Partager via


Configurer les paramètres de Windows Update pour le Gestionnaire de mise à jour Azure

Le Gestionnaire de mise à jour Azure s’appuie sur le client Windows Update pour télécharger et installer les mises à jour de Windows. Des paramètres spécifiques sont utilisés par le client Windows Update lors de la connexion à Windows Server Update Services (WSUS) ou à Windows Update. Vous pouvez gérer une grande partie de ces paramètres par les moyens suivants :

  • Éditeur de stratégie de groupe locale
  • Stratégie de groupe
  • PowerShell
  • Modification directe du Registre

Le Gestionnaire de mise à jour respecte un grand nombre des paramètres spécifiés pour contrôler le client Windows Update. Si vous utilisez des paramètres pour activer les mises à jour autres que celles de Windows, le Gestionnaire de mise à jour va également gérer ces mises à jour. Si vous souhaitez activer le téléchargement des mises à jour avant le déploiement de mises à jour, le déploiement des mises à jour peut être plus rapide et moins susceptible de dépasser la fenêtre de maintenance.

Pour obtenir des recommandations supplémentaires sur la configuration de WSUS dans votre abonnement Azure, et conserver vos machines virtuelles Windows à jour de manière sécurisée, consultez Planifier votre déploiement pour la mise à jour des machines virtuelles Windows dans Azure à l’aide de WSUS.

Pré-télécharger des mises à jour

Pour configurer le téléchargement automatique des mises à jour sans leur installation automatiquement, vous pouvez utiliser une stratégie de groupe pour définir le paramètre Configurer les mises à jour automatiques sur 3. Ce paramètre permet de télécharger les mises à jour nécessaires en arrière-plan, puis de vous avertir que les mises à jour sont prêtes à être installées. Ceci permet au Gestionnaire de mise à jour de garder le contrôle des planifications, mais autorise le téléchargement des mises à jour en dehors de la fenêtre de maintenance. Ce comportement empêche les erreurs de type Maintenance window exceeded dans le Gestionnaire de mise à jour.

Vous pouvez activer ce paramètre dans PowerShell :

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()

Configurer les paramètres de redémarrage

Les clés de Registre répertoriées sous Configuration des mises à jour automatiques en modifiant le registre et Clés de Registre utilisées pour gérer le redémarrage peuvent entraîner le redémarrage de vos machines, même si vous spécifiez Ne jamais redémarrer dans les paramètres Déploiement des mises à jour. Configurez ces clés de Registre pour qu’elles s’adaptent au mieux à votre environnement.

Activer les mises à jour pour d’autres produits Microsoft

Par défaut, le client Windows Update est configuré pour fournir des mises à jour uniquement pour un système d’exploitation Windows. Dans Windows Update, sélectionnez Rechercher les mises à jour de Windows en ligne. Il va rechercher les mises à jour pour les autres produits Microsoft pour activer la fonctionnalité Me communiquer les mises à jour d’autres produits Microsoft quand je mets à jour Windows qui permet de recevoir les mises à jour des autres produits Microsoft, y compris les correctifs de sécurité pour Microsoft SQL Server et d’autres logiciels Microsoft.

Utilisez l’une des options suivantes pour effectuer la modification des paramètres à grande échelle :

  • Pour les serveurs configurés avec la mise à jour corrective planifiée dans Update Manager (le paramètre patchSettings de machine virtuelle est alors défini sur AutomaticByPlatform = Azure-Orchestrated), et pour tous les serveurs Windows s’exécutant sur une version du système d’exploitation antérieure à Server 2016, exécutez le script PowerShell suivant sur le serveur que vous souhaitez modifier.

    $ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
    $ServiceManager.Services
    $ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
    $ServiceManager.AddService2($ServiceId,7,"")
    
  • Pour les serveurs exécutant Server 2016 ou une version ultérieure qui n’utilisent pas la mise à jour corrective planifiée Update Manager (paramètre patchSettings de machine virtuelle défini sur AutomaticByOS = Azure-Orchestrated), vous pouvez utiliser une stratégie de groupe pour en assurer le contrôle en téléchargeant et en utilisant les fichiers modèles d’administration de la stratégie de groupe les plus récents.

Configurer un serveur Windows pour les mises à jour Microsoft

Le client Windows Update sur des serveurs Windows peut obtenir leurs correctifs depuis un des deux référentiels de correctifs hébergés par Microsoft suivants :

  • Mise à jour Windows : héberge les correctifs des systèmes d’exploitation.
  • Mise à jour Microsoft : héberge les correctifs des systèmes d’exploitation et d’autres correctifs Microsoft. Par exemple, MS Office, SQL Server, etc.

Remarque

Pour l’application des correctifs, vous pouvez choisir le client de mise à jour au moment de l’installation ou plus tard en utilisant la stratégie de groupe ou en modifiant directement le Registre. Pour obtenir les correctifs Microsoft autres que ceux du système d’exploitation ou pour installer seulement les correctifs du système d’exploitation, nous vous recommandons de changer de référentiel de correctifs, car il s’agit d’un paramètre du système d’exploitation et non pas d’une option que vous pouvez configurer dans le Gestionnaire de mise à jour Azure.

Modifier le Registre

Si la mise à jour corrective planifiée est configurée sur votre machine en utilisant le Gestionnaire de mise à jour Azure, la mise à jour automatique sur le client est désactivée. Pour modifier le Registre et configurer le paramètre, consultez Mises à jour internes sur Windows.

Mise à jour corrective en utilisant la stratégie de groupe sur le Gestionnaire de mise à jour Azure

Si votre machine reçoit ses correctifs via le Gestionnaire de mise à jour Azure et que les mises à jour automatiques sont activées sur le client, vous pouvez utiliser la stratégie de groupe pour avoir un contrôle total. Pour appliquer les correctifs en utilisant la stratégie de groupe, procédez comme suit :

  1. Accédez à Configuration ordinateur>Modèles d’administration>Composants Windows>Windows Update>Gérer l’expérience des utilisateurs finaux.

  2. Sélectionnez Configurer les mises à jour automatiques.

  3. Sélectionnez ou désélectionnez l’option Installer les mises à jour pour d’autres produits Microsoft.

    Capture d’écran de la sélection ou de la désélection de l’installation des mises à jour pour d’autres produits Microsoft.

Pour Windows Server 2022 :

  1. Accédez à Configuration ordinateur>Modèles d’administration>Composants Windows>Windows Update>Configurer les mises à jour automatiques.

  2. Sélectionnez Configurer les mises à jour automatiques.

  3. Sélectionnez ou désélectionnez l’option Installer les mises à jour pour d’autres produits Microsoft.

    Capture d’écran de la sélection ou de la désélection de l’installation des mises à jour pour d’autres produits Microsoft dans Windows Server 2022.

Définir des paramètres de configuration WSUS

Le Gestionnaire de mise à jour prend en charge les paramètres WSUS. Vous pouvez spécifier les sources à utiliser pour l’analyse et le téléchargement des mises à jour en suivant les instructions de la rubrique Spécifier l’emplacement intranet du service de mise à jour Microsoft. Par défaut, le client Windows Update est configuré pour télécharger les mises à jour à partir de Windows Update. Quand vous spécifiez un serveur WSUS comme source pour vos machines, si les mises à jour ne sont pas approuvées dans WSUS, leur déploiement échoue.

Pour limiter les machines au service de mise à jour interne, activez l’option Ne pas se connecter à des emplacements Internet Windows Update.

Étapes suivantes

Configurez un déploiement de mise à jour en suivant les instructions fournies dans Déployer les mises à jour.