Le guide complet de mise à niveau de Windows 10 pour les entreprises de toute taille

Que vous soyez responsable d'un seul PC Windows 10 ou de plusieurs milliers, les défis liés à la gestion des mises à jour sont les mêmes. Votre objectif est d'installer rapidement les mises à jour de sécurité, de travailler plus intelligemment avec les mises à jour de fonctionnalités et d'éviter les pertes de productivité dues à des redémarrages inattendus.

Votre entreprise dispose-t-elle d'un plan complet pour gérer les mises à jour de Windows 10 ? Il est tentant de considérer ces téléchargements comme des nuisances périodiques auxquelles il faut remédier dès leur apparition. Cependant, une approche réactive des mises à jour est une source de frustration et de baisse de productivité.

Au lieu de cela, vous pouvez créer une stratégie de gestion pour tester et mettre en œuvre les mises à jour afin que le processus devienne aussi routinier que l'envoi de factures ou la réalisation des soldes comptables mensuels.

Cet article fournit toutes les informations dont vous avez besoin pour comprendre comment Microsoft diffuse les mises à jour sur les appareils exécutant Windows 10, ainsi que des détails sur les outils et techniques que vous pouvez utiliser pour gérer intelligemment ces mises à jour sur les appareils exécutant Windows 10 Professionnel, Entreprise ou Éducation. (Windows 10 Famille ne prend en charge qu'une gestion très basique des mises à jour et ne convient pas à une utilisation dans un environnement professionnel.)

Mais avant de vous lancer dans l’un de ces outils, vous aurez besoin d’un plan.

Que dit votre politique de mise à jour ?

L'objectif des règles de mise à niveau est de rendre le processus de mise à niveau prévisible, de définir des procédures pour alerter les utilisateurs afin qu'ils puissent planifier leur travail en conséquence et éviter les temps d'arrêt imprévus. Les règles incluent également des protocoles pour gérer les problèmes inattendus, notamment l'annulation des mises à jour infructueuses.

Des règles de mise à jour raisonnables allouent un certain temps pour travailler sur les mises à jour chaque mois. Dans une petite organisation, une fenêtre spéciale dans le calendrier de maintenance de chaque PC peut servir à cet effet. Dans les grandes organisations, il est peu probable que les solutions universelles fonctionnent, et elles devront diviser l'ensemble du parc de PC en groupes de mises à jour (Microsoft les appelle « anneaux »), chacun ayant sa propre stratégie de mise à jour.

Les règles doivent décrire plusieurs types différents de mises à jour. Le type le plus compréhensible est celui des mises à jour cumulatives mensuelles de sécurité et de fiabilité, qui sont publiées le deuxième mardi de chaque mois (« Patch Tuesday »). Cette version inclut généralement l'outil de suppression de logiciels malveillants Windows, mais peut également inclure l'un des types de mises à jour suivants :

• Mises à jour de sécurité pour le .NET Framework
• Mises à jour de sécurité pour Adobe Flash Player
• Mises à jour de la pile de maintenance (qui doivent être installées dès le départ).

Vous pouvez retarder l'installation de l'une de ces mises à jour jusqu'à 30 jours.

Selon le fabricant du PC, les pilotes matériels et le micrologiciel peuvent également être distribués via le canal Windows Update. Vous pouvez refuser cela ou les gérer selon les mêmes schémas que les autres mises à jour.

Enfin, les mises à jour des fonctionnalités sont également distribuées via Windows Update. Ces packages majeurs mettent à jour Windows 10 vers la dernière version et sont publiés tous les six mois pour toutes les éditions de Windows 10, à l'exception du canal de maintenance à long terme (LTSC). Vous pouvez différer l'installation des mises à jour de fonctionnalités à l'aide de Windows Update for Business jusqu'à 365 jours ; Pour les éditions Enterprise et Education, l'installation peut être encore différée jusqu'à 30 mois.

