Windows Autopatch: quando il patching diventa servizio gestito

Davide SalsiEnterprise Mobility, Microsoft Intune

Secondo un’analisi effettuata da parte di Forrester Consulting (vedi link), la mancata applicazione degli aggiornamenti di sicurezza sui sistemi Windows risulta essere una delle vie di accesso più frequenti sfruttate dagli attaccanti; questo studio ha messo in luce un problema strutturale nella gestione del patching su molte realtà, in quanto vengono adottate tutt’ora soluzioni tradizionali e frammentate. Inoltre, nell’ultimo periodo, molte aziende si sono trovate a dover ragionare su quali soluzioni e/o modalità di aggiornamento dei sistemi Windows adottare a fronte dell’annuncio da parte di Microsoft sulla deprecazione di Windows Server Update Services (WSUS); introdotto agli inizi degli anni 2000, WSUS è una funzionalità del sistema operativo che permette di gestire e distribuire aggiornamenti per i prodotti Microsoft in modo centralizzato e controllato da una console presente su un server (tendenzialmente on-premise).

Come riportato da Microsoft attraverso i suoi canali ufficiali (vedi link), WSUS rimarrà disponibile in Windows Server 2025 ma viene suggerito di iniziare a “volgere lo sguardo” verso soluzioni cloud-based, come Windows Update for Business o Windows Autopatch per l’ecosistema client e Azure Update Manager per il mondo server.

Windows Update for Business e Windows Autopatch risultano essere due facce della stessa medaglia ma con differenze sostanziali che nel corso di questo articolo andremo ad approfondire: la soluzione Windows Update for Business (WUfB) ha introdotto un nuovo paradigma nella gestione degli aggiornamenti. Con WUfB, gli IT admin hanno la possibilità di definire policy di aggiornamento direttamente dal cloud, senza la necessità di server on-premises e senza dover approvare singolarmente gli aggiornamenti. Inoltre, attraverso questa soluzione, è possibile creare policy di deferral (posticipare la visualizzazione e l’applicazione degli update) e definire delle wave di aggiornamento (Ring) in modo tale da poter applicare gradualmente gli aggiornamenti, riducendo così l’eventuale impatto legato a malfunzionamenti post update.

A differenza di Windows Update for Business, Windows Autopatch non è semplicemente un’altra funzionalità di aggiornamento: è un servizio che permette di gestire il ciclo completo degli update per Windows, Microsoft 365 Apps, Edge e Teams, orchestrato centralmente da Microsoft. Questo servizio non si limita a orchestrare gli aggiornamenti ma è in grado di gestire l’intero processo di patching in modo sequenziale e controllato, in quanto permette di creare automaticamente Ring di aggiornamento (con un inserimento progessivo dei sistemi nelle varie wave attraverso metriche intelligenti), rilasciare gli update e, attraverso la telemetria, eseguire rollback automatico quando necessario.

La seguente tabella riassume le differenze sostanziali tra le soluzioni Windows Update for Business e Windows Autopatch:

Caratteristica Windows Update for Business (WUfB) Windows Autopatch
Obiettivo Consentire all’IT di controllare policy di aggiornamento Fornire un servizio di aggiornamento gestito in autonomia
Gestione delle policy Manuale, sotto controllo IT Automatizzata, gestita dal servizio
Tipi di aggiornamenti inclusi Windows (configurabile) Windows, Microsoft 365 Apps, Edge, Teams, driver
Rollout graduale Sì, ma definito dall’IT Sì, gestito dal servizio con metriche intelligenti
Automazione Limitata Elevata
Livello di controllo IT Alto Intermedio, con supervisione
Complessità operativa Medio-alta Ridotta

Requisiti

I requisiti per poter attivare la funzionalità Microsoft Connected Cache sono:

  • Licensing
    • Microsoft 365 Business Premium.
    • Windows Enterprise E3 o E5 (inclusa in Microsoft 365 F3, E3, o E5).
    • Windows Education A3 o A5 (inclusa in Microsoft 365 A3 o A5).
    • Windows 10/11 Enterprise E3 or E5 VDA.
    • Microsoft Entra ID P1 o P2.
    • Microsoft Intune (standalone o licenza presente nei piani EM+S o M365).
  • Network
    • Raggiungibilità dei seguenti endpoint Microsoft (vedi link).
  • Device
    • I device devono avere installata una versione in supporto di Windows 10/11 sul canale General Availability con le seguenti SKU:
      • Windows 10/11 Professional, Education, Enterprise, Pro Education, Pro for Workstations
      • Windows 10/11 IoT Enterprise edition
    • I device devono essere registrati sullo strumento di gestione Microsoft Intune prima della registrazione sul servizio Windows Autopatch.
    • Il canale di aggiornamento di Microsoft 365 Apps deve essere Monthly Enterprise.

Attivazione di Windows Autopatch

Il primo passo per poter utilizzare Windows Autopatch è l’attivazione della funzionalità sul proprio tenant; gli step seguenti descrivono la procedura di attivazione:

  • Eseguire l’accesso al portale Microsoft Intune con credenziali amministrative.
  • Accedere alla sezione Tenant Administration > Windows Autopatch.
  • Selezionare la voce Feature activate.
  • Spuntare la voce I consent to these changes on my tenant e premere sul pulsante
Figura 1 – Attivazione Windows Autopatch su Tenant
  • Verificare il corretto completamento della procedura
Figura 2 – Corretta attivazione servizio Windows Autopatch

Una volta completato il processo di attivazione, risulta necessario procedere con la predisposizione di almeno un Autopatch group: un Autopatch group è un contenitore logico che raggruppa i seguenti artifact:

  • Gruppi Microsoft Entra ID;
  • Update Rings policy;
  • Feature Update policy;
  • Driver Update policy;
  • Microsoft 365 Apps update policy;
  • Microsoft Edge update policy;
Figura 3 – Overview Autopatch Group

Dal punto di vista tecnico, invece, un Autopatch group risulta essere una function app che fa parte del microservizio di registrazione dei device all’interno del servizio Windows Autopatch; per completezza di informazioni, riportiamo di seguito il workflow che viene avviato a fronte della creazione di un gruppo:

  • Creazione Autopatch group: una volta creato, l’Autopatch group avvia il processo di registrazione dei device nel servizio Windows Autopatch.
  • Creazione gruppi Entra ID e assegnazione policy: a questo punto, Windows Autopatch utilizza Microsoft Graph per coordinare la creazione delle risorse citate in precedenza, come gruppi Entra ID e Software Update.
  • Creazione assegnazioni: una volta creati i gruppi Entra ID, viene avviato su Intune il processo per assegnare le Software Update policy a tali gruppi e per specificare il numero di dispositivi che necessitano di tali criteri.

Riportiamo di seguito gli step necessari per creare un Autopatch group, compresi eventuali requisiti aggiuntivi:

  • Eseguire l’accesso al portale Microsoft Intune con credenziali amministrative.
  • Accedere alla sezione Groups e premere su New group.
Figura 4 – Creazione nuovo gruppo Entra ID
  • Lasciare invariata la tipologia del gruppo in Security.
  • Assegnare un nome al gruppo ed una eventuale descrizione.
  • Verificare che la tipologia di membership risulti essere Assigned.
Figura 5 – Gruppo Entra ID (tipo statico)
  • Premere su No member selected ed inserire i device Windows 10/11 che si vogliono aggiungere al gruppo.
  • Premere sul pulsante

Il gruppo appena creato verrà utilizzato dal servizio Windows Autopatch per registrare i device presenti sul servizio e popolare dinamicamente i vari Ring che si andranno a definire.

Procedere con le medesime attività per creare i gruppi che conterranno rispettivamente i device di test e “VIP”.

I prossimi step permetteranno di creare un nuovo Autopatch group:

  • Accedere alla sezione Tenant Administration > Windows Autopatch.
  • Selezionare la voce Autopatch groups e premere sul pulsante Create.
Figura 6 – Creazione nuovo Autopatch Group
  • Assegnare un nome ed una eventuale descrizione all’Autopatch group e premere sul pulsante Next.
  • Risulta ora possibile predisporre i vari deployment ring basandosi sul gruppo precedentemente creato:
    • Premere sul pulsante Add group disponibile nella sezione Dynamic group distribution e selezionare il gruppo Entra ID precedentemente creato.
Figura 7 – Definizione Dynamic group distribution
Figura 8 – Impostazione gruppo Entra ID per Dynamic group distribution

N.B.: per impostazione predefinita, in un gruppo Autopatch sono automaticamente presenti i ring Test e Last deployment; all’interno del primo gruppo, si consiglia di inserire i dispositivi degli IT admin o dei key users i quali riceveranno per primi gli aggiornamenti e potranno validare il corretto funzionamento post-update. Nell’ultimo gruppo, si consiglia di inserire i device di utenti VIP o device critici sui quali è necessario utilizzare un approccio più conservativo.

  • Premere sul pulsante Add deployment ring per definire ulteriori ring di distribuzione degli aggiornamenti e quanti device inserire dinamicamente in ciascun gruppo (attraverso le apposite percentuali raggiungendo il 100%); per i ring Test e Last, attraverso il pulsante Add group to ring, assegnare i gruppi creati in precedenza.
Figura 9 – Definizione Entra ID group e percentuali per Deployment Ring
  • Premere sul pulsante Next.
  • Selezionare le tipologie di aggiornamenti che si vogliono far gestire al servizio Windows Autopatch.
Figura 10 – Configurazione tipologia update
  • Premere nuovamente sul pulsante Next.
  • Ora è possibile definire per ogni tipologia di update le varie caratteristiche: per i Feature Update è possibile definire quale build rilasciare (es: Windows 11 25H2) – per i Driver Updates, è possibile definire (per singolo gruppo o per tutti i gruppi) se l’approvazione di nuove versioni dovrà avvenire automaticamente oppure attraverso un’approvazione manuale – per gli aggiornamenti Microsoft Edge, è possibile definire per ogni gruppo (o per tutti i gruppi) uno specifico canale.
Figura 11 – Definizione configurazioni per singole categorie di update
  • Premere Next per procedere con il wizard di creazione.
  • All’interno della sezione Release schedules, è possibile definire le modalità di installazione degli aggiornamenti e quella che sarà la User Experience che si vorrà fornire ai propri utenti: dal menu a tendina Select a release schedule present, è possibile utilizzare dei template di configurazione già forniti da Microsoft in base alle proprie necessità. In base alla selezione del profilo, verranno modificate automaticamente le varie configurazioni.
Figura 12 – Template modalità di rilascio aggiornamenti
  • Attraverso i singoli pulsanti Edit, sarà possibile modificare singolarmente il comportamento per ogni Ring:
    • Windows Update:
      • Automatically install and restart: gli aggiornamenti vengono resi disponibili ed installati all’intenro di un determinato lasso di tempo.
      • Scheduled install and restart: gli aggiornamenti possono essere applicati solamente all’interno di un lasso di tempo ben definito
        • Set active hours: è possibile definire un range temporale (ora di inizio e ora di fine) all’interno del quale gli aggiornamenti non possono essere applicati.
        • Scheduled install and restart: è possibile definire con che frequenza gli aggiornamenti possono essere installati, specificando anche giorno e ora di applicazione.
      • Use the default Windows update notification: verranno visualizzate le notifiche di default per l’applicazione degli aggiornamenti.
      • Turn off all notifications, excluding restart warnings: tutte le notifiche, ad esclusione di quelle del riavvio, verranno disattivate.
      • Turn off all notifications, including restart warnings: tutte le notifiche, comprese quelle relative al riavvio, verranno disattivate.
Figura 13 – Modalità installazione e UX Windows Update
    • Quality and driver updates:
      • Client update deferrals: è possibile specificare dopo quanti giorni verranno resi disponibili gli aggiornamenti.
      • Deadline: attraverso la deadline, viene specificato il numero di giorni dopo il deferral in cui l’aggiornamento deve essere installato.
      • Grace period: è il numero di giorni dopo che un dispositivo diventa attivo trascorso il quale l’aggiornamento deve essere installato.
Figura 14 – Modalità installazione e UX Quality e Driver Update
    • Feature updates:
      • Deferrals: è possibile specificare dopo quanti giorni verranno resi disponibili gli aggiornamenti.
      • Deadline: attraverso la deadline, viene specificato il numero di giorni dopo il deferral in cui l’aggiornamento deve essere installato.
Figura 15 – Modalità installazione e UX Feature Update
    • Microsoft 365 apps updates:
      • Deferrals: è possibile specificare dopo quanti giorni verranno resi disponibili gli aggiornamenti.
      • Deadline: attraverso la deadline, viene specificato il numero di giorni dopo il deferral in cui l’aggiornamento deve essere installato.
      • Hide update notifications: consente di disattivare le notifiche di aggiornamento.
Figura 16 – Modalità installazione e UX M365 Apps update
  • Premere sul pulsante Next.
  • Assegnare eventualmente gli scope tag necessarie e premere nuovamente sul pulsante Next;
  • Verificare quanto modificato e, attraverso il pulsante Create, avviare il processo di predisposizione di tutti gli artifacts configurati.
Figura 17 – Corretto completamento procedura di creazione Autopatch Group
  • Ultimato il processo, all’interno della sezione relativa agli update (Devices > Windows > Windows updates), sarà possibile visualizzare le policy create.
Figura 18 – Verifica corretta creazione Update policy
Figura 19 – Verifica corretta assegnazione Update policy

