• Cloud, Guide, Microsoft 365, Sicurezza, Sistemi Operativi
• 30 Marzo 2026

Se nel tuo parco client ci sono ancora dei computer Windows 10 potresti essere esposto a rischi di sicurezza dato che il sistema operativo non viene più supportato da Microsoft da Ottobre 2025.

Spesso, tra i fattori che rallentano la migrazione da Windows 10, ci sono problemi di incompatibilità hardware (es. pc non supportato) e software (es. driver non compatibili).

Con l’aiuto di Intune e Autopatch, possiamo automatizzare tutto il processo riducendo l’impatto amministrativo e, al tempo stesso, garantendo un risultato ottimale.

Questa guida ha l’obiettivo di fornirti una metodologia pratica e collaudata per abilitare Autopatch per il tuo parco client con l’obiettivo di mantenere tutti aggiornati e, contemporaneamente, aggiornare a Windows 11 tutti i computer supportati. I concetti esposti sono stati validati su un piccolo ambiente di produzione ma sono facilmente scalabili adeguando le logiche usate.

Prerequisiti

Per implementare quanto descritto in questa guida avrai bisogno di:

• Licenza Microsoft Intune (disponibile stand-alone o parte di pacchetti come M365BusinessPremium, M365EnterpriseE3, ecc…)
• Computer Windows 10/11 pro o superiore enrolled in Intune

Analisi compatibilità

Una delle difficoltà maggiori che possiamo incontrare nel disegno di un progetto di upgrade a Windows 11 è quella di capire quante e quali macchine del nostro ambiente saranno aggiornabili. Infatti, esistono dei requisiti hardware da soddisfare per poter installare Windows 11 su un computer. Se questi requisiti non vengono rispettati, la macchina sarà da sostituire con una supportata. Qui la documentazione ufficiale sui requisiti hardware: Windows 11 Specs and System Requirements | Microsoft Windows

Tramite la reportistica di Intune, possiamo ottenere facilmente un elenco leggibile di tutti di dispositivi enrolled e del loro stato di eleggibilità a Windows 11. Puoi raggiungere questo report tramite Endpoint Analytics:

Intune > Reports > Endpoint Analytics > Work from anywhere > Windows

Figure 1 Report Endpoint Analytics sull’aggiornabilità a Windows 11

Il report che viene generato evidenzierà per ogni singolo client, l’attuale versione di Windows e il fatto che sia aggiornabile o meno. Qualora l’aggiornamento non fosse possibile, verranno evidenziate le motivazioni.

Figure 2 Report sulle motivazioni di mancata aggiornabilità

TIP: Questo report via portale è molto utile e risulta ben leggibile se il numero di device è limitato come nel caso dell’esempio. Se l’ambiente dovesse presentare molti client, questo report diventa poco leggibile perché, al momento della scrittura di questo articolo, l’elenco è suddiviso in pagine che bisogna sfogliare singolarmente per avere visibilità di tutti i dispositivi. In questo caso, ti consiglio di esportare l’elenco con il pulsante presente subito sopra alla tabella. Il report verrà generato in un file csv che potrai comodamente elaborare con Excel. Il contenuto del file è un po’ controintuitivo ma contiene ricche informazioni riguardo lo stato del device.

La colonna Upgrade Eligibility contiene lo stato di aggiornabilità dei computer. Ci sono diversi stati, per la nostra attività ci dobbiamo concentrare sul valore 0 (Upgraded), 2 (NotCapable) e 3 (Capable). Per esempio, per il valore 2, il report potrebbe essere più o meno questo:

Figure 3 Report esportato in csv e filtrato in Excel

Procedimento

Ora che abbiamo l’elenco dei dispositivi da sostituire e di quelli aggiornabili, possiamo procedere nella costruzione della soluzione.

Procederemo per fasi:

• Prima fase = test. Un gruppo di dispositivi aggiornabili verrà gestito da Autopatch.
• Seconda fase = pilota. Al gruppo di test verranno aggiunti progressivamente altri dispositivi.
• Terza fase = produzione. Il gruppo di test viene sostituito e tutti i client beneficiano della soluzione.

