Compartir a través de

Cómo usar la directiva de grupo para implementar una reversión de problemas conocidos

  • Artículo

En este artículo se describe cómo configurar la directiva de grupo para usar una definición de directiva de reversión de problemas conocidos (KIR) que activa un KIR en dispositivos administrados.

Se aplica a: Windows Server (todas las versiones compatibles), cliente de Windows (todas las versiones compatibles)

Resumen

Microsoft ha desarrollado una nueva tecnología de mantenimiento de Windows denominada KIR para Windows Server 2019 y Windows 10, versiones 1809 y versiones posteriores. Para las versiones compatibles de Windows, un KIR revierte un cambio específico que se aplicó como parte de una versión de Windows Update que no es de seguridad. Todos los demás cambios realizados como parte de esa versión permanecen intactos. Con esta tecnología, si una actualización de Windows provoca una regresión u otro problema, no es necesario desinstalar toda la actualización y devolver el sistema a la última configuración correcta conocida. Solo revierte el cambio que provocó el problema. Esta reversión es temporal. Después de que Microsoft publique una nueva actualización que corrija el problema, la reversión ya no es necesaria.

Importante

Los KIR solo se aplican a actualizaciones que no son de seguridad. Esto se debe a que revertir una corrección para una actualización no de seguridad no crea una posible vulnerabilidad de seguridad.

Microsoft administra el proceso de implementación de KIR para dispositivos que no son empresariales. En el caso de los dispositivos empresariales, Microsoft proporciona archivos MSI de definición de directiva KIR. Después, las empresas pueden usar la directiva de grupo para implementar KIR en dominios híbridos de Microsoft Entra ID o Servicios de dominio de Active Directory (AD DS).

Nota:

Tiene que reiniciar los equipos afectados para aplicar este cambio de directiva de grupo.

El proceso KIR

Si Microsoft determina que una actualización de no seguridad tiene una regresión crítica o un problema similar, Microsoft genera un KIR. Microsoft anuncia el KIR en el Panel de mantenimiento de Windows y agrega la información a las siguientes ubicaciones:

En el caso de los clientes que no son empresariales, el proceso de Windows Update aplica el KIR automáticamente. No se requiere ninguna acción del usuario.

Para los clientes empresariales, Microsoft proporciona un archivo MSI de definición de directiva. Los clientes empresariales pueden propagar el KIR a los sistemas administrados mediante la infraestructura de directiva de grupo empresarial.

Para ver un ejemplo de un archivo MSI kir, descargue Windows 10 (2004 y 20H2) problema conocido 031321 01.msi.

Una definición de directiva KIR tiene una duración limitada (unos meses, como máximo). Después de que Microsoft publique una actualización modificada para solucionar el problema original, el KIR ya no es necesario. A continuación, la definición de directiva se puede quitar de la infraestructura de directiva de grupo.

Aplicar KIR a un único dispositivo mediante la directiva de grupo

Para usar la directiva de grupo para aplicar un KIR a un único dispositivo, siga estos pasos:

  1. Descargue el archivo MSI de definición de directiva KIR en el dispositivo.

    Importante

    Asegúrese de que el sistema operativo que aparece en el .msi nombre de archivo coincide con el sistema operativo del dispositivo que desea actualizar.

  2. Ejecute el archivo .msi en el dispositivo. Esta acción instala la definición de directiva KIR en la plantilla administrativa.
  3. Abra el Editor de directivas de grupo Local. Para ello, seleccione Inicio y, a continuación, escriba gpedit.msc.
  4. Seleccione Directiva de equipo local Configuración>del equipo>Plantillas>administrativas KB ####### Problema XXX Reversión>de Windows 10, versión YYMM.

    Nota:

    En este paso, ####### es el número de artículo de KB de la actualización que provocó el problema. XXX es el número de problema y YYMM es el número de versión de Windows 10.

  5. Haga clic con el botón derecho en la directiva y seleccione Editar>deshabilitado>Aceptar.
  6. Reinicie el dispositivo.

Para obtener más información sobre cómo usar el Editor de directivas de grupo local, vea Trabajar con la configuración de directiva de plantilla administrativa mediante el Editor de directivas de grupo local.

Aplicar un KIR a los dispositivos de un identificador híbrido de Microsoft Entra o un dominio de AD DS mediante la directiva de grupo

Para aplicar una definición de directiva KIR a los dispositivos que pertenecen a un identificador híbrido de Microsoft Entra o a un dominio de AD DS, siga estos pasos:

  1. Descarga e instalación de los archivos MSI de KIR
  2. Cree un objeto de directiva de grupo (GPO).
  3. Cree y configure un filtro WMI que aplique el GPO.
  4. Vincule el GPO y el filtro WMI.
  5. Configure el GPO.
  6. Supervise los resultados del GPO.

