sccm software updates

Bu kılavuzda SCCM üzerinde yazılım güncelleme için yapılandıra ve senkronizasyon işlemlerini inceleyeceğiz. Yazılım güncellemelerini dağıtmak için üç ana senaryo vardır:

• Manuel dağıtım
• Otomatik dağıtım
• Aşamalı dağıtım

Bu yöntemler, yazılım güncellemelerini etkili bir şekilde dağıtmak ve kuruluşunuzdaki bilgisayarların güvenliğini sağlamak için kullanışlı olacaktır. Yazılım güncellemelerini indirmek için kullanabileceğiniz en kolay yöntem, ADR (Automatic Deployment Rule) oluşturmaktır. SCCM ADR  yazılım güncellemelerinin düzenli ve otomatik bir şekilde dağıtılmasını sağlayan güçlü bir özelliktir. Bu özellik, özellikle büyük organizasyonlarda, güncellemelerin verimli ve tutarlı bir şekilde yönetilmesini sağlar.

• ÖNEMLİ !!!

• Bir dağıtım noktası yoksa, intranetteki istemciler Microsoft Update üzerinden yazılım güncellemelerini de indirebilir.
• İstemciler güncellemeyi alabilmesi için öncelikle boundary yapılandırmasının düzgün yapılmış olması gereklidir.
• Update Software işlemlerinden önce ajan dağıtım işlemlerini ve collection işlemlerini gerçekleştiriniz.
• SCCM, Microsoft Update bağlantısını varsayılan olarak engellemez. Bunun sebebi SCCM yalnızca "öncelikli kaynak" olur, ama "tek kaynak" olacağını garanti etmez. Çünkü , Feature Update, Microsoft Store, Microsoft Edge, Driver ve Firmware gibi güncellemeleri  SCCM tarafından sağlanamaz. Yönetimi tamamen SCCM almak için GPO üzerinden Do not connect to any Windows Update Internet locations özelliğini ENABLE olarak ayarlamanız gerekmektedir.

Daha fazla bilgi için bakınız: https://learn.microsoft.com/en-us/mem/configmgr/sum/deploy-use/deploy-software-updates

step-01|wsus client settings

SCCM ile istemci cihazlara güncelleme dağıtmak için, Administration → Client Settings → Default Client Settings ayarlarından aktif edebilirsiniz. Ancak bu tüm cihazlarda etkili olacağı için pek yönetilebilir olmuyor. Bu yüzden diğer kılavuzlarda collection oluşturmuştuk. Şimdi bu collectionlara özel software update ayarlayalım. Bunun için Administration → Client Settings → Create Custom Client Device Settins seçeneğine tıklayın.

Açılan pencerede name kısmına bir isim verin. Akabinde Computer Restart ve Software Update seçeneğini işaretleyin. Software Update penceresi ile devam edin.

• Client Policy bölümünde client cihazlar sccm sunucusu ile ne sıklıkta haberleşeceğini belirleyebilirsiniz.
• Computer Restart kısmında ne kadar süre sonra yeniden başlatacağını ve bildirim alacağını belirleyebilirsiniz.

Açılan pencerede, Software Update aracı varsayılan olarak aktif gelmemektedir. Aktifleştirme için Enable software updates on clients seçeneğini  YES olarak işaretleyin. Software Update ayarları aşağıda açıklanmış ve en önemli olanlar kalın olarak işaretlenmiştir.

