Administración de dispositivos en Windows 10

Ha aprendido sobre la configuración de la administración remota y el servidor de salto para la resolución de problemas, la implementación y los escenarios de uso general de trabajo en los capítulos anteriores. En este capítulo, analizaremos las nuevas capacidades de administración de dispositivos móviles (MDM) de Windows 10, discutiremos las advertencias del procesamiento de GPO de Windows 10 y analizaremos más profundamente los parches y el servicio, incluidas las soluciones de implementación de la calidad y característica necesarias. Actualizaciones como Windows Update (para negocios), WSUS, SCCM y soluciones de terceros.
Se cubrirán los siguientes temas:

• Gestión de dispositivos móviles
• Cambios a GPO en Windows 10
• Actualizar soluciones de implementación
• Parcheo y servicio

Necesidades comerciales en evolución

Según Forrester Research, la movilidad es la nueva normalidad. Los trabajadores de la información borrarán el límite entre las tecnologías empresariales y del consumidor y, por lo tanto, la movilidad es sin duda un vector definitorio en la evolución del mundo de los nuevos negocios. El 56% de los trabajadores de la información envían su primer correo electrónico antes de llegar a la oficina, y el 73% envía su último correo electrónico después de salir de la oficina. El 52% de los trabajadores de la información están utilizando tres o más dispositivos para el trabajo.
Las necesidades comerciales están evolucionando con la nueva industria 4.0 de los empleados que trabajan de lunes a viernes de 9 a 5 para un desenfoque de trabajo y actividad personal 24/7; Desde computadoras en una red corporativa LAN hacia múltiples dispositivos, en cualquier momento, en cualquier lugar; y desde aplicaciones locales y alojamiento de archivos hacia el software como aplicaciones de servicio (SaaS) y alojamiento de archivos basado en la nube.
Entonces, también, los métodos de la vieja escuela para administrar las computadoras deben evolucionar sin aumentar la complejidad sobre el valor. Windows 10 ha habilitado MDM:

En Windows 10, el agente MDM ya está incorporado y utilizable con soluciones de terceros de FirstParty (Intune/SCCM). Las políticas de MDM también pueden ser creadas/aplicadas por el diseñador de configuración de Windows o con un script y el puente integrado de Windows Management Instrumentation (WMI). Las políticas de MDM se pueden usar en el dominio unido, Azure AD unido, AD/Azure AD Hybrid unido, y la cuenta de Azure AD agregó escenarios. MDM se puede utilizar como un reemplazo de GPO ligero para las computadoras unidas solo a Azure AD y soluciones móviles como Intune, AirWatch o MobileIron.

Como todas las configuraciones disponibles en Windows 10 ya no pueden estar cubiertas solo por GPO (por ejemplo, Protección de información de Windows (WIP) o Health Rovable PC), incluso sin usar Azure, se verá obligado a usar MDM Management o scripts adecuados junto con El puente WMI o una solución de configuración compatible con Windows 10, como Microsoft SCCM, Landesk y Heat.
Como hay nuevas configuraciones de configuración de MDM con cada nueva versión de Windows 10, la solución de configuración que utiliza también debe actualizarse para mantener el ritmo.

Gestión de dispositivos móviles

Al discutir MDM, debemos mirar hacia atrás en el tiempo para comprender su origen y algunas de sus limitaciones. En junio de 2002, se formó la organización sin fines de lucro Open Mobile Alliance (OMA). La especificación de administración de dispositivos OMA (OMA DM) se diseñó originalmente para la gestión de dispositivos móviles como teléfonos móviles, tabletas y PDA. Tenía la intención de aprovisionar y configurar dispositivos y habilitar actualizaciones de software y gestión de fallas. Hay un conjunto fijo de comandos de protocolo OMA DM que todos los proveedores admiten. Actualmente, Windows 10 1607 y Superior admiten MDM Protocol versión 6.0. Los objetos de configuración de MDM se almacenan en un llamado identificador de recursos uniformes de OMA (OMA URI). Necesitará este OMA URI para agregar políticas personalizadas a su solución MDM si la configuración no está disponible fuera de la caja. Puede comparar el uso de dicho URI personalizado como similar a escribir sus propias plantillas de ADMX personalizadas. Al igual que los archivos ADMX personalizados deben escribir una clave de registro compatible, el URI OMA debe modificar un identificador de recursos compatible con un proveedor de servicios de configuración (CSP) capaz de interpretar y aplicar el URI. Los URI personalizados se pueden agregar fácilmente a Intune. Seleccione la política personalizada de Windows y complete el cuadro de configuración Agregar o Editar OMA-URI.
Aquí hay un ejemplo del cuadro de diálogo:

El siguiente diagrama muestra como ejemplo el proveedor de servicios de configuración de BitLocker en formato de árbol. Como puede ver ./device/vendor/msft, es un URI solo aplicable a los productos de Microsoft:

Al configurar este CSP, se genera y transmite un lenguaje de marcado de sincronización (SYNCML) XML. Aquí hay una muestra (parcial) de tal syncml bitLocker XML:

Como OMA DMS y OMA URIS se originan en la gestión de dispositivos móviles, el diseño de estos URIS favorece los valores enteros para su configuración, lo cual está bastante bien para el sistema operativo, pero un poco incómodo para la legibilidad humana. Por lo tanto, necesitará las páginas CSP correspondientes para la traducción muy a menudo. Aquí hay un ejemplo de los posibles valores de tipo de cifrado de bitlocker:

Otra cosa a tener en cuenta al mostrar la configuración de MDM en su cliente es que actualmente no hay una herramienta comparable como GPresult.exe incorporada en Windows 10. Puede obtener todas las configuraciones aplicadas leyendo el registro, pero solo verá una larga lista de valores y valores y No es el creador del valor. Use la siguiente línea de comando PowerShell para leer el registro:
Get-Item 'HKLM: \ Software \ Microsoft \ PolicyManager \ Current \ Device \*'
Un conjunto resultante de políticas, como un archivo de registro, se puede exportar en la configuración del sistema. Ir a la configuración | Cuentas | Trabajo de acceso o escuela | Exportar sus archivos de registro de administración:

Desafortunadamente, este archivo está en estilo XML simple, lo cual es difícil de leer. Por lo tanto, necesitará un convertidor, que actualmente no está integrado en Windows 10.
Las políticas de MDM se aplican en un horario fijo. Al unir/inscribir una PC de Windows en su solución MDM, verificará las nuevas políticas cada 3 minutos durante 30 minutos y luego se ejecuta a su frecuencia normal de verificación cada ocho horas (ocho horas para Windows Mobile y Windows 10, 24 horas para Windows RT).
Por último, pero no menos importante, hay cierta complejidad adicional debido a los diversos orígenes de la configuración de MDM en Windows 10. Además del cliente MDM incorporado, que se puede conectar, por ejemplo, intune, Airwatch o MobileIron, la configuración de MDM puede ser inducida por Exchange ActiveSync Configuración, el cliente EAS incorporado y el puente WMI incorporado utilizado por SCCM, o Windows PowerShell:

Dependiendo de si la configuración de MDM es una configuración de seguridad o no seguridad, existen reglas de anulación diferentes al aplicarlas a un cliente. Para la configuración relacionada con la seguridad, la configuración más restrictiva siempre ganará. Para la configuración de no seguridad, la configuración base son los paquetes PPKG de Microsoft, OEM o Enterprises. Serán anulados por los clientes EAS y MDM, y la prioridad más alta es GPO (si la configuración también está configurada por GPO). Sin usar la resolución de problemas de registro XML, la configuración de MDM es muy difícil y lleva mucho tiempo.

Cambios a GPO en Windows 10

Además de los principales cambios en la administración de MDM, también hay cambios en el procesamiento GPO de Windows 10, que se cubrirá ahora. Estos cambios comienzan con GPO solo aplicables a ciertas SKU, cuestiones conocidas al actualizar su tienda de definición de política central y problemas conocidos al editar nuevos GPO, incluidas las preferencias de políticas grupales (GPP) con la consola de gestión de políticas de grupo antiguo (GPMC).

Enterprise/Education - Solo GPOS

Ha habido políticas que se aplican solo a Windows 10, pero por primera vez en la historia de Windows, ahora también hay GPO que se aplican solo a ciertas unidades de mantenimiento de existencias (SKU). Varios GPO para personalizar Windows 10 se aplican solo a Windows 10 Enterprise y Education SKU. Al momento de escribir este libro, los siguientes GPO tienen tal restricción:

• Configurar Spotlight en la pantalla de bloqueo
• Apague todas las funciones de Spotlight de Windows
• Apague las funciones del consumidor de Microsoft
• No muestre la pantalla de bloqueo
• No requiere Ctrl + Alt + Eliminar combinado con la desactivación de notificaciones de la aplicación en la pantalla de bloqueo
• No muestres consejos de Windows
• Forzar una imagen específica de pantalla de bloqueo predeterminada
• Iniciar el diseño y el diseño de la barra de tareas
• Apague la aplicación de la tienda
• Solo muestre la tienda privada dentro de la aplicación de la tienda de Windows
• No busque en la web ni muestre resultados web

Se puede encontrar una lista completa y actualizada de políticas grupales que se aplican solo a las ediciones de Windows 10 Enterprise/Education en https://technet.microsoft.com/enus/itpro/windows/manage/group-policies-for-eperprise-and------ ediciones de educación.
Se espera que haya más GPO de solo empresa/educación en futuras versiones futuras de Windows 10, especialmente para un control UX más de grano fino.

Problemas conocidos al actualizar la tienda de políticas centrales

Los archivos de definición de ADMX no solo se actualizan con cada nueva versión de Windows, sino que a veces también están entre actualizaciones acumulativas. Siempre debe vigilar las notas de lanzamiento de actualización acumulativa y verificar su carpeta de las definiciones de políticas para nuevas entradas de vez en cuando.
Con nuevos archivos ADMX, no solo están disponibles nuevas configuraciones, sino que también se pueden eliminar, renombrar o trasladar las entradas antiguas a una nueva categoría. Cuando se eliminan las entradas y las ha usado en sus GPO existentes, verá que no se pueden encontrar nombres de visualización para algunas configuraciones. Es posible que pueda resolver este problema actualizando los archivos .adm utilizados por la gestión de políticas de grupo en la sección de informe GPO:

Si hay archivos ADMX antiguos y nuevos con definiciones dobles, obtendrá un mensaje de error llamado espacio de nombres 'ABC' ya está definido como el espacio de nombres para otro archivo en la tienda. Archivo , línea y, columna z.

En ambos casos, debe revisar cuidadosamente todos los cambios de ADMX. Para evitar tales problemas conocidos al actualizar las definiciones/cambios de políticas a los archivos ADMX en diferentes versiones de Windows, debe revisar https://support.microsoft.com/en-us/help/4015786/ conocido-issues-smanaging-a-windows -10-Group-Policy-Client-en-Windows-Serv y https://blogs.technet.microsoft.com/grouppolicy/2017/03/28/managing-adm x-changes-in-windows-10/.
También hay un GPO XLS integral que describe todos los cambios entre Vista y Windows 10/Server 2016 en https://go.microsoft.com/fwlink/?linkid=845418.
También debe actualizar un cliente con herramientas RSAT o un servidor con nuevas definiciones de ADMX y luego verificar cada informe de cada GPO existente para ver estas fallas.
También revise todas sus configuraciones para ver si todavía están compatibles con el nuevo sistema operativo. Un punto de entrada útil podría ser la búsqueda de políticas grupales, para obtener más información, visite https://gpsearch.azurewebsites.net/.

Cuestiones conocidas con preferencias de política grupal/GPMC

Las definiciones normales de GPO se almacenan dentro de los archivos ADMX y su traducción en el archivo ADML correspondiente. Al actualizar su carpeta de Definiciones de Políticas o su almacenamiento de definiciones de políticas centrales en SYSVOL, puede crear/definir nuevas configuraciones de GPO para el nuevo sistema operativo. Podrías usar versiones GPMC anteriores y las cosas básicamente funcionarían.
GPP está en contraste total con este comportamiento. Están codificados dentro del GPMC. Por lo tanto, para obtener estas nuevas configuraciones y opciones de filtrado, debe utilizar las herramientas RSAT más nuevas o el GPMC más nuevo del sistema operativo del servidor.
Desafortunadamente, no es solo, no ver las nuevas opciones cuando se usa un GPMC más antiguo, sino que puede dañar seriamente su GPO con el contenido de GPP al abrirlo en un GPMC más antiguo.
Al abrir un GPO de este tipo con una nueva configuración de GPP/orientación a nivel de elemento en un GPMC obsoleto, el GPMC anterior no reconoce la nueva configuración. Entonces, en el mejor de los casos, es posible que no pueda ver todas las opciones. Por ejemplo, no encontraría una opción para filtrar en las familias Windows 10 o Windows Server 2016 en GPMC más antiguos.

En el peor de los casos, el GPMC anterior puede interpretar la nueva configuración como corrupción. Las configuraciones corruptas se reparan/eliminan automáticamente. Este intento de reparación puede desencadenar el GPO se cambió de evento y, por lo tanto, se disparó. Entonces, al abrir el GPO con GPP, puede eliminar accidentalmente la configuración sin un mensaje de notificación/advertencia. Solo notaría un número de revisión actualizado/mayor de su GPO.
Por lo tanto, siempre edite/administre nuevas configuraciones de GPP solo con el GPMC más nuevo de Windows 10/Server 2016. Para evitar tales problemas en entornos multi-OS, cuando no todos los sistemas de edición GPO/GPP se pueden actualizar a la vez, debe marcar su nuevo GPO /GPPS con, por ejemplo, _W10 y abrir tales archivos _W10 solo con el nuevo GPMC.

