Microsoft ha presentato Windows Autopatch, una funzionalità di Windows Enterprise E3 disegnata per cambiare radicalmente il modo di aggiornare il software Windows e Office sui dispositivi aziendali. Il colosso di Redmond ha illustrato la novità in un blog post sottolineando i vantaggi di tempo e risorse per i dipartimenti It.
Windows Autopatch sarà disponibile probabilmente in estate come servizio di Microsoft 365 che mantiene aggiornato automaticamente Windows e Office sugli endpoint senza costi aggiuntivi, ma con il grande vantaggio per Redmond di spingere gli abbonamenti alla suite Microsoft 365.
Microsoft afferma che il servizio andrà a colmare i gap nella protezione dei dispositivi e nella produttività, perché gli aggiornamenti automatici sono tempestivi.
Risoluzione dei gap di sicurezza e di produttività
Le falle di sicurezza, spiega il blog post di Microsoft, si possono creare perché la tecnologia è sempre più complessa e il lavoro ibrido porta un ampio numero di persone fuori dal perimetro fisico aziendale. In questo contesto gli aggiornamenti software che proteggono dalle nuove minacce potrebbero non essere adottati in modo tempestivo. Il gap di produttività si forma invece quando gli aggiornamenti delle funzionalità che migliorano la capacità degli utenti di creare e collaborare non vengono implementati.
Autopatch, automatizzando la gestione degli aggiornamenti, può fornire una risposta tempestiva ai cambiamenti. Il dipartimento It non dovrà più pianificare l’implementazione e la sequenza degli aggiornamenti. Gli aggiornamenti nella qualità del software dovrebbero migliorare le prestazioni dei dispositivi e ridurre i ticket dell’help desk, garantendo agli utenti un’esperienza ottimale, con tempi di attività maggiori e nuovi strumenti per creare e collaborare.
Autopatch richiederà una licenza per Windows Enterprise E3 o versioni successive. Dal punto di vista della gestione degli endpoint, il prerequisito principale è Intune o co-management, su cui Microsoft ha detto che fornirà informazioni più dettagliate in prossimità del lancio del servizio.
Come avviene l’adesione al servizio
Il servizio include uno strumento di valutazione della readiness che verificherà le impostazioni necessarie in Intune, Azure AD e Microsoft 365 Apps for Enterprise per verificare che siano configurate per funzionare con Autopatch. Se qualche impostazione risulta “non pronta”, il servizio ha istruzioni dettagliate per l’It su come risolvere i problemi.
Una volta che la valutazione indica la “readiness”, l’adesione consiste nell’accettazione dei termini del servizio e nell’aggiunta dei contatti amministrativi. Le policy e i gruppi vengono definiti automaticamente. Le aziende avranno la possibilità di scegliere quali dispositivi usufruiranno del servizio e Windows Autopatch sarà pronto per l’uso.
L’automazione di Autopatch: i “testing rings”
Windows Autopatch è in grado di rilevare le differenze tra gli endpoint e creare dinamicamente 4 “anelli” o testing rings. Questi anelli sono gruppi di dispositivi rappresentativi di tutti i dispositivi di un’azienda. Il test ring contiene un numero minimo di dispositivi rappresentativi. Il first ring è leggermente più grande e contiene circa l’1% di tutti i dispositivi in gestione. Il fast ring contiene circa il 9% degli endpoint, mentre il resto (90%) è assegnato al broad ring. La popolazione di questi anelli viene gestita automaticamente ma l’It aziendale può spostare dispositivi specifici da un anello all’altro.
In base a questi anelli Autopatch utilizza una distribuzione degli aggiornamenti progressiva. Gli aggiornamenti vengono installati nei dispositivi del test ring e, dopo un periodo di convalida, passano all’anello successivo per un periodo di test e così via. Man mano che più dispositivi ricevono aggiornamenti Autopatch monitora le prestazioni del dispositivo e confronta le prestazioni con le metriche di pre-aggiornamento e con le metriche dell’anello precedente. Il risultato è una cadenza di implementazione che bilancia velocità ed efficienza, ottimizzando i tempi di attività.
I quality updates – quelli che si occupano di sicurezza, firmware e altre funzionalità “essenziali” – vengono implementati in modo relativamente rapido. I feature updates – che potrebbero comportare modifiche alle interfacce utente o all’esperienza utente – vengono implementati più lentamente. Ogni anello ha a disposizione 30 giorni in modo che gli utenti abbiano l’opportunità di interagire con il software e segnalare eventuali problemi che non possono essere rilevati automaticamente.
Il dipartimento It mantiene il controllo
Ogni volta che si verificano problemi con qualsiasi aggiornamento di Autopatch, la correzione viene incorporata e applicata alle implementazioni future, offrendo un livello di servizio proattivo e in costante miglioramento. Il dipartimento It può sempre intervenire grazie a 3 funzionalità: “Interrompi”, in cui gli aggiornamenti non si spostano da un anello all’altro a meno che non vengano raggiunti gli obiettivi di stabilità; “Rollback” (se i dispositivi non soddisfano gli obiettivi di prestazioni dopo essere stati aggiornati, gli aggiornamenti possono essere annullati automaticamente); e “Selettività”, che consente di trasferire parti di un pacchetto di aggiornamento e di interrompere o ripristinare in modo selettivo e automatico le parti che non funzionano a perfezione.