Konfigurace Microsoft Intune pro správu oprav zabezpečení a aktualizací

Konfigurace Microsoft Intune pro správu oprav zabezpečení a aktualizací

02/08/2025

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při konfiguraci a používání Microsoft Intune k efektivní správě bezpečnostních záplat a aktualizací na zařízeních Windows. V neustále se vyvíjejícím prostředí kybernetických hrozeb je udržování aktuálních operačních systémů a aplikací jednou z nejdůležitějších bezpečnostních praktik pro zmírnění zranitelnosti a ochranu organizace před útoky. Microsoft Intune jako řešení Unified Endpoint Management (UEM) nabízí robustní nástroje pro automatizaci a řízení procesu aktualizace [1].

Úvod

Nedostatek bezpečnostních záplat a aktualizací je jednou z hlavních příčin narušení bezpečnosti. Známé zranitelnosti v operačních systémech a softwaru jsou často využívány útočníky, takže efektivní a automatizovaný proces správy oprav je nezbytný. V moderních podnikových prostředích s distribuovanou pracovní silou a řadou zařízení se ruční správa aktualizací stává nepraktickou a náchylnou k chybám. To je místo, kde Microsoft Intune září a poskytuje centralizovanou platformu pro správu a nasazování aktualizací do zařízení se systémem Windows a zajišťuje, že zůstanou bezpečná a kompatibilní [2].

Microsoft Intune vám umožňuje spravovat různé typy aktualizací systému Windows, včetně Quality Updates, které poskytují opravy zabezpečení i nesouvisející se zabezpečením, a Feature Updates, které přinášejí nové funkce a vylepšení. Prostřednictvím zásad Update Rings a profilů aktualizace funkcí mohou správci řídit, kdy a jak se aktualizace nasazují, což umožňuje postupné zavádění, aby se minimalizovalo riziko a zajistila se kompatibilita. Intune navíc poskytuje funkce pro sledování stavu shody aktualizací a odstraňování problémů [3].

Tento návod se bude zabývat nastavením profilů Update Ring a aktualizací funkcí v Intune, nasazováním aktualizací do zařízení s Windows, sledováním souladu aktualizací a používáním sestav k identifikaci a řešení problémů. Budou poskytnuty podrobné pokyny, praktické příklady a stručná vysvětlení, aby čtenář mohl tyto funkce implementovat, testovat a ověřovat. Kromě toho budou probrány bezpečnostní tipy, kontrola souladu a osvědčené postupy, které zajistí efektivní, autonomní, profesionální a spolehlivou správu oprav a aktualizací zabezpečení.

Proč je Microsoft Intune zásadní pro správu oprav?

  • Automatizace a efektivita: Automatizuje doručování aktualizací, snižuje administrativní zátěž a zajišťuje, že zařízení jsou vždy aktuální.
  • Granular Control: Umožňuje správcům nastavit podrobné zásady o tom, kdy, jak a na která zařízení se aktualizace použijí, s podporou postupného zavádění.
  • Vylepšené zabezpečení: Zajišťuje rychlé použití nejnovějších bezpečnostních oprav, zmírňuje zranitelnosti a chrání před známými zneužitími.
  • Soulad: Pomáhá udržovat zařízení v souladu s interními bezpečnostními zásadami a regulačními požadavky.
  • Viditelnost a hlášení: Poskytuje řídicí panely a sestavy pro sledování stavu aktualizací, identifikaci nevyhovujících zařízení a odstraňování problémů.
  • Uživatelská zkušenost: Umožňuje konfigurovat aktivní časová okna a termíny restartů, aby se minimalizoval dopad aktualizací na produktivitu uživatelů.

Předpoklady

Chcete-li nakonfigurovat Microsoft Intune pro správu oprav zabezpečení a aktualizací, budete potřebovat následující položky:

  1. Licencování: Licence Microsoft Intune (obecně součástí předplatného Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5) [4].
  2. Administrativní přístup: Účet s rolí Globálního správce nebo Administrátora služeb Intune v centru pro správu Microsoft Intune (https://intune.microsoft.com).
  3. Registrovaná zařízení Windows: Registrovaná zařízení se systémem Windows 10/11vytvořené v Microsoft Intune. Zařízení musí být nakonfigurováno pro příjem aktualizací ze služby Windows Update (Windows Update for Business) [5].

