Implementar uma atualização de qualidade de acesso frequente com o Windows Autopatch
Com o Windows Autopatch, pode implementar atualizações do Windows em dispositivos num inquilino Microsoft Entra. Atualmente, o Windows Autopatch suporta a implementação de atualizações de funcionalidades Windows 10/11, atualizações de qualidade de acesso frequente, atualizações de qualidade aceleradas e atualizações de controlador. Este tópico centra-se na implementação de atualizações de qualidade de acesso frequente. Para obter informações sobre como implementar atualizações de funcionalidades, veja Implementar uma atualização de funcionalidades. Para obter informações sobre como implementar atualizações de qualidade aceleradas, veja Implementar uma atualização de qualidade acelerada. Para obter informações sobre como implementar atualizações de controladores, veja Gerir a atualização do controlador.
As atualizações de hotpatch são atualizações de segurança lançadas mensalmente que podem ser instaladas sem a necessidade de reiniciar o dispositivo. Foi concebido para reduzir o tempo de inatividade e as interrupções. Ao minimizar a necessidade de reiniciar, estas atualizações ajudam a proteger os dispositivos mais rapidamente, tornando mais fácil para as organizações manter a segurança, mantendo os fluxos de trabalho ininterruptos.
Não são necessárias alterações às configurações da cadência de atualização existente. As configurações de cadência existentes são honradas juntamente com as políticas de acesso frequente.
Pré-requisitos
- Os dispositivos cumprem os pré-requisitos do Windows Autopatch.
- Sistema Operativo: os dispositivos têm de ser executados Windows 11 24H2 ou posterior.
- VBS (Virtualization-Based Security): o VBS tem de estar ativado para garantir a instalação segura de atualizações de acesso frequente.
Passo 1: (Opcional) Obter uma lista de atualizações de acesso frequente
Pode consultar a API do catálogo do Windows Autopatch para obter uma lista de atualizações frequentes que podem ser implementadas em dispositivos como conteúdo numa implementação.
O tipo qualityUpdateCatalogEntry representa atualizações de qualidade.
Todas as atualizações de qualidade referem-se a uma lista de revisões de produtos. Adicione $expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions ao URL do pedido para identificar que sistema operativo cria cada atualização de qualidade que afeta.
A "isHotpatchUpdate": "true" propriedade identifica uma atualização de acesso frequente quando está disponível.
O exemplo seguinte mostra como consultar todas as atualizações de qualidade do Windows abreviadas para mostrar a atualização de acesso frequente.
Solicitação
O exemplo a seguir mostra uma solicitação.
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=1&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions/any(p:p/isHotpatchUpdate eq true)&$expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions&$orderby=releaseDateTime desc
Resposta
O exemplo a seguir mostra a resposta.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries(microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves(),microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions(knowledgeBaseArticle()))",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "894b1ab760d378438d23b4992466c716627f4dfcff64b31ccb311861ed081f24",
"displayName": "09/10/2024 - 2024.09 B SecurityUpdate for Windows 10 and later",
"releaseDate": "2024-09-10T00:00:00Z",
"deployableUntilDateTime": null,
"releaseDateTime": "2024-09-10T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2024-09 Cumulative Update for Windows 10 and later",
"shortName": "2024.09 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 10,
"exploitedCves": [
{
"number": "CVE-2024-38014",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014"
},
{
"number": "CVE-2024-38217",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38217"
},
{
"number": "CVE-2024-38226",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38226"
},
{
"number": "CVE-2024-43461",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461"
},
{
"number": "CVE-2024-43491",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491"
}
]
},
"productRevisions": [
{
"id": "10.0.22000.3197",
"displayName": "Windows 11, version 21H2, build 22000.3197",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22000,
"updateBuildRevision": 3197
},
"knowledgeBaseArticle": {
"id": "KB5043067",
"url": "https://support.microsoft.com/help/5043067"
}
},
{
"id": "10.0.19044.4894",
"displayName": "Windows 10, version 21H2, build 19044.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19044,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.19045.4894",
"displayName": "Windows 10, version 22H2, build 19045.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19045,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.22631.4169",
"displayName": "Windows 11, version 23H2, build 22631.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "23H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22631,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.22621.4169",
"displayName": "Windows 11, version 22H2, build 22621.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22621,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.26100.1656",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1656",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": true,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1656
},
"knowledgeBaseArticle": {
"id": "KB5043088",
"url": "https://support.microsoft.com/help/5043088"
}
},
{
"id": "10.0.26100.1742",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1742",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1742
},
"knowledgeBaseArticle": {
"id": "KB5043080",
"url": "https://support.microsoft.com/help/5043080"
}
}
]
}
]
}
Passo 2: Criar uma audiência de implementação
As audiências de implementação especificam o conteúdo a implementar, como e quando implementar o conteúdo e os dispositivos visados. O exemplo seguinte mostra como criar uma audiência de implementação.
