Guide de mise à niveau complet de Windows 10 pour les entreprises de toute taille

Que vous soyez responsable du seul PC Windows 10 ou de milliers, les difficultés de gestion des mises à jour sont les mêmes pour vous. Votre objectif est d'installer rapidement des mises à jour liées à la sécurité, de travailler intelligemment avec les mises à jour des composants et d'éviter les baisses de productivité dues à des redémarrages inattendus

Votre entreprise dispose-t-elle d'un plan de mise à jour Windows 10 complet? Il est tentant de considérer ces téléchargements comme des interférences périodiques dont vous devez vous débarrasser dès leur apparition. Cependant, une approche proactive des mises à jour est une recette de frustration et de productivité réduite.

Au lieu de cela, vous pouvez créer une stratégie de gestion pour tester et implémenter les mises à jour afin que ce processus devienne aussi quotidien que l'envoi de factures ou la tabulation mensuelle.

L'article contient toutes les informations nécessaires pour comprendre comment Microsoft envoie des mises à jour aux appareils exécutant Windows 10, ainsi que des détails sur les outils et les techniques qui peuvent être utilisés pour gérer intelligemment ces mises à jour sur les appareils exécutant les versions Windows 10 de Pro, Enterprise ou L'éducation (Windows 10 Home prend uniquement en charge les fonctionnalités de gestion des mises à jour les plus élémentaires et n'est pas adapté à une utilisation dans un environnement professionnel).

Mais avant de passer à l'un de ces outils, vous aurez besoin d'un plan.

Qu'est-ce qui est écrit dans vos règles de mise à jour?

Le sens des règles de mise à jour est de rendre le processus de mise à jour prévisible, de définir des procédures pour avertir les utilisateurs afin qu'ils puissent planifier leur travail en conséquence et éviter les temps d'arrêt inattendus. Les règles incluent également des protocoles pour gérer les problèmes inattendus, y compris la restauration des mises à jour ayant échoué.

Les règles de mise à jour raisonnables prennent un certain temps pour travailler avec les mises à jour chaque mois. Dans une petite organisation, une fenêtre spéciale dans le calendrier de service de chaque PC peut servir à cet effet. Dans les grandes organisations, il est peu probable que les solutions universelles fonctionnent, et elles devront diviser l'ensemble de la population PC en groupes de mise à jour (ils sont appelés «anneaux» dans Microsoft), chacun ayant sa propre stratégie de mise à jour.

Les règles doivent décrire plusieurs types de mises à jour différents. Le type le plus compréhensible est les mises à jour cumulatives mensuelles de sécurité et de fiabilité qui apparaissent le deuxième mardi de chaque mois («mardi des correctifs»). Cette version contient généralement l'outil de suppression de logiciels malveillants Windows et il peut y avoir l'un des types de mises à jour suivants:

• Mises à jour de sécurité pour .NET Framework
• Mises à jour de sécurité pour Adobe Flash Player
• Mises à jour de la pile de services (à installer dès le début).

Vous pouvez retarder l'installation de l'une de ces mises à jour jusqu'à 30 jours.

Selon le fabricant du PC, les pilotes matériels et micrologiciels peuvent également être distribués via le canal Windows Update. Vous pouvez refuser cela ou les gérer selon les mêmes schémas qu'avec les autres mises à jour.

Enfin, les mises à jour des fonctionnalités sont distribuées via Windows Update. Ces packages majeurs mettent à niveau Windows 10 vers la dernière version et sont publiés tous les six mois pour toutes les éditions de Windows 10, à l'exception du canal de maintenance à long terme (LTSC). Vous pouvez retarder l'installation des mises à jour des composants à l'aide de Windows Update for Business jusqu'à 365 jours; Les éditions Enterprise et Education peuvent retarder l'installation jusqu'à 30 mois.

Compte tenu de tout cela, vous pouvez commencer à créer des règles de mise à jour, qui devraient inclure les éléments suivants pour chacun des PC desservis:

• Date limite pour l'installation des mises à jour mensuelles. Par défaut, dans Windows 10, les mises à jour mensuelles sont téléchargées et installées dans les 24 heures après leur publication mardi des correctifs. Vous pouvez différer le téléchargement de ces mises à jour pour certains ou tous les PC de l'entreprise afin d'avoir le temps de vérifier la compatibilité; ce délai vous permet également d'éviter les problèmes dans le cas où Microsoft détecte un problème avec la mise à jour après la publication, comme cela s'est produit à plusieurs reprises avec Windows 10.
• Date limite pour l'installation des mises à jour semestrielles des composants. Aux paramètres par défaut, les mises à jour des composants sont téléchargées et installées lorsque Microsoft pense qu'elles sont prêtes. Sur un appareil que Microsoft a jugé approprié pour la mise à jour, les mises à jour des composants peuvent apparaître quelques jours après la sortie. Sur d'autres appareils, les mises à jour des composants peuvent apparaître dans quelques mois, ou elles peuvent être complètement bloquées en raison de problèmes de compatibilité. Vous pouvez définir un délai pour certains ou tous les PC de votre organisation afin d'avoir le temps de rechercher une nouvelle version. À partir de la version 1903, les utilisateurs de PC se verront proposer des mises à jour des composants, mais seuls les utilisateurs eux-mêmes donneront des instructions pour les télécharger et les installer.
• Quand autoriser le PC à redémarrer pour terminer l'installation des mises à jour: la plupart des mises à jour nécessitent un redémarrage pour terminer l'installation. Ce redémarrage intervient en dehors de la période de la «période d'activité» de 8 à 17 heures; ce paramètre peut être modifié à votre guise, en prolongeant l'intervalle à 18 heures. Les outils de gestion vous permettent de définir une heure spécifique pour le téléchargement et l'installation des mises à jour.
• Comment informer les utilisateurs des mises à jour et redémarrer: pour éviter les mauvaises surprises, Windows 10 informe les utilisateurs des mises à jour. La gestion de ces notifications dans les paramètres de Windows 10 est limitée. Beaucoup plus d'options sont disponibles dans les «stratégies de groupe».
• Parfois, Microsoft publie des mises à jour de sécurité critiques en dehors de la planification régulière des correctifs du mardi. Cela est généralement nécessaire pour corriger les failles de sécurité qui sont malicieusement exploitées par des tiers. Dois-je accélérer l'utilisation de ces mises à jour ou attendre la prochaine fenêtre du calendrier?
• Que faire en cas d'échec des mises à jour: si la mise à jour n'a pas réussi à se lever correctement ou si elle pose problème, que ferez-vous dans ce cas?

Après avoir identifié ces éléments, il est temps de choisir des outils pour travailler avec les mises à jour.

Gestion manuelle des mises à jour

Dans les très petites entreprises, y compris les magasins à employé unique, il est assez facile de configurer manuellement les mises à jour Windows. Options> Mise à jour et sécurité> Windows Update. Là, vous pouvez modifier deux groupes de paramètres.

Sélectionnez d'abord «Modifier la période d'activité» et ajustez les paramètres en fonction de vos habitudes de travail. Si vous travaillez généralement le soir, vous pouvez éviter les temps d'arrêt en définissant ces valeurs de 18 à minuit, ce qui entraîne des redémarrages programmés le matin.

Sélectionnez ensuite «Options avancées» et le paramètre «Choisir quand installer les mises à jour», en l'écrivant conformément à vos règles:

• Choisissez combien de jours pour retarder l'installation des mises à jour des composants. La valeur maximale est 365.
• Choisissez combien de jours pour retarder l'installation des mises à jour de qualité, y compris les mises à jour de sécurité cumulatives qui sortent le «mardi des correctifs». La valeur maximale est de 30 jours.

Les autres paramètres de cette page contrôlent l'affichage des notifications de redémarrage (activé par défaut) et l'autorisation de télécharger des mises à jour sur les connexions en tenant compte du trafic (désactivé par défaut).

Avant Windows 10 1903, il y avait également un paramètre pour sélectionner un canal - semi-annuel ou cible semi-annuel. Il a été supprimé dans la version 1903 et, dans les anciennes versions, il ne fonctionne tout simplement pas.

Bien sûr, le point de retarder les mises à jour n'est pas seulement de décoller de ce processus, puis de surprendre les utilisateurs un peu plus tard. Si, par exemple, vous définissez le délai d'installation des mises à jour de qualité sur 15 jours, vous devez utiliser ce temps pour vérifier la compatibilité des mises à jour et planifier une fenêtre de maintenance à un moment opportun avant la fin de cette période.

Gérer les mises à jour via les stratégies de groupe

Tous les paramètres manuels mentionnés peuvent également être appliqués via des stratégies de groupe, et dans la liste complète des stratégies liées aux mises à jour de Windows 10, il y a beaucoup plus de paramètres que ceux disponibles dans les paramètres manuels normaux.

Ils peuvent être appliqués à des PC individuels à l'aide de l'éditeur de stratégie de groupe local Gpedit.msc ou à l'aide de scripts. Mais le plus souvent, ils sont utilisés dans un domaine Windows avec Active Directory, où vous pouvez gérer des combinaisons de stratégies sur des groupes de PC.

Un nombre important de stratégies sont utilisées exclusivement dans Windows 10. Les plus importantes d'entre elles sont liées aux mises à jour Windows pour les entreprises situées dans Configuration ordinateur> Modèles d'administration> Composants Windows> Windows Update> Windows Update pour les entreprises.

• Choisissez quand recevoir les pré-builds - canal et délais pour les mises à jour des composants.
• Choisissez quand recevoir des mises à jour de qualité - retards dans les mises à jour cumulatives mensuelles et autres mises à jour liées à la sécurité.
• Gérer les pré-builds: lorsque l'utilisateur peut connecter la machine au programme Windows Insider et définir l'anneau d'initié.

Un groupe supplémentaire de stratégies se trouve dans Configuration ordinateur> Modèles d'administration> Composants Windows> Windows Update, où vous pouvez:

• Supprimez l'accès à la fonction de suspension de la mise à jour, ce qui empêchera les utilisateurs d'interférer avec l'installation, la retardant de 35 jours.
• Supprimez l'accès à tous les paramètres de mise à jour.
• Autorise le téléchargement automatique des mises à jour sur les connexions en tenant compte du trafic.
• Ne téléchargez pas avec les mises à jour du pilote.

