SCCM
Tendencia

Distribuir Actualizaciones de Windows 11 usando SCCM / Configuration Manager

()

En este artículo vamos a aprender cómo distribuir Actualizaciones de Windows 11 con SCCM / Configuration Manager / MEMCM mediante ADR o SUG.

Una vez estás administrando dispositivos Windows 11 usando SCCM / ConfigMgr, puedes distribuir actualizaciones de Windows 11 para estar protegido frente a los últimos fallos de seguridad.

Para poder distribuir las actualizaciones de seguridad para Windows 11 en Configuration Manager, debes asegurarte de que estás sincronizando los parches de seguridad de Windows 11.

Cuando aparezcan las actualizaciones de Windows 11 en la consola de SCCM, puedes crear manualmente un Software Update Group de Windows 11 o crear una ADR para Windows 11 que distribuya automáticamente cada mes las actualizaciones de Windows 11 (opción recomendada).

Incluir Windows 11 en el Software Update Point como Producto a sincronizar

  • En la consola de SCCM, ve a «Administration \ Overview \ Site Configuration \ Sites«.
  • Selecciona «Configure Site Components«.
  • Selecciona «Software Update Point«.
  • En la pestaña «Products» escoge Windows 11 y aplica cambios.
Configuration Manager - Software Update Point Component Properties - Products - Windows 11
Configuration Manager – Software Update Point Component Properties – Products – Windows 11

Ahora que Windows 11 ha sido añadido a la lista de Productos de tu Software Update Point, el WSUS interno sincronizará sus parches y aparecerán en la consola de SCCM. Puedes forzar la sincronización de actualizaciones en «Software Library \ Overview \ Software Updates \ All Software Updates \ Synchronize Software Updates«

All Software Updates > Synchronize Software Updates
Forzar sincronización de actualizaciones en SCCM / Configuration Manager

En caso de que las actualizaciones que quieras incluir no aparezcan, puedes importar actualizaciones manualmente en WSUS y SCCM.

Crear un Software Update Group de Windows 11 en SCCM / Configuration Manager

  • En la consola de SCCM, ve a «Software Library \ Overview \ Software Updates \ All Software Updates«.
  • En el lado derecho, haz clic en «Add Criteria» y marca «Expired, Product y Superseded«.
  • Rellena los campos de la siguiente forma:
    • Expired: No
    • Product: Windows 11
    • Superseded: No
  • Selecciona sólo los parches de seguridad que quieres distribuir y haz clic derecho «Create Software Update Group«.
  • Sigue el asistente para crear el Software Update Group.
  • Una vez finalizado, puedes distribuir actualizaciones desde «Software Library \ Overview \ Software Updates \ Software Update Groups«.
Windows 11 - Create Software Update Group - Criteria
Windows 11 – Create Software Update Group – Criterios

Crear Automatic Deployment Rule (ADR) de Windows 11 en SCCM / Configuration Manager

