Instruções: Utilizar CSPs e MDMs para configurar o Windows Update para Empresas

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Procurando informações de consumidor? Consulte Windows Update: perguntas frequentes

Visão geral

Pode utilizar políticas de Fornecedor de Serviços de Configuração (CSP) para controlar como funciona o Windows Update para Empresas através de uma ferramenta de Gerenciamento de Dispositivos Móvel (MDM). Deve considerar e conceber uma estratégia de implementação para atualizações antes de efetuar alterações às definições do Windows Update para Empresas.

Um administrador de TI pode definir políticas para Windows Update para Empresas com Microsoft Intune ou uma ferramenta mdm não Microsoft.

Para gerir atualizações com o Windows Update para Empresas, deve preparar-se com estes passos, caso ainda não o tenha feito:

• Crie grupos de segurança do Active Directory que se alinham com os anéis de implementação que utiliza para fasear a implementação de atualizações. Veja Cadumas de implementação de compilação para atualizações de cliente Windows para saber mais sobre as cadidas de implementação no cliente Windows.
• Permitir o acesso ao serviço Windows Update.

Gerir ofertas de Windows Update

Pode controlar quando as atualizações são aplicadas, por exemplo, ao diferir quando uma atualização é instalada num dispositivo ou ao colocar as atualizações em pausa durante um determinado período de tempo.

Determinar as atualizações que pretende que sejam oferecidas aos seus dispositivos

As atualizações de funcionalidades e de qualidade são disponibilizadas automaticamente para dispositivos ligados a Windows Update através de políticas de Windows Update para Empresas. No entanto, pode escolher se pretende que os dispositivos recebam adicionalmente outros controladores ou Atualizações microsoft aplicáveis a esse dispositivo.

Para ativar o Microsoft Atualizações, utilize Update/AllowMUUpdateService.

Os controladores são ativados automaticamente porque são benéficos para os sistemas de dispositivos. Recomendamos que permita que a política de controladores permita que os controladores sejam atualizados nos dispositivos (a predefinição), mas pode desativar esta definição se preferir gerir os controladores manualmente. Se quiser desativar as atualizações do controlador por algum motivo, utilize Update/ExcludeWUDriversInQualityUpdate.

Também recomendamos que permita atualizações de produtos Microsoft, conforme abordado anteriormente.

Definir quando os dispositivos recebem atualizações de funcionalidades e qualidade

Quero receber versões de pré-lançamento da próxima atualização de funcionalidades

1. Certifique-se de que está inscrito no Programa Windows Insider para Empresas. O Windows Insider é um programa gratuito disponível para clientes comerciais para os ajudar na validação das atualizações de funcionalidades antes de serem lançados. A adesão ao programa permite-lhe receber atualizações antes do respetivo lançamento, bem como receber e-mails e conteúdos relacionados com as próximas atualizações.

2. Para qualquer um dos dispositivos de teste que pretende instalar compilações de pré-lançamento, utilize Update/ManagePreviewBuilds. Defina a opção para Ativar compilações de pré-visualização.

3. Utilize Update/BranchReadinessLevel e selecione uma das Compilações de pré-visualização. O Programa Windows Insider Slow é o canal recomendado para clientes comerciais que estão a utilizar compilações de pré-lançamento para validação.

4. Além disso, pode adiar atualizações de funcionalidades de pré-lançamento da mesma forma que as atualizações lançadas, ao definir um período de diferimento até 14 dias ao utilizar Update/DeferFeatureUpdatesPeriodInDays. Se estiver a testar com compilações lentas do Programa Windows Insider, recomendamos que receba as atualizações de pré-visualização para o seu departamento de TI no dia 0, quando a atualização for lançada e, em seguida, tenha um adiamento de 7 a 10 dias antes de ser implementada no seu grupo de testadores. Esta agenda ajuda a garantir que, se for detetado um problema, pode interromper a implementação da atualização de pré-visualização antes de chegar aos testes.

Quero gerir a atualização de funcionalidade lançada que os meus dispositivos recebem

Um administrador do Windows Update para Empresas pode diferir ou colocar atualizações em pausa. Pode diferir atualizações de funcionalidades até 365 dias e diferir atualizações de qualidade até 30 dias. Adiar significa simplesmente que não recebe a atualização até ser lançada durante, pelo menos, o número de dias de diferimento que especificou (data da oferta = data de lançamento + data de diferimento). Pode colocar as atualizações de funcionalidades ou de qualidade em pausa até 35 dias a partir de uma determinada data de início que especificar.

