Monitorare gratuitamente i Windows Updates con la Update Compliance di Microsoft Azure
La gestione di un ambiente lavorativo con dispositivi Windows 10 che offrono servizi mission critical 24 ore al giorno, 7 giorni alla settimana, può rappresentare una sfida per mantenere questi dispositivi aggiornati e distribuire gli aggiornamenti delle funzionalità. I processi usati per aggiornare i normali dispositivi con gli aggiornamenti delle funzionalità di Windows 10 spesso non sono il metodo più efficace per gestire questo tipo di servizi.
In realtà da sempre la gestione degli aggiornamenti ha rappresentato un problema in azienda e sempre più spesso mi capita di ricevere domande sulle best practices da implementare per distribuire i Windows Update. Windows as a Service offre un nuovo modo di concepire la compilazione, la distribuzione e la manutenzione del sistema operativo Windows. L’obiettivo del modello Windows as a Service è offrire continuamente nuove funzionalità e aggiornamenti, mantenendo allo stesso tempo un livello elevato di compatibilità hardware e software. Microsoft rilascia nuove funzionalità due volte all’anno, in quello che viene chiamato il Semi-Annual Channel (SAC).
Con Windows as a Service la metodologia di aggiornamento di Windows è completamente cambiata: Windows 10 suddivide l’impegno tradizionale associato alla distribuzione di un aggiornamento di Windows, che in genere avveniva a intervalli di qualche anno, in aggiornamenti più piccoli e continui.
Figura 1: Il livello di sforzo necessario per le distribuzioni tradizionali di Windows rispetto alla manutenzione di Windows 10 è ora distribuito in modo uniforme nel tempo rispetto agli aggiornamenti effettuati ogni pochi anni
In questo articolo vi voglio parlare di come monitorare gratuitamente gli aggiornamenti di Windows con Conformità aggiornamenti (Update Compliance)
Update Compliance è una soluzione di analisi di Windows che consente alle aziende di:
- Monitorare gli aggiornamenti di sicurezza, qualità e funzionalità per le edizioni di Windows 10 Professional, Education ed Enterprise.
- Visualizzare un report sui problemi relativi al dispositivo e all’aggiornamento relativi alla conformità (compliance) che richiedono attenzione.
- Verificare il risparmio di larghezza di banda quando si usa la delivery optimization.
Update Compliance viene offerto gratuitamente tramite il portale di Azure ed è incluso nelle licenze di Windows 10 Professional, Education ed Enterprise. Update Compliance raccoglie dati solo dalle versioni desktop di Windows 10 e attualmente non è compatibile con Windows Server, Surface Hub, IoT, ecc.
In più Update Compliance fornisce dati dettagliati sulla distribuzione per i dispositivi nel canale semestrale (SAC) e nel canale di manutenzione a lungo termine Long-Term Servicing Channel (LTSC). È possibile monitorare anche i dispositivi Windows Insider Preview, ma attualmente non vengono fornite informazioni dettagliate sul deployment.
I dati di diagnostica Windows 10 e Windows Defender Antivirus che vengono raccolti poi possono essere utilizzati per generare dei report. In più vengono raccolti i dati di sistema, tra cui lo stato di aggiornamento della distribuzione, i dati di configurazione di Windows Update for business , i dati di Windows Defender Antivirus e i dati sull’utilizzo della delivery optimization, che vengono inviati in Azure per poter essere archiviati e analizzati con Log Analytics.
Configurazione
Per poter utilizzare Update Compliance è necessario utilizzare il portale di Microsoft Azure. Dal Portale di Azure selezionate + Crea una risorsa e cercate la voce Update Compliance.
Figura 2: Creazione della risorsa Update Compliance nel portale di Mcirosoft Azure
Scegliete un’area di lavoro esistente di Log Analytics o create una nuova area di lavoro che verrà assegnata alla soluzione di Update Compliance. Nell’articolo Attivare un Workspace Log Analytics gratuito (per 30 giorni) in Microsoft Azure trovate tutte le indicazioni su come creare un nuovo workspace, nel caso non ne abbiate.
