Procedura dettagliata: Usare CSP e MDM per configurare Windows Update per le aziende

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Stai cercando informazioni per utenti privati? Vedi Windows Update: domande frequenti

Panoramica

È possibile usare i criteri CSP (Configuration Service Provider) per controllare il funzionamento di Windows Update for Business usando uno strumento mobile Gestione dispositivi (MDM). È consigliabile prendere in considerazione e definire una strategia di distribuzione per gli aggiornamenti prima di apportare modifiche alle impostazioni di Windows Update for Business.

Un amministratore IT può impostare criteri per Windows Update per le aziende usando Microsoft Intune o uno strumento MDM non Microsoft.

Per gestire gli aggiornamenti con Windows Update for Business, è necessario prepararsi con questi passaggi, se non è già stato fatto:

• Create gruppi di sicurezza di Active Directory allineati agli anelli di distribuzione usati per distribuire in fasi gli aggiornamenti. Per altre informazioni sugli anelli di distribuzione nel client Windows, vedi Creare circuiti di distribuzione per gli aggiornamenti client Windows .
• Consentire l'accesso al servizio Windows Update.

Gestire le offerte Windows Update

È possibile controllare quando vengono applicati gli aggiornamenti, ad esempio posticipando l'installazione di un aggiornamento in un dispositivo o sospendendo gli aggiornamenti per un determinato periodo di tempo.

Determinare gli aggiornamenti che si desidera offrire ai dispositivi

Gli aggiornamenti delle funzionalità e della qualità vengono offerti automaticamente ai dispositivi connessi a Windows Update usando i criteri di Windows Update for Business. Tuttavia, è possibile scegliere se si desidera che i dispositivi ricevano anche altri Aggiornamenti Microsoft o driver applicabili a tale dispositivo.

Per abilitare Microsoft Aggiornamenti, usare Update/AllowMUUpdateService.

I driver vengono abilitati automaticamente perché sono vantaggiosi per i sistemi di dispositivi. È consigliabile consentire ai criteri driver di consentire l'aggiornamento dei driver nei dispositivi (impostazione predefinita), ma è possibile disattivare questa impostazione se si preferisce gestire manualmente i driver. Per disabilitare gli aggiornamenti dei driver per qualche motivo, usare Update/ExcludeWUDriversInQualityUpdate.

È anche consigliabile consentire gli aggiornamenti dei prodotti Microsoft, come illustrato in precedenza.

Impostare quando i dispositivi ricevono gli aggiornamenti di funzionalità e qualità

Si vogliono ricevere versioni preliminari dell'aggiornamento delle funzionalità successivo

1. Assicurarsi di essere registrati nel programma Windows Insider per le aziende. Windows Insider è un programma gratuito disponibile per i clienti commerciali per aiutarli nella convalida degli aggiornamenti delle funzionalità prima che vengano rilasciati. L'aggiunta al programma consente di ricevere gli aggiornamenti prima della loro versione, nonché di ricevere messaggi di posta elettronica e contenuti correlati a ciò che verrà visualizzato negli aggiornamenti successivi.

2. Per uno qualsiasi dei dispositivi di test che si desidera installare build non definitive, usare Update/ManagePreviewBuilds. Impostare l'opzione Abilita build di anteprima.

3. Usare Update/BranchReadinessLevel e selezionare una delle build di anteprima. Windows Insider Program Slow è il canale consigliato per i clienti commerciali che usano build non definitive per la convalida.

4. Inoltre, è possibile posticipare gli aggiornamenti delle funzionalità di versione preliminare allo stesso modo degli aggiornamenti rilasciati, impostando un periodo di differimento fino a 14 giorni usando Update/DeferFeatureUpdatesPeriodInDays. Se si esegue il test con le build lente del programma Windows Insider, è consigliabile ricevere gli aggiornamenti di anteprima al reparto IT il giorno 0, quando l'aggiornamento viene rilasciato, e quindi avere un rinvio di 7-10 giorni prima di essere distribuito al gruppo di tester. Questa pianificazione consente di garantire che, se viene rilevato un problema, è possibile sospendere l'implementazione dell'aggiornamento di anteprima prima che raggiunga i test.

