Cómo usar la directiva de grupo para implementar la reversión de un problema conocido

En este artículo se describe cómo configurar la directiva de grupo para usar una definición de directiva de reversión de problemas conocidos (KIR) que activa un KIR en dispositivos administrados.

Resumen

Microsoft ha desarrollado una nueva tecnología de mantenimiento de Windows denominada KIR para Windows Server 2019 y Windows 10, versiones 1809 y versiones posteriores. Para las versiones compatibles de Windows, un KIR revierte un cambio específico que se aplicó como parte de una versión de Windows Update que no es de seguridad. Todos los demás cambios realizados como parte de esa versión permanecen intactos. Con esta tecnología, si una actualización de Windows provoca una regresión u otro problema, no es necesario desinstalar toda la actualización y devolver el sistema a la última configuración correcta conocida. Deshaces únicamente el cambio que causó el problema. Esta reversión es temporal. Después de que Microsoft publique una nueva actualización que corrija el problema, la reversión ya no es necesaria.

Importante

Los KIR solo se aplican a actualizaciones que no son de seguridad porque revertir una corrección para una actualización que no sea de seguridad no crea una posible vulnerabilidad de seguridad.

Microsoft administra el proceso de implementación de KIR para dispositivos que no son empresariales. En el caso de los dispositivos empresariales, Microsoft proporciona archivos .msi de definición de directiva KIR. Después, las empresas pueden usar la directiva de grupo para implementar KIR en dominios híbridos de Microsoft Entra ID o Servicios de dominio de Active Directory (AD DS).

Nota:

Tiene que reiniciar los equipos afectados para aplicar este cambio de directiva de grupo.

El proceso KIR

Si Microsoft determina que una actualización de no seguridad tiene una regresión crítica o un problema similar, Microsoft genera un KIR. Microsoft anuncia el KIR en el Panel de Control de Salud de Windows y añade la información a los siguientes lugares:

En el caso de los clientes que no son empresariales, el proceso de Windows Update aplica el KIR automáticamente. No se requiere ninguna acción del usuario.

Para los clientes empresariales, Microsoft proporciona un archivo de definición de directiva .msi. Los clientes empresariales pueden propagar el KIR a los sistemas administrados mediante la infraestructura de directiva de grupo empresarial.

Para ver un ejemplo de un archivo KIR .msi, descargue Windows 10 (2004 y 20H2) reversión de problemas conocidos 031321 01.msi.

Una definición de directiva KIR tiene una duración limitada (unos meses, como máximo). Después de que Microsoft publique una actualización modificada para solucionar el problema original, el KIR ya no es necesario. A continuación, la definición de directiva se puede quitar de la infraestructura de directiva de grupo.

Aplicar KIR a un dispositivo único mediante Directiva de Grupo

Para usar la directiva de grupo para aplicar un KIR a un único dispositivo, siga estos pasos:

  1. Descargue el archivo .msi de la definición de directiva KIR en el dispositivo.

    Importante

    Asegúrese de que el sistema operativo que aparece en el .msi nombre de archivo coincide con el sistema operativo del dispositivo que desea actualizar.

  2. Ejecute el archivo .msi en el dispositivo. Esta acción instala la definición de directiva KIR en la plantilla administrativa.
  3. Abra el Editor de Directiva de Grupo Local. Para abrir el editor, seleccione Iniciar y, a continuación, escriba gpedit.msc.
  4. Seleccione Directiva de equipo local>Configuración del equipo>Plantillas administrativas>Reversión de KB ####### Problema XXX>Windows 10, versión YYMM.

    Nota:

    En este paso, ####### es el número de artículo de KB de la actualización que provocó el problema. XXX es el número de problema y YYMM es el número de versión de Windows 10.

  5. Haga clic con el botón derecho en la directiva y luego seleccione Editar>Deshabilitado>Aceptar.
  6. Reinicie el dispositivo.

Para obtener más información sobre cómo usar el Editor de directivas de grupo local, vea Trabajar con la configuración de directiva de plantilla administrativa mediante el Editor de directivas de grupo local.

Aplicar un KIR a los dispositivos en un entorno híbrido de Microsoft Entra ID o en un dominio de AD DS mediante la Directiva de Grupo.

