Windows Autopatch

Publicado a 9/29/2022 por Knowledge Inside em Review
image

Na review deste mês vamos focar-nos num novo produto da Microsoft, o Windows Autopatch.

O Windows Autopatch consiste num serviço cloud que promete automatizar os updates de Microsoft Windows, Microsoft 365 Apps for Enterprise, Microsoft Edge e Microsoft Teams por forma a melhorar a segurança e a produtividade das organizações.

Isto permite às organizações uma alternativa à manutenção de infraestruturas digitais complexas, permitindo às mesmas focarem-se naquela que é a sua atividade principal e deixar esse ónus com a Microsoft. Propõe-se a fazer isto das seguintes formas:

  • Diminuir as lacunas de segurança ao manter o software sempre atualizado, o que reduz o número de vulnerabilidades e ameaças aos dispositivos.
  • Diminuir lacunas de produtividade através da constante atualização dos recursos, permitindo assim o acesso às ferramentas mais recentes.
  • Otimização dos recursos de IT através da automatização dos updates periódicos dos dispositivos, o que liberta os profissionais de IT para tarefas mais produtivas.
  • Diminuir a complexidade das infraestruturas on-premise, ao facilitar a transição para o mundo do Software as a Service (SaaS).
  • Facilitar o onboarding de novos serviços estar direcionado para o enrollment, minimizando o tempo investido pelo IT.
  • Ao criar update rings sequenciais, e ao ser sensível a indicadores de fiabilidade e compatibilidade, minimiza as interrupções a que os utilizadores são sujeitos.

Quem estiver familiarizado com o software de gestão de dispositivos na cloud da Microsoft, poderá estar neste momento a pensar que todas estas possibilidades já existiam e não estarão enganados. A ideia por detrás do Windows Autopatch é mesmo essa, a de utilizar as soluções já disponíveis no Microsoft 365, mas sem necessidade de configurar e manter as mesmas. Ou seja, deixa de estar do lado do cliente a criação de baselines de políticas de segurança, e de gestão de updates, e passa a ser a Microsoft a configurar e gerir estas mesmas funcionalidades, com os seguintes objectivos:

  • Updates de qualidade do Windows: objectivo de ter pelo menos 95% dos dispositivos elegíveis com o último update de qualidade instalado 21 dias após o seu lançamento
  • Updates de funcionalidades do Windows: objectivo de ter pelo menos 99% dos dispositivos elegíveis com uma versão suportada do Windows para que possam continuar a receber updates de funcionalidade do Windows.
  • M365 Apps for Enterprise: objectivo de ter pelo menos 90% de dispositivos elegíveis numa versão suportada do Canal Empresarial Mensal.
  • Microsoft Edge: configurar dispositivos elegíveis para beneficiarem das distribuições progressivas no canal Estável.
  • Microsoft Teams: permitir que dispositivos elegíveis beneficiem do canal de atualização automática padrão.

Em termos de requisitos, a Microsoft anuncia os seguintes:

Requisitos de licenciamento

Windows 10/11 Enterprise E3 [For EMS E3/E5 customers]

Windows 10/11 Enterprise E5 [For EMS E3/E5 customers]

Windows 10/11 Enterprise VDA.

Sistemas Operativos suportados

Windows 10/11 Pro

Windows 10/11 Enterprise

Windows 10/11 Pro for Workstations

Cenários suportados

  • Os dispositivos devem ser corporativos. Dispositivos pessoais (BYOD) não são suportados.
  • Os dispositivos devem ser geridos pelo Microsoft Intune ou co-gerenciados com o Configuration Manager.
  • No caso de co-gestão, as seguintes workloads devem estar configuradas para Piloto Intune ou Intune:
    • Windows Update
    • Configuração de dispositivos
    • Aplicações Office Click-to-Run
  • Os dispositivos devem ter comunicado com o Microsoft Intune nos últimos 28 dias.
  • Os dispositivos devem estar ligados à internet.
  • Os dispositivos devem ter um número de série, modelo e fabricante.

A ativação do serviço é feita a partir do portal do Microsoft Endpoint Manager e é tão simples como clicar que concorda no menu de Tenant Enrollment e dar acesso à Microsoft ao nosso tenant de Microsoft 365.

De seguida o Windows Autopatch cria diferentes grupos de devices, e coloca os dispositivos automaticamente em cada um desses grupos. Os grupos têm diferentes políticas de updates assignadas, garantindo assim que os updates não são aplicados imediatamente a toda a organização, no fundo criando grupos pilotos que vão inicialmente testar estes updates em produção.

Assim garantimos que apenas são aprovados os updates para a maioria dos dispositivos quando não geraram qualquer problema nos grupos anteriores, que englobam apenas uma pequena percentagem dos dispositivos. Caso algum problema seja detetado, os updates podem ser suspensos, revertidos ou apenas instalada uma porção do update que se verificou não causar problemas.

Tudo isto feito de forma automática pelo Windows Autopatch, sem necessitar da intervenção do departamento de IT, o que efetivamente liberta esse departamento para se concentrar noutras tarefas eventualmente mais úteis à organização.

O que nós dizemos

Ao vivermos numa época onde tudo, incluindo as ameaças digitais, está em constante evolução, o patching dos diferentes sistemas é de importância fulcral. Apenas com sistemas atualizados podemos ter esperança de estar preparados para as ameaças que surjam. No entanto o patching também levanta os seus próprios problemas, nomeadamente em termos do tempo que rouba aos profissionais de IT e que os impede de efetuar outras tarefas mais produtivas e de no fundo gerar valor para a organização.
É aqui a que se vê a importância de um produto como o Windows Autopatch, que não só se propõe a libertar o IT das tarefas de configuração e manutenção das políticas de patching de uma organização, como também reage se algum dos updates estiver a causar problemas. Tudo isto usando tecnologias que muitas organizações já têm ao seu dispor, mas que muitas vezes não usam por desconhecimento ou falta de tempo.
Como ponto menos positivo eventualmente o facto de apenas estar disponível para licenças empresariais, embora no fundo acabem por ser esses clientes quem mais beneficia deste produto, o que a nosso ver, acaba por anular esse ponto menos positivo.

Comments