Nicola Ferrini

Microsoft Intune – Gestione degli aggiornamenti dei dispositivi Windows 10/11

Visualizzazioni: 1.697

I Windows Update sono necessari per garantire la sicurezza del sistema operativo, correggere eventuali bug e migliorare le prestazioni. Gli aggiornamenti di sicurezza possono proteggere il computer da eventuali minacce come virus, malware e attacchi informatici. Gli aggiornamenti di funzionalità possono inoltre introdurre nuove funzionalità o migliorare quelle esistenti. Inoltre, gli aggiornamenti possono risolvere eventuali problemi di compatibilità con software e hardware recenti.

Grazie a Microsoft Intune è possibile gestire dal cloud la distribuzione degli aggiornamenti utilizzando le policy di distribuzione e configurazione degli Update Rings, dei Feature Update e dei Quality Update.

Gli Update Rings per Windows 10 e successivi specificano come e quando Windows as a Service aggiorna i dispositivi Windows 10/11 con aggiornamenti di funzionalità e qualità. Con Windows 10/11, le nuove funzionalità e gli aggiornamenti qualitativi includono il contenuto di tutti gli aggiornamenti precedenti. Installando l’aggiornamento più recente i dispositivi Windows sono aggiornati e, a differenza delle versioni precedenti di Windows, è ora necessario installare l’intero aggiornamento anziché parte di un aggiornamento.

Gli Update Rings possono essere usati anche per aggiornare a Windows 11 i dispositivi Windows 10 idonei.

Prerequisiti

Per usare gli aggiornamenti di Windows per i dispositivi Windows 10/11 in Intune, è necessario soddisfare questi prerequisiti:

  • I dispositivi devono:
    • Eseguire Windows 10 versione 1607 o successiva oppure Windows 11.
  • Gli anelli di aggiornamento (update rings) sono supportati per le seguenti edizioni di Windows:
    • Windows 10/11 Pro
    • Windows 10/11 Enterprise
    • Windows 10/11  per dispositivi Surface Hub
    • Windows Holographic for Business
    • Windows 10/11 Enterprise LTSC

Creazione e distribuzione degli Update Rings

Collegatevi al portale Microsoft Endpoint Manager admin center e selezionate Devices > Windows > Update rings for Windows 10 and later > Create profile.

Figura 1: Creazione di un nuovo profilo per distribuire gi Update Rings in Windows 10/11

Specificate un nome ed una descrizione per il profilo.

Figura 2: Nome e descrizione del profilo

Nella scheda Update ring settings configurate le impostazioni che più interessano le vostre esigenze aziendali. Per informazioni sulle impostazioni disponibili consultate la pagina Impostazioni di Windows Update. Dopo aver configurato gli Update settings e gli User experience settings, selezionate Next.

Nella figura sotto potete vedere quali sono attualmente le opzioni configurabili.

Figura 3: Configurazione degli Update settings e degli User experience settings

Nella scheda Assignments scegliete il gruppo di dispositivi che volete configurare con il profilo.

Figura 4: Gruppo di dispositivi da configurare

Figura 5: Creazione del profilo di configurazione degli Update Rings

Figura 6: Profilo di gestione degli Update Rings creato con successo

Cliccate sulla policy per avere maggiori informazioni e per eseguire le azioni sulla distribuzione degli Updates Rings. Le azioni disponibili sono: Delete, Pause, Resume, Extend e Uninstall.

Figura 7: Overview del profilo di configurazione degli Update Rings

Aggiornamenti delle funzionalità per Windows 10 e successivi

Con gli aggiornamenti delle funzionalità per Windows 10 e versioni successive in Intune è possibile selezionare la versione di aggiornamento delle funzionalità di Windows in cui si desidera che i dispositivi rimangano, ad esempio Windows 10 versione 21H1 o una versione di Windows 11.

I Feature Update vengono rilasciati una volta all’anno e come suggerisce il nome contengono aggiornamenti sulla funzionalità del sistema operativo.

I criteri degli aggiornamenti delle funzionalità di Windows funzionano tenendo presente le policy dei Ring Updates per Windows 10 e successivi, per impedire a un dispositivo di ricevere una versione delle funzionalità di Windows successiva al valore specificato nei criteri di aggiornamento delle funzionalità.

Prerequisiti

Di seguito sono riportati i prerequisiti per gli aggiornamenti delle funzionalità di Intune per Windows 10 e versioni successive:

  • Oltre a una licenza per Intune, l’organizzazione deve avere una delle sottoscrizioni seguenti che includono una licenza per il servizio di distribuzione Windows Update for Business:
    • Windows 10/11 Enterprise E3 o E5 (incluso in Microsoft 365 F3, E3 o E5)
    • Windows 10/11 Education A3 o A5 (incluso in Microsoft 365 A3 o A5)
    • Accesso a Desktop virtuale Windows E3 o E5
    • Microsoft 365 Business Premium
  • I dispositivi devono:
    • Eseguire una versione di Windows 10/11 che rimane supportata.
    • Essere registrati in MDM di Intune e essere aggiunti ad AD ibrido o ad Azure AD.
    • Fare in modo che telemetria sia attivata, con un’impostazione minima Required.
  • Sono supportate solo le seguenti versioni di Windows 10/11:
    • Pro
    • Enterprise
    • Education
    • Education
    • Pro for Workstations

 

Creazione di un profilo per la distribuzione dei Feature Update

Collegatevi al portale Microsoft Endpoint Manager admin center e selezionate Devices > Windows > Feature updates for Windows 10 and later > Create profile.