• Software update scan schedule: Yazılım güncellemelerini ne sıklıkta tarama yapılacağını belirlemiş oluruz.
• Schedule deployment re-evaluation: SCCM ürününün, istemci bilgisayarlara yazılım güncelleştirmelerinin ne sıklıkta yeniden gönderileceği planlanır.
• Allow user proxy for software update scans: Proxy ihtiyaç olması durumunda kullanılır.
• Enforce TLS certificate pinning for Windows Update client for detecting updates: Bu ayar ile sertifika zorunlu kılınarak, WSUS tarafında HTTPS taramalarının güvenliğini artırmak için kullanılmaya başlanmıştır.
• When any software update deployment deadline is reached, install all other software update deployments with deadline coming within a specified period of time: Son teslim tarihleri belirli bir süre içinde gerçekleşecek olan gerekli dağıtımlardan tüm yazılım güncellemelerini yüklemek için bu seçeneği YES olarak ayarlayabilirsiniz.
• Period of time for which all pending deployments with deadline in this time will also be installed: Bir önceki ayar aktif edildikten sonra, 1-23 saat ve 1-365 gün arasında bir değer girilir.
• Allow clients to download delta content when available: Windows Update Aracısının hangi içeriğin gerekli olduğunu belirlemesine ve onu seçerek indirmesine imkan tanır.
• Port that clients use to receive requests for delta content: Http dinleyicisinin yerel bağlantı noktasını yapılandırır.
• If content is unavailable from distribution points in the current boundary group, immediately fallback to a neighbor or the site default: Geçerli snır grubundaki dağıtım noktalarında delta içeriği kullanılamıyorsa site varsayılan sınırına anında geri dönüşe izin verebilirsiniz.
• Enable management of the Office 365 Client Agent: Microsoft 365 uygulamaları yükleme ayarlarının yapılandırılması etkinleştirilmiş olur.
• Enable update notifications from Microsoft 365 Apps: Kullanıcılar Microsoft 365 güncelleme aldığında, 365 uygulamalarından bildirim alacaktır.
• Enable installation of software updates in “All deployments” maintenance window when “Software Update” maintenance window is available: Yazılım Güncelleme bakım penceresi olduğunda yazılım güncellemeleri sırasında yüklenecektir.
• Specify thread priority for feature updates: Windows 10 ve üstü istemcilerin desteklenen sürümleri için özellik güncellemesi yükleme önceliğini ayarlayabilirsiniz.
• Enable third-party software updates: Software Update Point üzerinde bulunan üçüncü taraf yazılım güncellemelerini senkronize eder.
• Enable Dynamic Update for feature updates: Dinamik güncelleştirme, istemciyi güncelleştirmeleri internetten indirmeye yönlendirerek Windows kurulumu sırasında dil paketlerini, isteğe bağlı özellikleri,sürüceleri ve toplu güncelleştirmeleri yükler.

Birden fazla yapmış olduğunuz ayarların priority (Öncelik) değerlerine göre uygulandığını unutmayın. Priority’si düşük olan ayarlar, priority’si yüksek olan ayarları ezmektedir. Default Client Settings priority’si varsayılan olarak 10000’dir. Örneğin, bizim tanımladığımız bir client setting’in priority’si 9999 ise bu client setting default client settings’i ezecektir.

Artık tek yapmamız gereken bu software update politikasını ilgili collectiona deploy etmek. Bunun için ilgili politikayı seçin ve Deploy seçeneğine tıklayın.

Politikayı uygulamak istediğini collection seçerek Deploy işlemlerinin başlaması için OK butonuna basınız.

Oluşturmuş ayarlarının hangi collection üzerinde olduğunu görmek için aşağıdaki Deployments araç çubuğunu seçerek bakabilirsiniz. Client Policy sürenize göre ayarlar Kullanıcı Bilgisayarlarına agent aracılığıyla uygulanıyor olacaktır.

Bilgisayarlardaki SCCM ajanları, varsayılan olarak 60 dakika aralıklarla sunucu ile haberleşir. Test yaptığınız zamanlarda bunun hemen geçerli olmasını isterseniz ilgili cihazda aşağıdaki işlemi gerçekleştirebilirsiniz.

step-02|wsus synchronization server

SCCM kurulumu sırasında software update point rolünü ekleyip yapılandırmıştık. Ancak tekrar kontrol etmek isterseniz Administration → Site Configuration → Sites kısmından Configure Site Components → Software Update Point seçeneğini ile değiştirebilirsiniz.

Açılan pencerede Classifications, Products gibi bir çok ayarları değiştirebilirsiniz.