Servicio y parcheo

Cuando hablamos de cambios en el camino a las ventanas del servicio (o parche), es importante comprender primero cómo funcionaban las cosas con Windows 7 y Windows 8.1. Cada mes, Microsoft lanzó en algún lugar entre 1 y 20 soluciones individuales para cada una: algunas actualizaciones de seguridad, algunas actualizaciones de no seguridad. La mayoría de estos parches fueron la liberación de distribución general (GDR), que significa disponible en el catálogo de Wu, WSUS y Windows Update. Algunos parches se lanzan bajo el lanzamiento de distribución limitada (LDR) (también conocido anteriormente como ingeniería de fijación rápida (QFE)). Los paquetes LDR contienen otras correcciones que no han sufrido pruebas como extensas y resuelven problemas que solo una fracción de los millones de usuarios de Windows podrían encontrar. Estos parches LDR deben descargarse en páginas KB separadas o a veces solicitados de Microsoft Services.
La mayoría de las organizaciones implementan las correcciones de seguridad de inmediato. Pero las correcciones de no seguridad a veces no se implementan en absoluto, especialmente cuando se habla de soluciones de seguridad LDR. El resultado es que cada organización termina con su propia configuración única de Windows, definida por el conjunto de parches que han instalado.
Compare eso con la configuración que Microsoft prueba en su laboratorio: PC totalmente parcheadas que tienen todas las actualizaciones lanzadas jamás instaladas. Para cada nueva actualización, Microsoft verifica que no hay efectos adversos en estas PC completamente parcheadas.
Pero hemos visto casos en los que estas nuevas actualizaciones causan problemas en PC parcialmente actualizadas (a menudo con combinaciones específicas de actualizaciones): Microsoft no puede probar todas estas diferentes combinaciones posibles. Y los clientes afectados se preguntan por qué Microsoft no atrapó estos problemas simples cuando hicieron sus pruebas.

Por ejemplo, cuando se habla sobre Windows 7, hay más de 4,000 soluciones desde el lanzamiento de SP1. Y alrededor de 600 de estos parches no están ampliamente extendidos. Ahora intente calcular todas las combinaciones posibles de parches si faltan uno o más de estos 600 parches.

¿Por qué actualizaciones acumulativas?

Entonces, Microsoft decidió que para mejorar la calidad general de Windows y para reducir la complejidad general del proceso de parcheo, volverían a trabajar el proceso de parcheo por completo con Windows 10. Exploremos estos cambios con más profundidad. Los parches ahora se dividen en actualizaciones de calidad y actualizaciones de funciones.

Estas llamadas actualizaciones de calidad son una única actualización acumulativa mensual que contiene correcciones de seguridad, correcciones de confiabilidad, correcciones de errores, etc. Estas actualizaciones acumulativas reemplazan la actualización del mes anterior. Normalmente, no contienen nuevas características. Comenzando con Windows 10 1703, habrá una actualización acumulada obligatoria en el segundo parche el martes y posiblemente múltiples actualizaciones acumulativas durante todo el mes con contenido de no seguridad agregado. Para mantenerse en el lado seguro, debe implementar un mínimo de la parte del segundo parche el martes. Los otros parches se pueden implementar opcionalmente en algunos o todos los sistemas.
Las actualizaciones de características se realizan dos veces al año, cada primavera y otoño, con nuevas capacidades. Las actualizaciones de características son implementaciones técnicamente simples que utilizan actualizaciones injuntas, impulsadas por herramientas existentes con capacidades de reversión incorporadas. Se pueden probar nuevas características con Vista previa de Insider.
Cada actualización de calidad plantea el número de versión de su versión de Windows 10. Puede ver el número de compilación de la versión de actualización de calidad como el último conjunto de dígitos de Winver.exe (por ejemplo, 540). La actualización de la función plantea la versión en sí (por ejemplo, 1703) y el primer conjunto de dígitos del número de compilación (por ejemplo, 15063). El SKU de Windows 10 está en la cuarta línea (por ejemplo, Windows 10 Pro).

Se puede encontrar una lista completa y siempre actualizada con contenido de cada actualización acumulada en la página de Historial de actualizaciones de Windows 10 y Windows Server 2016 en https://support.microsoft.com/en-us/help/4000825/windows-10- Windows-Server-2016-Update-ty-tytistory.
Como las actualizaciones acumulativas (Cu) son ahora todo o nada, ya no es posible excluir parches individuales si rompen algo en su entorno. Debido a sistemas siempre totalmente parcheados, debe haber un riesgo reducido de incompatibilidades, pero aún es posible. Por lo tanto, debe prestar especial atención al segundo parche el martes CU y probarlo/implementarlo lo más rápido posible como contiene nuevas soluciones de seguridad. Si hay algún problema,
Informarlos a Microsoft de inmediato para que puedan solucionarlo. Mientras tanto, solo puede desinstalar/no implementar este Cu y arriesgar a las fallas de seguridad. Cuando desinstala un CU, su sistema regresa automáticamente a la última versión de CU instalada. Para piezas de no seguridad, puede probar 1-3 CUS adicionales por mes.
Estas actualizaciones de calidad pueden crecer muy rápido a tamaños de 1 GB y más. Para reducir el tráfico WAN y/o la carga de trabajo en sus servidores locales, debe configurar la optimización de entrega (cuando se usa WU), BranchCache (cuando se usa WSUS), SCCM Pare Delivery (cuando usa SCCM) o la solución específica de la solución Entrega entre pares (cuando se usa de terceros).

Actualizar soluciones de entrega

Las actualizaciones se pueden implementar con diferentes soluciones. Veremos Windows Update, Windows Update para negocios, servicios de actualización de Windows Server y soluciones de administración como SCCM y soluciones de terceros.

Actualización de Windows

La conocida actualización de Windows (WU) se basa en los servidores de Microsoft Cloud para parchear y actualizar sus sistemas. Las actualizaciones se instalan a medida que se lanzan (sujeto a estrangulamiento en olas). Para reducir la carga en los servidores y acelerar la entrega, se utiliza la optimización para la distribución de igual a igual (P2P) ya que la primera versión de Windows 10. Este método de actualización es la única opción para Windows 10 Home. Tanto Windows 10 Home y Windows 10 S SKU, no admiten la unión del dominio. Windows 10 Home tiene capacidades MDM muy limitadas, Windows 10 S se puede administrar y parchear mediante una solución MDM. Las opciones para P2P se pueden cambiar en GUI en Configuración | Update de Windows | Opciones avanzadas | Optimización de entrega:
Windows 10 1709 introdujo dos nuevas entradas GUI Opciones avanzadas y monitor de actividades. Con opciones avanzadas, ahora puede especificar límites exactos para descargar y cargar el ancho de banda y definir un límite de carga mensual que incluya un gráfico de información que muestra cuánto queda. El ancho de banda se puede establecer entre un mínimo A 5% y un máximo del 100%, el límite de carga se puede establecer entre un mínimo de 5 GB y un máximo de 500 GB. Antes de 1709, estas configuraciones solo estaban disponibles a través de GPO:

Para ver los beneficios de la descarga de otras PC, puede usar el nuevo monitor de actividad. Mostrará estadísticas de descarga de cuánto contenido se descarga de Microsoft Wu directamente, desde las PC en la red local y de las PC en Internet (si está habilitada). También muestra estadísticas de carga para PC en la red local y las PC en Internet (nuevamente si está habilitada). Y por último, pero no menos importante, algunas estadísticas de velocidad de descarga. Las estadísticas se restablecen mensualmente:

Si está utilizando una versión de Windows 10 capaz de dominio como Pro, para la estación de trabajo, la empresa o la educación, puede definir todas estas e incluso más configuraciones granulares de GPO. Encontrará la configuración relevante en Configuración de la computadora | Plantillas administrativas | Componentes de Windows | Optimización de entrega:

Con Windows 10 1709, estas configuraciones se extendieron nuevamente. Ahora puede definir el servidor de caché en la red de optimización de entrega (DOINC) a través de GPO. Al momento de escribir este libro, no había documentación para Doinc disponible. Consulte la documentación de Technet para obtener más información sobre DOINC y sus beneficios tan pronto como se publique información.
Además de todas estas configuraciones de ajuste fino, la configuración más importante en esta sección aún permanecerá en el modo de descarga. Con este GPO, puede deshabilitar la nueva optimización de entrega por completo (omitir) y usar el antiguo servicio de transferencia inteligente de fondo (BIT), puede limitar la optimización de entrega para usar solo la descarga HTTP sin mirar (solo http), para usar Internet y PC locales (( Internet), para usar PC locales solo cuando están detrás de la misma NAT (LAN), para usar PC locales solo dentro del mismo sitio de AD (si existen) o el mismo dominio (grupo).
Al seleccionar la opción simple, usa solo HTTP pero sin contactar el servicio en la nube de optimización de entrega. La mayoría de los clientes empresariales deciden usar la opción LAN o grupo para prohibir la carga:

Actualización de Windows para negocios

Windows Update for Business (WUFB) a menudo se ve como una forma extra o nueva de entregar actualizaciones a sus clientes, pero aún utiliza Windows Update (WU) para el contenido. Extiende el WU clásico con un conjunto de configuración que permite el control de la implementación de actualización de calidad y actualización de Windows 10. Las actualizaciones y actualizaciones se pueden diferir y se pueden administrar compilaciones previas. Esto ayuda a los usuarios de pequeñas empresas sin su propia infraestructura de parcheo local para crear anillos de servicio y obtener una experiencia de actualización de grano más fino. Las configuraciones de control de WUFB solo están disponibles para Windows 10 Pro, para la estación de trabajo, la empresa y los SKU educativos. Los GPO correspondientes se pueden encontrar en Configuración de la computadora | Plantillas administrativas | Componentes de Windows | Update de Windows | Actualización de Windows para negocios:

El WUFB GPOS ayuda a crear anillos de actualización a través de GPO para actualizaciones acumulativas mensuales (actualizaciones de calidad) y actualizaciones de servicios semestuales (actualizaciones de funciones). Los anillos de actualización se explican con más detalle en el párrafo de servicio. Si está utilizando el Servicio de actualización de Windows Server (WSUS), System Center Configuration Manager (SCCM) o Solutions de actualización de terceros, debe crear grupos/colecciones de destino en estas soluciones, ya que probablemente ignorarán su configuración de WUFB GPO. Al habilitar y definir la selección cuando se reciben actualizaciones de calidad GPO, puede especificar un retraso entre 0 y 30 días. También puede especificar una fecha para detener temporalmente las actualizaciones de calidad en el caso de un problema conocido. Al habilitar la pausa, permanecerá vigente durante 35 días o hasta que borre el campo de la fecha de inicio en el GPO. Este GPO no tendrá ningún efecto si establece su Permitir telemetría en 0 = SOLECIÓN SOLAMENTE.

Otro WUFB GPO disponible es la selección cuando se reciben actualizaciones de características. Se renombró en 1709 para seleccionar cuando se reciben la vista previa y las actualizaciones de características y ahora es capaz de no solo seleccionar canal semestral (dirigido) (antigua rama actual) y canal semestral (antigua rama actual para negocios) sino también seleccionar la compilación de vista previa - Fast, Vista previa Build - Vista previa lenta y de lanzamiento como un nivel de preparación para las actualizaciones de servicio. Para construir anillos de servicio a través de GPO, puede diferir las actualizaciones de servicio.
Al seleccionar el canal semestral (antiguo CB o CBB), puede diferir hasta 365 días (incluso si se recomiendan rangos más cortos). Al igual que en las actualizaciones de calidad GPO, también puede especificar una fecha para pausar temporalmente las actualizaciones de servicio en el caso de un problema conocido. Al habilitar la pausa, permanecerá vigente durante 35 días o hasta que borre el campo de la fecha de inicio en el GPO. Para aplazar CB y CBB, debe establecer su Permitir la telemetría al mínimo 1 = Básico.
Las compilaciones de canales de vista previa solo se pueden diferir hasta 14 días o detenerse por hasta 35 días. Para aplazar cualquier compilación de vista previa, debe establecer su permitido telemetría en mínimo 2 = mejorado y registre su dominio en insider.windows.com.

Windows 10 1709 introdujo un nuevo WUFB GPO Administrar compilaciones de vista previa. Puede seleccionar deshabilitar las compilaciones de vista previa para evitar la instalación de vistas previas en ese dispositivo y evitar que los usuarios opten por el programa Windows Insider a través de GUI. Seleccionar compilaciones de vista previa de habilitación permitirá instalar u optar a las compilaciones de información privilegiada en esta máquina.
Para instalar automáticamente las compilaciones de vista previa, también necesita configurar la selección cuando las actualizaciones de características se reciben GPO descrita antes. La tercera opción Deshabilitar las compilaciones de vista previa una vez que el próximo lanzamiento sea público dejará de recibir automáticamente las compilaciones de información privilegiada una vez que la vista previa de información privilegiada actual se lance a la fabricación (RTM) / public. Esto optará con gracia del dispositivo desde el vuelo y evita que accidentalmente ingrese a la próxima fase de compilación de vista previa.

Servicios de actualización de Windows Server

Windows Server Update Services (WSUS) es la primera solución de lo mencionado anteriormente en las instalaciones. Si está configurado para descargar contenido a su infraestructura WSUS, las actualizaciones se distribuyen desde sus servidores WSUS, lo que está reduciendo significativamente el tráfico WAN. Las actualizaciones y actualizaciones se implementan cuando las aprueba a sus grupos objetivo definidos por WSU. Debe crear su actualización y anillos de servicio a través de grupos objetivo dentro de WSUS.
Con la configuración predeterminada de WSUS, descargará los paquetes de actualización de tamaño completo e implementará los clientes. Esto aumentará muy rápidamente a 1 GB por Cu por cliente por mes. Para reducir la carga de trabajo en su infraestructura WSUS, debe configurar BranchCache para reducir el uso de ancho de banda en el servidor WSUS. Otra opción es activar la opción Descargar archivos de instalación express en su WSU:

WSUS es bastante bueno en la implementación de actualizaciones acumulativas mensuales / actualizaciones de calidad. Pero hay varias advertencias y problemas al implementar actualizaciones de servicios / características con WSUS. Algunas de las limitaciones y advertencias son:

• WSUS Servicing Media no se puede actualizar manualmente. Implementará la versión RTM hasta el relanzamiento unos cuatro meses después. También más tarde no tiene opción para actualizar los medios de servicio después de eso.
• No hay opción para una secuencia de tareas. Los scripts e instalaciones que deben ejecutarse antes o después de una actualización en el lugar son difíciles de orientar y mucho violín.
• Los paquetes de lenguaje y los archivos de configuración adecuados para personalizar la configuración con parámetros deben colocarse antes de dirigirse a un cliente para actualizar. No hay una verificación incorporada para la existencia del archivo o similar. Nuevamente se necesitan mucho violín y secuencias de comandos personalizados.

Michael Niehaus, director de marketing de productos para Windows en Microsoft, explicó en sus conversaciones públicas sobre Windows como un servicio y Windows 10 que hay mejoras planificadas para WSU para futuras versiones para evitar algunos de los problemas mencionados. Esto ayudará a los clientes comerciales pequeños y medianos que aún usan WSUS Standalone. Pero actualmente no hay detalles disponibles y la versión más temprana del servidor completo será en aproximadamente dos años.

SCCM y soluciones de terceros

El uso de la actualización de Windows para el servicio de las actualizaciones no es una opción para los clientes comerciales, especialmente a gran escala de la empresa debido a la funcionalidad de secuencia de tareas faltante. Los clientes comerciales pequeños y medianos que utilizan SKU Pro y SKU más altos pueden usar WUFB y WSUS para actualizar, pero la secuencia de tareas faltante complicará la actualización.
Se encontrará con una situación en la que necesita actualizar un controlador o software antes de poder actualizar. O ingrese a una situación en la que necesite hacer pasos de configuración adicionales y limpiar después de la actualización en el lugar.
SCCM y soluciones de terceros (como Landesk, Heat y muchos otros) son la mejor solución para servir actualizaciones y actualizaciones en el lugar. Al igual que con WSUS, la calidad y el contenido de actualización de funciones distribuido desde las instalaciones, como Configuration Manager DPS, reducirán significativamente el uso en el ancho de banda WAN. Las actualizaciones se pueden extender utilizando una secuencia de tareas con guión, y obtendrá capacidades de actualización de software extendidas además.
BranchCache y la entrega de pares específicas de la solución, como la entrega de SCCM de pares (soporte de caché de pares del cliente para archivos de instalación Express para Windows 10 y Office 365 disponibles con SCCM 1706 y versiones más nuevas) debe habilitarse para reducir el ancho de banda/carga de trabajo en sus servidores. También hay una nueva opción en SCCM 1702 y más nueva para descargar paquetes Express solo para Windows 10:

Al seleccionar esta opción, solo descargará archivos Express para Windows 10 y, por lo tanto, la cantidad de almacenamiento necesaria en su WSU no aumentará excesivamente como en el escenario independiente WSUS descrito en el párrafo anterior.
Para la actualización de la creación de anillos de actualización y servicio, debe utilizar las técnicas SCCM o específicas de la solución, como las colecciones SCCM. SCCM ignorará la configuración de GPO para actualizaciones de calidad y actualizaciones de funciones.
Para implementar las instalaciones de actualización y actualización en el lugar o en el lugar de Windows 10, se debe usar una versión actualizada / correspondiente del kit de evaluación e implementación de Windows 10 (ADK) con Windows PE más nuevo si el grupo de productos no hace excepciones. Revise la matriz de soporte SCCM con cada nueva versión de Windows 10 y cada actualización del canal semestral para la versión mínima de SCCM necesaria. Se puede encontrar una matriz siempre actualizada en https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/support-for-windows-10.
Al momento de escribir este libro, el equipo SCCM todavía planea con tres lanzamientos al año y la matriz de apoyo aún no incluía Windows 10 1709, pero debería actualizarse antes, más reciente en RTM/ Disponibilidad General (GA) de Windows 10 1709. Si No se detectan problemas graves o bloqueadores hasta el lanzamiento de 1709, se puede esperar que obtenga un compatible con el retroceso para SCCM 1706 y compatible completo para SCCM 1710:

