Windows AutoPatch est un service cloud permettant d'appliquer les mises a jours Windows, applications Microsoft 365, Microsoft Teams et Microsoft Edge de manière automatique et selon les recommandations Microsoft.

Prérequis

  • Windows 10/11 Enterprise E3 affecté aux utilisateurs (ou version ultérieure),
  • Licence Microsoft Intune et Azure Active Directory Premium


Activation et configuration du service

Connectez vous sur la console Microsoft Endpoint Manager admin center : https://endpoint.microsoft.com/

Activez le service via le menu "Tenant administration" puis dans la rubrique "Windows Autopatch", sélectionnez "Tenant enrollment"

 


Acceptez et validez l'activation du service Windows Autopatch

 


Cliquez sur "Inscrire" si tout est conforme. Si cela n'est pas possible, corrigez les éléments en affichant les détails sur la partie droite.



 Acceptez après avoir donné l'autorisation à Microsoft


 

Renseignez l'administrateur principal ainsi que l'administrateur secondaire puis cliquez sur "Suivant"




La configuration de Windows Autopatch est initié et cliquez sur "Continuer" lorsque cela vous est possible


Une fois activé, le service et la configuration sera disponible dans la partie "Devices".

 


Nativement aucun poste de travail n'est géré via ce service. Il est nécessaire d'ajouter les appareils manuellement au groupe Azure Active Directory Windows Autopatch Device Registration pour qu'ils le soient.

C'est le prérequis numéro 1 pour déclencher l'installation du client sur le(s) poste(s) de travail. 



Une fois ajouté, il faut lancer le scan du groupe depuis la rubrique Windows Autopatch/Devices en cliquant sur Discover devices

Par défaut, Windows Autopatch exécute automatiquement la fonction de découverte des appareils toutes les heures.

 


 


Une fois la synchronisation terminée, vous pourrez visualiser vos postes de travails dans les 3 onglets existant:

  • Ready : Appareils correctement inscrits auprès du service Windows Autopatch
  • Not Ready : Appareils qui n'ont pas réussi une ou plusieurs vérifications post-inscription. Ils sont inscrits mais ne sont pas prêt à être gérer par le service
  • Not registered : Appareils qui n'ont pas réussi une ou plusieurs vérifications préalable à l'inscription

 Exemple de poste de travail en statut "Not registered "



Vous trouverez ci-dessous les prérequis nécessaire à la bonne inscription des appareils au service Autopatch:

  • Windows 10 (1809 ou supérieur)/11 Éditions Enterprise ou Professional (architecture x64 exclusivement),
  • Etre Hybrid Azure AD-Joined ou Azure AD-Joined (les appareils personnels ne sont pas pris en charge),
  • Géré par Microsoft Intune:
    • Déjà inscrit dans Microsoft Intune et/ou Configuration Manager en cogestion.
      • Basculer les charges de travail de cogestion Microsoft Configuration Manager suivantes vers Microsoft Intune (définie sur Pilote Intune ou Intune) :
        • Stratégies de mises à jour Windows,
        • Configuration d’appareil,
        • Office Clic to Run,
  • Dernière enregistrement de l’appareil effectué au cours des 28 derniers jours,
  • Les appareils doivent avoir un numéro de série, un modèle et un fabricant.

 



Il existe 4 anneaux de déploiement par défaut :

Anneaux de déploiement

Description

Test

Le nombre recommandé d’appareils dans cet anneau, en fonction de la taille de votre environnement, est le suivant :

  • 0 à 500 appareils : un appareil minimum.
  • 500 à 5 000 appareils : au moins cinq appareils.
  • Plus de 5 000 appareils : minimum 50 appareils.

Les appareils de ce groupe sont destinés à vos administrateurs informatiques et testeurs, car les modifications sont publiées ici en premier.

First

Le premier anneau est le premier groupe d'appareils de production à recevoir une modification.

Fast

L’anneau Fast ou rapide est le deuxième groupe d'appareils de production à recevoir des modifications.

Broad

L’anneau Broad ou large est le dernier groupe d'appareils à recevoir des déploiements de mises à jour logicielles.

La répartition est faite de manière automatique en fonction du nombre d'appareil géré. Seul le groupe Test reste vide suite au processus d'inscription.

 Voici la réparation automatique:

  • Si le nombre d'appareil géré existant sur le service Windows Autopatch est inférieur ou égal à 200, l’affectation de l’anneau de déploiement est First (5 %), Fast (15 %) et les autres appareils sont dirigés vers l’anneau Broad (80 %).
  • Si le nombre d'appareil géré existant sur le service Windows Autopatch est supérieur à 200, l’attribution de l’anneau de déploiement sera First (1 %) et Fast (9 %) et les autres appareils seront dirigés vers l’anneau Broad (90 %).

Par ailleurs, vous avez bien évidemment la possibilité de faire vos propres groupes en modifiant le groupe d'attribution depuis la rubrique Windows Autopatch/Devices.

Sélectionnez le(s) device(s) et dans le menu "Devices actions", sélectionnez "Assign device group"

 



Dans la liste déroulante qui apparait, sélectionnez l'anneau souhaitée et valider le changement.

 


Le statut du groupe passera alors en statut "Pending" et il sera nécessaire de patienter quelques temps pour visualiser le changement

 

 


Ce changement se traduit par un déplacement de l'appareil dans le groupe lié à l'anneau que vous avez sélectionné.

 

Anneau de déploiement

Groupe Azure AD

Test

Modern Workplace Devices-Windows Autopatch-Test

First

Modern Workplace Devices-Windows Autopatch-First

Fast

Modern Workplace Devices-Windows Autopatch-Fast

Broad

Modern Workplace Devices-Windows Autopatch-Broad

/!\ Avertissement

Le déplacement d’appareils entre des anneaux de déploiement via la modification directe de l’appartenance au groupe Azure AD n’est pas pris en charge et peut entraîner des conflits de configuration involontaires au sein du service Windows Autopatch.


  • Mises à jours de qualités

Les anneaux de déploiement sont automatiquement implémenté dans la rubrique "Update rings for Windows 10 and later"

Chaque anneau est bien assigné à chacun des groupes Azure AD vu précédemment.

 


Vous trouverez ci-dessous le délai avant l'installation des mises à jours de sécurité en fonction de l'anneau.


Ring

Quality deferral

Test

0 days

First

1 days

Fast

6 days

Broad

9 days

Pour connaitre le comportement global de chaque anneau, vous pouvez visualiser directement la configuration depuis Intune.

Voici la configuration pour l'anneau Fast par exemple :

 



  • Mises à jours de fonctionnalités Windows

Pour la partie fonctionnalités, c'est le même principe que la partie qualités avec l'implémentation automatique des différents anneaux déploiement.

 



Vous trouverez ci-dessous le délai avant l'installation en fonction des l'anneaux :


Ring

Timeline

Test

Release start

First

Release start + 30 days

Fast

Release start + 60 days

Broad

Release start + 90 days

 

  • Mises à jours Office

Afin de pouvoir profiter du service Windows Autopatch avec les produits 365, il faut configurer la canal de mises à jours Monthly Enterprise Channel sur vos postes de travails.

Pour réaliser cette configuration, vous avez à minima 3 possibilités:

  • Configuration dans le package d'installation Microsoft 365 Apps for Enterprise

 


  • Création d'une device configuration de type Administrative templates

  


  • Création d'une device configuration avec les Settings Catalog



Reporting

Coté reporting, vous aurez dans la section "Reports", une rubrique spécifique à Windows Autopatch qui vous donnera les détails sur l'installation des mises à jour de qualité mais vos précédents rapports concernant le déploiement des mises à jours seront toujours utilisables et fonctionnels.



Merci de votre attention tout au long de cet article dédié a Windows Autopatch.