Gerenciar configurações adicionais do Windows Update

Procurando informações de consumidor? Consulte Windows Update: perguntas frequentes

Você pode usar as configurações de Política de Grupo ou gerenciamento de dispositivos móveis (MDM) para configurar o comportamento do Windows Update em seus dispositivos Windows 10. Você pode configurar a frequência de detecção de atualização, selecionar quando as atualizações são recebidas, especificar o local do serviço de atualização e muito mais.

Resumo das configurações do Windows Update

Configuração da Política de Grupo Configuração do MDM Suporte desde a versão
Especificar o local do serviço de atualização na intranet da Microsoft UpdateServiceUrl e UpdateServiceUrlAlternate Todas
Frequência de Detecção de Atualizações Automáticas DetectionFrequency 1703
Remover o acesso para usar todos os recursos do Windows Update Update/SetDisableUXWUAccess Todas
Não se conectar a locais de Internet do Windows Update Todas
Habilitar o direcionamento do lado cliente Todas
Permitir atualizações assinadas de um local do serviço de atualização na intranet da Microsoft AllowNonMicrosoftSignedUpdate Todas
Não incluir drivers em Windows Updates ExcludeWUDriversInQualityUpdate 1607
Configurar Atualizações Automáticas AllowAutoUpdate Todas
Windows Update notificações exibem o nome

da organização *O nome da organização é exibido por padrão. Um valor de registro pode desabilitar esse comportamento.		 Windows 11 dispositivos que estão Microsoft Entra ingressados ou registrados
Permitir que as atualizações do Windows instalem antes da entrada inicial do usuário (somente registro) Windows 11 versão 22H2 com visualização de atualização cumulativa 2023-04 ou uma atualização cumulativa posterior

Importante

Informações adicionais sobre configurações para gerenciar reinicializações de dispositivo e reiniciar notificações para atualizações estão disponíveis em Gerenciar reinicializações de dispositivo após atualizações.

Configurações adicionais que configuram quando atualizações de recursos e qualidade são recebidas são detalhadas em Configurar Windows Update para Empresas.

Como procurar atualizações

Os administradores têm muita flexibilidade na configuração de como seus dispositivos examinam e recebem atualizações.

Especificar o local do serviço de atualização na Intranet da Microsoft permite que os administradores direcionem os dispositivos para um local interno de serviço de atualização da Microsoft, enquanto Não se conectar a locais da Internet do Windows Update lhes dá a opção de restringirem dispositivos apenas a esse serviço interno de atualização. A Frequência de Detecção de Atualizações Automáticas controla a frequência em que os dispositivos verificam se há atualizações.

Você pode fazer grupos de dispositivos personalizados que funcionarão com seu serviço interno de atualização da Microsoft usando Habilitar o direcionamento do lado do cliente. Você também pode garantir que seus dispositivos recebam atualizações que não foram assinadas pela Microsoft do seu serviço interno de atualização da Microsoft, por meio de Permitir atualizações assinadas de um local de serviço de atualização da Microsoft intranet.

Por fim, para garantir que a experiência de atualização seja totalmente controlada pelos administradores, você poderá Remover o acesso ao uso de todos os recursos do Windows Update para os usuários.

Para obter as configurações adicionais que definem quando as atualizações de Recurso e Qualidade são recebidas, consulte Configurar o Windows Update para Empresas.

Especificar o local do serviço de atualização da Intranet da Microsoft

Especifica um servidor de intranet para hospedar atualizações do Microsoft Update. Você pode então usar esse serviço de atualização para atualizar automaticamente os computadores em sua rede. Essa configuração permite que você especifique um servidor na sua rede para funcionar como um serviço de atualização interno. O cliente de Atualizações Automáticas pesquisará esse serviço em busca de atualizações que se apliquem aos computadores em sua rede.

Para usar essa configuração na Política de Grupo, vá até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Especificar local do serviço de atualização na intranet da Microsoft. Você deve definir dois valores de nome de servidor: o servidor em que o cliente de Atualizações Automáticas detecta e baixa atualizações, e o servidor no qual as estações de trabalho atualizadas carregam estatísticas. Você pode definir os dois valores para o mesmo servidor. Um valor de nome de servidor opcional pode ser especificado para configurar o Windows Update Agent para baixar atualizações de um servidor de download alternativo em vez do serviço de atualização da intranet.