1. Descargar e instalar los archivos MSI kir

  1. Compruebe la información de la versión kir o las listas de problemas conocidos para identificar qué versiones del sistema operativo tiene que actualizar.
  2. Descargue la definición de directiva KIR .msi archivos que necesita actualizar al equipo que usa para administrar la directiva de grupo del dominio.
  3. Ejecute los archivos .msi. Esta acción instala la definición de directiva KIR en la plantilla administrativa.

    Nota:

    Las definiciones de directiva se instalan en la carpeta C:\Windows\PolicyDefinitions . Si ha implementado el almacén central de directivas de grupo, debe copiar los archivos .admx y .adml en el Almacén central.

2. Creación de un GPO

  1. Abra consola de administración de directivas de grupo y, a continuación, seleccione Bosque: Dominios DeNombreDeDominios>.
  2. Haga clic con el botón derecho en el nombre de dominio y seleccione Crear un GPO en este dominio y vincule aquí.
  3. Escriba el nombre del nuevo GPO (por ejemplo, KIR Issue XXX) y, a continuación, seleccione Aceptar.

Para obtener más información sobre cómo crear GPO, vea Crear un objeto de directiva de grupo.

3. Crear y configurar un filtro WMI que aplique el GPO

  1. Haga clic con el botón derecho en Filtros WMI y, a continuación, seleccione Nuevo.

  2. Escriba un nombre para el nuevo filtro WMI.

  3. Escriba una descripción del filtro WMI, como Filtro para todos los dispositivos Windows 10, versión 2004.

  4. Seleccionar Agregar.

  5. En Consulta, escriba la siguiente cadena de consulta:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Importante

    En esta cadena, <VersionNumber> representa la versión de Windows a la que desea que se aplique el GPO. El número de versión debe usar el siguiente formato (excluya los corchetes cuando use el número de la cadena):

    10.0.xxxxx

    donde xxxxx es un número de cinco dígitos. Actualmente, los KIR admiten las siguientes versiones:

    Versión Número de compilación
    Windows 10, versión 20H2 10.0.19042
    Windows 10, versión 2004 10.0.19041
    Windows 10 versión 1909 10.0.18363
    Windows 10, versión 1903 10.0.18362
    Windows 10, versión 1809 10.0.17763

    Para obtener una lista actualizada de las versiones de Windows y los números de compilación, consulte Windows 10 - información de versión.

    Importante

    Los números de compilación que aparecen en la página de información de la versión de Windows 10 no incluyen el prefijo 10.0 . Para usar un número de compilación en la consulta, debe agregar el prefijo 10.0 .

Para obtener más información sobre cómo crear filtros WMI, vea Crear filtros WMI para el GPO.

  1. Seleccione el GPO que creó anteriormente, abra el menú Filtrado de WMI y, a continuación, seleccione el filtro WMI que acaba de crear.
  2. Seleccione para aceptar el filtro.

5. Configurar el GPO

Edite el GPO para usar la directiva de activación de KIR:

  1. Haga clic con el botón derecho en el GPO que creó anteriormente y, a continuación, seleccione Editar.
  2. En el Editor de directivas de grupo, seleccione GPOName>Configuración del>equipo Plantillas>administrativas PROBLEMA ####### XXX Reversión>de Windows 10, versión YYMM.
  3. Haga clic con el botón derecho en la directiva y seleccione Editar>deshabilitado>Aceptar.

Para obtener más información sobre cómo editar GPO, vea Editar un objeto de directiva de grupo de GPMC.

6. Supervisar los resultados del GPO

En la configuración predeterminada de la directiva de grupo, los dispositivos administrados deben aplicar la nueva directiva en un plazo de 90 a 120 minutos. Para acelerar este proceso, puede ejecutarse gpupdate en dispositivos afectados para comprobar manualmente las directivas actualizadas.

Asegúrese de que cada dispositivo afectado se reinicie después de aplicar la directiva.

Importante

La corrección que introdujo el problema está deshabilitada después de que el dispositivo aplique la directiva y, a continuación, se reinicie.

Implementación de una activación de KIR mediante la ingesta de directivas de ADMX de Microsoft Intune en los dispositivos administrados

Nota:

Para usar las soluciones de esta sección, debe instalar la actualización acumulativa que se publica el 26 de julio de 2022 o una posterior en el equipo.

Las directivas de grupo y los GPO no son compatibles con soluciones basadas en la administración de dispositivos móviles (MDM), como Microsoft Intune. Estas instrucciones le guiarán a través de cómo usar la configuración personalizada de Intune para la ingesta de ADMX y configurar directivas MDM respaldadas por ADMX para realizar una activación KIR sin necesidad de un GPO.