Classifications hakkında daha fazla bilgi almak için bakınız: https://learn.microsoft.com/en-us/mem/configmgr/sum/get-started/configure-classifications-and-products

Administration → Site Configuration → Sites → Client Installation Settings → Software Update-Based Client Installation kısmından açılan pencere Enable software update-based client installation seçeneğini işaretleriz. Bu sayede bulunan Updateler Client cihazlarımıza uygulanabilir olacaktır.

Artık tek yapmamız gereken senkronizasyonu başlatmak. Bunun için Software Library → Software Updates → All Software Updates → Synchronize Software Updates “ seçeneğini seçip Yes butonuna basmamız yeterlidir.

Senkronize işlemlerini izlemek için SCCM yüklü olduğu dizinde LOG dosyalarından WCM.log olanı incelememiz yeterli olacaktır. Log çıktısını incelediğimizde Software Update Point rolünün WSUS Server ile başarıyla bağlantı kurduğu gözükmektedir. 

Sekronize işleminin devam ettiğini ve hangi ürünlerin indirildiğini görmek için SCCM yüklü olduğu dizinde LOG dosyalarından wsyncmgr.log olanı incelememiz yeterli olacaktır. Belirlediğiniz Windows 10,11 Windows Server gibi ürünlerin güncellemeleri All Software Updates ekranına senkronize olacaktır. 

Senkronize işlemi çok uzun sürebilir lütfen sabırlı olsun.

Senkron işlemi  %100 olduktan sonra, All Software Updates seçeneğine tıkladığımızda seçmiş olduğumuz güncellemeleri görebilirsiniz. Sütundaki seçenekleri incelediğimiz zaman Required seçeneğinde yapımızdaki bilgisayarlarda ilgili yazılım güncelleme gerekli olup olmadığının bilgisini görürüz. 

Arka tarafta güncellemeler WSUS tarafından taranmaktadır. İstemcilerde ise tüm bilgisayarlar taranacak, güncellemelerin yüklü veya eksik olduğunu Installed, Required, Not Required kısımlarından gözükecektir. Bu işlem 2-3 saat sürecektir.

step-03|wsus synchronization client

İstemci bilgisayarlarda ayarların geçerli olduğu doğrulamamız gerekir. Bunu regedit üzerinden sorgu yaparak basit bir şekilde anlayabilirsiniz.

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

 

Birden fazla wsus sunucunuz varsa, yük dağılımı yapıldığı için istemcilerde farklı wsus sunucuların görülmesi normaldir.

Ek olarak windows update kısmında ayarların kuruluşunuz tarafından yönetildiği belirtilmektedir.

İlerleyen kısımlarda güncelleme gönderdiğimiz zaman istemcilerde güncelleme detaylarını görmek için çalıştır kısmına %windir%\ccm\logs yazarak UpdatesStore adındaki log dosyasını inceleyebilirsiniz.

Logların okunabilir olması için, CMTrace aracı olması gerekmektedir.

Güncelleme işlemlerinin ilerlemesinin durumunu takip etmek için WUAHandler dosyasını açarak, takip edebilirsiniz.

step-04|manuel update

Bizim amacımız Microsoftun tüm güncellemelerini belirli sürelerle internet üzerinden senkronize ederek indirmek ve herkesin erişimine açılarak güncellemeyi dağıtmaktır. İşlemlere başlamadan önce aşağıdaki önemli bilgilere göz atalım.

• Microsoft işletim sistem sistemi için iki güncelleme çıkarmaktadır. Bunlardan bir tanesi işletim sistemi (Windows 10,11,Server2025…) diğeri ise uygulamalar(Office, Project…) içindir.
• Microsoft, her ayın ikinci salı günü işletim sistemi ve uygulamalar için güncelleme yayınlamaktadır.
• Yayınlanan güncelleme geriye dönük uyumlu olduğu için sadece en son çıkanı yüklemek yeterli olur.
• SCCM için kurduğumuz ajanlar bilgisayarları belirli aralıklarla tarayarak güncelleme durumunu, güncellemenin yüklü olup olmadığına bakarlar.
• Güncellemeler işletim sistemine özel olduğu için farklı güncellemeler uyumsuz olanlara gönderilemez.
• İstemcilere güncelleme göndermeden önce, Windows Update history sitesinde KB kısmında bu güncelleştirmedeki bilinen sorunlar kısmını incelemeyi unutmayın.

