Dela via

Så här använder du grupprincip för att distribuera en återställning av kända problem

  • Artikel

Den här artikeln beskriver hur du konfigurerar grupprincip att använda en kir-principdefinition (Known Issue Rollback) som aktiverar en KIR på hanterade enheter.

Gäller för: Windows Server (alla versioner som stöds), Windows-klienten (alla versioner som stöds)

Sammanfattning

Microsoft har utvecklat en ny Windows-serviceteknik med namnet KIR för Windows Server 2019 och Windows 10, version 1809 och senare versioner. För de versioner av Windows som stöds återställer en KIR en specifik ändring som tillämpades som en del av en Windows Update-version utan säkerhet. Alla andra ändringar som gjordes som en del av den versionen förblir intakta. Om en Windows-uppdatering orsakar en regression eller något annat problem med hjälp av den här tekniken behöver du inte avinstallera hela uppdateringen och återgå till den senaste fungerande konfigurationen. Du återställer bara den ändring som orsakade problemet. Den här återställningen är tillfällig. När Microsoft har släppt en ny uppdatering som åtgärdar problemet är återställningen inte längre nödvändig.

Viktigt!

KIR gäller endast för icke-säkerhetsuppdateringar. Det beror på att återställning av en korrigering för en icke-säkerhetsuppdatering inte skapar någon potentiell säkerhetsrisk.

Microsoft hanterar KIR-distributionsprocessen för enheter som inte är företagsenheter. För företagsenheter tillhandahåller Microsoft MSI-filer för KIR-principdefinition. Företag kan sedan använda grupprincip för att distribuera KIR i hybriddomäner för Microsoft Entra-ID eller Active Directory-domän Services (AD DS).

Kommentar

Du måste starta om de berörda datorerna för att kunna tillämpa den här grupprincip ändringen.

KIR-processen

Om Microsoft bedömer att en icke-säkerhetsuppdatering har en kritisk regression eller liknande problem genererar Microsoft en KIR. Microsoft meddelar KIR på Windows hälsoinstrumentpanel och lägger till informationen på följande platser:

För icke-företagskunder tillämpar Windows Update-processen KIR automatiskt. Användaren behöver inte göra någonting.

För företagskunder tillhandahåller Microsoft en MSI-fil för principdefinition. Företagskunder kan sprida KIR till hanterade system med hjälp av företagets grupprincip infrastruktur.

Om du vill se ett exempel på en KIR MSI-fil laddar du ned Windows 10 (2004 & 20H2) Kända återställningsfel 031321 01.msi.

En KIR-principdefinition har en begränsad livslängd (högst några månader). När Microsoft har publicerat en ändrad uppdatering för att åtgärda det ursprungliga problemet är KIR inte längre nödvändigt. Principdefinitionen kan sedan tas bort från den grupprincip infrastrukturen.

Tillämpa KIR på en enda enhet med hjälp av grupprincip

Följ dessa steg om du vill använda grupprincip för att tillämpa en KIR på en enda enhet:

  1. Ladda ned MSI-filen för KIR-principdefinitionen till enheten.

    Viktigt!

    Kontrollera att operativsystemet som anges i .msi filnamn matchar operativsystemet för den enhet som du vill uppdatera.

  2. Kör filen .msi på enheten. Den här åtgärden installerar KIR-principdefinitionen i den administrativa mallen.
  3. Öppna Redigeraren för lokala grupprincip. Det gör du genom att välja Start och sedan ange gpedit.msc.
  4. Välj Lokal dator princip>Datorkonfiguration>Administrativa mallar>KB ####### Problem XXX Återställning>Windows 10, version YYMM.

    Kommentar

    I det här steget ####### är kb-artikelnumret för uppdateringen som orsakade problemet. XXX är ärendenumret och YYMM är versionsnumret för Windows 10.

  5. Högerklicka på principen och välj sedan Redigera>inaktiverad>OK.
  6. Starta om enheten.

Mer information om hur du använder Redigeraren för lokala grupprincip finns i Arbeta med principinställningarna för administrativa mallar med hjälp av Redigeraren för lokala grupprincip.

Tillämpa en KIR på enheter i en Microsoft Entra-hybrid-ID eller AD DS-domän med hjälp av grupprincip

Följ dessa steg för att tillämpa en KIR-principdefinition på enheter som tillhör en Microsoft Entra-hybrid-ID eller AD DS-domän:

  1. Ladda ned och installera KIR MSI-filerna
  2. Skapa ett grupprincip objekt (GPO).
  3. Skapa och konfigurera ett WMI-filter som tillämpar grupprincipobjektet.
  4. Länka grupprincipobjektet och WMI-filtret.
  5. Konfigurera grupprincipobjektet.
  6. Övervaka GPO-resultaten.

