Compartilhar via

Registar dispositivos com grupos de Bloqueio Automático

Importante

Se não estiver familiarizado com o Envio Automático, poderá demorar até 48 horas para que os dispositivos apareçam como Registados no relatório de associação a grupos de Correspondência Automática. Durante este período de 48 horas, os dispositivos são submetidos aos processos de inclusão necessários antes de aparecerem como registados

Um grupo de Bloqueio Automático é um contentor lógico ou unidade que agrupa vários grupos de Microsoft Entra e políticas de atualização de software. Para obter mais informações, consulte Grupos de Bloqueio Automático do Windows.

Quando cria um grupo de Bloqueio Automático ou edita um grupo de Bloqueio Automático, os grupos de Microsoft Entra baseados no dispositivo que utiliza são analisados de forma contínua para ver se é necessário adicionar novos dispositivos ao grupo Despachimento Automático.

Diagrama de fluxo de trabalho de registo de dispositivos detalhado

Veja o seguinte diagrama de fluxo de trabalho detalhado. O diagrama abrange o processo de registo do dispositivo de Correspondência Automática do Windows:

Diagrama do fluxo de trabalho de registo de dispositivos.

Etapa Descrição
Passo 1: Atribuir Grupos Entra O administrador de TI identifica a Microsoft Entra grupo que pretende atribuir quando cria um grupo de Bloqueio Automático ou edita um grupo de Bloqueio Automático.
Passo 2: Detetar dispositivos A função Detetar Dispositivos de Deteção Automática do Windows deteta dispositivos (hora a hora) que foram adicionados anteriormente pelo administrador de TI de Microsoft Entra grupos utilizados com grupos de Bloqueio Automático no passo 1. O ID do dispositivo Microsoft Entra é utilizado pelo Windows Autopatch para consultar atributos de dispositivos no Microsoft Intune e Microsoft Entra ID ao registar dispositivos no respetivo serviço.
  1. Assim que os dispositivos forem detetados a partir do grupo Microsoft Entra, a mesma função recolhe atributos adicionais do dispositivo e guarda-os na memória durante a operação de deteção. Os seguintes atributos de dispositivo são recolhidos a partir de Microsoft Entra ID neste passo:
    1. AzureADDeviceID
    2. OperatingSystem
    3. DisplayName (Nome do dispositivo)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. Neste mesmo passo, a função Detetar automaticamente dispositivos do Windows chama outra função, o pré-requisito do dispositivo marcar função. A função de marcar de pré-requisitos do dispositivo avalia os pré-requisitos ao nível do dispositivo baseados em software para cumprir os requisitos de preparação do dispositivo com o Windows Autopatch antes do registo.
Passo 3: Verificar os pré-requisitos A função de pré-requisito do Windows Autopatch faz uma chamada de API do Graph do Intune para validar sequencialmente os atributos de preparação do dispositivo necessários para o processo de registo. Para obter informações detalhadas, veja a secção Diagrama de pré-requisitos detalhados marcar fluxo de trabalho. O serviço verifica os seguintes atributos de preparação para dispositivos e/ou pré-requisitos:
  1. Se o dispositivo for gerido pelo Intune ou não.
    1. O Windows Autopatch procura ver se o ID do dispositivo Microsoft Entra tem um ID de dispositivo do Intune associado.
      1. Se sim, significa que este dispositivo está inscrito no Intune.
      2. Caso contrário, significa que o dispositivo não está inscrito no Intune, pelo que não pode ser gerido pelo serviço de Bloqueio Automático do Windows.
    2. Se o dispositivo não for gerido pelo Intune, o serviço Windows Autopatch não conseguirá recolher atributos do dispositivo, como a versão do sistema operativo, a data de inscrição do Intune, o nome do dispositivo e outros atributos. Quando isto acontece, o serviço Despatch do Windows utiliza os atributos do dispositivo Microsoft Entra recolhidos e guardados na respetiva memória no passo 3a.
      1. Assim que tiver os atributos do dispositivo recolhidos do Microsoft Entra ID no passo 3a, o dispositivo é sinalizado com o pré-requisito falhado status e a status de preparação de Bloqueio Automático do dispositivo aparece como Não registado no relatório de associação de grupos de Correção Automática. O administrador de TI pode rever os motivos pelos quais o dispositivo não foi registado no Windows Autopatch. O administrador de TI remedia estes dispositivos. Neste caso, o administrador de TI deve marcar a razão pela qual o dispositivo não foi inscrito no Intune.
