni approfondite su conformità, conformità e avvisi degli aggiornamenti.
- Per le edizioni di Windows idonee, consente anche scenari di aggiornamento basati sul cloud come hotpatch e aggiornamenti accelerati con una configurazione manuale minima.
Nella tabella seguente viene confrontato il modo in cui la gestione degli aggiornamenti differisce quando si usa la configurazione manuale di Autopatch con i criteri e l'uso di gruppi di creazione automatica:
| Caratteristica | Quando si usano i criteri di creazione automatica | Quando si usano i gruppi di creazione automatica |
|---|---|---|
| Coordinamento degli aggiornamenti | Distribuire manualmente i dispositivi in gruppi Entra per assegnare i criteri di aggiornamento. | Automatizzare la distribuzione dei dispositivi in più gruppi Entra in base alle proprie preferenze. Aggiungere gruppi specifici all'inizio o alla fine di una distribuzione. |
| Aggiornare i criteri anello | È possibile configurare i criteri anello di aggiornamento in Intune per controllare i differimenti, le scadenze e il comportamento di riavvio. | È possibile configurare più anelli di aggiornamento contemporaneamente per ottenere un quadro completo dei rinvii, delle scadenze e del comportamento di riavvio per l'intera versione. I gruppi di documenti automatici hanno set di impostazioni facoltativi che forniscono le impostazioni consigliate per i casi d'uso comuni. |
| Criteri di aggiornamento delle funzionalità | I criteri di aggiornamento delle funzionalità consentono di bloccare o pianificare le versioni del sistema operativo. | È stata impostata la versione minima dell'aggiornamento delle funzionalità per tutti i dispositivi in un gruppo di supporto automatico. È possibile pianificare implementazioni graduali degli aggiornamenti delle funzionalità quando si vuole eseguire l'aggiornamento. |
| Criteri di aggiornamento della qualità | È possibile configurare manualmente i criteri di aggiornamento qualità, gli aggiornamenti accelerati e le impostazioni di hotpatch. | È possibile configurare manualmente i criteri di aggiornamento qualità, gli aggiornamenti accelerati e le impostazioni di hotpatch. |
| Criteri di aggiornamento del driver | I criteri di aggiornamento dei driver vengono usati per esaminare e approvare i driver manualmente o automaticamente per tutti i dispositivi assegnati. | Esaminare e approvare i driver manualmente o automaticamente, avviando un'implementazione graduale per tutti i dispositivi nel gruppo di creazione automatica. |
Impostazioni predefinite del servizio
Windows Autopatch abilita gli aggiornamenti della sicurezza hotpatch per impostazione predefinita per proteggere i dispositivi più velocemente. Questo comportamento predefinito si applica a tutti i dispositivi idonei in Microsoft Intune. L'applicazione di correzioni di sicurezza senza attendere un riavvio può portare le organizzazioni al 90% di conformità nella metà del tempo.
È possibile rifiutare esplicitamente gli aggiornamenti della sicurezza hotpatch in qualsiasi momento per l'intero tenant o raggruppare i dispositivi con criteri di aggiornamento qualità.
Prerequisiti
Ogni tipo di criterio ha prerequisiti specifici, descritti in dettaglio nella rispettiva documentazione. In genere:
- I dispositivi devono essere registrati in Intune.
- I dispositivi devono essere Microsoft Entra aggiunti o aggiunti ibridi.
Microsoft Entra dispositivi registrati non sono supportati per qualsiasi tipo di criterio che usa lo stesso servizio back-end di Windows Autopatch, inclusi aggiornamenti delle funzionalità, aggiornamenti qualitativi e aggiornamenti del driver.
Per Entra dispositivi registrati, la gestione degli aggiornamenti rimane limitata ai criteri client Windows Update e ai criteri anello di aggiornamento. - I dispositivi devono avere accesso agli endpoint di aggiornamento Microsoft.
I criteri di aggiornamento delle funzionalità, i criteri di aggiornamento della qualità e i criteri di aggiornamento dei driver vengono orchestrati da Windows Autopatch. I prerequisiti sono gli stessi per questi tre tipi di criteri:
Licenze: una licenza di Windows che include il diritto di aggiunta automatica.
Se durante la creazione di nuovi criteri per le funzionalità che richiedono il supporto automatico di Windows e si ottengono le licenze per l'uso dei criteri client Windows Update tramite un Enterprise Agreement (EA), contattare l'origine delle licenze, ad esempio il team dell'account Microsoft o il partner che ha venduto le licenze. Il team o il partner dell'account può verificare che le licenze dei tenant soddisfino i requisiti di licenza di Windows Autopatch. Vedere Abilitare l'attivazione della sottoscrizione con un contratto EA esistente.
Importante
Abilitare l'attivazione della sottoscrizione con un account EA esistente non è applicabile agli ambienti cloud GCC e GCC High/DoD per le funzionalità di blocco automatico di Windows.
Telemetria: dati di diagnostica impostati su Livello obbligatorio .
Servizi: Account Microsoft Sign-In Assistant abilitato.
Se il servizio è bloccato o impostato su Disabilitato, non riceve l'aggiornamento. Per altre informazioni, vedere Gli aggiornamenti delle funzionalità non vengono offerti mentre sono disponibili altri aggiornamenti. Per impostazione predefinita, il servizio è impostato su Manuale (Avvio trigger), che consente l'esecuzione quando necessario.