Windows Autopatch en bêta publique : ce qu’il faut savoir

La disponibilité globale de Windows Autopatch ? Il faudra attendre début juillet pour ça. On peut toutefois avoir un aperçu, à la faveur de son passage en bêta publique.

Ce service cloud reprend les fondamentaux de Windows Update for Business, mais il automatise la planification et la diffusion des mises à jour. Principalement sur deux plans : l’OS et les applications Microsoft 365.

En l’état, Autopatch prend en charge Windows 10 et 11, dans leurs éditions Pro et Entreprise 64 bits. La couverture s’étendra à Windows 365 Entreprise au moment de la disponibilité globale.

Dans tous les cas, il faut au minimum une licence Windows Entreprise E3. Et des appareils gérés (pas de BYOD) ; soit exclusivement avec Intune, soit en cogestion (avec Configuration Manager, et connectés à Azure Active Directory Premium, éventuellement depuis un annuaire sur site en mode hybride).

Des engagements de qualité de service…

Pour automatiser le processus de mise à jour de Windows, Autopatch crée ses propres anneaux de diffusion, évolutifs. Ces anneaux sont des groupes Azure AD. Au nombre de quatre : test, first, fast, broad.
Le premier fait office d’anneau de validation. On y ajoute manuellement des appareils. Microsoft recommande d’en intégrer au moins un pour les flottes comprenant jusqu’à 500 appareils ; 5 pour celles jusqu’à 5000 ; 50 pour davantage.
Les trois suivants permettent d’échelonner le déploiement, sur des populations respectives d’environ 1 %, 9 % et 90 % du parc. Il est possible de basculer des appareils entre anneaux. Pour en ajouter, c’est soit directement, soit en imbriquant des groupes AD dans un autre (« Windows Autopatch »).

Les mises à jour diffusées sont celles du Patch Tuesday (mises à jour de qualité mensuelles, version B). S’y ajoutent les pilotes publiés sur Windows Update avec l’étiquette « automatique ». En fonction de critères de stabilité, Autopatch peut mettre des updates en pause, les désinstaller ou les faire passer partiellement.

Microsoft s’engage à installer ces updates sous 21 jours sur au moins 95 % des appareils éligibles. Autopatch les déploie en utilisant des règles MDM associant reports, deadlines et périodes de grâce. Sur l’anneau broad, par exemple, l’installation se lance 9 jours après la disponibilité de la mise à jour. Sauf si l’utilisateur la replanifie… ou la zappe. Auquel cas l’appareil essaye d’installer en dehors des plages d’activité – configurées dynamiquement par défaut. S’il n’y parvient pas, il force l’installation après 5 jours, avec un avertissement 15 minutes avant. Il existe une période de grâce de 2 jours sur les appareils qu’on rallume après expiration du délai.

Autopatch mise à jour Windows

… même si Autopatch ne gère pas tout

Les mises à jour que Microsoft considère comme critiques font l’objet d’exceptions à cette cadence. Pour les OS serveur et le multisession, on repassera : ils ne sont pas encore sur la roadmap.

Concernant les applications Microsoft 365, un engagement : que 90 % des appareils éligibles soient sur une version prise en charge pour Access, Excel, OneNote, Outlook, PowerPoint et Word. Sachant qu’on est sur le canal entreprise mensuel, où chaque version est prise en charge pendant deux mois.

Le CDN Office distribue graduellement les mises à jour : Autopatch n’a pas la main. Il contrôle, en revanche, le délai d’installation après téléchargement : 3 jours.

Pour Edge, pas non plus d’anneaux. Autopatch s’appuie sur le canal stable, où les mises à jour de qualité sont hebdomadaires. Et où les mises à jour de fonctionnalités – puisées sur le canal bêta pour l’anneau test – interviennent toutes les 4 semaines.
Pour Teams, on est sur le canal standard avec mise à jour automatique tous les mois.
L’un et l’autre logiciel ne prennent pour le moment pas en charge la suspension et la désinstallation de mises à jour avec Autopatch.

Illustration principale ©