Para aplicar una definición de directiva KIR a los dispositivos que pertenecen a un identificador híbrido de Microsoft Entra o a un dominio de AD DS, siga estos pasos:

  1. Descargar e instalar los archivos de .msi KIR
  2. Cree un objeto de directiva de grupo (GPO).
  3. Configure el GPO.
  4. Supervise los resultados del GPO.

1. Descargar e instalar los archivos kir .msi

  1. Compruebe la información de la versión kir o las listas de problemas conocidos para identificar qué versiones del sistema operativo tiene que actualizar.
  2. Descargue los archivos .msi de definición de directiva KIR que necesita para actualizar en el equipo que utiliza para administrar la Directiva de Grupo de su dominio.
  3. Ejecute los archivos .msi. Esta acción instala la definición de directiva KIR en la plantilla administrativa.

    Nota:

    Las definiciones de directiva se instalan en la carpeta C:\Windows\PolicyDefinitions . Si implementó el Central Store de directivas de grupo, debe copiar los archivos .admx y .adml en el Central Store.

2. Creación de un GPO

  1. Abra la Consola de Administración de Directivas de Grupo y, a continuación, seleccione Bosque: NombreDeDominio>Dominios.
  2. Haga clic con el botón derecho en el nombre de dominio y seleccione Crear un GPO en este dominio y vincule aquí.
  3. Escriba el nombre del nuevo GPO (por ejemplo, KIR Issue XXX) y, a continuación, seleccione Aceptar.

Para obtener más información sobre cómo crear GPO, vea Crear un objeto de directiva de grupo.

3. Configurar el GPO

Edite su GPO para usar la directiva de activación de KIR.

  1. Haga clic con el botón derecho en el GPO que creó anteriormente y, a continuación, seleccione Editar.
  2. En el Editor de directivas de grupo, seleccione GPONameConfiguración de equipo>Plantillas Administrativas>Problema de KB #######XXX Reversión>Windows 10, versión YYMM.
  3. Haga clic con el botón derecho en la directiva y luego seleccione Editar>Deshabilitado>Aceptar.

Para obtener más información sobre cómo editar GPO, vea Editar un objeto de directiva de grupo de GPMC.

4. Supervisar los resultados del GPO

En la configuración predeterminada de la directiva de grupo, los dispositivos administrados deben aplicar la nueva directiva en un plazo de 90 a 120 minutos. Para acelerar este proceso, puede ejecutarse gpupdate en dispositivos afectados para comprobar manualmente las directivas actualizadas.

Asegúrese de que cada dispositivo afectado se reinicie después de aplicar la directiva.

Importante

La corrección que introdujo el problema está deshabilitada después de que el dispositivo aplique la directiva y, a continuación, se reinicie.

Desplegar una activación de KIR mediante la ingestión de políticas ADMX de Microsoft Intune en los dispositivos administrados

Nota:

Para usar las soluciones de esta sección, debe instalar la actualización acumulativa que se publica el 26 de julio de 2022 o una posterior en el equipo.

Las directivas de directiva de grupo y los GPO no son compatibles con soluciones basadas en la administración de dispositivos móviles (MDM), como Microsoft Intune. Estas instrucciones le guían a través de cómo usar la configuración personalizada de Intune para la ingesta de ADMX y configurar directivas MDM respaldadas por ADMX para realizar una activación KIR sin necesidad de un GPO.

Para realizar una activación de KIR en dispositivos administrados por Intune, siga estos pasos:

  1. Descargue e instale el archivo kir .msi para obtener archivos ADMX.
  2. Cree un perfil de configuración personalizado en Microsoft Intune.
  3. Supervisar la activación de KIR.

1. Descargue e instale el archivo kir .msi para obtener archivos ADMX

  1. Compruebe la información de versión de KIR o las listas de problemas conocidos para identificar qué versiones del sistema operativo (SO) debe actualizar.

  2. Descargue los archivos .msi de la definición de directiva KIR necesaria en el dispositivo que usa para iniciar sesión en Microsoft Intune.

    Nota:

    Debe tener acceso al contenido de un archivo ADMX de activación KIR.

  3. Ejecute los .msi archivos. Esta acción instala la definición de directiva KIR en la plantilla administrativa.

    Nota:

    Las definiciones de directiva se instalan en la carpeta C:\Windows\PolicyDefinitions .

