Phần 7: Quản lý cập nhật Windows 10 và Windows 11 qua Intune

Cập nhật hệ điều hành nói chung và Windows nói riêng là một phần không thể thiếu trong chiến lược bảo mật của tổ chức. Tuy nhiên không hiếm các tổ chức lại xem nhẹ việc này dẫn đến hệ thống gặp nhiều rủi ro bảo mật và có thể dẫn đến những tình huống đáng tiếc.

Bài viết này hướng dẫn cách triển khai cập nhật hiệu quả Windows 10/11 thông qua công cụ Microsoft Intune, giúp người quản trị viên không cần phải thực hiện thủ công trên từng máy client.

Tìm hiểu về các bản cập nhật Windows 10/11

Feature Updates:

Feature Updates trên Windows 10 và Windows 11 là các bản cập nhật lớn được phát hành định kỳ, thường là hai lần mỗi năm. Chúng mang lại những tính năng mới, cải tiến hiệu suất cũng như giao diện người dùng, và các thay đổi hệ thống quan trọng.

Do đây là các bản cập nhật phiên bản mới của hệ điều hành nên dung lượng cập nhật cũng tương đối lớn, thường từ 3-5GB.

Microsoft thường phát hành Feature Updates vào mùa xuân và mùa thu mỗi năm. Ví dụ, bản cập nhật Windows 10 22H1 (tháng 5 năm 2021) hay Windows 11 22H2 (tháng 9 năm 2022).

Quality updates

Quality Updates là các bản cập nhật định kỳ nhằm cải thiện hiệu suất, độ ổn định và bảo mật của hệ điều hành. Chúng thường bao gồm các bản vá lỗi, cải tiến bảo mật và các tối ưu hóa hệ thống.

Microsoft thường phát hành Quality Updates vào ngày thứ Ba tuần thứ hai của mỗi tháng, được gọi là “Patch Tuesday”.

Ngoài ra, Microsoft cũng còn có các bản cập nhật ngoài lịch trình khi cần thiết để khắc phục các vấn đề khẩn cấp.

Yêu cầu triển khai cập nhật Windows 10/11 qua Microsoft Intune

Để triển khai được các bản cập nhật Windows 10/11 qua Microsoft Intune, bạn cần đáp ứng được đầy đủ các tiêu chí bên dưới:

• Các chức năng chính (Core) như tạo chính sách, chọn lựa phiên bản Windows để cập nhật đến thiết bị, hay sử dụng tùy chọn ‘Make updates available as soon as possible’, chỉ định ngày bắt đầu cập nhật, xem báo cáo chỉ yêu cầu license Intune.
• Các chức năng dựa trên đám mây bổ sung yêu cầu giấy phép bổ sung. Để sử dụng khả năng dựa trên đám mây, ngoài giấy phép cho Intune, tổ chức phải có một trong các giấy phép bên dưới để triển khai chức năng cập nhật Windows Update for Business
  • Windows 10/11 Enterprise E3 hoặc E5 (có sẵn trong các gói Microsoft 365 F3, E3, hoặc E5)
  • Windows 10/11 Education A3 hoặc A5 (có sẵn trong các gói Microsoft 365 A3 hoặc A5)
  • Windows Virtual Desktop Access E3 hoặc E5
  • Microsoft 365 Business Premium
• Yêu cầu về thiết bị
  • Phải chạy một phiên bản Windows 10/11 vẫn còn được hỗ trợ.
  • Đã enroll vào Intune MDM hoặc phải là thiết bị Hybrid AD joined hoặc thiết bị Microsoft Entra joined.
• Yêu cầu về phiên bản Windows:
  • Pro
  • Enterprise
  • Education
  • Education
  • Pro for Workstations

Ngoài ra còn thêm một số yêu cầu bổ sung chi tiết khác có thể tham khảo thêm tại đây

Cách cấu hình Update ring cho Windows 10/11

Quản trị viên truy cập Intune Admin Center (https://intune.microsoft.com)

Chọn Devices > Windows Updates > Create profile.

Trong giao diện Create Update ring for Windows 10 and later sẽ gồm 4 thẻ là Basics, Update ring settings, Assignments và Review + create.

Thẻ Basics: đặt tên và điền mô tả cho chính sách

Thẻ Update ring settings: gồm các thiết lập chính cho quá trình cấu hình cập nhật Windows 10/11, gồm 3 nhóm chính: Update Settings, User experience settings

Update Settings: các thiết lập về cài đặt

• Quality update deferral period (days): là khoảng thời gian có thể trì hoãn việc cài đặt các bản Quality Updates trên Windows 10/11. Chẳng hạn, nếu bạn cấu hình 7 ngày đồng nghĩa sau khi Microsoft phát hành bản cập nhật, hệ thống sẽ chờ 7 ngày trước khi tải xuống và cài đặt. Thông số này có thể cấu hình trong khoảng 0 đến 30 ngày.
• Feature update deferral period (days): là khoảng thời gian có thể trì hoãn việc cài đặt các bản Feature Updates trên Windows 10/11. Chẳng hạn, nếu bạn cấu hình 7 ngày đồng nghĩa sau khi Microsoft phát hành bản cập nhật, hệ thống sẽ chờ 7 ngày trước khi tải xuống và cài đặt. Thông số này có thể cấu hình trong khoảng 0 đến 365 ngày.
• Upgrade Windows 10 devices to Latest Windows 11 release: Nếu kích hoạt tùy chọn này bạn có thể cập nhật các thiết bị Windows 10 hợp lệ sang phiên bản Windows 11. Lưu ý rằng vào tháng 10/2025 Microsoft sẽ ngừng hỗ trợ Windows 10 (chi tiết ở đây) nên tổ chức nên cân nhắc nâng cấp hệ thống để đảm bảo hiệu suất làm việc và bảo mật.
• Set feature update uninstall period (2 – 60 days): là khoảng thời gian mà bạn có thể cấu hình cho phép gỡ cài đặt các bản cập nhật tính năng (Feature Updates) trên Windows 10/11 sau khi chúng được cài đặt.
• Enable pre-release builds: kích hoạt chức năng này để có thể sử dụng các phiên bản Windows ở trạng thái thử nghiệm như Dev Channel, Beta Channel, Windows Insider-Release Preview. Lưu ý tùy chọn này chỉ nên được kích hoạt cho một nhóm thiết bị cụ thể ở trạng thái thử nghiệm, không nên áp dụng cho toàn tổ chức vì đây là những phiên bản Windows có thể vẫn còn nhiều lỗi.

User experience settings: các cấu hình về trải nghiệm người dùng

• Automatic update behavior: gồm một số hành động cập nhật sẽ thực hiện tự động như
  • Notify download: thông báo cho người dùng trước khi tải xuống bản cập nhật, và người dùng chọn tải xuống và cài đặt bản cập nhật;
  • Auto install at maintainance time: bản cập nhật tự động tải xuống và sau đó cài đặt ngoài giờ hoạt động (active hour) khi thiết bị không được sử dụng hoặc chạy bằng pin. Nếu bản cập nhật cần khởi động lại, người dùng được nhắc khởi động lại trong tối đa bảy ngày, sau đó khởi động lại bắt buộc. Khi sử dụng chức năng này cần cấu hình thêm thời gian hoạt động của thiết bị để việc cập nhật sẽ tránh khung giờ này ra.
  • Auto install and restart at maintenance time: bản cập nhật tự động tải xuống và sau đó cài đặt ngoài giờ hoạt động khi thiết bị không được sử dụng hoặc chạy bằng pin. Nếu bản cập nhật cần khởi động lại, thiết bị sẽ khởi động lại khi không được sử dụng, đây là mặc định cho các thiết bị không được quản lý.
  • Auto install and restart at scheduled time: Chỉ định ngày và giờ cài đặt bản cập nhật. Nếu không chỉ định thời gian, quá trình cài đặt sẽ diễn ra lúc 3 giờ sáng hàng ngày, sau đó là đếm ngược 15 phút để khởi động lại. Người dùng đã đăng nhập có thể trì hoãn đếm ngược và khởi động lại.
  • Auto install and reboot without end-user control: Bản cập nhật tự động tải xuống và sau đó cài đặt ngoài giờ hoạt động khi thiết bị không được sử dụng hoặc chạy bằng pin. Nếu bản cập nhật cần khởi động lại, thiết bị sẽ khởi động lại khi không được sử dụng.
• Use deadline settings: chọn Allow để cấu hình thêm một số tùy chọn hạn chót cập nhật
  • Deadline for feature updates: Chỉ định số ngày (từ 2 đến 30 ngày) mà hệ thống phải cài đặt các bản Feature Updates mới sau khi chúng được ra mắt. Nếu không cài đặt trong thời gian này, hệ thống sẽ tự động cài đặt các bản cập nhật.
  • Deadline for quality updates: Chỉ định số ngày (từ 2 đến 30 ngày) mà hệ thống phải cài đặt các bản Quality Updates mới sau khi chúng được ra mắt. Nếu không cài đặt trong thời gian này, hệ thống sẽ tự động cài đặt các bản cập nhật.
  • Grace period: là khoảng thời gian (0-7 ngày) sau khi bản cập nhật đã được tải xuống và sẵn sàng cài đặt, nhưng trước khi hệ thống bắt buộc phải khởi động lại để hoàn tất cài đặt. Trong thời gian này, người dùng có thể chọn thời điểm khởi động lại hệ thống để tránh gián đoạn công việc.
  • Auto reboot before deadline: Chọn Yes để cho phép tự động khởi động lại ngoài giờ hoạt động trước khi hạn chót và và grace period đến.

Tất cả các thiết lập và chi tiết mô tả có thể tham khảo ở link

Sau thi thiết lập xong chọn Next.

Bước Assignment: Chọn nhóm thiết bị sẽ áp dụng chính sách và nhấn Next

Xem lại tất cả các thiết lập ở trang Review + create > Create

Note:

• Có thể thực hiện nhiều Profile cho nhiều nhóm thiết bị khác nhau theo nhu cầu khác nhau của tổ chức
• Có thể tạm dừng triển khai Profile cho Feature/Quality Updates bằng cách nhấn vào nút Pause trên thanh công cụ

Cấu hình Feature Update

Quản trị viên truy cập Intune Admin Center (https://intune.microsoft.com)

Chọn Device > Windows updates > Feature updates > Create Profile

Trên giao diện hiện ra chọn phiên bản Windows 10 (22H2) hoặc phiên bản Windows 11 (22H2, 23H2, 24H2) để triển khai.

Có thể chọn vào ô When a device isn’t eligible to run Windows 11, install the latest Windows 10 feature update để cập nhật lên phiên bản Windows 10 mới nhất trong trường hợp thiết bị chưa đủ điều kiện nâng cấp lên Windows 11.

Ở phần Rollout options chọn Make update available as soon as possible để bản cập nhật xuất hiện ngay khi ra mắt hoặc chọn Make update available on a specific date để chọn ngày bản cập nhật có trên Windows Update. Xong chọn Next.

Chọn nhóm thiết bị sẽ áp dụng chính sách này ở mục Assignments và chọn Next > Create.