Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare il controllo degli accessi in base al ruolo nell'interfaccia di amministrazione Microsoft Intune per gestire chi può accedere alle risorse dell'organizzazione e cosa può fare con tali risorse.
Ruoli predefiniti
Windows Autopatch consente al controllo degli accessi in base al ruolo di usare l'accesso con privilegi minimi per distribuire e delegare la gestione Windows Update in Microsoft Intune.
Importante
Per gestire correttamente Il supporto automatico di Windows come ruolo con privilegi inferiori, l'utente deve disporre sia delle autorizzazioni di Amministrazione che delle autorizzazioni di amministratore dei criteri e dei profili.
Le autorizzazioni definite nei ruoli di amministratore della funzionalità di supporto automatico di Windows o lettore di documenti automatici di Windows vengono usate per gestire i gruppi di documenti automatici, le richieste di supporto, i messaggi di supporto automatico e i report di autopatch.
Per gestire i criteri di aggiornamento e i report di Windows Update, è necessaria l'autorizzazione Configurazione dispositivo. Questa autorizzazione è disponibile nei ruoli predefiniti, ad esempio i ruoli Criteri e Gestione profili.
Ruoli di Policy e Profile Manager
I ruoli Criteri e Profile Manager includono le autorizzazioni di configurazione del dispositivo per la gestione dei criteri di Intune, inclusi i criteri di aggiornamento seguenti:
- Aggiornare gli anelli
- Aggiornamenti qualitativi
- Aggiornamenti delle funzionalità
- Aggiornamenti del driver
Amministratore di Windows Autopatch
Il ruolo Amministratore di Creazione automatica di Windows gestisce tutti gli aspetti di Windows Autopatch:
- Gruppi di creazione automatica
-
Report di creazione automatica
- Report sullo stato di aggiornamento di qualità e funzionalità e tendenze
- Richieste e messaggi di supporto
Lettore di documenti automatici di Windows
Il lettore di documenti automatici di Windows può visualizzare i dati di Windows Autopatch disponibili in Microsoft Intune, ma non può apportare modifiche.
Aggiornare i ruoli dei criteri
Per gestire l'aggiornamento qualitativo di Windows, gli anelli di aggiornamento, l'aggiornamento delle funzionalità di Windows, l'aggiornamento del driver, Microsoft 365 Apps e i criteri di Microsoft Edge, l'utente deve disporre di autorizzazioni complete per La configurazione del dispositivo. La tabella seguente è l'elenco completo dei ruoli di gestione degli aggiornamenti:
| ruolo Intune | Criteri di aggiornamento |
|---|---|
| Gestione profili & criteri | Lettura/scrittura |
| Operatore helpdesk | Read |
| Operatore di sola lettura | Read |
| Amministratore di autopatch | Nessuna autorizzazione |
| Lettore di carta automatica | Nessuna autorizzazione |
Per gestire correttamente Windows Autopatch come ruolo con privilegi inferiori, l'utente deve avere entrambe le autorizzazioni di Amministrazione e le autorizzazioni di amministratore di criteri e profili.
ruoli Microsoft Entra
I ruoli di Microsoft Entra seguenti possono accedere alle funzionalità di Creazione automatica di Windows tramite il portale di Microsoft Intune.
| ruolo Microsoft Entra | Tutti i dati di Windows Autopatch | App di amministrazione > tenant di Windows Autopatch |
|---|---|---|
| Amministratore globale | Lettura/scrittura | Lettura/scrittura |
| Amministratore del servizio Intune | Lettura/scrittura | Lettura/scrittura |
| Lettore globale | Read | Read |
| Amministratore del supporto tecnico | Nessuna autorizzazione | Read Amministrazione tenant/Creazione automatica di windows/Tutti |
| Amministrazione di sicurezza | Nessuna autorizzazione | Read Amministrazione tenant/Creazione automatica di windows/Tutti |
| Lettore di sicurezza | Nessuna autorizzazione | Read Amministrazione tenant/Creazione automatica di windows/Tutti |
| Amministratore della fatturazione | Nessuna autorizzazione | Read Amministrazione tenant/Creazione automatica di windows/Tutti |
| Amministratore helpdesk | Nessuna autorizzazione | Read Amministrazione tenant/Creazione automatica di windows/Tutti |
Ruoli personalizzati
È possibile creare due ruoli personalizzati che includono le autorizzazioni necessarie per un ruolo di processo specifico.
