Funkcja podwójnego skanowania funkcji Windows Update - zautomatyzowane zarządzanie aktualizacjami

Microsoft nadał zupełnie nowe znaczenie aktualizowaniu zarządzania dzięki połączeniu usługi Windows Update dla Firm i systemu Windows jako usługi; tutaj przychodzi Podwójne skanowanie . Jest to funkcja Windows Update , która nie wymaga od administratorów zatwierdzania każdej aktualizacji ręcznie.

"Wierzymy, że to zautomatyzowane rozwiązanie do zarządzania to przyszłość, a my chcemy zapewnić, że każdy, kto chce się ruszyć do nowoczesnego (tj. Cloud-first) zarządzania aktualizacjami może to zrobić. "- Mówi Microsoft.

Co to jest Dual Scan

Podwójne skanowanie to zachowanie klienta Windows Update (WU), które zostało wprowadzone w systemie Windows 10 1607, aby automatycznie zarządzać przepływem pracy otrzymywania aktualizacji bezpośrednio z Windows Updates (WU) i nadal być w stanie wydawać treści, takie jak sterowniki lub lokalnie publikowane aktualizacje za pośrednictwem WSUS.

Skuteczne wyzwalanie podwójnego skanowania oznacza uzyskiwanie aktualizacji systemu Windows z Internetu i aktualizacji innych niż Windows z WSUS. Podwójne skanowanie jest włączane automatycznie, gdy włączona jest kombinacja zasad grupy Windows Update:

• DeferQualityUpdate
• DeferQualityUpdatePeriodInDays
• PauseQualityUpdate
• DeferFeatureUpdate
• DeferFeatureUpdatePeriodInDays
• PauseFeatureUpdate

Tego modelu może używać tylko Przedsiębiorstwa, które chcą, aby WU było jego głównym źródłem aktualizacji, a WSUS (Windows Server Update Services) zapewnia wszystkie inne treści.

Niepożądana utrata kontroli podwójnego skanowania

Podwójne skanowanie wprowadza niepożądaną utratę kontroli dla tych, którzy wciąż chcą kontynuuj zarządzanie aktualizacjami w ich stary sposób. Wcześniej w systemie Windows 10 nie można było nieumyślnie zaktualizować zarządzanego komputera do nowej wersji, skanując jedynie za pomocą usługi Windows Update (WU). Wynikało to z tego, że kanał zapewniał tylko aktualizacje jakości, zazwyczaj dlatego, że administratorzy nie zwracali uwagi na to, że ich klienci skanują na podstawie WU, ponieważ nigdy nie doprowadziłoby to do żadnych znaczących zmian w stanie klienta.

Ale z aktualizacjami funkcji oferowanych na WU klienci zarządzani przez program WSUS lub program Menedżer konfiguracji mogą otrzymywać aktualizację funkcji, która została wcześniej odrzucona przez administratora, klikając łącze Łącze do usługi "Sprawdź w Internecie pod kątem aktualizacji z witryny Microsoft Update" .

Kontrola biznesowa w scenariuszu "Na miejscu"

Ponieważ lokalni administratorzy byli słusznie zaniepokojeni powyższym scenariuszem, wybrali opcję włączania WU dla polityki biznesowej, która pozwalała im wybierać, kiedy otrzymywano aktualizacje funkcji, które miały planowany efekt: skanowanie przed aktualizacją Windows Update nie było już wypychane niezatwierdzone aktualizacje funkcji.

Mimo to ta konfiguracja spełniała również kryteria umożliwiające podwójne skanowanie, które prowadzi do tego, że maszyna nie jest kontrolowana przez Program WSUS lub program Menedżer konfiguracji dla potrzeb aktualizacji systemu Windows.

Ale w jaki sposób użytkownik zachowuje niezatwierdzone aktualizacje funkcji podczas instalacji, zachowując jednocześnie kontrolę zarządzania aktualizacjami za pomocą istniejących narzędzi lokalnych?

Microsoft twierdzi -

"My otrzymaliśmy wystarczającą informację zwrotną na temat tego scenariusza, który zobowiązaliśmy się opublikować aktualizację jakości dla 1607 roku, która pozwala wykorzystać formant WU for Business nawet w lokalnym scenariuszu; na przykład w przypadku skanów "Sprawdź online w poszukiwaniu aktualizacji". Będzie można odroczyć aktualizacje funkcji bez automatycznego przełączania w tryb skanowania podwójnego. "

Nie można domyślnie skonfigurować tej zasady, należy włączyć tę samą funkcję, aby upewnić się, że klient WU zachowuje się zgodnie z przeznaczeniem. Microsoft planuje wydać aktualizację jakości do wersji 1607, która zostanie wydana tego lata.

Aby odblokować ten scenariusz

Microsoft podał kroki, aby natychmiast odblokować scenariusz. Dzięki tym krokom zarządzani klienci mogą wykonywać skany przeciwko programowi WSUS / Configuration Manager i uzyskiwać dostęp do sklepu Microsoft Store. Dzięki tej konfiguracji będzie ograniczać aktualizacje funkcji, aby automatycznie instalować się na komputerach, a także ograniczać wszelkie treści aktualizacji, które zostaną zainstalowane za pośrednictwem usługi Windows Update. Dla wszystkich klientów zarządzanych firma Microsoft zaleca następujące obejścia:

1. Ustaw wszystkie zasady WU for Business na Nieskonfigurowane. Zapewni to, że nie jesteś w trybie podwójnego skanowania.
2. Sprawdź, czy zainstalowana aktualizacja zbiorcza z listopada 2016 na 1607 lub jakakolwiek aktualizacja zbiorcza jest nowsza.
3. Włącz zasady grupowe Ustawienia systemowe / Zarządzanie komunikacją internetową / Ustawienia komunikacji internetowej / Wyłącz dostęp do wszystkich funkcji Windows Update
4. W wierszu polecenia z podwyższonym poziomem uprawnień uruchom "gpupdate / force", a następnie "Uruchomienie programu UsoClient.exe"
5. Otwórz interfejs użytkownika Windows Update (poczekaj na zakończenie skanowania), i obserwuj:

Microsoft powiedział, że aktywowanie opcji "Usuń dostęp do wszystkich funkcji Windows Update" nie przydałoby się w tym scenariuszu. Podwójne skanowanie jest również obsługiwane w lokalnym scenariuszu. Zasady grupy obejmują ustawienie - Nie zezwalaj na zasady odraczania aktualizacji, aby powodować skanowanie przy użyciu usługi Windows Update. Pełną lekturę na ten temat można znaleźć w witrynie Microsoft.