    Si desea extraer los archivos ADMX en otra ubicación, use el msiexec comando junto con la propiedad TARGETDIR . Por ejemplo:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Crear un perfil de configuración personalizado en Microsoft Intune

Para configurar dispositivos para realizar una activación de KIR, debe crear un perfil de configuración personalizado para cada sistema operativo de los dispositivos administrados. Para crear un perfil personalizado, siga estos pasos:

  1. Seleccione propiedades y agregue información básica del perfil.
  2. Agregue una configuración personalizada para ingerir archivos ADMX para la activación de KIR.
  3. Agregue una configuración personalizada para establecer la nueva directiva de activación de KIR.
  4. Asigne dispositivos al perfil de configuración personalizada de activación de KIR.
  5. Use reglas de aplicabilidad para apuntar a dispositivos para que reciban configuraciones personalizadas de KIR por sistema operativo.
  6. Revise y cree el perfil de configuración personalizada de activación de KIR.

A Seleccionar propiedades y agregar información básica sobre el perfil

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Perfiles de configuración>Crear perfil.

  3. Seleccione las siguientes propiedades:

    • Plataforma: Windows 10 y versiones posteriores
    • Perfil: Plantillas>personalizadas

  4. Seleccione Crear.

  5. En Datos básicos, escriba las propiedades siguientes:

    • Nombre: escribe un nombre descriptivo para la directiva. Asigna un nombre a las directivas para poder identificarlas fácilmente más adelante. Por ejemplo, un buen nombre de directiva es "04/30 KIR Activation – Windows 10 21H2".
    • Descripción: escribe una descripción de la directiva. Esta configuración es opcional, pero se recomienda.

    Nota:

    El tipo de plataforma y perfil ya deben tener valores seleccionados.

  6. Seleccione Siguiente.

Nota:

Para obtener más información sobre cómo crear perfiles de configuración personalizados y opciones de configuración, consulte Uso de la configuración de dispositivos personalizados en Microsoft Intune.

Antes de continuar con los dos pasos siguientes, abra el archivo ADMX en un editor de texto (por ejemplo, bloc de notas) dentro de la carpeta en la que se extrajo el archivo. El archivo ADMX debe estar en la ruta de acceso C:\Windows\PolicyDefinitions si lo instaló como un archivo .msi.

Este es un ejemplo del archivo ADMX:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Registre los valores de policy name y parentCategory. Esta información se encuentra en el nodo "policies" al final del archivo.

B. Adición de una configuración personalizada para ingerir archivos ADMX para la activación de KIR

Esta configuración se usa para instalar la directiva de activación de KIR en los dispositivos de destino. Siga estos pasos para agregar la configuración de ingesta de ADMX:

  1. En Configuración, seleccione Agregar.

  2. Introduzca las siguientes propiedades:

    • Nombre: escriba un nombre descriptivo para la configuración. Asigne un nombre a la configuración para que pueda identificarlos fácilmente más adelante. Por ejemplo, un buen nombre de configuración es "Ingesta de ADMX: 30/04 Activación KIR – Windows 10 21H2".

    • Descripción: escriba una descripción para la configuración. Esta configuración es opcional, pero se recomienda.

    • OMA-URI: escriba la cadena ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Nota:

      Reemplace <ADMX Policy Name> por el valor del nombre de la directiva grabada del archivo ADMX. Por ejemplo, "KB5011563_220428_2000_1_KnownIssueRollback".

    • Tipo de datos: seleccione Cadena.

    • Valor: abra el archivo ADMX con un editor de texto (por ejemplo, bloc de notas). Copie y pegue todo el contenido del archivo ADMX que pretende ingerir en este campo.

  3. Haga clic en Guardar.

C. Adición de una configuración personalizada para establecer la nueva directiva de activación de KIR

Esta configuración se usa para configurar la directiva de activación de KIR definida en el paso anterior.

Para agregar las opciones de configuración de activación de KIR, siga estos pasos:

  1. En Configuración, seleccione Agregar.

  2. Introduzca las siguientes propiedades:

    • Nombre: escriba un nombre descriptivo para la configuración. Asigne un nombre a la configuración para que pueda identificarlos fácilmente más adelante. Por ejemplo, un buen nombre de configuración es "Activación de KIR 04/30: Activación de KIR - Windows 10 21H2".

