Configurer les stratégies de groupe (GPO) Windows Update dans Windows 10
Les stratégies de configuration du client Windows Update sont nombreuses. Configurées incorrectement, le client Windows Update peut, par exemple, installer toutes les mises à jour (même non approuvées), ou le contraire, ne plus installer de mises à jour.
Cet article présente différents scénarios de déploiement des mises à jour Windows 10 dans un environnement d'entreprise afin de configurer correctement les stratégies de groupe pour le client Windows Update.
- Types de mises à jour pour Windows 10
- Mises à jour déployées par Windows Update
- Mises à jour déployées par Windows Update for Business
- Mises à jour déployées par WSUS
- Mises à jour des applications du Windows Store
- Restreindre les options de l'interface du client Windows Update
- Restreindre l'accès aux serveurs Windows Update sur Internet
- Incompatibilités des stratégies Windows Update
Note : cet article s'applique à Windows 10 1607 et Windows 10 1703
Types de mises à jour pour Windows 10
Pour Windows 10 il y a 2 grandes catégories de mises à jour :
Les mises à jour de qualité (Quality updates)
Cette catégorie de mises à jour correspond aux correctifs de sécurité et fiabilité disponibles pour une version de Windows 10. La mise à jour est diffusée via Windows Update, WSUS ou le catalogue Windows Update. Cette mise à jour est généralement publiée au format Microsoft Update (MSU).
Exemple de mises à jour de qualité pour Windows 10
- Mise à jour cumulative pour Windows 10
- Mise à jour pour Windows 10 (Servicing Stack)
- Mise à jour pour Adobe Flash Player pour Windows 10
Vous pouvez retrouver l'ensemble des notes de publication des mises à jour cumulative de Windows 10 ici : Windows 10 Update History
Les mises à jour de fonctionnalités (Features update)
Cette catégorie de mises à jour correspond aux nouvelles versions de Windows 10 qui sont publiées environ 2 à 3 fois par an. Cette mise à niveau vers une nouvelle build de Windows 10 est diffusée via Windows Update, WSUS et en téléchargement sur Microsoft.com. Le format de cette mise à niveau est en ESD pour Windows Update/WSUS et en .ISO (téléchargement manuel de l'image ISO).
Exemples de mises à jour de fonctionnalités :
- Windows 10 1511 (Build 10586)
- Windows 10 1607 (Build 14393)
- Windows 10 1703 (Build 15063)
Mises à jour déployées avec Windows Update
Par défaut, le client Windows Update est configuré pour télécharger et installer les mises à jour automatiquement depuis Windows Update.
Lorsqu'une mise à jour de qualité est disponible, celle-ci est automatiquement installée à partir des serveurs de Windows Update.
Lorsqu'une mise à jour de fonctionnalités est disponible pour l'ordinateur, l'installation est proposée à l'utilisateur. La mise à jour de fonctionnalités est installée à partir des serveurs Windows Update. L'utilisateur va recevoir des rappels indiquant qu'il doit valider la plage horaire d'installation.
Dans le modèle Windows as a Service, la nouvelle build de Windows 10 est publiée dans le canal de diffusion Current Branch. Elle est ensuite diffusée dans le canal Current Branch for Business (CBB) environ 4 mois après la mise à disposition de la Current Branch. Le canal de diffusion Current Branch for Business est destiné aux entreprises et nécessite d'utiliser Windows Update for Business.
Mises à jour déployées avec Windows Update for Business
Windows Update for Business est une variante de Windows Update pour les postes qui installent les mises à jour directement à partir de Windows Update (Internet). Windows Update for Business permet à l'administrateur système de décaler l'installation des mises à jour de qualité ou de fonctionnalités. Les téléchargements et installation sont effectués depuis les serveurs de Windows Update, il est donc impératif d'avoir accès aux serveurs de Windows Update pour utiliser Windows Update for Business.
Par exemple, dans Windows 10 1703, il est possible de différer l'installation des mises à jour de qualité (correctif de fiabilité et sécurité) pendant 30 jours et l'installation des mises à jour de fonctionnalités jusqu'à 1 an.
