Программные элементы управления для драйверов и обновлений встроенного ПО

Статья
09/24/2024
Применяется к:

✅ Windows 11, ✅ Windows 10

Программные элементы управления Windows Autopatch используются для утверждения и планирования обновлений программного обеспечения через API Graph Майкрософт. Вы можете вызвать API напрямую с помощью пакета SDK graph или интегрировать их с средством управления, например с Microsoft Intune.

В этой статье используется Обозреватель Graph для всего процесса развертывания обновления драйвера на клиентах. В этой статье описаны следующие действия:

Откройте Обозреватель Graph
Выполнение запросов для идентификации устройств
Регистрация устройств
Создание аудитории развертывания и добавление участников аудитории
Создание политики обновления
Просмотр содержимого соответствующего драйвера
Утверждение содержимого драйвера для развертывания
Отмена утверждения содержимого
Отмена регистрации устройств

Предварительные условия

Необходимо выполнить все предварительные требования к автопатке Windows .

Разрешения

Для запросов, перечисленных в этой статье, требуются следующие разрешения:

WindowsUpdates.ReadWrite.All для операций автозаполнения Windows .
По крайней мере разрешение Device.Read.All для отображения сведений об устройстве .

Некоторые роли, например администратор развертывания клиентский компонент Центра обновления Windows, уже имеют эти разрешения.

Обязательные конечные точки

У вас должен быть доступ к следующим конечным точкам:

конечные точки клиентский компонент Центра обновления Windows

*.prod.do.dsp.mp.microsoft.com
*.windowsupdate.com
*.dl.delivery.mp.microsoft.com
*.update.microsoft.com
*.delivery.mp.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com

конечные точки API Graph:

devicelistenerprod.microsoft.com
login.windows.net
payloadprod*.blob.core.windows.net

Откройте Обозреватель Graph

В этой статье вы будете использовать Обозреватель Graph для отправки запросов к API Microsoft Graph для получения, добавления, удаления и обновления данных. Graph Обозреватель — это средство разработчика, которое позволяет узнать об API Microsoft Graph. Дополнительные сведения об использовании Обозреватель Graph см. в статье Начало работы с Обозреватель Graph.

Warning

Запросы, перечисленные в этой статье, требуют входа с учетной записью Microsoft 365. При необходимости для Microsoft 365 бизнес премиум доступна бесплатная пробная версия на один месяц.
Настоятельно рекомендуется использовать тестовый клиент для изучения и проверки процесса развертывания. Графовая Обозреватель предназначена для обучения. Прежде чем продолжить, убедитесь, что вы понимаете предоставление согласия и тип согласия для Graph Обозреватель.

В браузере перейдите в graph Обозреватель и выполните вход с помощью учетной записи пользователя Microsoft Entra.
Может потребоваться включить разрешение на WindowsUpdates.ReadWrite.All использование запросов, приведенных в этой статье. Чтобы включить разрешение, выполните следующие действия:
1. Перейдите на вкладку Изменение разрешений в графе Обозреватель.
2. В диалоговом окне разрешения выберите разрешение WindowsUpdates.ReadWrite.All , а затем выберите Согласие. Для предоставления согласия может потребоваться выполнить вход еще раз.
Чтобы сделать запросы, выполните приведенные далее действия.
1. Выберите GET, POST, PUT, PATCH или DELETE в раскрывающемся списке для метода HTTP.
2. Введите запрос в поле URL-адрес. Версия будет заполняться автоматически на основе URL-адреса.
3. Если необходимо изменить текст запроса, измените вкладку Текст запроса .
4. Нажмите кнопку Выполнить запрос . Результаты отобразятся в окне Ответ .
Совет

При просмотре документации По Microsoft Graph вы можете заметить, что примеры запросов обычно содержат список content-type: application/json. content-type Указание обычно не требуется для Обозреватель Graph, но его можно добавить в запрос, выбрав вкладку Заголовки и добавив content-type в поле Заголовки запрос в качестве ключа и application/jsonзначения.

