Registrare i dispositivi con i gruppi di windows autopatch

Importante

Se non si ha familiarita' con Windows Autopatch, saranno necessarie fino a 48 ore prima che i dispositivi vengano visualizzati come registrati nel report di appartenenza ai gruppi di appartenenze a Windows Autopatch. Durante questo periodo di 48 ore, i dispositivi vengono sottoposti ai processi di onboarding necessari prima di essere visualizzati come registrati.

Ungruppoo automatico di Windows è un contenitore logico o un'unità che raggruppa diversi gruppi di Microsoft Entra e criteri di aggiornamento software. Per altre informazioni, vedere Gruppi di pacchetti automatici di Windows.

Quando si crea un gruppo di creazione automatica di Windows o si modifica un gruppo di documenti automatici di Windows, i gruppi di Microsoft Entra basati su dispositivo usati vengono analizzati in modo continuativo per verificare se è necessario aggiungere nuovi dispositivi al gruppo di documenti automatici.

Diagramma dettagliato del flusso di lavoro di registrazione dei dispositivi

Vedere il diagramma del flusso di lavoro dettagliato seguente. Il diagramma illustra il processo di registrazione del dispositivo Windows Autopatch:

Diagramma del flusso di lavoro di registrazione del dispositivo.

Passaggio Descrizione
Passaggio 1: Assegnare gruppi di Entra L'amministratore IT identifica il gruppo di Microsoft Entra che desidera assegnare quando crea un gruppo di creazione automatica di Windows o modifica un gruppo di creazione automatica di Windows.
Passaggio 2: Individuare i dispositivi La funzione Windows Autopatch Discover Devices individua i dispositivi (ogni ora) aggiunti in precedenza dall'amministratore IT da Microsoft Entra gruppi usati con i gruppi di autopatch nel passaggio 1. L'ID dispositivo Microsoft Entra viene usato da Windows Autopatch per eseguire query sugli attributi del dispositivo sia in Microsoft Intune che in Microsoft Entra ID durante la registrazione dei dispositivi nel relativo servizio.
  1. Una volta individuati i dispositivi dal gruppo Microsoft Entra, la stessa funzione raccoglie attributi aggiuntivi del dispositivo e lo salva nella memoria durante l'operazione di individuazione. Gli attributi del dispositivo seguenti vengono raccolti da Microsoft Entra ID in questo passaggio:
    • AzureADDeviceID
    • OperatingSystem
    • DisplayName (Nome dispositivo)
    • AccountEnabled
    • RegistrationDateTime
    • ApproximateLastSignInDateTime
  2. In questo stesso passaggio, la funzione di individuazione automatica dei dispositivi di Windows chiama un'altra funzione, la funzione di controllo dei prerequisiti del dispositivo. La funzione di controllo dei prerequisiti del dispositivo valuta i prerequisiti a livello di dispositivo basato su software per essere conforme ai requisiti di preparazione del dispositivo Windows Autopatch prima della registrazione.
Passaggio 3: Verificare i prerequisiti La funzione prerequisito di Windows Autopatch esegue una chiamata Intune API Graph per convalidare in sequenza gli attributi di idoneità del dispositivo necessari per il processo di registrazione. Per informazioni dettagliate, vedere la sezione Diagramma dettagliato del flusso di lavoro di controllo dei prerequisiti . Il servizio controlla gli attributi e/o i prerequisiti di idoneità del dispositivo seguenti:
  1. Se il dispositivo è gestito Intune o meno. Windows Autopatch verifica se all'ID dispositivo Microsoft Entra è associato un ID dispositivo Intune.
    1. In caso affermativo, significa che questo dispositivo è registrato in Intune. Se il dispositivo è gestito da Intune, la funzione di controllo dei prerequisiti di Windows Autopatch continua con il controllo dei prerequisiti successivo, che valuta se il dispositivo è stato archiviato in Intune negli ultimi 28 giorni.
    2. In caso contrario, significa che il dispositivo non è registrato in Intune, quindi non può essere gestito dal servizio Disassorti automatici di Windows. Se il dispositivo non è gestito da Intune, il servizio di supporto automatico di Windows non può raccogliere attributi del dispositivo, ad esempio versione del sistema operativo, Intune data di registrazione, nome del dispositivo e altri attributi. In questo caso,ilo automatico di Windows usa gli attributi del dispositivo Microsoft Entra raccolti e salvati nella memoria nel passaggio 3.1.i.
      • Dopo aver raccolto gli attributi del dispositivo da Microsoft Entra ID nel passaggio 3.1.i, il dispositivo viene contrassegnato con lo stato Prerequisito non riuscito e lo stato di preparazione di Windows Autopatch del dispositivo viene visualizzato come Non registrato nel report di appartenenza dei gruppi di supporto automatico di Windows. Esaminare i motivi per cui il dispositivo non è stato registrato in Windows Autopatch e correggere il dispositivo. In particolare, verificare il motivo per cui il dispositivo non è stato registrato in Intune.
      • Un motivo comune è che quando l'ID dispositivo Microsoft Entra non è aggiornato, non ha più un ID dispositivo Intune associato. Per correggere il problema, pulire i record dei dispositivi non aggiornati Microsoft Entra dal tenant.
    2. Se il dispositivo è un dispositivo Windows o meno. Windows Autopatch cerca di vedere se il dispositivo è un dispositivo Windows e di proprietà dell'azienda.
      • Se sì, significa che questo dispositivo può essere registrato con il servizio perché è un dispositivo di proprietà dell'azienda windows.
      • In caso contrario, significa che il dispositivo è un dispositivo non Windows o è un dispositivo Windows ma è un dispositivo personale.
  3. Windows Autopatch controlla la famiglia di SKU di Windows. Lo SKU deve essere:
    • Per le aziende
    • Pro
    • Pro Workstation
    • Education
    • Pro Education
  4. Se il dispositivo soddisfa i requisiti del sistema operativo, Windows Autopatch verifica se il dispositivo è:
    • Gestito solo da Intune.
      • Se il dispositivo è gestito solo da Intune, il dispositivo viene contrassegnato come Superato tutti i prerequisiti.
    • Co-gestito da Gestione configurazione e Intune. Se il dispositivo è co-gestito sia da Gestione configurazione che da Intune, viene valutato un ulteriore controllo dei prerequisiti per determinare se il dispositivo soddisfa i carichi di lavoro abilitati per la co-gestione richiesti da Windows Autopatch per gestire i dispositivi in uno stato co-gestito. I carichi di lavoro di co-gestione necessari valutati in questo passaggio sono:
      • Criteri di Windows Aggiornamenti
      • Configurazione dei dispositivi
    • Se Windows Autopatch determina che uno di questi carichi di lavoro non è abilitato nel dispositivo, il servizio contrassegna il dispositivo come Prerequisito non riuscito e lo stato di preparazione per l'archiviazione automatica del dispositivo viene visualizzato come Non registrato nel report di appartenenza ai gruppi di documenti automatici di Windows.
Passaggio 4: Calcolare la distribuzione dinamica e assegnare i dispositivi Microsoft Entra Gruppi, assegnati direttamente a un anello di distribuzione, aggiunge tali dispositivi al gruppo di Microsoft Entra creato da Windows Autopatch per tale anello di distribuzione.

Se si sceglie di usare la distribuzione dinamica, il servizio Distribuisci automaticamente Windows distribuisce i dispositivi selezionati. Il servizio accetta una percentuale dei dispositivi nel pool dinamico e li aggiunge ai gruppi di Microsoft Entra pertinenti. I dispositivi membri di Microsoft Entra gruppi assegnati direttamente non sono inclusi nel pool dinamico.

Se si dispone di meno di 100 dispositivi in un gruppo di documenti automatici di Windows, la distribuzione potrebbe non corrispondere alla selezione.
Passaggio 5: Registrazione post-dispositivo Se è stato distribuito Windows Autopatch Client Broker, si verificano azioni di registrazione post-dispositivo. Per altre informazioni, vedere Controlli di idoneità per la registrazione post-dispositivo e Gestore client di Windows Autopatch.
Passaggio 6: Esaminare lo stato di registrazione del dispositivo Gli amministratori IT esaminano lo stato di preparazione di Windows Autopatch del dispositivo. I dispositivi sono registrati o non registrati nel report di appartenenza ai gruppi di documenti automatici di Windows.
  1. Se il dispositivo è stato registrato correttamente, lo stato di preparazione di Windows Autopatch del dispositivo viene visualizzato come Registrato nel report di appartenenza ai gruppi di documenti automatici di Windows.
  2. In caso contrario, lo stato di preparazione di Windows Autopatch del dispositivo viene visualizzato come Non registrato nel report di appartenenza ai gruppi di appartenenze a Windows Autopatch.
Passaggio 7: Fine del flusso di lavoro di registrazione Questa è la fine del flusso di lavoro di registrazione del dispositivo Windows Autopatch.

Diagramma dettagliato del flusso di lavoro di controllo dei prerequisiti

Come descritto nel passaggio 3 del diagramma dettagliato del flusso di lavoro di registrazione dei dispositivi precedente, il diagramma seguente è una rappresentazione visiva del costrutto dei prerequisiti per il processo di registrazione del dispositivo Windows Autopatch. I controlli dei prerequisiti vengono eseguiti in sequenza.

Diagramma del flusso di lavoro di controllo dei prerequisiti.

Report di appartenenza ai gruppi di creazione automatica di patch di Windows

Windows Autopatch include un report sull'appartenenza ai gruppi di documenti automatici di Windows che fornisce le informazioni seguenti:

  • Appartenenza al gruppo Disatch automatico di Windows (solo se il dispositivo viene aggiunto a un gruppo di supporto automatico di Windows)
  • Stato dell'aggiornamento
  • Criteri destinati a ogni dispositivo

Nota

È possibile configurare ruoli personalizzati per accedere al report di appartenenza ai gruppi di appartenenze di Windows Autopatch, incluse le varie azioni del dispositivo.

Per assegnare l'anello l'utente richiede un minimo di autorizzazioni di lettura/gruppo di documenti automatici di Windows. Usare il menu a discesa per selezionare l'anello di distribuzione in cui spostare i dispositivi. Il menu visualizzerà solo gli anelli di distribuzione nell'ambito degli utenti.

Per visualizzare le proprietà del dispositivo, l'autorizzazione minima necessaria è Gestisci dispositivi/Lettura.

Gli amministratori con ambito possono spostare i dispositivi solo tra gli anelli di distribuzione nello stesso gruppo di azure automatico di Windows, con gli stessi tag di ambito.

Per altre informazioni, vedere Controlli degli accessi in base al ruolo di Windows Autopatch.For more information, see Windows Autopatch role-based access controls.

Visualizzare il report sull'appartenenza ai gruppi di creazione automatica di documenti di Windows

Per visualizzare il report sull'appartenenza ai gruppi di windows autopatch:

  1. Nell'interfaccia di amministrazione Intune selezionare Amministrazione tenant nel riquadro sinistro.
  2. In Windows Autopatch selezionare Gruppi di documenti automatici di Windows.
  3. Selezionare la scheda Appartenenze al gruppo Di riquadro automatico di Windows.

Dopo l'aggiunta di un dispositivo a un gruppo di supporto automatico di Windows, viene visualizzato uno stato di preparazione. Ogni stato di preparazione consente di determinare se sono presenti azioni da eseguire o se il dispositivo è pronto per il servizio.

Stati di idoneità

Stato di preparazione di Windows Autopatch nel report sull'appartenenza ai gruppi di appartenenze a Windows Autopatch Descrizione dello stato secondario
Registrato
  • Pronto: i dispositivi hanno superato tutti i controlli dei prerequisiti e sono stati registrati con Windows Autopatch. Inoltre, i dispositivi pronti hanno superato correttamente tutti i controlli di idoneità post-registrazione del dispositivo e non hanno avvisi attivi destinati a tali controlli.
  • Non pronto: questi dispositivi sono stati registrati correttamente con Windows Autopatch. Tuttavia, questi dispositivi:
    • Non è stato possibile superare uno o più controlli di idoneità dopo la registrazione del dispositivo.
    • Non sono pronti per avere uno o più carichi di lavoro di aggiornamento software gestiti dal servizio.
    • Il dispositivo non ha comunicato con Microsoft Intune negli ultimi 28 giorni
    • Il dispositivo presenta un conflitto con i criteri o con l'appartenenza al gruppo Disassoc automatica di Windows
Non registrato
  • Conflitto del gruppo di creazione automatica di Windows: il dispositivo presenta un conflitto con l'appartenenza al gruppo di creazione automatica di Windows
  • Prerequisiti non riusciti: il dispositivo non è riuscito a superare uno o più controlli di idoneità della registrazione post-dispositivo.
  • Escluso: i dispositivi con questo stato vengono rimossi solo dal servizio di eliminazione automatica di Windows. Microsoft presuppone che questi dispositivi vengano gestiti autonomamente in una certa capacità.

Scenari supportati durante l'annidamento di altri gruppi di Microsoft Entra

Windows Autopatch supporta anche gli scenari di gruppo annidati Microsoft Entra seguenti:

Microsoft Entra gruppi sincronizzati da:

Aggiornamento automatico di Windows nei carichi di lavoro Windows 365 Enterprise

Windows 365 Enterprise offre agli amministratori IT la possibilità di registrare i dispositivi conilo automatico di Windows come parte della creazione dei criteri di provisioning Windows 365. Questa opzione offre un'esperienza semplice per amministratori e utenti per garantire che i PC cloud siano sempre aggiornati. Quando gli amministratori IT decidono di gestire i propri PC cloud Windows 365 con Windows Autopatch, il processo di creazione dei criteri di provisioning Windows 365 chiama le API di registrazione dei dispositivi Windows Autopatch per registrare i dispositivi per conto dell'amministratore IT.

Per registrare nuovi dispositivi Windows 365 Cloud PC con Windows Autopatch dai criteri di provisioning Windows 365:

  1. Passare all'interfaccia di amministrazione Intune.
  2. Nel riquadro sinistro selezionare Dispositivi.
  3. Passare a Provisioning>Windows 365.
  4. Selezionare Criteri di provisioning>Crea criterio.
  5. Specificare un nome di criterio e selezionare Tipo di join. Per altre informazioni, vedere Tipi di aggiunta di dispositivi.
  6. Seleziona Avanti.
  7. Scegliere l'immagine desiderata e selezionare Avanti.
  8. Nella sezione Servizi gestiti da Microsoft selezionare Windows Autopatch.
  9. Assegnare il criterio di conseguenza e selezionare Avanti.
  10. Seleziona Crea. Ora i pc cloud Windows 365 Enterprise di cui è stato appena effettuato il provisioning vengono registrati e gestiti automaticamente da Windows Autopatch.

Per altre informazioni, vedere Creare un criterio di provisioning Windows 365.

Patch automatico di Windows nei carichi di lavoro di Desktop virtuale Azure

Windows Autopatch è disponibile per i carichi di lavoro di Desktop virtuale Azure. Gli amministratori aziendali possono effettuare il provisioning dei carichi di lavoro di Desktop virtuale Azure per essere gestiti da Windows Autopatch usando il processo di registrazione del dispositivo esistente.

Windows Autopatch offre lo stesso ambito del servizio con le macchine virtuali come per i dispositivi fisici. Tuttavia, Windows Autopatch rinvia a supporto tecnico di Azure qualsiasi supporto specifico di Desktop virtuale Azure, se non diversamente specificato.

Prerequisiti

Windows Autopatch per desktop virtuale Azure segue gli stessi prerequisiti di Windows Autopatch e i prerequisiti di Desktop virtuale Azure.

Il servizio supporta:

  • Macchine virtuali personali persistenti

Le funzionalità di Desktop virtuale Azure seguenti non sono supportate:

  • Host multisessione
  • Macchine virtuali non persistenti in pool
  • Streaming di app remote

Distribuire il servizio Distribuisci autopatch in desktop virtuale Azure

Azure i carichi di lavoro di Desktop virtuale possono essere registrati in Windows Autopatch usando lo stesso metodo dei dispositivi fisici.

Per semplificare la distribuzione, è consigliabile annidare un gruppo di dispositivi dinamico nel gruppo di registrazione del dispositivo Windows Autopatch. Il gruppo di dispositivi dinamico ha come destinazione il prefisso Nome definito nell'host sessione, ma esclude tutti gli host sessione multisessione. Ad esempio:

Nome gruppo Nome appartenenza dinamica
Patch automatica di Windows - Host di sessione del pool di host
  • (device.displayName -contains "AP")
  • (device.deviceOSType -ne "Windows 10 Enterprise for Virtual Desktops")

Pulire il doppio stato di Microsoft Entra dispositivi ibridi aggiunti e Azure registrati nel tenant Microsoft Entra

Uno stato doppio Microsoft Entra si verifica quando un dispositivo è inizialmente connesso a Microsoft Entra ID come dispositivo registrato Microsoft Entra. Tuttavia, quando si abilita Microsoft Entra join ibrido, lo stesso dispositivo viene connesso due volte a Microsoft Entra ID ma come dispositivo ibrido Microsoft Entra.

Nello stato duale si verificano due Microsoft Entra record del dispositivo con tipi di join diversi per lo stesso dispositivo. In questo caso, il record del dispositivo hybrid Microsoft Entra ha la precedenza sul record del dispositivo registrato Microsoft Entra per qualsiasi tipo di autenticazione in Microsoft Entra ID, rendendo obsoleto il record del dispositivo registrato Microsoft Entra.

È consigliabile rilevare e pulire i dispositivi non aggiornati in Microsoft Entra ID prima di registrare i dispositivi con Windows Autopatch, vedere Procedura: Gestire i dispositivi obsoleti in Microsoft Entra ID.

Warning

Se non si puliscono i dispositivi non aggiornati in Microsoft Entra ID prima di registrare i dispositivi con Il supporto automatico di Windows, è possibile che i dispositivi non soddisfino i Intune o Cloud-Attached (il dispositivo deve essere gestito Intune o co-gestito) nella scheda Non pronto perché prevede che questi Microsoft Entra non aggiornati i dispositivi non vengono più registrati nel servizio Intune.

Il supporto è disponibile tramite Windows 365 o il team di progettazione dei servizi di documentazione automatica di Windows per gli eventi imprevisti correlati alla registrazione dei dispositivi.

Scenari del ciclo di vita di gestione dei dispositivi

Esistono alcuni altri scenari del ciclo di vita di gestione dei dispositivi da considerare quando si pianifica la registrazione dei dispositivi in un gruppo di Windows Autopatch.

Aggiornamento del dispositivo

Se un dispositivo è stato registrato in precedenza in un gruppo di azure automatico di Windows, ma deve essere ricreato l'immagine, è necessario eseguire uno dei processi di provisioning del dispositivo disponibili in Microsoft Intune per ricreare l'immagine del dispositivo.

Il dispositivo viene aggiunto nuovamente a Microsoft Entra ID (ibrido o solo Microsoft Entra). Quindi, riregistrato anche in Intune. Non sono necessarie altre azioni da parte dell'utente o del servizio di supporto automatico di Windows, perché il record Microsoft Entra ID dispositivo del dispositivo rimane invariato.

Riparazione del dispositivo e sostituzione dell'hardware

Se è necessario ripristinare un dispositivo registrato in precedenza nel servizio Disassocio automatico di Windows sostituendo la scheda madre, le schede di interfaccia di rete non rimovibili (NIC) o il disco rigido, è necessario registrare nuovamente il dispositivo nel servizio Disassocio automatico di Windows, perché viene generato un nuovo ID hardware in caso di modifiche hardware importanti, ad esempio:

  • SMBIOS UUID (scheda madre)
  • Indirizzo MAC (schede di interfaccia di rete non rimovibili)
  • Seriale, modello, informazioni sul produttore del disco rigido del sistema operativo

Quando si verifica una di queste modifiche hardware, Microsoft Entra ID crea un nuovo record ID dispositivo per il dispositivo, anche se tecnicamente è lo stesso dispositivo.

Importante

Se viene generato un nuovo ID del dispositivo Microsoft Entra per un dispositivo registrato in precedenza nel servizio di creazione automatica di Windows, anche se tecnicamente è lo stesso dispositivo, il nuovo ID dispositivo Microsoft Entra deve essere aggiunto tramite l'appartenenza diretta al dispositivo o tramite Microsoft Entra gruppo dinamico/assegnato annidato nell'esperienza del gruppo di documenti automatici di Windows. Questo processo garantisce che l'ID dispositivo Microsoft Entra appena generato sia registrato con Windows Autopatch e che il dispositivo continui a gestire gli aggiornamenti software dal servizio.

  • Last updated on