• Para diferir uma atualização de funcionalidades: Update/DeferFeatureUpdatesPeriodInDays
• Para colocar uma atualização de funcionalidades em pausa: Update/PauseFeatureUpdatesStartTime
• Para diferir uma atualização de qualidade: Update/DeferQualityUpdatesPeriodInDays
• Para colocar uma atualização de qualidade em pausa: Update/PauseQualityUpdatesStartTime

Exemplo

Neste exemplo, existem três anéis para atualizações de qualidade. A primeira cadência ("piloto") tem um período de diferimento de 0 dias. O segundo anel ("fast") tem um diferimento de cinco dias. O terceiro anel ("lento") tem um adiamento de dez dias.

Quando a atualização de qualidade é lançada, é oferecida aos dispositivos na cadência piloto da próxima vez que procurarem atualizações.

Cinco dias depois

Os dispositivos na cadência rápida recebem a atualização de qualidade da próxima vez que procurarem atualizações.

Dez dias depois

Dez dias após o lançamento da atualização de qualidade, esta é disponibilizada aos dispositivos na cadência lenta da próxima vez que procurarem atualizações.

Se não ocorrerem problemas, todos os dispositivos que procuram atualizações recebem a atualização de qualidade no prazo de dez dias após o lançamento, em três ondas.

E se ocorrer um problema com a atualização?

Neste exemplo, é detetado algum problema durante a implementação da atualização para a cadência "piloto".

Neste momento, o administrador de TI pode definir uma política para colocar a atualização em pausa. Neste exemplo, o administrador seleciona a caixa de marcar Colocar atualizações de qualidade em pausa.

Agora, todos os dispositivos estão em pausa de atualização durante 35 dias. Quando a pausa for removida, ser-lhes-á oferecida a próxima atualização de qualidade, que idealmente não terá o mesmo problema. Se ainda existir um problema, o administrador de TI pode colocar as atualizações em pausa novamente.

Quero manter uma versão específica

Se precisar que um dispositivo permaneça numa versão para além do ponto em que os diferimentos na próxima versão decorrem ou se precisar de ignorar uma versão (por exemplo, atualizar a versão de outono para a versão de outono) utilize Update/TargetReleaseVersion (ou Implementar a Pré-visualização do Atualizações de Funcionalidades no Intune) em vez de utilizar diferimentos de atualizações de funcionalidades. Quando utilizar esta política, especifique a versão para a qual pretende que os seus dispositivos se movam ou permaneçam ligados (por exemplo, "1909"). Pode encontrar informações de versão na Página de Informações de Versão do Windows 10.

Gerir a forma como os utilizadores experimentam as atualizações

Quero gerir quando os dispositivos transferem, instalam e reiniciam após as atualizações

Recomendamos que permita a atualização automática, que é o comportamento predefinido. Se não definir uma política de atualização automática, o dispositivo tenta transferir, instalar e reiniciar nos melhores momentos para o utilizador através de informações incorporadas, como horas de atividade inteligentes.

Para um controlo mais granular, pode definir o período máximo de horas de atividade que o utilizador pode definir com Update/ActiveHoursMaxRange. Também pode definir horas de início e de fim específicas para as nossas ativas com Update/ActiveHoursEnd e Update/ActiveHoursStart.

É melhor abster-se de definir a política de horas de atividade porque está ativada por predefinição quando as atualizações automáticas não são desativadas e proporciona uma melhor experiência quando os utilizadores podem definir as suas próprias horas de atividade.

Para atualizar fora das horas de atividade, utilize Update/AllowAutoUpdate com a Opção 2 (que é a predefinição). Para um controlo ainda mais granular, considere utilizar as atualizações automáticas para agendar a hora de instalação, o dia ou a semana. Para utilizar uma agenda, utilize a Opção 3 e, em seguida, defina as seguintes políticas conforme adequado para o seu plano:

• Update/ScheduledInstallDay
• Update/ScheduledInstallEveryWeek
• Update/ScheduledInstallFirstWeek
• Update/ScheduledInstallFourthWeek
• Update/ScheduledInstallSecondWeek
• Update/ScheduledInstallThirdWeek
• Update/ScheduledInstallTime

Quando define estas políticas, a instalação ocorre automaticamente no momento especificado e o dispositivo será reiniciado 15 minutos após a conclusão da instalação (a menos que seja interrompida pelo utilizador).

Se não quiser permitir quaisquer atualizações automáticas antes do prazo, defina Update/AllowAutoUpdate como Opção 5, o que desativa as atualizações automáticas.