Se a configuração for definida como Habilitada, o cliente de Atualizações Automáticas se conecta ao serviço de atualização da Microsoft da intranet especificado (ou servidor de download alternativo), em ve do Windows Update, para procurar e baixar atualizações. Habilitar essa configuração significa que os usuários finais em na organização não precisam passar por um firewall para obter atualizações e dá a você a oportunidade de testar as atualizações após implantá-las. Se a configuração estiver definida como Desabilitada ou Não Configurada e se o Atualizações Automático não estiver desabilitado pela política ou preferência do usuário, o cliente Atualizações automático se conectará diretamente ao site Windows Update na Internet.

O servidor de download alternativo configura o Windows Update Agent para baixar arquivos de um servidor de download alternativo em vez do serviço de atualização da intranet. A opção de baixar arquivos com Urls ausentes permite que o conteúdo seja baixado do Servidor de Download Alternativo quando não houver Urls de download para os arquivos nos metadados da atualização. Essa opção só deve ser usada quando o serviço de atualização da intranet não fornecer Urls de download nos metadados de atualização para arquivos presentes no servidor de download alternativo.

Observação

Se a política "Configurar Atualizações Automáticas" estiver desabilitada, então essa política não terá efeito.

Se o "Servidor de Download Alternativo" não estiver definido, ele usará o serviço de atualização da intranet por padrão para baixar atualizações.

A opção para "Baixar arquivos sem Url …" só será usada se o "Servidor de Download Alternativo" for definido.

Para configurar essa política com o MDM, use UpdateServiceUrl e UpdateServiceUrlAlternate.

Frequência de detecção de Atualizações Automáticas

Especifica a quantidade de horas que o Windows usará para determinar por quanto tempo deve esperar para verificar se há atualizações disponíveis. O tempo de espera exato é determinado pelas horas especificadas aqui menos zero a 20% das horas especificadas. Por exemplo, se essa política for usada para especificar uma frequência de detecção de 20 horas, então todos os clientes aos quais essa política é aplicada verificarão atualizações em qualquer lugar por 16 a 20 horas.

Para definir essa configuração com Política de Grupo, navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Frequência de detecção de Atualizações Automáticas.

Se a configuração for definida como Habilitada, o Windows verificará se há atualizações disponíveis no intervalo especificado. Se a configuração for definida como Desabilitada ou Não Configurada, o Windows verificará se há atualizações disponíveis no intervalo padrão de 22 horas.

Observação

A configuração "Especificar o local do serviço de atualização na intranet da Microsoft" deve ser habilitada para que esta política tenha efeito.

Se a política "Configurar Atualizações Automáticas" estiver desabilitada, esta política não terá efeito.

Para configurar essa política com o MDM, use DetectionFrequency.

Remover o acesso para usar todos os recursos do Windows Update

Habilitando a configuração de Política de Grupo em Computer Configuration\Administrative Templates\Windows Components\Windows update\Remove access to use all Windows update features, os administradores podem desabilitar a opção "Verificar se há atualizações" para os usuários. Quaisquer verificações, downloads e instalações de atualização em segundo plano continuarão a funcionar conforme configurado.

Não se conectar a locais de Internet do Windows Update

Mesmo quando o Windows Update estiver configurado para receber atualizações de um serviço de atualização da intranet, ele irá recuperar informações periodicamente do serviço Windows Update público para habilitar conexões futuras ao Windows Update e outros serviços, como o Microsoft Update, a Microsoft Store ou a Microsoft Store para Empresas.

Use Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Não se conectar a locais do Windows Update na Internet para habilitar essa política. Quando habilitada, essa política desabilitará a funcionalidade descrita acima e pode fazer com que a conexão com serviços públicos como a Microsoft Store, a Microsoft Store para Empresas, o Windows Update para Empresas e a Otimização de Entrega pare de funcionar.

Observação

Essa política só se aplica quando o dispositivo está configurado para se conectar a um serviço de atualização da intranet usando a política "Especificar o local do serviço de atualização na intranet da Microsoft".

Habilitar o direcionamento do lado cliente

Especifica o nome ou os nomes de grupo de destino que devem ser usados para receber atualizações de um serviço de atualização na intranet da Microsoft. Isso permite que os administradores configurem os grupos de dispositivos que receberão atualizações diferentes de fontes como o WSUS ou o Gerenciador de Configuração.

Essa configuração de Política de Grupo pode ser encontrada em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Habilitar direcionamento no lado do cliente. Se a configuração estiver definida como Habilitada, as informações especificadas do grupo de destino serão enviadas para o serviço de atualização da Microsoft intranet, que a usa para determinar quais atualizações devem ser implantadas neste computador. Se a configuração for definida como Desabilitada ou Não configurada, nenhuma informação do grupo de destino será enviada para o serviço de atualização na intranet da Microsoft.

Se o serviço de atualização na intranet da Microsoft der suporte a vários grupos de destino, essa política poderá especificar vários nomes de grupo separados por ponto-e-vírgula. Caso contrário, um único grupo deverá ser especificado.

Observação

Essa política se aplica somente quando o serviço de atualização na intranet da Microsoft para o qual o dispositivo é direcionado esteja configurado para dar suporte ao direcionamento do lado do cliente. Se a política "Especificar o local do serviço de atualização na intranet da Microsoft" estiver desabilitada ou não configurada, esta política não terá efeito.

Permitir atualizações assinadas de um local de serviço de atualização da Microsoft da intranet

Essa configuração de política permite que você gerencie se as Atualizações Automáticas aceitarão atualizações assinadas por entidades diferentes da Microsoft quando a atualização for encontrada em um local do serviço de atualização na intranet da Microsoft.

Para definir essa configuração na Política de Grupo, vá até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Permitir atualizações assinadas do local do serviço de atualização da intranet da Microsoft.

Se você habilitar essa configuração de política, o Automatic Atualizações aceitará as atualizações recebidas por meio de um local de serviço de atualização da Microsoft intranet, conforme especificado por Especificar o local de serviço de atualização da Microsoft intranet, se eles forem assinados por um certificado encontrado no repositório de certificados "Editores Confiáveis" do computador local. Se você desabilitar ou não configurar essa configuração de política, as atualizações de um local de serviço de atualização da Microsoft intranet devem ser assinadas pela Microsoft.

Observação

As atualizações de um serviço que não seja um serviço de atualização na intranet da Microsoft sempre deverão ser assinadas pela Microsoft e não são afetadas por essa configuração de política.

Para configurar essa política com o MDM, use AllowNonMicrosoftSignedUpdate.

Instalação de atualizações

Para adicionar mais flexibilidade ao processo de atualização, há configurações disponíveis para controlar a instalação da atualização.

Configurar o Atualizações Automático oferece quatro opções diferentes para instalação de atualização automática, enquanto Não inclua drivers com o Windows Atualizações garante que os drivers não estejam instalados com o restante das atualizações recebidas.

Não incluir drivers em Windows Updates

Permite que os administradores excluam os drivers do Windows Update durante as atualizações.

Para definir essa configuração em Política de Grupo, use Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Update\Não incluir drivers em Windows Updates. Habilite essa política para não incluir drivers nas atualizações de qualidade do Windows. Se você desabilitar ou não configurar essa política, Windows Update incluirá atualizações que têm uma classificação driver.

Configurar Atualizações Automáticas

Permite que o administrador de TI gerencie o comportamento de atualização automática para verificar, baixar e instalar atualizações.

Como configurar Atualizações Automáticas usando a Política de Grupo

Em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Atualização do Windows\Configurar Atualizações Automático, você deve selecionar uma das seguintes opções:

2 – Notificar para download e instalação automática – quando o Windows encontrar atualizações que se aplicam a esse dispositivo, os usuários serão notificados de que as atualizações estão prontas para serem baixadas. Depois de acessar Configurações > Atualizar & Windows Update de segurança>, os usuários podem baixar e instalar todas as atualizações disponíveis.

3 – Baixar e notificar automaticamente para Instalar – o Windows encontra atualizações que se aplicam ao dispositivo e as baixa em segundo plano (o usuário não é notificado ou interrompido durante esse processo). Quando os downloads forem concluídos, os usuários serão notificados de que estão prontos para instalar. Depois de acessar Configurações > Atualizar & Windows Update de segurança>, os usuários podem instalá-los.

4 - Baixar automaticamente e agendar a instalação - especifique a agenda usando as opções da Configuração de Política de Grupo. Para obter mais informações sobre essa configuração, consulte Agendar instalação de atualização.

5 - Permitir que o administrador local escolha a configuração - com essa opção, os administradores locais terão permissão para usar o app de configurações para selecionar uma opção de configuração de sua escolha. Os administradores locais não poderão desabilitar a configuração do Automatic Atualizações. Essa opção não está disponível em nenhuma versão Windows 10 ou posterior.

7 – Notificar para instalação e notificação para reinicialização (somente Windows Server 2016 e posterior) – Com essa opção, quando o Windows encontrar atualizações que se aplicam a esse dispositivo, elas serão baixadas e, em seguida, os usuários serão notificados de que as atualizações estão prontas para serem instaladas. Depois que as atualizações forem instaladas, uma notificação será exibida aos usuários para reiniciar o dispositivo.

Se essa configuração for definida como Desabilitada, todas as atualizações disponíveis no Windows Update deverão ser baixadas e instaladas manualmente. Para fazer isso, os usuários devem acessar Configurações > Atualizar & Windows Update de segurança>.

Se essa configuração estiver definida como Não Configurada, um administrador ainda poderá configurar o Atualizações Automático por meio do aplicativo de configurações, em Configurações > Atualizar & segurança > Windows Update > opções avançadas.

Como configurar as Atualizações Automáticas editando o registro

Observação

Problemas sérios podem ocorrer se você modificar o registro incorretamente usando o Editor do Registro ou outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser resolvidos. Você deve assumir o risco de modificar o Registro.

Em um ambiente que não tem o Active Directory implantado, você pode editar configurações de registro para configurar políticas de grupo para Atualização Automática.

Para fazer isso, siga estas etapas:

  1. Selecione Iniciar, procure "regedit" e abra o Editor do Registro.

  2. Abra a seguinte chave do Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

  3. Adicione um dos valores de Registro a seguir para configurar a Atualização Automática.

    • NoAutoUpdate (REG_DWORD):

      • 0: as Atualizações Automáticas estão habilitadas (padrão).

      • 1: as Atualizações Automáticas estão desabilitadas.

    • AUOptions (REG_DWORD):

      • 1: Manter meu computador atualizado está desabilitado em Atualizações Automáticas.

      • 2: notificar o download e a instalação.

      • 3: baixar e notificar a instalação automaticamente.

      • 4: baixar e agendar a instalação automaticamente.

      • 5: permitir que o administrador local selecione o modo de configuração. Essa opção não está disponível para versões Windows 10 ou posteriores.

      • 7: Notificar para instalação e notificação para reinicialização. (somente Windows Server 2016 e posterior)

    • ScheduledInstallDay (REG_DWORD):

      • 0: todos os dias.

      • 1 a 7: os dias da semana, de domingo (1) a sábado (7).

    • ScheduledInstallTime (REG_DWORD):

      n, em que n é igual à hora do dia em um formato de 24 horas (0-23).

    • UseWUServer (REG_DWORD)

      Defina esse valor como 1 para configurar as Atualizações Automáticas para usar um servidor que esteja executando os Serviços de Atualização de Software em vez do Windows Update.

    • RescheduleWaitTime (REG_DWORD)

      m, em que m é igual ao período de espera entre a hora em que as Atualizações Automáticas são iniciadas e a hora em as instalações são iniciadas onde os horários agendados passaram. A hora é definida em minutos de 1 a 60, representando 1 minuto a 60 minutos)

      Observação

      Essa configuração afetará somente o comportamento do cliente depois que os clientes tiverem sido atualizados para a versão do cliente SUS SP1 ou versões posteriores.

    • NoAutoRebootWithLoggedOnUsers (REG_DWORD):

      0 (falso) ou 1 (verdadeiro). Se definido como 1, o Atualizações Automático não reiniciará automaticamente um computador enquanto os usuários estiverem conectados.

      Observação

      Essa configuração afetará o comportamento do cliente depois que os clientes tiverem sido atualizados para a versão do cliente SUS SP1 ou versões posteriores.

Para usar o Atualizações Automático com um servidor que está executando o WSUS (Serviços de Atualização de Software do Windows), consulte as diretrizes de implantação do Microsoft Windows Server Update Services.

Quando você configura as Atualizações Automáticas diretamente usando as chaves do Registro da política, a política substitui as preferências definidas pelo usuário administrativo local para configurar o cliente. Se um administrador remover as chaves do Registro em uma data posterior, as preferências definidas pelo usuário administrativo local serão usadas novamente.

Para determinar o servidor WSUS ao qual os computadores cliente e os servidores se conectam para obter atualizações, adicione os seguintes valores do registro ao Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

  • WUServer (REG_SZ)

    Esse valor define o servidor WSUS por nome HTTP (por exemplo, http://IntranetSUS).

  • WUStatusServer (REG_SZ)

    Esse valor define o servidor de estatísticas do SUS por nome HTTP (por exemplo, http://IntranetSUS).

Exibir nome da organização em notificações de Windows Update

Quando Windows 11 clientes são associados a um locatário Microsoft Entra, o nome da organização aparece nas notificações de Windows Update. Por exemplo, quando você tiver um prazo de conformidade configurado para Windows Update for Business, a notificação do usuário exibirá uma mensagem semelhante à Contoso exige que atualizações importantes sejam instaladas. O nome da organização também será exibido na página Windows Update nas Configurações para Windows 11.

O nome da organização é exibido automaticamente para Windows 11 clientes associados a Microsoft Entra ID de qualquer uma das seguintes maneiras:

Para desabilitar a exibição do nome da organização em Windows Update notificações, adicione ou modifique o seguinte no registro:

  • Chave do Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations
  • Nome do valor DWORD: UsoDisableAADJAttribution
  • Dados de valor: 1

O seguinte script do PowerShell é fornecido como um exemplo para você:

$registryPath = "HKLM:\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations"
$Name = "UsoDisableAADJAttribution"
$value = "1" 

if (!(Test-Path $registryPath)) 
{
  New-Item -Path $registryPath -Force | Out-Null
}

New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null

Permitir que as atualizações do Windows instalem antes da entrada inicial do usuário

(Começando em Windows 11, versão 22H2 com 2023-04 Versão prévia cumulativa de atualização ou uma atualização cumulativa posterior)

Em novos dispositivos, Windows Update não começa a instalar atualizações em segundo plano até que um usuário tenha concluído a OOBE (Experiência Fora da Caixa) e entre pela primeira vez. Em muitos casos, o usuário entra imediatamente após concluir o OOBE. No entanto, algumas soluções baseadas em VM provisionam um dispositivo e automatizam a primeira experiência do usuário. Essas VMs podem não ser imediatamente atribuídas a um usuário, portanto, elas não verão uma entrada inicial até vários dias depois.

Em cenários em que a entrada inicial está atrasada, a configuração dos seguintes valores de registro permite que os dispositivos iniciem o trabalho de atualização em segundo plano antes que um usuário entre pela primeira vez:

  • Chave do registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator
  • Nome do valor DWORD: ScanBeforeInitialLogonAllowed
  • Dados de valor: 1

Aviso

Esse valor foi projetado para ser usado apenas para cenários com uma entrada inicial de usuário adiada. Definir esse valor em dispositivos em que a entrada inicial do usuário não está atrasada pode ter um efeito prejudicial no desempenho, pois pode permitir que o trabalho de atualização ocorra à medida que o usuário está entrando pela primeira vez.