Prima Fase

Per prima cosa, creiamo un gruppo di computers da usare per il test. Deve essere un gruppo di sicurezza e può essere sia cloud che sincronizzato nel caso di una infrastruttura ibrida. Aggiungiamo al gruppo un numero di client coerente ad una fase di test (non quello del CEO, per esempio…).

Figure 4 Gruppo di computer per test Autopatch

Poi, creiamo un nuovo Autopatch group. Da Intune > Tenant administration > Autopatch groups > + Create

Figure 5 Creazione nuovo Autopatch Group

Diamo un nome al gruppo. Meglio se definitivo dato che, una volta completato il pilota, verrà messo in produzione.

Figure 6 Nome Autopatch Group

Lasciamo i gruppi predefiniti “Test” e “Last” non gestiti. In Dynamic group distribution scegliamo il gruppo di test che abbiamo creato in precedenza. Poi, creiamo un deployment ring nuovo e assegniamo il 100% dei dispositivi.

Figure 7 Nuovo ring update dinamico

Nella sezione Update type selezioniamo le tipologie di aggiornamento che ci interessano. Per una migliore riuscita del progetto, consiglio di lasciare abilitati tutte le voci.

N.B. La selezione di tutti gli aggiornamenti è consigliata per le tipologie di dispositivi standard in uno ai normali impiegati (Information Workers). Valutare con attenzione l’applicazione di queste impostazioni in contesti business critical o con hardware particolare. Parleremo più avanti di cosa aspettarsi.

Figure 8 Selezione del tipo di aggiornamenti da installare

Il tab successivo riguarda le impostazioni degli aggiornamenti. In verità, non c’è molto da scegliere. Consiglio:

• L’ultima versione di Windows disponibile.
• L’approvazione automatica dei drivers per tutti i rings.
• Il canale di aggiornamento Stable per Edge.

Figure 9 Impostazioni degli aggiornamenti

La tab Release schedules ci permette di governare le pianificazioni e le scadenze per l’installazione die vari update. In una fase di test, ti consiglio di lasciare tutto al default tranne l’Automatic update behavior.

Figure 10 Configurazione delle pianificazioni e scadenze di aggiornamento

Ti consiglio di modificare l’impostazione predefinita per avere un minimo di previsione su quando i tuoi client effettueranno gli aggiornamenti. In pratica, impostiamo una fascia di active hours che comprenda il mattino. Il risultato sarà che i computer effettueranno l’aggiornamento al pomeriggio, con minimo disturbo agli utenti. Se necessario un riavvio, la notifica apparirà all’utente nel tardo pomeriggio e potrà essere l’utente stesso a decidere se riavviare in quel momento o rimandare allo spegnimento serale. Questa è l’impostazione che suggerisco:

Figure 11 Modifica del comportamento degli aggiornamenti

Completa poi il wizard e attendi che vengano creati tutti gli oggetti. Tutto il processo impiegherà qualche minuto (a volte qualche secondo, dipende dalla complessità della configurazione).

Figure 12 Creazione autopatch groups in corso

E adesso?

Adesso è tempo di attendere. I client riceveranno la policy e cominceranno ad elaborarla installando gli aggiornamenti necessari per allinearsi all’ultimo update disponibile.

Cosa aspettarsi (di bello e di meno bello)

• Le macchine raggiungeranno l’ultimo livello di aggiornamento supportato in maniera autonoma. Windows 10 verrà aggiornato ad 11, se l’hardware è supportato.
• L’interazione con gli utenti è limitata ad alcune notifiche di richiesta riavvio e qualche breve anomalia legata all’aggiornamento dei drivers (es. schermo lampeggiante o rete disconnessa per un secondo)
• L’installazione automatica dei drivers comprende anche il firmware (bios) per i sistemi supportati. Questo potrebbe allungare i tempi di riavvio e causare qualche fastidio agli utenti.
• Sempre riguardo i drivers, quelli che vengono automaticamente installati sono certificati da Microsoft ma potrebbero non essere l’ultima versione distribuita dal produttore o certificata dalla software house di eventuali applicativi (es. postazioni CAD). Valutare, nel caso, la creazione di gruppi aggiuntivi senza l’installazione automatica dei drivers.
• Le app M365 (Office) verranno aggiornate e allineate al canale Monthly. Vuol dire che le versioni più lente (es. semi-annual) verranno aggiornate alla più recente e quelle più veloci (es. current) aspetteranno gli aggiornamenti per essere allineate al nuovo canale.
• Macchine che non ricevono update completi da molto tempo potrebbero richiedere diversi cicli di aggiornamento (giorni) per portarsi alla pari. È importante informare gli utenti preventivamente su quello che si dovranno aspettare