Les installations suivantes ne sont disponibles que sur Windows 10 et concernent les redémarrages et les notifications:

• Désactivez le redémarrage automatique pour les mises à jour pendant la période d'activité.
• Indiquez la plage de la période d'activité pour le redémarrage automatique.
• Spécifiez la date limite de redémarrage automatique pour installer les mises à jour (de 2 à 14 jours).
• Définissez des notifications avec un rappel pour redémarrer automatiquement: augmentez la durée pendant laquelle l'utilisateur est averti (de 15 à 240 minutes).
• Désactivez les notifications de redémarrage automatique afin d'installer les mises à jour.
• Définissez la notification de redémarrage automatique afin qu'elle ne disparaisse pas automatiquement après 25 secondes.
• Ne pas autoriser les stratégies de délai de conservation des mises à jour à lancer l'analyse dans Windows Update: cette stratégie empêche le PC de vérifier les mises à jour si un délai est attribué.
• Autorisez les utilisateurs à contrôler les heures de redémarrage et à retarder les notifications.
• Configurer des notifications sur les mises à jour (l'apparition de notifications, de 4 à 24 heures), et des avertissements sur un redémarrage imminent (de 15 à 60 minutes).
• Mise à jour de la politique d'alimentation pour redémarrer la corbeille (un paramètre pour les systèmes éducatifs qui permet la mise à jour même avec la batterie).
• Afficher les paramètres de notification de mise à jour: vous permet d'interdire les notifications de mise à jour.

Les stratégies suivantes existent à la fois sur Windows 10 et sur certaines anciennes versions de Windows:

• Configuration des mises à jour automatiques: ce groupe de paramètres vous permet de sélectionner un programme de mise à jour hebdomadaire, bihebdomadaire ou mensuel, y compris le jour de la semaine et l'heure pour le téléchargement automatique et l'installation des mises à jour.
• Spécifiez l'emplacement du service Microsoft Update sur l'intranet: configurez le serveur WSUS (Windows Server Update Services) dans le domaine.
• Autoriser le client à rejoindre le groupe cible: les administrateurs peuvent utiliser des groupes de sécurité Active Directory pour définir des anneaux de déploiement WSUS.
• Ne vous connectez pas aux emplacements Windows Update sur Internet: interdisez aux PC travaillant avec le serveur de mise à jour local de communiquer avec des serveurs de mise à jour externes.
• Autorisez Windows Update Power Management à réveiller le système pour installer les mises à jour planifiées.
• Redémarrez toujours automatiquement le système à l'heure prévue.
• Ne redémarrez pas automatiquement si des utilisateurs s'exécutent sur le système.

Outils pour travailler dans de grandes organisations (Entreprise)

Les grandes organisations dotées d'une infrastructure réseau Windows peuvent contourner le serveur de mise à jour Microsoft et déployer des mises à jour à partir du serveur local. Cela nécessite une attention accrue de la part du service informatique de l'entreprise, mais ajoute de la flexibilité à l'entreprise. Les deux options les plus courantes sont Windows Server Update Services (WSUS) et System Center Configuration Manager (SCCM).

Le serveur WSUS est plus simple. Il agit comme un serveur Windows et fournit un stockage centralisé des mises à jour Windows dans une organisation. À l'aide de stratégies de groupe, l'administrateur dirige le PC Windows 10 vers le serveur WSUS, qui sert de source unique de fichiers pour l'ensemble de l'organisation. Depuis sa console d'administration, vous pouvez approuver les mises à jour, choisir quand les installer sur des PC ou des groupes de PC distincts. Vous pouvez lier manuellement des PC à différents groupes ou utiliser le ciblage côté client pour déployer des mises à jour basées sur des groupes de sécurité Active Directory existants.

À mesure que les mises à jour cumulatives de Windows 10 augmentent de plus en plus avec chaque nouvelle version, elles peuvent occuper une partie importante de la bande passante des canaux de communication. Les serveurs WSUS économisent le trafic à l'aide des fichiers d'installation express - cela nécessite plus d'espace libre dans le nord, mais réduit considérablement la taille des fichiers de mise à jour envoyés aux PC clients.

Sur les serveurs exécutant WSUS 4.0 et versions ultérieures, vous pouvez également gérer les mises à jour des composants Windows 10.

La deuxième option, System Center Configuration Manager, utilise la fonctionnalité riche de Configuration Manager pour Windows conjointement avec WSUS pour déployer des mises à jour de qualité et de composants. Le panneau de configuration permet aux administrateurs réseau de surveiller l'utilisation de Windows 10 sur l'ensemble du réseau et de créer des plans de service basés sur des groupes qui incluent des informations pour tous les PC en fin de cycle de support.

Si votre organisation dispose déjà de Configuration Manager pour fonctionner avec les versions antérieures de Windows, l'ajout de la prise en charge de Windows 10 sera assez simple.