Compartilhar via


Grupos de Bloqueio Automático do Windows

Importante

As informações neste artigo ou secção só se aplicam se tiver licenças do Windows Enterprise E3+ ou F3 (incluídas nas licenças Microsoft 365 F3, E3 ou E5) e tiver ativado as funcionalidades de Bloqueio Automático do Windows.

A ativação de funcionalidades é opcional e sem custos adicionais se tiver licenças Windows 10/11 Enterprise E3 ou E5 (incluídas nas licenças Microsoft 365 F3, E3 ou E5).

Para obter mais informações, veja Licenças e elegibilidades. Se optar por não utilizar a ativação de funcionalidades, pode continuar a utilizar o serviço Despatch do Windows para as funcionalidades incluídas nas licenças Business Premium e A3+.

À medida que as organizações se movem para um modelo de serviço gerido em que a Microsoft gere os processos de atualização em seu nome, são desafiadas a ter a representação certa das estruturas organizacionais seguida da sua própria cadência de implementação. Os grupos do Windows Autopatch ajudam as organizações a gerir atualizações de uma forma que faça sentido para as suas empresas sem custos adicionais ou interrupções não planeadas.

O que são grupos de Bloqueio Automático do Windows?

Um grupo de Bloqueio Automático é um contentor lógico ou unidade que agrupa vários grupos de Microsoft Entra e políticas de atualização de software, como a política Cadertas de atualização para Windows 10 e posterior e atualizações de funcionalidades para políticas Windows 10 e posteriores.

Os grupos de correspondência automática destinam-se a ajudar as organizações que necessitam de uma representação mais precisa das estruturas da organização, juntamente com a sua própria cadência de implementação de atualizações no serviço.

Por predefinição, um grupo de Bloqueio Automático tem automaticamente os anéis de Teste e Última implementação presentes. Para obter mais informações, veja Anéis de teste e Última implementação.

Principais benefícios

Os grupos de correspondência automática ajudam os serviços do Microsoft Cloud-Managed a conhecer as organizações onde se encontram no seu percurso de gestão de atualizações. Os principais benefícios incluem:

Benefício Descrição
Replicar a sua estrutura organizacional Pode configurar grupos de Correção Automática para replicar as estruturas organizacionais representadas pela lógica de filtragem de grupos de Microsoft Entra baseada em dispositivos existente.
Ter um número flexível de implementações Os grupos de correspondência automática dão-lhe a flexibilidade de ter o número certo de anéis de implementação que funcionam na sua organização. Pode configurar até 15 anéis de implementação por grupo de Bloqueio Automático.
Decidir que dispositivos pertencem a anéis de implementação Além de utilizar os grupos de Microsoft Entra baseados em dispositivos existentes e escolher o número de anéis de implementação, também pode decidir que dispositivos pertencem a anéis de implementação durante o processo de distribuição de dispositivos ao configurar grupos de Bloqueio automático.
Escolher a cadência de implementação Pode escolher a cadência de implementação de atualização de software certa para a sua empresa.

Pré-requisitos

Antes de começar a gerir grupos de Bloqueio Automático, certifique-se de que cumpre os seguintes pré-requisitos:

Pré-requisito Detalhes
Veja a documentação de descrição geral dos grupos de Bloqueio Automático do Windows Compreenda os principais benefícios e formas comuns de utilizar grupos de Correção Automática na sua organização.
Certifique-se de que tem a autenticação apenas de aplicação ativada no inquilino do Windows Autopatch. Caso contrário, a funcionalidade Decorrer automaticamente grupos não funciona corretamente. O envio automático utiliza a autenticação apenas de aplicação para:
  • Leia os atributos do dispositivo para registar dispositivos com êxito.
  • Gerir todas as configurações relacionadas com o funcionamento do serviço.
Certifique-se de que todos os grupos de Microsoft Entra baseados em dispositivos que pretende utilizar com grupos de Bloqueio Automático são criados antes de utilizar a funcionalidade. Reveja as consultas dinâmicas do grupo de Microsoft Entra existentes e as associações diretas a dispositivos para:
  • Evite que a associação de dispositivos se sobreponha entre grupos de Microsoft Entra baseados em dispositivos que vão ser utilizados com grupos de Bloqueio Automático.
  • Impedir conflitos de dispositivos num grupo de Correspondência Automática ou em vários grupos de Bloqueio Automático. Os grupos de bloqueio automático não suportam grupos de Microsoft Entra baseados no utilizador.
Certifique-se de que os dispositivos utilizados com os grupos de Microsoft Entra existentes cumprem as verificações de pré-requisitos de registo de dispositivos ao serem registados no serviço Os grupos de correspondência automática registam dispositivos em seu nome e os estados de preparação do dispositivo são determinados com base no estado de registo e se os alertas aplicáveis estão a visar o dispositivo. Para obter mais informações, veja o relatório Dispositivos.