Solicitação
O exemplo a seguir mostra uma solicitação.
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences
Content-Type: application/json
{
}
Resposta
O exemplo a seguir mostra a resposta.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deploymentAudiences/$entity",
"id": "f660d844-30b7-46e4-a6cf-47e36164d3cb",
"applicableContent": []
}
Passo 3: atribuir dispositivos à audiência de implementação
Após a criação da implementação, pode atribuir dispositivos à audiência de implementação. Quando a audiência de implementação é atualizada com êxito, Windows Update oferece a atualização para os dispositivos relevantes de acordo com as definições de implementação.
Quando os dispositivos são adicionados às coleções de membros ou exclusões de uma audiência de implementação, o sistema regista-os automaticamente ao criar um objeto azureADDevice , caso ainda não exista.
O exemplo seguinte mostra como adicionar Microsoft Entra dispositivos como membros da audiência de implementação.
Solicitação
O exemplo a seguir mostra uma solicitação.
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/f660d844-30b7-46e4-a6cf-47e36164d3cb/updateAudience
Content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b1"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b2"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b3"
}
]
}
Resposta
O exemplo a seguir mostra a resposta.
HTTP/1.1 202 Accepted
Passo 4: Criar uma implementação
Uma implementação especifica o conteúdo a implementar, como e quando implementar o conteúdo e os dispositivos visados. Para atualizações de qualidade de acesso frequente, o processo prioriza a implementação da atualização de segurança mais recente para a audiência. Se a atualização de segurança de acesso frequente mais recente não estiver disponível ou se os dispositivos não forem elegíveis, a implementação oferece automaticamente a atualização cumulativa mais recente, garantindo que os dispositivos recebem melhorias de segurança ou qualidade atualizadas. A política do lado do cliente para diferimento no dispositivo é respeitada.
Neste passo, é necessário o ID de audiência de implementação criado no passo dois.
A "isHotpatchEnabled": "true" propriedade opta a audiência por receber atualizações de acesso frequente quando aplicável.
Solicitação
O exemplo a seguir mostra uma solicitação.
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.updatePolicy",
"audience": {
"id": " f660d844-30b7-46e4-a6cf-47e36164d3cb "
},
"autoEnrollmentUpdateCategories": [
"quality"
],
"complianceChangeRules": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.contentApprovalRule",
"contentFilter": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateFilter",
"classification": "security",
"cadence": "monthly"
},
"durationBeforeDeploymentStart": "P7D"
}
],
"deploymentSettings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"userExperience": {
"isHotpatchEnabled": true
}
}
}
Resposta
O exemplo a seguir mostra a resposta.
HTTP/1.1 201 Created
Após uma implementação
Depois de todos os dispositivos atribuídos a uma audiência de implementação terem sido inicialmente oferecidos a atualização, nem todos os dispositivos podem ter iniciado ou concluído a atualização, devido a fatores como a conectividade do dispositivo. Enquanto a implementação ainda existir, garante que Windows Update oferece a atualização aos dispositivos atribuídos sempre que se ligarem novamente.