Mantık olarak anlamak gerekirse şöyle ilerleyebiliriz. Bilgisayarınızda çalıştır kısmına winver yazın ve aşağıdaki gibi versiyon bilgilerine erişin.

Google üzerinde Windows 10 update history yazarak micrsoft sitesine gidin ve aldığınız bilgileri site içinde arayın. Aşağıda gördüğü gibi işletim sistemi güncellemeleri çok geride kalmıştır. Şimdi bunu nasıl güncelleyeceğimize bakalım.

SCCM üzerinde ürünleri güncellemek farklı yöntemler bulunmaktadır. Belirli bir ürüne hedeflemek istediğinizde, Manuel Software Update yöntemi kullanabilirsiniz. Bu sayede güncellemeleri filtreleyebilir ve yalnızca önemli olanları dağıtabilirsiniz. SCCM güncelleme durumlarını görmek için, Software Library → Software Updates → All Software Updates → Add Criteria seçeneğinden yapımıza uygun kriterleri seçebiliriz. Benim yapımda Windows Enterprise LTSC olduğu için LTSB seçmem yeterli olacaktır. Kriterler hep aynıdır örneğin Windows Server 2019 için yapacak olsaydınız sadece Product kısmından Windows Server 2019 seçmeniz gerecekti.

Taramalar sonucunda aşağıdaki görselde örneğin, işletim sistemi için en son çıkan KB5053606 paketi gözüktüğü gibi Required kısmından bu paketin iki bilgisayarda eksik olduğuda yazmaktadır. 

Güncellemeler çıktıktan sonra, Software Update Group (SUP) oluşturma işlemi gerçekleştireceğiz. 

Güncellemeleri yapınızdaki tüm bilgisayarlara göndermeden önce “Device Collection” oluşturmanız önerilmektedir. 

SUP oluşturmak için, ekrandaki güncellemelerin hepsini seçerek Create Software Update Group seçeneğini ile devam edelim.

Açılan pencerede Name belirleyerek Create butonuna basınız.

Software Update Groups kısmından güncellemeleri koleksiyonlara dağıtabiliriz. Bu kısımda isteğe bağlı olarak güncellemeli indirip sonra dağıtılabilir veya diğer dağıtım yapabilirsiniz. Ben ilk önce indirme işlemini gerçekleştireceğim.

Grup içindeki güncelleme dosyaları belirli bir dizine indirilmesi ve paylaşıma açılması gerekmektedir. Ben kendi yapımda D sürücüsünde bir klasör oluşturup, Authenticated Users grubuna okuma yetkisi veriyorum. Paylaşım kısmından sonra içine istediğiniz klasörleri oluşturabilirsiniz.

Açılan pencerede Create a new deployment package kısmından oluşturulacak pakete isim verilir. Package source kısmında ise biraz önce paylaşıma açtığımız UNC path seçilir. 

Distribution Points kısmında Add butonuna basarak Distribution Point sunucuları eklenir.

Diğer tüm kısımları next ile devam ettiğiniz zaman güncelleme dosyaları indirilmeye başlanacaktır. Bu işlem bittikten sonra bu dosyaları koleksiyonlarımıza dağıtmamız gerekecektir. Dağıtma işlemine başlamadan önce Deployment Packages kısmından Distribution Point başarılı bir şekilde dağıtıldığını görmeniz faydalı olacaktır.

Şimdi oluşturduğunuz gruba sağ tıklayın ve Deploy seçeneği ile devam edin. 

Açılan pencerede Collection kısmından Browse ile deploy yapılacak collection seçilir.