1. Ladda ned och installera KIR MSI-filerna

  1. Kontrollera informationen om KIR-versionen eller de kända problemlistorna för att identifiera vilka operativsystemversioner du måste uppdatera.
  2. Ladda ned KIR-principdefinitionen .msi filer som du behöver uppdatera till den dator som du använder för att hantera grupprincip för din domän.
  3. Kör .msi-filerna. Den här åtgärden installerar KIR-principdefinitionen i den administrativa mallen.

    Kommentar

    Principdefinitioner installeras i mappen C:\Windows\PolicyDefinitions . Om du har implementerat grupprincip Central Store måste du kopiera .admx- och .adml-filerna till Central Store.

2. Skapa ett grupprincipobjekt

  1. Öppna grupprincip-hanteringskonsolen och välj sedan Skog: Domännamndomäner>.
  2. Högerklicka på domännamnet och välj sedan Skapa ett grupprincipobjekt i den här domänen och länka det här.
  3. Ange namnet på det nya grupprincipobjektet (till exempel KIR Issue XXX) och välj sedan OK.

Mer information om hur du skapar grupprincipobjekt finns i Skapa ett grupprincip-objekt.

3. Skapa och konfigurera ett WMI-filter som tillämpar grupprincipobjektet

  1. Högerklicka på WMI-filter och välj sedan Nytt.

  2. Ange ett namn för det nya WMI-filtret.

  3. Ange en beskrivning av WMI-filtret, till exempel Filtrera på alla Windows 10-enheter version 2004.

  4. Markera Lägga till.

  5. I Fråga anger du följande frågesträng:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Viktigt!

    I den här strängen <representerar VersionNumber> den Windows-version som du vill att grupprincipobjektet ska gälla för. Versionsnumret måste använda följande format (exkludera hakparenteserna när du använder talet i strängen):

    10.0.xxxxx

    där xxxxx är ett femsiffrigt tal. Kirs stöder för närvarande följande versioner:

    Version Versionsnummer
    Windows 10, version 20H2 10.0.19042
    Windows 10, version 2004 10.0.19041
    Windows 10, version 1909 10.0.18363
    Windows 10, version 1903 10.0.18362
    Windows 10 version 1809 10.0.17763

    En uppdaterad lista över Windows-versioner och versionsnummer finns i Windows 10 – versionsinformation.

    Viktigt!

    De versionsnummer som visas på windows 10-versionsinformationssidan innehåller inte prefixet 10.0 . Om du vill använda ett versionsnummer i frågan måste du lägga till prefixet 10.0 .

Mer information om hur du skapar WMI-filter finns i Skapa WMI-filter för grupprincipobjektet.

  1. Välj det grupprincipobjekt som du skapade tidigare, öppna menyn WMI-filtrering och välj sedan det WMI-filter som du nyss skapade.
  2. Välj Ja för att acceptera filtret.

5. Konfigurera grupprincipobjektet

Redigera grupprincipobjektet för att använda KIR-aktiveringsprincipen:

  1. Högerklicka på grupprincipobjektet som du skapade tidigare och välj sedan Redigera.
  2. I grupprincip-redigeraren väljer du GPOName>Datorkonfiguration>Administrativa mallar>KB ####### Problem XXX Återställning>Windows 10, version YYMM.
  3. Högerklicka på principen och välj sedan Redigera>inaktiverad>OK.

Mer information om hur du redigerar grupprincipobjekt finns i Redigera ett grupprincip objekt från GPMC.

6. Övervaka GPO-resultatet

I standardkonfigurationen för grupprincip bör hanterade enheter tillämpa den nya principen inom 90 till 120 minuter. För att påskynda den här processen kan du köra gpupdate på berörda enheter för att manuellt söka efter uppdaterade principer.

Kontrollera att varje berörd enhet startas om när principen har tillämpas.

Viktigt!

Korrigeringen som introducerade problemet inaktiveras när enheten tillämpar principen och startar sedan om.

Distribuera en KIR-aktivering med microsoft Intune ADMX-principinmatning till de hanterade enheterna

Kommentar

Om du vill använda lösningarna i det här avsnittet måste du installera den kumulativa uppdateringen som släpps den 26 juli 2022 eller senare på datorn.

Grupprinciper och grupprincipobjekt är inte kompatibla med mdm-baserade lösningar (hantering av mobila enheter), till exempel Microsoft Intune. De här anvisningarna vägleder dig genom hur du använder anpassade Intune-inställningar för ADMX-inmatning och konfigurerar ADMX-säkerhetskopierade MDM-principer för att utföra en KIR-aktivering utan att ett grupprincipobjekt krävs.

