Microsoft Endpoint Manager – Microsoft Intune – Aggiornamento a Windows 11

Dal 5 ottobre 2021 è disponibile la versione definitiva di Windows 11, il nuovo sistema operativo client di Microsoft. Ormai è tempo di aggiornare i nostri dispositivi e oggi voglio mostrarvi come farlo utilizzando Microsoft Endpoint Manager.

Abbiamo visto nell’articolo Microsoft Endpoint Manager – Microsoft Intune – Introduzione alla soluzione Endpoint Analytics – ICT Power come la soluzione Endpoint Analytics aiuti ad identificare facilmente quali dispositivi possano essere aggiornati a Windows 11.

Endpoint Analytics è una soluzione disponibile in Microsoft Endpoint Manager (formerly Intune) che permette di ottenere informazioni dettagliate per misurare il funzionamento dell’organizzazione e la qualità dell’esperienza offerta agli utenti.

Dal portale di Microsoft Endpoint Manager cliccate sulla voce Reports e quindi sulla voce Endpoint Analytics

Figura 1: Endpoint Analytics in Microsoft Endpoint Manager

Work from anywhere (preview)

La possibilità per i dipendenti di lavorare da qualsiasi posizione in modo produttivo è essenziale nel mondo di oggi. Questo report offre informazioni dettagliate sulla preparazione della forza lavoro per essere produttiva ovunque ci si trovi.

Nella release del 27 luglio 2021 (Service release 2107) di Intune, Microsoft ha rilasciato un nuovo report chiamato Work from Anywhere, un’evoluzione del report Recommended Software.

Il punteggio Work from Anywhere è un numero compreso tra 0 e 100. Il punteggio rappresenta una media ponderata della percentuale di dispositivi che hanno distribuito le varie informazioni dettagliate per aiutare gli utenti finali a essere produttivi da qualsiasi luogo.

Le metriche utilizzate sono:

  • Windows: misura la percentuale di dispositivi nelle versioni supportate di Windows;
  • Gestione del cloud: misura la percentuale di PC collegati al cloud Microsoft 365 e gestiti da Configuration Manager (MECM) o da Intune;
  • Identità cloud: misura la percentuale di dispositivi joinati o registrati in Azure Active Directory (AD);
  • Provisioning cloud: misura la percentuale Windows dispositivi Intune registrati e con un profilo di distribuzione creato per Autopilot.

Figura 2: Schermata Work from anywhere

Cliccando sula scheda Windows è possibile avere un dettaglio dei dispositivi. Nel mio caso la macchina aveva uno stato Unknown per quanto riguardava la possibilità di installare Windows 11. Lo stato Unknown è abbastanza normale quando un dispositivo viene aggiunto da poco a Endpoint Analytics e nel giro di qualche ora saprete se il dispositivo è Capable o Not Capable per l’aggiornamento a Windows 11.

NOTA: I Windows 11 hardware readiness insights non impattano sul punteggio del Work from anywhere.

Endpoint Analitycs valuta le metriche hardware necessarie all’installazione di Windows 11, che potete visualizzare alla pagina Requisiti per Windows 11 – What’s new in Windows | Microsoft Docs

Per installare o eseguire l’aggiornamento a Windows 11, i dispositivi devono soddisfare i requisiti hardware minimi seguenti:

  • Processore: 1 gigahertz (GHz) o superiore, con due o più core in un processore a 64 bit compatibile o SoC (system on chip)
  • RAM: 4 gigabyte (GB) o maggiore.
  • Spazio di archiviazione: per installare Windows 11, è necessario uno spazio di archiviazione di 64 GB o maggiore.
    • Potrebbe essere necessario uno spazio di archiviazione aggiuntivo per scaricare gli aggiornamenti e abilitare funzionalità specifiche.
  • Scheda grafica: compatibile con DirectX 12 o versione successiva, con un driver WDDM 2.0.
  • Firmware di sistema: UEFI, abilitato per l’avvio protetto.
  • TPM: Trusted Platform Module versione 2.0.
  • Schermo: schermo ad alta definizione (720p), monitor da 9″ o superiore, 8 bit per canale di colore.

Consiglio la lettura dell’articolo Understanding readiness for Windows 11 with Microsoft Endpoint Manager – Microsoft Tech Community per maggiori approfondimenti.

I dispositivi che rispettano tutti i prerequisiti vengono visualizzati come Capable. Nel caso un dispositivo sia Not Capable ne verrà mostrata anche la motivazione. Nel mio caso la CPU non è tra quelle supportate.

Figura 3: Dispositivi che possono essere aggiornati a Windows 11

Aggiornamento a Windows 11

Una volta individuati i dispositivi Capable è possibile distribuire l’aggiornamento a Windows 11. Nell’aggiornamento del 4 ottobre 2021 di Endpoint Manager, Microsoft ha reso possibile l’utilizzo di Feature Updates per aggiornare i dispositivi a Windows 11.