Figura 3: Creazione di un nuovo workspace di Log Analytics a cui collegare la risorsa Update Compliance
Distribuire l’ID commerciale ai dispositivi
Un ID commerciale è un identificatore univoco globale assegnato a una specifica area di Log Analytics che verrà utilizzato per poter collegare la macchina Windows 10 da monitorare. Per trovare l’ID commerciale dal portale di Azure andate alla scheda Soluzioni del Log Analytics Workspace che avete scelto e selezionate la soluzione WaaSUpdateInsights. Dal nodo Update Compliance Settings avrete la possibilità di copiare il vostro Commercial ID
ATTENZIONE: Rigenerate il Commercial ID solo se la chiave ID originale non può più essere usata o se si vuole reimpostare completamente l’area di lavoro. La rigenerazione del Commercial ID non può essere annullata e comporterà la perdita di dati per tutti i dispositivi che hanno l’ID commerciale corrente fino a quando non viene distribuito il nuovo ID commerciale ai dispositivi tramite Group Policy o tramite un criterio di gestione di dispositivi mobili (MDM)
a partire da Windows 10, versione 1607.
Figura 4: Recupero del Commercial ID per collegare la risorsa al workspace di Log Analytics
Distribuzione del Commercial ID tramite Group Policy
Per distribuire il Commercial ID tramite GPO e procedere alla configurazione vi basterà modificare la policy Computer Configuration\Administrative Templates\Windows Components\Data Collection and Preview Builds, sia per le macchine Windows 10 in dominio che per quelle in workgroup.
I parametri da modificare sono:
- Allow device name to be sent in Windows diagnostic data (A partire da Windows 10, versione 1803, il nome del dispositivo non viene più raccolto come parte dei normali dati di diagnostica di Windows e deve essere autorizzato esplicitamente ad essere inviato a Microsoft. Se i dispositivi non hanno questo criterio abilitato, il nome del dispositivo verrà visualizzato come “#”)
- Allow Telemetry (deve essere configurata almeno Basic (level 1))
- Configure the Commercial ID
Figura 5: Modifica della Group Policy per la distribuzione del COmmercial ID e dei dati di telemetria
NOTA: Dopo aver registrato i dispositivi (configurando CommercialID e Windows Diagnostic Data settings), potrebbero essere necessarie 24 ore per visualizzare i primi dati nella soluzione. Fino ad allora, Update Compliance indicherà che sta ancora valutando i dispositivi.
Figura 6: ci possono volere fino a 24 ore per raccogliere i primi dati e vedere funzionare la soluzione di Update Compliance
Dopo che Microsoft ha raccolto ed elaborato i dati del dispositivo associati al proprio Commercial ID, il riquadro verrà sostituito con un riepilogo con il numero totale dei dispositivi da cui si stanno ricevendo i dati.
Figura 7: Dispositivi da cui si stanno ricevendo i dati
Cliccando sull’area di lavoro Summary si verrà reindirizzati ad una blade che fornisce tutti i dettagli dei dati raccolti e ad una serie di report sugli aggiornamenti mancanti
Figura 8: La lama Panoramica della conformità di aggiornamento riepiloga tutta la conformità di aggiornamento dei dati fornita
Cliccando sui diversi riquadri sarà possibile ricevere ulteriori dettagli
Figura 9: Dettagli sullo stato dei Security Updates
Per maggiori dettagli sull’utilizzo dell’Update Compliance potete visitare il link https://docs.microsoft.com/it-it/windows/deployment/update/update-compliance-using
Conclusioni
Monitorare gli aggiornamenti di Windows e lo stato di Windows Defender Antivirus diventa estremamente semplice grazie alla soluzione gratuita di Update Compliance offerta da Microsoft Azure. Intervenire sui dispositivi che presentano problemi relativi agli aggiornamenti è indispensabile per assicurare un alto livello di sicurezza in azienda e per permettere ai dispositivi Windows 10 che offrono servizi mission critical 24 ore al giorno di poter evitare downtime dovuti a bug del sistema operativo o peggio ancora essere utilizzati dai pirati informatici come punti di accesso alla rete interna, grazie allo sfruttamento di vulnerabilità del sistema.