      2. Um motivo comum é quando o ID do dispositivo Microsoft Entra está obsoleto, já não tem um ID de dispositivo do Intune associado ao mesmo. Para remediar, limpo quaisquer registos de dispositivos obsoletos Microsoft Entra do seu inquilino.
    3. Se o dispositivo for gerido pelo Intune, a função de pré-requisitos do Windows Autopatch marcar continua para a próxima marcar de pré-requisitos, que avalia se o dispositivo deu entrada no Intune nos últimos 28 dias.
  2. Se o dispositivo for ou não um dispositivo Windows.
    1. O Windows Autopatch procura ver se o dispositivo é um dispositivo windows e pertencente à empresa.
      1. Se sim, significa que este dispositivo pode ser registado no serviço porque é um dispositivo pertencente à empresa do Windows.
      2. Caso contrário, significa que o dispositivo não é windows ou é um dispositivo Windows, mas é um dispositivo pessoal.
  3. O Windows Autopatch verifica a família de SKU do Windows. O SKU tem de ser:
    1. Enterprise
    2. Pro
    3. Estação de Trabalho Pro
    4. Education
    5. Pro Education
  4. Se o dispositivo cumprir os requisitos do sistema operativo, o Windows Autopatch verifica se o dispositivo é:
    1. Apenas gerido pelo Intune.
      1. Se o dispositivo só for gerido pelo Intune, o dispositivo será marcado como Todos os pré-requisitos transmitidos.
    2. Cogerido pelo Configuration Manager e pelo Intune.
      1. Se o dispositivo for cogerido pelo Configuration Manager e pelo Intune, é avaliado um pré-requisito adicional marcar para determinar se o dispositivo satisfaz as cargas de trabalho preparadas para a cogestão exigidas pelo Windows Autopatch para gerir dispositivos num estado cogerido. As cargas de trabalho de cogestão necessárias avaliadas neste passo são:
        1. Políticas de Atualizações do Windows
        2. Configuração do Dispositivo
        3. Clique para Executar no Office
      2. Se o Envio Automático do Windows determinar que uma destas cargas de trabalho não está ativada no dispositivo, o serviço marca o dispositivo como O Pré-requisito falhou e a preparação para o Envio Automático do dispositivo status aparece como Não registado no relatório de associação de grupos de Bloqueio Automático.
Passo 4: Calcular a distribuição dinâmica e atribuir dispositivos Microsoft Entra Grupos, que são diretamente atribuídos a uma cadência de implementação, adiciona esses dispositivos ao Grupo de Microsoft Entra que a Correção Automática cria para essa cadência de implementação.

Se optar por utilizar a distribuição dinâmica, o serviço Despatch automático distribui os dispositivos que selecionou. O serviço utiliza uma percentagem dos dispositivos no conjunto dinâmico e adiciona-os aos grupos de Microsoft Entra relevantes. Os dispositivos que são membros de Microsoft Entra grupos atribuídos diretamente não são incluídos no conjunto dinâmico.

Se tiver menos de 100 dispositivos num grupo de Bloqueio Automático, a distribuição poderá não corresponder à sua seleção.
Passo 5: Registo pós-dispositivo Se tiver implementado o Mediador de Cliente do Windows Autopatch, ocorrem ações de registo pós-dispositivo. Para obter mais informações, veja Verificações de preparação do registo pós-dispositivo e Mediador de Cliente do Windows Autopatch.
Passo 6: Rever status de registo de dispositivos Os administradores de TI analisam a status de preparação para o Envio Automático do dispositivo. Os dispositivos estão Registados ou Não registados no relatório de associação a grupos de Bloqueio Automático.
  1. Se o dispositivo tiver sido registado com êxito, a status de preparação para o Envio Automático do dispositivo é apresentada como Registada no relatório de associação de grupos de Correspondência Automática.
  2. Caso contrário, a status de preparação para o Envio Automático do dispositivo é apresentada como Não registada no relatório de associação de grupos de Bloqueio Automático.
Passo 7: Fim do fluxo de trabalho de registo Este é o fim do fluxo de trabalho de registo de dispositivos do Windows Autopatch.

Diagrama de pré-requisitos marcar fluxo de trabalho detalhado

Conforme descrito no passo 3 do diagrama de fluxo de trabalho de registo de dispositivos detalhado anterior, o diagrama seguinte é uma representação visual da construção de pré-requisitos do processo de registo de dispositivos de Bloqueio Automático do Windows. As verificações de pré-requisitos são executadas sequencialmente.

Diagrama do pré-requisito marcar fluxo de trabalho.

Relatório de associação de grupos de correspondência automática

O Windows Autopatch tem um relatório de associação de grupos de Correspondência Automática fornece as seguintes informações:

  • Associação ao grupo de bloqueio automático (apenas se o dispositivo for adicionado a um grupo de Bloqueio Automático)
  • Atualizar status
  • Políticas que visam cada dispositivo

Observação

Pode configurar funções personalizadas para aceder ao relatório de associação a grupos de Correspondência Automática, incluindo as várias ações do dispositivo.

Para Atribuir a cadência , o utilizador necessita de um mínimo de permissões de Grupo/Leitura automática do Windows. Utilize o menu pendente para selecionar a cadência de implementação para onde mover os dispositivos. O menu apenas apresentará anéis de implementação no âmbito dos utilizadores.

Para ver as propriedades do dispositivo, a permissão mínima necessária é Gerir Dispositivos/Ler.

Os administradores de âmbito só podem mover dispositivos entre anéis de implementação no mesmo grupo de Bloqueio Automático, com as mesmas etiquetas de âmbito.

Para obter mais informações, consulte Controlo de acesso baseado em funções do Windows Autopatch.

Ver o relatório de associação a grupos de Correspondência Automática

Para ver o relatório de associação de grupos de Bloqueio Automático:

  1. No centro de administração do Intune, selecioneDispositivos no painel esquerdo.
  2. Em Gerir atualizações, selecione Atualizações do Windows.
  3. Selecione o separador Monitor e, em seguida, selecione Dispositivos de envio automático.

Assim que um dispositivo é adicionado a um grupo de Bloqueio Automático, é apresentada uma status de preparação. Cada status de preparação ajuda-o a determinar se existem ações a realizar ou se o dispositivo está pronto para o serviço.

Estados de preparação

Preparação para o envio automático status no relatório de associação de grupos de Bloqueio Automático Descrição do subestado
Registado
  • Pronto: os dispositivos passaram com êxito todas as verificações de pré-requisitos e foram registados com êxito no Windows Autopatch. Além disso, os dispositivos Ready passaram com êxito todas as verificações de preparação do registo pós-dispositivo e não têm quaisquer alertas ativos direcionados para os mesmos.
  • Não pronto: estes dispositivos foram registados com êxito no Windows Autopatch. No entanto, estes dispositivos:
    • Falha ao passar uma ou mais verificações de preparação do registo pós-dispositivo.
    • Não estão prontos para ter uma ou mais cargas de trabalho de atualização de software geridas pelo serviço.
    • O dispositivo não comunicou com o Microsoft Intune nos últimos 28 dias
    • O dispositivo tem um conflito com as políticas ou com a associação ao grupo de Bloqueio Automático
Não registado
  • Conflito de grupo de correspondência automática: o dispositivo tem um conflito com a associação ao grupo de Bloqueio Automático
  • Falha nos pré-requisitos: o dispositivo não passou numa ou mais verificações de preparação do registo pós-dispositivo.
  • Excluídos: os dispositivos com este status são removidos apenas do serviço Despatch do Windows. A Microsoft pressupõe que gere estes dispositivos de alguma forma.

Cenários suportados ao aninhar outros grupos de Microsoft Entra

O Windows Autopatch também suporta os seguintes Microsoft Entra cenários de grupo aninhados:

Microsoft Entra grupos sincronizados a partir de:

Bloqueio Automático do Windows em Cargas de Trabalho Windows 365 Enterprise

Windows 365 Enterprise dá aos administradores de TI a opção de registar dispositivos com o serviço Windows Autopatch como parte da criação da política de aprovisionamento Windows 365. Esta opção proporciona uma experiência totalmente integrada para administradores e utilizadores para garantir que os seus PCs na Cloud estão sempre atualizados. Quando os administradores de TI decidem gerir os respetivos PCs na Cloud Windows 365 com o Windows Autopatch, o processo de criação de políticas de aprovisionamento do Windows 365 chama as APIs de registo de dispositivos do Windows Autopatch para registar dispositivos em nome do administrador de TI.

Para registar novos dispositivos PC na nuvem do Windows 365 com o Windows Autopatch na Política de Aprovisionamento do Windows 365:

  1. Aceda ao centro de administração do Intune.
  2. No painel esquerdo, selecione Dispositivos.
  3. Navegue para Aprovisionamento> Windows 365.
  4. Selecione Políticas > de aprovisionamento Criar política.
  5. Forneça um nome de política e selecione Tipo de Associação. Para obter mais informações, veja Tipos de associação de dispositivos.
  6. Selecione Avançar.
  7. Selecione a imagem pretendida e selecione Seguinte.
  8. Na secção Serviços geridos da Microsoft , certifique-se de que a opção Bloqueio Automático do Windows está selecionada.
  9. Atribua a política em conformidade e selecione Seguinte.
  10. Selecione Criar. Agora, os seus PCs Windows 365 Enterprise Cloud recentemente aprovisionados são automaticamente inscritos e geridos pelo Windows Autopatch.

Para obter mais informações, veja Criar uma Política de Aprovisionamento Windows 365.

Bloqueio automático do Windows nas cargas de trabalho do Azure Virtual Desktop

O Windows Autopatch está disponível para as cargas de trabalho do Azure Virtual Desktop. Os administradores empresariais podem aprovisionar as cargas de trabalho do Azure Virtual Desktop para serem geridas pelo Windows Autopatch com o processo de registo de dispositivos existente.

O Windows Autopatch fornece o mesmo âmbito de serviço com máquinas virtuais que faz com dispositivos físicos. No entanto, o Envio Automático do Windows adia qualquer suporte específico do Azure Virtual Desktop para Suporte do Azure, salvo especificação em contrário.

Pré-requisitos

O Envio Automático do Windows para o Azure Virtual Desktop segue os mesmos pré-requisitos que o Windows Autopatch e os pré-requisitos do Azure Virtual Desktop.

O serviço suporta:

  • Máquinas virtuais persistentes pessoais

As seguintes funcionalidades do Azure Virtual Desktop não são suportadas:

  • Anfitriões de várias sessões
  • Máquinas virtuais não persistentes agrupadas
  • Transmissão em fluxo de aplicações remotas

Implementar o Envio Automático no Azure Virtual Desktop

As cargas de trabalho do Azure Virtual Desktop podem ser registadas no Windows Autopatch através do mesmo método que os seus dispositivos físicos.

Para facilitar a implementação, recomendamos aninhar um grupo de dispositivos dinâmico no seu grupo de registo de dispositivos de Bloqueio Automático. O grupo de dispositivos dinâmicos teria como destino o prefixo Nome definido no anfitrião da sessão, mas excluiria todos os Anfitriões de Sessões Com Várias Sessões. Por exemplo:

Nome do grupo Nome da associação dinâmica
Bloqueio Automático do Windows - Anfitriões de Sessões do Conjunto de Anfitriões
  • (device.displayName -contains "AP")
  • (device.deviceOSType -ne "Windows 10 Enterprise for Virtual Desktops")

Limpar o estado duplo de Microsoft Entra dispositivos associados híbridos e registados no Azure no inquilino do Microsoft Entra

Um estado duplo Microsoft Entra ocorre quando um dispositivo está inicialmente ligado a Microsoft Entra ID como um dispositivo registado Microsoft Entra. No entanto, quando ativa Microsoft Entra associação híbrida, o mesmo dispositivo é ligado duas vezes ao ID de Microsoft Entra, mas como um dispositivo Microsoft Entra Híbrido.

No estado duplo, acaba por ter dois registos de dispositivos Microsoft Entra com diferentes tipos de associação para o mesmo dispositivo. Neste caso, o registo do dispositivo Microsoft Entra Híbrido tem precedência sobre o Microsoft Entra registo de dispositivo registado para qualquer tipo de autenticação no ID de Microsoft Entra, o que torna o registo do dispositivo registado Microsoft Entra obsoleto.

Recomenda-se que detete e limpo dispositivos obsoletos no Microsoft Entra ID antes de registar dispositivos com o Windows Autopatch. Veja Procedimentos: Gerir dispositivos obsoletos no ID do Microsoft Entra.

Aviso

Se não limpo dispositivos obsoletos no Microsoft Entra ID antes de registar dispositivos com o Windows Autopatch, poderá acabar por ver os dispositivos a não cumprirem o Intune ou o Cloud-Attached (o dispositivo tem de ser gerido pelo Intune ou Cogerido) marcar no separador Não pronto porque espera que estes Microsoft Entra obsoletos os dispositivos já não estão inscritos no serviço do Intune.

O suporte está disponível através de Windows 365 ou da equipa de Engenharia do Serviço de Reparação Automática do Windows para incidentes relacionados com o registo de dispositivos.

Cenários de ciclo de vida da gestão de dispositivos

Existem mais alguns cenários de ciclo de vida de gestão de dispositivos a considerar ao planear registar dispositivos num grupo de Bloqueio Automático.

Atualização do dispositivo

Se um dispositivo tiver sido registado anteriormente num grupo de Correção Automática, mas precisar de ser recriado, tem de executar um dos processos de aprovisionamento de dispositivos disponíveis no Microsoft Intune para recriar a imagem do dispositivo.

O dispositivo é novamente associado ao ID de Microsoft Entra (híbrido ou apenas Microsoft Entra). Em seguida, volte a inscrever-se também no Intune. Não é necessária mais nenhuma ação por parte do utilizador ou do serviço de Bloqueio Automático do Windows, porque o registo de ID de dispositivo Microsoft Entra desse dispositivo permanece o mesmo.

Reparação do dispositivo e substituição de hardware

Se precisar de reparar um dispositivo que foi registado anteriormente no serviço Despatch do Windows, ao substituir a placa principal, as placas de interface de rede (NIC) não móveis ou o disco rígido, tem de voltar a registar o dispositivo no serviço de Bloqueio Automático do Windows, porque é gerado um novo ID de hardware quando existem grandes alterações de hardware, tais como:

  • SMBIOS UUID (placa principal)
  • Endereço MAC (NICs não móveis)
  • Informações do fabricante, modelo e série do disco rígido do SO

Quando ocorre uma destas alterações de hardware, Microsoft Entra ID cria um novo registo de ID de dispositivo para esse dispositivo, mesmo que seja tecnicamente o mesmo dispositivo.

Importante

Se for gerado um novo ID de dispositivo Microsoft Entra para um dispositivo que tenha sido registado anteriormente no serviço Despatch automático do Windows, mesmo que seja tecnicamente o mesmo dispositivo, o novo ID do dispositivo Microsoft Entra tem de ser adicionado através da associação direta do dispositivo ou através de Microsoft Entra grupo dinâmico/atribuído aninhado na experiência de grupo de Bloqueio Automático do Windows. Este processo garante que o ID de dispositivo Microsoft Entra recentemente gerado está registado no Windows Autopatch e que o dispositivo continua a ter as respetivas atualizações de software geridas pelo serviço.

  • Last updated on