Déployer une mise à jour de qualité à chaud à l’aide de Windows Autopatch
Avec Windows Autopatch, vous pouvez déployer des mises à jour Windows sur des appareils dans un locataire Microsoft Entra. Aujourd’hui, Windows Autopatch prend en charge le déploiement des mises à jour des fonctionnalités Windows 10/11, des mises à jour qualité à chaud, des mises à jour qualité accélérées et des mises à jour de pilotes. Cette rubrique se concentre sur le déploiement des mises à jour qualité hotpatch. Pour plus d’informations sur le déploiement des mises à jour de fonctionnalités, consultez Déployer une mise à jour de fonctionnalité. Pour plus d’informations sur le déploiement des mises à jour qualité accélérées, consultez Déployer une mise à jour qualité accélérée. Pour plus d’informations sur le déploiement des mises à jour de pilotes, consultez Gérer la mise à jour du pilote.
Les mises à jour à chaud sont des mises à jour de sécurité publiées sur une base mensuelle qui peuvent être installées sans qu’il soit nécessaire de redémarrer l’appareil. Il est conçu pour réduire les temps d’arrêt et les interruptions. En réduisant le besoin de redémarrer, ces mises à jour permettent de sécuriser les appareils plus rapidement, ce qui permet aux organisations de maintenir la sécurité tout en conservant les flux de travail ininterrompus.
Aucune modification n’est requise pour les configurations d’anneau de mise à jour existantes. Les configurations d’anneau existantes sont respectées avec les stratégies hotpatch.
Configuration requise
- Les appareils remplissent les conditions préalables pour Windows Autopatch.
- Système d’exploitation : les appareils doivent s’exécuter Windows 11 24H2 ou version ultérieure.
- VBS (Sécurité basée sur la virtualisation) : VBS doit être activé pour garantir une installation sécurisée des mises à jour à chaud.
Étape 1 : (Facultatif) Obtenir la liste des mises à jour de mise à jour de mise à jour à chaud
Vous pouvez interroger l’API du catalogue Windows Autopatch pour obtenir la liste des mises à jour pouvant être déployées sur des appareils en tant que contenu dans un déploiement.
Le type qualityUpdateCatalogEntry représente les mises à jour de qualité.
Toutes les mises à jour qualité font référence à une liste de révisions de produit. Ajoutez $expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions à l’URL de la requête pour identifier le système d’exploitation qui génère chaque mise à jour de qualité affectée.
La "isHotpatchUpdate": "true" propriété identifie une mise à jour à chaud lorsqu’elle est disponible.
L’exemple suivant montre comment interroger toutes les mises à jour qualité Windows raccourcies pour afficher la mise à jour à chaud.
Demande
L’exemple suivant illustre une demande.
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=1&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions/any(p:p/isHotpatchUpdate eq true)&$expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions&$orderby=releaseDateTime desc
Réponse
L’exemple suivant illustre la réponse.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries(microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves(),microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions(knowledgeBaseArticle()))",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "894b1ab760d378438d23b4992466c716627f4dfcff64b31ccb311861ed081f24",
"displayName": "09/10/2024 - 2024.09 B SecurityUpdate for Windows 10 and later",
"releaseDate": "2024-09-10T00:00:00Z",
"deployableUntilDateTime": null,
"releaseDateTime": "2024-09-10T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2024-09 Cumulative Update for Windows 10 and later",
"shortName": "2024.09 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 10,
"exploitedCves": [
{
"number": "CVE-2024-38014",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014"
},
{
"number": "CVE-2024-38217",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38217"
},
{
"number": "CVE-2024-38226",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38226"
},
{
"number": "CVE-2024-43461",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461"
},
{
"number": "CVE-2024-43491",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491"
}
]
},
"productRevisions": [
{
"id": "10.0.22000.3197",
"displayName": "Windows 11, version 21H2, build 22000.3197",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22000,
"updateBuildRevision": 3197
},
"knowledgeBaseArticle": {
"id": "KB5043067",
"url": "https://support.microsoft.com/help/5043067"
}
},
{
"id": "10.0.19044.4894",
"displayName": "Windows 10, version 21H2, build 19044.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19044,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.19045.4894",
"displayName": "Windows 10, version 22H2, build 19045.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19045,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.22631.4169",
"displayName": "Windows 11, version 23H2, build 22631.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "23H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22631,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.22621.4169",
"displayName": "Windows 11, version 22H2, build 22621.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22621,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.26100.1656",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1656",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": true,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1656
},
"knowledgeBaseArticle": {
"id": "KB5043088",
"url": "https://support.microsoft.com/help/5043088"
}
},
{
"id": "10.0.26100.1742",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1742",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1742
},
"knowledgeBaseArticle": {
"id": "KB5043080",
"url": "https://support.microsoft.com/help/5043080"
}
}
]
}
]
}
Étape 2 : Créer une audience de déploiement
Les audiences de déploiement spécifient le contenu à déployer, comment et quand déployer le contenu, et les appareils ciblés. L’exemple suivant montre comment créer une audience de déploiement.
