Compartilhar via

Como usar a Política de Grupo para implantar uma Reversão de Problemas Conhecidos

  • Artigo

Este artigo descreve como configurar a Política de Grupo para usar uma definição de política de REVERSÃO de Problemas Conhecidos (KIR) que ativa um KIR em dispositivos gerenciados.

Aplica-se a: Windows Server (todas as versões com suporte), cliente Windows (todas as versões com suporte)

Resumo

A Microsoft desenvolveu uma nova tecnologia de manutenção do Windows chamada KIR para Windows Server 2019 e Windows 10, versões 1809 e versões posteriores. Para as versões com suporte do Windows, um KIR reverte uma alteração específica que foi aplicada como parte de uma versão não relacionada à segurança do Windows Update. Todas as outras alterações feitas como parte desse lançamento permanecem intactas. Ao usar essa tecnologia, se uma atualização do Windows causar uma regressão ou outro problema, você não precisará desinstalar a atualização inteira e retornar o sistema à última configuração válida. Você reverte apenas a alteração que causou o problema. Essa reversão é temporária. Depois que a Microsoft lança uma nova atualização que corrige o problema, a reversão não é mais necessária.

Importante

Os KIRs se aplicam apenas a atualizações não relacionadas à segurança. Isso ocorre porque reverter uma correção para uma atualização não relacionada à segurança não cria uma possível vulnerabilidade de segurança.

A Microsoft gerencia o processo de implantação do KIR para dispositivos não corporativos. Para dispositivos corporativos, a Microsoft fornece arquivos MSI de definição de política KIR. As empresas podem usar a Política de Grupo para implantar KIRs em domínios híbridos do Microsoft Entra ID ou do AD DS (Active Directory Domain Services).

Observação

Você precisa reiniciar os computadores afetados para aplicar essa alteração de Diretiva de Grupo.

O processo KIR

Se a Microsoft determinar que uma atualização não relacionada à segurança tem uma regressão crítica ou um problema semelhante, a Microsoft gerará um KIR. A Microsoft anuncia o KIR no Painel de Integridade do Windows e adiciona as informações aos seguintes locais:

Para clientes não corporativos, o processo do Windows Update aplica o KIR automaticamente. Não é necessária nenhuma ação do usuário.

Para clientes corporativos, a Microsoft fornece um arquivo MSI de definição de política. Os clientes corporativos podem propagar o KIR para sistemas gerenciados usando a infra-estrutura de Diretiva de Grupo corporativa.

Para ver um exemplo de um arquivo KIR MSI, baixe o Windows 10 (2004 & 20H2) Known Issue Rollback 031321 01.msi.

Uma definição de política KIR tem uma vida útil limitada (alguns meses, no máximo). Depois que a Microsoft publica uma atualização alterada para resolver o problema original, o KIR não é mais necessário. A definição de diretiva pode ser removida da infra-estrutura de Diretiva de Grupo.

Aplicar KIR a um único dispositivo usando a Política de Grupo

Para usar a Política de Grupo para aplicar um KIR a um único dispositivo, siga estas etapas:

  1. Baixe o arquivo MSI de definição de política KIR para o dispositivo.

    Importante

    Verifique se o sistema operacional listado no nome do arquivo .msi corresponde ao sistema operacional do dispositivo que você deseja atualizar.

  2. Execute o arquivo .msi no dispositivo. Essa ação instala a definição de política KIR no Modelo Administrativo.
  3. Abra o Editor de Política de Grupo Local. Para fazer isso, selecione Iniciar e insira gpedit.msc.
  4. Selecione Política>do Computador Local Configuração do Computador>Modelos>Administrativos KB ####### Problema XXX Reversão>do Windows 10, versão YYMM.

    Observação

    Nesta etapa, ####### é o número do artigo da base de dados de conhecimento da atualização que causou o problema. XXX é o número do problema e YYMM é o número da versão do Windows 10.

  5. Clique com o botão direito do mouse na política e selecione Editar>Desabilitado>OK.
  6. Reinicie o dispositivo.

Para obter mais informações sobre como usar o Editor de Diretiva de Grupo Local, consulte Trabalhando com as configurações de diretiva de Modelo Administrativo usando o Editor de Diretiva de Grupo Local.

Aplicar um KIR a dispositivos em um domínio híbrido do Microsoft Entra ID ou AD DS usando Política de Grupo

Para aplicar uma definição de política KIR a dispositivos que pertencem a um domínio híbrido do Microsoft Entra ID ou AD DS, siga estas etapas:

  1. Baixe e instale os arquivos KIR MSI
  2. Crie um GPO (Objeto de Política de Grupo).
  3. Crie e configure um filtro WMI que aplique o GPO.
  4. Vincule o GPO e o filtro WMI.
  5. Configure o GPO.
  6. Monitore os resultados do GPO.