Выполнение запросов для идентификации устройств

Используйте тип ресурса устройства для поиска клиентов для регистрации в автопатке Windows. Измените параметры запроса в соответствии с конкретными потребностями. Дополнительные сведения см. в разделе Использование параметров запроса.

Отображает идентификатор устройства AzureAD и имя всех устройств:
```
GET https://graph.microsoft.com/v1.0/devices?$select=deviceid,displayName
```
Отображает идентификатор и имя устройства AzureAD для устройств с именем, начинающимся с Test:
```
GET https://graph.microsoft.com/v1.0/devices?$filter=startswith(displayName,'Test')&$select=deviceid,displayName
```

Добавление заголовка запроса для расширенных запросов

Для следующих запросов задайте для заголовка ConsistencyLevel значение eventual. Дополнительные сведения о расширенных параметрах запроса см. в разделе Расширенные возможности запросов для объектов каталога Microsoft Entra.

В графе Обозреватель выберите вкладку Заголовки запроса.
Для параметра Тип ключа в ConsistencyLevel и Значение введите eventual.
Нажмите кнопку Добавить . По завершении удалите заголовок запроса, выбрав значок корзины.

Отобразите имя и версию операционной системы для устройства, которое имеет 01234567-89ab-cdef-0123-456789abcdef в качестве идентификатора устройства AzureAD:
```
GET https://graph.microsoft.com/v1.0/devices?$search="deviceid:01234567-89ab-cdef-0123-456789abcdef"&$select=displayName,operatingSystemVersion
```
Чтобы найти устройства, которые, скорее всего, не являются виртуальными машинами, отфильтруйте устройства, на которых виртуальная машина не указана в качестве модели, но в списке указан производитель. Отображение идентификатора устройства AzureAD, имени и версии операционной системы для каждого устройства:
```
GET https://graph.microsoft.com/v1.0/devices?$filter=model ne 'virtual machine' and NOT(manufacturer eq null)&$count=true&$select=deviceid,displayName,operatingSystemVersion
```

Совет

Запросы, использующие тип ресурса устройства, обычно имеют и :iddeviceid

— deviceid это Microsoft Entra идентификатор устройства, который будет использоваться в этой статье.
- Далее в этой статье он deviceid будет использоваться в качестве id при выполнении определенных запросов, таких как добавление устройства в аудиторию развертывания.
Тип id ресурса устройства обычно является идентификатором объекта Microsoft Entra, который не будет использоваться в этой статье.

Регистрация устройств

При регистрации устройств в системе управления драйверами автоматическое исправление Windows становится центром обновления драйверов, поступающих из клиентский компонент Центра обновления Windows. Устройства не получают драйверы или встроенное ПО от клиентский компонент Центра обновления Windows, пока развертывание не будет создано вручную или они не будут добавлены в политику обновления драйверов с утверждениями.

Регистрация устройств зависит от типов обновлений, которые они должны получать. В настоящее время можно зарегистрировать устройства для получения обновлений компонентов (feature) или драйверов (driver). Вы можете зарегистрировать устройства для получения обновлений из нескольких классификаций обновлений.

Чтобы зарегистрировать устройства, выполните post to updatableAssets с помощью enrollAssets. В следующем примере регистрируется три устройства для получения обновлений драйверов:
1. В графе Обозреватель выберите POST в раскрывающемся списке для команды HTTP.
2. Введите следующий запрос в поле URL-адрес:
  https://graph.microsoft.com/beta/admin/windows/updates/updatableAssets/enrollAssets
3. На вкладке Текст запроса введите следующий код JSON, указав следующие сведения:
  - Microsoft Entra идентификатор устройства какid
  - driver Или feature для updateCategory
```
{
  "updateCategory": "driver",
  "assets": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcdef"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcde0"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcde1"
    }
  ]
}
```
4. Нажмите кнопку Выполнить запрос . Результаты отобразятся в окне Ответ . В этом случае код состояния HTTP объекта 202 Accepted.

