Migliorare il processo di aggiornamento tramite Windows Insider for Business

Che sia in un’azienda, un istituto di istruzione oppure una Pubblica Amministrazione, mantenere costantemente aggiornati i sistemi operativi della propria Organizzazione è spesso un processo lungo e che se non affrontato correttamente può centrare i propri obiettivi quando il sistema operativo da dismettere è già fuori supporto da tempo. La quantità di computer con sistemi operativi obsoleti (Windows 7 se non addirittura Windows XP) ancora in uso, a volte proprio nei posti meno appropriati per ragioni di sicurezza e continuità del servizio, testimonia questa difficoltà.

Da quando è stato lanciato Windows 10 si parla di WaaS: Windows as a Service. Questo perché il sistema operativo non è più qualcosa di statico per tutti gli anni del suo ciclo di vita ma affronterà differenti tipi di aggiornamenti:

  • Quality Updates (oppure B Updates): sono i classici aggiornamenti che vengono rilasciati il secondo martedì del mese (Patch Tuesday) e contengono tutte le correzioni apportate al sistema operativo dalla data di rilascio. Sono aggiornamenti cumulativi: basta installare quello più recente per avere il computer completamente aggiornato.
  • Optional Updates (oppure C Updates): sono gli aggiornamenti cumulativi che vengono rilasciati in anteprima, circa a metà tra il Patch Tuesday passato e quello successivo. Contengono i miglioramenti che verranno rilasciati nel ciclo successivo. Non contengono correzioni di sicurezza ma solo di funzionalità.
  • Feature Upgrades: sono vere e proprie nuove versioni del sistema operativo. Per Windows 10 ne venivano rilasciate due ogni anno, una a maggio ed una a ottobre. Windows 11 vedrà una nuova versione ogni anno.

Una conseguenza dell’approccio WaaS è che per ricevere il supporto da Microsoft ed avere la compatibilità con i servizi cloud non solo è necessario mantenere sempre aggiornato il sistema con i più recenti aggiornamenti mensili, ma anche che la versione rientri all’interno di quelle correntemente in supporto (tipicamente quelle rilasciate negli 18 o 30 mesi). Questo approccio al supporto è chiamato Modern Lifecycle Policy, in contrapposizione al vecchio modello di Fixed Lifecycle Policy, cioè 5 anni di supporto principale + 5 anni di supporto esteso.

Il programma Windows Insider for Business ci permette di valutare in anteprima le nuove versioni di sistema operativo prima che vengano rilasciate al resto del mondo e di inviare i nostri feedback a Microsoft per poter partecipare al miglioramento del prodotto finale. Le versioni rilasciate nel canale Release Preview del programma Insider sono ufficialmente supportate, quindi in caso di problemi non saremo lasciati soli, anzi, Microsoft ha tutto l’interesse a capire se una nuova versione di Windows ha delle problematiche che vanno risolte prima di venire commercializzata.

Essendo un programma rivolto principalmente ad una clientela Enterprise, ci sono differenti metodi per distribuire queste versioni di Windows:

  • Windows Update
  • Windows Update for Business (utilizzando Intune oppure un MDM di terza parte)
  • WSUS
  • Configuration Manager

Questa guida si soffermerà sull’approccio più moderno, ovverosia la distribuzione tramite Intune su computer Azure AD Joined.

Prerequisiti

L’unico prerequisito per partecipare al flighting, ovverosia alla ricezione in anteprima delle nuove versioni di Windows, è che l’Organizzazione disponga di un tenant
Azure AD. Qualsiasi versione è supportata, anche quello gratuito (Free Tier) o quelle comprese con Office 365 o Microsoft 365.

È importante che in ambiente ibrido i dispositivi siano Hybrid Azure AD Joined oppure se in ambiente cloud-only essi siano Azure AD Joined. Nell’articolo Dispositivi Azure AD Joined, Hybrid Azure AD Joined e Azure AD Registered: facciamo chiarezza potete trovare tutte le informazioni necessarie a comprendere e verificare questo prerequisito.

Per portare a compimento questa guida dovrete aver già effettuato l’enrollment dei dispositivi Windows 10 in Intune, in quanto quest’ultimo verrà utilizzato per distribuire le configurazioni in maniera centralizzata.

Come partecipare

Come primo passaggio dobbiamo registrare il nostro tenant
Azure AD al programma, per fare ciò portarsi sulla pagina della documentazione ufficiale e premere Register now

Figura 1 – Documentazione programma WIfB

Fare quindi login con un utente Global Admin. Se avete sullo stesso indirizzo e-mail un Microsoft Account ed un account Azure AD assicuratevi di scegliere “Work or School account“. È in ogni caso raccomandato rinominare l’account privato utilizzando una e-mail privata e non quella aziendale.

Figura 2 – Login con account Azure AD

Accettate quindi i termini del contratto del Windows Insider Program for Business e proseguite con la registrazione. Siccome accetterete i termini per tutta l’organizzazione non verranno più richiesti ai singoli utenti.

Figura 3 – Accettazione termini e condizioni del programma

Verrete ora portati alla pagina di conferma della registrazione. Adesso l’organizzazione fa parte del programma Windows Insider for Business.