1. Baixe e instale os arquivos KIR MSI

  1. Verifique as informações de versão do KIR ou as listas de problemas conhecidos para identificar quais versões do sistema operacional você precisa atualizar.
  2. Baixe a definição de política KIR .msi arquivos que você precisa atualizar para o computador que você usa para gerenciar a Diretiva de Grupo do seu domínio.
  3. Execute os arquivos .msi. Essa ação instala a definição de política KIR no Modelo Administrativo.

    Observação

    As definições de política são instaladas na pasta C:\Windows\PolicyDefinitions . Se você implementou o Repositório Central de Diretiva de Grupo, deverá copiar os arquivos .admx e .adml para o Repositório Central.

2. Criar um GPO

  1. Abra o Console de Gerenciamento de Política de Grupo e selecione Floresta: Domínios de Nome de> Domínio.
  2. Clique com o botão direito do mouse no nome de domínio e selecione Criar um GPO neste domínio e vincule-o aqui.
  3. Insira o nome do novo GPO (por exemplo, KIR Issue XXX) e selecione OK.

Para obter mais informações sobre como criar GPOs, consulte Criar um objeto de Diretiva de Grupo.

3. Criar e configurar um filtro WMI que aplique o GPO

  1. Clique com o botão direito do mouse em Filtros WMI e selecione Novo.

  2. Insira um nome para o novo filtro WMI.

  3. Insira uma descrição do filtro WMI, como Filtrar para todos os dispositivos Windows 10, versão 2004.

  4. Selecione Adicionar.

  5. Em Consulta, insira a seguinte cadeia de caracteres de consulta:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Importante

    Nessa cadeia de caracteres, <VersionNumber> representa a versão do Windows à qual você deseja que o GPO se aplique. O número da versão deve usar o seguinte formato (exclua os colchetes ao usar o número na cadeia de caracteres):

    10.0.xxxxx

    onde xxxxx é um número de cinco dígitos. Atualmente, os KIRs suportam as seguintes versões:

    Versão Número do build
    Windows 10, versão 20H2 10.0.19042
    Windows 10, versão 2004 10.0.19041
    Windows 10, versão 1909 10.0.18363
    Windows 10, versão 1903 10.0.18362
    Windows 10, versão 1809 10.0.17763

    Para obter uma lista atualizada de versões e números de build do Windows, consulte Windows 10 – informações de versão.

    Importante

    Os números de build listados na página de informações de versão do Windows 10 não incluem o prefixo 10.0 . Para usar um número de build na consulta, você deve adicionar o prefixo 10.0 .

Para obter mais informações sobre como criar filtros WMI, consulte Criar filtros WMI para o GPO.

  1. Selecione o GPO que você criou anteriormente, abra o menu Filtragem WMI e selecione o filtro WMI que você acabou de criar.
  2. Selecione Sim para aceitar o filtro.

5. Configurar o GPO

Edite seu GPO para usar a política de ativação do KIR:

  1. Clique com o botão direito do mouse no GPO que você criou anteriormente e selecione Editar.
  2. No Editor de Política de Grupo, selecione GPOName>Configuração>do Computador Modelos Administrativos>KB ####### Issue XXX Rollback>Windows 10, versão YYMM.
  3. Clique com o botão direito do mouse na política e selecione Editar>Desabilitado>OK.

Para obter mais informações sobre como editar GPOs, consulte Editar um objeto de Diretiva de Grupo do GPMC.

6. Monitore os resultados do GPO

Na configuração padrão da Política de Grupo, os dispositivos gerenciados devem aplicar a nova política dentro de 90 a 120 minutos. Para acelerar esse processo, você pode executar gpupdate em dispositivos afetados para verificar manualmente se há políticas atualizadas.

Certifique-se de que cada dispositivo afetado seja reiniciado após aplicar a política.

Importante

A correção que introduziu o problema é desabilitada depois que o dispositivo aplica a política e é reiniciado.

Implantar uma ativação KIR usando a ingestão de política ADMX do Microsoft Intune nos dispositivos gerenciados

Observação

Para usar as soluções nesta seção, você deve instalar a atualização cumulativa lançada em 26 de julho de 2022 ou posterior no computador.