Prerequisiti

Di seguito sono riportati i prerequisiti per i Feature updates for Windows 10/11 di Endpoint Manager (Intune):

  • Oltre a una licenza per Intune, l’organizzazione deve avere una delle sottoscrizioni seguenti:
    • Windows 10 Enterprise E3 o E5 (incluso in Microsoft 365 F3, E3 o E5)
    • Windows 10 Education A3 o A5 (incluso in Microsoft 365 A3 o A5)
    • Windows 10 Virtual Desktop Access (VDA) per utente
    • Microsoft 365 Business Premium
  • I dispositivi devono:
    • Eseguire una versione di Windows 10/11 che rimane supportata.
    • Avere l’enrollment in Intune ed essere Hybrid AD joined oppure Azure AD joined.
    • Avere la Telemetria abilitata, in modalità Required

Come prima operazione ho creato un gruppo dinamico di dispositivi con Windows 10, versione 2004 – 20H2 e 21H1 utilizzando la query (device.deviceOSType -contains “Windows”) and (device.deviceOSVersion -startsWith “10.0.1904”)

In questo modo tutti computer con Windows 10 che hanno la build che inizia per 10.0.1904* faranno parte del gruppo. Per avere maggiori informazioni sui numeri di build di Windows 10 vi rimando alla lettura della pagina Windows 10 – release information | Microsoft Docs

Figura 4: Versione correnti di Windows 10

Ovviamente la creazione del gruppo dinamico è a puro titolo di esempio. Utilizzate i gruppi che preferite e partite sempre dall’aver verificato che i vostri dispositivi ma soprattutto le applicazioni siano compatibili con Windows 11.

Figura 5: Creazione di un gruppo dinamico di dispositivi

Figura 6: Query utilizzata per la creazione del gruppo

In base alla query che ho utilizzato, al gruppo dinamico sono stati aggiungi Windows 10, versione 20H2 (build 19042) e Windows 10, versione 21H1 (build 19043).

Figura 7: Dispositivi che fanno parte del gruppo

Distribuzione del profilo di aggiornamento a Windows 11

Per creare un nuovo profilo di aggiornamento a Windows 11 è sufficiente seguire i semplici passaggi riportati nelle figure sotto:

Figura 8: Creazione di un nuovo profilo per la distribuzione delle Feature updates

Figura 9: Scelta del profilo da distribuire – Windows 11

Figura 10: Assegnazione del profilo al gruppo di dispositivi compatibili

Figura 11: Schermata di riepilogo con le impostazioni del profilo di aggiornamento a Windows 11

Figura 12: Creazione del profilo di aggiornamento a Windows 11 completata

Dal portale di Endpoint Manager, nella sezione Reports sarà possibile verificare a che punto sono gli aggiornamenti, cliccando sul nodo Windows updates (preview).

Figura 13: Reportistica sugli aggiornamenti di Windows

Nella figura sotto si può vedere che nel giro di poco tempo Windows 11 comincerà ad essere distribuito sulle macchine di destinazione.

Figura 14: L’aggiornamento di Windows 11 viene distribuito in maniera automatica tramite la configurazione di Endpoint Manager

Cliccando sulla scheda Reports di Windows updates (preview) è possibile generare dei report che mostrano lo stato di avanzamento degli aggiornamenti. Questo report fornisce informazioni sullo stato di installazione degli aggiornamenti basate sullo stato di aggiornamento dal dispositivo e dettagli degli aggiornamenti specifici del dispositivo. I dati in questo report sono rapportati al tempo, indicano il nome e lo stato del dispositivo oltre ad altri dettagli relativi all’aggiornamento. In più il report supporta anche operazioni di filtro, ricerca, impaginazione e ordinamento.

Nelle figure sotto sono mostrati i semplici passaggi necessari alla generazione del report. Alla pagina Use Update Compliance reports for Windows Updates in Microsoft Intune – Microsoft Intune | Microsoft Docs trovate maggiori informazioni sul report generato.