Создание аудитории развертывания и добавление участников аудитории

Аудитория развертывания — это коллекция устройств, на которые требуется развернуть обновления. Сначала необходимо создать аудиторию, а затем в нее добавляются члены. Чтобы создать аудиторию развертывания, добавить участников и проверить ее, выполните следующие действия.

Чтобы создать новую аудиторию, post to the deployment audience resource with a request body of {}.

POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences 
content-type: application/json  

{}

POST возвращает код 201 Created состояния HTTP в ответ со следующим текстом, где id — идентификатор аудитории:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deploymentAudiences/$entity",
    "id": "d39ad1ce-0123-4567-89ab-cdef01234567",
    "reportingDeviceCount": 0,
    "applicableContent": []
}

Добавьте устройства, используя их Microsoft Entra ID, в аудиторию развертывания, чтобы они стали ее участниками. Укажите идентификатор аудитории развертывания в поле URL-адрес и устройства для добавления в тексте запроса. Свойство id указывает Microsoft Entra ID устройства.

POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/updateAudience 
content-type: application/json  

{
  "addMembers": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcdef"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcde0"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
     "id": "01234567-89ab-cdef-0123-456789abcde1"
    }
  ]
}

Чтобы убедиться, что устройства добавлены в аудиторию, выполните следующий запрос, используя идентификатор аудиторииd39ad1ce-0123-4567-89ab-cdef01234567:
```
GET https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/members
```

После регистрации устройства и его добавления в аудиторию развертывания автозапись Windows начнет собирать результаты сканирования с клиентский компонент Центра обновления Windows, чтобы создать каталог применимых драйверов для просмотра, утверждения и планирования развертывания.

Создание политики обновления

Политики обновления определяют способ развертывания содержимого для аудитории развертывания. Политика обновления гарантирует согласованное поведение развертываний для аудитории развертывания без необходимости создавать несколько отдельных развертываний и управлять ими. При добавлении в политику утверждения содержимого оно развертывается на устройствах в связанных аудиториях. Параметры развертывания и мониторинга являются необязательными.

Важно.

Все параметры развертывания, настроенные для утверждения содержимого , будут объединены с параметрами развертывания существующей политики обновления. Если политика утверждения и обновления содержимого указывает один и тот же параметр развертывания, используется параметр утверждения содержимого.

Создание политики и определение параметров позже

Чтобы создать политику без параметров развертывания, в тексте запроса укажите идентификатор аудитории как id. В следующем примере идентификатор аудитории — d39ad1ce-0123-4567-89ab-cdef01234567, а id в ответе — идентификатор политики:

POST https://graph.microsoft.com/beta/admin/windows/updates/updatePolicies
content-type: application/json

{
  "audience": {
    "id": "d39ad1ce-0123-4567-89ab-cdef01234567"
  }
}

Ответ, возвращающий политику без указания дополнительных параметров, имеющий идентификатор9011c330-1234-5678-9abc-def012345678политики :

HTTP/1.1 202 Accepted
content-type: application/json
{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/updatePolicies/$entity",
  "id": "9011c330-1234-5678-9abc-def012345678",
  "createdDateTime": "2023-01-25T05:32:21.9721459Z",
  "autoEnrollmentUpdateCategories": [],
  "complianceChangeRules": [],
  "deploymentSettings": {
      "schedule": null,
      "monitoring": null,
      "contentApplicability": null,
      "userExperience": null,
      "expedite": null
  }
}

Указание параметров во время создания политики

Чтобы создать политику с дополнительными параметрами, в тексте запроса:

Укажите идентификатор аудитории как id
Определите все параметры развертывания.
Добавьте заголовок content-length в запрос, если возникает код состояния 411. Значение должно быть длиной текста запроса в байтах. Сведения о кодах ошибок см. в статье Ответы на ошибки Microsoft Graph и типы ресурсов.

В следующем примере политики обновления драйверов все развертывания, созданные с помощью утверждения содержимого, начнутся через 7 дней после утверждения идентификатораd39ad1ce-0123-4567-89ab-cdef01234567 аудитории:

POST https://graph.microsoft.com/beta/admin/windows/updates/updatePolicies
content-type: application/json
   
{
  "@odata.type": "#microsoft.graph.windowsUpdates.updatePolicy",
  "audience": {
    "id": "d39ad1ce-0123-4567-89ab-cdef01234567"
  },
  "complianceChanges": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.contentApproval"
    }
  ],
  "complianceChangeRules": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.contentApprovalRule",
      "contentFilter": {
        "@odata.type": "#microsoft.graph.windowsUpdates.driverUpdateFilter"
      },
      "durationBeforeDeploymentStart": "P7D"
    }
  ]
}

Просмотр и изменение параметров политики обновления

Чтобы просмотреть параметры политики, выполните следующий запрос с помощью идентификатора политики, например 9011c330-1234-5678-9abc-def012345678:

GET https://graph.microsoft.com/beta/admin/windows/updates/updatePolicies/9011c330-1234-5678-9abc-def012345678

Чтобы изменить параметры политики, установите исправление политики с помощью идентификатора политики. Запустите следующее исправление, чтобы автоматически утвердить содержимое драйвера, рекомендуемое Microsoftдля развертывания для идентификатора9011c330-1234-5678-9abc-def012345678 политики:

PATCH https://graph.microsoft.com/beta/admin/windows/updates/updatePolicies/9011c330-1234-5678-9abc-def012345678
content-type: application/json

{
    "complianceChangeRules": [
     {
        "@odata.type": "#microsoft.graph.windowsUpdates.contentApprovalRule",
         "contentFilter": {
          "@odata.type": "#microsoft.graph.windowsUpdates.driverUpdateFilter"
        }
    }
  ],
    "deploymentSettings": {
       "@odata.type": "#microsoft.graph.windowsUpdates.deploymentSettings",
        "contentApplicability": {
          "@odata.type": "#microsoft.graph.windowsUpdates.contentApplicabilitySettings",
          "offerWhileRecommendedBy": ["microsoft"]
        }
      }
}

Просмотр содержимого соответствующего драйвера

После того как автопатка Windows будет получать результаты сканирования с устройств, применимость обновлений драйверов и встроенного ПО может отображаться для аудитории развертывания. Каждое применимое обновление возвращает следующие сведения:

Объект id для записи каталога
Microsoft Entra ID устройств, к
Сведения, описывающие обновление, такие как имя и версия.

Чтобы отобразить применимое содержимое, выполните запрос с помощью идентификатора аудитории, например d39ad1ce-0123-4567-89ab-cdef01234567:

GET https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/d39ad1ce-0123-4567-89ab-cdef01234567/applicableContent

Отображается следующий усеченный ответ:

Microsoft Entra ID01234567-89ab-cdef-0123-456789abcdef

Идентификатор каталога5d6dede684ba5c4a731d62d9c9c2a99db12c5e6015e9f8ad00f3e9387c7f399c

"matchedDevices": [
    {
        "recommendedBy": [
            "Microsoft"
        ],
        "deviceId": "01ea3c90-12f5-4093-a4c9-c1434657c976"
    }
],
"catalogEntry": {
    "@odata.type": "#microsoft.graph.windowsUpdates.driverUpdateCatalogEntry",
    "id": "5d6dede684ba5c4a731d62d9c9c2a99db12c5e6015e9f8ad00f3e9387c7f399c",
    "displayName": "Microsoft - Test - 1.0.0.1",
    "deployableUntilDateTime": null,
    "releaseDateTime": "0001-01-21T04:18:32Z",
    "description": "Microsoft test driver update released in January 2021",
    "driverClass": "OtherHardware",
    "provider": "Microsoft",
    "setupInformationFile": null,
    "manufacturer": "Microsoft",
    "version": "1.0.0.1",
    "versionDateTime": "2021-01-11T02:43:14Z"

Утверждение содержимого драйвера для развертывания

Каждое обновление драйвера связано с уникальной записью каталога. Подтвердите содержимое для драйверов и встроенного ПО, добавив утверждение содержимого для записи каталога в существующую политику. Утверждение содержимого — это изменение соответствия для политики.

Важно.

Все параметры развертывания, настроенные для утверждения содержимого, будут объединены с параметрами развертывания существующей политики обновления . Если политика утверждения и обновления содержимого указывает один и тот же параметр развертывания, используется параметр утверждения содержимого.

Добавьте утверждение содержимого в существующую политику, идентификатор9011c330-1234-5678-9abc-def012345678 политики для обновления драйвера с идентификатором5d6dede684ba5c4a731d62d9c9c2a99db12c5e6015e9f8ad00f3e9387c7f399c каталога. Запланируйте дату начала 14 февраля 2023 г. в 1:00 UTC:

POST https://graph.microsoft.com/beta/admin/windows/updates/updatePolicies/9011c330-1234-5678-9abc-def012345678/complianceChanges
content-type: application/json

{
    "@odata.type": "#microsoft.graph.windowsUpdates.contentApproval",
    "content": {
        "@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
        "catalogEntry": {
            "@odata.type": "#microsoft.graph.windowsUpdates.driverUpdateCatalogEntry",
            "id": "5d6dede684ba5c4a731d62d9c9c2a99db12c5e6015e9f8ad00f3e9387c7f399c"
        }
    },
    "deploymentSettings": {
        "@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
        "schedule": {
            "startDateTime": "2023-02-14T01:00:00Z"
        }
    }
}

Ответ на утверждение содержимого возвращает параметры содержимого и развертывания вместе с id, который является идентификатором изменения соответствия. Идентификатор изменения соответствия содержит c03911a7-9876-5432-10ab-cdef98765432 следующий усеченный ответ:

    "@odata.type": "#microsoft.graph.windowsUpdates.contentApproval",
    "id": "c03911a7-9876-5432-10ab-cdef98765432",
    "createdDateTime": "2023-02-02T17:54:39.173292Z",
    "isRevoked": false,
    "revokedDateTime": "0001-01-01T00:00:00Z",
    "content": {
        "@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
        "catalogEntry": {
            "@odata.type": "#microsoft.graph.windowsUpdates.driverUpdateCatalogEntry",
            "id": "5d6dede684ba5c4a731d62d9c9c2a99db12c5e6015e9f8ad00f3e9387c7f399c"
        }
    },
    "deploymentSettings": {
        "schedule": {
            "startDateTime": "2023-02-14T01:00:00Z",

Сначала просмотрите все изменения соответствия политике с самыми последними изменениями, перечисленными в ответе. В следующем примере возвращаются изменения соответствия для политики с идентификатором9011c330-1234-5678-9abc-def012345678 политики и сортировкой по createdDateTime в порядке убывания:

GET https://graph.microsoft.com/beta/admin/windows/updates/updatePolicies/9011c330-1234-5678-9abc-def012345678/complianceChanges?orderby=createdDateTime desc

Совет

Для политики должен быть только один идентификатор изменения соответствия на идентификатор каталога . Если для одного и того же идентификатора каталога имеется несколько идентификаторов изменений соответствия, скорее всего, для одного фрагмента содержимого будет несколько развертываний, предназначенных для одной и той же аудитории, но с различным поведением развертывания. Чтобы удалить дубликат, удалите изменение соответствия с повторяющимся идентификатором каталога. При удалении изменения соответствия все развертывания, созданные утверждением, будут отмечены как archived.

Чтобы получить идентификатор развертывания, используйте параметр expand для просмотра сведений о развертывании, связанных с утверждением содержимого. В следующем примере отображается утверждение содержимого и сведения о развертывании для идентификатораc03911a7-9876-5432-10ab-cdef98765432 изменения соответствия в идентификаторе9011c330-1234-5678-9abc-def012345678 политики обновления:

GET https://graph.microsoft.com/beta/admin/windows/updates/updatePolicies/9011c330-1234-5678-9abc-def012345678/complianceChanges/c03911a7-9876-5432-10ab-cdef98765432/$/microsoft.graph.windowsUpdates.contentApproval?$expand=deployments

Изменение параметров развертывания для утверждения содержимого

Так как утверждение содержимого является изменением соответствия для политики, при обновлении утверждения содержимого вы изменяете изменение соответствия для политики. В следующем примере изменяется startDateTimeдля идентификатораc03911a7-9876-5432-10ab-cdef98765432 изменения соответствия в идентификаторе политики9011c330-1234-5678-9abc-def012345678 обновления до 28 февраля 2023 г. в 5:00 (UTC):

PATCH https://graph.microsoft.com/beta/admin/windows/updates/updatePolicies/9011c330-1234-5678-9abc-def012345678/complianceChanges/c03911a7-9876-5432-10ab-cdef98765432
content-type: application/json

{
    "@odata.type": "#microsoft.graph.windowsUpdates.contentApproval",
    "deploymentSettings": {
        "@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
        "schedule": {
            "startDateTime": "2023-02-28T05:00:00Z"
        }
    }
}

Отмена утверждения содержимого

Утверждение для содержимого можно отозвать, задав свойству isRevokedизменения соответствия значение true. Этот параметр можно изменить во время развертывания. Однако отзыв не позволит предлагать содержимое устройствам только в том случае, если они еще не получили его. Чтобы возобновить предложение содержимого, необходимо создать новое утверждение .

PATCH https://graph.microsoft.com/beta/admin/windows/updates/updatePolicies/9011c330-1234-5678-9abc-def012345678/complianceChanges/c03911a7-9876-5432-10ab-cdef98765432
content-type: application/json

{
    "@odata.type": "#microsoft.graph.windowsUpdates.contentApproval",
    "isRevoked": true
}

Чтобы отобразить все развертывания с последним возвращенным первым, укажите развертывания на createdDateTimeоснове :

GET https://graph.microsoft.com/beta/admin/windows/updates/deployments?orderby=createdDateTime desc

Отмена регистрации устройств

Если устройство больше не нуждается в управлении, отмените регистрацию из автоматического исправления Windows. Как и при регистрации устройства, укажите driver значение или feature в качестве значения .updateCategory Устройство больше не будет получать обновления от автоматического исправления Windows для указанной категории обновлений. В зависимости от конфигурации устройства оно может начать получать обновления от клиентский компонент Центра обновления Windows. Например, если устройство по-прежнему зарегистрировано для обновления компонентов, но оно не зарегистрировано в драйверах:

Существующие развертывания драйверов из службы не будут предлагаться устройству
Устройство продолжает получать обновления компонентов из автоматического исправления Windows
Драйверы могут начать устанавливаться с клиентский компонент Центра обновления Windows в зависимости от конфигурации устройства

Чтобы отменить регистрацию устройства, выполните POST в updatableAssets с помощью unenrollAssets. В тексте запроса укажите:

Microsoft Entra идентификаторid устройства
driver Или feature для updateCategory

В следующем примере удаляется driver регистрация для двух устройств и 01234567-89ab-cdef-0123-456789abcdef01234567-89ab-cdef-0123-456789abcde0.

POST https://graph.microsoft.com/beta/admin/windows/updates/updatableAssets/unenrollAssets
content-type: application/json

{
  "updateCategory": "driver",
  "assets": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcdef"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "01234567-89ab-cdef-0123-456789abcde0"
    }
  ]
}

Поделиться через