As Políticas de Grupo e os GPOs não são compatíveis com soluções baseadas em MDM (gerenciamento de dispositivo móvel), como Microsoft Intune. Estas instruções orientarão você sobre como usar as configurações personalizadas do Intune para ingestão de ADMX e configurar políticas de MDM com suporte do ADMX para executar uma ativação de KIR sem exigir um GPO.

Para executar uma ativação de KIR em dispositivos gerenciados pelo Intune, siga estas etapas:

  1. Baixe e instale o arquivo KIR MSI para obter arquivos ADMX.
  2. Crie um perfil de configuração personalizado no Microsoft Intune.
  3. Monitore a ativação do KIR.

1. Baixe e instale o arquivo KIR MSI para obter arquivos ADMX

  1. Verifique as informações de versão do KIR ou as listas de problemas conhecidos para identificar quais versões do sistema operacional (SO) você deve atualizar.

  2. Baixe os arquivos .msi definição de política KIR necessários no computador que você usa para entrar no Microsoft Intune.

    Observação

    Você precisará acessar o conteúdo de um arquivo ADMX de ativação KIR.

  3. Execute os .msi arquivos. Essa ação instala a definição de política KIR no Modelo Administrativo.

    Observação

    As definições de política são instaladas na pasta C:\Windows\PolicyDefinitions .

    Se você quiser extrair os arquivos ADMX para outro local, use o msiexec comando com a propriedade TARGETDIR . Por exemplo:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Criar um perfil de configuração personalizado no Microsoft Intune

Para configurar dispositivos para executar uma ativação KIR, você precisa criar um perfil de configuração personalizado para cada sistema operacional de seus dispositivos gerenciados. Para criar um perfil personalizado, siga estas etapas:

  1. Selecione as propriedades e adicione informações básicas do perfil.
  2. Adicione uma definição de configuração personalizada para ingerir arquivos ADMX para ativação do KIR.
  3. Adicione uma definição de configuração personalizada para definir a nova política de ativação do KIR.
  4. Atribua dispositivos ao perfil de configuração personalizada de ativação KIR.
  5. Use regras de aplicabilidade para direcionar dispositivos para receber definições de configuração personalizadas do KIR pelo sistema operacional.
  6. Revise e crie o perfil de configuração personalizada de ativação do KIR.

R. Selecione propriedades e adicione informações básicas sobre o perfil

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Perfis>de configuração de dispositivos>Criar perfil.

  3. Selecione as seguintes propriedades:

    • Plataforma: Windows 10 e posterior
    • Perfil: Modelos>personalizados

  4. Selecione Criar.

  5. Em Informações Básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para a política. Nomeie as suas políticas de modo que você possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é "Ativação KIR 04/30 – Windows 10 21H2".
    • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

    Observação

    O tipo de plataforma e perfil já deve ter valores selecionados.

  6. Selecione Avançar.

Observação

Para obter mais informações sobre como criar perfis de configuração personalizados e definições de configuração, consulte Usar configurações de dispositivo personalizadas no Microsoft Intune.

Antes de prosseguir para as próximas duas etapas, abra o arquivo ADMX em um editor de texto (por exemplo, Bloco de Notas) onde o arquivo foi extraído. O arquivo ADMX deve estar no caminho C:\Windows\PolicyDefinitions se você o instalou como um arquivo MSI.

Aqui está um exemplo do arquivo ADMX:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Registre os valores de policy name e parentCategory. Essas informações estão no nó "políticas" no final do arquivo.

B. Adicionar definição de configuração personalizada para ingerir arquivos ADMX para ativação do KIR

Essa definição de configuração é usada para instalar a política de ativação KIR nos dispositivos de destino. Siga estas etapas para adicionar as configurações de ingestão do ADMX:

  1. Em Definições de configuração, selecione Adicionar.

  2. Insira as seguintes propriedades:

    • Nome: Insira um nome descritivo para a definição de configuração. Nomeie suas configurações para que você possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de configuração é "Ingestão ADMX: Ativação KIR de 30/04 – Windows 10 21H2".

    • Descrição: Insira uma descrição para a configuração. Essa configuração é opcional, mas recomendada.

    • OMA-URI: insira a cadeia de caracteres ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Observação

      Substitua <o Nome> da Política ADMX pelo valor do nome da política registrada do arquivo ADMX. Por exemplo, "KB5011563_220428_2000_1_KnownIssueRollback".

    • Tipo de dados: selecione Cadeia de caracteres.

    • Valor: Abra o arquivo ADMX com um editor de texto (por exemplo, Bloco de Notas). Copie e cole todo o conteúdo do arquivo ADMX que você pretende ingerir nesse campo.

