Nicola Ferrini

Fine del supporto a Windows 10: Aggiornamento a Windows 11 con Microsoft Intune e Windows Update for Business

Visualizzazioni: 606

Con la fine del supporto a Windows 10 prevista per ottobre 2025, è fondamentale pianificare con anticipo la migrazione dei vostri dispositivi aziendali a Windows 11. Microsoft Intune offre uno strumento centralizzato per gestire e semplificare questo passaggio in modo efficiente e sicuro.

Windows Update for Business (WUfB) è uno strumento fondamentale che consente agli amministratori IT di mantenere aggiornati i dispositivi Windows 10 e 11 con le ultime patch di sicurezza e funzionalità. Questo servizio collega direttamente i dispositivi al sistema Windows Update di Microsoft. Grazie a Microsoft Intune, potete configurare e gestire le politiche di aggiornamento di WUfB in modo efficiente, automatizzando il processo di patching e migliorando la sicurezza della vostra infrastruttura IT.

Prerequisiti per l’aggiornamento a Windows 11

Prima di iniziare l’aggiornamento tramite Intune, assicuratevi che i vostri dispositivi soddisfino i seguenti requisiti minimi imposti da Microsoft per poter installare Windows 11:

  • CPU: Processore a 64 bit compatibile con almeno 1 GHz e due core.
  • RAM: Almeno 4 GB.
  • Spazio di archiviazione: Almeno 64 GB.
  • Firmware di sistema: Compatibile con UEFI e avvio protetto (Secure Boot).
  • TPM: Trusted Platform Module (TPM) versione 2.0.
  • Schermo: Superiore a 9 pollici, risoluzione HD (720p).
  • Connessione internet: Necessaria per il download e l’attivazione.

Prerequisiti per la configurazione di Windows Update for Business in Microsoft Intune

Prima di procedere con la configurazione, assicuratevi di soddisfare i seguenti requisiti:

  • Sistemi operativi supportati: Windows 10/11 Pro, Enterprise, Team e Holographic for Business. Le versioni LTSC non sono supportate.​
  • Requisiti di enrollment dei dispositivi: I dispositivi devono essere gestiti da Microsoft Intune, devono essere Entra Joined oppure Hybrid Entra Joined

Tipi di aggiornamenti supportati in Intune

Windows Update for Business supporta le seguenti categorie di aggiornamenti per dispositivi Windows 10/11:​

  • Aggiornamenti delle funzionalità (feature update): Nuove versioni del sistema operativo che introducono funzionalità aggiuntive.​
  • Aggiornamenti qualitativi (quality update): Aggiornamenti cumulativi che forniscono correzioni di sicurezza e miglioramenti della stabilità.​
  • Aggiornamenti dei driver (driver update): Aggiornamenti per i driver hardware approvati da Microsoft.​
  • Aggiornamenti dei prodotti Microsoft (Microsoft Update): Aggiornamenti per altri prodotti Microsoft installati sul dispositivo.

Configurazione degli Update Ring in Microsoft Intune

Per gestire gli aggiornamenti tramite Windows Update for Business, è necessario configurare gli “Update Ring” in Microsoft Intune, che determinano come e quando gli aggiornamenti vengono installati sui dispositivi.

Entrate nella console di amministrazione di Microsoft Intune e navigate in Devices > Windows updates e selezionate la scheda Update rings. Fate clic su + Create profile per lanciare il wizard di creazione del profilo.

Figura 1: Creazione di un nuovo profilo di Update rings

Inserite un nome descrittivo per il profilo.

Figura 2: Nome del profilo di Update rings

Nella scheda Update ring settings troverete diverse configurazioni.

Sezione: Update Settings

  • Microsoft product updates: Impostazione per consentire o bloccare gli aggiornamenti per altri prodotti Microsoft oltre a Windows (es. Office).
  • Windows drivers: Determina se consentire l’installazione automatica degli aggiornamenti per i driver hardware approvati da Microsoft.
  • Quality update deferral period (days): Specifica il numero di giorni di ritardo (deferral) per l’installazione degli aggiornamenti qualitativi. Un valore di 0 significa che gli aggiornamenti verranno applicati immediatamente dopo il rilascio.
  • Feature update deferral period (days): Indica il numero di giorni di ritardo per l’installazione degli aggiornamenti delle funzionalità. Anche qui, il valore 0 implica che gli aggiornamenti saranno installati subito.

Upgrade Windows 10 devices to latest Windows 11 release

Questa opzione consente di decidere se aggiornare automaticamente i dispositivi Windows 10 alla versione più recente di Windows 11:

  • Yes: L’aggiornamento a Windows 11 avverrà automaticamente se il dispositivo soddisfa i requisiti minimi.
  • No: L’aggiornamento a Windows 11 sarà bloccato, mantenendo i dispositivi su Windows 10.

Set feature update uninstall period (2-60 days)

Permette di definire il numero di giorni durante i quali è possibile disinstallare un aggiornamento delle funzionalità dopo la sua installazione.

Enable pre-release builds

Questa opzione consente di ricevere versioni preliminari di Windows (ad esempio, Insider Builds).

  • Select pre-release channel: Se si abilitano le build di anteprima, qui si può scegliere il canale (es. Windows Insider – Release Preview).

User Experience Settings

  • Automatic update behavior: Specifica il comportamento automatico per l’installazione degli aggiornamenti.
  • Active hours start / end: Definisce l’intervallo di ore durante le quali il dispositivo non dovrebbe riavviarsi per completare gli aggiornamenti.
  • Option to pause Windows updates: Permette o meno di sospendere temporaneamente gli aggiornamenti.
  • Option to check for Windows updates: Consente agli utenti di verificare manualmente la presenza di aggiornamenti.
  • Change notification update level: Specifica come e quando gli utenti ricevono notifiche sugli aggiornamenti.

Use deadline settings

Controlla se applicare le scadenze per l’installazione obbligatoria degli aggiornamenti.

  • Deadline for feature updates: Numero di giorni entro cui gli aggiornamenti delle funzionalità devono essere obbligatoriamente installati dopo il loro rilascio.
  • Deadline for quality updates: Numero di giorni entro cui devono essere installati gli aggiornamenti qualitativi.
  • Grace period: Periodo di tolleranza in giorni prima che l’aggiornamento venga forzatamente installato.
  • Auto reboot before deadline: Imposta se il dispositivo può riavviarsi automaticamente prima della scadenza della deadline per completare l’installazione.

Figura 3: scheda Update ring settings

Suggerimenti di configurazione

  • Se volete minimizzare l’impatto sugli utenti, impostate un periodo di deferral per gli aggiornamenti qualitativi.
  • Considerate l’uso delle deadlines per garantire che gli aggiornamenti critici vengano applicati senza ritardi eccessivi.
  • Utilizzate le active hours in modo strategico per evitare riavvii indesiderati durante l’orario lavorativo.
  • Valutate attentamente l’opzione di aggiornamento automatico a Windows 11 in base alla compatibilità dei vostri dispositivi e alle esigenze aziendali.

Figura 4: Scope Tags da utilizzare per il profilo

Specificate i gruppi di dispositivi o utenti ai quali verrà applicata la configurazione del ring di aggiornamento.

Suggerimenti utili

  • Test su gruppi pilota: Prima di estendere la policy a tutta l’organizzazione, è buona prassi applicarla inizialmente a un gruppo di test per verificare l’efficacia e rilevare eventuali problemi.
  • Utilizzo dei filtri: Se il gruppo contiene molti dispositivi ma si desidera limitare l’applicazione della policy solo ad alcuni, configurate i filtri in modo appropriato.
  • Esclusione strategica: Utilizzate la sezione di esclusione per esentare dispositivi critici o ambienti di produzione sensibili.

Figura 5: Gruppo di test al quale verrà applicata la configurazione del ring di aggiornamento

Figura 6: Schermata riepilogativa del profilo degli Update Rings

Figura 7: Profilo creato con successo

Esperienza utente

Attendete che il profilo di configurazione venga distribuito sulle macchine di test. Nelle figure sotto sono mostrate le diverse schermate relative alla configurazione di Windows Update for Business delle macchine e della distribuzione dell’ultima build disponibile di Windows 11 (al momento della scrittura di questa guida Windows 11, version 24H2.

Figura 8: Gli aggiornamento di Windows sono configurati in maniera centralizzata

Figura 9: Gli aggiornamento di Windows sono configurati tramite il profilo di Update Ring di Microsoft Intune

Figura 10: Download di Windows 11 su Windows 10 Pro

Figura 11: installazione di Windows 11 su Windows 10 Pro

Figura 12: Completamento dell’installazione di Windows 11 su Windows 10 Pro e riavvio della macchina

Figura 13: Installazione di Windows 11 completata con successo

Conclusioni

La gestione del patching tramite Microsoft Intune e Windows Update for Business rappresenta una strategia efficace per garantire che i dispositivi della vostra organizzazione rimangano aggiornati, sicuri e conformi alle policy aziendali. Configurando correttamente gli Update Ring e seguendo le best practice suggerite, potrete minimizzare i rischi di interruzioni operative e garantire una distribuzione controllata degli aggiornamenti.

Grazie agli Update Ring, è inoltre possibile gestire l’aggiornamento dei dispositivi a Windows 11, assicurandosi che vengano rispettati i requisiti hardware e le tempistiche aziendali.

Ricordate l’importanza di utilizzare gruppi di test per monitorare l’efficacia delle configurazioni prima della distribuzione generale. Il monitoraggio continuo e una comunicazione chiara con gli utenti finali completeranno una strategia di aggiornamento efficace