Per ottenere la gestione degli aggiornamenti all-up, assicurarsi che i gruppi assegnati al ruolo personalizzato Autopatch siano anche membri del ruolo Policy & Profile Manager o di un ruolo personalizzato con autorizzazioni equivalenti.
Passare aRuoli> di amministrazione> tenantCreare il ruolo> personalizzatoWindows Autopatch per creare un ruolo personalizzato.
| Autorizzazione | Descrizione |
|---|---|
| Assegnazioni di ruolo/creazione | Creare un ruolo di creazione automatica per le operazioni eseguite sulle risorse di creazione automatica. |
| Assegnazioni di ruolo/aggiornamento | Ruolo di aggiornamento per la funzionalità di creazione automatica, in cui le operazioni di modifica vengono eseguite sulle risorse di creazione automatica. |
| Assegnazioni di ruolo/eliminazione | Eliminare il ruolo per il servizio di eliminazione automatica, in cui le operazioni di eliminazione vengono eseguite sulle risorse di creazione automatica. |
| Ruoli/Lettura | Visualizzare autorizzazioni, definizioni di ruolo e assegnazioni di ruolo per il ruolo di creazione automatica. L'operazione o le azioni di visualizzazione vengono eseguite sulle risorse di creazione automatica. |
| Gruppi di creazione automatica/lettura | Leggere i gruppi di documenti automatici e le relative proprietà. |
| Autopatch Groups/Create | Creare gruppi di creazione automatica, aggiungere assegnazioni di gruppo e configurare le impostazioni di versione. |
| Gruppi di creazione automatica/modifica | Modificare i gruppi di creazione automatica, modificare le impostazioni di versione e gestire le assegnazioni di gruppo. |
| Autopatch Groups/Delete | Eliminare i gruppi di eliminazione automatica. |
| Report/Lettura | Leggere ed esportare i report di aggiornamento della qualità e delle funzionalità di Autopatch. |
| Report/DiscoverDispositivi | Consente all'azione Report dispositivo di individuare i dispositivi. |
| Report/Assegnazione | Consente l'assegnazione dell'anello del dispositivo ai gruppi di creazione automatica. |
| Report/ExcludeDevices | Eseguire l'azione escludi dispositivi nei report dispositivo. |
| Report/RestoreExcludedDevices | Eseguire l'azione Di ripristino nei report dispositivo. |
| Richieste di supporto/Lettura | Leggere le richieste di supporto e le risposte di Autopatch esistenti. |
| Messaggi/Lettura | Leggere i messaggi pubblicati relativi al dashboard di integrità dei servizi e alla patch automatica. |
Ambiti
Windows Autopatch supporta Intune tag di ambito e gruppi con ambito da usare per la gestione degli aggiornamenti distribuiti. Usare Microsoft Intune per creare e gestire i tag di ambito.
- Windows Autopatch supporta Intune ambito per i gruppi di documenti automatici, le assegnazioni di ruolo di autopatch, i criteri di aggiornamento e i report.
- I messaggi, il supporto e i contatti di Amministrazione non supportano gli ambiti.Autopatch messages, support, and Amministrazione contacts don't support scopes.
- I gruppi di creazione automatica creati dagli amministratori con ambito vengono assegnati agli stessi tag di ambito dell'utente.
- Solo gli amministratori con ambito, con gli stessi tag di ambito assegnati, possono modificare e gestire i gruppi di creazione automatica.
- Quando si creano gruppi di creazione automatica e si assegnano tag di ambito, i criteri di aggiornamento creati ereditano gli stessi tag di ambito.
- I dispositivi assegnati ai gruppi di creazione automatica non ereditano i tag di ambito del gruppo di creazione automatica. Usare Intune per assegnare un tag di ambito ai dispositivi.
Autorizzazioni per i gruppi di creazione automatica
I gruppi di creazione automatica creano gruppi Microsoft Entra e aggiornano i criteri e assegnano i criteri al gruppo come parte del flusso di lavoro. Per completare correttamente il flusso di lavoro, sono necessarie entrambe le autorizzazioni. L'opzione per creare gruppi di creazione automatica è disponibile solo quando l'utente dispone di entrambe le autorizzazioni abilitate.
- Configurazione del dispositivo, tutte le autorizzazioni
- Gruppo di documenti automatici di Windows, tutte le autorizzazioni
I gruppi di documenti automatici di Windows a cui sono assegnati tag con ambito sono visibili solo agli utenti con questi tag di ambito esatti. In questo modo, l'amministratore IT può gestire le implementazioni basate su anello usando i gruppi di creazione automatica e non è interessato dalle discrepanze nell'ambito.
Nota
Il flusso di lavoro del gruppo di creazione automatica crea circuiti di distribuzione e assegna criteri di aggiornamento. Se il ruolo Autopatch include Tutti i dispositivi nell'ambito, il ruolo di amministrazione dei criteri deve includere Tutti i dispositivi e Tutti gli utenti nell'ambito.
La mancanza di autorizzazioni Microsoft Entra può impedire all'utente connesso di creare gruppi. L'utente deve disporre di autorizzazioni sufficienti per creare gruppi. Per altre informazioni, vedere Come configurare la gestione dei gruppi self-service o Creare autorizzazioni per i gruppi.
Quando all'utente vengono assegnati gruppi con ambito, può assegnare solo gruppi con ambito per la distribuzione negli anelli di distribuzione.
Amministratori con ambito e gruppi di creazione automatica
In Intune amministratori con ambito, solo un utente amministratore a cui sono assegnati tag di ambito specifici e gruppi con ambito può assegnare criteri solo ai gruppi con ambito.
Nota
Intune amministratori o gli amministratori di aggiornamento con Tutti i dispositivi e Tutti gli ambiti degli utenti non possono visualizzare il flusso di lavoro di assegnazione in sospeso. Ciò influisce solo sui ruoli con ambiti assegnati tramite gruppi con ambito specifici.
Amministratori con ambito e flusso di lavoro del gruppo di creazione automatica
Come parte del flusso di lavoro di creazione del gruppo di creazione automatica, Windows Autopatch crea Microsoft Entra gruppi e aggiorna i criteri per le impostazioni di distribuzione selezionate. Per assegnare i criteri di aggiornamento ai circuiti di distribuzione appena creati, è necessario includere il gruppo di creazione automatica come gruppo con ambito nel ruolo che contiene le autorizzazioni di Configurazione dispositivo.
Nota
Un amministratore Intune o un amministratore del ruolo deve assegnare il gruppo di azure automatico di Windows appena creato come gruppo con ambito prima che il gruppo di creazione automatica possa essere usato dall'Amministrazione con ambito.
Dopo l'aggiunta del gruppo Autopatch, in Stato assegnazione in sospeso , come gruppo con ambito, l'amministratore con ambito può assegnare i criteri di aggiornamento che il gruppo di creazione automatica diventa attivo.
La tabella seguente illustra il flusso di lavoro di alto livello:
| Passaggio | Descrizione | Chi |
|---|---|---|
| Passaggio 1: Creare un gruppo di creazione automatica | Creare un gruppo di creazione automatica. I gruppi di documenti automatici registrano i dispositivi con il servizio di creazione automatica di Windows quando si crea o si modifica un gruppo di documenti automatici. Vengono creati il gruppo di creazione automatica, i circuiti di distribuzione e i criteri di aggiornamento. È possibile visualizzare i criteri di aggiornamento in Aggiornamenti di Windows. |
Amministratore con ambito |
| Passaggio 2: Contattare l'amministratore del Intune o l'amministratore del ruolo per assegnare il gruppo padre di aggiunta automatica come gruppo con ambito per il ruolo | Includere le informazioni seguenti:
|
Amministratore con ambito |
| Passaggio 3: Assegnare il gruppo padre di aggiunta automatica come gruppo con ambito per il ruolo con l'autorizzazione Configurazione dispositivo | Aggiungere l'elemento padre di aggiunta automatica come gruppo con ambito usando Assegna gruppo con ambito. | amministratore Intune o amministratore del ruolo Intune |
| Passaggio 4: Completare le assegnazioni dei criteri in modo che i gruppi di creazione automatica siano pronti per l'uso | Selezionare Completa assegnazioni di gruppo se il gruppo di creazione automatica rimane in stato di assegnazione in sospeso e il passaggio Assegna gruppo con ambito non è ancora stato completato. Una volta completata l'assegnazione dei criteri, il gruppo di creazione automatica viene impostato su Attivo e pronto per l'uso. L'assegnazione di gruppo con ambito potrebbe non essere immediatamente disponibile. L'effetto potrebbe richiedere fino a 10 minuti. |
Amministratore con ambito |
Assegnare tag di ambito ai gruppi di creazione automatica
Nota
Se si assegnano tag di ambito ai gruppi di creazione automatica esistenti, l'amministratore dell'ambito deve essere incluso come gruppo con ambito nel proprio ruolo con autorizzazioni di configurazione del dispositivo per gestire il gruppo di creazione automatica.
Windows Autopatch crea un gruppo padre che annida il gruppo di creazione automatica e gli anelli di distribuzione che possono essere aggiunti come gruppo con ambito. È possibile trovare il nome del gruppo padre nelle proprietà del gruppo di creazione automatica.
- Nell'interfaccia di amministrazione Microsoft Intune passare aGruppi> di supporto automatico amministrazione> tenantselezionare un gruppo. Tutti gli anelli e i criteri del gruppo di creazione automatica hanno lo stesso ambito.
- Nell'opzione Aggiungi gruppo a anello selezionare i gruppi di Microsoft Entra da assegnare al gruppo di creazione automatica. Solo i gruppi con oggetti ambito sono disponibili per la selezione.
- Passare a Ambito proprietà>(tag)>Modifica>Selezionare i tag> di ambito selezionare i tag da aggiungere al profilo. È possibile assegnare un massimo di 100 tag di ambito a un oggetto.
- La sezione Gruppo di ambiti viene visualizzata quando il servizio rileva i gruppi di creazione automatica creati prima dei controlli di accesso in base al ruolo. Ciò indica che viene creato un gruppo Microsoft Entra, che può essere aggiunto come gruppo con ambito. Un amministratore con ambito può gestire questo gruppo di creazione automatica se incluso nell'ambito.
- Per assegnare gruppi con ambito, seguire la procedura descritta nella sezione Flusso di lavoro Amministratori con ambito e gruppo di creazione automatica.
- Selezionare Rivedi e salva.
Problemi noti
Windows 365 Enterprise offre agli amministratori IT la possibilità di registrare i dispositivi con Windows Autopatch come parte della creazione dei criteri di provisioning Windows 365. Per completare questa azione, è necessario essere un amministratore del servizio Intune.
Risoluzione dei problemi generali
| Scenario | Messaggio | Causa | Soluzione |
|---|---|---|---|
| Viene visualizzato un messaggio di errore quando si tenta di creare, modificare o eliminare un gruppo di creazione automatica. | Non si dispone di autorizzazioni sufficienti per modificare questo gruppo di creazione automatica. È possibile modificare solo i gruppi di creazione automatica che corrispondono all'ambito assegnato. Questo gruppo di creazione automatica include tag di ambito assegnati aggiuntivi che non corrispondono all'assegnazione di ruolo. Oppure L'invio del gruppo di archiviazione automatica non è riuscito e all'utente connesso sono assegnati tag di ambito. |
Il problema si verifica quando si modifica un gruppo di creazione automatica e il servizio ha rilevato una mancata corrispondenza nei tag di ambito. | Verificare i tag di ambito assegnati al gruppo di creazione automatica e al ruolo di assegnazione dei criteri. Il ruolo assegnazione criteri può avere più tag di ambito, ma deve includere tutti i tag di ambito assegnati al gruppo di creazione automatica. |
| Viene visualizzato un messaggio di errore quando si sceglie un dispositivo e l'azione Assegna dispositivo circolare nel report di appartenenza ai gruppi di invio automatico. | Non si dispone di autorizzazioni sufficienti o dell'ambito necessario per assegnare i dispositivi. | Il problema si verifica quando autopatch non è in grado di popolare l'elenco di gruppi di creazione automatica, a causa di una mancata corrispondenza nei tag di ambito. | Verificare i tag di ambito per i gruppi di creazione automatica e il ruolo. Assicurarsi che condividano almeno un tag di ambito. |
| Viene visualizzato un messaggio di errore quando si sceglie un dispositivo e l'azione Assegna dispositivo circolare nel report di appartenenza ai gruppi di invio automatico. | Per completare questa azione non si dispone di autorizzazioni di gruppo di creazione automatica sufficienti. È richiesta almeno l'autorizzazione lettura gruppo di creazione automatica. | Per spostare i dispositivi tra gli anelli di distribuzione di Autopatch, è necessaria l'autorizzazione per leggere i gruppi di creazione automatica. | Assicurarsi che il ruolo includa l'autorizzazione gruppo di creazione automatica/lettura. Passare a Ruoli > di amministrazione > tenant Autorizzazione personale. |
| Viene visualizzato un messaggio di errore quando si seleziona un dispositivo nel report di appartenenza ai gruppi di invio automatico. | Accesso negato | Non si dispone dell'autorizzazione Intune per visualizzare le proprietà del dispositivo. | Assicurarsi che il ruolo includa dispositivi gestiti/autorizzazioni di lettura. Passare a Ruoli > di amministrazione > tenant Autorizzazione personale. |
| È possibile visualizzare le schede Versioni, Anelli di aggiornamento e Monitoraggio solo quando si accede come amministratore delegato di Windows Autopatch. | Non si dispone di tutte le autorizzazioni necessarie per visualizzare Windows Update. | Assicurarsi che il ruolo includa l'autorizzazione Organizzazione/Lettura. Passare a Ruoli > di amministrazione > tenant Autorizzazione personale. | |
| Viene visualizzato un messaggio di errore quando si tenta di modificare un gruppo di creazione automatica preesistente a cui è stato appena assegnato un tag di ambito. Il gruppo di ambito padre è stato aggiunto correttamente al ruolo assegnazione criteri. | Non si dispone di autorizzazioni sufficienti per modificare questo gruppo di creazione automatica. È possibile modificare solo i gruppi di creazione automatica che corrispondono all'ambito assegnato. Questo gruppo di creazione automatica include tag di ambito assegnati aggiuntivi che non corrispondono all'assegnazione di ruolo. | Il problema si verifica quando il servizio rileva che l'utente connesso "Gruppo entra assegnato" non si trova nel gruppo con ambito per il ruolo di amministratore di autopatch.The issue occurs when the service detects that theogged in user "Assigned Entra Group" isn't in the scoped group for the Autopatch admin role. Ciò si verifica con i gruppi di creazione automatica preesistenti. | Aggiungere il gruppo Entra assegnato come gruppo con ambito al ruolo di amministratore di aggiunta automatica. |