Поделиться через

Управление мобильными устройствами (MDM) при работе с обновлениями для устройств

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Совет

Если вы не являетесь разработчиком или администратором, более полезные сведения см. в статье Центр обновления Windows: вопросы и ответы.

Благодаря компьютерам, планшетам, телефонам и устройствам IoT решения для управления мобильными устройствами (MDM) становятся распространенными в качестве облегченной технологии управления устройствами. В Windows мы вкладываем значительные средства в расширение возможностей управления, доступных для MDM. Одной из основных функций, которые мы добавляем, является возможность MDM поддерживать устройства в курсе последних обновлений Майкрософт.

В частности, Windows предоставляет API для включения MDM для выполнения:

  • Убедиться, что компьютеры не обновляются путем настройки политики автоматического обновления.
  • Протестируйте обновления на ограниченном наборе компьютеров путем настройки утвержденных обновлений для конкретных устройств. Затем сделайте развертывание на уровне организации.
  • Получите состояние соответствия требованиям управляемых устройств. ИТ-специалисты могут понять, каким компьютерам еще требуется исправление безопасности или насколько актуальна конкретный компьютер.
  • Настройка политик автоматического обновления, чтобы обеспечить обновление устройств.
  • Получения сведений о соответствии устройств требованиям (список необходимых, но еще не установленных обновлений).
  • Ввод списка утвержденных обновлений для каждого устройства. Этот список позволяет убедиться, что устройства устанавливают только утвержденные и протестированные обновления.
  • Утверждение лицензионных соглашений с конечным пользователем (EULA) для конечного пользователя для автоматического развертывания обновлений даже для обновлений с EULA.

В этой статье независимые издатели программного обеспечения (ISV) предоставляют сведения, необходимые для реализации управления обновлениями в Windows. Дополнительные сведения см. в разделе CSP политики — обновление.

Примечание.

API OMA DM для указания утвержденных обновлений и получения состояния соответствия ссылаются на обновления с помощью идентификатора обновления. Идентификатор обновления — это глобальный уникальный идентификатор, который идентифицирует определенное обновление. MDM будет отображать ит-понятные сведения об обновлении, а не необработанный GUID, включая название обновления, описание, базу знаний, тип обновления, например обновление для системы безопасности или пакет обновления. Дополнительные сведения см. в разделе [MS-WSUSSS]: Windows Update Services: протокол Server-Server.

На следующей схеме представлен концептуальный обзор принципа работы.

управление обновлением мобильных устройств.

Схему можно разделить на три области:

  • Служба управления устройствами синхронизирует сведения об обновлении (название, описание, применимость) из Центра обновления Майкрософт с помощью протокола синхронизации сервер-сервер (верхняя часть схемы).
  • Служба управления устройствами настраивает политики автоматического обновления, получает сведения о соответствии обновлений требованиям и настраивает утверждения через OMA DM (левая часть схемы).
  • Устройство получает обновления от Центра обновления Майкрософт с помощью протокола клиента и сервера. Он загружает и устанавливает только обновления, которые применяются к устройству и утверждены ИТ-специалистами (правая часть схемы).

Получение метаданных обновления с помощью протокола синхронизации сервер-сервер

Каталог Центра обновления Майкрософт содержит множество обновлений, которые не нужны устройствам под управлением MDM. Он включает обновления для устаревшего программного обеспечения, например обновления серверов, настольных операционных систем нижнего уровня и устаревших приложений, а также большое количество драйверов. Мы рекомендуем MDM использовать протокол синхронизации сервер-сервер для получения метаданных обновлений для обновлений, сообщаемых клиентом.

В этом разделе описана эта настройка. На следующей схеме показан процесс протокола синхронизации сервер-сервер.

синхронизация сервер-сервер для MDM.

MSDN предоставляет много сведений о протоколе синхронизации сервер-сервер. В частности:

  • Это протокол на основе SOAP, и вы можете получить WSDL в веб-службе синхронизации сервера. WSDL можно использовать для создания вызывающих прокси-серверов для многих сред программирования, чтобы упростить разработку.
  • Примеры кода можно найти в примерах протокола. В примере кода показаны доступные для использования необработанные команды SOAP. Хотя еще проще выполнить вызов из языка программирования, например .NET (вызов созданных WSDL прокси-серверов). Заглушка, созданная WSDL-файлом синхронизации сервера, создает неправильный URL-адрес привязки. Нужно задать следующий URL-адрес привязки: https://fe2.update.microsoft.com/v6/ServerSyncWebService/serversyncwebservice.asmx.

Некоторые важные моменты:

  • Протокол содержит этап авторизации (вызов GetAuthConfig, GetAuthorizationCookie и GetCookie). В примерах протокола код Пример 1. Авторизация показывает, как делается авторизация. Хотя это называется этапом авторизации, протокол полностью открыт (для выполнения этого этапа протокола учетные данные не нужны). Эту последовательность вызовов требуется выполнить, чтобы получить файл cookie для основной части протокола синхронизации. Для оптимизации вы можете кэшировать файл cookie и вновь вызывать эту последовательность только после истечения срока действия файла cookie.
  • Протокол позволяет MDM синхронизировать метаданные обновления для определенного обновления путем вызова GetUpdateData. Дополнительные сведения см. в разделе getUpdateData в MSDN. LocURI для получения применимых обновлений с номерами редакций: <LocURI>./Vendor/MSFT/Update/InstallableUpdates?list=StructData</LocURI>. Так как не все обновления доступны с помощью синхронизации S2S, убедитесь, что вы обрабатываете ошибки SOAP.
  • Для мобильных устройств можно синхронизировать метаданные для определенного обновления, вызвав GetUpdateData. Или, для локального решения, можно использовать службы Windows Server Update Services (WSUS) и вручную импортировать мобильные обновления с сайта каталога Центра обновления Майкрософт. Дополнительные сведения см. в разделе Схема процесса и снимки экрана процесса синхронизации сервера.

Примечание.

Со временем Центр обновления Майкрософт изменяет метаданные для данного обновления, например путем обновления описательных сведений, исправления ошибок в правилах применимости, внесения изменений в локализацию и т. д. При каждом изменении, которое не влияет на само обновление, создается новая редакция обновления. Соединения UpdateID (GUID) и RevisionNumber (int) для создания ключа удостоверения для редакции обновления. MDM не содержит исправлений для ИТ-специалистов. Вместо этого для каждого Идентификатора обновления (GUID) MDM хранит метаданные для более поздней редакции этого обновления, которая является самой высокой редакцией.

Примеры XML-структуры и описания элементов метаданных обновления

Отклик вызова GetUpdateData возвращает массив ServerSyncUpdateData, содержащий метаданные обновления в элементе XmlUpdateBlob. Схема XML обновления доступна в примерах протокола. Ниже описаны некоторые ключевые элементы:

  • UpdateID — уникальный идентификатор обновления.
  • RevisionNumber — номер редакции обновления на случай изменения обновления.
  • CreationDate — дата создания этого обновления.
  • UpdateType — тип обновления, который может включать следующее:
    • Detectoid — если это удостоверение обновления представляет логику совместимости
    • Category — этот элемент может представлять любой из следующих элементов:
      • Категория продукта, к которой относится обновление. Например, Windows, MS Office и так далее.
      • Классификация, к которой относится обновление. Например, драйверы, безопасность и так далее.
    • Программное обеспечение . Если обновление является обновлением программного обеспечения.
    • Драйвер — если обновление является обновлением драйвера.
  • LocalizedProperties — представляет язык, на который доступно обновление, название и описание обновления. Содержит следующие поля:
    • Язык — идентификатор кода языка (LCID). Например, en или es.
    • Заголовок — заголовок обновления. Например, "Windows SharePoint Services 3.0 с пакетом обновления 3 (SP3) x64 Edition (KB2526305)"
    • Описание — описание обновления. Например, "Windows SharePoint Services 3.0 с пакетом обновления 3 (KB2526305) предоставляет последние обновления для Windows SharePoint Services 3.0. После установки может потребоваться перезапустить компьютер. После установки этого элемента его невозможно удалить".
  • KBArticleID — номер статьи базы знаний для этого обновления с подробными сведениями о конкретном обновлении. Например, https://support.microsoft.com/kb/2902892.

В этом разделе описан возможный алгоритм использования протокола синхронизации сервер-сервер для получения метаданных обновления в MDM.

Общая информация:

  • При наличии мультитенантного MDM метаданные обновления могут храниться в общей секции, так как они являются общими для всех клиентов.
  • Затем можно реализовать службу синхронизации метаданных. Служба периодически вызывает синхронизацию сервер-сервер, чтобы получить метаданные для обновлений, о которых заботится ИТ.
  • Компонент MDM, использующий OMA DM для управления устройствами (описано в следующем разделе), должен отправлять службе синхронизации метаданных список необходимых обновлений, которые она получает от каждого клиента, если эти обновления являются новыми для устройства.

В следующей процедуре описан базовый алгоритм для службы синхронизации метаданных:

  1. Создайте пустой список необходимых идентификаторов обновления для сбоя. Этот список обновляется компонентом службы MDM, который использует OMA DM. Рекомендуется не добавлять обновления определений в этот список, так как они временные. Например, Defender может выпускать новые обновления определений много раз в день, каждое из которых является накопительным.
  2. Периодическая синхронизация (рекомендуется каждые 2 часа — не более одного раза в час).
    1. Реализуйте этап авторизации протокола, чтобы получить файл cookie, если у вас еще нет файла cookie. См. Пример 1. Авторизация в примерах протокола.
    2. Реализуйте часть метаданных протокола. См . пример 2. Синхронизация метаданных и развертываний в примерах протокола) и вызовите Метод GetUpdateData для всех обновлений в списке "Необходимые идентификаторы обновлений для сбоя", если метаданные обновления еще не были извлечены в базу данных.
      • Если обновление является более новой версией существующего обновления (с тем же updateID, но более высоким номером редакции), замените предыдущие метаданные обновления новыми.
      • Удалите обновления из списка "ИД необходимых обновлений для сбоя" после их получения.

Эти действия позволяют получить сведения о наборе обновлений Майкрософт, которыми ИТ-специалисты должны управлять, поэтому эти сведения можно использовать в различных сценариях управления обновлениями. Например, во время утверждения обновлений можно получить сведения, чтобы ИТ-специалисты могли видеть, какие обновления они утверждают. Или для отчетов о соответствии требованиям, чтобы узнать, какие обновления необходимы, но еще не установлены.

Управление обновлениями с помощью OMA DM

Служба MDM может управлять обновлениями с помощью OMA DM. Подробные сведения об использовании и интеграции MDM с протоколом OMA DM Windows, а также регистрации устройств для управления MDM описаны в разделе Управление мобильными устройствами. В этом разделе основное внимание уделяется расширениям этой интеграции для поддержки управления обновлениями. Ключевые аспекты управления обновлениями включают следующие сведения:

  • Настройка политик автоматического обновления, чтобы обеспечить обновление устройств.
  • Получения сведений о соответствии устройств требованиям (список необходимых, но еще не установленных обновлений).
  • Укажите список утвержденных обновлений для каждого устройства. Этот список позволяет убедиться, что устройства устанавливают только утвержденные и протестированные обновления.
  • Утверждение EULA для конечного пользователя, чтобы развертывание обновлений можно было автоматизировать даже для обновлений с EUL.

В следующем списке описана рекомендуемая модель применения обновлений.

  1. Наличие тестовой группы и общей группы.
  2. В группе Тест разрешите потоку всех обновлений.
  3. В группе Все задайте отсрочку обновления качества на семь дней, а затем автоматически утверждаются обновления качества через семь дней. Отсрочки обновлений качества исключают обновления определений, поэтому обновления определений автоматически утверждаются, когда они доступны. Совпадите расписание обновлений определений с расписанием отсрочки обновлений качества, установив для параметра Update/DeferQualityUpdatesPeriodInDays значение семь. Разрешите обновлениям проходить через семь дней или путем приостановки при возникновении каких-либо проблем.

Обновления настраиваются с помощью CSP политики обновления.

Снимок экрана: пользовательский интерфейс управления обновлениями

На следующих снимках экрана консоли администрирования показан список заголовков обновлений, состояния утверждения и других полей метаданных.

Снимок экрана: управления обновлениями в MDM.

Снимок экрана: метаданные управления обновлениями в MDM.

Пример SyncML

Настройка автоматического обновления (Майкрософт) для уведомления и отсрочки.

<SyncML xmlns="SYNCML:SYNCML1.1">
    <SyncBody>
        <Replace xmlns="">
            <CmdID>1</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/AllowUpdateService</LocURI>
                </Target>
                <Data>0</Data>
            </Item>
            <CmdID>2</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/RequireDeferUpgrade </LocURI>
                </Target>
                <Data>0</Data>
            </Item>
            <CmdID>3</CmdID>
            <Item>
                <Meta>
                    <Format>int</Format>
                    <Type>text/plain</Type>
                </Meta>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/Update/RequireUpdateApproval </LocURI>
               </Target>
                <Data>0</Data>
            </Item>
        </Replace>
       <Final/>
    </SyncBody>
</SyncML>

Блок-схема процесса и снимки экрана процесса синхронизации сервера

На следующей схеме и снимках экрана показана блок-схема процесса обновления устройства с помощью Windows Server Update Services и каталога Центра обновления Майкрософт.

Снимок экрана3: управление обновлениями в MDM.

Снимок экрана4: управление обновлениями в MDM

Снимок экрана5: управление обновлениями в MDM

Снимок экрана6: управление обновлениями в MDM

Снимок экрана7: управление обновлениями в MDM

Снимок экрана8: управление обновлениями в MDM

Снимок экрана9: управление обновлениями в MDM