Collection kısmında versiyonlara göre işletim sistemlerini ayırmanız daha tutarlı olacaktır. Örneğin, Windows 10, Windows Server 2019 vs gibi..

Deployment Settings bölümünde ise 

• Type of deployment kısmından Required ile kullanıcının tercihine bırakmayıp güncellemeleri otomatik olarak kurulmasını tercih edebilirken, Available ile Software Center programı üzerinden ilgili kullanıcıların güncellemeleri isteğe bağlı yüklemesi sağlayabilirsiniz.
• Use Wake-on-LAN to wake up clients for required deployments seçildiğinde Wake-on-LAN özelliğine sahip ve bu özelliği aktif olan makinelerin güncellemeye ihtiyaçları varsa makineler otomatik olarak açılır ve güncellemeleri yüklenir.
• Detail level kısmında güncelleme sırasında alınacak bildirimler seçenekleri belirlenmektedir. Ben ALL messages seçeneği ile tüm bildirimleri görmesini istiyorum.

• Scheduling bölümünde ise 
  • Schedule evaluation kısmında güncellemelerin UTC’a göre mi yoksa istemci yerel saatine göre mi yapılacağı seçilir.
  • Software available time kısmında ise As soon as possible seçeneği seçilirse güncellemeler yazılım merkezinden hemen görünür (erişilebilir) olmasını sağlar. Specific time ile belirtilen tarih ve saatte görünmesini sağlayabilirsiniz. Bu sayede kullanıcılar yazılım merkezinden kendilerine tanıdığınız süreye kadar bekleyebilirler. Sonuç olarak,  “As soon as possible” seçili olması güncellemenin cihazlara hemen yüklenmesini değil, sadece yazılım merkezinden ne zaman kullanıcılara gözükeceğini belirler.
  • Installation deadline ise güncellemelerin yükleneceği zamandır. As soon as possible seçerek kullanıcılara hemen kurulum yapabilirsiniz. Specific time belirleterek kullanıcıların kendileri kurmaları için bir zaman verebilirsiniz. Bu zaman aralığında kurmazlar ise belirlediğin Deadline zamanı geldiğinde zorunlu olarak kurulum gerçekleşecektir.

• User Experience bölümünde ise 
  • User notifications kullanıcıların görebileceği bildirimler belirlenebilir. Yazılım merkezinde ve bilgisayar yeniden başlatmaları için kullanıcıların bildirim görmesini istediğim için aşağıdaki seçeneği seçiyorum.
  • Deadline behaviour kurulum süresi zaman aralığını aşarsa sistemin davranış şekli belirlenir. Software updates installation seçilirse güncellemelerin kurulması sağlanır. System restart seçilirse yeniden başlatma gerekliyse cihazların başlatılmasını sağlar.
  • Device restart behaviour güncelleme sonrası yeniden başlatma gerektiren durumlarda hangi sistemlerin yeniden başlatmasının erteleneceği seçilir. Örneğin bu güncellemeler sunucu için gönderiliyor ise Servers seçeneği seçilerek sunucuların otomatik olarak yeniden başlatılması engellenebilir.
  • Commit changes at deadline or during a maintenance windows  seçeneği ise, değişiklikleri deadline veya maintanence süresinde uygulayın anlamına gelmektedir.
  • If any update in this deployment requires a system restart, run updates deployment evulation cycle after restart  seçeneğini ile güncellemelerin başarıyla yüklenip yüklenmediğini değerlendirerek mesaj alabiliriz.

Alerts bölümü varsayılan olarak bırakılabilir. Bu kısmı geçip Download Settings alanında ise,

• Birinci  Deployment options kısmında, Client yavaş veya güvenilmez bir bağlantıya sahipse sistemin davranışı belirlenir.

• Do not install software updates seçildiğinde güncellemeler kurulmaz.
• Download software updates from distribution point and install seçildiğinde güncellemeler dağıtım noktasından indirilip kurulur.

• İkinci  Deployment options kısmında, Client dağıtım noktasındaki güncellemelere erişemiyorsa sistemin davranışı belirlenir.
  • Do not install software updates seçildiğinde güncellemeler kurulmaz.
  • Download and install software updates from the distribution points in site default boundary groups seçildiğinde güncellemeler distribution points kaynaklarından indirilip kurulur. Bu en hızlı ve önerilen seçenektir.

• If software updates are not available on distribution point in current, neighbor or site boundary groups download content from microsoft updates seçildiğinde distribution points  kaynaklarından güncellemelere ulaşılamıyorsa Microsoft Update üzerinden güncellemeler edinilir.
• Allow clients on a metered Internet connection to download content after the installation deadline, which might incur additional costs seçildiğinde sınırlı internet bağlantısı kullanan istemciler için deadline zamanından sonrada indirmek için izin verilebilir.

Bu kısmı da varsayılan ayarlar ile devam ederek işlemi tamamlıyoruz.

İşlem tamamlandıktan sonra, istemci bilgisayarda güncelleme dosyalarını C:\Windows\ccmcache yoluna indirdiğini görebilirsiniz. Ek olarak aynı bilgisayarlarda Software Center programını açarak güncellemelerin geldiğini ve yüklemeye başladığını görebilirsiniz. Ek olarak C:\Windows\CCM\Logs yolunda WUAHandler log dosyasını kontrol edebilirsiniz.

Yukarıdaki işlem hemen başlamayabilir. Bilgisayarlardaki SCCM ajanları, varsayılan olarak 60 dakika aralıklarla sunucu ile haberleşir. Test yaptığınız zamanlarda bunun hemen geçerli olmasını isterseniz ilgili cihazda aşağıdaki işlemi gerçekleştirebilirsiniz.

• Güncellemeler yüklendikten sonra otomatik restart için varsayılan 90 dakikalık geri sayım başlatacaktır. Son 15 dakika kala aşağıdaki bildirim gelecek ve son 10 dakika kala ekranı kaplayan bir uyarı çıkacaktır. Bu süre içinde bilgisayar yeniden başlatılmaz ise cihaz kendini otomatik olarak yeniden başlatacaktır.

Computer Restart politikası aktif değilse kullanıcılar aşağıdaki bildirimi otomatik olarak göremeyecektir.

Yukarıdaki seçeneklerden eğer yeniden başlatmayı iptal etmiş olsaydık. Çıkan bildirimde görüldüğü gibi kullanıcı isterse yeniden başlatabilir, veya belirli bir süre sonra tekrar hatırlatma alabilir. Ancak siz istemediğiniz sürece bilgisayar yeniden başlamaz.

step-05|automatic update|ADR

Bu kısımda ise, yazılım güncellemelerini bilgisayara otomatik olarak dağıtma işlemlerinden bahsedelim. Bu yöntem büyük organizasyonlarda oldukça yaygın kullanılmaktadır. Bildiğiniz üzere, Microsoft her ayın 2. Salı günü güncellemeleri yayınlar. Bu sayede otomatik olarak güncellemeleri indirebilir ve yazılım güncelleme grubu oluşturabiliriz. Ardından Distribution Point’e güncelleme dağıtılacaktır ve hedef collection'a gönderecektir. Böylece ADR ile işlemleri otomatikleştirmiş oluruz. Mantık olarak Her ayın 2. Salı günü güncellemeleri yayınlanacak ve biz her ayın ikinci çarşamba günü bu güncellemeleri dağıtacağız.

Otomatik dağıtım kuralını test bilgisayarlarına güncellemeleri dağıtmak için kullanıyoruz. Bunu test ortamı yerine, canlı ortamdaki bilgisayarların hepsine yaparsak ve güncelleme ile alakalı bir sorun olursa (Blue Screen, Sorunlu güncellemeler gibi) tüm bilgisayarlar etkilenebilir.