Figura 8: Creazione di un nuovo profilo di distribuzione dei Feature Update

Scegliete un nome ed una descrizione per il profilo che state configurando e scegliete dal menu a tendina quale aggiornamento da distribuire. Solo le versioni di Windows che rimangono in supporto sono disponibili per la selezione.

Figura 9: Scelta dell’aggiornamento da distribuire

È anche possibile scegliere di rimandare la distribuzione degli aggiornamenti, facendo apparire gli aggiornamenti in Windows Update solo dopo una certa data, come mostrato nella figura sotto. Con le opzioni di implementazione, è possibile configurare le opzioni di pianificazione per Windows Update che comportano l’implementazione graduale degli aggiornamenti ai dispositivi che ricevono i criteri.

Il comportamento predefinito per Windows Update consiste nel rendere immediatamente disponibile un aggiornamento a un dispositivo assegnato. Ciò non significa che l’aggiornamento verrà installato immediatamente. Al contrario, quando viene reso disponibile un aggiornamento, il dispositivo diventa idoneo per installarlo. Prima che un dispositivo possa installare un aggiornamento disponibile, il dispositivo deve connettersi a Windows Update ed eseguire l’analisi degli aggiornamenti. Quando viene confermata la necessità di un aggiornamento e il dispositivo è idoneo, il servizio Windows Update offre quindi l’aggiornamento a tale dispositivo.

Per configurare le opzioni di implementazione selezionate una delle opzioni:

  • Rendere disponibile l’aggiornamento il prima possibile : con questa opzione non c’è alcun ritardo nel rendere l’aggiornamento disponibile per i dispositivi. Questa selezione è il comportamento predefinito per Windows Update.
  • Rendere disponibile l’aggiornamento in una data specifica : con questa opzione è possibile selezionare un giorno in cui l’aggiornamento nel criterio diventerà disponibile per l’installazione. Windows Update non renderà l’aggiornamento disponibile per i dispositivi con questa configurazione fino al raggiungimento di tale giorno.
  • Rendere l’aggiornamento disponibile gradualmente: questo processo consente di distribuire la disponibilità dell’aggiornamento in un intervallo di tempo configurato, con Windows Update rendere disponibile un aggiornamento a subset diversi dei dispositivi di destinazione della policy, in momenti diversi.

Con l’opzione Rendi disponibile l’aggiornamento gradualmente, è possibile indirizzare Windows Update per distribuire gli aggiornamenti a subset diversi dei dispositivi (chiamati offer groups) di destinazione della policy, in momenti diversi. Questo comportamento distribuisce la disponibilità dell’aggiornamento nel tempo che avrete configurato e può ridurre le problematiche che potrebbero esserci nella vostra rete se gli aggiornamenti arrivassero a tutti dispositivi contemporaneamente. Windows Update assegna i dispositivi di destinazione ai gruppi in modo casuale, mantenendo uniformi le dimensioni dei gruppi.

Maggiori informazioni sono disponibili alla pagina Configurare le pianificazioni per implementare gradualmente Windows Aggiornamenti in Intune | Microsoft Learn

Figura 10: Scelta temporale della distribuzione degli aggiornamenti

Nella scheda Assignments decidete a quali gruppi di dispositivi deve essere applicata la policy.

Figura 11: Assegnazione della policy ad un gruppo di dispositivi

Figura 12: Schermata finale di creazione della policy di distribuzione dei Feature Update

    Figura 13: Policy di distribuzione dei Feature Update creata con successo

Aggiornare i dispositivi a Windows 11

È possibile usare le policy per gli aggiornamenti delle funzionalità per Windows 10 e versioni successive per aggiornare i dispositivi che eseguono Windows 10 a Windows 11. I dispositivi che non soddisfano i requisiti per Windows 11 non installano l’aggiornamento e rimangono nella versione Windows 10 corrente.

Quando sono disponibili più versioni di Windows 11, è possibile scegliere di distribuire la build più recente. Quando si distribuisce la build più recente in un gruppo di dispositivi, i dispositivi che eseguono già Windows 11 verranno aggiornati mentre i dispositivi che eseguono ancora Windows 10 verranno aggiornati a tale versione di Windows 11 se soddisfano i requisiti di aggiornamento. In questo modo, è sempre possibile aggiornare i dispositivi supportati Windows 10 alla versione più recente Windows 11 anche se si sceglie di ritardare l’aggiornamento di alcuni dispositivi fino a un momento futuro.

