Configurazione di Microsoft Intune per la gestione delle patch di sicurezza e degli aggiornamenti

Configurazione di Microsoft Intune per la gestione delle patch di sicurezza e degli aggiornamenti

02/08/2025

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nella configurazione e nell'utilizzo di Microsoft Intune per gestire in modo efficace patch e aggiornamenti di sicurezza sui dispositivi Windows. In un panorama delle minacce informatiche in continua evoluzione, mantenere aggiornati i sistemi operativi e le applicazioni è una delle pratiche di sicurezza più critiche per mitigare le vulnerabilità e proteggere l’organizzazione dagli attacchi. Microsoft Intune, come soluzione Unified Endpoint Management (UEM), offre strumenti robusti per automatizzare e controllare il processo di aggiornamento [1].

Introduzione

La mancanza di patch e aggiornamenti di sicurezza è una delle principali cause di violazioni della sicurezza. Le vulnerabilità note nei sistemi operativi e nei software vengono spesso sfruttate dagli aggressori, rendendo essenziale un processo di gestione delle patch efficiente e automatizzato. Negli ambienti aziendali moderni, con una forza lavoro distribuita e una varietà di dispositivi, la gestione manuale degli aggiornamenti diventa poco pratica e soggetta a errori. È qui che Microsoft Intune brilla, fornendo una piattaforma centralizzata per la gestione e la distribuzione degli aggiornamenti ai dispositivi Windows, garantendo che rimangano sicuri e conformi [2].

Microsoft Intune consente di gestire diversi tipi di aggiornamenti di Windows, inclusi gli Aggiornamenti qualitativi, che forniscono correzioni di sicurezza e non, e gli Aggiornamenti delle funzionalità, che offrono nuove funzionalità e miglioramenti. Attraverso le policy Update Rings e i profili di aggiornamento delle funzionalità, gli amministratori possono controllare quando e come vengono distribuiti gli aggiornamenti, consentendo l'implementazione graduale per ridurre al minimo i rischi e garantire la compatibilità. Inoltre, Intune fornisce funzionalità per monitorare lo stato di conformità degli aggiornamenti e risolvere i problemi [3].

Questa guida illustra la configurazione degli anelli di aggiornamento e dei profili di aggiornamento delle funzionalità in Intune, la distribuzione degli aggiornamenti ai dispositivi Windows, il monitoraggio della conformità degli aggiornamenti e l'uso dei report per identificare e risolvere i problemi. Verranno fornite istruzioni dettagliate, esempi pratici e spiegazioni concise in modo che il lettore possa implementare, testare e convalidare queste funzionalità. Inoltre, verranno discussi suggerimenti sulla sicurezza, controlli di conformità e best practice per garantire una gestione efficace, autonoma, professionale e affidabile di patch e aggiornamenti di sicurezza.

Perché Microsoft Intune è fondamentale per la gestione delle patch?

  • Automazione ed efficienza: automatizza la distribuzione degli aggiornamenti, riducendo gli oneri amministrativi e garantendo che i dispositivi siano sempre aggiornati.
  • Controllo granulare: consente agli amministratori di impostare policy dettagliate su quando, come e a quali dispositivi vengono applicati gli aggiornamenti, supportando implementazioni graduali.
  • Sicurezza avanzata: garantisce che le ultime correzioni di sicurezza vengano applicate rapidamente, mitigando le vulnerabilità e proteggendo dagli exploit noti.
  • Conformità: aiuta a mantenere i dispositivi conformi alle policy di sicurezza interne e ai requisiti normativi.
  • Visibilità e reportistica: fornisce dashboard e report per monitorare lo stato degli aggiornamenti, identificare i dispositivi non conformi e risolvere i problemi.
  • Esperienza utente: consente di configurare finestre temporali attive e scadenze di riavvio per ridurre al minimo l'impatto degli aggiornamenti sulla produttività dell'utente.

Prerequisiti

Per configurare Microsoft Intune per la gestione delle patch e degli aggiornamenti di sicurezza, saranno necessari i seguenti elementi:

  1. Licenza: una licenza Microsoft Intune (generalmente inclusa con gli abbonamenti Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5) [4].
  2. Accesso amministrativo: un account con il ruolo di "Amministratore globale" o "Amministratore del servizio Intune" nell'interfaccia di amministrazione di Microsoft Intune (https://intune.microsoft.com).
  3. Dispositivi Windows registrati: dispositivi Windows 10/11 registraticreato in Microsoft Intune. I dispositivi devono essere configurati per ricevere gli aggiornamenti da Windows Update (Windows Update for Business) [5].