Si vuole gestire l'aggiornamento della funzionalità rilasciata che i dispositivi ricevono

Un amministratore di Windows Update for Business può rinviare o sospendere gli aggiornamenti. È possibile posticipare gli aggiornamenti delle funzionalità per un massimo di 365 giorni e rinviare gli aggiornamenti qualitativi per un massimo di 30 giorni. Posticipare significa semplicemente che l'aggiornamento non viene ricevuto fino a quando non è stato rilasciato almeno per il numero di giorni di differimento specificati (data dell'offerta = data di rilascio + data di differimento). È possibile sospendere gli aggiornamenti delle funzionalità o della qualità per un massimo di 35 giorni a partire da una data di inizio specificata.

• Per rinviare un aggiornamento delle funzionalità: Update/DeferFeatureUpdatesPeriodInDays
• Per sospendere un aggiornamento della funzionalità: Update/PauseFeatureUpdatesStartTime
• Per rinviare un aggiornamento qualitativo: Update/DeferQualityUpdatesPeriodInDays
• Per sospendere un aggiornamento qualitativo: Update/PauseQualityUpdatesStartTime

Esempio

In questo esempio sono disponibili tre anelli per gli aggiornamenti qualitativi. Il primo anello ("pilota") ha un periodo di differimento di 0 giorni. Il secondo anello ("veloce") ha un rinvio di cinque giorni. Il terzo anello ("lento") ha un rinvio di dieci giorni.

Quando viene rilasciato, l'aggiornamento della qualità viene offerto ai dispositivi nell'anello pilota la volta successiva in cui analizzano gli aggiornamenti.

Cinque giorni dopo

Ai dispositivi nell'anello veloce viene offerto l'aggiornamento della qualità la volta successiva in cui analizzano gli aggiornamenti.

Dieci giorni dopo

Dieci giorni dopo il rilascio dell'aggiornamento della qualità, viene offerto ai dispositivi nell'anello lento la volta successiva che analizzano gli aggiornamenti.

Se non si verificano problemi, a tutti i dispositivi che eseguono l'analisi degli aggiornamenti viene offerto l'aggiornamento della qualità entro dieci giorni dal rilascio, in tre ondate.

Cosa accade se si verifica un problema con l'aggiornamento?

In questo esempio viene rilevato un problema durante la distribuzione dell'aggiornamento all'anello "pilota".

A questo punto, l'amministratore IT può impostare un criterio per sospendere l'aggiornamento. In questo esempio l'amministratore seleziona la casella di controllo Sospendi aggiornamenti qualitativi .

Ora tutti i dispositivi sono sospesi dall'aggiornamento per 35 giorni. Quando la pausa viene rimossa, verrà offerto loro il successivo aggiornamento qualitativo, che idealmente non avrà lo stesso problema. Se si verifica ancora un problema, l'amministratore IT può sospendere nuovamente gli aggiornamenti.

Voglio rimanere su una versione specifica

Se è necessario che un dispositivo rimanga in una versione oltre il punto in cui scadono i rinvii alla versione successiva o se è necessario ignorare una versione (ad esempio, l'aggiornamento della versione di rilascio in autunno) usare Update/TargetReleaseVersion (o Deploy Feature Aggiornamenti Preview in Intune) anziché usare i rinvii degli aggiornamenti delle funzionalità. Quando si usa questo criterio, specificare la versione in cui si desidera spostare o mantenere i dispositivi, ad esempio "1909".When you use this policy, specify the version that you want your device to move to or stay on (ad esempio, "1909"). È possibile trovare informazioni sulla versione nella pagina delle informazioni sulla versione Windows 10.

Gestire il modo in cui gli utenti sperimentano gli aggiornamenti

Si vuole gestire quando i dispositivi scaricano, installano e riavviano dopo gli aggiornamenti

È consigliabile consentire l'aggiornamento automatico, ovvero il comportamento predefinito. Se non si imposta un criterio di aggiornamento automatico, il dispositivo tenta di scaricare, installare e riavviare nei momenti migliori per l'utente usando l'intelligence predefinita, ad esempio le ore di attività intelligenti.