Följ dessa steg för att utföra en KIR-aktivering på Intune-hanterade enheter:

  1. Ladda ned och installera KIR MSI-filen för att hämta ADMX-filer.
  2. Skapa en anpassad konfigurationsprofil i Microsoft Intune.
  3. Övervaka KIR-aktivering.

1. Ladda ned och installera KIR MSI-filen för att hämta ADMX-filer

  1. Kontrollera kir-versionsinformationen eller de kända problemlistorna för att identifiera vilka operativsystemversioner som du måste uppdatera.

  2. Ladda ned den nödvändiga KIR-principdefinitionen .msi filer på den dator som du använder för att logga in på Microsoft Intune.

    Kommentar

    Du behöver åtkomst till innehållet i en KIR-aktiverings-ADMX-fil.

  3. .msi Kör filerna. Den här åtgärden installerar KIR-principdefinitionen i den administrativa mallen.

    Kommentar

    Principdefinitioner installeras i mappen C:\Windows\PolicyDefinitions .

    Om du vill extrahera ADMX-filerna till en annan plats använder du msiexec kommandot med egenskapen TARGETDIR . Till exempel:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Skapa en anpassad konfigurationsprofil i Microsoft Intune

Om du vill konfigurera enheter för att utföra en KIR-aktivering måste du skapa en anpassad konfigurationsprofil för varje operativsystem för dina hanterade enheter. Följ dessa steg för att skapa en anpassad profil:

  1. Välj egenskaper och lägg till grundläggande information om profilen.
  2. Lägg till anpassad konfigurationsinställning för att mata in ADMX-filer för KIR-aktivering.
  3. Lägg till anpassad konfigurationsinställning för att ange en ny KIR-aktiveringsprincip.
  4. Tilldela enheter till den anpassade konfigurationsprofilen för KIR-aktivering.
  5. Använd tillämplighetsregler för att rikta enheter till att ta emot KIR-anpassade konfigurationsinställningar per operativsystem.
  6. Granska och skapa en anpassad konfigurationsprofil för KIR-aktivering.

A. Välj egenskaper och lägg till grundläggande information om profilen

  1. Logga in på administrationscentret för Microsoft Intune.

  2. Välj Enhetskonfigurationsprofiler>>Skapa profil.

  3. Välj följande egenskaper:

    • Plattform: Windows 10 och senare
    • Profil: Anpassade mallar>

  4. Välj Skapa.

  5. I Grundläggande anger du följande egenskaper:

    • Namn: Ange ett beskrivande namn för principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel "04/30 KIR Activation – Windows 10 21H2".
    • Beskrivning: Ange en beskrivning av principen. Den här inställningen är valfri men rekommenderas.

    Kommentar

    Plattforms - och profiltypen bör redan ha värden valda.

  6. Välj Nästa.

Kommentar

Mer information om hur du skapar anpassade konfigurationsprofiler och konfigurationsinställningar finns i Använda anpassade enhetsinställningar i Microsoft Intune.

Innan du fortsätter till nästa två steg öppnar du ADMX-filen i en textredigerare (till exempel Anteckningar) där filen extraherades. ADMX-filen ska finnas i sökvägen C:\Windows\PolicyDefinitions om du har installerat den som en MSI-fil.

Här är ett exempel på ADMX-filen:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Registrera värdena för policy name och parentCategory. Den här informationen finns i noden "policies" i slutet av filen.

B. Lägg till anpassad konfigurationsinställning för att mata in ADMX-filer för KIR-aktivering

Den här konfigurationsinställningen används för att installera KIR-aktiveringsprincipen på målenheter. Följ de här stegen för att lägga till ADMX-inmatningsinställningarna:

  1. I Konfigurationsinställningar väljer du Lägg till.

  2. Ange följande egenskaper:

    • Namn: Ange ett beskrivande namn för konfigurationsinställningen. Ge inställningarna ett namn så att du enkelt kan identifiera dem senare. Ett bra inställningsnamn är till exempel "ADMX Ingestion: 04/30 KIR Activation – Windows 10 21H2".

    • Beskrivning: Ange en beskrivning av inställningen. Den här inställningen är valfri men rekommenderas.

    • OMA-URI: Ange strängen ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Kommentar

      Ersätt <ADMX-principnamnet> med värdet för det registrerade principnamnet från ADMX-filen. Till exempel "KB5011563_220428_2000_1_KnownIssueRollback".

    • Datatyp: Välj Sträng.

    • Värde: Öppna ADMX-filen med en textredigerare (till exempel Anteckningar). Kopiera och klistra in hela innehållet i den ADMX-fil som du tänker mata in i det här fältet.

  3. Välj Spara.

C. Lägg till anpassad konfigurationsinställning för att ange en ny KIR-aktiveringsprincip

Den här konfigurationsinställningen används för att konfigurera KIR-aktiveringsprincipen, som definieras i föregående steg.

Följ de här stegen för att lägga till konfigurationsinställningarna för KIR-aktivering:

  1. I Konfigurationsinställningar väljer du Lägg till.

  2. Ange följande egenskaper:

    • Namn: Ange ett beskrivande namn för konfigurationsinställningen. Ge inställningarna ett namn så att du enkelt kan identifiera dem senare. Ett bra inställningsnamn är till exempel "KIR Activation: 04/30 KIR Activation – Windows 10 21H2".

    • Beskrivning: Ange en beskrivning av inställningen. Den här inställningen är valfri men rekommenderas.

    • OMA-URI: Ange strängen ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Kommentar

      Ersätt <överordnad kategori> med den överordnade kategoristrängen som registrerades i föregående steg. Till exempel "KnownIssueRollback_Win_11". Ersätt <ADMX-principnamnet> med samma principnamn som användes i föregående steg.

    • Datatyp: Välj Sträng.

    • Värde: Ange <inaktiverat/>.

  3. Välj Spara.

  4. Välj Nästa.

D. Tilldela enheter till den anpassade konfigurationsprofilen för KIR-aktivering

När du har definierat vad den anpassade konfigurationsprofilen gör följer du de här stegen för att identifiera vilka enheter du ska konfigurera:

  1. I Tilldelningar väljer du Lägg till alla enheter.
  2. Välj Nästa.

E. Använda tillämplighetsregler för att rikta in sig på enheter för att ta emot ANPASSADE KIR-konfigurationsinställningar per operativsystem

Om du vill rikta enheterna efter operativsystem som är tillämpliga på gp lägger du till en tillämplighetsregel för att kontrollera enhetens operativsystemversion (Build) innan du tillämpar den här konfigurationen. Du kan leta upp byggnumren för operativsystemet som stöds på följande sidor:

Versionsnumren som visas på sidorna formateras som MMMMM.mmmm (M= huvudversion och m= delversion). Egenskaperna för operativsystemversion använder huvudversionssiffrorna. De os-versionsvärden som anges i tillämplighetsreglerna ska formateras som "10.0.MMMMM". Till exempel "10.0.22000".

Följ de här anvisningarna för att ange rätt tillämplighetsregler för kir-aktiveringen:

  1. I Tillämplighetsregler skapar du en tillämplighetsregel genom att ange följande egenskaper för den tomma regeln som redan finns på sidan:

    • Regel: Välj Tilldela profil om från listrutan.
    • Egenskap: Välj OS-version i listrutan.
    • Värde: Ange versionsnumren Min och Max os formaterat som "10.0.MMMMM".

  2. Välj Nästa.

Kommentar

Operativsystemets version av en enhet kan hittas genom att köra winver kommandot från Start-menyn. Det visar ett versionsnummer i två delar avgränsat med ett "". Till exempel "22000.613". Du kan lägga till det vänstra numret i "10.0." för min os-versionen. Hämta det högsta versionsnumret för operativsystemet genom att lägga till 1 till den sista siffran i versionsnumret för Min OS. I det här exemplet kan du använda följande värden:
Lägsta operativsystemversion: "10.0.22000"
Max os-version: "10.0.22001"

F. Granska och skapa anpassad konfigurationsprofil för KIR-aktivering

Granska inställningarna för den anpassade konfigurationsprofilen och välj Skapa.

3. Övervaka KIR-aktivering

Kir-aktiveringen bör vara igång nu. Följ dessa steg för att övervaka konfigurationsprofilens förlopp:

  1. Gå till Enhetskonfigurationsprofiler> och välj en befintlig profil. Välj till exempel en macOS-profil.

  2. Välj fliken Översikt. I den här vyn innehåller profiltilldelningsstatusen följande statusar:

    • Lyckades: Principen har tillämpats.
    • Fel: Principen kunde inte tillämpas. Meddelandet visar vanligtvis en felkod som länkar till en förklaring.
    • Konflikt: Två inställningar tillämpas på samma enhet och Intune kan inte reda ut konflikten. En administratör bör granska konflikten.
    • Väntar: Enheten har inte checkat in med Intune för att ta emot principen ännu.
    • Ej tillämpligt: Enheten kan inte ta emot principen. Principen uppdaterar till exempel en inställning som är specifik för iOS 11.1, men enheten använder iOS 10.

Mer information finns i Övervaka enhetskonfigurationsprofiler i Microsoft Intune.

Mer information