  3. Selecione Salvar.

C. Adicionar definição de configuração personalizada para definir a nova política de ativação do KIR

Essa definição de configuração é usada para configurar a política de ativação KIR, que é definida na etapa anterior.

Siga estas etapas para adicionar as definições de configuração de ativação do KIR:

  1. Em Definições de configuração, selecione Adicionar.

  2. Insira as seguintes propriedades:

    • Nome: Insira um nome descritivo para a definição de configuração. Nomeie suas configurações para que você possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de configuração é "Ativação KIR: Ativação KIR 30/04 – Windows 10 21H2".

    • Descrição: Insira uma descrição para a configuração. Essa configuração é opcional, mas recomendada.

    • OMA-URI: insira a cadeia de caracteres ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Observação

      Substitua <Categoria> Pai pela cadeia de caracteres de categoria pai registrada na etapa anterior. Por exemplo, "KnownIssueRollback_Win_11". Substitua <o Nome> da Política ADMX pelo mesmo nome de política usado na etapa anterior.

    • Tipo de dados: selecione Cadeia de caracteres.

    • Valor: Insira <disabled/>.

  3. Selecione Salvar.

  4. Selecione Avançar.

D. Atribuir dispositivos ao perfil de configuração personalizada de ativação do KIR

Depois de definir o que o perfil de configuração personalizado faz, siga estas etapas para identificar quais dispositivos você configurará:

  1. Em Atribuições, selecione Adicionar todos os dispositivos.
  2. Selecione Avançar.

E. Usar regras de aplicabilidade para direcionar dispositivos para receber definições de configuração personalizadas do KIR pelo sistema operacional

Para direcionar os dispositivos por sistema operacional aplicáveis à GP, adicione uma regra de aplicabilidade para verificar a versão do sistema operacional do dispositivo (build) antes de aplicar essa configuração. Você pode procurar os números de compilação para o sistema operacional com suporte nas seguintes páginas:

Os números de compilação mostrados nas páginas são formatados como MMMMM.mmmm (M = versão principal e m = versão secundária). As propriedades da versão do sistema operacional usam os dígitos da versão principal. Os valores de versão do sistema operacional inseridos nas regras de aplicabilidade devem ser formatados como "10.0.MMMMM". Por exemplo, "10.0.22000".

Siga estas instruções para definir as regras de aplicabilidade corretas para sua ativação KIR:

  1. Em Regras de Aplicabilidade, crie uma regra de aplicabilidade inserindo as seguintes propriedades na regra em branco que já está na página:

    • Regra: Selecione Atribuir perfil se na lista suspensa.
    • Propriedade: Selecione Versão do sistema operacional na lista suspensa.
    • Valor: insira os números de versão mínimo e máximo do sistema operacional formatados como "10.0.MMMMM".

  2. Selecione Avançar.

Observação

A versão do sistema operacional de um dispositivo pode ser encontrada executando o winver comando no menu Iniciar. Ele mostrará um número de versão de duas partes separado por um ".". Por exemplo, "22000.613". Você pode anexar o número esquerdo a "10.0." para a versão Min OS. Obtenha o número máximo da versão do sistema operacional adicionando 1 ao último dígito do número da versão mínima do sistema operacional. Para este exemplo, você pode usar estes valores:
Versão mínima do sistema operacional: "10.0.22000"
Versão máxima do sistema operacional: "10.0.22001"

F. Revisar e criar o perfil de configuração personalizada de ativação do KIR

Examine as configurações do perfil de configuração personalizado e selecione Criar.

3. Monitore a ativação do KIR

Sua ativação KIR deve estar em andamento agora. Siga estas etapas para monitorar o progresso do perfil de configuração:

  1. Vá para Perfis de configuração de dispositivos>e selecione um perfil existente. Por exemplo, selecione um perfil do macOS.

  2. Selecione a guia Visão geral. Nessa exibição, o status de atribuição de perfil inclui os seguintes status:

    • Bem-sucedido: a política é aplicada com êxito.
    • Erro: a política não foi aplicada. A mensagem normalmente exibe um código de erro vinculado a uma explicação.
    • Conflito: duas configurações são aplicadas ao mesmo dispositivo e o Intune não pode resolver o conflito. Um administrador deve revisar o conflito.
    • Pendente: o dispositivo ainda não fez check-in com o Intune para receber a política.
    • Não aplicável: o dispositivo não pode receber a política. Por exemplo, a política atualiza uma configuração específica para o iOS 11.1, mas o dispositivo está usando o iOS 10.

Para obter mais informações, consulte Monitorar perfis de configuração de dispositivo em Microsoft Intune.

Mais informações