Nicola Ferrini

Gestione degli aggiornamenti dei driver Windows in Microsoft Intune

Visualizzazioni: 2.062

Il 26 giugno 2023 Microsoft ha annunciato la disponibilità generale (General Availability) della Windows Driver Firmware Management Integration in Microsoft Intune. Da oggi la funzionalità è disponibile anche per le sottoscrizioni europee.

Come precedentemente annunciato nell’articolo Coming soon to Intune: Windows driver and firmware updates – Microsoft Community Hub e successivamente nell’articolo Manage Windows driver and firmware updates with Microsoft Intune – Microsoft Community Hub sarà da ora in poi possibile esaminare, approvare per la distribuzione e sospendere le distribuzioni degli aggiornamenti dei driver per i dispositivi Windows 10 e Windows 11 gestiti da Microsoft Intune.

Microsoft Intune e il servizio di distribuzione Windows Update for Business (WUfB) si occupano di identificare gli aggiornamenti dei driver applicabili per i dispositivi a cui è stato assegnato un criterio di aggiornamento dei driver. Gli aggiornamenti sono ordinati per categorie, in modo tale da poter identificare facilmente gli aggiornamenti del driver consigliati per tutti i dispositivi o gli aggiornamenti che potrebbero essere considerati facoltativi per un uso più limitato.

La configurazione di un criterio per l’aggiornamento dei driver di Windows permetterà di:

  • Abilitare le approvazioni automatiche degli aggiornamenti consigliati dei driver. I criteri impostati per l’approvazione automatica approvano e distribuiscono automaticamente ogni nuova versione di aggiornamento del driver considerata un driver consigliato per i dispositivi assegnati ai criteri. In seguito, quando viene rilasciato un aggiornamento del driver più recente dall’OEM e identificato come aggiornamento del driver consigliato corrente, Intune lo aggiunge automaticamente ai criteri e sposta il driver consigliato in precedenza nell’elenco di altri driver.
  • Configurare i criteri per richiedere l’approvazione manuale di tutti gli aggiornamenti. Questo criterio garantisce che gli amministratori debbano approvare un aggiornamento del driver prima che possa essere distribuito. Le versioni più recenti degli aggiornamenti dei driver per i dispositivi con questo criterio vengono aggiunte automaticamente ai criteri, ma rimangono inattive fino all’approvazione.
  • Gestire i driver approvati per la distribuzione. È possibile modificare qualsiasi criterio di aggiornamento dei driver per modificare i driver approvati per la distribuzione. È possibile sospendere la distribuzione di qualsiasi singolo aggiornamento del driver per arrestarne la distribuzione nei nuovi dispositivi e quindi riapprovare l’aggiornamento sospeso per consentire a Windows Update di riprendere l’installazione nei dispositivi a cui di driver sono applicabili.

Vi consiglio di dare un’occhiata alla pagina Driver and firmware servicing in the enterprise – Microsoft Community Hub per approfondire il principio di funzionamento di Windows driver and firmware updates.

Prerequisiti

L’organizzazione deve avere una delle sottoscrizioni seguenti che includono una licenza per il servizio di distribuzione Windows Update for Business:

  • Windows 10/11 Enterprise E3 o E5 (incluso in Microsoft 365 F3, E3 o E5)
  • Windows 10/11 Education A3 o A5 (incluso in Microsoft 365 A3 o A5)
  • Virtual Desktop Access Windows E3 o E5
  • Microsoft 365 Business Premium

Gli aggiornamenti dei driver sono supportati per le seguenti edizioni di Windows 10/11:

  • Pro
  • Enterprise
  • Education
  • Pro for Workstations

Architettura di Gestione aggiornamenti driver Windows:

  1. Microsoft Intune fornisce gli ID di Azure Active Directory e le impostazioni dei criteri di Intune per i dispositivi a Windows Update for Business. Intune fornisce anche l’elenco delle approvazioni dei driver e dei comandi di sospensione per WUfB-DS.
  2. WUfB-DS configura Windows Update in base alle informazioni fornite da Intune. Windows Update fornisce l’inventario degli aggiornamenti del driver applicabile per il dispositivo.
  3. I dispositivi inviano dati a Microsoft in modo che Windows Update possa identificare gli aggiornamenti dei driver applicabili durante le normali analisi Windows Update durante la ricerca di aggiornamenti. Eventuali aggiornamenti approvati vengono installati nel dispositivo.
  4. WUfB-DS riporta i dati di diagnostica di Windows in Intune per i report.

Figura 1: Funzionamento della gestione degli aggiornamenti dei driver

Abilitare la raccolta dati per i report

Per supportare i report per gli aggiornamenti di Windows Driver, è necessario abilitare l’uso dei dati di diagnostica di Windows in Intune. È possibile che i dati di diagnostica siano già abilitati per altri report, ad esempio gli aggiornamenti delle funzionalità di Windows e i report sugli aggiornamenti qualitativi accelerati. Per abilitare l’uso dei dati di diagnostica di Windows collegatevi al Microsoft Intune admin center e posizionatevi in Tenant administration > Connectors and tokens > Windows data. Espandete Windows data e abilitate Enable features that require Windows diagnostic data in processor configuration.

Figura 2: Abilitazione della data collection for reports

Abilitazione delle Telemetria

Create un Device Restriction profile per mettere su Obbligatoria la telemetria. Nel profilo di restrizione del dispositivo, in Report e telemetria, configurate  Share usage data con il valore minimo Required. Nelle figure sotto sono mostrati tutti i passaggi per la configurazione del Device Restriction Profile.