ADR ile ilgili şunu bilmeliyiz. ADR bir zamanlayıcıdır, anlık işlem yapar. Yani belirli bir tarihte çalışır, güncellemeleri indirir ve o anki hedef collection’a bir dağıtım (deployment) yapar. Yeni bir bilgisayar formatlanıp sisteme dahil edilirse bir sonraki dağıtıma kadar güncelleme almaz. Yani ortamındaki ADR  “ayda bir” çalışıyorsa ve bilgisayar, o sırada collection'da yoksa yeni cihazlar güncellemeleri bir sonraki ayı beklemek zorunda kalır ya da senin manuel bir müdahale yapman gerekir

ADR için öncelikli güncelleme dosyaları belirli bir dizine indirilmesi ve paylaşıma açılması gerekmektedir. Ben kendi yapımda D sürücüsünde bir klasör oluşturup, Authenticated Users grubuna okuma yetkisi veriyorum.  Paylaşım kısmından sonra içine istediğiniz klasörleri oluşturabilirsiniz.

İşlemlere başlamak için SCCM Console üzerinde Sofware Library → Software Updates → Automatic Deployment Rules → Create Automatic Deployment Rule seçeneğini ile devam edelim.

Açılan pencerede oluşturacağımız kural için bir isim belirleyin ve Collection kısmından Browse ile deploy yapılacak collection seçin. Her ay yeni bir Software Update Group oluşturması için Create a New Software Update Group seçeneğini seçeriz.

Collection kısmından tüm bilgisayarları seçmeyin. Test makinelerinde güncellemeleri denemek doğru olacaktır. Eğer test makina imkanlarınız yok ise benim gibi bilgi işlemdeki bilgisayarlar üzerinde deneyebilirsiniz.

• Template kısmında ise, xml olarak oluşturulan script şablonlarımız var ise import edebilirsiniz.
• Enable the deployment after this rule is run seçeneğini ile ADR otomatik olarak her ay yeni bir Software Update Group oluşturulmasını sağlayacaktır.

Deployment Settings bölümünde ise 

• Type of deployment kısmından Required ile kullanıcının tercihine bırakmayıp güncellemeleri otomatik olarak kurulmasını tercih edebilirken, Available ile Software Center programı üzerinden ilgili kullanıcıların güncellemeleri isteğe bağlı yüklemesi sağlayabilirsiniz.
• Use Wake-on-LAN to wake up clients for required deployments seçildiğinde Wake-on-LAN özelliğine sahip ve bu özelliği aktif olan makinelerin güncellemeye ihtiyaçları varsa makineler otomatik olarak açılır ve güncellemeleri yüklenir.
• Detail level kısmında güncelleme sırasında alınacak bildirimler seçenekleri belirlenmektedir. Ben ALL messages seçeneği ile tüm bildirimleri görmesini istiyorum.
• Automatically deploy all software updates found by this rule , and approve any license agreements seçeneği ile ADR tarafında oluşturulan kurala göre tüm yazılım güncellemelerini otomatik dağıtılmasını sağlar.

En önemli kısımlardan bir tanesi kriterleri belirlediğimiz ekrandır. Belirli kriterlere göre yazılım güncellemelerini otomatik olarak dağıtmak için oldukça önemlidir. Bu şekilde, spesifik gereksinimlere uygun güncellemeleri seçerek dağıtım sürecini optimize edebilirsiniz. Örneğin,

• Date Released or Revised: Belirli bir tarihten sonra yayınlanan güncellemeleri içerecektir. Bu şekilde, güncel kalması ve kararlılık sağlaması için belli bir zaman çerçevesinde yayınlanan güncellemeleri hedefleyebilirsiniz. (Görselde güncellemeleri görmeniz için 1 yıl seçilmiştir. Ancak siz 7 gün olarak belirleyin.)
• Product : Yapımızda bulunan İşletim Sistemlerini seçeriz.
• Required : Bu kısımda >=1 yazarak bir veya birden fazla bilgisayarda eksik güncelleme anlamına gelir.
• Severity : Bu kısımdan ise belirli seviyelere özel güncelleme dağıtmak isteyebilirsiniz. Örneğin, kritik bir güncelleme dağıtmak isterseniz bu kısımdan ayarlanacaktır.
• Update Classification: Belirli güncelleme türlerini seçerek dağıtılacak güncellemelerin türlerini belirlemenize olanak sağlar. Critical ve Security güncellemelerini seçebilirsiniz.
• Superseded: Eski ve yerine geçmiş güncellemelerin otomatik olarak expire olmasını sağlar. Bu sayede sistemlerinizde sürekli en güncel güvenlik ve performans güncellemelerini kullanabilirsiniz.

