En este artículo vamos a aprender cómo distribuir Actualizaciones de Windows 11 con SCCM / Configuration Manager / MEMCM mediante ADR o SUG.
Una vez estás administrando dispositivos Windows 11 usando SCCM / ConfigMgr, puedes distribuir actualizaciones de Windows 11 para estar protegido frente a los últimos fallos de seguridad.
Para poder distribuir las actualizaciones de seguridad para Windows 11 en Configuration Manager, debes asegurarte de que estás sincronizando los parches de seguridad de Windows 11.
Cuando aparezcan las actualizaciones de Windows 11 en la consola de SCCM, puedes crear manualmente un Software Update Group de Windows 11 o crear una ADR para Windows 11 que distribuya automáticamente cada mes las actualizaciones de Windows 11 (opción recomendada).
TL;DR
Incluir Windows 11 en el Software Update Point como Producto a sincronizar
- En la consola de SCCM, ve a «Administration \ Overview \ Site Configuration \ Sites«.
- Selecciona «Configure Site Components«.
- Selecciona «Software Update Point«.
- En la pestaña «Products» escoge Windows 11 y aplica cambios.
Ahora que Windows 11 ha sido añadido a la lista de Productos de tu Software Update Point, el WSUS interno sincronizará sus parches y aparecerán en la consola de SCCM. Puedes forzar la sincronización de actualizaciones en «Software Library \ Overview \ Software Updates \ All Software Updates \ Synchronize Software Updates«
En caso de que las actualizaciones que quieras incluir no aparezcan, puedes importar actualizaciones manualmente en WSUS y SCCM.
Crear un Software Update Group de Windows 11 en SCCM / Configuration Manager
- En la consola de SCCM, ve a «Software Library \ Overview \ Software Updates \ All Software Updates«.
- En el lado derecho, haz clic en «Add Criteria» y marca «Expired, Product y Superseded«.
- Rellena los campos de la siguiente forma:
- Expired: No
- Product: Windows 11
- Superseded: No
- Selecciona sólo los parches de seguridad que quieres distribuir y haz clic derecho «Create Software Update Group«.
- Sigue el asistente para crear el Software Update Group.
- Una vez finalizado, puedes distribuir actualizaciones desde «Software Library \ Overview \ Software Updates \ Software Update Groups«.
Crear Automatic Deployment Rule (ADR) de Windows 11 en SCCM / Configuration Manager
- En la consola de SCCM, ve a «Software Library \ Overview \ Software Updates \ Automatic Deployment Rules«.
- Haz clic en «Create Automatic Deployment Rule«.
- Se abrirá un asistente, en la ventana «General» escoge las siguientes opciones:
- Name: ADR Windows 11
- Template: Patch Tuesday
- Collection: Especifica una colección que incluya los dispositivos con Windows 11.*
- Nota*: Si no tienes creada una colección para los dispositivos Windows 11, aquí tienes una guía para crear una recopilación de dispositivos Windows 11 en SCCM.
- Marca las siguientes opciones y haz clic en «Next«:
- «Create a new Software Update Group«.
- «Enable the deployment after this rule is run«
- En la pestaña «Deployment Settings«, escoge las siguientes opciones:
- Type of deployment: Disponible o Requerido. Al ser actualizaciones de seguridad, se recomienda que sean Requeridas.
- Detail level: All messages. Así obtienes todo el detalle en caso de error.
- Marca «Automatically deploy all software updates found by this rule, and approve any license agreements«.
- Haz clic en «Next«:
- En la pestaña «Software Updates» recomendamos especificar los siguientes criterios de búsqueda:
- Date Released or Revised: Last 1 month.
- Product: Windows 11.
- Superseded: No.
- Update Classification: «Critical Updates» OR «Security Updates» OR «Updates».
- Si sólo tienes una arquitectura, se recomienda especificar con «Architecture«.
- Haz clic en «Preview» para comprobar los parches de seguridad que encontraría esta búsqueda:
- Comprueba que los parches de seguridad son correctos y haz clic en «Close» y «Next«:
- En la pestaña «Evaluation Schedule» marca «Run the rule on a schedule» y escoge:
- Recurrence pattern: Monthly.
- Recur every: The Second Tuesday
- Offset (days): 1
- De esta forma, se ejecutará la ADR automáticamente 1 día después del día que se lanzan los parches. En mi caso especifico que se ejecute a las 10:30 AM para que los parches aparezcan durante las primeras horas del primer día laboral tras su lanzamiento.
- En la pestaña «Deployment Schedule» debes escoger dos factores:
- Software available time: Cuándo estará disponible para esta colección de equipos los parches, una vez se ejecute la ADR. En este caso, lo antes posible.
- Installation deadline: Cuándo se instalarán de forma obligatoria los parches, una vez finalizado el «Software available time». En este caso, 2 días después de que estén disponibles.
- Haz clic en «Next«:
- En la pestaña «User Experience» puedes especificar las opciones de experiencia de usuario que deseas para tus equipos. Mis recomendaciones:
- Deadline behavior: Software Update Installation. Por si hay equipos con ventana de mantenimiento configurada.
- Device restart behavior: Servers. No deberían haber servidores Windows 11, pero así hacemos una doble comprobación.
- Commit changes at deadline or during a maintenance windows (requires restarts). Para equipos Windows Embedded en caso de haberlos.
- If any update in this deployment requires a system restart, run updates deployment evaluation cycle after restart. De esta forma el dispositivo Windows 11 subirá inventario y reportará como actualizado tras el reinicio obligatorio del parche de seguridad.
- En la pestaña «Alerts» puedes configurar que SCCM te notifique cuando la ADR falle o cuando se cumplan unas condiciones concretas. Mis recomendaciones son:
- Generate an alert when this Rule fails: Para que nos avise si la ADR no se ejecuta correctamente.
- Generate an alert when the following conditions are met. Client compliance is below the following percent: 90.
- Offset from the deadline: 7 Days.
- Con esto último, SCCM te avisará si la ADR no se ejecuta o si después de 7 días no se han actualizado el 90% de los equipos Windows 11. Los avisos aparecen al abrir Configuration Manager.
- En la pestaña «Deployment Package» debes crear el paquete que contendrá las actualizaciones de Windows 11 a distribuir. Mis recomendaciones:
- Escoge «Create a new deployment package» para hacer un paquete exclusivo de actualizaciones de Windows 11 en SCCM.
- Name: Windows 11 Updates
- Package source: ruta donde se almacenarán los parches.
- Deja el resto de opciones por defecto y haz click en «Next»:
- Nota: En caso de tener los dispositivos Windows 11 en teletrabajo o salida directa a Internet, puedes marcar «No deployment package«. De esta forma, los equipos Windows 11 descargarán las actualizaciones desde los servidores de Microsoft.
- En la pestaña «Distribution Points«, añade con «Add» los Puntos de Distribución de tu SCCM y haz clic en «Next«:
- En caso de tener salida a Internet, en la pestaña «Download Location» escoge «Download software updates from the Internet» y haz clic en «Next«:
- En la pestaña «Language Selection«, puedes añadir los idiomas adicionales que tienen tus equipos Windows 11. En caso de que no pongas todos los idiomas necesarios, la distribución de las actualizaciones de Windows 11 puede fallar en algunos equipos por falta de ficheros (idiomas):
- En la pestaña «Download Settings» escoge cómo se comportarán los equipos Windows 11 a la hora de descargar. Recomendaciones:
- Download software updates from distribution point and install: De esta forma se descargarán e instalar las actualizaciones siempre que haya un Punto de Distribución cercano.
- Download and install software updates from the distribution points in the site default boundary group: De esta forma se descargarán e instalar las actualizaciones de un Punto de Distribución aunque no esté en su boundary.
- If software updates are not available on distribution point in current, neightbor or site boundary groups, download content from Microsoft Updates: Si no hay ningún Punto de Distribución disponible, se descargará de los servidores de Microsoft Updates.
- Adicionalmente, puedes marcar «Allow clients on a metered Internet connection to download content after the installation deadline, which might incur additional costs«. De esta forma equipos que siempre estén con conexión móvil también se actualizarán.
- Al acabar, haz clic en «Next«:
- Confirma en «Summary» que la configuración de la ADR de Windows 11 es correcta y haz clic en «Next«:
Tras unos segundos, se debería crear la ADR de Windows 11 en SCCM y podrás hacer clic en «Close«:
- En caso de que necesites ejecutar ya la ADR, puedes hacer clic derecho y escoger «Run Now» para ejecutar ya la ADR y distribuir los parches.
- Automáticamente se ejecutará con la frecuencia que la hemos configurado y SCCM nos avisará en caso de error.
Troubleshooting error ADR Windows 11 en SCCM
En caso de que la ejecución de la ADR Windows 11 de error, podemos ver qué está pasando en el log «ruleengine.log«. Este log se encuentra en la carpeta de instalación de Configuration Manager, en la carpeta «Logs». En mi caso la ruta es «D:\Program Files\Microsoft Configuration Manager\Logs\ruleengine.log».
El log ruleengine.log registra todos los pasos que realiza la ADR: identificación de parches, descarga de contenido, creación del Software Update Group y la creación del Deploy. Aquí tenéis una guía para solventar posibles errores al descargar actualizaciones.
Instalar Actualizaciones de Windows 11 en Centro de Software
Hayamos distribuido las actualizaciones de Windows 11 como un SUG o con ADR, aparecerán las actualizaciones en el Centro de Software siempre que hayamos decidido mostrarlas.
Si llega la fecha límite (indicada en «Estado») o instala las actualizaciones haciendo clic en Instalar, el Centro de Software notificará al usuario de que debe reiniciar el equipo:
Monitorizar actualizaciones de Windows en SCCM
Por último, en la consola de Configuration Manager puedes ver en qué estado se encuentran las actualizaciones de Windows. Mira la distribución sobre la colección en «Monitoring \ Overview \ Deployments«:
También puedes saber ver cuántos equipos de tu SCCM requieren el parche o no en «Software Library \ Overview \ Software Updates \ Software Update Groups» seleccionando el SUG que has creado (ya sea manualmente o mediante la ADR):
Con esto, ya estarás actualizando tus Windows 11 y seguro frente a los fallos de seguridad mensuales. Cualquier duda o sugerencia podéis dejarla en los comentarios.