Možnosti pro Windows Update

Tradiční Windows Server Update Services (WSUS)

Tradiční řešení pro firmy bylo/je využití služby Windows Server Update Services (WSUS), ideálně spolu s Configuration Manager (MECM). Klient se pro kontrolu aktualizací připojuje k lokálnímu WSUS serveru a data může stahovat z MECM DP. Určujeme (schvalujeme) jednotlivé aktualizace, které se mají instalovat na skupinu zařízení. Takže máme granulární možnosti, ale zase chybí některé funkce, které nabízí WUfB.

Pozn.: WSUS funguje jak pro klientské, tak pro serverové Windows.

Windows Update for Business (WUfB)

Pro aktualizaci Windows zařízení pomocí Intune využijeme cloudovou službu Windows Update for Business (WUfB), která je dostupná pro prémiové edice Windows 10/11 (Pro, Enterprise). Konfiguraci aktualizací na zařízeních provádíme pomocí MDM nebo Group Policy, ta se pak připojují přímo ke službě Windows Update.

Intune předává Device ID a další informace službě Windows Update, kam se připojuje klient pro kontrolu aktualizací (a také předává určité informace dle svého nastavení). Podle toho nabídne služba odpovídající aktualizace klientovi, který provede stažení a instalaci.

Pozn.: V tuto chvíli můžeme použít pouze pro aktualizaci klientských Windows, nikoliv Windows Server.

Windows Update for Business s Intune

Windows Update for Business je zdarma a můžeme jej konfigurovat pomocí Group Policy.

Intune (nebo jiné MDM) přináší jednodušší správu a více možností. Potřebujeme tedy licenci na Intune, zařízení musí mít podporovanou verzi a edici Windows, být registrované v Intune a (Hybrid) Azure AD joined. Také musí být dostupná komunikace na různé Microsoft služby (primárně Windows Update, pro další funkce Windows Update for Business Deployment Service, Windows Push Notification Services).

Windows Update for Business Deployment Service (WUfB-DS)

• Windows Update for Business deployment service

Microsoft nabízí ještě další služby, které využívají/rozšiřují možnosti Windows Update for Business.

První je Windows Update for Business Deployment Service (WUfB-DS). Je určena těm, kterým nestačí možnosti Update Rings a odložení aktualizací. Umožňuje schvalování a plánování instalace aktualizací (pouze pro Feature a Driver updates, ne pro Quality updates). Méně příjemná věc je, že jde o API, které je dostupné pomocí Microsoft Graph a souvisejících SDK (včetně PowerShell). Narazil jsem na (netestoval) Windows Update for Business Deployment Service Web App.

Pro využití WUfB-DS potřebujeme, mimo licence na Intune, také licenci pro Windows Update for Business deployment service. Ta je ovšem většinou součástí stejného licenčního plánu jako Intune, primárně Microsoft 365 E3, E5, Microsoft 365 Business Premium.

Windows Autopatch

• What is Windows Autopatch?

Druhá služba je Windows Autopatch. Ta má zjednodušovat plánování a provoz procesu aktualizací (Windows, Microsoft 365 Apps for Enterprise, Microsoft Edge a Microsoft Teams). Při aktivaci služby se automaticky vytvoří čtyři skupiny a odpovídající Update Rings s konfigurací (Test, First, Fast, Broad).

Je potřeba licence na Windows Autopatch, která je součástí Windows Enterprise E3 (Microsoft 365 E3 a E5).

Windows Update

Typy aktualizací

• Feature updates - vychází ročně, přidávají nové vlastnosti a funkce, označují se jako upgrade
• Quality updates - vychází měsíčně (typicky druhé úterý), jde o klasické aktualizace, přináší bezpečností i jiné opravy (obsahují security updates, critical updates, servicing stack updates a driver updates)
• Servicing stack updates - aktualizace komponenty, která přímo instaluje Windows aktualizace
• Driver updates - aktualizace ne-Microsoft ovladačů pro zařízení
• Microsoft product updates - aktualizace dalších MS produktů, jako jsou Office (instalované pomocí MSI, Click-to-Run instalaci nelze aktualizovat pomocí Windows Update for Business)

Feature and Quality updates jsou od Windows 10 kumulativní, takže obsahují všechny předchozí aktualizace. Stačí nainstalovat poslední aktualizaci, abychom získali všechny předchozí opravy.

Servicing channels - servisní kanály

• General Availability Channel - Feature updates se instalují, jakmile jsou vydány (pokud není nastaveno odložení aktualizací - Defer)
• Windows Insider Program for Business - obsahuje preview verze aktualizací, které budou součástí následujícího Feature updates, pokud chceme testovat dopředu
• Long-term Servicing Channel (LTSC) - je určeno pro speciální zařízení, která dostávají Feature updates jednou za 2 až 3 roky, jde o speciální verzi Windows

Windows Update for Business (WUfB)

• What is Windows Update for Business?
• Manage Windows 10 and Windows 11 software updates in Intune

Windows Update for Business umožňuje správcům udržovat zařízení v organizaci aktualizovaná. Využívá se přímé připojení ke službě Windows Update. Umožňuje řídit, jaké aktualizace se nabízí zařízením a kdy se aplikují. Takže můžeme provést testování na podmnožině zařízení před nasazením aktualizací v rámci celé organizace.

Konfigurace Windows Update

Pro konfiguraci nastavení, jak a kdy se zařízení aktualizují, můžeme využít Group Policy nebo Microsoft Intune (či jiný MDM nástroj). MDM nástroje využívají Configuration Service Provider (CSP) politiky. Intune navíc používá Cloud Policies.

Můžeme řídit instalaci aktualizací a tím ovlivňovat zkušenost koncových uživatelů. Windows Update má zabudovanou určitou inteligenci, jako je Smart Busy Check (aktualizace se instalují, když uživatel není přihlášen) a Active Hours.

Můžeme ponechat automatické stažení, instalaci a restart pro instalaci aktualizací a výchozí oznámení nebo konfigurovat. Je doporučeno nastavit termín (Deadline) pro aktualizace. Tedy počet dní od zveřejnění aktualizace, kdy musí být nainstalována. Zároveň můžeme nastavit Grace Period, do kdy musí být proveden restart.

Pozn.: Windows 10 musí být nějaké minimální verze, obecně je podporováno od verze 1607. K dalším změnám došlo ve verzi 1703.

Princip fungování pomocí odkladu instalace

Na rozdíl od WSUS neschvalujeme jednotlivé aktualizace pro skupiny zařízení, ale nastavujeme strategii zavádění aktualizací. Pomocí Intune konfigurujeme nastavení aktualizací a odklad instalace. Můžeme zabránit instalaci Feature updates, zatímco Quality updates se stále instalují.

Instalaci aktualizací můžeme odložit (Defer) nebo pozastavit (Pause) na nastavenou dobu. Feature updates můžeme odložit až o 365 dní, Quality updates o 30 dní. Při nastavení odložení si zařízení neinstaluje aktualizace (nejsou mu zveřejněny), které byly vydány méně než před zadaným počtem dní.

Pozn.: Pozastavení nebo odložení aktualizací můžeme nastavit pomocí Group Policy Select when Preview Builds and feature updates are Received a Select when Quality Updates are Received. Nebo jednodušeji pomocí Intune.

Typy politik pro správu aktualizací

Intune nabízí tři politiky (metody) pro řízení aktualizací:

• Update rings for Windows 10 and later - skupina nastavení, která konfiguruje instalaci aktualizací na zařízení
• Feature updates for Windows 10 and later - tato politika aktualizuje Windows na určitou verzi a poté ji na této verzi zmrazí (dokud se nerozhodneme instalovat novější verzi)
• Quality updates for Windows 10 and later - zrychlené nasazení určitého Quality update mimo standardní plán

Základní je využití Update Rings, které použijeme vždy. Můžeme pomocí něj instalovat všechny typy aktualizací. Politiky Feature updates a Quality updates využívají Windows Update for Business Deployment Service, takže potřebujeme odpovídající licenci.

Pro instalaci Feature updates můžeme využít nastavení Update Rings politik spolu s odložením aktualizací nebo Feature updates politik. Doporučeno je využít novější vlastnost Feature updates a nekombinovat konfiguraci pomocí obou možností.

Seskupení zařízení

Všechny politiky (konfigurační profily) přiřazujeme na skupiny. První krok je tedy zařadit zařízení do skupin (Groups). Intune používá pro standardní nasazovaní aktualizací termín kruhy (Rings). Rozdělení zařízení provádíme podle doby odkladu instalace aktualizací. Nejprve nasadíme aktualizace na malou skupinu zařízení, která ověří kvalitu, než se rozšíří do celé organizace (což může být v několika vlnách).

Safeguard hold

• Safeguard holds

Microsoft používá diagnostická data (v cloudové službe Windows Update for Business), aby identifikoval možné problémy s instalací Feature update. Když zjistí, že zařízení není připraveno k aktualizaci kvůli známému problému, tak nastaví Safeguard hold. Pak je pozdržena instalace Feature update.

Update Rings Policy

• Update rings for Windows 10 and later policy in Intune

Primární způsob instalace Feature and Quality updates (včetně Microsoft product updates a Windows drivers). Můžeme jej také využít pro upgrade Windows 10 na Windows 11. Je podporován hlavně pro Windows 10/11 Pro a Enterprise. V případě Windows 10/11 Enterprise LTSC jsou omezené funkce.

Princip Update Rings

Idea použití Update Rings je taková, že rozdělíme zařízení do několika skupin a nastavíme jim stále větší odklad instalace. V první skupině/skupinách je pouze pár testovacích zařízení. V další je více zařízení napříč různými typy a použitím, stále pro otestování. Pak mohou být skupiny pro nasazení na celou organizaci.

Vytvoříme několik Update Ring profilů (konfigurací), které aplikujeme na připravené skupiny zařízení. V profilech nastavíme různý odklad instalace Quality updates. Správu Feature updates budeme provádět novým typem politiky. Takže zde nastavíme hodnotu Feature update deferral period (days) na 0. Zároveň konfigurujeme chování aktualizací. Popis možných nastavení je Microsoftu Windows update settings. Zajímavý popis je na jiném místě Walkthrough: Use Group Policy to configure Windows Update for Business.

Update Ring funguje jako standardní Configuration profile, který konfiguruje nastavení aktualizací na klientovi pomocí CSP. Obsahuje pouze část konfigurací, které jsou k dispozici pro Windows Update for Business. Můžeme se podívat na detail zařízení, kde pod Device configuration vidíme aplikované politiky. Politiku pro Update Ring můžeme rozkliknout a vidíme jednotlivá nastavení.

Konfigurace Update Rings

• Microsoft Endpoint Manager admin center - Devices - Update rings for Windows 10 and later

Zadáváme jméno profilu a konfigurujeme nastavení (Update ring settings):

• Update settings
  • Microsoft product updates
  • Windows drivers
  • Quality update deferral period (days)
  • Feature update deferral period (days)
  • Upgrade Windows 10 devices to Latest Windows 11 release
  • Set feature update uninstall period (2 - 60 days)
  • Enable pre-release builds (Servicing channel)

• User experience settings
  • Automatic update behavior
  • Active hours
  • Restart checks
  • Option to pause Windows updates
  • Option to check for Windows updates
  • Change notification update level
  • Deadline for feature or quality updates, Grace period, Auto reboot before deadline

Důležité je, že pomocí odkladu nastavujeme zpoždění, kdy je aktualizace zveřejněna klientovi. Následně ji musí stáhnout, nainstalovat a většinou také restartovat. Tyto akce záleží na nastavení klienta, položka Automatic update behavior:

• Notify download - pouze upozornění, že jsou k dispozici aktualizace
• Auto install at maintenance time - automaticky stáhne a nainstaluje aktualizace během automatické údržby (když není používáno a neběží na baterii), pokud je potřeba restart, tak je uživatel dotazován na restart 7 dní (pak je vynucen), k restartu může dojít automaticky (nastavujeme periodu Active hours, kdy je restart blokován)
• Auto install and restart at maintenance time - obdoba předchozího, ale restart proběhne automaticky, když není zařízení používáno
• Auto install and restart at scheduled time - umožňuje nastavit den (vybíráme dny a týdny v měsíci) a čas, kdy dojde k instalaci, následuje odpočet 15 minut a restart (pokud zařízení není zapnuté, tak je další pokus o instalaci až při další periodě, vyřešit můžeme nastavením Deadline)
• Auto install and reboot without end-user control - automaticky stáhne, nainstaluje a restartuje, když zařízení není používáno

Profil přiřazujme (Assignments) na skupinu.

Správa Update Rings

Na vytvořeném a přiřazeném profilu můžeme využít následující funkce (na stránce Overview):

• Delete - smazání profilu, přestane aplikovat (vynucovat) nastavení, ale nezmění konfiguraci zařízení, kde bylo aplikováno (zařízením zůstane nastavení aktualizací, které profil provedl)
• Pause - můžeme pozastavit, aby přiřazená zařízení dostávala Feature nebo Quality updates, maximálně na 35 dní
• Resume - obnoví aktualizace, pokud byly pozastaveny
• Extend - pokud je Update Ring pozastaven, resetuje dobu pozastavení a tím prodlouží pauzu
• Uninstall - provede odinstalaci (roll back) posledního Feature nebo Quality update, provede se okamžitě a může vyvolat restart, funkce má řadu omezení, která jsou uvedena v dokumentaci

Feature Updates Policy

• Feature updates for Windows 10 and later policy in Intune

Umožňuje vybrat verzi Windows Feature update, která se nainstaluje a na které chceme, aby zařízení zůstala. Vybírat můžeme z verzí, které jsou podporované v době vytvoření politiky. Funguje dohromady s Update Rings politikami. Můžeme také využít pro upgrade Windows 10 na Windows 11.

Princip Feature Updates Policy

Když zařízení obdrží přiřazenou politiku s určenou verzí (Feature update), tak pokud je na nižší verzi, provede upgrade. Pokud je na Safeguard hold, tak se aktualizace nenainstaluje. Stejně tak, pokud v politice Update Ring provedeme pauzu pro Feature updates, tak instalace nebude probíhat. Na dané verzi zařízení zůstane, dokud nezměníme politiku (na rozdíl od pauzy v Update Ring, která může být maximálně 35 dní).

Pro použití Feature Updates Policy musí na klientovi běžet služba Microsoft Account Sign-In Assistant (wlidsvc) a zařízení musí mít zapnutu Telemetry minimálně na hodnotu Required diagnostic data (Basic).

Konfigurace Feature Updates Policy

• Microsoft Endpoint Manager admin center - Devices - Feature updates for Windows 10 and later

Zadáváme jméno profilu a vybíráme verzi Windows Feature update to deploy. Pak nastavujeme plán, kdy Windows Update zpřístupní aktualizaci pro zařízení.

Možnosti Rollout options:

• Make update available as soon as possible - žádné zpoždění, než je aktualizace zpřístupněna zařízení
• Make update available on a specific date - zadáváme datum, kdy nejdříve je aktualizace dostupná
• Make update available gradually - postupné zpřístupnění členům skupiny (Intune ji rozdělí na menší, stejně velké, skupiny), může snížit zatížení sítě, zadáváme datum pro první a poslední skupinu a počet dní mezi skupinami

Pro Gradual rollouts můžeme nastavit Intelligent rollouts. To se provede zapnutím položky Allow WUfB Cloud Processing pomocí Settings catalog v kategorii System. Pak se rozdělení do podskupin provádí chytřeji.

Quality Updates Policy

• Expedite Windows quality updates in Microsoft Intune

Umožňuje urychlit instalaci nejnovějších aktualizací zabezpečení Windows 10/11. Můžeme ponechat standardní Update Rings Policy a rychle nasadit určitou (měsíční) aktualizaci ke zmírnění bezpečnostní hrozby.

Zrychlené aktualizace jsou schopny kontrolovat aktualizace na zařízení častěji, než je běžná frekvence kontroly Windows Update. Vybíráme aktualizace podle data vydaní, takže můžeme využít společně pro různé verze Windows 10. Pokud již zařízení má tuto nebo novější aktualizaci, tak aktualizaci nedostane. V politice nastavujeme termín, do kdy musí proběhnout restart. Do té doby je může řídit uživatel, ale po vypršení času proběhne restart i během pracovní doby.

Konfigurace Quality Updates Policy

• Microsoft Endpoint Manager admin center - Devices - Quality updates for Windows 10 and later

Zadáváme jméno profilu a vybíráme aktualizaci, která se má urychlit. K tomu můžeme nastavit počet dní (0, 1 a 2), jak brzy po instalaci aktualizace musí proběhnout restart (a případně je vynucen automaticky).

V době psaní článku se nabízí 3 aktualizace 2023.03 B Security Updates for Windows 10 and later, 2023.04 B Security Updates for Windows 10 and later a 2023.05 B Security Updates for Windows 10 and later. Písmeno B v názvu znamená, že jde o standardní update vydaný druhé úterý v měsíci.

Monitorování aktualizací a reporty

• Intune compliance reports for updates
• App and driver compatibility reports for Windows updates
• Windows Update for Business reports

Abychom mohli sledovat výsledky a stav aktualizací, tak musíme na zařízeních nastavit Windows Health Monitoring. To znamená vytvořit konfigurační profil ze šablony Windows health monitoring, kde zapneme Health monitoring a nastavíme Scope na Windows updates.

Reporty

Intune nabízí několik reportů (ale moc detailů se v nich nedozvíme) pro Windows Update v části Monitor nebo Reports. Pouze jeden se týká Update Rings (zobrazuje pouze informace o nasazení konfigurace):

• Microsoft Endpoint Manager admin center - Devices - Monitor - Per update ring deployment state

Ostatní jsou pro Feature updates nebo Expedited updates (pro report je potřeba minimálně Windows 10 1903), spíše se týkají chyb:

• Microsoft Endpoint Manager admin center - Devices - Monitor - Feature update failures
• Microsoft Endpoint Manager admin center - Devices - Monitor - Windows Expedited update failures
• Microsoft Endpoint Manager admin center - Reports - Windows updates - Summary a Reports

Mezi reporty se nachází také zprávy o kompatibilitě:

• Windows feature update device readiness report - poskytuje informace pro jednotlivá zařízení o rizicích kompatibility při aktualizaci na vybranou verzi systému Windows
• Windows feature update compatibility risks report - souhrnný přehled hlavních rizik kompatibility v organizaci pro vybranou verzi systému Windows, zjistíme, které riziko postihuje nejvíce zařízení

Windows Update for Business reports

Můžeme nasadit/zprovoznit Windows Update for Business reports, které poskytnou více informací o jednotlivých aktualizacích. Využívají Microsoft Azure funkci Azure Log Analytics a jsou dostupné skrze Azure Portal. Neplatí se poplatky (je součástí Windows licence).

Konfigurace je podrobně popsána v dokumentaci. Musíme splňovat určité předpoklady. Aktivovat (zaregistrovat/přidat do subskripce) Windows Update for Business reports v rámci Azure nebo Azure AD - Enable Windows Update for Business reports. Na zařízeních povolit telemetrii - Configuring Microsoft Intune devices for Windows Update for Business reports. Po určité době by se měly začít zobrazovat reporty (pokud ne, tak je hlavní zkontrolovat na klientech, že je poveleno Diagnostic data - Required).

Reporty využívají Azure Workbook pro visuální reprezentaci dat. Nalezneme je v Azure Portal - levé horní menu Monitor - Workbooks. Nalezneme a rozklikneme Windows Update for Business reports.

Delivery Optimization

• Delivery Optimization settings for Windows devices in Intune
• Delivery Optimization settings in Microsoft Intune
• What is Delivery Optimization?

Pokud máme mnoho klientů v interní síti, tak jsme mohli využívat Configuration Manager a stahovat aktualizace lokálně. Když začneme využívat aktualizace s Intune, tak si všichni klienti budou stahovat aktualizace z internetu. Abychom zmírnili zatížení na linku do internetu, tak můžeme využít Delivery Optimization. Využije se kešování na klientech a stahování od sousedů (Peers). Před delší dobou byla jeho konfigurace součástí Update Rings.

Nastavení provedeme pomocí konfiguračního profilu ze šablony Delivery Optimization (můžeme také pomocí Settings catalog). Je zde mnoho hodnot, které můžeme nastavit. Hlavní je metoda stahování, která ovlivňuje, zda se stahuje od počítačů na síti. Dále nastavení maximální využité šířky pásma, vlastnosti kešování a Local Server Caching.

Přechod z Group Policy, WSUS

Pokud již nějakou správu aktualizací provozujeme, nejčastěji pomocí WSUS, tak pravděpodobně konfiguraci klientů provádíme pomocí Group Policy. Pokud začneme přecházet/testovat Intune, tak si musíme uvědomit pár věcí.

Group Policy vs. Intune

Pokud stejné nastavení provádíme pomocí Group Policy a Intune, tak má Group Policy přednost (vyhrává). Znamená to, že se Intune nastavení neuplatní, pokud máme aplikované GPO pro konfiguraci aktualizací z WSUS. Musíme zařídit, aby se Group Policy nastavení pro tuto oblast na zařízení nepoužilo.

V Intune můžeme vytvořit konfigurační profil s nastavením MDMWinsOverGP. Jde o zapnutí MDM wins over GP pomocí Settings catalog v kategorii Control Policy Conflict. Toto nastavení zařídí, že se uplatní Intune nastavení a stejná konfigurace Group Policy se blokuje. Aplikuje se pouze na politiky z Policy CSP.

Pokud pomocí GPO nastavujeme Intranet Update Service, tak nám MDM wins over GP nepomůže. Protože Update Ring toto nastavení nezmění a aktualizace nebudou fungovat. Proto musíme zařídit, aby se na zařízení neuplatnila GPO s nastavením aktualizací.

Na Windows zařízení se můžeme podívat, která nastavení jsou provedena pomocí Group Policy a která pomocí Mobile Device Management.

• Settings > Update & Security > Windows Update
• pokud je zařízení spravováno organizací (Some settings are managed by your organization), tak se zde nachází odkaz
• View configured update policies

Nastavení pomocí Group Policy

Konfigurace aktualizací se v Group Policy nachází v cestě

Computer Configuration/Policies/Administrative Templates/Windows Components/Windows Update

Několik speciálních nastavení pro Windows Update for Business je ve stejně nazvané podsložce.

Nastavení pomocí Intune Configuration profile

Velké množství položek (76) můžeme nastavit pomocí Settings catalog kategorie Windows Update for Business. Ale řekl bych, že zde nejsou všechna nastavení, jako v Group Policy. Popis Policy CSP - Update.

Migrace

Migrace z lokálního řešení do Intune znamená nové vytvoření a pravděpodobně i určitou změnu. Je dobré dát dohromady aktuální proces aktualizací (pokud jej máme sepsaný, tak ověřit nastavení). Z Group Policy získáme informace o nastavení, které můžeme ověřit na klientovi, jaké hodnoty jsou konfigurované. Pokud využíváme Configuration Manager, tak je nasazení aktualizací řízeno v něm.

Podle možností Update Rings připravíme nový plán. Hodí se vyjít z původního, ale můžeme provést i významné změny. Některá speciální nastavení můžeme upravit pomocí konfiguračního profilu.