Quero manter os dispositivos seguros e em conformidade com os prazos de atualização

Recomendamos que utilize prazos específicos para atualizações de funcionalidades e qualidade para garantir que os dispositivos se mantêm seguros no Windows 10, versão 1709 e posterior. Os prazos funcionam ao permitir-lhe especificar o número de dias que podem decorrido após uma atualização ser oferecida a um dispositivo antes de ter de ser instalada. Também pode definir o número de dias que podem decorrido após um reinício pendente antes de o utilizador ser forçado a reiniciar. Use estas configurações:

• Update/ConfigureDeadlineForFeatureUpdates
• Update/ConfigureDeadlineForQualityUpdates
• Update/ConfigureDeadlineGracePeriod
• Update/ConfigureDeadlineGracePeriodForFeatureUpdates
• Update/ConfigureDeadlineNoAutoReboot

Estas políticas também oferecem uma opção para optar ativamente por não reiniciar automaticamente até que seja atingido um prazo, apresentando uma "experiência de reinício contratado" até que o prazo tenha realmente expirado. Nessa altura, o dispositivo agenda automaticamente um reinício independentemente das horas de atividade.

Estas notificações são o que o utilizador vê consoante as definições que escolher:

Quando Especificar prazos para atualizações automáticas e reinícios estiver definido (para Windows 10, versão 1709 e posterior):

• Enquanto o reinício estiver pendente, antes de ocorrer o prazo:

  • Nos primeiros dias, o utilizador recebe uma notificação de alerta

  • Após este período, o utilizador recebe esta caixa de diálogo:

    

  • Se o utilizador tiver agendado um reinício ou se estiver agendado um reinício automático, 15 minutos antes da hora agendada, o utilizador recebe esta notificação de que o reinício está prestes a ocorrer:

    

• Se o reinício ainda estiver pendente após o prazo ser aprovado:

  • No prazo de 12 horas antes do prazo ser aprovado, o utilizador recebe esta notificação de que o prazo está a aproximar-se:

    

  • Assim que o prazo for ultrapassado, o utilizador é obrigado a reiniciar para manter os dispositivos em conformidade e recebe esta notificação:

    

Definições do utilizador final para notificações

Aplica-se a:

• Windows 11, versão 23H2 com KB5037771 ou posterior
• Windows 11, versão 22H2 com KB5037771 ou posterior

Os utilizadores podem definir uma preferência para notificações sobre reinícios pendentes para atualizações em Definições>Windows Update>Opções> avançadasNotificar-me quando for necessário reiniciar para concluir a atualização. Esta definição é controlada pelo utilizador final e não é controlada ou configurável pelos administradores de TI.

Os utilizadores têm as seguintes opções para a definição Notificar-me quando for necessário reiniciar para concluir a atualização :

• Desativado (predefinição): quando o dispositivo entra num estado de reinício pendente para atualizações, as notificações de reinício são suprimidas durante 24 horas. Durante as primeiras 24 horas, os reinícios automáticos ainda podem ocorrer fora do horário de atividade. Normalmente, os utilizadores recebem menos notificações sobre reinícios futuros enquanto o prazo se aproxima.

  • Quando o prazo for definido para 1 dia, os utilizadores só recebem uma notificação sobre o prazo e uma notificação final não identificável 15 minutos antes de um reinício forçado.

• Ativado: Os utilizadores recebem imediatamente uma notificação de alerta quando o dispositivo entra num estado de reinício pendente para atualizações. Os reinícios automáticos de atualizações são bloqueados durante 24 horas após a notificação inicial para dar tempo a estes utilizadores para se prepararem para um reinício. Após 24 horas, podem ocorrer reinícios automáticos. Esta definição é recomendada para os utilizadores que pretendam ser notificados sobre os próximos reinícios.

  • Quando o prazo é definido para 1 dia, ocorre uma notificação inicial, o reinício automático é bloqueado durante 24 horas e os utilizadores recebem outra notificação antes do prazo e uma notificação nondismissável final 15 minutos antes de um reinício forçado.

Quando um prazo é definido para 0 dias, independentemente da opção selecionada, a única notificação que os utilizadores recebem é uma notificação não identificável final 15 minutos antes de um reinício forçado.

A preferência de utilizador para notificações aplica-se quando são utilizadas as seguintes políticas para prazos de conformidade :

• Update/ConfigureDeadlineForFeatureUpdates
• Update/ConfigureDeadlineForQualityUpdates
• Update/ConfigureDeadlineGracePeriod
• Update/ConfigureDeadlineGracePeriodForFeatureUpdates (Windows 11, versão 22H2 ou posterior)
• Update/ConfigureDeadlineNoAutoReboot

Quero gerir as notificações que um utilizador vê

Existem definições adicionais que afetam as notificações.

Recomendamos que utilize as notificações predefinidas, uma vez que visam proporcionar a melhor experiência de utilizador ao mesmo tempo que se ajusta às políticas de conformidade que definiu. Se tiver mais necessidades que não são cumpridas pelas predefinições de notificação, pode utilizar a política Update/NoUpdateNotificationsDuringActiveHours com estes valores:

0 (predefinição) - Utilize as notificações de Windows Update predefinidas
1 - Desative todas as notificações, excluindo avisos de reinício
2 - Desativar todas as notificações, incluindo avisos de reinício

Observação

A opção 2 cria uma má experiência para dispositivos pessoais; só é recomendado para dispositivos de quiosque onde os reinícios automáticos foram desativados.

Ainda estão disponíveis mais opções em Update/ScheduleRestartWarning. Esta definição permite-lhe especificar o período para notificações de lembrete de aviso de reinício automático (de 2 a 24 horas; 4 horas é a predefinição) antes da atualização. Também pode especificar o período para reiniciar automaticamente notificações de aviso iminentes com Update/ScheduleImminentRestartWarning (15 a 60 minutos é a predefinição). Recomendamos que utilize as notificações predefinidas.

Quero gerir as definições de atualização a que um utilizador pode aceder

Todos os dispositivos Windows fornecem aos utilizadores vários controlos que podem utilizar para gerir o Windows Atualizações. Podem aceder a estes controlos através da Pesquisa para localizar o Windows Atualizações ou ao selecionar Atualizações e Segurança em Definições. Fornecemos a capacidade de desativar uma variedade destes controlos que são acessíveis aos utilizadores.

Os utilizadores com acesso às definições de pausa de atualização podem impedir atualizações de funcionalidades e de qualidade durante 7 dias. Pode impedir que os utilizadores coloquem atualizações em pausa através da página de definições do Windows Update utilizando Update/SetDisablePauseUXAccess. Quando desativa esta definição, os utilizadores veem Que algumas definições são geridas pela sua organização e as definições de pausa de atualização estão desativadas.

Se utilizar Windows Server Update Server (WSUS), pode impedir os utilizadores de analisarem Windows Update. Para tal, utilize Update/SetDisableUXWUAccess.

Quero ativar as funcionalidades introduzidas através da manutenção que estão desativadas por predefinição

(A partir de Windows 11, versão 22H2 ou posterior)

Novos recursos e melhorias são introduzidos por meio da atualização cumulativa mensal para fornecer inovação contínua para o Windows 11. Para dar tempo às organizações para planear e preparar, algumas destas novas funcionalidades são temporariamente desativadas por predefinição. Os recursos desativados por padrão estão listados no artigo da base de dados de conhecimento para a atualização cumulativa mensal. Normalmente, um recurso é selecionado para ser desativado por padrão porque afeta significativamente a experiência do usuário ou dos administradores de TI.

As funcionalidades desativadas por predefinição das atualizações de manutenção serão ativadas na próxima atualização anual de funcionalidades. As organizações podem optar por implementar atualizações de funcionalidades ao seu próprio ritmo, para atrasar estas funcionalidades até estarem prontas para as mesmas.

Pode ativar estas funcionalidades com AllowTemporaryEnterpriseFeatureControl. Estão disponíveis as seguintes opções:

• 0 (predefinição): não permitido. As funcionalidades enviadas desativadas por predefinição permanecerão desativadas
• 1: Permitido. Todas as funcionalidades na atualização cumulativa mensal mais recente estão ativadas.
  • Quando a política está definida como 1, todas as funcionalidades que estão atualmente desativadas serão ativadas quando o dispositivo for reiniciado.

Quero ativar atualizações opcionais

Aplica-se a:

• Windows 11, versão 22H2 com KB5029351 e posterior
• Windows 10, versão 22H2 com KB5032278 ou uma atualização cumulativa posterior instalada

Além da atualização cumulativa mensal, atualizações opcionais estão disponíveis para fornecer novos recursos e alterações que não sejam de segurança. A maioria das atualizações opcionais é lançada na quarta terça-feira do mês, conhecida como prévias opcionais que não relacionadas à segurança. As atualizações opcionais também podem incluir recursos que são implementados gradualmente, conhecidos como implementações controladas de recursos (CFRs). A instalação de atualizações opcionais não está habilitada por padrão para dispositivos que recebem atualizações usando o Windows Update para Empresas. No entanto, pode ativar atualizações opcionais para dispositivos com AllowOptionalContent. Para obter mais informações sobre conteúdo opcional, confira Habilitar atualizações opcionais.