Figura 4 – Benvenuti al Windows Insider Program for Business

Una volta premuto il bottone Flight now verrete portati nella pagina successiva. Verificate che sotto “Flight” -> “Manage across your organization” -> “Register your domain” il vostro dominio sia già registrato.

Figura 5 – Verifica che il dominio sia registrato

Assegnare i computer al programma Windows Insider for Business

È possibile proseguire assegnando il profilo di aggiornamento ai client tramite Microsoft
Intune, utilizzando gli Update rings.

Figura 6 – Creazione Upate Ring

Le configurazioni di rilievo per quanto riguarda il programma Windows Insider for Business sono evidenziate nella Figura 7.

I giorni di update deferral serviranno a ritardare sui client l’installazione degli aggiornamenti mensili o le nuove versioni. La raccomandazione per i client che partecipano al programma è quella di mantenerla la più contenuta possibile, preferibilmente annullarla. Inserire tempi di deferral troppo lunghi renderebbe inutile la partecipazione al programma.

L’abilitazione delle pre-release builds e la selezione del canale Release Preview è il fulcro della partecipazione al programma. Solo questo canale è supportato per l’uso in produzione, gli altri sono da riservare al test oppure allo sviluppo.

Si raccomanda di inibire agli utenti la possibilità di mettere in pausa gli aggiornamenti, in quanto anche questa azione minerebbe l’utilità della partecipazione al programma.

Tutte le altre configurazioni sono personalizzabili a piacimento.

Figura 7 – Impostazioni Update Ring

Assegnare all’Update Ring un gruppo di computer che riceveranno la configurazione.

Figura 8 – Assegnazione Update Ring a gruppo Azure AD

Rivedere le impostazioni e terminare la configurazione. Si verrà riportati alla pagina iniziale.

Figura 9 – Update Ring creato

La partecipazione al Windows Insider Program for Business richiede che le impostazioni di telemetria di Windows 10 siano configurate su Optional, in maniera che Microsoft sia in grado di identificare proattivamente eventuali problemi nelle nuove versioni di Windows. Questa configurazione è obbligatoria solamente sui computer che faranno parte del programma.

Creare un nuovo Configuration Profile portandosi su “Devices” -> “Configuration Profiles” e premere “+ Create profile”

Figura 10 – Nuovo Configuration Profile

Selezionare quindi il tipo di profilo di configurazione: Platform:
Windows 10 and later, Profile type:
Templates e Template name:
Custom.

Figura 11 – Configuration Profile di tipo Custom

Assegnare quindi un nome al profilo

Figura 12 – Wizard creazione profilo

Aggiungere le seguenti impostazioni custom

Name OMA-URI Data type Value
Configure telemetry opt-in setting user interface ./Vendor/MSFT/Policy/Config/System/ConfigureTelemetryOptInSettingsUx Integer 1
Allow Telemetry ./Vendor/MSFT/Policy/Config/System/AllowTelemetry Integer 3

Figura 13 – Impostazioni OMA MDM

Verificare che tutte le configurazioni necessarie siano presenti

Figura 14 – Verifica impostazioni

Assegnare quindi la policy ad un gruppo (si può utilizzare lo stesso già usato in precedenza) e terminare la procedura

Figura 15 – Assegnazione Profilo a gruppo Azure AD

Esperienza utente

Le impostazioni della telemetria sono adesso impostate a Optional e l’utente non ha la possibilità di modificarle:

Figura 16 – Settings.exe Impostazioni Privacy

Così come potremo vedere, il computer è adesso parte del programma Insider, nel canale Release Preview. Dopo che la policy è stata applicata per la prima volta, è necessario un riavvio per vedere questa schermata, altrimenti vedrete solo una richiesta di riavvio.

Figura 17 – Settings.exe Impostazioni Windows Insider

L’applicazione Feedback Hub ci riconoscerà come Insider e potremo così influenzare lo sviluppo di Windows, assieme agli altri Insider.

Figura 18 – Feedback Hub per Insider

Conclusioni

Partecipare al programma Windows Insider for Business con l’1% dei computer della propria organizzazione ci permette di avere una migliore visibilità del futuro di Windows e scoprire potenziali incompatibilità con le proprie applicazioni.
L’utilizzo dell’App Feedback Hub ci permette di influenzare lo sviluppo di Windows e di rendere note a Microsoft eventuali problematiche con le nuove funzionalità.

La raccomandazione a chi parteciperà al programma è quella di scegliere, oltre ad un numero rappresentativo di computer del reparto IT, anche quelli di alcuni utenti chiave tecnologicamente più smaliziati, così da poter avere un riscontro sul campo.

La possibilità di segnalare eventuali incompatibilità tra le proprie applicazioni e le future versioni di Windows non ci solleva dalla responsabilità di dover mantenere le applicazioni aggiornate, eventualmente adeguando i nostri fornitori con quelli più al passo coi tempi del mercato, perché questo non fermerà Microsoft nel continuo aggiornamento di Windows. Deve essere interpretata come una forma di collaborazione matura, che funziona solamente quando la qualità dei Feedback forniti è alta.

Alla pagina Get started with the Windows Insider Program trovate la documentazione ufficiale su come implementare la soluzione, oltre alle altre modalità di distribuzione non trattate in questa guida.