Passo dopo passo: configurazione di Microsoft Intune per la gestione delle patch

Configuriamo i criteri di aggiornamento per i dispositivi Windows.

1. Creazione di anelli di aggiornamento per Windows

Gli anelli di aggiornamento sono criteri che gestiscono come e quando gli aggiornamenti di qualità e non di sicurezza vengono applicati ai dispositivi.

  1. Apri il browser e vai all'interfaccia di amministrazione di Microsoft Intune: "https://intune.microsoft.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel riquadro di navigazione a sinistra, seleziona Dispositivi > Per piattaforma > Windows.
  4. In "Gestisci aggiornamenti", seleziona Anelli di Windows Update.

  5. Fare clic su "+ Crea profilo".

  6. Nozioni di base:

    • Nome: Assegna un nome significativo (es: Anel_Atualizacao_Piloto_Windows).
    • Descrizione: fornire una descrizione chiara (ad esempio "Aggiornamento anello per gruppo pilota, con ritardo minimo.").

  7. Fare clic su "Avanti".

  8. Aggiorna impostazioni suoneria:

    • Impostazioni aggiornamento qualità:
      • Livello di manutenzione degli aggiornamenti qualitativi: "Canale di disponibilità generale".
      • Periodo di differimento degli aggiornamenti di qualità (giorni): 0 (per il gruppo pilota, per ricevere gli aggiornamenti il ​​più rapidamente possibile). Per gruppi più grandi, puoi impostare da "3" a "7" giorni.
      • Periodo di differimento aggiornamento driver (giorni): "0" (o un valore maggiore per testare i driver).
    • Impostazioni aggiornamenti funzionalità:
      • Livello di manutenzione degli aggiornamenti delle funzionalità: "Canale di disponibilità generale".
      • Periodo di differimento dell'aggiornamento delle funzionalità (giorni): "0" (per il gruppo pilota). Per gruppi più grandi, puoi impostare da "30" a "60" giorni.
    • Impostazioni dell'esperienza dell'utente finale:
      • Comportamento di aggiornamento automatico: Installa e riavvia automaticamente al momento della manutenzione.
      • Riavvia dopo l'installazione: Riavvio automatico al momento della manutenzione.
      • Ore di attività: "Ore di attività controllate dall'utente".
      • Termine ultimo per il riavvio (giorni): 2 (per il gruppo pilota). Per gruppi più numerosi, da "5" a "7" giorni.

  9. Fare clic su "Avanti".

  10. Tag di ambito: aggiungere facoltativamente tag di ambito. Fare clic su "Avanti".

  11. Assegnazioni: assegna questo anello di aggiornamento a un gruppo di dispositivi Azure AD (ad esempio "Pilot_Device_Group").

  12. Fare clic su "Avanti".

  13. Rivedi e crea: rivedi le impostazioni e fai clic su Crea.

    • Spiegazione: è necessario creare più cicli di aggiornamento (ad esempio Pilota, Veloce, Lento) con periodi di differimento diversi per consentire un'implementazione graduale degli aggiornamenti, riducendo al minimo il rischio di problemi di compatibilità.

2. Creazione di profili di aggiornamenti delle funzionalità per Windows (Aggiornamenti delle funzionalità per Windows 10 e versioni successive)

I profili di aggiornamento delle funzionalità consentono di indirizzare i dispositivi a una versione specifica di Windows (ad esempio Windows 11 22H2).

  1. Nel riquadro di spostamento sinistro dell'interfaccia di amministrazione di Microsoft Intune, seleziona Dispositivi > Per piattaforma > Windows.
  2. In "Gestisci aggiornamenti", seleziona Windows 10 e versioni successive aggiornano le funzionalità.

  3. Fare clic su "+ Crea profilo".

  4. Nozioni di base:

    • Nome: fornire un nome significativo (es: Atualizacao_Recurso_Windows11_23H2).
    • Descrizione: fornire una descrizione chiara (ad esempio "Distribuzione di Windows 11 23H2 su dispositivi idonei.").

  5. Fare clic su "Avanti".

  6. Impostazioni aggiornamento funzionalità:

    • Versione della risorsa da distribuire: selezionare la versione desiderata (ad esempio: Windows 11, versione 23H2).
    • Data di disponibilità: imposta la data in cui l'aggiornamento sarà disponibile per i dispositivi.
    • Data di fine: facoltativamente, imposta una data di fine per l'offerta di aggiornamento.

  7. Fare clic su "Avanti".

  8. Tag di ambito: aggiungere facoltativamente tag di ambito. Fare clic su "Avanti".

  9. Assegnazioni: assegna questo profilo a un gruppo di dispositivi Azure AD (ad esempio: Windows11_Device_Group).

  10. Fare clic su "Avanti".

  11. Rivedi e crea:Controlla le impostazioni e fai clic su Crea.

    • Spiegazione: questo profilo garantirà che i dispositivi nel gruppo assegnato ricevano la versione specifica di Windows 11 23H2. È importante testare gli aggiornamenti delle funzionalità in gruppi più piccoli prima di distribuirli su larga scala.

3. Monitoraggio dello stato degli aggiornamenti

Intune offre dashboard e report per monitorare l'avanzamento e la conformità degli aggiornamenti.

  1. Nel riquadro di spostamento sinistro dell'interfaccia di amministrazione di Microsoft Intune, seleziona Dispositivi > Per piattaforma > Windows.
  2. In "Gestisci aggiornamenti", seleziona Anelli di Windows Update.
  3. Fare clic sull'anello di aggiornamento che si desidera monitorare (es: Anel_Atualizacao_Piloto_Windows).

  4. Nella panoramica dell'anello di aggiornamento, puoi vedere lo "Stato di distribuzione del dispositivo" e lo "Stato di aggiornamento dell'utente", che mostrano quanti dispositivi sono conformi, quanti presentano errori, ecc.

  5. Per report più dettagliati, nel riquadro di spostamento sinistro dell'interfaccia di amministrazione di Intune, selezionare Report > Aggiornamenti Windows.

  6. Qui puoi trovare report come "Rapporto sulla conformità di Windows Update" e "Rapporto sugli aggiornamenti delle funzionalità di Windows" per ottenere una visione completa dello stato degli aggiornamenti nella tua organizzazione.

Convalida e test

È fondamentale testare i criteri di aggiornamento per garantire che funzionino come previsto e che i dispositivi ricevano gli aggiornamenti correttamente.

1. Test degli anelli di aggiornamento (aggiornamenti di qualità)

  1. Scenario: registrare un dispositivo Windows di prova in Intune e assegnarlo a "Pilot_Device_Group".
  2. Azione prevista: il dispositivo deve ricevere e installare aggiornamenti di qualità secondo la politica Anel_Atualizacao_Piloto_Windows (con un ritardo di 0 giorni, ovvero rapidamente).
  3. Verifica:
    • Sul dispositivo di prova, vai su "Impostazioni" > "Windows Update" e controlla la cronologia degli aggiornamenti.
    • Nell'interfaccia di amministrazione di Intune, controlla "Stato distribuzione dispositivo" per "Anel_Atualizacao_Piloto_Windows" e "Rapporto di conformità di Windows Update" per confermare che il dispositivo è conforme.
    • Comando sul dispositivo (PowerShell come amministratore): "PowerShell". Get-WindowsUpdateLog ```
      • Spiegazione: Questo comando genera un registro dettagliato delle attività di Windows Update, utile per la risoluzione dei problemi.

2. Test dei profili di aggiornamento delle risorse

  1. Scenario: registrare un dispositivo Windows di prova in Intune e assegnarlo a "Windows11_Device_Group".
  2. Azione prevista: il dispositivo deve ricevere e installare "Windows 11 Feature Update, versione 23H2".
  3. Verifica:
    • Sul dispositivo di prova, vai su "Impostazioni" > "Sistema" > "Informazioni" e controlla la "Versione di Windows".
    • Nell'interfaccia di amministrazione di Intune, controlla lo "Stato distribuzione dispositivo" per il profilo "Atualizacao_Recurso_Windows11_23H2" e il "Report aggiornamenti funzionalità Windows".

Suggerimenti e best practice per la sicurezza

  • Strategia dell'anello di aggiornamento: implementa una strategia dell'anello di aggiornamento graduale (ad esempio, Pilota, Piccolo, Medio, Grande) per testare gli aggiornamenti su un sottoinsieme di dispositivi prima di distribuirli su larga scala. Ciò riduce al minimo il rischio di interruzioni.
  • Finestre di manutenzione: configura finestre di manutenzione e scadenze di riavvio che riducono al minimo l'impatto sulla produttività degli utenti, ma assicurano che gli aggiornamenti vengano applicati in modo tempestivo.
  • Monitoraggio continuo: monitora regolarmente i report di conformità degli aggiornamenti in Intune e configura avvisi per dispositivi non conformi o con errori di aggiornamento.
  • Test di compatibilità: prima di distribuire aggiornamenti importanti delle funzionalità, esegui test di compatibilità con le applicazioni e l'hardware critici nel tuo ambiente.
  • Ottimizzazione recapito: utilizza funzionalità come Ottimizzazione recapito per ridurre il consumo di larghezza di banda della rete durante la distribuzione degli aggiornamenti all'interno dell'organizzazione.
  • Gestione driver: fai attenzione agli aggiornamenti dei driver. Considera la possibilità di ritardare gli aggiornamenti dei driver o di testarli approfonditamente prima di un'ampia distribuzione, poiché i driver problematici possono causare arresti anomali.capacità nel sistema.
  • Integrazione con Microsoft Defender per Endpoint: Intune e Defender per Endpoint collaborano per garantire la sicurezza degli endpoint. Defender for Endpoint può fornire approfondimenti sulle vulnerabilità che possono essere risolte con patch.

Risoluzione dei problemi comuni

  • I dispositivi non ricevono aggiornamenti:
    • Verificare che il dispositivo sia registrato in Intune e che i criteri di aggiornamento/funzionalità siano assegnati al gruppo di dispositivi corretto.
    • Sul tuo dispositivo, controlla la connettività a Windows Update. Esegui "wuauclt.exe /reportnow" (per Windows 10) o "usoclient StartScan" (per Windows 11) dal prompt dei comandi.
    • Controlla i registri di Windows Update sul dispositivo utilizzando "Get-WindowsUpdateLog" in PowerShell.
    • Controlla le impostazioni "Ore di attività" in Intune; Se il dispositivo è sempre attivo, potrebbe non riavviarsi per installare gli aggiornamenti.
  • Gli aggiornamenti non vengono installati:
    • Controlla i registri di Windows Update sul dispositivo per codici di errore specifici.
    • Assicurati che il tuo dispositivo disponga di spazio su disco sufficiente.
    • La causa potrebbe essere problemi di compatibilità con software o driver esistenti. Prova in un ambiente controllato.
    • Controlla la connettività di rete del dispositivo con i servizi Windows Update.
  • I dispositivi non vengono visualizzati come conformi nei report di Intune:
    • Potrebbe essere necessario del tempo prima che lo stato di conformità venga segnalato a Intune. Aspetta qualche ora.
    • Assicurati che il tuo dispositivo sia attivo e comunichi con Intune.
    • Verificare che i criteri di conformità siano assegnati correttamente al dispositivo.
  • Falsi positivi (il dispositivo appare non conforme, ma è aggiornato):
    • Controlla manualmente lo stato degli aggiornamenti sul dispositivo. Se è aggiornato, potrebbe esserci un ritardo nella segnalazione di Intune.
    • Riavviare il servizio Gestione client di Intune nel dispositivo ("net stop dmwappushservice && net start dmwappushservice").

Conclusione

Microsoft Intune è uno strumento indispensabile per la gestione delle patch e degli aggiornamenti di sicurezza negli ambienti Windows. Automatizzando la distribuzione di aggiornamenti di qualità e funzionalità e fornendo un controllo granulare sul processo, Intune consente alle organizzazioni di mantenere i propri dispositivi sicuri e conformi alle più recenti protezioni contro le minacce informatiche. L'implementazione di una strategia di aggiornamento, insieme al monitoraggio continuo e alla risoluzione proattiva dei problemi, è fondamentale per garantire un ambiente IT resiliente. Con questa guida pratica, i professionisti della sicurezza e gli amministratori IT saranno ben attrezzati per configurare, convalidare e gestire Microsoft Intune, rafforzando il proprio livello di sicurezza degli endpoint e proteggendo le risorse della propria organizzazione.

Riferimenti:

[1]Microsoft Learn. Gestire gli aggiornamenti software di Windows in Intune. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2]Microsoft Learn. Che cos'è Microsoft Intune?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/intune/overview [3]Microsoft Learn. Gestisci gli aggiornamenti di Windows con Intune. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4]Microsoft Learn. Licenza Microsoft Intune. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5]Microsoft Learn. Configura gli anelli di aggiornamento di Windows in Intune. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6]Microsoft Learn. Configurare gli aggiornamenti delle funzionalità di Windows 10 e versioni successive in Intune. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updates [7]Microsoft Learn. Report di Windows Update in Intune. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports