Nel precedente articolo, abbiamo visto come Windows Autopatch non è semplicemente un’altra funzionalità di aggiornamento ma un servizio che permette di gestire il ciclo completo degli update per Windows, Microsoft 365 Apps, Edge e Teams, orchestrato centralmente da Microsoft. Il prossimo passaggio consiste nel capire come monitorare tutto questo in modo efficace attraverso la reportistica messa a disposizione sul portale Microsoft Intune in modo tale da rendere questa componente il valore aggiunto del servizio.
Uno degli equivoci più frequenti quando si parla di automazione degli aggiornamenti è pensare che, una volta affidato il processo al cloud, il tema della visibilità perda importanza: nel momento in cui si automatizzano i processi, diventa fondamentale disporre di strumenti in grado di restituire una lettura chiara di come sta funzionando il processo in questione. In questo senso, Windows Autopatch mette a disposizione un insieme di report che aiutano a comprendere se il processo adottato sta funzionando correttamente, fornendo insight sullo stato dei dispositivi, sull’andamento delle varie fasi di rollout e sulle eventuali criticità emerse.
È opportuno sottolineare come la reportistica di Windows Autopatch si basi a tre pillar fondamentali:
- il primo è la visibilità sullo stato degli aggiornamenti, sia Quality Update che Feature Update;
- il secondo riguarda la capacità di interpretare l’evoluzione dei trend nel tempo, al fine di valutare se l’organizzazione sta reagendo in modo adeguato durante il processo di aggiornamento;
- il terzo, forse il più interessante, riguarda la readiness che consiste nel comprendere in anticipo se i dispositivi siano realmente pronti a ricevere un aggiornamento senza generare malfunzionamenti.
In quest’ottica, il valore della reportistica non è solo tecnico ma anche decisionale: infatti, all’interno di un’organizzazione, è fondamentale capire se il livello complessivo di esposizione al rischio è sotto controllo e se il processo di aggiornamento è sufficientemente stabile e prevedibile. Per molto tempo, l’analisi sullo stato di aggiornamento dei sistemi è stata affrontata con una logica lineare: l’obiettivo principale era capire se una macchina fosse aggiornata oppure no. Oggi, però, questo approccio risulta insufficiente in quanto, la crescente diffusione di ambienti distribuiti e gestiti in cloud richiede una lettura più articolata e contestualizzata; non è più sufficiente sapere che un dispositivo non è allineato ma risulta necessario comprendere se sia realmente in linea con le tempistiche di distribuzione, se stia riscontrando problematiche in fase di update o se risulta essere al di fuori del perimetro di gestione previsto.
È proprio per i motivi sopra riportati che la reportistica di Windows Autopatch diventa fondamentale: i report non sono pensati solo per mostrare una percentuale di conformità, ma per aiutare gli IT Admin a distinguere le varie situazioni presenti nel loro ambiente.
Nel prossimo paragrafo, andremo ad approfondire i vari report relativi alla funzionalità Windows Autopatch disponibili sulla console di Microsoft Intune.
Overview report
L’architettura della reportistica di Windows Autopatch è costruita secondo una logica chiara e facilmente leggibile: per i Quality updates ed i Feature updates, Microsoft mette a disposizione tre viste principali: una dashboard riepilogativa, un report di stato per singolo dispositivo e una vista dei trend nel tempo. Questa suddivisione è particolarmente efficace perché permette di passare da una visione generale ad un’analisi dettagliata, fino ad arrivare alla valutazione dell’andamento nel medio periodo.
A questo modello, si affiancano altri strumenti che permettono di avere una visione complessiva sullo stato di aggiornamento dei sistemi:
- il Management Status Report permette di estendere l’analisi all’intero tenant, includendo anche i dispositivi Windows che non stanno ancora ricevendo aggiornamenti secondo le policy previste.
- la sezione degli Alerts and Remediations permette di evidenziare eventuali condizioni che possono impedire il corretto completamento degli aggiornamenti.
- il Device Update Journey fornisce supporto agli IT Admin nell’eseguire troubleshooting, mostrando tutti i vari step che un singolo dispositivo esegue durante le diverse fasi del deployment.
- l’Update Readiness Checker verifica se i dispositivi soddisfano tutti i requisiti necessari per ricevere gli aggiornamenti, controllando eventuali condizioni che potrebbero bloccarne o ritardarne l’installazione, prima che abbia inizio la distribuzione.
Nel complesso emerge un modello di osservabilità strutturato e articolato che consente di analizzare l’intero ciclo di vita del processo di rilascio degli aggiornamenti: dalla verifica dei prerequisiti, al deployment, fino all’identificazione di eventuali criticità; in questo modo, diventa possibile non solo sapere se un aggiornamento è andato a buon fine, ma anche comprendere come e perché si è arrivati a quel risultato.
| Report | Update | Livello | Scopo |
| Quality Update Summary Dashboard | Quality update | Overview | Offrire una visione aggregata sullo stato di aggiornamento dei device. |
| Quality Update Status Report | Quality update | Dettaglio | Dettaglio per singolo device su stato corrente dell’aggiornamento, ring di appartenenza, readiness e alert. |
| Quality Update Trending Report | Quality update | Trend | Offrire una visione nel tempo sullo stato di aggiornamento dei device. |
| Hotpatch Quality Update Report | Quality update | Overview | Verificare, a livello di policy, come stanno procedendo gli aggiornamenti sui dispositivi abilitati. |
| Feature Update Summary Dashboard | Feature update | Overview | Offrire una visione complessiva del rollout in merito alla versione target. |
| Feature Update Status Report | Feature update | Dettaglio | Dettaglio per singolo device su stato corrente dell’aggiornamento, ring di appartenenza, readiness e alert. |
| Feature Update Journey | Feature update | Overview + Trend | Mostrare la sequenza degli eventi di aggiornamento su una linea temporale e visualizzare lo stato della distribuzione aggiornata nelle diverse fasi del processo di distribuzione |
| Feature Update Trending Report | Feature update | Trend | Offrire una visione nel tempo sullo stato di aggiornamento dei device. |
| Autopatch Management Status Report | Quality update/Feature update | Dettaglio | Fornire una vista tenant-wide di tutti i dispositivi Windows gestiti da Intune, compresi quelli non coperti da policy di aggiornamento o non inseriti su Windows Autopatch |
| Alerts and Remediations | Quality update/Feature update | Overview | Evidenziare problemi che possono compromettere la capacità dei dispositivi di rimanere aggiornati o conformi |
| Update Readiness Checkup | Quality update/Feature update | Overview | Verificare in anticipo se i dispositivi siano realmente pronti a ricevere quality updates o feature updates |
Quality Update Summary Dashboard
All’interno della sezione Reports > Windows Autopatch > Windows quality updates, la Quality Update Summary dashboard è il punto di partenza per chi vuole capire, in tempi rapidi, come stia procedendo il ciclo mensile degli aggiornamenti di sicurezza (Quality Update): il suo scopo è quello di offrire una visione aggregata, suddivisa per Autopatch group e deployment ring, mostrando quanti dispositivi risultano aggiornati, quanti sono ancora in corso di aggiornamento, quanti non sono allineati e quanti, invece, si trovano in uno stato di non readiness.
Il punto di forza di questa dashboard è la sua immediatezza, in quanto permette di capire rapidamente se il ciclo di aggiornamento mensile sta procedendo in modo regolare o se risultano presenti situazioni di criticità: ad esempio, un aumento dei dispositivi “not ready” può indicare che il problema non riguarda un singolo aggiornamento, ma una condizione più generale di readiness; al contrario, un numero elevato di dispositivi in stato “in progress” per un lungo periodo può essere sintomo di problematiche legate alla user experience, come ad esempio riavvii non effettuati da parte degli utenti, oppure problematiche legate agli aggiornamenti in fase di installazione o nella distribuzione dei contenuti.
Questa dashboard è molto utile per chi ha una responsabilità di governance del servizio in quanto consente di cogliere subito se il livello di rischio stia aumentando o se il processo stia procedendo in modo coerente con le attese.
