Condividi tramite

Come usare Criteri di gruppo per distribuire un rollback di un problema noto

  • Articolo

Questo articolo descrive come configurare Criteri di gruppo per l'uso di una definizione di criteri di rollback dei problemi noti (KIR) che attiva un kir kir nei dispositivi gestiti.

Si applica a: Windows Server (Tutte le versioni supportate), Client Windows (Tutte le versioni supportate)

Riepilogo

Microsoft ha sviluppato una nuova tecnologia di manutenzione windows denominata KIR per Windows Server 2019 e Windows 10, versioni 1809 e successive. Per le versioni supportate di Windows, un KIR esegue il rollback di una modifica specifica applicata come parte di una versione di Windows Update non di sicurezza. Tutte le altre modifiche apportate come parte di tale versione rimangono intatte. Usando questa tecnologia, se un aggiornamento di Windows causa una regressione o un altro problema, non è necessario disinstallare l'intero aggiornamento e restituire il sistema all'ultima configurazione valida nota. Si esegue il rollback solo della modifica che ha causato il problema. Questo rollback è temporaneo. Dopo che Microsoft rilascia un nuovo aggiornamento che risolve il problema, il rollback non è più necessario.

Importante

Le kir si applicano solo agli aggiornamenti non di sicurezza. Questo perché il rollback di una correzione per un aggiornamento non di sicurezza non crea una potenziale vulnerabilità di sicurezza.

Microsoft gestisce il processo di distribuzione KIR per i dispositivi non aziendali. Per i dispositivi aziendali, Microsoft fornisce i file MSI di definizione dei criteri KIR. Le aziende possono quindi usare Criteri di gruppo per distribuire kir in domini ibridi di Microsoft Entra ID o servizi di Dominio di Active Directory ( AD DS).

Note

È necessario riavviare i computer interessati per applicare questa modifica a Criteri di gruppo.

Processo KIR

Se Microsoft determina che un aggiornamento non di sicurezza presenta una regressione critica o un problema simile, Microsoft genera un kir. Microsoft annuncia il kir nel dashboard di integrità di Windows e aggiunge le informazioni alle posizioni seguenti:

Per i clienti non aziendali, il processo di Windows Update applica automaticamente l'opzione KIR. Non è richiesta alcuna azione da parte dell'utente.

Per i clienti aziendali, Microsoft fornisce un file MSI di definizione dei criteri. I clienti aziendali possono propagare il kir ai sistemi gestiti usando l'infrastruttura di Criteri di gruppo dell'organizzazione.

Per un esempio di file MSI KIR, scaricare Windows 10 (2004 & 20H2) Problema noto rollback 031321 01.msi.

Una definizione di criteri KIR ha una durata limitata (al massimo alcuni mesi). Dopo che Microsoft pubblica un aggiornamento modificato per risolvere il problema originale, la kir non è più necessaria. La definizione dei criteri può quindi essere rimossa dall'infrastruttura di Criteri di gruppo.

Applicare KIR a un singolo dispositivo usando Criteri di gruppo

Per usare Criteri di gruppo per applicare un kir a un singolo dispositivo, seguire questa procedura:

  1. Scaricare il file MSI di definizione dei criteri KIR nel dispositivo.

    Importante

    Assicurarsi che il sistema operativo elencato nel nome file .msi corrisponda al sistema operativo del dispositivo da aggiornare.

  2. Eseguire il file .msi nel dispositivo. Questa azione installa la definizione dei criteri KIR nel modello amministrativo.
  3. Aprire l'Editor Criteri di gruppo locali. A tale scopo, selezionare Start e quindi immettere gpedit.msc.
  4. Selezionare Criteri>computer locali Configurazione>computer Modelli>amministrativi KB ####### Problema XXX Rollback>di Windows 10, versione YYMM.

    Note

    In questo passaggio è ####### il numero di articolo della Knowledge Base dell'aggiornamento che ha causato il problema. XXX è il numero di problema e YYMM è il numero di versione di Windows 10.

  5. Fare clic con il pulsante destro del mouse sul criterio e quindi scegliere Modifica>disabilitato>OK.
  6. Riavviare il dispositivo.

Per altre informazioni su come usare l'Editor Criteri di gruppo locali, vedere Utilizzo delle impostazioni dei criteri dei modelli amministrativi tramite l'Editor Criteri di gruppo locali.

Applicare un kir ai dispositivi in un dominio ibrido di Microsoft Entra ID o Active Directory Domain Services tramite Criteri di gruppo

Per applicare una definizione di criteri KIR ai dispositivi che appartengono a un dominio ibrido di Microsoft Entra ID o AD DS, seguire questa procedura:

  1. Scaricare e installare i file MSI KIR
  2. Creare un oggetto Criteri di gruppo.
  3. Creare e configurare un filtro WMI che applica l'oggetto Criteri di gruppo.
  4. Collegare l'oggetto Criteri di gruppo e il filtro WMI.
  5. Configurare l'oggetto Criteri di gruppo.
  6. Monitorare i risultati dell'oggetto Criteri di gruppo.

1. Scaricare e installare i file MSI kir

  1. Controllare le informazioni sulla versione kir o gli elenchi dei problemi noti per identificare le versioni del sistema operativo da aggiornare.
  2. Scaricare la definizione dei criteri KIR .msi file necessari per eseguire l'aggiornamento al computer usato per gestire Criteri di gruppo per il dominio.
  3. Eseguire i file di .msi. Questa azione installa la definizione dei criteri KIR nel modello amministrativo.

    Note

    Le definizioni dei criteri vengono installate nella cartella C:\Windows\PolicyDefinitions . Se è stato implementato l'archivio centrale Criteri di gruppo, è necessario copiare i file admx e adml nell'archivio centrale.

2. Creare un oggetto Criteri di gruppo

  1. Aprire Console Gestione Criteri di gruppo e quindi selezionare Foresta: Domini DomainName>.
  2. Fare clic con il pulsante destro del mouse sul nome di dominio, quindi scegliere Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui.
  3. Immettere il nome del nuovo oggetto Criteri di gruppo (ad esempio, KIR Issue XXX) e quindi selezionare OK.

Per altre informazioni su come creare oggetti Criteri di gruppo, vedere Creare un oggetto Criteri di gruppo.

3. Creare e configurare un filtro WMI che applica l'oggetto Criteri di gruppo

  1. Fare clic con il pulsante destro del mouse su Filtri WMI e quindi scegliere Nuovo.

  2. Immettere un nome per il nuovo filtro WMI.

  3. Immettere una descrizione del filtro WMI, ad esempio Filtra per tutti i dispositivi Windows 10 versione 2004.

  4. Selezionare Aggiungi.

  5. In Query immettere la stringa di query seguente:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Importante

    In questa stringa <VersionNumber> rappresenta la versione di Windows a cui applicare l'oggetto Criteri di gruppo. Il numero di versione deve usare il formato seguente (escludere le parentesi quadre quando si usa il numero nella stringa):

    10.0.xxxxx

    dove xxxxx è un numero di cinque cifre. Attualmente, le kir supportano le versioni seguenti:

    Versione Numero build
    Windows 10, versione 20H2 10.0.19042
    Windows 10, versione 2004 10.0.19041
    Windows 10, versione 1909 10.0.18363
    Windows 10, versione 1903 10.0.18362
    Windows 10, versione 1809 10.0.17763

    Per un elenco aggiornato delle versioni e dei numeri di build di Windows, vedi Informazioni sulla versione di Windows 10.

    Importante

    I numeri di build elencati nella pagina delle informazioni sulla versione di Windows 10 non includono il prefisso 10.0 . Per usare un numero di build nella query, è necessario aggiungere il prefisso 10.0 .

Per altre informazioni su come creare filtri WMI, vedere Creare filtri WMI per l'oggetto Criteri di gruppo.

  1. Selezionare l'oggetto Criteri di gruppo creato in precedenza, aprire il menu Filtro WMI e quindi selezionare il filtro WMI appena creato.
  2. Selezionare per accettare il filtro.

5. Configurare l'oggetto Criteri di gruppo

Modificare l'oggetto Criteri di gruppo per usare i criteri di attivazione kir:

  1. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo creato in precedenza e quindi scegliere Modifica.
  2. Nell'Editor Criteri di gruppo selezionare Criteri di>gruppoConfigurazione computer Modelli>amministrativi>KB ####### Problema XXX Rollback>di Windows 10, versione YYMM.
  3. Fare clic con il pulsante destro del mouse sul criterio e quindi scegliere Modifica>disabilitato>OK.

Per altre informazioni su come modificare oggetti Criteri di gruppo, vedere Modificare un oggetto Criteri di gruppo da Console Gestione Criteri di gruppo.

6. Monitorare i risultati dell'oggetto Criteri di gruppo

Nella configurazione predefinita di Criteri di gruppo, i dispositivi gestiti devono applicare i nuovi criteri entro 90 a 120 minuti. Per velocizzare questo processo, è possibile eseguire gpupdate nei dispositivi interessati per verificare manualmente la presenza di criteri aggiornati.

Assicurarsi che ogni dispositivo interessato venga riavviato dopo l'applicazione dei criteri.

Importante

La correzione che ha introdotto il problema è disabilitata dopo che il dispositivo applica i criteri e quindi viene riavviato.

Distribuire un'attivazione KIR usando l'inserimento di criteri ADMX di Microsoft Intune nei dispositivi gestiti

Note

Per usare le soluzioni in questa sezione, è necessario installare l'aggiornamento cumulativo rilasciato il 26 luglio 2022 o versione successiva nel computer.

Criteri di gruppo e oggetti Criteri di gruppo non sono compatibili con soluzioni basate sulla gestione dei dispositivi mobili (MDM), ad esempio Microsoft Intune. Queste istruzioni illustrano come usare le impostazioni personalizzate di Intune per l'inserimento ADMX e configurare i criteri MDM supportati da ADMX per eseguire un'attivazione KIR senza richiedere un oggetto Criteri di gruppo.

Per eseguire un'attivazione KIR nei dispositivi gestiti da Intune, seguire questa procedura:

  1. Scaricare e installare il file MSI KIR per ottenere i file ADMX.
  2. Creare un profilo di configurazione personalizzato in Microsoft Intune.
  3. Monitorare l'attivazione kir.

1. Scaricare e installare il file MSI KIR per ottenere i file ADMX

  1. Controllare le informazioni sulla versione kir o gli elenchi dei problemi noti per identificare le versioni del sistema operativo da aggiornare.

  2. Scaricare la definizione dei criteri KIR necessaria .msi file nel computer usato per accedere a Microsoft Intune.

    Note

    Sarà necessario accedere al contenuto di un file ADMX di attivazione KIR.

  3. Eseguire i .msi file. Questa azione installa la definizione dei criteri KIR nel modello amministrativo.

    Note

    Le definizioni dei criteri vengono installate nella cartella C:\Windows\PolicyDefinitions .

    Se si desidera estrarre i file ADMX in un'altra posizione, usare il msiexec comando con la proprietà TARGETDIR . Ad esempio:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Creare un profilo di configurazione personalizzato in Microsoft Intune

Per configurare i dispositivi per eseguire un'attivazione KIR, è necessario creare un profilo di configurazione personalizzato per ogni sistema operativo dei dispositivi gestiti. Per creare un profilo personalizzato, seguire questa procedura:

  1. Selezionare proprietà e aggiungere informazioni di base del profilo.
  2. Aggiungere un'impostazione di configurazione personalizzata per inserire file ADMX per l'attivazione KIR.
  3. Aggiungere un'impostazione di configurazione personalizzata per impostare nuovi criteri di attivazione kir.
  4. Assegnare i dispositivi al profilo di configurazione personalizzato dell'attivazione kir.
  5. Usare le regole di applicabilità per i dispositivi di destinazione per ricevere le impostazioni di configurazione personalizzate KIR dal sistema operativo.
  6. Esaminare e creare un profilo di configurazione personalizzato per l'attivazione di KIR.

R. Selezionare le proprietà e aggiungere informazioni di base sul profilo

  1. Accedere all'interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Dispositivi>Profili di configurazione>Crea profilo.

  3. Selezionare le proprietà seguenti:

    • Piattaforma: Windows 10 e versioni successive
    • Profilo: Modelli>personalizzati

  4. Seleziona Crea.

  5. In Dati principali, immettere le seguenti proprietà:

    • Nome: immettere un nome descrittivo per il criterio. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido è "Attivazione 04/30 KIR – Windows 10 21H2".
    • Descrizione: immetti una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.

    Note

    Il tipo piattaforma e profilo deve avere già i valori selezionati.

  6. Seleziona Avanti.

Note

Per altre informazioni sulla creazione di profili di configurazione e impostazioni di configurazione personalizzati, vedere Usare le impostazioni dei dispositivi personalizzate in Microsoft Intune.

Prima di procedere con i due passaggi successivi, aprire il file ADMX in un editor di testo (ad esempio, Blocco note) in cui è stato estratto il file. Il file ADMX deve trovarsi nel percorso C:\Windows\PolicyDefinitions se è stato installato come file MSI.

Ecco un esempio del file ADMX:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Registrare i valori per policy name e parentCategory. Queste informazioni si trovano nel nodo "policies" alla fine del file.

B. Aggiungere un'impostazione di configurazione personalizzata per inserire file ADMX per l'attivazione kir

Questa impostazione di configurazione viene usata per installare i criteri di attivazione kir nei dispositivi di destinazione. Per aggiungere le impostazioni di inserimento ADMX, seguire questa procedura:

  1. In Impostazioni di configurazione selezionare Aggiungi.

  2. Immetti le proprietà seguenti:

    • Nome: immettere un nome descrittivo per l'impostazione di configurazione. Denominare le impostazioni in modo da poterle identificare facilmente in un secondo momento. Ad esempio, un nome di impostazione ottimale è "Inserimento ADMX: attivazione 04/30 KIR – Windows 10 21H2".

    • Descrizione: immettere una descrizione per l'impostazione. Questa impostazione è facoltativa ma consigliata.

    • OMA-URI: immettere la stringa ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/ADMX Policy/<ADMX Policy Name>.

      Note

      Sostituire <ADMX Policy Name> con il valore del nome del criterio registrato dal file ADMX. Ad esempio, "KB5011563_220428_2000_1_KnownIssueRollback".

    • Tipo di dati: selezionare String.

    • Valore: aprire il file ADMX con un editor di testo, ad esempio Blocco note. Copiare e incollare l'intero contenuto del file ADMX che si intende inserire in questo campo.

  3. Selezionare Salva.

C. Aggiungere un'impostazione di configurazione personalizzata per impostare nuovi criteri di attivazione kir

Questa impostazione di configurazione viene usata per configurare i criteri di attivazione kir, definiti nel passaggio precedente.

Seguire questa procedura per aggiungere le impostazioni di configurazione dell'attivazione kir:

  1. In Impostazioni di configurazione selezionare Aggiungi.

  2. Immetti le proprietà seguenti:

    • Nome: immettere un nome descrittivo per l'impostazione di configurazione. Denominare le impostazioni in modo da poterle identificare facilmente in un secondo momento. Ad esempio, un buon nome di impostazione è "Attivazione KIR: attivazione 04/30 KIR – Windows 10 21H2".

    • Descrizione: immettere una descrizione per l'impostazione. Questa impostazione è facoltativa ma consigliata.

    • OMA-URI: immettere la stringa ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Note

      Sostituire Categoria <padre> con la stringa di categoria padre registrata nel passaggio precedente. Ad esempio, "KnownIssueRollback_Win_11". Sostituire <ADMX Policy Name> con lo stesso nome di criterio usato nel passaggio precedente.

    • Tipo di dati: selezionare String.

    • Valore: immettere <disabilitato/>.

  3. Selezionare Salva.

  4. Seleziona Avanti.

D. Assegnare i dispositivi al profilo di configurazione personalizzato dell'attivazione kir

Dopo aver definito le operazioni del profilo di configurazione personalizzato, seguire questa procedura per identificare i dispositivi che verranno configurati:

  1. In Assegnazioni selezionare Aggiungi tutti i dispositivi.
  2. Seleziona Avanti.

E. Usare le regole di applicabilità per i dispositivi di destinazione per ricevere le impostazioni di configurazione personalizzate KIR dal sistema operativo

Per impostare come destinazione i dispositivi in base al sistema operativo applicabili al Gruppo di gruppo, aggiungere una regola di applicabilità per controllare la versione del sistema operativo del dispositivo (build) prima di applicare questa configurazione. È possibile cercare i numeri di build per il sistema operativo supportato nelle pagine seguenti:

I numeri di build mostrati nelle pagine sono formattati come MMMMM.mmmm (M= versione principale e m= versione secondaria). Le proprietà Della versione del sistema operativo usano le cifre della versione principale. I valori della versione del sistema operativo immessi nelle regole di applicabilità devono essere formattati come "10.0.MMMMM". Ad esempio, "10.0.22000".

Seguire queste istruzioni per impostare le regole di applicabilità corrette per l'attivazione kir:

  1. In Regole di applicabilità creare una regola di applicabilità immettendo le proprietà seguenti nella regola vuota già presente nella pagina:

    • Regola: selezionare Assegna profilo se dall'elenco a discesa.
    • Proprietà: selezionare Versione del sistema operativo dall'elenco a discesa.
    • Valore: immettere i numeri di versione Min e Max OS formattati come "10.0.MMMMM".

  2. Seleziona Avanti.

Note

La versione del sistema operativo di un dispositivo è reperibile eseguendo il winver comando dal menu Start. Verrà visualizzato un numero di versione in due parti separato da un ".". Ad esempio, "22000.613". È possibile aggiungere il numero sinistro a "10.0". per la versione minima del sistema operativo. Ottenere il numero di versione max del sistema operativo aggiungendo 1 all'ultima cifra del numero di versione min os. Per questo esempio, è possibile usare questi valori:
Versione minima del sistema operativo: "10.0.22000"
Versione massima del sistema operativo: "10.0.22001"

F. Esaminare e creare un profilo di configurazione personalizzato per l'attivazione kir

Esaminare le impostazioni del profilo di configurazione personalizzato e selezionare Crea.

3. Monitorare l'attivazione kir

L'attivazione KIR dovrebbe essere in corso ora. Seguire questa procedura per monitorare lo stato del profilo di configurazione:

  1. Passare a Dispositivi>Profili di configurazione e selezionare un profilo esistente. Ad esempio, selezionare un profilo macOS.

  2. Selezionare la scheda Panoramica. In questa visualizzazione lo stato dell'assegnazione del profilo include gli stati seguenti:

    • Operazione completata: i criteri vengono applicati correttamente.
    • Errore: impossibile applicare i criteri. Il messaggio visualizza in genere un codice di errore che si collega a una spiegazione.
    • Conflitto: due impostazioni vengono applicate allo stesso dispositivo e Intune non può risolvere il conflitto. Un amministratore deve esaminare il conflitto.
    • In sospeso: il dispositivo non è ancora stato archiviato con Intune per ricevere i criteri.
    • Non applicabile: il dispositivo non può ricevere i criteri. Ad esempio, i criteri aggiornano un'impostazione specifica per iOS 11.1, ma il dispositivo usa iOS 10.

Per altre informazioni, vedere Monitorare i profili di configurazione dei dispositivi in Microsoft Intune.

Ulteriori informazioni