Figura 3: Creazione di un profilo di configurazione di tipo Device Restrictions

Figura 4: Nome del profilo

Figura 5: Configurazione del valore minimo richiesto per la telemetria

Figura 6: Assegnazione del profilo ai dispositivi gestiti da Microsoft Intune

Figura 7: Configurazione di eventuali regole di applicazione del profilo di configurazione

Figura 8: Schermata finale della creazione del profilo di configurazione

Figura 9: Profilo di configurazione completato

Creazione di una Windows 10 Driver Update policy

Per creare una Windows 10 Driver Update policy collegatevi al Microsoft Intune admin center e posizionatevi in Devices > Driver updates for Windows 10 and later. Fate clic su + Create profile per creare un nuovo profilo per il controllo e per la distribuzione dei driver. Assegnate un nome al profili di configurazione. Io ho deciso di distribuire il profilo di configurazione ad un gruppo di dispositivi che fanno parte di un “ring” di aggiornamento che riceve gli updates molto velocemente, in modo tale da poterli testare prima di distribuirli in produzione.

Figura 10: Creazione del nuovo profilo di configurazione di Driver Update

Figura 11: Assegnazione del nome al profilo di configurazione di Driver Update

Nella scheda Settings potete scegliere se approvare manualmente i driver che devono essere installati o aggiornati, altrimenti potete fare in modo che gli aggiornamenti vengano installati automaticamente dopo un certo numero di giorni.

  • Enable automatic approvals of recommended driver updates: I criteri impostati per l’approvazione automatica approvano e distribuiscono automaticamente ogni nuova versione di aggiornamento del driver considerata un driver consigliato per i dispositivi assegnati ai criteri. I driver consigliati sono in genere l’aggiornamento del driver più recente pubblicato dal server di pubblicazione del driver contrassegnato come obbligatorio dal server di pubblicazione. I driver non identificati come driver consigliati correnti sono disponibili anche come altri driver, che possono essere considerati aggiornamenti facoltativi dei driver.
    In seguito, quando viene rilasciato un aggiornamento del driver più recente dall’OEM e identificato come aggiornamento del driver consigliato corrente, Intune lo aggiunge automaticamente ai criteri e sposta il driver consigliato in precedenza nell’elenco di altri driver.
  • Configure policy to require manual approval of all updates: Questo criterio garantisce che gli amministratori debbano approvare un aggiornamento del driver prima che possa essere distribuito. Le versioni più recenti degli aggiornamenti dei driver per i dispositivi con questo criterio vengono aggiunte automaticamente ai criteri, ma rimangono inattive fino all’approvazione.
    In seguito, quando è consigliabile aggiornare un driver più recente dall’OEM per un dispositivo nei criteri, lo stato dei criteri viene aggiornato per indicare che sono presenti driver in attesa della revisione. Questo stato diventa una chiamata all’azione per esaminare i criteri e decidere se si vuole approvare la distribuzione dei driver più recenti nei dispositivi.

Indipendentemente dalla configurazione dei criteri e dai driver inclusi, solo i driver approvati possono essere installati nei dispositivi. Inoltre, Windows Update installa l’aggiornamento più recente disponibile e approvato solo quando la versione è più recente di quella attualmente installata nel dispositivo.

Figura 12: Scelta del metodo di approvazione dell’installazione o dell’aggiornamento dei drivers

Io ho scelto di effettuare l’approvazione manuale del drivers.

Figura 13: I driver da installare verranno approvati manualmente

Scegliete il gruppo di dispositivi a cui sarà distribuito il profilo di configurazione di Driver Update.

Figura 14: Scelta del gruppo di dispositivi a cui sarà distribuito il profilo di configurazione di Driver Update

Figura 15: Schermata di riepilogo del profilo di configurazione di Driver Update

Una volta creata la policy sarà necessario attendere un po’ di tempo affinché i dispositivi vengano scansionati e vengano mostrati eventuali driver da installare.

Figura 16: È necessario attendere fino a 24 ore affinché i dispositivi vengano scansionati e vengano mostrati eventuali driver da installare

Figura 17: È necessario attendere fino a 24 ore affinché i dispositivi vengano scansionati

Nel mio caso c’è voluta più di un’ora per la prima sincronizzazione con Windows Update for Business.

Se ci sono driver da installare verrà mostrata la disponibilità nella colonna Drivers to review. Come si può vedere dalla figura sotto, attualmente non ci sono driver che necessitano di essere installati o aggiornati e che debbano essere distribuiti.

Figura 18: Non ci sono driver da installare, come mostrato nella colonna Drivers to review

Per maggiori informazioni e per le FAQ potete visitare la pagina Informazioni sui criteri di aggiornamento dei driver Windows per i dispositivi Windows 10 Windows 11 in Intune | Microsoft Learn

Vi consiglio anche la sessione AMA: Windows updates in Intune: drivers, firmware, and Autopatch – Microsoft Community Hub

Conclusioni

Grazie alla funzionalità di Driver and Firmware management disponibile in Microsoft Intune sarà più semplice gestire i drivers sui dispositivi Windows e potremo finalmente evitare di gestire l’installazione manuale o tramite script dei nostri drivers. In questo modo potremo semplificare il lavoro, avere sempre dispositivi aggiornati e performanti e tenere traccia degli aggiornamenti, direttamente dal portale di Microsoft Intune.