Come ultimo step, ora risulta necessario creare una policy che consenta ai device di collezionare i necessari dati di telemetria ed inviarli al servizio Windows Autopatch per essere elaborati ed aggregati; di seguito, riportiamo la procedura per attivare e distribuire la Windows Data Diagnostics policy:

  • Eseguire l’accesso al portale Microsoft Intune con credenziali amministrative.
  • Accedere alla sezione Devices > Windows > Configuration.
  • Premere sul pulsante Create > New Policy.
  • Dal menu a tendina Platform, selezionare Windows 10 and later e dal menu Profile type selezionare la voce Settings Catalog.
  • Premere sul pulsante Create.
  • Assegnare un nome alla policy ed un’eventuale descrizione.
  • Premere su Add settings.
  • All’interno dell’apposito menu di ricerca, digitare le seguenti voci e selezionare il respettivo settings all’interno della sezione relativa ai risultati di ricerca:
    • Allow Microsoft Managed Desktop Processing > Allowed
    • Allow Telemetry > Full
    • Limit Enhanced Diagnostic Data Windows Analytics > Enabled
    • Limit Diagnostic Log Collection > Enabled
    • Limit Dump Collection > Enabled
Figura 20 – Selezione Category su Settings Catalog
Figura 21 – Selezione configurazioni Data collection
  • Procedere con la creazione della policy, premendo sul pulsante Next.
  • Assegnare eventuali scope tags e premere sul pulsante Next.
  • Assegnare la policy a tutti i device che saranno registrati sul servizio Windows Autopatch (eventualmente utilizzare il gruppo creato in precedenza).
  • Premere nuovamente sul pulsante Next.
  • Premere sul pulsante Create per ultimare la creazione della policy.

Riferimenti

Si riportano alcuni utili riferimenti alle documentazioni ufficiali:

Conclusioni

Windows Autopatch non può essere considerato un vero e proprio strumento di gestione degli aggiornamenti: è un servizio che consente di migrare da una gestione manuale degli update ad un modello gestito, basato su metriche e telemetria. Questo servizio non solo riduce il carico sul reparto IT, ma permette anche di inserire il patching all’interno di strategie più ampie di sicurezza, compliance normativa e Zero Trust.

Nel prossimo articolo, vedremo come monitorare il processo di aggiornamento dei sistemi e come effettuare attività di manutenzione su Windows Autopatch.