Krok za krokem: Konfigurace Microsoft Intune pro správu oprav

Pojďme nakonfigurovat zásady aktualizace pro zařízení se systémem Windows.

1. Vytvoření aktualizačních kruhů pro Windows

Update Ring jsou zásady, které řídí, jak a kdy jsou na zařízení aplikovány aktualizace kvality a aktualizace nesouvisející se zabezpečením.

  1. Otevřete prohlížeč a přejděte do centra pro správu Microsoft Intune: https://intune.microsoft.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.
  3. V levém navigačním panelu vyberte Zařízení > Podle platformy > Windows.
  4. V části Spravovat aktualizace vyberte Windows Update Rings.

  5. Klikněte na + Vytvořit profil.

  6. Základy:

    • Jméno: Zadejte smysluplný název (např.: Anel_Atualizacao_Piloto_Windows).
    • Popis: Uveďte jasný popis (např. „Aktualizujte vyzvánění pro pilotní skupinu s minimálním zpožděním.“).

  7. Klikněte na Další.

  8. Aktualizujte nastavení vyzvánění:

    • Nastavení aktualizace kvality:
      • Úroveň údržby aktualizací kvality: General Availability Channel.
      • Období odkladu aktualizací kvality (dny): 0 (pro pilotní skupinu, aby aktualizace byla přijímána co nejrychleji). Pro větší skupiny můžete nastavit 37 dní.
      • Doba odkladu aktualizace ovladače (dny): 0 (nebo vyšší hodnota pro testování ovladačů).
    • Nastavení aktualizací funkcí:
      • Úroveň údržby aktualizací funkcí: General Availability Channel.
      • Období odkladu aktualizace funkce (dny): 0 (pro pilotní skupinu). Pro větší skupiny můžete nastavit „30“ až „60“ dní.
    • Nastavení prostředí koncového uživatele:
      • Chování automatických aktualizací: Automaticky nainstalovat a restartovat v době údržby.
      • Restart po instalaci: Automatický restart v době údržby.
      • Aktivní hodiny: Uživatelem řízené aktivní hodiny.
      • Termín restartu (dny): 2 (pro pilotní skupinu). Pro větší skupiny 5 až 7 dní.

  9. Klepněte na tlačítko Další.

  10. Značky rozsahu: Volitelně přidejte značky rozsahu. Klikněte na Další.

  11. Přiřazení: Přiřaďte tento aktualizační kruh skupině zařízení Azure AD (např. Pilot_Device_Group).

  12. Klepněte na tlačítko Další.

  13. Zkontrolovat + vytvořit: Zkontrolujte nastavení a klikněte na Vytvořit.

    • Vysvětlení: Měli byste vytvořit několik aktualizačních kruhů (např. Pilotní, Rychlé, Pomalé) s různými obdobími odkladu, abyste umožnili postupné zavádění aktualizací a minimalizovali riziko problémů s kompatibilitou.

2. Vytváření profilů aktualizací funkcí pro Windows (aktualizace funkcí pro Windows 10 a novější)

Profily aktualizací funkcí umožňují zacílit zařízení na konkrétní verzi Windows (např. Windows 11 22H2).

  1. V levém navigačním panelu centra pro správu Microsoft Intune vyberte Zařízení > Podle platformy > Windows.
  2. V části „Spravovat aktualizace“ vyberte Aktualizace funkcí systému Windows 10 a novější.

  3. Klikněte na + Vytvořit profil.

  4. Základy:

    • Jméno: Zadejte smysluplný název (např.: Atualizacao_Recurso_Windows11_23H2).
    • Popis: Uveďte jasný popis (např. „Nasazení Windows 11 23H2 na vhodná zařízení.“).

  5. Klepněte na tlačítko Další.

  6. Nastavení aktualizace funkcí:

    • Verze zdroje k nasazení: Vyberte požadovanou verzi (např.: Windows 11, verze 23H2).
    • Datum dostupnosti: Nastavte datum, kdy bude aktualizace dostupná pro zařízení.
    • Datum ukončení: Volitelně nastavte datum ukončení nabídky upgradu.

  7. Klikněte na Další.

  8. Značky rozsahu: Volitelně přidejte značky rozsahu. Klikněte na Další.

  9. Přiřazení: Přiřaďte tento profil skupině zařízení Azure AD (např. Windows11_Device_Group).

  10. Klepněte na tlačítko Další.

  11. Zkontrolovat + vytvořit:Zkontrolujte nastavení a klikněte na Vytvořit.

    • Vysvětlení: Tento profil zajistí, že zařízení v přiřazené skupině obdrží konkrétní verzi Windows 11 23H2. Před rozsáhlým nasazením je důležité otestovat aktualizace funkcí v menších skupinách.

3. Monitorování stavu aktualizace

Intune nabízí řídicí panely a sestavy pro sledování průběhu aktualizací a dodržování předpisů.

  1. V levém navigačním panelu centra pro správu Microsoft Intune vyberte Zařízení > Podle platformy > Windows.
  2. V části Spravovat aktualizace vyberte Windows Update Rings.
  3. Klikněte na aktualizační kruh, který chcete monitorovat (např.: Anel_Atualizacao_Piloto_Windows).

  4. V přehledu aktualizačního kruhu můžete vidět Device Deployment Status a User Update Status, které ukazují, kolik zařízení je kompatibilních, kolik má chyby atd.

  5. Chcete-li získat podrobnější zprávy, v levém navigačním podokně centra pro správu Intune vyberte Zprávy > Aktualizace systému Windows.

  6. Zde můžete najít zprávy jako Windows Update Compliance Report a Windows Feature Updates Report, abyste získali komplexní přehled o stavu aktualizací ve vaší organizaci.

Validace a testování

Je důležité otestovat zásady aktualizací, abyste se ujistili, že fungují podle očekávání a že zařízení přijímají aktualizace správně.

1. Testovací aktualizační kroužky (aktualizace kvality)

  1. Scénář: Zaregistrujte testovací zařízení Windows v Intune a přiřaďte ho ke Pilot_Device_Group.
  2. Očekávaná akce: Zařízení musí přijímat a instalovat kvalitní aktualizace podle zásady Anel_Atualizacao_Piloto_Windows (se zpožděním 0 dní, tedy rychle).
  3. Ověření:
    • Na testovacím zařízení přejděte do Nastavení > Windows Update a zkontrolujte historii aktualizací.
    • V centru pro správu Intune zkontrolujte Stav nasazení zařízení pro Anel_Atualizacao_Piloto_Windows a Zprávu o shodě s Windows Update a ověřte, zda je zařízení kompatibilní.
    • Příkaz na zařízení (PowerShell jako správce): powershell Get-WindowsUpdateLog
      • Vysvětlení: Tento příkaz generuje podrobný protokol aktivit služby Windows Update, který je užitečný při odstraňování problémů.

2. Testování profilů aktualizace zdrojů

  1. Scénář: Zaregistrujte testovací zařízení se systémem Windows v Intune a přiřaďte ho ke skupině Windows11_Device_Group.
  2. Očekávaná akce: Zařízení musí obdržet a nainstalovat „aktualizaci funkcí systému Windows 11, verze 23H2“.
  3. Ověření:
    • Na testovacím zařízení přejděte do Nastavení > Systém > O aplikaci a zkontrolujte Verze systému Windows.
    • V centru pro správu Intune zkontrolujte Device Deployment Status pro profil Atualizacao_Recurso_Windows11_23H2 a Zprávu o aktualizacích funkcí systému Windows.

Bezpečnostní tipy a doporučené postupy

  • Strategie aktualizačního okruhu: Implementujte strategii fázového aktualizačního okruhu (např. Pilotní, Malé, Střední, Velké), abyste otestovali aktualizace na podmnožině zařízení před jejich plošným nasazením. Tím se minimalizuje riziko přerušení.
  • ** Windows údržby**: Nakonfigurujte okna údržby a termíny restartů, které minimalizují dopad na produktivitu uživatelů, ale zajistí, že aktualizace budou aplikovány včas.
  • Nepřetržité monitorování: Pravidelně sledujte zprávy o shodě aktualizací v Intune a nastavujte upozornění na zařízení, která nevyhovují nebo došlo k chybě aktualizace.
  • Testování kompatibility: Před nasazením hlavních aktualizací funkcí proveďte testování kompatibility s kritickými aplikacemi a hardwarem ve vašem prostředí.
  • Optimalizace doručení: Použijte funkce jako Optimalizace doručení ke snížení spotřeby šířky pásma sítě při distribuci aktualizací v rámci vaší organizace.
  • Správa ovladačů: Při aktualizacích ovladačů buďte opatrní. Zvažte odložení aktualizací ovladačů nebo jejich rozsáhlé testování před širokým nasazením, protože problematické ovladače mohou způsobit selhání.schopnost v systému.
  • Integrace s Microsoft Defender for Endpoint: Intune a Defender for Endpoint spolupracují na zajištění zabezpečení koncového bodu. Defender for Endpoint může poskytnout přehled o zranitelnostech, které lze opravit pomocí oprav.

Běžné odstraňování problémů

  • Zařízení nedostávají aktualizace:
    • Ověřte, že je zařízení zaregistrováno v Intune a že jsou zásady aktualizace/funkce vyzvánění přiřazeny ke správné skupině zařízení.
    • Na svém zařízení zkontrolujte připojení ke službě Windows Update. Spusťte wuauclt.exe /reportnow (pro Windows 10) nebo usoclient StartScan (pro Windows 11) z příkazového řádku.
    • Zkontrolujte protokoly Windows Update na zařízení pomocí Get-WindowsUpdateLog v PowerShell.
    • Zkontrolujte nastavení „Aktivní hodiny“ v Intune; Pokud je zařízení vždy v aktivních hodinách, nemusí se restartovat a nainstalovat aktualizace.
  • Aktualizace se nedaří nainstalovat:
    • Zkontrolujte protokoly služby Windows Update v zařízení, zda neobsahují konkrétní chybové kódy.
    • Ujistěte se, že má vaše zařízení dostatek místa na disku.
    • Příčinou mohou být problémy s kompatibilitou se stávajícím softwarem nebo ovladači. Testujte v kontrolovaném prostředí.
    • Zkontrolujte připojení zařízení k síti pomocí služeb Windows Update.
  • Zařízení se v sestavách Intune nejeví jako kompatibilní:
    • Může nějakou dobu trvat, než bude stav shody nahlášen zpět do Intune. Počkejte několik hodin.
    • Ujistěte se, že je vaše zařízení aktivní a komunikuje s Intune.
    • Ověřte, že jsou k zařízení správně přiřazeny zásady shody.
  • Falešně pozitivní (zařízení se jeví jako nevyhovující, ale je aktuální):
    • Ručně zkontrolujte stav aktualizací na zařízení. Pokud je aktuální, může to být zpoždění v hlášení Intune.
    • Restartujte službu Intune Client Management na zařízení (net stop dmwappushservice && net start dmwappushservice).

Závěr

Microsoft Intune je nepostradatelný nástroj pro správu bezpečnostních záplat a aktualizací v prostředích Windows. Automatizací zavádění aktualizací kvality a funkcí a poskytováním granulární kontroly nad procesem umožňuje Intune organizacím udržovat svá zařízení v bezpečí a v souladu s nejnovějšími ochranami proti kybernetickým hrozbám. Implementace aktualizační strategie spolu s nepřetržitým monitorováním a proaktivním řešením problémů je zásadní pro zajištění odolného IT prostředí. S touto praktickou příručkou budou odborníci na zabezpečení a správci IT dobře vybaveni ke konfiguraci, ověřování a správě Microsoft Intune, čímž posílí zabezpečení koncových bodů a ochrání majetek své organizace.

Reference:

[1] Microsoft Learn. Spravujte aktualizace softwaru Windows v Intune. Dostupné na: https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] Microsoft Learn. Co je Microsoft Intune?. Dostupné na: https://learn.microsoft.com/pt-br/intune/overview [3] Microsoft Learn. Spravujte aktualizace Windows pomocí Intune. Dostupné na: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] Microsoft Learn. Licencování Microsoft Intune. Dostupné na: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] Microsoft Learn. Nastavte aktualizační okruhy Windows v Intune. Dostupné na: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] Microsoft Learn. Nakonfigurujte aktualizace funkcí Windows 10 a novějších v Intune. Dostupné na: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updates [7] Microsoft Learn. Zprávy Windows Update v Intune. Dostupné na: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports