Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Utilize o controlo de acesso baseado em funções no centro de administração do Microsoft Intune para gerir quem tem acesso aos recursos da sua organização e o que podem fazer com esses recursos.
Funções incorporadas
O Windows Autopatch permite que o controlo de acesso baseado em funções utilize o acesso com menos privilégios para distribuir e delegar a gestão de Windows Update no Microsoft Intune.
Importante
Para gerir com êxito a Correção Automática do Windows como uma função de privilégio inferior, o utilizador tem de ter permissões de Administração e permissões de Administrador de políticas e perfis.
As permissões definidas nas funções de administrador de Envio Automático do Windows ou leitor de Bloqueio Automático do Windows são utilizadas para gerir grupos de Bloqueio automático, pedidos de suporte, Mensagens de envio automático e relatórios de Bloqueio Automático.
Para gerir políticas de atualização e relatórios de Windows Update, é necessária a permissão configuração do dispositivo. Esta permissão está disponível em funções incorporadas, como as funções Política e Gestor de Perfis.
Funções de Gestor de Políticas e Perfis
As funções de Gestor de Políticas e Perfis incluem permissões de configuração de dispositivos para gerir políticas de Intune, incluindo as seguintes políticas de Atualização:
- Anéis de atualização
- Atualizações de qualidade
- Atualizações de recursos
- Atualizações do controlador
Administrador de Bloqueio Automático do Windows
A função Administrador de Bloqueio Automático do Windows gere todos os aspetos do Windows Autopatch:
- Grupos de correspondência automática
-
Relatórios de correspondência automática
- Atualização de qualidade e funcionalidades status e relatórios mais populares
- Pedidos de suporte e mensagens
Leitor de Bloqueio Automático do Windows
O Leitor de Bloqueio Automático do Windows pode ver os dados de Correspondência Automática do Windows disponíveis no Microsoft Intune, mas não pode fazer alterações.
Atualizar funções de política
Para gerir as políticas de atualização de qualidade do Windows, anéis de atualização, atualização de funcionalidades do Windows, atualização do controlador, Microsoft 365 Apps e Microsoft Edge, o utilizador tem de ter todas as permissões de Configuração do Dispositivo. A tabela seguinte é a lista completa de funções de gestão de atualizações:
| Intune função | Atualizar políticas |
|---|---|
| Gestor de Perfis do & de Políticas | Leitura/Escrita |
| Operador de Suporte Técnico | Leitura |
| Operador Só de Leitura | Leitura |
| Administrador de Bloqueio Automático | Sem permissão |
| Leitor de Bloqueio Automático | Sem permissão |
Para gerir com êxito a Correspondência Automática do Windows como uma função de privilégio inferior, o utilizador tem de ter permissões de Administração de Bloqueio Automático e as permissões de Administrador de Política e Perfil.
funções de Microsoft Entra
As seguintes funções Microsoft Entra podem aceder às funcionalidades do Windows Autopatch através do portal do Microsoft Intune.
| Microsoft Entra função | Todos os dados de Correspondência Automática do Windows | Execução Automática do Windows na Administração > de Inquilinos |
|---|---|---|
| Administrador global | Leitura/Escrita | Leitura/Escrita |
| Administrador de Serviços Intune | Leitura/Escrita | Leitura/Escrita |
| Leitor Global | Leitura | Leitura |
| Administrador de Suporte de Serviços | Sem permissão | Leitura Administração de Inquilinos/Bloqueio Automático do Windows/Tudo |
| Administração de segurança | Sem permissão | Leitura Administração de Inquilinos/Bloqueio Automático do Windows/Tudo |
| Leitor de Segurança | Sem permissão | Leitura Administração de Inquilinos/Bloqueio Automático do Windows/Tudo |
| Administrador de cobrança | Sem permissão | Leitura Administração de Inquilinos/Bloqueio Automático do Windows/Tudo |
| Administrador de Suporte Técnico | Sem permissão | Leitura Administração de Inquilinos/Bloqueio Automático do Windows/Tudo |
Funções personalizadas
Pode criar duas funções personalizadas que incluem as permissões necessárias para uma função de trabalho específica.
Para obter a gestão de atualizações abrangente, certifique-se de que os grupos atribuídos à função personalizada Despachimento Automático também são membros da função Gestor de Perfis de Política & ou uma função personalizada com permissões equivalentes.
Navegue paraFunções>de Administração de Inquilinos Criar a Função>personalizada> DoWindows Autopatch para criar uma função personalizada.
| Permissão | Descrição |
|---|---|
| Atribuições de Funções/Criar | Crie uma função de Bloqueio Automático para operações executadas nos recursos de Correspondência Automática. |
| Atribuições de Funções/Atualização | Função de atualização para a Correção Automática, em que as operações de Edição são executadas nos recursos de Correspondência Automática. |
| Atribuições de Funções/Eliminar | Elimine a função de Bloqueio Automático, em que as operações de eliminação são executadas nos recursos de Correspondência Automática. |
| Funções/Leitura | Ver permissões, definições de funções e atribuições de funções para a função de Correspondência Automática. As ações ou operações de visualização são executadas nos recursos de Correspondência Automática. |
| Reenpatch Groups/Read (Grupos de Bloqueio Automático/Leitura) | Leia Os grupos de Correspondência Automática e as respetivas propriedades. |
| Grupos de Bloqueio Automático/Criar | Crie grupos de Correspondência Automática, adicione atribuições de grupo e configure as definições de versão. |
| Reenpatch Groups/Editar Automaticamente | Edite grupos de Correspondência Automática, modifique as definições de versão e faça a gestão de atribuições de grupos. |
| Grupos de Bloqueio Automático/Eliminar | Eliminar grupos de Bloqueio Automático. |
| Relatórios/Leitura | Ler e exportar relatórios de atualização de funcionalidades e qualidade de Correspondência automática. |
| Relatórios/Dispositivos Detetados | Permite que a ação Relatório de dispositivos detete dispositivos. |
| Relatórios/Atribuição | Permite a atribuição de Cadência de dispositivos para grupos de Bloqueio automático. |
| Relatórios/ExcludeDevices | Execute a ação excluir dispositivos nos Relatórios de dispositivos. |
| Relatórios/RestoreExcludedDevices | Efetue a ação Restaurar nos Relatórios de dispositivos. |
| Pedidos de suporte/Leitura | Leia pedidos e respostas de suporte de Bloqueio Automático existentes. |
| Mensagens/Leitura | Leia as mensagens do Dashboard do Estado de Funcionamento do Serviço e da Correção Automática publicadas. |
Âmbitos
A Correção Automática do Windows suporta Intune etiquetas de âmbito e grupos de âmbito a serem utilizados para a gestão de atualizações distribuída. Utilize Microsoft Intune para criar e gerir etiquetas de âmbito.
- A Correção Automática do Windows suporta Intune âmbito para grupos de Correspondência Automática, atribuições de funções de bloqueio automático, políticas de atualização e relatórios.
- As mensagens de correspondência automática, o suporte e os contactos Administração não suportam âmbitos.
- Os grupos de correspondência automática criados por administradores no âmbito são atribuídos às mesmas etiquetas de âmbito que o utilizador.
- Apenas os administradores no âmbito, com as mesmas etiquetas de âmbito atribuídas, podem editar e gerir grupos de Bloqueio Automático.
- Quando cria grupos de Correção Automática e atribui etiquetas de âmbito, as políticas de atualização criadas herdam as mesmas etiquetas de âmbito.
- Os dispositivos atribuídos a grupos de Bloqueio Automático não herdam as etiquetas de âmbito do grupo de Correspondência Automática. Utilize Intune para atribuir etiquetas de âmbito a dispositivos.
Permissões para grupos de Bloqueio Automático
Os grupos de correspondência automática criam Microsoft Entra grupos e atualizam políticas e atribuem as políticas ao grupo como parte do fluxo de trabalho. Para concluir o fluxo de trabalho com êxito, ambas as permissões são necessárias. A opção para criar grupos de Bloqueio Automático só está disponível quando o utilizador tem ambas as permissões ativadas.
- Configuração do Dispositivo, todas as permissões
- Grupo de Bloqueio Automático do Windows, todas as permissões
Os grupos de Correspondência Automática do Windows aos quais são atribuídas etiquetas de âmbito só são visíveis para os utilizadores com essas etiquetas de âmbito exatas. Isto garante que o administrador de TI pode gerir as implementações baseadas em cadências através de grupos de Bloqueio Automático e não são afetadas por discrepâncias de âmbito.
Observação
O fluxo de trabalho do grupo de Correção Automática cria anéis de implementação e atribui-lhes políticas de atualização. Se a função Decorrer Automaticamente incluir Todos os dispositivos no âmbito, a função de administração da política tem de ter Todos os dispositivos e Todos os Utilizadores no âmbito.
A falta de permissões de Microsoft Entra pode impedir o utilizador com sessão iniciada de criar Grupos. O utilizador tem de ter permissão suficiente para criar Grupos. Para obter mais informações, veja How to set up self-service group management or Create Groups permissions (Como configurar a gestão personalizada de grupos ) ou Create Groups permissions (Criar Grupos).
Quando são atribuídos grupos de âmbito ao utilizador, só podem atribuir grupos de âmbito para distribuição em anéis de implementação.
Administradores no âmbito e grupos de Bloqueio Automático
No Intune administradores no âmbito, apenas um utilizador administrador a quem são atribuídas etiquetas de âmbito específicas e Grupos de Âmbito, só pode atribuir políticas a Grupos de Âmbito.
Observação
Intune administradores ou atualizar administradores com Todos os dispositivos e Todos os utilizadores não conseguem ver o fluxo de trabalho Atribuição pendente; isto só afeta as funções que têm âmbitos atribuídos através de Grupos de Âmbito específicos.
Admins de âmbito e fluxo de trabalho do grupo de Correspondência Automática
Como parte do fluxo de trabalho de criação de grupos de Bloqueio Automático, o Windows Autopatch cria grupos Microsoft Entra e atualiza políticas para as definições de implementação selecionadas. Para atribuir as políticas de atualização às cadernetas de implementação recentemente criadas, tem de incluir o grupo de Bloqueio Automático como um Grupo de Âmbito na função que contém permissões de Configuração do Dispositivo.
Observação
Um administrador de Intune ou um Administrador de Funções tem de atribuir o grupo recém-criado do Windows Autopatch como um grupo de âmbito para que o grupo de Correção Automática possa ser utilizado pelo Administração no âmbito.
Assim que o grupo Decorrer Automaticamente, no status de Atribuição Pendente, for adicionado como um grupo de âmbito, o administrador no âmbito pode atribuir as políticas de atualização que o grupo Decorrer Automaticamente torna-se Ativo.
A tabela seguinte explica o fluxo de trabalho de alto nível:
| Etapa | Descrição | Quem |
|---|---|---|
| Passo 1: Criar um grupo de Bloqueio Automático | Crie um grupo de Bloqueio Automático. Os grupos de correspondência automática registam dispositivos com o serviço Despatch do Windows quando cria ou edita um grupo de Bloqueio Automático. São criados os anéis de implementação, as cadernetas de implementação e o grupo de bloqueio automático. Pode ver as políticas de atualização em Atualizações do Windows. |
Administrador de âmbito |
| Passo 2: Contacte o administrador de Intune ou o Administrador de funções para atribuir o grupo principal de Bloqueio Automático como um Grupo de Âmbito para a sua função | Inclua as seguintes informações:
|
Administrador de âmbito |
| Passo 3: Atribuir o grupo principal de Correspondência Automática como Grupo de Âmbito para a função com permissão de Configuração do Dispositivo | Adicione o elemento principal de Correspondência Automática como o Grupo no Âmbito com Atribuir grupo no âmbito. | Administrador Intune ou Administrador de Funções Intune |
| Passo 4: Concluir as atribuições de política para que os grupos de Bloqueio Automático estejam prontos para utilização | Selecione Concluir atribuições de grupo se o grupo Decorrer Automaticamente permanecer em Atribuição pendente status e o passo Atribuir grupo no âmbito ainda não estiver concluído. Assim que a atribuição da política for bem-sucedida, o grupo Decorra automaticamente está definido como Ativo e pronto para ser utilizado. A atribuição de grupo no âmbito pode não estar imediatamente disponível. Pode demorar até 10 minutos a entrar em vigor. |
Administrador de âmbito |
Atribuir etiquetas de âmbito a grupos de Bloqueio Automático
Observação
Se estiver a atribuir etiquetas de âmbito a grupos de Correção Automática existentes, o administrador de âmbito tem de ser incluído como um Grupo de Âmbito na respetiva função com permissões de Configuração de Dispositivos para gerir o grupo de Bloqueio Automático.
A Correção Automática do Windows cria um grupo principal que aninha o grupo de Correspondência Automática e as cadernetas de implementação que podem ser adicionadas como o Grupo de Âmbito. Pode encontrar o nome do grupo principal nas propriedades do grupo de Correspondência Automática.
- No Microsoft Intune centro de administração, navegue paraGrupos> de Bloqueio Automático da Administração> de Inquilinos, selecione um grupo. Todos os anéis e políticas do grupo Despatch Automático têm o mesmo âmbito.
- Na opção Adicionar grupo à cadência, selecione o Microsoft Entra grupos a atribuir ao grupo Despatch Automático. Apenas os grupos com objetos de âmbito estão disponíveis para seleção.
- Navegue para Âmbito de Propriedades>(Etiquetas)>Editar>Selecionar etiquetas> de âmbito selecione as etiquetas que pretende adicionar ao perfil. Pode atribuir um máximo de 100 etiquetas de âmbito a um objeto.
- A secção Grupo de Âmbito é apresentada quando o serviço deteta grupos de Correspondência Automática que são criados antes dos controlos de acesso baseados em funções. Isto indica que é criado um grupo de Microsoft Entra, que pode ser adicionado como um Grupo de Âmbito. Um administrador de âmbito pode gerir este grupo de Correção Automática se estiver incluído no respetivo âmbito.
- Siga os passos na secção Scoped admins and Autopatch group workflow (Administradores de âmbito e Fluxo de trabalho do grupo de correspondência automática) para atribuir grupos de âmbito.
- Selecione Rever + guardar.
Problemas conhecidos
Windows 365 Enterprise dá aos administradores de TI a opção de registar dispositivos com o Windows Autopatch como parte da criação da política de aprovisionamento Windows 365. Tem de ser um administrador do serviço Intune para concluir esta ação.
Resolução de problemas gerais
| Cenário | Mensagem | Causa | Solução |
|---|---|---|---|
| Recebe uma mensagem de erro quando tenta criar, editar ou eliminar um grupo de Bloqueio Automático. | Não tem permissão suficiente para modificar este grupo de Bloqueio Automático. Só pode modificar grupos de Correção Automática que correspondam ao âmbito atribuído. Este grupo de Bloqueio Automático tem etiquetas de Âmbito atribuídas adicionais que não correspondem à sua atribuição de função. Ou A submissão do grupo de Bloqueio Automático falhou e o utilizador com sessão iniciada tem etiquetas de âmbito atribuídas. |
O problema ocorre quando edita um grupo de Correspondência Automática e o serviço detetou um erro de correspondência nas etiquetas de âmbito. | Verifique as etiquetas de âmbito atribuídas ao grupo de Bloqueio Automático e à função de atribuição de Política. A função de atribuição de Política pode ter mais etiquetas de âmbito, mas tem de incluir todas as etiquetas de âmbito atribuídas ao grupo Despatch Automático. |
| Recebe uma mensagem de erro quando escolhe um dispositivo e a ação Atribuir dispositivo de cadência no relatório associação a grupos de Bloqueio Automático. | Não tem permissão suficiente ou o âmbito necessário para atribuir dispositivos. | O problema ocorre quando a Correspondência automática não consegue preencher a lista de grupos de Correspondência Automática, devido a um erro de correspondência nas etiquetas de âmbito. | Verifique as etiquetas de âmbito para os grupos de Correspondência Automática e a sua função. Certifique-se de que partilham, pelo menos, uma etiqueta de âmbito. |
| Recebe uma mensagem de erro quando escolhe um dispositivo e a ação Atribuir dispositivo de cadência no relatório associação a grupos de Bloqueio Automático. | Não tem permissão de grupo de Correspondência Automática suficiente para concluir esta ação. É necessário o mínimo de permissão de Ler de Grupo de Bloqueio Automático. | Para mover dispositivos entre anéis de implementação de Bloqueio automático, precisa de permissão para ler Grupos de bloqueio automático. | Certifique-se de que a função inclui o Grupo de Bloqueio Automático/permissão de Ler. Navegue para Funções > de Administração > de Inquilinos A minha permissão. |
| Recebe uma mensagem de erro quando seleciona um dispositivo no relatório de associação a grupos de Bloqueio Automático. | Acesso Negado | Não tem a permissão Intune para ver as propriedades do dispositivo. | Certifique-se de que a sua função inclui dispositivos/permissão de Ler geridos. Navegue para Funções > de Administração > de Inquilinos A minha permissão. |
| Só pode ver os separadores Versões, Cadências de atualização e Monitorização quando tiver sessão iniciada como administrador delegado do Windows Autopatch. | Não tem todas as permissões necessárias para ver Windows Update. | Certifique-se de que a sua função inclui a Organização/permissão de Ler. Navegue para Funções > de Administração > de Inquilinos A minha permissão. | |
| Recebe uma mensagem de erro quando tenta editar um grupo de Bloqueio Automático pré-existente ao qual foi recentemente atribuída uma etiqueta de âmbito. Adicionou com êxito o grupo de âmbito principal à função de atribuição de Política. | Não tem permissão suficiente para modificar este grupo de Bloqueio Automático. Só pode modificar grupos de Correção Automática que correspondam ao âmbito atribuído. Este grupo de Bloqueio Automático tem etiquetas de Âmbito atribuídas adicionais que não correspondem à sua atribuição de função. | O problema ocorre quando o serviço deteta que o utilizador com sessão iniciada "Grupo Entra Atribuído" não está no grupo no âmbito da função de administrador de Correspondência Automática. Isto acontece com grupos de Bloqueio Automático pré-existentes. | Adicione o grupo Entra Atribuído como o grupo no âmbito à função de administrador de Correspondência Automática. |