Introduzione a Windows Autopatch

Windows Autopatch è un servizio cloud che automatizza gli aggiornamenti di Windows, Microsoft 365 Apps for enterprise, Microsoft Edge e Microsoft Teams per migliorare la sicurezza e la produttività nell’intera azienda. Windows Autopatch consente di ridurre al minimo il coinvolgimento delle scarse risorse IT nella pianificazione e distribuzione degli aggiornamenti per Windows, Microsoft 365 Apps, Microsoft Edge o Teams. Creando sequenze di implementazione accurate e comunicando con l’utente durante la versione, gli amministratori IT possono concentrarsi su altre attività

Il servizio è in General Availability da ieri ed è disponibile per tutti gli utenti che hanno le seguenti licenze assegnate:

  • Windows 10/11 Enterprise E3 (o versione successiva)
  • Azure Active Directory Premium
  • Microsoft Intune

Windows Autopatch è incluso in Windows 10/11 Enterprise E3 o versione successiva. Di seguito sono riportate le altre licenze che concedono il diritto a Windows Autopatch:

Gestione degli aggiornamenti

L’obiettivo di Windows Autopatch è quello di distribuire gli aggiornamenti software ai dispositivi registrati; il servizio libera l’IT e riduce al minimo le interruzioni per gli utenti finali. Dopo aver registrato un dispositivo con il servizio, Windows Autopatch occupa diverse aree di gestione:

  • Aggiornamenti qualitativi di Windows Windows Autopatch mira a mantenere almeno il 95% dei dispositivi idonei nell’ultimo aggiornamento qualitativo di Windows 21 giorni dopo il rilascio.
  • Aggiornamenti delle funzionalità di Windows Windows Autopatch mira a mantenere almeno il 99% dei dispositivi idonei in una versione supportata di Windows in modo che possano continuare a ricevere gli aggiornamenti delle funzionalità di Windows.
  • Microsoft 365 Apps for enterprise Windows Autopatch mira a mantenere almeno il 90% dei dispositivi idonei in una versione supportata di Monthly Enterprise Channel
  • Microsoft Edge Windows Autopatch configura i dispositivi idonei per trarre vantaggio dalle implementazioni progressive di Microsoft Edge nel canale Stabile.
  • Microsoft Teams Windows Autopatch consente ai dispositivi idonei di trarre vantaggio dal canale di aggiornamento automatico standard.

Registrare il tenant

Prima di eseguire la registrazione in Windows Autopatch, sono presenti impostazioni e altri parametri che è necessario impostare in anticipo.

Lo strumento di valutazione dell’idoneità online consente di verificare la conformità alla registrazione per la prima volta in Windows Autopatch e controlla le impostazioni in Microsoft Endpoint Manager (in particolare, Microsoft Intune) e Azure Active Directory (Azure AD) per assicurarsi che funzionino con Windows Autopatch.

Nell’interfaccia di amministrazione di Microsoft Endpoint Manager selezionate il nodo Tenant Administration e successivamente fate clic sulla voce Tenant Enrollment nella sezione Windows Autopatch. Se non vedete la sezione controllate di avere tutti i Prerequisiti di Windows Autopatch.

Selezionate la check bo e fate clic su Agree.

Figura 1: Tenant Enrollment in Windows Autopatch

Nella schermata che apparirà verranno mostrati tutti i controlli effettuati ed eventuali avvisi. Se il Readiness Status riporta la vice Ready allora siete pronti per utilizzare Windows Autopatch. Altrimenti controllate i Management Settings e risolvete i problemi che vi vengono segnalati.

Figura 2:Il tenant rispetta tutti i prerequisiti per utilizzare WIndows Autopatch

Figura 3: Schermata dei Management Settings con gli avvisi e i controlli che sono stati effettuati sul tenant

Fate clic su Enroll per procedere nel processo di associazione del vostro tenant con il servizio Windows Autopatch.

Figura 4: Enroll del servizio Windows Autopatch con il nostro tenant

La schermata successiva richiederà il consenso da parte di Microsoft ad effettuare alcune operazioni amministrative sul vostro tenant.

Figura 5: Richiesta consenso da parte di Microsoft ad effettuare alcune operazioni amministrative sul vostro tenant

Inserite le informazioni di contatto richieste e cliccate su Complete.

Figura 6: Inserimento delle informazioni di contatto richieste

Dopo un paio di minuti il processo di enrollment sarà completato e potrete cliccare su Complete.

Figura 7: Completamento del processo di enrollment di Windows Autopatch nel nostro tenant

Per far gestire gli aggiornamenti dei nostri dispositivi al servizio Windows Autopatch è necessario prima associarli. Cliccate su Discover Devices e successivamente fate clic sul link Windows Autopatch device registration, come mostrato nelle figure sotto:

Figura 8: Ricerca dei dispositivi da gestire con Windows Autopatch

Figura 9: I dispositivi devono essere preventivamente aggiunti al gruppo Windows Autopatch Device Registration

Figura 10: Registrazione dei dispositivi e aggiunta al gruppo Windows Autopatch Device Registration

Nel gruppo di Azure AD chiamato Windows Autopatch Device Registration, che è stato creato quando abbiamo effettuato l’enrollment di Windows Autopatch nel nostro tenant, dovranno essere aggiunti tutti i dispositivi che vogliamo far gestire dal servizio di aggiornamento.

Figura 11: Aggiunta dei dispositivi da gestire al gruppo Windows Autopatch Device Registration

Figura 12: Dispositivi aggiunti al gruppo Windows Autopatch Device Registration

Ci potrebbe volere fino ad un’ora affinché i dispositivi appaiano nella lista dei dispositivi gestiti da Windows Autopatch. Per velocizzare potete cliccare sulla voce Discover devices.

Figura 13: Dispositivi gestiti dal servizio Windows Autopatch

Gestione degli aggiornamenti

Durante l’enrollment Windows Autopatch crea 4 gruppi in Azure AD che possono essere utilizzati per dividere i dispositivi in diversi circuiti (rings) di aggiornamento:

  1. Modern Workplace Devices – Test
  2. Modern Workplace Devices – First
  3. Modern Workplace Devices – Fast
  4. Modern Workplace Devices – Broad

Ognuno dei circuiti di aggiornamento ha uno scopo diverso ed è configurato con delle policy per controllare la distribuzione degli aggiornamenti nelle singole aree di gestione, di cui ho scritto prima.

NOTA: I circuiti di aggiornamento si applicano solo agli aggiornamenti qualitativi (Quality Updates) di Windows e NON è possibile creare ulteriori gruppi rispetto ai 4 previsti.

Figura 14: Gruppi di aggiornamento creati in Azure AD dal servizio Windows Autopatch

Alla pagina Gestione degli aggiornamenti – Windows Deployment | Microsoft Docs troverete anche una tabella riassuntiva che spiega le differenze tra i diversi circuiti di aggiornamento.

Figura 15: Circuiti di aggiornamento di Windows Autopatch

Nel portale amministrativo di Microsoft Endpoint Manager è anche possibile gestire lo stato delle diverse schedulazioni riservate ai gruppi di aggiornamento dei dispositivi.

Figura 16: Gestione dello stato delle diverse schedulazioni riservate ai gruppi di aggiornamento dei dispositivi

Come si può vedere dalla figura sotto, il dispositivo è stato aggiunto al gruppo First:

Figura 17: Il dispositivo è stato aggiunto al gruppo First

Per cambiare il circuito di aggiornamento del dispositivo è sufficiente selezionarlo e dalla voce Device actions cliccare su Assign device group. Scegliete quindi dal menu a tendina il nuovo gruppo di distribuzione degli aggiornamenti.

Figura 18: Modifica del gruppo di distribuzione degli aggiornamenti e della relativa velocità di aggiornamento

Im Microsoft Endpoint Manager sono stati creati anche diversi profili di configurazione.

Figura 19: Profili di configurazione creati dal servizio Windows Autopatch

Figura 20: Profili di aggiornamento delle funzionalità creati da Windows Autopatch

Figura 21: Profili di distribuzione dei circuiti di aggiornamento creati da Windows Autopatch

Configurazioni distribuite sui dispositivi gestiti da Windows Autopatch

Come si può notare dalla figura sotto, le impostazioni di aggiornamento di Windows sono gestite dall’organizzazione.

Figura 22: Le impostazioni di aggiornamento di Windows sono gestite dall’organizzazione

Dalla scheda di gestione dell’account ed in particolare dell’accesso all’organizzazione, si potrà notare che sono stati distribuiti da Endpoint Manager diversi criteri di configurazione degli aggiornamenti

Figura 23: Criteri di configurazione degli aggiornamenti distribuiti tramite il servizio Windows Autopatch

Conclusioni

Il servizio Windows Autopatch permette di aggiornare il sistema operativo Windows, le Microsoft 365 Apps for enterprise, Microsoft Edge e Microsoft Teams in maniera automatica e da la possibilità di avere sistemi sicuri e produttivi. In questo modo il reparto IT può concentrarsi su altri compiti ed essere confidente che l’infrastruttura abbia un livello di sicurezza superiore, assicurato dalla correzione in tempi brevissimi di vulnerabilità del sistema operativo e dei principali software Microsoft.