Per un controllo più granulare, è possibile impostare il periodo massimo di ore di attività che l'utente può impostare con Update/ActiveHoursMaxRange. È anche possibile impostare orari di inizio e fine specifici per i nostri attivi con Update/ActiveHoursEnd e Update/ActiveHoursStart.

È consigliabile evitare di impostare i criteri di orario di attività perché è abilitato per impostazione predefinita quando gli aggiornamenti automatici non sono disabilitati e offre un'esperienza migliore quando gli utenti possono impostare le proprie ore di attività.

Per eseguire l'aggiornamento al di fuori degli orari di attività, usare Update/AllowAutoUpdate con l'opzione 2 (impostazione predefinita). Per un controllo ancora più granulare, è consigliabile usare gli aggiornamenti automatici per pianificare l'ora di installazione, il giorno o la settimana. Per usare una pianificazione, usare l'opzione 3 e quindi impostare i criteri seguenti come appropriato per il piano:

• Update/ScheduledInstallDay
• Update/ScheduledInstallEveryWeek
• Update/ScheduledInstallFirstWeek
• Update/ScheduledInstallFourthWeek
• Update/ScheduledInstallSecondWeek
• Update/ScheduledInstallThirdWeek
• Update/ScheduledInstallTime

Quando si impostano questi criteri, l'installazione viene eseguita automaticamente all'ora specificata e il dispositivo verrà riavviato 15 minuti dopo il completamento dell'installazione(a meno che non venga interrotto dall'utente).

Se non si desidera consentire aggiornamenti automatici prima della scadenza, impostare Update/AllowAutoUpdate sull'opzione 5, che disattiva gli aggiornamenti automatici.

Voglio mantenere i dispositivi sicuri e conformi alle scadenze di aggiornamento

È consigliabile usare scadenze specifiche per gli aggiornamenti delle funzionalità e della qualità per garantire che i dispositivi rimangano sicuri in Windows 10 versione 1709 e successive. Le scadenze funzionano consentendo di specificare il numero di giorni che possono trascorrere dopo l'offerta di un aggiornamento a un dispositivo prima che sia necessario installarlo. È anche possibile impostare il numero di giorni che possono trascorrere dopo un riavvio in sospeso prima che l'utente venga forzato a riavviarlo. Usa queste impostazioni:

• Update/ConfigureDeadlineForFeatureUpdates
• Update/ConfigureDeadlineForQualityUpdates
• Update/ConfigureDeadlineGracePeriod
• Update/ConfigureDeadlineGracePeriodForFeatureUpdates
• Update/ConfigureDeadlineNoAutoReboot

Questi criteri offrono anche la possibilità di rifiutare esplicitamente i riavvii automatici fino a quando non viene raggiunta una scadenza presentando un'"esperienza di riavvio impegnata" fino alla scadenza effettiva della scadenza. A quel punto, il dispositivo pianifica automaticamente un riavvio indipendentemente dalle ore di attività.

Queste notifiche sono quelle visualizzate dall'utente a seconda delle impostazioni scelte:

Quando è impostato Specificare le scadenze per gli aggiornamenti automatici e i riavvii (per Windows 10, versione 1709 e successive):

• Mentre il riavvio è in sospeso, prima che si verifichi la scadenza:

  • Per i primi giorni, l'utente riceve una notifica di tipo avviso popup

  • Dopo questo periodo, l'utente riceve questa finestra di dialogo:

    

  • Se l'utente ha pianificato un riavvio o se è pianificato un riavvio automatico, 15 minuti prima dell'ora pianificata in cui l'utente riceve la notifica che il riavvio sta per verificarsi:

    

• Se il riavvio è ancora in sospeso dopo il termine della scadenza:

  • Entro 12 ore dal termine della scadenza, l'utente riceve questa notifica che indica che la scadenza si sta avvicinando:

    

  • Una volta superata la scadenza, l'utente viene costretto a riavviare per mantenere i dispositivi in conformità e riceve questa notifica:

    

Impostazioni dell'utente finale per le notifiche

Si applica a:

• Windows 11 versione 23H2 con KB5037771 o versioni successive
• Windows 11 versione 22H2 con KB5037771 o versioni successive

Gli utenti possono impostare una preferenza per le notifiche sui riavvii in sospeso per gli aggiornamenti in Impostazioni>Windows Update>Opzioni> avanzateNotifica quando è necessario un riavvio per completare l'aggiornamento. Questa impostazione è controllata dall'utente finale e non controllata o configurabile dagli amministratori IT.