Windows Update for Business est automatiquement activé dans les cas suivants :
- L'utilisateur coche la case Différer les mises à jour ou sélectionne le canal de diffusion Current branch for Business
- L'une des stratégies suivantes est activée :
- Select when Feature Updates are received
- Select when Quality Updates are received
A partir de Windows 10 1607, la stratégie de groupe Select when Feature Updates are received indique le canal de diffusion au lieu de l'option Defer feature updates :
Impact de l 'activation de Windows Update for Business
Lorsque Windows Update for Business est activé, les mises à jour sont uniquement installées à partir des serveurs Windows Update.
Si un paramètre indique que le poste est géré par un serveur WSUS, celui-ci est tout simplement ignoré. Le poste va recevoir toutes les mises à jour disponibles à partir de Windows Update (Internet).
Vous trouverez dans l'article suivant les différentes clés de registre utilisées par Windows Update for Business ainsi que les changements entre les versions 1607 et 1703 : Configurer Windows Update for Business
Mises à jour déployées via Windows Server Updates Services (WSUS)
Vous pouvez déployer les mises à jour de qualité et de fonctionnalités à l'aide de votre environnement WSUS.
Lorsque les postes sont gérés par WSUS, c'est l'administrateur qui décide quand est-ce que les mises doivent être déployées. Le client Windows Update télécharge la liste des mises à jour installer à partir du serveur WSUS.
L'administrateur a le contrôle sur les mises à jour à installer ou à refuser.
Par exemple, tant que la version Windows 10 1703 n'est pas approuvée pour un groupe d'ordinateur, la build 1703 ne s'installera pas pour ce groupe d'ordinateur.
Configurer le déploiement des mises à jour avec WSUS
Rechercher des mises à jour depuis Windows Update même lorsque le poste est géré par WSUS
Si l'utilisateur du poste de travail est aussi administrateur de son poste, par défaut il a la possibilité de cliquer sur le lien Rechercher des mises à jour depuis Windows Update. La recherche des mises à jour est alors effectuée depuis Windows Update et toutes les mises à jour manquantes seront installées.
Important
Lorsque votre environnement est géré par WSUS, il ne faut pas configurer les GPO de Windows Update for Business : Différer les mises à jour de qualité/fonctionnalités, elles sont incompatibles dans un environnement géré par WSUS.
Si l'une des GPO est activée, le serveur WSUS est ignoré et le téléchargement est effectuée depuis Windows Update. Il est donc conseillé de laisser les GPO Différer les mises à jour de qualité/fonctionnalités dans l'état Non Configuré.
Mises à jour des applications du Windows Store
Les mises à jour des applications du Windows Store sont effectuées automatiquement depuis les serveurs de Windows Update.
Il n'est pas possible d'effectuer les mises à jour du Windows Store à partir de WSUS.
Si vous souhaitez mettre à jour les applications du Windows Store vous devez autoriser l'accès à Windows Update sur vos serveurs proxy.
Vous pouvez désactiver la mise à jour automatique des applications du Windows Store à l'aide de la stratégie suivante : Turn off automatic Download and Install of Updates.
Restreindre les options de l'interface du client Windows Update
Dans Windows 10, les options de configuration du client Windows Update ont été intégrés dans l'application Paramètres.
Dans Windows 10 1703, les éléments gérés par une stratégie (GPO/MDM) sont indiqués à l'aide d'un astérisque rouge.
Lorsque le client Windows Update est configuré pour chercher les mises à jour à partir de WSUS, le lien Check online for updates from Microsoft Update apparaît quand la recherche vers le serveur WSUS est terminé. L'utilisateur a alors la possibilité de rechercher des mises à jour à partir de Windows Update/Microsoft Update.
Une autre restriction est disponible à partir de Windows 10 1607 (14393.447) afin d'empêcher l'utilisateur de rechercher et installer les mises à jour. Vous pouvez désactiver le bouton Check for Updates à l'aide de la stratégie suivante :
- Nom : Remove access to use all Windows Update Features
- Emplacement : Computer\Administrative templates\Windows Components\Windows Update
Note : Cette stratégie désactive uniquement le bouton Check for updates, l'installation automatique des mises à jour (en arrière-plan) n'est pas désactivée.