En tenant compte de tout cela, vous pouvez commencer à élaborer des règles de mise à jour, qui doivent inclure les éléments suivants pour chacun des PC desservis :

• Période d'installation pour les mises à jour mensuelles. Par défaut, Windows 10 télécharge et installe les mises à jour mensuelles dans les 24 heures suivant leur sortie le Patch Tuesday. Vous pouvez retarder le téléchargement de ces mises à jour pour tout ou partie des PC de votre entreprise afin d'avoir le temps de vérifier la compatibilité ; ce délai permet également d'éviter des problèmes dans le cas où Microsoft découvre un problème avec la mise à jour après sa sortie, comme cela s'est produit à plusieurs reprises avec Windows 10.
• Période d'installation pour les mises à jour semestrielles des composants. Par défaut, les mises à jour des fonctionnalités sont téléchargées et installées lorsque Microsoft estime qu'elles sont prêtes. Sur un appareil que Microsoft a jugé éligible pour une mise à jour, les mises à jour des fonctionnalités peuvent prendre quelques jours pour arriver après leur publication. Sur d'autres appareils, les mises à jour de fonctionnalités peuvent mettre plusieurs mois à apparaître, ou elles peuvent être complètement bloquées en raison de problèmes de compatibilité. Vous pouvez définir un délai pour certains ou tous les PC de votre organisation afin de vous donner le temps d'examiner une nouvelle version. À partir de la version 1903, les utilisateurs de PC se verront proposer des mises à jour des composants, mais seuls les utilisateurs eux-mêmes donneront les commandes pour les télécharger et les installer.
• Quand autoriser le redémarrage de votre PC pour terminer l'installation des mises à jour : La plupart des mises à jour nécessitent un redémarrage pour terminer l'installation. Ce redémarrage intervient en dehors de la « période d'activité » de 8h à 17h ; Ce paramètre peut être modifié à volonté, prolongeant la durée de l'intervalle jusqu'à 18 heures. Les outils de gestion vous permettent de planifier des heures spécifiques pour le téléchargement et l'installation des mises à jour.
• Comment informer les utilisateurs des mises à jour et des redémarrages : Pour éviter les mauvaises surprises, Windows 10 informe les utilisateurs lorsque des mises à jour sont disponibles. Le contrôle de ces notifications dans les paramètres de Windows 10 est limité. Beaucoup plus de paramètres sont disponibles dans les « stratégies de groupe ».
• Parfois, Microsoft publie des mises à jour de sécurité critiques en dehors de son calendrier normal du Patch Tuesday. Cela est généralement nécessaire pour corriger les failles de sécurité exploitées de manière malveillante par des tiers. Dois-je accélérer l’application de ces mises à jour ou attendre la prochaine fenêtre du calendrier ?
• Gérer les mises à jour ayant échoué : si une mise à jour ne s'installe pas correctement ou pose des problèmes, que ferez-vous à ce sujet ?

Une fois ces éléments identifiés, il est temps de choisir les outils pour gérer les mises à jour.

Gestion des mises à jour manuelles

Dans les très petites entreprises, y compris les magasins ne comptant qu’un seul employé, il est assez simple de configurer manuellement les mises à jour Windows. Paramètres > Mise à jour et sécurité > Windows Update. Là, vous pouvez ajuster deux groupes de paramètres.

Tout d'abord, sélectionnez « Modifier la période d'activité » et ajustez les paramètres en fonction de vos habitudes de travail. Si vous travaillez généralement le soir, vous pouvez éviter les temps d'arrêt en configurant ces valeurs de 18 heures à minuit, provoquant des redémarrages programmés le matin.

Sélectionnez ensuite « Options avancées » et le paramètre « Choisir quand installer les mises à jour », en le définissant conformément à vos règles :

• Sélectionnez le nombre de jours pour retarder l'installation des mises à jour des fonctionnalités. La valeur maximale est de 365.
• Choisissez de combien de jours retarder l'installation des mises à jour de qualité, y compris les mises à jour de sécurité cumulatives publiées les mardis des correctifs. La valeur maximale est de 30 jours.

