Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Assurer la sécurité et la mise à jour des appareils Windows est l’une des responsabilités les plus importantes pour tout organization. Microsoft Intune fournit une approche basée sur le cloud de la gestion des mises à jour Windows, ce qui vous donne un contrôle, une prévisibilité et une interruption minimale pour les utilisateurs.
Cette vue d’ensemble explique comment Intune gère les mises à jour Windows, les types de stratégies disponibles et comment ces éléments s’intègrent dans une stratégie de mise à jour complète.
Ce que vous pouvez faire avec Intune
- Configurez les paramètres de mise à jour sur les appareils sans gérer les correctifs individuels.
- Définissez des anneaux de mise à jour pour contrôler le moment du déploiement et réduire les risques.
- Empêchez les appareils d’installer de nouvelles versions de fonctionnalités tant que vous n’êtes pas prêt, tout en appliquant des mises à jour de sécurité et de qualité.
Intune stocke uniquement les affectations de stratégie, pas les mises à jour elles-mêmes. Lorsque vous enregistrez une stratégie, Intune envoie les détails de configuration à Windows Autopatch, qui détermine les mises à jour approuvées pour le déploiement. Les appareils téléchargent les mises à jour approuvées directement à partir de Windows Update, en installant et en appliquant ces modifications conformément aux stratégies clientes Windows Update.
Fonctionnalités de gestion des mises à jour Windows
Les types de stratégies suivants vous aident à gérer les mises à jour Windows dans Intune :
Windows Update stratégie cliente
Configure le fournisseur csp de stratégie de mise à jour sous-jacent. Intune présente ces paramètres par le biais d’anneaux de mise à jour et du catalogue de paramètres, ce qui permet aux administrateurs d’appliquer des comportements de mise à jour granulaires au niveau de l’appareil.
Mettre à jour la stratégie d’anneau
Applique Windows Update stratégies client à des groupes d’appareils. Les anneaux de mise à jour contrôlent les périodes de report, les échéances, le comportement de redémarrage et les paramètres de l’expérience utilisateur, ce qui permet un déploiement progressif dans votre environnement.
Stratégie de mise à jour des fonctionnalités
Verrouille les appareils sur une version spécifique de Windows (par exemple, Windows 11 24H2). Ces stratégies empêchent la mise à niveau des appareils au-delà de la version ciblée, ce qui garantit la cohérence et le contrôle des principales mises à niveau du système d’exploitation.
Stratégie de mise à jour qualité
Fournit des mises à jour cumulatives mensuelles pour la sécurité et la fiabilité. Soutient:
- Hotpatch : contrôler si les appareils éligibles reçoivent des correctifs de sécurité sans redémarrage.
- Stratégies d’accélération : envoyez (push) les mises à jour de sécurité critiques immédiatement en remplaçant les paramètres de report.
Mises à jour de sécurité à chaud
Sécurise les appareils plus rapidement en fournissant des correctifs de sécurité éligibles sans redémarrage. Les mises à jour sans redémarrage sont la méthode par défaut de remise des mises à jour de sécurité Windows mensuelles.
Stratégie de mise à jour du pilote
Gère la livraison des mises à jour du pilote matériel à partir de Windows Update. Les stratégies de mise à jour des pilotes permettent de garantir la compatibilité et la stabilité des appareils en contrôlant quand et comment les pilotes sont installés.
Windows Autopatch
Windows Autopatch contrôle le contenu Windows Update approuvé pour le déploiement sur les appareils Windows, en les maintenant à jour et sécurisés. Si un appareil n’est pas ciblé par une stratégie autopatch pour un type de contenu donné, tout le contenu le plus récent de Windows Update est déployé.
Microsoft Intune tire parti de Windows Autopatch pour permettre la gestion des mises à jour des fonctionnalités, des mises à jour qualité et des mises à jour des pilotes. Pour activer ces flux de travail, il existe une stratégie pour chacun de ces types de contenu.
Lorsqu’un appareil est affecté à une stratégie, il est inscrit dans autopatch pour ce type de contenu, et seul le contenu approuvé est déployé sur cet appareil. Les administrateurs peuvent approuver les mises à jour d’une stratégie automatiquement ou manuellement, en fonction de ce qui convient le mieux à leur organization.
Au-delà de la stratégie, il existe plusieurs autres fonctionnalités Intune puissantes optimisées par autopatch :
- Les groupes autopatch permettent le regroupement dynamique d’appareils, le déploiement progressif des mises à jour, ainsi que les flux de création et de modification de stratégies multiples.
- Les rapports autopatch fournissent des informations détaillées sur la préparation, la conformité et les alertes des mises à jour.
- Pour les éditions De Windows éligibles, il permet également des scénarios de mise à jour optimisés pour le cloud, tels que la mise à jour à chaud et les mises à jour accélérées avec une configuration manuelle minimale.
Le tableau suivant compare les différences de gestion des mises à jour lorsque vous utilisez une configuration autopatch manuelle avec des stratégies et des groupes de mise à jour automatique :
| Fonctionnalité | Lors de l’utilisation de stratégies de mise à jour automatique | Lors de l’utilisation de groupes autopatch |
|---|---|---|
| Mettre à jour la coordination | Distribuez manuellement des appareils dans des groupes Entra pour attribuer des stratégies de mise à jour. | Automatisez la distribution d’appareils dans plusieurs groupes Entra en fonction de vos préférences. Épinglez des groupes spécifiques au début ou à la fin d’un déploiement. |
| Mettre à jour la stratégie d’anneau | Vous configurez des stratégies d’anneau de mise à jour dans Intune pour contrôler les reports, les échéances et le comportement de redémarrage. | Vous configurez plusieurs anneaux de mise à jour simultanément pour obtenir une image complète des reports, des échéances et du comportement de redémarrage sur l’ensemble de la version. Les groupes autopatch ont des présélections facultatives qui fournissent des paramètres recommandés pour les cas d’usage courants. |
| Stratégie de mise à jour des fonctionnalités | Vous utilisez des stratégies de mise à jour des fonctionnalités pour verrouiller ou planifier des versions du système d’exploitation. | Vous définissez la version minimale de mise à jour des fonctionnalités pour tous les appareils d’un groupe de mise à jour automatique. Vous planifiez des déploiements progressifs de mise à jour des fonctionnalités lorsque vous souhaitez effectuer une mise à niveau. |
| Stratégie de mise à jour qualité | Vous configurez manuellement des stratégies de mise à jour de qualité, des mises à jour accélérées et des paramètres de mise à jour à chaud. | Vous configurez manuellement des stratégies de mise à jour de qualité, des mises à jour accélérées et des paramètres de mise à jour à chaud. |
| Stratégie de mise à jour du pilote | Vous utilisez des stratégies de mise à jour des pilotes pour examiner et approuver les pilotes manuellement ou automatiquement pour tous les appareils attribués. | Examinez et approuvez les pilotes manuellement ou automatiquement, en démarrant un déploiement progressif sur tous les appareils du groupe Autopatch. |
Valeurs par défaut du service
Windows Autopatch active les mises à jour de sécurité par défaut pour sécuriser les appareils plus rapidement. Ce comportement par défaut s’applique à tous les appareils éligibles dans Microsoft Intune. L’application de correctifs de sécurité sans attendre un redémarrage peut permettre aux organisations de se conformer à 90 % en deux fois.
Vous pouvez refuser les mises à jour de sécurité hotpatch à tout moment pour l’ensemble de votre locataire ou pour les appareils de groupe avec des stratégies de mise à jour de qualité.
Configuration requise
Chaque type de stratégie a des prérequis spécifiques, détaillés dans leur documentation respective. En général :
- Les appareils doivent être inscrits dans Intune.
- Les appareils doivent être Microsoft Entra joints ou hybrides.
Microsoft Entra appareils inscrits ne sont pris en charge pour aucun type de stratégie qui utilise le même service principal que Windows Autopatch, notamment les mises à jour des fonctionnalités, les mises à jour qualité et les mises à jour de pilote.
Pour les appareils Entra inscrits, la gestion des mises à jour reste limitée aux stratégies clientes Windows Update et aux stratégies d’anneau de mise à jour. - Les appareils doivent avoir accès aux points de terminaison de mise à jour Microsoft.
Les stratégies de mise à jour des fonctionnalités, les stratégies de mise à jour de qualité et les stratégies de mise à jour des pilotes sont orchestrées par Windows Autopatch. Les conditions préalables sont les mêmes pour ces trois types de stratégies :
Licences : licence Windows qui inclut le droit d’autopatch.
Si vous êtes bloqué lors de la création de nouvelles stratégies pour les fonctionnalités qui nécessitent windows Autopatch et que vous obtenez vos licences pour utiliser des stratégies client Windows Update via un Accord Entreprise (EA), contactez la source de vos licences, telle que votre équipe de compte Microsoft ou le partenaire qui vous a vendu les licences. L’équipe de compte ou le partenaire peut confirmer que les licences de vos locataires répondent aux exigences de licence Windows Autopatch. Consultez Activer l’activation d’abonnement avec un CONTRAT existant.
Importante
L’activation de l’abonnement avec un CONTRAT existant n’est pas applicable aux environnements cloud GCC High/DoD pour les fonctionnalités de mise à jour automatique Windows.
Télémétrie : jeu de données de diagnostic sur Niveau obligatoire .
Services : Compte Microsoft Sign-In Assistant activé.
Si le service est bloqué ou défini sur Désactivé, il ne peut pas recevoir la mise à jour. Pour plus d’informations, consultez Les mises à jour des fonctionnalités ne sont pas proposées, contrairement aux autres mises à jour. Par défaut, le service est défini sur Manuel (Déclencher le démarrage), ce qui lui permet de s’exécuter quand cela est nécessaire.