Para realizar una activación de KIR en dispositivos administrados por Intune, siga estos pasos:

  1. Descargue e instale el archivo MSI kir para obtener archivos ADMX.
  2. Cree un perfil de configuración personalizado en Microsoft Intune.
  3. Supervisar la activación de KIR.

1. Descargue e instale el archivo MSI kir para obtener archivos ADMX

  1. Compruebe la información de versión de KIR o las listas de problemas conocidos para identificar qué versiones del sistema operativo (SO) debe actualizar.

  2. Descargue la definición de directiva KIR necesaria .msi archivos en el equipo que usa para iniciar sesión en Microsoft Intune.

    Nota:

    Necesitará acceso al contenido de un archivo ADMX de activación kir.

  3. Ejecute los .msi archivos. Esta acción instala la definición de directiva KIR en la plantilla administrativa.

    Nota:

    Las definiciones de directiva se instalan en la carpeta C:\Windows\PolicyDefinitions .

    Si desea extraer los archivos ADMX en otra ubicación, use el msiexec comando con la propiedad TARGETDIR . Por ejemplo:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Crear un perfil de configuración personalizado en Microsoft Intune

Para configurar dispositivos para realizar una activación de KIR, debe crear un perfil de configuración personalizado para cada sistema operativo de los dispositivos administrados. Para crear un perfil personalizado, siga estos pasos:

  1. Seleccione propiedades y agregue información básica del perfil.
  2. Agregue una configuración personalizada para ingerir archivos ADMX para la activación de KIR.
  3. Agregue una configuración personalizada para establecer la nueva directiva de activación de KIR.
  4. Asigne dispositivos al perfil de configuración personalizada de activación de KIR.
  5. Use reglas de aplicabilidad para dirigirse a dispositivos para recibir opciones de configuración personalizadas de KIR por sistema operativo.
  6. Revise y cree el perfil de configuración personalizada de activación de KIR.

A Seleccionar propiedades y agregar información básica sobre el perfil

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Perfiles de configuración de dispositivos>>Crear perfil.

  3. Seleccione las siguientes propiedades:

    • Plataforma: Windows 10 y versiones posteriores
    • Perfil: Plantillas>personalizadas

  4. Seleccione Crear.

  5. En Datos básicos, escriba las propiedades siguientes:

    • Nombre: escribe un nombre descriptivo para la directiva. Asigna un nombre a las directivas para poder identificarlas fácilmente más adelante. Por ejemplo, un buen nombre de directiva es "04/30 KIR Activation – Windows 10 21H2".
    • Descripción: escribe una descripción de la directiva. Esta configuración es opcional, pero se recomienda.

    Nota:

    El tipo de plataforma y perfil ya deben tener valores seleccionados.

  6. Seleccione Siguiente.

Nota:

Para obtener más información sobre cómo crear perfiles de configuración personalizados y opciones de configuración, vea Usar la configuración de dispositivos personalizados en Microsoft Intune.

Antes de continuar con los dos pasos siguientes, abra el archivo ADMX en un editor de texto (por ejemplo, bloc de notas) donde se extrajo el archivo. El archivo ADMX debe estar en la ruta de acceso C:\Windows\PolicyDefinitions si la instaló como archivo MSI.

Este es un ejemplo del archivo ADMX:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Registre los valores de policy name y parentCategory. Esta información se encuentra en el nodo "policies" al final del archivo.

B. Adición de una configuración personalizada para ingerir archivos ADMX para la activación de KIR

Esta configuración se usa para instalar la directiva de activación de KIR en los dispositivos de destino. Siga estos pasos para agregar la configuración de ingesta de ADMX:

  1. En Configuración, seleccione Agregar.

  2. Introduzca las siguientes propiedades:

    • Nombre: escriba un nombre descriptivo para la configuración. Asigne un nombre a la configuración para que pueda identificarlos fácilmente más adelante. Por ejemplo, un buen nombre de configuración es "Ingesta de ADMX: activación de KIR 04/30 – Windows 10 21H2".

    • Descripción: escriba una descripción para la configuración. Esta configuración es opcional, pero se recomienda.

    • OMA-URI: escriba la cadena ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Nota:

      Reemplace <ADMX Policy Name> por el valor del nombre de la directiva grabada del archivo ADMX. Por ejemplo, "KB5011563_220428_2000_1_KnownIssueRollback".

    • Tipo de datos: seleccione Cadena.

    • Valor: abra el archivo ADMX con un editor de texto (por ejemplo, bloc de notas). Copie y pegue todo el contenido del archivo ADMX que pretende ingerir en este campo.