Le altre fasi

Superata la fase di test, dovresti aver chiaro come funziona la soluzione e cosa aspettarti nelle fasi successive.

La fase di pilota ti servirà per estendere il gruppo di dispositivi cui applicare la soluzione. I computer che aggiungerai saranno dei campioni dei modelli più diffusi nella tua organizzazione o appartenenti a persone che potranno darti un feedback reale sul comportamento durante e post aggiornamenti.

L’ultima fase, quella di produzione, prevede che si elimini il gruppo di devices di test e si sostituisca con un gruppo che contenga tutti i computer da gestire tramite Autopatch. In questo nuovo gruppo finiranno sia le vecchie macchine Windows 10 che le più recenti Windows 11 in modo che tutti possano beneficiare della nuova e comoda soluzione di update.

È consigliabile, in fase di produzione, creare degli update rings aggiuntivi per suddividere ulteriormente il parco macchine ed evitare che si aggiornino tutte in momenti ravvicinati. Una suddivisione standard in 3 rings potrebbe essere 10%-20%-70%. È inoltre consigliato utilizzare i ring Test e Last per gestire dispositivi particolari. In Test, solitamente, si aggiungono i dispositivi dello staff IT o di quelle persone che si occupano delle fasi di test preliminari. In Last, invece, si posizionano i dispositivi dei VIP o tutti quelli più critici o sensibili che potrebbero creare problemi al business in caso di errori in fase di uptate. Questi ultimi due ring vanno assegnati a dei gruppi specifici manualmente, i gruppi possono essere sincronizzati oppure online (sia assigned che dynamic). È importante che un dispositivo sia membro di un solo gruppo di update e non ci siano altre policy (es. GPO, SCCM, WUfB…) che governano gli update sui client gestiti con Autopatch.

Il monitoraggio

Oltre al feedback degli utenti, esistono strumenti più consistenti per verificare l’andamento degli aggiornamenti.

In primis, la pagina con l’elenco dei dispositivi Windows, ordini l’elenco per sistama operativo e verifichi che le macchine di test siano state aggiornate.

Per andare più in profondità, esiste il monitor degli update. Da Intune > Devices > Windows Update > Monitor

Figure 13 Schermata di monitoraggio degli update Windows

In questa schermata vengono evidenziati eventuali errori o allarmi relativi alle policy e si ottiene una visione di insieme dello stato degli aggiornamenti. Volendo andare più in profondità, selezionando i numeri relativi ai pc gestiti, si può ottenere un elenco dettagliato con gli aggiornamenti gestiti tramite policy e lo stato di ogni singolo computer.

Figure 14 Dettaglio stato aggiornamenti per dispositivo

Conclusioni

Le informazioni di questa guida dovrebbero aiutarti a prendere confidenza con Autopatch e con le sue potenzialità senza impattare troppo sull’ambiente di produzione esistente. Ci sono, naturalmente, molte variabili in gioco sopratutto quando si parla di realtà molto grandi. Come detto in precedenza, i concetti esposti sono scalabili anche per realtà con migliaia di dispositivi da aggiornare.

Personalmente, ho implementato Autopatch per diverse organizzazioni e tutte le volte i risultati sono stati molto positivi.

Se hai ancora macchine Windows 10 nella tua azienda e vuoi provare ad aggiornarle con una soluzione moderna, questa è l’occasione giusta. Se non hai più macchine Windows 10 (bravo/a!) usa Autopatch per Windows 11, le impostazioni e i risultati solo i medesimi trattati qui.

Buon aggiornamento!