  • En la consola de SCCM, ve a «Software Library \ Overview \ Software Updates \ Automatic Deployment Rules«.
  • Haz clic en «Create Automatic Deployment Rule«.
  • Se abrirá un asistente, en la ventana «General» escoge las siguientes opciones:
    • Name: ADR Windows 11
    • Template: Patch Tuesday
    • Collection: Especifica una colección que incluya los dispositivos con Windows 11.*
  • Marca las siguientes opciones y haz clic en «Next«:
    • «Create a new Software Update Group«.
    • «Enable the deployment after this rule is run«
SCCM ADR - Windows 11 - Deploy Updates
SCCM ADR – Windows 11 – General
  • En la pestaña «Deployment Settings«, escoge las siguientes opciones:
    • Type of deployment: Disponible o Requerido. Al ser actualizaciones de seguridad, se recomienda que sean Requeridas.
    • Detail level: All messages. Así obtienes todo el detalle en caso de error.
    • Marca «Automatically deploy all software updates found by this rule, and approve any license agreements«.
  • Haz clic en «Next«:
SCCM ADR - Windows 11 - Deploy Updates
SCCM ADR – Windows 11 – Deployment Settings
  • En la pestaña «Software Updates» recomendamos especificar los siguientes criterios de búsqueda:
    • Date Released or Revised: Last 1 month.
    • Product: Windows 11.
    • Superseded: No.
    • Update Classification: «Critical Updates» OR «Security Updates» OR «Updates».
    • Si sólo tienes una arquitectura, se recomienda especificar con «Architecture«.
  • Haz clic en «Preview» para comprobar los parches de seguridad que encontraría esta búsqueda:
SCCM ADR - Windows 11 - Search criteria
SCCM ADR – Windows 11 – Search criteria
  • Comprueba que los parches de seguridad son correctos y haz clic en «Close» y «Next«:
SCCM ADR - Windows 11 - Preview Updates
SCCM ADR – Windows 11 – Preview Updates
  • En la pestaña «Evaluation Schedule» marca «Run the rule on a schedule» y escoge:
    • Recurrence pattern: Monthly.
    • Recur every: The Second Tuesday
    • Offset (days): 1
  • De esta forma, se ejecutará la ADR automáticamente 1 día después del día que se lanzan los parches. En mi caso especifico que se ejecute a las 10:30 AM para que los parches aparezcan durante las primeras horas del primer día laboral tras su lanzamiento.
SCCM ADR - Windows 11 - Evaluation Schedule - Custom Schedule
SCCM ADR – Windows 11 – Evaluation Schedule – Custom Schedule
  • En la pestaña «Deployment Schedule» debes escoger dos factores:
    • Software available time: Cuándo estará disponible para esta colección de equipos los parches, una vez se ejecute la ADR. En este caso, lo antes posible.
    • Installation deadline: Cuándo se instalarán de forma obligatoria los parches, una vez finalizado el «Software available time». En este caso, 2 días después de que estén disponibles.
  • Haz clic en «Next«:
SCCM ADR - Windows 11 - Deployment Schedule
SCCM ADR – Windows 11 – Deployment Schedule
  • En la pestaña «User Experience» puedes especificar las opciones de experiencia de usuario que deseas para tus equipos. Mis recomendaciones:
    • Deadline behavior: Software Update Installation. Por si hay equipos con ventana de mantenimiento configurada.
    • Device restart behavior: Servers. No deberían haber servidores Windows 11, pero así hacemos una doble comprobación.
    • Commit changes at deadline or during a maintenance windows (requires restarts). Para equipos Windows Embedded en caso de haberlos.
    • If any update in this deployment requires a system restart, run updates deployment evaluation cycle after restart. De esta forma el dispositivo Windows 11 subirá inventario y reportará como actualizado tras el reinicio obligatorio del parche de seguridad.
SCCM ADR - Windows 11 - User Experience
SCCM ADR – Windows 11 – User Experience
  • En la pestaña «Alerts» puedes configurar que SCCM te notifique cuando la ADR falle o cuando se cumplan unas condiciones concretas. Mis recomendaciones son:
    • Generate an alert when this Rule fails: Para que nos avise si la ADR no se ejecuta correctamente.
    • Generate an alert when the following conditions are met. Client compliance is below the following percent: 90.
    • Offset from the deadline: 7 Days.
  • Con esto último, SCCM te avisará si la ADR no se ejecuta o si después de 7 días no se han actualizado el 90% de los equipos Windows 11. Los avisos aparecen al abrir Configuration Manager.
SCCM ADR - Windows 11 - Alerts
SCCM ADR – Windows 11 – Alerts
  • En la pestaña «Deployment Package» debes crear el paquete que contendrá las actualizaciones de Windows 11 a distribuir. Mis recomendaciones:
    • Escoge «Create a new deployment package» para hacer un paquete exclusivo de actualizaciones de Windows 11 en SCCM.
    • Name: Windows 11 Updates
    • Package source: ruta donde se almacenarán los parches.
  • Deja el resto de opciones por defecto y haz click en «Next»:
SCCM ADR - Windows 11 - Create Deployment Package
SCCM ADR – Windows 11 – Create Deployment Package
  • Nota: En caso de tener los dispositivos Windows 11 en teletrabajo o salida directa a Internet, puedes marcar «No deployment package«. De esta forma, los equipos Windows 11 descargarán las actualizaciones desde los servidores de Microsoft.
  • En la pestaña «Distribution Points«, añade con «Add» los Puntos de Distribución de tu SCCM y haz clic en «Next«:
SCCM ADR - Windows 11 - Distribution Points
SCCM ADR – Windows 11 – Distribution Points
  • En caso de tener salida a Internet, en la pestaña «Download Location» escoge «Download software updates from the Internet» y haz clic en «Next«:
SCCM ADR - Windows 11 - Download Location
SCCM ADR – Windows 11 – Download Location
  • En la pestaña «Language Selection«, puedes añadir los idiomas adicionales que tienen tus equipos Windows 11. En caso de que no pongas todos los idiomas necesarios, la distribución de las actualizaciones de Windows 11 puede fallar en algunos equipos por falta de ficheros (idiomas):
SCCM ADR - Windows 11 - Language Selection
SCCM ADR – Windows 11 – Language Selection
  • En la pestaña «Download Settings» escoge cómo se comportarán los equipos Windows 11 a la hora de descargar. Recomendaciones:
    • Download software updates from distribution point and install: De esta forma se descargarán e instalar las actualizaciones siempre que haya un Punto de Distribución cercano.
    • Download and install software updates from the distribution points in the site default boundary group: De esta forma se descargarán e instalar las actualizaciones de un Punto de Distribución aunque no esté en su boundary.
    • If software updates are not available on distribution point in current, neightbor or site boundary groups, download content from Microsoft Updates: Si no hay ningún Punto de Distribución disponible, se descargará de los servidores de Microsoft Updates.
    • Adicionalmente, puedes marcar «Allow clients on a metered Internet connection to download content after the installation deadline, which might incur additional costs«. De esta forma equipos que siempre estén con conexión móvil también se actualizarán.
  • Al acabar, haz clic en «Next«:
SCCM ADR - Windows 11 - Download Settings
SCCM ADR – Windows 11 – Download Settings
  • Confirma en «Summary» que la configuración de la ADR de Windows 11 es correcta y haz clic en «Next«:
SCCM ADR - Windows 11 - Summary
SCCM ADR – Windows 11 – Summary