Otras soluciones de terceros como Landesk, Heat y muchas otras ya anunciaron actualizar sus soluciones de implementación al menos una o dos veces al año para mantenerse al día con Windows 10 y apoyar completamente la implementación. Por ejemplo, Landesk lanzará lanzamientos importantes anuales llamados Landesk Management Suite 2017.1. La próxima versión actualizada en 2017 será 2017.2, etc. Se puede encontrar una matriz de soporte para Landesk y Windows 10 en https://community.ivanti.com/docs/doc-23848.
Revise las matrices de soporte relevantes de la solución y planifique actualizar su solución de implementación también en una cadencia más alta que con los sistemas operativos anteriores.

Servicio de Windows 10

Los pros y los contras de las actualizaciones, la instalación y la actualización de los versos de limpieza y carga. Cuando saltó con éxito en el tren de Windows 10, debe planear actualizar a nuevas versiones de Windows 10 en 18 meses:

Cada nuevo lanzamiento de Windows 10 estará en una fase de vista previa durante aproximadamente seis meses. Esta fase está marcada en gris (vista previa) en escala. Durante esta fase de vista previa, habrá varios cientos de compilaciones creadas para estabilizar la plataforma e integrar nuevas características. Algunas compilaciones son solo internas o distribuidas a clientes empresariales en un programa especial de adopción de tecnología. Las construcciones con errores graves durante la validación interna tampoco se publican.
Los consumidores y los clientes comerciales que no desean registrarse en WIPFBIZ pueden unirse al programa Normal Insider en https://insider.windows.com/ pero posiblemente perderse algunas descripciones de escenarios de pruebas comerciales.
Al participar en el programa Insider Preview, obtendrá información de primera mano sobre características nuevas o desactivadas, obtendrá nuevas compilaciones temprano y podrá probarlo con su software para su compatibilidad en una etapa temprana.
Al participar en la vista previa, puede acceder al anillo rápido para la experiencia de borde de sangrado con el lanzamiento más reciente con un riesgo ligeramente más alto de características que no funcionan. Si desea trabajar en una vista previa más estable o desea guardar el ancho de banda de descarga con menos actualizaciones, puede unirse al anillo lento con actualizaciones cada dos semanas.
Durante esta fase de vista previa, sus comentarios son muy valiosos y muchas decisiones y cambios en Windows 10 ya fueron activados por los clientes que participaron. No se pierda la oportunidad de dar forma activamente al futuro de Windows 10.
Si no participa en la fase de vista previa de Insider, entonces el RTM o GA oficial de la nueva versión de Windows 10 debería ser la señal de inicio para validar la nueva versión de Windows 10 en su entorno. Microsoft lo liberará en el canal semestral (dirigido) (antigua rama actual).
Ahora tiene un marco de tiempo de aproximadamente cuatro meses para probarlo cuidadosamente en busca de compatibilidad con sus aplicaciones LOB e informar todos los errores restantes posibles para aumentar la estabilidad hasta la amplia versión oficial de Windows 10. Esta fase está marcada como azul claro (piloto) en la escala.
Después de aproximadamente cuatro meses, cuando Windows 10 está en el lanzamiento de canal semestral normal, debería poder ampliar su implementación a todos los usuarios comerciales. Esta fase está marcada como azul oscuro (implementación amplia) en la escala.
No existe una recomendación universal de un solo ajuste de todos cuántos anillos debe contener cada fase. Depende de la cantidad de clientes, de los diferentes casos de uso de sus clientes (PC de oficina, PC de fabricación, etc.) y cuántos problemas se detectaron durante la pilotaje.
La mayoría de los clientes empresariales visitados, comenzaron con un anillo para una vista previa de información privilegiada, 2-3 anillos para fase piloto y anillos de 4-5 para una amplia implementación, donde el anillo más alto es para problemas de bloqueo. Según la escala anterior, aquí hay una muestra para los anillos de construcción y su momento. Puede usarlo como base y adoptarlo a sus necesidades ambientales. No use la recomendación de las semanas como mínimo absoluto, los tiempos de despliegue más rápidos son posibles y se han observado, especialmente cuando se exige este trabajo por segunda o tercera vez.

Resumen

En este artículo, aprendió sobre las nuevas capacidades de MDM y los cambios en el procesamiento de GPO de Windows 10. En la parte de servicio y actualización de la actualización, discutimos las diferentes soluciones de entrega de actualizaciones y dimos recomendaciones para construir anillos de servicio para mantenerse al día con el lanzamiento rápido de Windows 10. .