Dica

As cadertas de atualização e as atualizações de funcionalidades para Windows 10 e políticas posteriores criadas e geridas pelo Windows Autopatch podem ser restauradas com a funcionalidade Estado de funcionamento da política. Para obter mais informações sobre as ações de remediação, veja Restaurar políticas de atualização do Windows.

Registar dispositivos em grupos de Bloqueio Automático

Os grupos de correspondência automática registam dispositivos com o serviço Despatch do Windows quando cria ou edita um grupo de Bloqueio Automático. Para obter mais informações, veja Registar dispositivos em grupos de Bloqueio Automático.

Descrição geral do diagrama de arquitetura de alto nível

Descrição geral do processo de registo de dispositivos

Um grupo de Bloqueio Automático é uma aplicação de funções que faz parte do microsservidor de registo de dispositivos no serviço Despatch do Windows. A tabela seguinte explica o fluxo de trabalho de alto nível:

Etapa Descrição
Passo 1: Criar um grupo de Bloqueio Automático Crie um grupo de Bloqueio Automático. Os grupos de correspondência automática registam dispositivos com o serviço Despatch do Windows quando cria ou edita um grupo de Bloqueio Automático.
Passo 2: o Envio Automático do Windows utiliza o Microsoft Graph para criar atribuições de políticas e Microsoft Entra ID O serviço Deteção Automática do Windows utiliza o Microsoft Graph para coordenar a criação de:
  • grupos de Microsoft Entra
  • Atribuições de políticas de atualização de software com outros serviços Microsoft, como Microsoft Entra ID, Intune e Windows Update para Empresas (WUfB) com base nas opções de administrador de TI quando cria ou edita um grupo de Bloqueio Automático.
Passo 3: Intune atribui políticas de atualização de software Depois de Microsoft Entra grupos serem criados no serviço de Microsoft Entra, Intune é utilizado para atribuir as políticas de atualização de software a estes grupos e fornecer o número de dispositivos que precisam das políticas de atualização de software para o serviço Windows Update para Empresas (WUfB).
Passo 4: responsabilidades do Windows Update para Empresas Windows Update para Empresas (WUfB) é o serviço responsável por:
  • Fornecer essas políticas de atualização
  • Obter os estados de implementação de atualizações de volta dos dispositivos
  • Enviar de volta as informações de status para Microsoft Intune e, em seguida, para o serviço de Bloqueio Automático do Windows

Anéis de implementação do grupo de correspondência automática

As cadências de implementação permitem que um grupo de Correção Automática tenha implementações de atualizações de software fornecidas sequencialmente numa implementação gradual no grupo Despatch Automático.

O Bloqueio Automático do Windows alinha-se com a terminologia Microsoft Entra ID e Intune para a gestão de grupos de dispositivos. Existem dois tipos de distribuição de grupos de cadências de implementação nos grupos de Correspondência Automática:

Distribuição da cadência de implementação Descrição
Dinâmico Pode utilizar um ou mais grupos de Microsoft Entra baseados em dispositivos, baseados em consultas dinâmicas ou atribuídos para utilizar na composição da cadência de implementação.

Microsoft Entra grupos que são utilizados com o tipo de distribuição Dinâmico podem ser utilizados para distribuir dispositivos por vários anéis de implementação com base em valores de percentagem que podem ser personalizados.

Atribuída Pode utilizar um único grupo de Microsoft Entra baseado em dispositivos, baseado em consultas dinâmicas ou atribuído para utilizar na composição da cadência de implementação.
Combinação de Dinâmico e Atribuído Para proporcionar um maior nível de flexibilidade ao trabalhar em composições da cadência de implementação, pode combinar ambos os tipos de distribuição de dispositivos em grupos de Bloqueio automático.