  3. Haga clic en Guardar.

C. Adición de una configuración personalizada para establecer la nueva directiva de activación de KIR

Esta configuración se usa para configurar la directiva de activación de KIR, que se define en el paso anterior.

Siga estos pasos para agregar las opciones de configuración de activación de KIR:

  1. En Configuración, seleccione Agregar.

  2. Introduzca las siguientes propiedades:

    • Nombre: escriba un nombre descriptivo para la configuración. Asigne un nombre a la configuración para que pueda identificarlos fácilmente más adelante. Por ejemplo, un buen nombre de configuración es "Activación kir: activación de KIR: activación de KIR 04/30 : Windows 10 21H2".

    • Descripción: escriba una descripción para la configuración. Esta configuración es opcional, pero se recomienda.

    • OMA-URI: escriba la cadena ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Nota:

      Reemplace <Categoría primaria> por la cadena de categoría primaria registrada en el paso anterior. Por ejemplo, "KnownIssueRollback_Win_11". Reemplace <ADMX Policy Name (Nombre> de directiva de ADMX) por el mismo nombre de directiva usado en el paso anterior.

    • Tipo de datos: seleccione Cadena.

    • Valor: escriba <disabled/>.

  3. Haga clic en Guardar.

  4. Seleccione Siguiente.

D. Asignación de dispositivos al perfil de configuración personalizada de activación de KIR

Después de definir lo que hace el perfil de configuración personalizado, siga estos pasos para identificar qué dispositivos configurará:

  1. En Asignaciones, seleccione Agregar todos los dispositivos.
  2. Seleccione Siguiente.

E. Uso de reglas de aplicabilidad para los dispositivos de destino para recibir opciones de configuración personalizadas de KIR por sistema operativo

Para dirigirse a los dispositivos por sistema operativo que sean aplicables a GP, agregue una regla de aplicabilidad para comprobar la versión del sistema operativo del dispositivo (compilación) antes de aplicar esta configuración. Puede buscar los números de compilación del sistema operativo admitido en las páginas siguientes:

Los números de compilación que se muestran en las páginas tienen el formato MMMMM.mmmm (M= versión principal y m= versión secundaria). Las propiedades Versión del sistema operativo usan los dígitos de la versión principal. Los valores versión del sistema operativo especificados en las reglas de aplicabilidad deben tener el formato "10.0.MMMMM". Por ejemplo, "10.0.22000".

Siga estas instrucciones para establecer las reglas de aplicabilidad correctas para la activación de KIR:

  1. En Reglas de aplicabilidad, cree una regla de aplicabilidad escribiendo las siguientes propiedades en la regla en blanco ya en la página:

    • Regla: seleccione Asignar perfil si está en la lista desplegable.
    • Propiedad: seleccione Versión del sistema operativo en la lista desplegable.
    • Valor: escriba los números de versión min y Max OS con el formato "10.0.MMMMM".

  2. Seleccione Siguiente.

Nota:

La versión del sistema operativo de un dispositivo se puede encontrar ejecutando el winver comando desde el menú Inicio. Mostrará un número de versión de dos partes separados por ".". Por ejemplo, "22000.613". Puede anexar el número izquierdo a "10.0" para la versión mínima del sistema operativo. Obtenga el número máximo de versión del sistema operativo agregando 1 al último dígito del número de versión del sistema operativo mínimo. En este ejemplo, puede usar estos valores:
Versión mínima del sistema operativo: "10.0.22000"
Versión máxima del sistema operativo: "10.0.22001"

F. Revisión y creación de un perfil de configuración personalizada de activación de KIR

Revise la configuración del perfil de configuración personalizado y seleccione Crear.

3. Supervisar la activación de KIR

La activación de KIR debería estar en curso ahora. Siga estos pasos para supervisar el progreso del perfil de configuración:

  1. Vaya a Perfiles de configuración de dispositivos> y seleccione un perfil existente. Por ejemplo, seleccione un perfil de macOS.

  2. Seleccione la pestaña Información general . En esta vista, el estado de asignación de perfiles incluye los siguientes estados:

    • Correcto: la directiva se aplica correctamente.
    • Error: no se pudo aplicar la directiva. El mensaje suele mostrar un código de error que se vincula a una explicación.
    • Conflicto: se aplican dos opciones de configuración al mismo dispositivo y Intune no puede ordenar el conflicto. Un administrador debe revisar el conflicto.
    • Pendiente: el dispositivo aún no se ha protegido con Intune para recibir la directiva.
    • No aplicable: el dispositivo no puede recibir la directiva. Por ejemplo, la directiva actualiza una configuración específica de iOS 11.1, pero el dispositivo usa iOS 10.

Para obtener más información, consulte Supervisión de perfiles de configuración de dispositivos en Microsoft Intune.

Más información