Utilizzate Endpoint Analitycs per determinare quali dispositivi soddisfano i requisiti hardware. Se alcuni dispositivi non soddisfano tutti i requisiti, è possibile vedere esattamente quali non sono soddisfatti.

Ho descritto tutta la procedura nella guida Microsoft Endpoint Manager – Microsoft Intune – Aggiornamento a Windows 11 – ICT Power

Distribuzione dei Quality updates

Grazie alle policy di Quality updates for Windows 10 and Later è possibile accelerare l’installazione degli aggiornamenti della sicurezza più recenti Windows 10/11 il più rapidamente possibile nei dispositivi gestiti con Microsoft Intune. Con gli aggiornamenti accelerati, è possibile velocizzare l’installazione degli aggiornamenti qualitativi, ad esempio distribuendo il più recente patch Tuesday o un aggiornamento della sicurezza per un difetto zero-day.

Prerequisiti

Di seguito sono riportati i prerequisiti per gli aggiornamenti delle funzionalità di Intune per Windows 10 e versioni successive:

  • Oltre a una licenza per Intune, l’organizzazione deve avere una delle sottoscrizioni seguenti che includono una licenza per il servizio di distribuzione Windows Update for Business:
    • Windows 10/11 Enterprise E3 o E5 (incluso in Microsoft 365 F3, E3 o E5)
    • Windows 10/11 Education A3 o A5 (incluso in Microsoft 365 A3 o A5)
    • Accesso a Desktop virtuale Windows E3 o E5
    • Microsoft 365 Business Premium
  • I dispositivi devono:
    • Eseguire una versione di Windows 10/11 che rimane supportata.
    • Essere registrati in MDM di Intune e essere aggiunti ad AD ibrido o ad Azure AD.
    • Fare in modo che telemetria sia attivata, con un’impostazione minima Required.
    • Essere configurato per ottenere Aggiornamenti qualità direttamente dal servizio Windows Update.
  • Sono supportate solo le seguenti versioni >di Windows 10/11:
    • Pro
    • Enterprise
    • Education
    • Education
    • Pro for Workstations

Collegatevi al portale Microsoft Endpoint Manager admin center e selezionate Devices > Quality updates for Windows 10 and later > Create profile.

Figura 14: Creazione di un profilo per accelerare la distribuzione dei Quality update

Date un nome ed una descrizione alla policy e dal menu a tendina Expedite installation of quality updates if device OS version less than scegliete un singolo aggiornamento da distribuire in base alla data di rilascio. Usando la data di rilascio, non è necessario creare criteri separati per distribuire istanze diverse di tale aggiornamento nei dispositivi con versioni diverse di Windows, ad esempio Windows 10 versione 21H1, 21H2 e così via.

Windows Update valuta la compilazione e l’architettura di ogni dispositivo e quindi fornisce la versione dell’aggiornamento applicabile. Solo i dispositivi che richiedono l’aggiornamento ricevono l’aggiornamento accelerato. Windows Update non tenta di accelerare l’aggiornamento per i dispositivi che hanno già una revisione uguale o maggiore della versione dell’aggiornamento.

Quando è necessario un riavvio per completare l’installazione dell’aggiornamento, i criteri consentono di gestire il riavvio indicando il numero massimo di giorni prima che venga forzato un riavvio automatico. Configurate la voce Number of days to wait before forced reboot per indicare quanto tempo dopo l’installazione dell’aggiornamento un dispositivo verrà riavviato automaticamente per completare l’installazione dell’aggiornamento.  È possibile selezionare da zero a due giorni. Il riavvio automatico viene annullato se un dispositivo viene riavviato manualmente prima della scadenza. Se un aggiornamento non richiede un riavvio, questa impostazione non viene applicata.

Un’impostazione di 0 giorni significa che non appena il dispositivo installa l’aggiornamento, l’utente riceve una notifica sul riavvio e ha un tempo limitato per salvare il lavoro. Un’impostazione di 1 giorno o 2 giorni offre agli utenti del dispositivo la flessibilità necessaria per gestire un riavvio prima che venga forzato.

Maggiori informazioni sono disponibili alla pagina Usare Intune per accelerare gli aggiornamenti qualitativi di Windows | Microsoft Learn

Figura 15: Scelta del Quality update da distribuire

Figura 16: Scelta del numero massimo di giorni prima di un riavvio forzato

Assegnate il profilo ad un gruppo di dispositivi.

Figura 17: Assegnazione del profilo ad un gruppo di dispositivi

Figura 18: Schermata finale della creazione della policy di distribuzione dei Quality Update

Figura 19: Policy creata con successo

Conclusioni

Gli aggiornamenti di Windows sono importanti perché forniscono correzioni di sicurezza, miglioramenti delle prestazioni e nuove funzionalità per il sistema operativo. Gli aggiornamenti di sicurezza sono particolarmente importanti per proteggere il computer dalle minacce online, come virus, malware e hacker. Installare regolarmente gli aggiornamenti garantisce che il sistema operativo funzioni in modo efficiente e sicuro.