Развертывание обновления качества горячего исправления с помощью автоматического исправления Windows
С помощью автоматического исправления Windows можно развертывать обновления Windows на устройствах в клиенте Microsoft Entra. В настоящее время автоматическое исправление Windows поддерживает развертывание обновлений компонентов Windows 10/11, исправлений исправлений, ускоряемых обновлений качества и обновлений драйверов. В этом разделе рассматривается развертывание обновлений качества горячего исправления. Сведения о развертывании обновлений компонентов см. в разделе Развертывание обновления компонентов. Сведения о развертывании ускоряемых обновлений качества см. в статье Развертывание ускоренного обновления качества. Сведения о развертывании обновлений драйверов см. в разделе Управление обновлением драйверов.
Обновления с горячим исправлением — это обновления для системы безопасности, выпущенные на ежемесячной основе, которые можно установить без необходимости перезапуска устройства. Он предназначен для сокращения простоев и сбоев. Сводя к минимуму необходимость перезапуска, эти обновления помогают быстрее защищать устройства, упрощая организациям поддержание безопасности и сохраняя рабочие процессы без прерывания.
Изменения существующих конфигураций круга обновлений не требуются. Существующие конфигурации кругов учитываются вместе с политиками горячего исправления.
Предварительные условия
- Устройства соответствуют предварительным требованиям для автоматического исправления Windows.
- Операционная система. Устройства должны работать Windows 11 24H2 или более поздней версии.
- VBS (безопасность на основе виртуализации). Необходимо включить VBS, чтобы обеспечить безопасную установку обновлений горячего исправления.
Шаг 1. Получение списка обновлений горячего исправления (необязательно)
Вы можете запросить API каталога автоматического исправления Windows, чтобы получить список обновлений с возможностью горячего исправления, которые можно развернуть на устройствах в качестве содержимого в развертывании.
Тип qualityUpdateCatalogEntry представляет обновления качества.
Все исправления относятся к списку редакций продукта. Добавьте $expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions в URL-адрес запроса, чтобы определить, какие сборки операционной системы влияет на каждое обновление качества.
Свойство "isHotpatchUpdate": "true" определяет обновление с горячим исправлением, если оно доступно.
В следующем примере показано, как запрашивать все обновления качества Windows, сокращенные для отображения обновления с горячим исправлением.
Запрос
Ниже показан пример запроса.
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=1&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions/any(p:p/isHotpatchUpdate eq true)&$expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions&$orderby=releaseDateTime desc
Отклик
Ниже показан пример отклика.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries(microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves(),microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions(knowledgeBaseArticle()))",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "894b1ab760d378438d23b4992466c716627f4dfcff64b31ccb311861ed081f24",
"displayName": "09/10/2024 - 2024.09 B SecurityUpdate for Windows 10 and later",
"releaseDate": "2024-09-10T00:00:00Z",
"deployableUntilDateTime": null,
"releaseDateTime": "2024-09-10T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2024-09 Cumulative Update for Windows 10 and later",
"shortName": "2024.09 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 10,
"exploitedCves": [
{
"number": "CVE-2024-38014",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014"
},
{
"number": "CVE-2024-38217",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38217"
},
{
"number": "CVE-2024-38226",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38226"
},
{
"number": "CVE-2024-43461",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461"
},
{
"number": "CVE-2024-43491",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491"
}
]
},
"productRevisions": [
{
"id": "10.0.22000.3197",
"displayName": "Windows 11, version 21H2, build 22000.3197",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22000,
"updateBuildRevision": 3197
},
"knowledgeBaseArticle": {
"id": "KB5043067",
"url": "https://support.microsoft.com/help/5043067"
}
},
{
"id": "10.0.19044.4894",
"displayName": "Windows 10, version 21H2, build 19044.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19044,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.19045.4894",
"displayName": "Windows 10, version 22H2, build 19045.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19045,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.22631.4169",
"displayName": "Windows 11, version 23H2, build 22631.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "23H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22631,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.22621.4169",
"displayName": "Windows 11, version 22H2, build 22621.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22621,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.26100.1656",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1656",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": true,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1656
},
"knowledgeBaseArticle": {
"id": "KB5043088",
"url": "https://support.microsoft.com/help/5043088"
}
},
{
"id": "10.0.26100.1742",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1742",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1742
},
"knowledgeBaseArticle": {
"id": "KB5043080",
"url": "https://support.microsoft.com/help/5043080"
}
}
]
}
]
}
Шаг 2. Создание аудитории развертывания
Аудитории развертывания указывают содержимое для развертывания, способ и время развертывания содержимого, а также целевые устройства. В следующем примере показано, как создать аудиторию развертывания.
Запрос
Ниже показан пример запроса.
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences
Content-Type: application/json
{
}
Отклик
Ниже показан пример отклика.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deploymentAudiences/$entity",
"id": "f660d844-30b7-46e4-a6cf-47e36164d3cb",
"applicableContent": []
}
Шаг 3. Назначение устройств аудитории развертывания
После создания развертывания можно назначить устройства аудитории развертывания. После успешного обновления аудитории развертывания клиентский компонент Центра обновления Windows предлагает обновление для соответствующих устройств в соответствии с параметрами развертывания.
Когда устройства добавляются в коллекции членов или исключений аудитории развертывания, система автоматически регистрирует их, создавая объект azureADDevice , если он еще не существует.
В следующем примере показано, как добавить Microsoft Entra устройства в качестве участников аудитории развертывания.
Запрос
Ниже показан пример запроса.
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/f660d844-30b7-46e4-a6cf-47e36164d3cb/updateAudience
Content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b1"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b2"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b3"
}
]
}
Отклик
Ниже показан пример отклика.
HTTP/1.1 202 Accepted
Шаг 4. Создание развертывания
Развертывание указывает содержимое для развертывания, способ и время развертывания содержимого, а также целевые устройства. Для обновлений качества горячего исправления процесс определяет приоритеты развертывания последнего обновления для системы безопасности для аудитории. Если последнее обновление для системы безопасности горячего исправления недоступно или устройства недоступны, развертывание автоматически предлагает последнее накопительное обновление, гарантируя, что устройства получают актуальные улучшения безопасности или качества. Политика на стороне клиента для отсрочки на устройстве соблюдается.
На этом шаге требуется идентификатор аудитории развертывания, созданный на шаге 2.
Свойство "isHotpatchEnabled": "true" выбирает аудиторию для получения обновлений с горячим исправлением, если это применимо.
Запрос
Ниже показан пример запроса.
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.updatePolicy",
"audience": {
"id": " f660d844-30b7-46e4-a6cf-47e36164d3cb "
},
"autoEnrollmentUpdateCategories": [
"quality"
],
"complianceChangeRules": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.contentApprovalRule",
"contentFilter": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateFilter",
"classification": "security",
"cadence": "monthly"
},
"durationBeforeDeploymentStart": "P7D"
}
],
"deploymentSettings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"userExperience": {
"isHotpatchEnabled": true
}
}
}
Отклик
Ниже показан пример отклика.
HTTP/1.1 201 Created
После развертывания
После того как все устройства, назначенные аудитории развертывания, изначально были предложены обновления, возможно, не все устройства начали или завершили обновление из-за таких факторов, как подключение устройства. Пока развертывание все еще существует, оно гарантирует, что клиентский компонент Центра обновления Windows предлагает обновление назначенным устройствам при каждом повторном подключении.