Restreindre l'accès aux serveurs Windows Update sur Internet
Dans un environnement géré par WSUS/SCCM, les administrateurs souhaitent généralement contrôler l'installation des mises à jour dans WSUS/SCCM. Cependant, l'utilisateur peut quand même chercher les mises à jour à partir des serveurs Windows Update en cliquant sur le lien Check online for updates from Microsoft Update.
Afin de bloquer l'accès aux serveurs Windows Update, il est possible de configurer l'une des stratégies suivantes :
Nom | Emplacement | Description | Accès à WU/MU | Accès au Windows Store | Lien Check Online for updates |
Turn Off Access to all Windows Update Feature | System\Internet Communication Management\Internet Communication settings | Bloque l'accès aux services Windows Update et Microsoft Update | Non | Oui | Supprimé |
Do not connect to any Windows Update Internet locations | Windows Components\Windows Update | Bloque l'accès à tous les servies Windows Update disponibles sur Internet | Non | Non | Supprimé |
Note : La stratégie Do not connect to any Windows Update Internet locations ne fonctionne que si la stratégie Specify Intranet Microsoft Update service location est configurée.
En configurant l'une de ces stratégies, le client Windows ne pourra pas installer de mises à jour à partir des serveurs de Windows Update. Aussi, ces stratégies ne sont pas compatibles avec les stratégies de Windows Update for Business (Defer Quality/Features updates).
Conséquences de la restriction d'accès aux serveurs Windows Update
Lorsque l'accès à Windows Update est bloqué, la liste des Capabilites (Features On Demand v2) n'est pas disponible dans l'application Paramètres.
Pour ajouter les Features On Demand v2, vous devez approuver les mises à jour sur votre serveur WSUS.
Dans Windows 10, lorsque le client aura besoin de télécharger une fonctionnalité (Pack de langue, écriture manuscrite ou voix), il fera la recherche sur le serveur WSUS.
Note : Le déploiement des Features On Demand v2 n'est pas encore supporté par SCCM.
Incompatibilités des stratégies Windows Update
Comme indiqué dans les paragraphes ci-dessus, le fait de configurer plusieurs stratégies peut entraîner des problèmes pour l'installation des mises à jour. L'illustration indique le résultat lorsque différentes GPO sont appliquées en même temps.
Scénario 1 :
- Le client Windows Update est configuré pour rechercher les mises à jour à partir de WSUS.
- Les stratégies Windows Update for Business (Defer Updates) sont activées.
Résultat : La recherche des mises à jour à partir du serveur WSUS est ignorée, toutes les mises à jour sont installées à partir des serveurs Windows Update sur Internet. (Intersection WUfB et WSUS dans l'illustration)
Scénario 2 :
- Le client Windows Update est configuré pour rechercher les mises à jour à partir de WSUS.
- La stratégie Do not connect to any Windows Update Internet locations est activée.
Résultat : Les mises à jour sont effectuées à partir du serveur WSUS, mais l'installation/mises à jour des applications du Windows Store est désactivée. (Intersection WSUS et Disable WU Access dans l'illustration)
Scénario 3 :
- Le client Windows Update est configuré pour rechercher les mises à jour à partir de WSUS.
- Les stratégies Windows Update for Business sont activées.
- La stratégie Do not connect to any Windows Update Internet locations ou la stratégie Turn off all access to Windows Update Feature est activée.
Résultat : Le client Windows Update va tenter de rechercher les mises à jour sur les serveurs Windows Update, mais une stratégie empêche l'utilisation des services Windows Update. Il n'est pas possible d'effectuer la recherche, le téléchargement et l'installation des mises à jour. (Intersection WUfB, WSUS, Disable WU Access dans l'illustration).
Dans ce cas, vous pouvez recevoir les erreurs suivantes :
- 0x8024500c WU_E_REDIRECTOR_CONNECT_POLICY.
- 0x8024002e WU_E_WU_DISABLED.