Figura 15: Generazione dei Windows Feature Update Report

Figura 16: Scelta del deployment di cui generare il report

Nell’elenco seguente sono descritte le colonne disponibili nella visualizzazione:

  • Dispositivi – Nome del dispositivo.
  • UPN: identificatore utente di Intune (posta elettronica).
  • ID dispositivo di Intune: identificatore di dispositivo di Intune.
  • ID dispositivo AAD: Azure Active Directory per il dispositivo.
  • Ora ultimo evento: l’ultima volta che sono stati esersi nuovi dati o si è verificato qualcosa per il dispositivo e l’aggiornamento.
  • Stato aggiornamento: stato dell’aggiornamento per il dispositivo. I dati di stato iniziali provengono dal lato del servizio, ovvero lo stato dell’aggiornamento nel sistema prima dell’inizio dell’installazione nel dispositivo. Quando sono disponibili dati sul lato client, vengono visualizzati i dati lato client, che sostituiscono i dati sul lato server.
  • Update Substate : versione dettagliata di basso livello dello stato di aggiornamento.
  • Aggiorna stato aggregato: riepilogo di alto livello dello stato di aggiornamento, ad esempio In corso o Errore.
  • Tipo di avviso: se applicabile, Tipo di avviso visualizza il messaggio di avviso più recente.
  • Dettagli avviso – Questa colonna non è in uso.
  • Ora ultima analisi: ultima volta in cui il dispositivo ha eseguito un’analisi per Windows aggiornamento.

Le informazioni riportate di seguito si applicano a Stato aggiornamento e Update Substate (Stato secondario aggiornamento):

  • Dati lato servizio:
    • In sospeso:
      • Convalida: l’aggiornamento non può essere offerto al dispositivo a causa di un problema di convalida con il dispositivo e Windows aggiornamento.
      • Pianificato: l’aggiornamento non è pronto per essere offerto al dispositivo, ma è pianificato per l’offerta.
    • In attesa:
      • Admin paused (Sospeso dall’amministratore) – L’aggiornamento è in attesa perché la distribuzione è stata sospesa da un’azione esplicita dell’amministratore.
      • ServicePaused – L’aggiornamento è in attesa a causa di un’azione automatica da Windows Update.
    • Annullato:
      • Admin Cancelled : l’offerta di aggiornamento è stata annullata da un’azione esplicita dell’amministratore.
      • Servizio annullato: l’aggiornamento è stato annullato a causa di un’azione automatica Windows Aggiornamento.
      • Rimosso dalla distribuzione: l’offerta di aggiornamento è stata annullata perché è stata rimossa dall’azione Distribuzione da amministratore esplicita.
    • Offerta:
      • OfferReady – L’aggiornamento viene attualmente offerto al dispositivo da Windows Update.
  • Dati lato client:
    • In attesa:
      • Deferred (Posticipato) – I criteri di Windows Update per le aziende (WUfB) causano il rinvio dell’aggiornamento offerto nel dispositivo.
    • Offerta:
      • Offer Received (Offerta ricevuta) – Il dispositivo è stato analizzato per Windows Update e l’aggiornamento risulta applicabile ma non è iniziato il download.
    • Installazione:
      • Download Start (Inizio download) – Il processo di download è iniziato.
      • Download Complete (Download completato) – Il processo di download è stato completato.
      • Install Start (Inizio installazione) – Il processo di installazione pre-riavvio è stato avviato.
      • Install Complete (Installazione completata) – Il processo di installazione pre-riavvio è terminato. Se l’aggiornamento non richiede un riavvio, il processo di aggiornamento termina qui.
      • Restart Required (Riavvio richiesto) – È richiesto un riavvio per completare l’aggiornamento.
      • Riavvio avviato: il dispositivo è stato riavviato.
      • Restart Complete (Riavvio completato) – Il dispositivo è pronto dopo il riavvio.
    • Installata:
      • Update Installed (Aggiornamento installato) – L’aggiornamento è stato installato correttamente.
    • Disinstallazione:
      • Disinstalla: il dispositivo sta disinstallando attivamente l’aggiornamento.
      • Rollback – È stato avviato il ripristino di un aggiornamento precedente a causa di un problema grave durante l’installazione.
      • Update Uninstalled (Aggiornamento disinstallato) – L’aggiornamento è stato disinstallato correttamente.
      • Rollback complete (Rollback completato) – Il ripristino dello stato precedente è stato completato.
    • Annullato:
      • User Cancelled (Annullato dall’utente) – Un utente ha annullato l’aggiornamento.
      • Dispositivo annullato: il dispositivo ha annullato l’aggiornamento per un utente. Questa azione è in genere dovuta al fatto che l’aggiornamento non è più applicabile.
  • Altro:
    • Needs attention (Attenzione richiesta): Il dispositivo ha un problema e richiede attenzione.

Figura 17: Report generato

Il report può essere ricreato in qualsiasi momento per visualizzare lo stato di avanzamento degli aggiornamenti.

Figura 18: Aggiornamento a Windows 11 completata e richiesta di riavvio del dispositivo

Conclusioni

L’aggiornamento a Windows 11 effettuato con Microsoft Endpoint Manager è enormemente semplificato, sia perché siamo in grado di individuare facilmente i dispositivi compatibili grazie ad Endpoint Analytics, sia perché bastano pochi passaggi per poter distribuire l’aggiornamento con i Feature updates for Windows 10 e successivi.