Demande
L’exemple suivant illustre une demande.
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences
Content-Type: application/json
{
}
Réponse
L’exemple suivant illustre la réponse.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deploymentAudiences/$entity",
"id": "f660d844-30b7-46e4-a6cf-47e36164d3cb",
"applicableContent": []
}
Étape 3 : Affecter des appareils à l’audience de déploiement
Une fois le déploiement créé, vous pouvez affecter des appareils à l’audience de déploiement. Une fois l’audience de déploiement correctement mise à jour, Windows Update propose la mise à jour aux appareils appropriés en fonction des paramètres de déploiement.
Lorsque des appareils sont ajoutés aux regroupements de membres ou d’exclusions d’une audience de déploiement, le système les inscrit automatiquement en créant un objet azureADDevice s’il n’existe pas déjà.
L’exemple suivant montre comment ajouter des appareils Microsoft Entra en tant que membres de l’audience de déploiement.
Demande
L’exemple suivant illustre une demande.
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/f660d844-30b7-46e4-a6cf-47e36164d3cb/updateAudience
Content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b1"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b2"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b3"
}
]
}
Réponse
L’exemple suivant illustre la réponse.
HTTP/1.1 202 Accepted
Étape 4 : Créer un déploiement
Un déploiement spécifie le contenu à déployer, comment et quand déployer le contenu, ainsi que les appareils ciblés. Pour les mises à jour qualité hotpatch, le processus hiérarchise le déploiement de la dernière mise à jour de sécurité sur le public. Si la dernière mise à jour de sécurité hotpatch n’est pas disponible ou si les appareils ne sont pas éligibles, le déploiement propose automatiquement la mise à jour cumulative la plus récente, garantissant ainsi que les appareils bénéficient d’améliorations à jour de la sécurité ou de la qualité. La stratégie côté client pour le report sur l’appareil est respectée.
L’ID d’audience de déploiement créé à l’étape 2 est requis dans cette étape.
La "isHotpatchEnabled": "true" propriété choisit l’audience pour recevoir les mises à jour hotpatch, le cas échéant.
Demande
L’exemple suivant illustre une demande.
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.updatePolicy",
"audience": {
"id": " f660d844-30b7-46e4-a6cf-47e36164d3cb "
},
"autoEnrollmentUpdateCategories": [
"quality"
],
"complianceChangeRules": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.contentApprovalRule",
"contentFilter": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateFilter",
"classification": "security",
"cadence": "monthly"
},
"durationBeforeDeploymentStart": "P7D"
}
],
"deploymentSettings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"userExperience": {
"isHotpatchEnabled": true
}
}
}
Réponse
L’exemple suivant illustre la réponse.
HTTP/1.1 201 Created
Après un déploiement
Une fois que la mise à jour a été proposée à tous les appareils affectés à un public de déploiement, il se peut que certains appareils n’aient pas démarré ou terminé la mise à jour, en raison de facteurs tels que la connectivité des appareils. Tant que le déploiement existe toujours, il garantit que Windows Update offre la mise à jour aux appareils affectés chaque fois qu’ils se reconnectent.