A combinação de distribuição de dispositivos Dinâmicos e Atribuídos não é suportada para a cadência de Teste e Última implementação em grupos de Bloqueio Automático.

Anéis de teste e última implementação

As anéis de Teste e Última implementação são anéis de implementação predefinidos que estão automaticamente presentes num grupo de Bloqueio Automático. Estas cadernetes de implementação predefinidas fornecem o número mínimo recomendado de anéis de implementação que um grupo de Bloqueio Automático deve ter.

Se não adicionar mais anéis de implementação ao criar um grupo de Bloqueio Automático, a cadência de implementação de teste pode ser utilizada como a cadência de implementação piloto e Last pode ser utilizada como a cadência de implementação de produção.

Importante

As cadernetes Teste e Última implementação não podem ser removidas ou renomeadas dos grupos de Bloqueio Automático. Os grupos de correspondência automática não suportam a utilização de uma única cadência de implementação como parte da composição da cadência de implementação, uma vez que precisa de , pelo menos, duas cadências de implementação para a implementação gradual. Se tiver de implementar um cenário específico com uma única cadência de implementação e a implementação gradual não for necessária, considere gerir estes dispositivos fora dos grupos de Bloqueio automático.

Dica

As cadências De Teste e Última implementação só suportam uma única atribuição de grupo Microsoft Entra de cada vez. Se precisar de atribuir mais do que um grupo de Microsoft Entra, pode aninhar os outros grupos de Microsoft Entra nos grupos que planeia utilizar com os anéis De Teste e Última implementação. Só é suportado um nível de aninhamento de grupos Microsoft Entra.

Formas comuns de utilizar grupos de Bloqueio Automático

Seguem-se três utilizações comuns para utilizar grupos de Bloqueio Automático.

Caso de utilização n.º 1

Cenário Solução
Está a trabalhar como administrador de TI na Contoso Ltd. A sua organização tem de planear uma implementação gradual de atualizações de software em unidades ou departamentos empresariais críticos específicos para ajudar a mitigar o risco de interrupção do utilizador final. Pode criar um grupo de Correspondência Automática para cada uma das suas unidades empresariais. Por exemplo, pode criar um grupo de Correspondência Automática para o departamento financeiro e discriminar a composição da cadência de implementação de acordo com as diferentes pessoas do utilizador ou com base no grau de importância que determinados grupos de utilizadores podem ser para o departamento e, em seguida, para a empresa.

Segue-se uma representação visual de uma implementação gradual para o departamento financeiro da Contoso.

Exemplo do Departamento Financeiro

Importante

Assim que os grupos de Correção Automática estiverem configurados, a versão das atualizações de qualidade ou de funcionalidades do Windows será implementada sequencialmente através das cadências de implementação.

Caso de utilização n.º 2

Cenário Solução
Está a trabalhar como administrador de TI na Contoso Ltd. A sua localização de sucursal em Chicago tem de planear uma implementação gradual de atualizações de software em departamentos específicos para garantir que o escritório de Chicago não sofre interrupções nas suas operações. Pode criar um grupo de Correspondência Automática para a localização do ramo em Chicago e discriminar a composição da cadência de implementação de acordo com os departamentos na localização do ramo.

Segue-se uma representação visual de uma implementação gradual para a localização do ramo Contoso Chicago.

Exemplo da Contoso Chicago

Importante

Assim que os grupos de Correção Automática estiverem configurados, a versão das atualizações de qualidade ou de funcionalidades do Windows será implementada sequencialmente através das cadências de implementação.

Configurações compatíveis

As seguintes configurações são suportadas ao utilizar grupos de Bloqueio Automático.

Cargas de trabalho de atualização de software

Os grupos de correspondência automática funcionam com as seguintes cargas de trabalho de atualização de software:

Número máximo de grupos de Bloqueio Automático

O Windows Autopatch suporta até 50 grupos de Bloqueio Automático no seu inquilino. Cada grupo de Correção Automática suporta até 15 anéis de implementação.

Observação

Se atingir o número máximo de grupos de Correção Automática suportados (50) e tentar criar mais grupos de Bloqueio Automático, a opção "Criar" no painel Grupos de bloqueio automático estará desativada.

Para gerir os grupos de Bloqueio Automático, consulte Gerir grupos de Bloqueio Automático do Windows.