LATEST NEWS

Windows Update for Business – WUfB

israel-it.co.il > Microsoft On-Prem > Active Directory > Microsoft Azure > Azure AD > Windows Update for Business – WUfB

שלום לכולם,
במאמר זה אני אפרט על שירות של מייקרוסופט בשם Windows Update for Business (WUfB), נבין מהו המוצר הזה? מהן היכולות שיש לו? וכמובן אדריך אתכם כיצד להתשמש בשירות זה.

מזה WUfB?
WUfB או בשמו המלא “Windows Update for Business”, הינו שירות ענני של מייקרוסופט המסייע לאנשי ה-IT לשמור על אבטחת המחשבים בארגון בכך שהם תמיד יהיו ” Up To Date” עם כל עדכוני האבטחה וההגנה שמייקרוסופט משחררת מידי חודש.

ישנם מספר שירותים המאפשרים לנו לנהל ולהפיץ עדכוני וינדוס לארגון:
ConfigMgr (Microsoft System Center Configuration Manager)
WSUS
BigFix
Endpoint Central

בחלק מהשירותים השונים שהצגתי קודם לכן, לא יהיה ניתן להפיץ עדכונים כאשר המחשבים לא מחוברים אל הרשת הארגונית, כמו למשל עובדים אשר נמצאים לרוב בשטח וכמעט שלא מגיעים למשרד או כאשר עובדים מהבית ומתחברים לרשת הארגונית דרך VPN.

כיום כבר אין צורך להוריד את העדכונים של Microsoft לשרת מקומי ורק לאחר מכן להפיץ אותם לארגון, Windows Update for Business (WUfB) בין היתר מספק לנו פתרון למצבים שבהם העובדים אינם נוכחים במשרדי החברה ומה גם שהמחשבים מקבלים את עדכוני האבטחה ישירות מ-Microsoft בצורה אוטומטית בתנאים ובזמנים שאנו נגדיר. WUfB תומך בעדכון או שדרוג של מערכות הפעלה Windows 10 (1709) ומעלה ו-Windows 11. השירות זמין למחשבים בלבד אשר ביצעו Enrollment ל-Intune. (לא ניתן לעדכן שרתים עם WUfB)

יכולותיו של שירות ה-WUfB?

  1. הורדת אוטומטית של עדכונים וינדוס אל מחשבי הארגון.
  2. הגדרת Deadlines של התקנת עדכונים בצורה אוטומטית עם או ללא אישור של המשתמש.
  3. עצירה או השהיה של הפצת העדכונים.
  4. הסרה של עדכוני וינדוס מתוך מחשבי הארגון.
  5. תזמון של הפעלה מחדש למחשבים.
  6. הפצה של Drivers הקשורים ל-Hardware של מחשבים.
  7. הפצת Feature Update אל מערכות ההפעלה בכדי לשדרג את ה-OS Build.
  8. שדרוג מערכות הפעלה של Windows 10 ל-Windows 11.

כיצד מתחילים בתהליך?

בכדי לנהל את עדכוני הוינדוס במחשבי הארגון, צריך להגדיר Profile ב-Intune שנקרא “Update Rings
שבו נגדיר הפרמטרים של אילו עדכונים יופצו למחשבים, מתי המחשבים יקבלו את העדכונים, הגדרת Deadlines להפעלה מחדש ועוד. כפי שרובכם בוודאי יודעים, ישנם עדכונים אשר יכולים לגרום לתקלות במערכת ההפעלה ואף לגרום לקריסתה. בכדי להמנע ממצבים אלו מה שעושים בדרך כלל זה מגדירים שלושה סוגים של “Update Rings”:

  1. את ה-Ring(1) הראשון, הגדירו כך שעדכוני הוינדוס יופצו ויותקנו על התחנות הכי מהר שאפשר (ASAP) זאת אומרת, שברגע ש-Microsoft  משחררת את העדכונים החודשיים שלה (כל יום שלישי השני של החודש) הם יופצו לתחנות. (את ה-Ring הזה תשייכו אל קבוצה של תחנות) המיועדות לבדיקות.
  2. את ה-Ring(2) השני, הגדירו כך שכל עדכוני הוינדוס יופצו ויותקנו על התחנות לאחר 5 ימים מהרגע ש-Microsoft  שיחררה את העדכונים החודשיים שלה. (את ה-Ring הזה, תשייכו לקבוצת קטנה של מחשבים כמו למשל מחלקת IT)
  3. את ה-Ring(3) השלישי, הגדירו כך שכל עדכוני הוינדוס יופצו ויותקנו על התחנות לאחר 10 ימים מהרגע ש-Microsoft שיחררה את העדכונים החודשיים שלה. (את ה-Ring הזה תשייכו אל כלל המחשבים בארגון)

תכנית הרינגים שהצגתי לכם כרגע מיועדת לכך שמהרגע שעדכוני הוינדוס החדשים מותקנים על סביבבת ה-Test (Ring-1) שלכם ועד הרגע שהם מופצים לכלל המחשבים בארגון (Ring-3), יהיה לכם זמן לבחון איך העדכונים משפיעים על מערכות ההפעלה ובמידה ועדכון מסויים גורם לבעייה כלשהי, התגובה שלכם לבעיה תהיה מהירה מאוד מכיוון שמה שאתם צריכים לעשות זה לעצור את Ring-3 ובכך העדכונים הבעייתים לא יופצו אל כלל המחשבים בארגון שלכם.

ישנם עוד כמה Profiles שניתן להגדיר דרך ה-Intune כגון:

Feature updates – באמצעות Ring זה, תוכלו לבצע שדרוג גרסה של מערכות ההפעלה בארגון החל מ-Windows 10 (1703) ועד לגרסת ה-OS Build האחרונה שמייקרוסופט שחררה ל-Windows 11. כלומר ניתן לבצע שדרוג של Windows 10 מגרסת 1703 לגרסת 21H2, 22H2 וכו’, או שניתן לבצע שדרוג מ-Windows 10 ל-Windows 11.

Quality updates בנוסף ל-Ring שמפיץ את עדכוני הוינדוס למחשבים, תוכלו להגדיר Profile המפיץ עדכונים מסוג Security, Critical, Microsoft Drivers בזמן אמת, פרופיל זה יכול לשמש אותנו במצבים בהם הוכרז על פריצת אבטחה במערכת ההפעלה של וינדוס או כשאשר אנחנו רוצים לשמור על מחשבים מסויימים ברמת האבטחה המרבית. שימו לב שמייקרוסופט אינה ממליצה להשתמש ב-Ring זה אלא אם כן אתם חייבים.

Driver updatesהפצת עדכוני Drivers אשר קשורים לחומרה של המחשב ואינם מכילים עדכונים הקשורים אל מערכת ההפעלה או למוצרי Microsoft.

כיצד ניתן להגידר Windows 10 Update Ring?

פתחו את הדפדפן והתחברו אל הפורטל הבא:
https://endpoint.microsoft.com/

גשו אל הנתיב הבא:
Devices –> Update rings for Windows 10 and later –> Create profile

הגדירו את הפוליסי לפי דרישות הארגון שלכם, לפניכם הסבר מפורט של כל הגדרה המופיעה בפוליסי זה.

Windows 10 Update Ring settings:

Update rings for Windows 10 and later – כולל בתוכו את האפשרויות הבאות:

Microsoft product updates – הפצת עדכונים לכל מוצרי מייקרוסופט המותקנים על אותו מחשב.

Windows drivers – הפצת עדכוני דרייברים למערכות ההפעלה.

Update Deferral Period (days) – לאחר כמה ימים מהרגע שעדכון מייקרוסופט משוחרר הוא יותקן על המחשבים.

Upgrade Windows 10 devices to Latest Windows 11 release – מתן הרשאה למחשבים להשתדרג לוינדוס 11.

Set feature update uninstall period – הגדרת טווח זמן שיהיה ניתן להסיר עדכון מהרגע שהוא הותקן על מערכת ההפעלה.

Enable pre-release builds – הפצת עדכוני של מייקרוסופט עוד לפני ששוחררו רישמית. (לא מומלץ!)

User experience settings – הגדרה של Maintenance Time בכדי שלא יותקנו עדכוני וינדוס או יבוצע הפעלה מחדש למחשבים בזמן העבודה של המשתמשים.

Restart checks – מוודא שלמחשב לפחות 40% סוללה ועוד מספר בדיקות לפני שהוא מבצע הפעלה מחדש.

Option to pause Windows updates – האם למשתמש תהיה אפשרות לעצור את העדכונים.

Option to check for Windows updates – האם למשתמש תהיה אפשרות לבצע חיפוש אחר עדכוני וינדוס במחשב.

Use deadline settings – קביעת מועד שבו עדכוני הוינדוס יותקנו בצורה מאולצת על מחשבי הארגון.

Grace period – קביעת מועד של הפעלה מחדש בצורה מאולצת לאחר התקת עדכוני Deadline.

This Article Was Written By Matan Sigavker

Tags:

Leave a Reply

Your email address will not be published. Required fields are marked *