D'autres paramètres sur cette page contrôlent si les notifications de redémarrage sont affichées (activées par défaut) et si les mises à jour peuvent être téléchargées sur des connexions sensibles au trafic (désactivées par défaut).

Avant Windows 10 version 1903, il existait également un paramètre permettant de sélectionner un canal - semestriel ou semestriel cible. Il a été supprimé dans la version 1903 et dans les anciennes versions, cela ne fonctionne tout simplement pas.

Bien entendu, le but de retarder les mises à jour n’est pas simplement de se soustraire au processus et de surprendre ensuite les utilisateurs un peu plus tard. Si vous planifiez un retard des mises à jour de qualité de 15 jours, par exemple, vous devez utiliser ce temps pour vérifier la compatibilité des mises à jour et planifier une fenêtre de maintenance à un moment opportun avant la fin de cette période.

Gestion des mises à jour via les stratégies de groupe

Tous les paramètres manuels mentionnés peuvent également être appliqués via des stratégies de groupe, et dans la liste complète des stratégies associées aux mises à jour de Windows 10, il existe beaucoup plus de paramètres que ceux disponibles dans les paramètres manuels classiques.

Ils peuvent être appliqués à des PC individuels à l'aide de l'éditeur de stratégie de groupe local Gpedit.msc ou à l'aide de scripts. Mais le plus souvent, ils sont utilisés dans un domaine Windows avec Active Directory, où des combinaisons de politiques peuvent être gérées sur des groupes de PC.

Un nombre important de stratégies sont utilisées exclusivement dans Windows 10. Les plus importantes sont liées aux « Mises à jour Windows pour les entreprises », situées dans Configuration ordinateur > Modèles d'administration > Composants Windows > Windows Update > Windows Update pour les entreprises.

• Choisissez quand recevoir les versions préliminaires - canal et délais pour les mises à jour des fonctionnalités.
• Choisissez quand recevoir des mises à jour de qualité – retardez les mises à jour cumulatives mensuelles et autres mises à jour liées à la sécurité.
• Gérer les versions d'aperçu : lorsqu'un utilisateur peut inscrire une machine dans le programme Windows Insider et définir un anneau Insider.

Un groupe de stratégies supplémentaire se trouve dans Configuration ordinateur > Modèles d'administration > Composants Windows > Windows Update, où vous pouvez :

• Supprimez l'accès à la fonctionnalité de pause des mises à jour, qui empêchera les utilisateurs d'interférer avec les installations en les retardant de 35 jours.
• Supprimez l’accès à tous les paramètres de mise à jour.
• Autoriser le téléchargement automatique des mises à jour sur les connexions en fonction du trafic.
• Ne téléchargez pas avec les mises à jour des pilotes.

Les paramètres suivants concernent uniquement Windows 10 et concernent les redémarrages et les notifications :

• Désactivez le redémarrage automatique pour les mises à jour pendant la période active.
• Spécifiez la plage de périodes actives pour le redémarrage automatique.
• Précisez le délai de redémarrage automatique pour installer les mises à jour (de 2 à 14 jours).
• Configurez des notifications pour vous rappeler du redémarrage automatique : augmentez le temps pendant lequel l'utilisateur en est averti (de 15 à 240 minutes).
• Désactivez les notifications de redémarrage automatique pour installer les mises à jour.
• Configurez la notification de redémarrage automatique pour qu'elle ne disparaisse pas automatiquement après 25 secondes.
• Ne pas autoriser les stratégies de délai de mise à jour à déclencher des analyses Windows Update : cette stratégie empêche le PC de rechercher des mises à jour si un délai est attribué.
• Autorisez les utilisateurs à gérer les heures de redémarrage et à répéter les notifications.
• Configurez les notifications de mises à jour (apparition des notifications, de 4 à 24 heures) et les avertissements de redémarrage imminent (de 15 à 60 minutes).
• Mettez à jour la stratégie d'alimentation pour redémarrer la corbeille (un paramètre pour les systèmes éducatifs qui permet les mises à jour même lorsqu'ils sont alimentés par batterie).
• Afficher les paramètres de notification de mise à jour : vous permet de désactiver les notifications de mise à jour.

Les stratégies suivantes existent dans Windows 10 et dans certaines anciennes versions de Windows :

• Paramètres de mise à jour automatique : ce groupe de paramètres vous permet de sélectionner un calendrier de mise à jour hebdomadaire, bihebdomadaire ou mensuel, y compris le jour de la semaine et l'heure de téléchargement et d'installation automatiques des mises à jour.
• Spécifiez l'emplacement du service Microsoft Update sur l'intranet : Configurez un serveur Windows Server Update Services (WSUS) dans le domaine.
• Autoriser le client à rejoindre le groupe cible : les administrateurs peuvent utiliser les groupes de sécurité Active Directory pour définir les anneaux de déploiement WSUS.
• Ne vous connectez pas aux emplacements Windows Update sur Internet : empêchez les PC exécutant le serveur de mise à jour local de contacter des serveurs de mise à jour externes.
• Autorisez la gestion de l’alimentation de Windows Update à réveiller le système pour installer les mises à jour planifiées.
• Redémarrez toujours automatiquement le système à l’heure prévue.
• Ne redémarrez pas automatiquement si des utilisateurs sont en cours d'exécution sur le système.

Outils pour travailler dans les grandes organisations (Entreprise)

Les grandes organisations dotées d'une infrastructure réseau Windows peuvent contourner les serveurs de mise à jour Microsoft et déployer des mises à jour à partir d'un serveur local. Cela nécessite une attention accrue de la part du service informatique de l'entreprise, mais ajoute de la flexibilité à l'entreprise. Les deux options les plus populaires sont Windows Server Update Services (WSUS) et System Center Configuration Manager (SCCM).

Le serveur WSUS est plus simple. Il s'exécute dans le rôle de serveur Windows et fournit un stockage centralisé des mises à jour Windows dans une organisation. À l'aide de stratégies de groupe, un administrateur dirige un PC Windows 10 vers un serveur WSUS, qui sert de source unique de fichiers pour l'ensemble de l'organisation. Depuis sa console d'administration, vous pouvez approuver les mises à jour et choisir quand les installer sur des PC individuels ou des groupes de PC. Les PC peuvent être attribués manuellement à différents groupes, ou le ciblage côté client peut être utilisé pour déployer des mises à jour basées sur les groupes de sécurité Active Directory existants.

À mesure que les mises à jour cumulatives de Windows 10 augmentent à chaque nouvelle version, elles peuvent occuper une partie importante de votre bande passante. Les serveurs WSUS économisent du trafic en utilisant des fichiers d'installation express. Cela nécessite plus d'espace libre sur le serveur, mais réduit considérablement la taille des fichiers de mise à jour envoyés aux PC clients.

Sur les serveurs exécutant WSUS 4.0 et versions ultérieures, vous pouvez également gérer les mises à jour des fonctionnalités de Windows 10.

La deuxième option, System Center Configuration Manager, utilise Configuration Manager pour Windows, riche en fonctionnalités, en conjonction avec WSUS pour déployer des mises à jour de qualité et des mises à jour de fonctionnalités. Le tableau de bord permet aux administrateurs réseau de surveiller l'utilisation de Windows 10 sur l'ensemble de leur réseau et de créer des plans de maintenance par groupe comprenant des informations sur tous les PC qui approchent de la fin de leur cycle de support.

Si votre organisation a déjà installé Configuration Manager pour fonctionner avec des versions antérieures de Windows, l'ajout de la prise en charge de Windows 10 est assez simple.

Source: habr.com