A partire da settembre 2025, Microsoft implementerà una modifica nel modo in cui i dispositivi Windows 11 sono impostati per i clienti aziendali e di istruzione. Gli utenti idonei riceveranno gli ultimi aggiornamenti di qualità di Windows durante l’esperienza fuori bordo (OOBE), semplificando il processo di configurazione iniziale.
L’obiettivo principale di questa regolazione è migliorare la sicurezza e la stabilità fin dall’inizio. L’installazione di aggiornamenti di qualità durante Oobe mira a ridurre il numero di aggiornamenti necessari post-dispiegamento, garantendo che i dispositivi siano prontamente garantiti con le ultime correzioni e miglioramenti dei bug.
Il processo si svolgerà nella pagina finale di Oobe. Il dispositivo avvierà un controllo per gli aggiornamenti di Windows disponibili e procederà per installare eventuali aggiornamenti di qualità che ritenga. Ciò garantisce che il sistema sia patchato prima dell’accesso iniziale dell’utente. Microsoft ha dichiarato che ciò consente “controllo senza soluzione di continuità sul comportamento di aggiornamento della qualità durante il provisioning, garantendo al contempo l’allineamento con i requisiti di sicurezza organizzativa e conformità”.
Questa modifica non si estenderà ai dispositivi di consumo non gestiti. Influenzerà specificamente PC Microsoft ENTRA-joined o ibrido che operano su Windows 11 versione 22h2 o successiva. Questi PC devono anche essere gestiti tramite soluzioni INTUNE o altre soluzioni MDM (Supportate Mobile Device Management) con un profilo di stato di iscrizione a pilota automatico (ESP) per il nuovo processo di aggiornamento per avere effetto.
Gli amministratori IT mantengono il controllo sul processo di aggiornamento attraverso il centro amministratore Intune. Possono navigare su dispositivi | Iscrizione | Pagina di stato di iscrizione e regola gli aggiornamenti di qualità di Windows (potrebbero riavviare l’impostazione del dispositivo) per gestire l’installazione di questi aggiornamenti durante Oobe.
Per impostazione predefinita, i nuovi profili ESP avranno abilitato questa opzione. Al contrario, i profili esistenti manterranno la loro attuale impostazione di “no” fino a quando gli amministratori non regolano manualmente la configurazione. Ciò consente ai dipartimenti IT di controllare l’implementazione della nuova funzionalità e valutarne l’impatto sui loro flussi di lavoro esistenti.
I dispositivi privi di un profilo ESP assegnato installeranno automaticamente gli aggiornamenti, un processo che non può essere disabilitato. Ciò potrebbe influenzare le organizzazioni dipendenti dalle politiche di preparazione del dispositivo di pilota automatico, poiché gli aggiornamenti verranno applicati per impostazione predefinita in questi scenari.
Il processo di aggiornamento rispetterà anche qualsiasi pausa configurata e regole di differimento, a condizione che queste impostazioni siano correttamente configurate negli anelli di aggiornamento e assegnate allo stesso gruppo del profilo ESP. Microsoft ha indicato che può verificarsi un’applicazione incoerente di impostazioni senza questo allineamento.
Per i team IT, questo turno riduce il carico di lavoro associato ai dispositivi di patching immediatamente dopo la distribuzione e aiuta a garantire che i sistemi siano conformi fin dall’inizio. Tuttavia, gli utenti possono sperimentare un tempo di configurazione più lungo. I rapporti suggeriscono che il processo OOBE potrebbe estendersi fino a 20 minuti.
A Black Hat 2025, Microsoft ha anche discusso degli sforzi dei suoi team di sicurezza per affrontare in modo proattivo le minacce informatiche e prevenire gli attacchi.