Quality Update Status Report
Selezionando il tab Reports all’interno della sezione Windows quality updates, sono disponibili una serie di report tra cui il report denominato Quality Update Status: questo report fornisce un dettaglio per singolo device dove vengono riportate informazioni importanti come: lo stato corrente dell’aggiornamento, il ring di appartenenza, la readiness e, soprattutto, l’eventuale presenza di alert.
Fornendo informazioni di dettaglio sui dispositivi, questo report supporta gli IT admin nelle attività di troubleshooting e nel rendere più efficace la risoluzione di eventuali problematiche: ad esempio, un dispositivo che non risulta aggiornato ma che non presenta alert e che appare comunque pronto potrebbe essere sintomo di una situazione temporanea o fisiologica mentre, un device non aggiornato, non pronto e accompagnato da alert potrebbe fare riferimento ad un blocco reale che richiede azioni di remediation.
Inoltre, questa dashboard è molto utile anche per comprendere se un’anomalia risulta essere diffusa oppure circoscritta ad uno specifico ring; quando i problemi si concentrano all’interno di un gruppo specifico, la cause potrebbe essere legate alla configurazione delle policy o a particolari caratteristiche (hardware e/o software) condivise tra i device presenti nello stesso gruppo.
Quality Update Trending Report
Il Quality Update Trending report offre una prospettiva nel tempo (timeline) utile a valutare se l’organizzazione stia migliorando nella distribuzione e nell’adozione dei Quality Update.
Questo report è utile perché aiuta a leggere i dati nel modo corretto, senza fermarsi al numero di device aggiornati o non aggiornati in un momento specifico, ma permettendo di capire se il processo, nel suo insieme, risulti stabile. Vedere un certo numero di dispositivi non aggiornati, in alcuni casi, potrebbe essere normale mentre, in altri casi, può essere un segnale di problema strutturale; analizzando l’andamento nel tempo, diventa più facile capire se si tratta di una situazione temporanea oppure di qualcosa che si ripete nel tempo. Questo report, inoltre, permette di capire se risultano presenti ring che periodicamente restano indietro nell’aggiornamento o, aspetto ancora più importante, se le azioni correttive introdotte per mitigare certe problematiche stanno avendo effetto sul proprio parco macchine.
Hotpatch Quality Update Report
Windows Hotpatch, introdotto per i client Windows 11 Enterprise versione 24H2, è una modalità di aggiornamento che consente di applicare gli update di sicurezza mensili senza richiedere il riavvio immediato del dispositivo; in pratica, le patch vengono installate e rese effettive in memoria, riducendo così il numero di reboot necessari durante il normale ciclo di aggiornamento.
È opportuno precisare che Hotpatch non elimina del tutto i riavvii, ma ne riduce la frequenza: Microsoft infatti, attraverso un modello a cicli, in specifici mesi dell’anno (Gennaio – Aprile – Luglio – Ottobre) distribuisce specifici aggiornamenti denominati Baseline update che richiedono riavvio mentre, nei mesi successivi, gli aggiornamenti di sicurezza vengono distribuiti in modalità hotpatch, quindi senza richiesta di restart.
Il report dedicato a questa funzionalità permette di verificare, a livello di policy, come stanno procedendo gli aggiornamenti sui dispositivi abilitati, con lo scopo di capire quanti stiano davvero sfruttando questo modello e beneficiando di aggiornamenti meno impattanti. Più l’organizzazione vuole ridurre l’impatto degli aggiornamenti sugli utenti o sui sistemi critici, più diventa utile disporre di una vista che misuri in modo concreto il risultato di questa scelta.
Feature Update Summary Dashboard
I feature update sono gli aggiornamenti che portano Windows a una nuova versione del sistema operativo (build): a differenza dei Quality Update, che correggono bug e vulnerabilità, i Feature Update introducono nuove funzionalità e modifiche di piattaforma. Proprio per questo motivo, i Feature Update sono generalmente più complessi da gestire in quanto risulta necessario tenere in considerazione una serie di aspetti come, ad esempio, la compatibilità applicativa, i requisiti hardware, lo spazio disponibile su disco o la presenza di blocchi di compatibilità applicati da Microsoft (Safeguard Hold).
La Feature Update Summary dashboard (presente all’interno della sezione Reports > Windows Autopatch > Windows feature updates) serve quindi ad avere una panoramica chiara e veloce della situazione, con l’obiettivo di avere una visione complessiva del rollout in merito alla versione target, evidenziando i vari stati: allineati, in corso di aggiornamento, non pronti, ecc…
Applicare regolarmente i Feature Update è fondamentale per mantenere Windows ad una versione supportata da parte di Microsoft; ogni release ha infatti una finestra di supporto definita: ad esempio, nelle edizioni Pro, il supporto delle versioni è di 24 mesi dalla data di rilascio, mentre le versioni Enterprise hanno un periodo di supporto più ampio di 36 mesi. E’ importante tenere presente che, quando una versione esce dal periodo di supporto, il device non è in grado di riceve neanche gli aggiornamenti di sicurezza mensili esponendo così la propria infrastruttura a rischi di sicurezza.
Per chi deve governare i passaggi di release, questa vista rappresenta quindi un indicatore sintetico ma essenziale che fornisce visibilità sull’andamento della distribuzione ed, eventualmente, sollevando punti d’attenzione che potrebbero rendere necessaria una revisone delle wave o dei criteri di targeting.
Feature Update Status Report
Come per i Quality Update, anche per gli aggiornamenti di funzionalità, selezionando il tab Reports all’interno della sezione Windows feature updates, sono disponibili una serie di report di dettaglio: il Feature Update Status report approfondisce il rollout a livello di singolo dispositivo e, per questo motivo, è uno dei report più importanti quando si gestiscono upgrade di versione. In questa vista, oltre ad avere visibilità sullo stato di aggiornamento dei device, è possibile visualizzare anche in quale condizione il dispositivo si trovi e con quale grado di readiness.
Inoltre, attraverso il pulsante View, presente nella colonna Update Timeline, è possibile visualizzare nel dettaglio i vari step che il device ha eseguito o sta eseguendo durante il processo di aggiornamento: queste informazioni risultano essere essenziali per quegli operatori IT che devono effettuare attività di troubleshooting, rendendo l’analisi più semplice ed efficace.
Ad esempio, nello screenshot sopra riportato, è possibile visualizzare come il device in questione sia partito da una situazione critica di non corretto aggiornamento fino ad arrivare alla corretta applicazione di tutti gli update distribuiti.
Al contrario, il device presente nello screenshot riportato qui sopra mostra come l’assenza degli update risulti essere imputabile ad una mancata comunicazione con la piattaforma; in una prospettiva tecnico-decisionale, questo report risulta essere molto utile, in quanto aiuta a tradurre un rollout in una lettura più ordinata separando i device realmente problematici da quelli ancora dentro la propria finestra di deployment.
Feature Update Journey
Uno dei limiti storici della reportistica sugli aggiornamenti è sempre stato l’uso di stati troppo generici, come “In progress”, che spesso non aiutano a capire cosa stia succedendo davvero sul dispositivo; il Feature Update journey nasce proprio per superare questo limite, offrendo una vista più dettagliata del percorso che i device seguono durante l’intero processo di aggiornamento.
Selezionando la target version e la policy di aggiornamento, gli IT admin sono in grado di generare un report che gli fornisca una visione chiara di tutte le fasi del processo di aggionamento.
Il valore di questa funzionalità è nel mostrare in modo chiaro la sequenza degli eventi su una linea temporale: è possibile visualizzare quando l’aggiornamento viene offerto, quando viene avviato il processo di download, quando inizia l’installazione fino ad arrivare a determinare se il processo risulta essersi completato correttamente no.
Inoltre, all’interno della sezione State point in time, è possibile visualizzare lo stato della distribuzione aggiornata nelle diverse fasi del processo di distribuzione, fotografando la situazione attuale per ciascuna fase del deployment; in pratica, questa sezione consente di capire quanti device si trovino in un determinato punto del processo in quel determinato momento, offrendo così una vista immediata sull’andamento complessivo.
Feature Update Trending Report
Il Feature Update Trending report svolge una funzione analoga a quella che il trending report ha per i Quality Updates, ma con una valenza ancora più significativa in quanto, il rilascio di un feature update si sviluppa nell’arco di settimane o mesi ed è fondamentale avere una visione del trend di aggiornamento nel tempo. Questo report rende visibile se il rollout stia procedendo secondo attese e risulta quindi essere un ottimo strumento per misurare la qualità dell’orchestrazione e non solo l’esito finale.
Autopatch Management Status Report
Uno dei rischi più comuni nella lettura dei report è ritenere che, se la dashboard di aggiornamento mostra uno stato positivo, allora tutti i dispositivi siano correttamente aggiornati. In realtà, una parte significativa dei sistemi potrebbe non essere stata targettizzata correttamente oppure non essere ancora gestita dal modello previsto; a tal proposito, Microsoft fornisce un report denominato Autopatch management status report (presente all’interno della sezione Devices > Windows updates > Monitor) con lo scopo di fornire una vista tenant-wide di tutti i dispositivi Windows gestiti da Intune, compresi quelli che non risultano ancora coperti dalle policy di aggiornamento o che non sono inseriti correttamente su Windows Autopatch.
Dal punto di vista della governance, questo è probabilmente il report più importante. In quanto permette di identificare eventuali incoerenze nel targeting oppure problemi di enrollment che, se ignorati, renderebbero qualsiasi percentuale di conformità meno affidabile di quanto sembri.
Alerts and Remediations
In Windows Autopatch, gli alert servono ad evidenziare problemi che possono compromettere la capacità dei dispositivi di rimanere aggiornati o conformi: all’interno della sezione Devices > Windows updates > Feature update/Quality updates, è disponibile una sezione denominata Alerts and remediations che permette di visualizzare un elenco di segnalazioni riguardanti i device, le policy e/o altri elementi del processo che potrebbero rallentare o compromettere l’esito del processo stesso.
Questo report consente agli IT admin di operare in modo proattivo, intercettando eventuali criticità prima che si trasformino in problemi e permettendo così di definire in modo efficace le varie priorità. Inoltre, all’interno del report, gli alert riportano un contesto utile alla remediation, in modo tale che l’IT possa individuare più rapidamente le attività da implementare per risolvere efficacemente le problematiche.
Update Readiness Checkup
All’interno dei tab Feature updates e Quality updates presenti sotto Devices > Windows updates, sono disponibili due sezioni denominate rispettivamente Feature update readiness checkup e Quality update readiness checkup che rimandano al medesimo report: Update readiness checkup. Questo report permette di verificare in anticipo se i dispositivi siano realmente pronti a ricevere quality updates o feature updates.
Selezionando la tipologia di aggiornamento (Feature Update o Quality Update) e la target release sarà possibile generare, attraverso il pulsante Run checkup, un report completo contenente tutte le informazioni necessarie sullo stato di readiness dei propri sistemi.
Anche all’interno di questo report, è disponibile una sezione legata alle raccomandazioni che, come detto in precedenza, permette di raccogliere e gestire al meglio le varie tipologie di problematiche attualmente in essere:
Questo report ha un impatto molto rilevante per le organizzazioni, in quanto consente di intercettare problemi bloccanti come ad esempio spazio disco, connettività, compatibilità o altri prerequisiti prima ancora che il deployment abbia inizio, con un vantaggio non solo tecnico ma anche organizzativo.
Riferimenti
Si riportano alcuni utili riferimenti alle documentazioni ufficiali:
- Maintain the Windows Autopatch environment
- Conflicting configurations
- Frequently Asked Questions about Windows Autopatch
Conclusioni
In sintesi, Windows Autopatch non semplifica solamente la distribuzione degli aggiornamenti, ma offre anche gli strumenti necessari per capirne l’andamento e gestire preventivamente eventuali impatti; il valore reale della piattaforma emerge proprio nella visibilità su ogni singola fase del processo, un aspetto fondamentale soprattutto per chi deve valutare il rischio e la qualità del servizio.