Tras unos segundos, se debería crear la ADR de Windows 11 en SCCM y podrás hacer clic en «Close«:

SCCM ADR - Windows 11 - Completion
SCCM ADR – Windows 11 – Completion
  • En caso de que necesites ejecutar ya la ADR, puedes hacer clic derecho y escoger «Run Now» para ejecutar ya la ADR y distribuir los parches.
SCCM ADR - Windows 11 - Run Now
SCCM ADR – Windows 11 – Run Now
  • Automáticamente se ejecutará con la frecuencia que la hemos configurado y SCCM nos avisará en caso de error.

Troubleshooting error ADR Windows 11 en SCCM

En caso de que la ejecución de la ADR Windows 11 de error, podemos ver qué está pasando en el log «ruleengine.log«. Este log se encuentra en la carpeta de instalación de Configuration Manager, en la carpeta «Logs». En mi caso la ruta es «D:\Program Files\Microsoft Configuration Manager\Logs\ruleengine.log».

ruleenngine.log

El log ruleengine.log registra todos los pasos que realiza la ADR: identificación de parches, descarga de contenido, creación del Software Update Group y la creación del Deploy. Aquí tenéis una guía para solventar posibles errores al descargar actualizaciones.

Instalar Actualizaciones de Windows 11 en Centro de Software

Hayamos distribuido las actualizaciones de Windows 11 como un SUG o con ADR, aparecerán las actualizaciones en el Centro de Software siempre que hayamos decidido mostrarlas.

SCCM - Centro de Software- Actualizaciones Windows 11
SCCM – Centro de Software- Actualizaciones Windows 11

Si llega la fecha límite (indicada en «Estado») o instala las actualizaciones haciendo clic en Instalar, el Centro de Software notificará al usuario de que debe reiniciar el equipo:

SCCM - Centro de Software- Reiniciar
SCCM – Centro de Software- Reiniciar

Monitorizar actualizaciones de Windows en SCCM

Por último, en la consola de Configuration Manager puedes ver en qué estado se encuentran las actualizaciones de Windows. Mira la distribución sobre la colección en «Monitoring \ Overview \ Deployments«:

SCCM - Deployments Monitoring

También puedes saber ver cuántos equipos de tu SCCM requieren el parche o no en «Software Library \ Overview \ Software Updates \ Software Update Groups» seleccionando el SUG que has creado (ya sea manualmente o mediante la ADR):

SCCM - Software Update Groups

Con esto, ya estarás actualizando tus Windows 11 y seguro frente a los fallos de seguridad mensuales. Cualquier duda o sugerencia podéis dejarla en los comentarios.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuarlo!

Promedio de puntuación / 5. Recuento de votos:

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Ya que has encontrado útil este contenido...

¡Sígueme en los medios sociales!

¡Siento que este contenido no te haya sido útil!

¡Déjame mejorar este contenido!

Dime, ¿cómo puedo mejorar este contenido?

Nando Corzo

Apasionado del sector IT y las tecnologías Microsoft con más de 5 años de experiencia en entornos complejos (Banca, Congresos y Servicios públicos). Explotando y aprendiendo cada día sobre Modern Workplace. Escribo sobre SCCM, Windows, Microsoft Intune, Hyper-V, etc...

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba