Microsoft ha in programma di rilasciare un nuovo strumento che automatizzerà il processo di gestione delle patch, eliminando del tutto i Patch Tuesdays per molte organizzazioni. Il nuovo servizio Windows Autopatch manterrà infatti i computer aziendali costantemente aggiornati come parte di una nuova funzionalità inclusa nel servizio di abbonamento Windows Enterprise E3.

Le organizzazioni che eseguono sistemi con una licenza Windows 10 o Windows 11 Enterprise E3 potranno beneficiare del nuovo servizio di patch, che dovrebbe essere reso disponibile a luglio. “Questo servizio manterrà aggiornato automaticamente il software Windows e Office sugli endpoint registrati, senza costi aggiuntivi” ha scritto Lior Bela, senior product marketing manager di Microsoft. “In questo modo gli amministratori IT possono guadagnare tempo e risorse per generare valore. Il secondo martedì di ogni mese sarà solo un martedì come tutti gli altri”.

Il cosiddetto Patch Tuesday (più recentemente chiamato Update Tuesday) è un termine colloquiale usato nel settore IT per riferirsi al giorno in cui Microsoft rilascia patch e aggiornamenti al proprio sistema operativo o a un altro software (Office ad esempio). Il Patch Tuesday corrisponde sempre al secondo martedì di ogni mese.

Microsoft ha affermato che il motivo di questa automatizzazione degli aggiornamenti software è da ricercare nella “natura in evoluzione della tecnologia”. Ad esempio, la pandemia ha aumentato la domanda di lavoro più remoto o ibrido, rendendo gli aggiornamenti delle prestazioni e della sicurezza ancora più cruciali, poiché i sistemi sono più spesso al di fuori del firewall aziendale.

“Il valore di questa novità dovrebbe essere percepito immediatamente dagli amministratori IT, che non dovranno pianificare l’implementazione e la sequenza degli aggiornamenti”, ha affermato Bela. Secondo Dan Wilson, direttore di ricerca senior di Gartner, c’è una domanda insoddisfatta di servizi di patching degli endpoint poiché gli outsourcer tradizionali tendono a favorire offerte più complete di servizi.

windows-autopatch-screen-grab-100924688-orig

“Autopatch è in grado di affrontare la sfida (avvertita da molti) di stare al passo con gli aggiornamenti di Windows e Office. La sua gratuità dovrebbe inoltre renderlo interessante almeno per il test. L’applicazione di patch di terze parti è un’altra importante sfida da affrontare, ma attualmente non riguarda Autopatch”, ha detto Wilson.

Windows Autopatch sarà in grado di rilevare le differenze tra gli endpoint e di inserirli in quattro “segmenti di test” o gruppi, quindi controllarli dinamicamente per gli aggiornamenti necessari. In primo luogo ci sarà un “test ring” contenente un numero minimo di dispositivi rappresentativi di tutte le tipologie di dispositivi e configurazioni in gestione. Il segmento successivo è leggermente più grande e contiene circa l’1% di tutti i dispositivi in gestione. Un terzo segmento “veloce” contiene circa il 9% degli endpoint e il restante 90% dei dispositivi verrà assegnato a un segmento “ampio”. Le percentuali non cambiano man mano che i dispositivi vengono aggiunti o rimossi dalla rete del servizio.

Lo scopo di questi quattro segmenti (o ring, come li definisce Microsoft) è garantire che non vi siano problemi software associati al firmware o agli aggiornamenti software. Man mano che ogni gruppo supera i test, gli aggiornamenti vengono installati fino a quando tutti i dispositivi di un’organizzazione non vengono aggiornati.

Wilson ha osservato che con Autopatch c’è la possibilità di interrompere e ripristinare in caso di problemi e che i requisiti minimi di licenza (Windows E3 o versioni successive) non dovrebbero essere un problema “poiché la maggior parte ha o sta eseguendo l’aggiornamento a bundle di Microsoft 365 che includono Windows E3 o successivi. Non è però ancora chiaro se sarà meglio utilizzare Autopatch o sfruttare le funzionalità di aggiornamento automatico già all’interno di Microsoft Endpoint Manager, Windows Update for Business e la console di amministrazione di Office 365”. 

Dal punto di vista della gestione degli endpoint, il prerequisito principale per Autopatch è Intune o la co-gestione. Il servizio dispone di uno strumento di valutazione della disponibilità integrato che verificherà le impostazioni pertinenti in Intune, Azure Active Directory e Microsoft 365 Apps for Enterprise per verificare che siano configurate per funzionare con Autopatch.

Questo strumento online controlla tutte le impostazioni di un’organizzazione in Microsoft Endpoint Manager, in particolare Microsoft Intune, Azure Active Director e Microsoft 365, per assicurarsi che funzionino con Autopatch. Se qualche impostazione risulta “non pronta”, il servizio ha istruzioni dettagliate su come risolvere i problemi.

“Dopo aver fornito il consenso, Microsoft completerà automaticamente tutti gli altri passaggi e gestirà la creazione dei criteri e dei gruppi giusti in modo che gli aggiornamenti siano pronti per essere distribuiti” conclude Mark Florida, Principal Engineering Product Manager di Microsoft.