    • Descripción: escriba una descripción para la configuración. Esta configuración es opcional, pero se recomienda.

    • OMA-URI: escriba la cadena ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Nota:

      Reemplace <Categoría primaria> por la cadena de categoría primaria registrada en el paso anterior. Por ejemplo, "KnownIssueRollback_Win_11". Reemplace <ADMX Policy Name> por el mismo nombre de directiva que usó en el paso anterior.

    • Tipo de datos: seleccione Cadena.

    • Valor: introduzca <disabled/>.

  3. Haga clic en Guardar.

  4. Seleccione Siguiente.

D. Asignación de dispositivos al perfil de configuración personalizada de activación de KIR

Después de definir lo que hace el perfil de configuración personalizado, siga estos pasos para identificar qué dispositivos configurará:

  1. En Asignaciones, seleccione Agregar todos los dispositivos.
  2. Seleccione Siguiente.

E. Uso de reglas de aplicabilidad para los dispositivos de destino para recibir opciones de configuración personalizadas de KIR por sistema operativo

Para dirigirse a los dispositivos por sistema operativo que sean aplicables a GP, agregue una regla de aplicabilidad para comprobar la versión del sistema operativo del dispositivo (compilación) antes de aplicar esta configuración. Puede buscar los números de compilación del sistema operativo admitido en las páginas siguientes:

Los números de compilación que se muestran en las páginas tienen el formato MMMMM.mmmm (M= versión principal y m= versión secundaria). Las propiedades Versión del sistema operativo usan los dígitos de la versión principal. Los valores de versión del sistema operativo que se escriben en las reglas de aplicabilidad deben tener el formato "10.0.MMMMM" (por ejemplo, "10.0.22000").

Para establecer las reglas de aplicabilidad correctas para la activación de KIR, siga estos pasos:

  1. En Reglas de aplicabilidad, cree una regla de aplicabilidad escribiendo las siguientes propiedades en la regla en blanco que ya está en la página:

    • Regla: Seleccione Asignar perfil si se cumple la condición desde la lista desplegable.
    • Propiedad: seleccione Versión del sistema operativo en la lista desplegable.
    • Valor: escriba los números de versión min y Max OS con el formato "10.0.MMMMM".

  2. Seleccione Siguiente.

Nota:

Puede encontrar la versión del sistema operativo de un dispositivo ejecutando el winver comando desde el menú Inicio. La salida del comando muestra un número de versión de dos partes separados por un punto (.) (por ejemplo, "22000.613"). Puede anexar el número izquierdo a "10.0" para la versión mínima del sistema operativo. Obtenga el número máximo de versión del sistema operativo agregando 1 al último dígito del número de versión del sistema operativo mínimo. En este ejemplo, puede usar los siguientes valores:
Versión mínima del sistema operativo: "10.0.22000"
Versión máxima del sistema operativo: "10.0.22001"

F. Revisión y creación de un perfil de configuración personalizada de activación de KIR

Revise la configuración del perfil de configuración personalizado y seleccione Crear.

3. Supervisar la activación de KIR

La activación del KIR debería estar llevándose a cabo ahora. Siga estos pasos para supervisar el progreso del perfil de configuración:

  1. Vaya a Perfiles de configuración de dispositivos> y seleccione un perfil existente. Por ejemplo, seleccione un perfil de macOS.

  2. Seleccione la pestaña Información general . En esta vista, el estado de asignación de perfiles incluye los siguientes estados:

    • Éxito: la directiva se aplica correctamente.
    • Error: La directiva no se aplicó. El mensaje suele mostrar un código de error que se vincula a una explicación.
    • Conflicto: se aplican dos opciones de configuración al mismo dispositivo y Intune no puede ordenar el conflicto. Un administrador debe revisar el conflicto.
    • Pendiente: el dispositivo aún no se ha comunicado con Intune para recibir la directiva.
    • No aplicable: el dispositivo no puede recibir la directiva. Por ejemplo, la directiva actualiza una configuración específica de iOS 11.1, pero el dispositivo usa iOS 10.

Para obtener más información, consulte Supervisión de perfiles de configuración de dispositivos en Microsoft Intune.

Más información

  • Last updated on