Gli utenti hanno le opzioni seguenti per l'impostazione Notifica quando è necessario un riavvio per completare l'aggiornamento :

• Disattivato (impostazione predefinita): dopo che il dispositivo entra in uno stato di riavvio in sospeso per gli aggiornamenti, le notifiche di riavvio vengono eliminate per 24 ore. Durante le prime 24 ore, i riavvii automatici possono comunque verificarsi al di fuori degli orari di attività. In genere, gli utenti ricevono meno notifiche sui riavvii imminenti mentre la scadenza si avvicina.

  • Quando la scadenza è impostata per 1 giorno, gli utenti ricevono solo una notifica sulla scadenza e una notifica finale non modificabile 15 minuti prima di un riavvio forzato.

• Attivato: gli utenti ricevono immediatamente una notifica di tipo avviso popup quando il dispositivo immette uno stato di riavvio in sospeso per gli aggiornamenti. I riavvii automatici per gli aggiornamenti vengono bloccati per 24 ore dopo la notifica iniziale per dare a questi utenti il tempo di prepararsi per un riavvio. Dopo 24 ore, possono verificarsi riavvii automatici. Questa impostazione è consigliata per gli utenti che vogliono ricevere una notifica sui riavvii imminenti.

  • Quando la scadenza è impostata per 1 giorno, si verifica una notifica iniziale, il riavvio automatico viene bloccato per 24 ore e gli utenti ricevono un'altra notifica prima della scadenza e una notifica finale non modificabile 15 minuti prima di un riavvio forzato.

Quando una scadenza è impostata per 0 giorni, indipendentemente dall'opzione selezionata, l'unica notifica ricevuta dagli utenti è una notifica finale non dismissibile 15 minuti prima di un riavvio forzato.

La preferenza utente per le notifiche si applica quando vengono usati i criteri seguenti per le scadenze di conformità :

• Update/ConfigureDeadlineForFeatureUpdates
• Update/ConfigureDeadlineForQualityUpdates
• Update/ConfigureDeadlineGracePeriod
• Update/ConfigureDeadlineGracePeriodForFeatureUpdates (Windows 11, versione 22H2 o successiva)
• Update/ConfigureDeadlineNoAutoReboot

Si vogliono gestire le notifiche visualizzate da un utente

Sono disponibili impostazioni aggiuntive che influiscono sulle notifiche.

È consigliabile usare le notifiche predefinite perché mirano a offrire l'esperienza utente migliore durante la regolazione dei criteri di conformità impostati. Se sono presenti altre esigenze che non sono soddisfatte dalle impostazioni di notifica predefinite, è possibile usare i criteri Update/NoUpdateNotificationsDuringActiveHours con questi valori:

0 (impostazione predefinita) - Usare le notifiche di Windows Update predefinite
1 - Disattiva tutte le notifiche, esclusi gli avvisi di riavvio
2 - Disattiva tutte le notifiche, inclusi gli avvisi di riavvio

Nota

L'opzione 2 crea un'esperienza scadente per i dispositivi personali; è consigliabile solo per i dispositivi in modalità tutto schermo in cui i riavvii automatici sono stati disabilitati.

Altre opzioni sono disponibili in Update/ScheduleRestartWarning. Questa impostazione consente di specificare il periodo per le notifiche di promemoria di avviso per il riavvio automatico (da 2 a 24 ore; 4 ore è l'impostazione predefinita) prima dell'aggiornamento. È anche possibile specificare il periodo per il riavvio automatico delle notifiche di avviso imminenti con Update/ScheduleImminentRestartWarning (15-60 minuti è l'impostazione predefinita). È consigliabile usare le notifiche predefinite.

Si vuole gestire le impostazioni di aggiornamento a cui un utente può accedere

Ogni dispositivo Windows offre agli utenti vari controlli che possono usare per gestire Windows Aggiornamenti. Possono accedere a questi controlli tramite ricerca per trovare Windows Aggiornamenti o selezionando Aggiornamenti e sicurezza nelle impostazioni. Microsoft offre la possibilità di disabilitare un'ampia gamma di controlli accessibili agli utenti.

Gli utenti con accesso alle impostazioni di sospensione degli aggiornamenti possono impedire gli aggiornamenti delle funzionalità e della qualità per 7 giorni. È possibile impedire agli utenti di sospendere gli aggiornamenti tramite la pagina delle impostazioni di Windows Update usando Update/SetDisablePauseUXAccess. Quando si disabilita questa impostazione, gli utenti vedono alcune impostazioni gestite dall'organizzazione e le impostazioni di sospensione degli aggiornamenti sono disattivate.

Se si usa Windows Server Update Server (WSUS), è possibile impedire agli utenti di analizzare Windows Update. A tale scopo, usare Update/SetDisableUXWUAccess.

Si vogliono abilitare le funzionalità introdotte tramite la manutenzione disattivata per impostazione predefinita

(A partire da Windows 11 versione 22H2 o successiva)

Nuove funzionalità e miglioramenti vengono introdotti tramite l'aggiornamento cumulativo mensile per offrire innovazione continua per Windows 11. Per concedere alle organizzazioni il tempo necessario per pianificare e preparare, alcune di queste nuove funzionalità vengono disattivate temporaneamente per impostazione predefinita. Le funzionalità disattivate per impostazione predefinita sono elencate nell'articolo della Knowledge Base per l'aggiornamento cumulativo mensile. In genere, una funzionalità viene selezionata per essere disattivata per impostazione predefinita perché influisce in modo significativo sull'esperienza utente o sugli amministratori IT.

Le funzionalità disattivate per impostazione predefinita dagli aggiornamenti di manutenzione verranno abilitate nel prossimo aggiornamento annuale delle funzionalità. Le organizzazioni possono scegliere di distribuire gli aggiornamenti delle funzionalità al proprio ritmo, per ritardare queste funzionalità fino a quando non sono pronte.

È possibile abilitare queste funzionalità usando AllowTemporaryEnterpriseFeatureControl. Sono disponibili le opzioni seguenti:

• 0 (impostazione predefinita): non consentito. Le funzionalità che vengono spedite disattivate per impostazione predefinita rimarranno disattivate
• 1: Consentito. Tutte le funzionalità dell'ultimo aggiornamento cumulativo mensile sono abilitate.
  • Quando il criterio è impostato su 1, tutte le funzionalità attualmente disattivate verranno attivate al successivo riavvio del dispositivo.

Si vogliono abilitare gli aggiornamenti facoltativi

Si applica a:

• Windows 11 versione 22H2 con KB5029351 e versioni successive
• Windows 10 versione 22H2 con KB5032278 o un aggiornamento cumulativo successivo installato

Oltre all'aggiornamento cumulativo mensile, sono disponibili aggiornamenti facoltativi per fornire nuove funzionalità e modifiche non di sicurezza. La maggior parte degli aggiornamenti facoltativi viene rilasciata il quarto martedì del mese, nota come versioni facoltative di anteprima non di sicurezza. Gli aggiornamenti facoltativi possono includere anche funzionalità implementate gradualmente, note come implementazioni di funzionalità controllate (CFR). L'installazione degli aggiornamenti facoltativi non è abilitata per impostazione predefinita per i dispositivi che ricevono gli aggiornamenti usando Windows Update per le aziende. È tuttavia possibile abilitare gli aggiornamenti facoltativi per i dispositivi usando AllowOptionalContent. Per altre informazioni sul contenuto facoltativo, vedere Abilitare gli aggiornamenti facoltativi.