Preview seçeneğini kullanarak seçtiğimiz kriterlere uygun güncellemeleri görebiliriz.  Kısaca bu kriterlere uyan güncellemeler indirilecek ve her ay seçmiş olduğumuz Collection’daki hedef cihazlara dağıtılacaktır.

Evaluation Schedule kısmından,

• Run the rule after any sofware update point synchronization seçeneğini ADR kuralı çalıştırıldıktan sonra Microsoft tarafından yayınlanan güncellemeler için SCCM ile WSUS servisi otomatik senkronize olacaktır. Ancak bizim hedefimiz Microsoft güncellemeyi her ayın ikinci salı günü yayınladıktan bir sonraki gün güncellemeleri almak. Bu yüzden Run the rule on a schedule seçeneği ile Customize schedule zamanını Monthly olarak seçerek Second Wednesday( Çarşamba) olarak seçmemiz gereklidir.

Bu süreyi beklemeyip sistemi hemen test etmek isterseniz Time kısmına 10dk sonrası olarak belirleyin ve Configure the reccurrence schedule kısmını None olarak ayarlayın.

• Scheduling bölümünde ise 
  • Schedule evaluation kısmında güncellemelerin UTC’a göre mi yoksa istemci yerel saatine göre mi yapılacağı seçilir.
  • Software available time kısmında ise As soon as possible seçeneği seçilirse güncellemeler yazılım merkezinden hemen görünür (erişilebilir) olmasını sağlar. Specific time ile belirtilen tarih ve saatte görünmesini sağlayabilirsiniz. Bu sayede kullanıcılar yazılım merkezinden kendilerine tanıdığınız süreye kadar bekleyebilirler. Sonuç olarak,  “As soon as possible” seçili olması güncellemenin cihazlara hemen yüklenmesini değil, sadece yazılım merkezinden ne zaman kullanıcılara gözükeceğini belirler.
  • Installation deadline ise güncellemelerin yükleneceği zamandır. As soon as possible seçerek kullanıcılara hemen kurulum yapabilirsiniz. Specific time belirleterek kullanıcıların kendileri kurmaları için bir zaman verebilirsiniz. Bu zaman sonunda kurmazlar ise zorunlu olarak kurulum gerçekleşecektir. 

• User Experience bölümünde ise 
  • User notifications kullanıcıların görebileceği bildirimler belirlenebilir. Yazılım merkezinde ve bilgisayar yeniden başlatmaları için kullanıcıların bildirim görmesini istediğim için aşağıdaki seçeneği seçiyorum.
  • Deadline behaviour kurulum süresi zaman aralığını aşarsa sistemin davranış şekli belirlenir. Software updates installation seçilirse güncellemelerin kurulması sağlanır. System restart seçilirse yeniden başlatma gerekliyse cihazların başlatılmasını sağlar. Biz zaten test işlemi gerçekleştirdiğimiz için sistemi restart etmemiz faydalı olacaktır.
  • Device restart behaviour güncelleme sonrası yeniden başlatma gerektiren durumlarda hangi sistemlerin yeniden başlatmasının erteleneceği seçilir. Test işlemi gerçekleştirdiğimiz için yeniden başlatmasını istediğimiz için bu kısımları boş bırakıyoruz.
  • Commit changes at deadline or during a maintenance windows  seçeneği ise, değişiklikleri deadline veya maintanence süresinde uygulayın anlamına gelmektedir.
  • If any update in this deployment requires a system restart, run updates deployment evulation cycle after restart  seçeneğini ile güncellemelerin başarıyla yüklenip yüklenmediğini değerlendirerek mesaj alabiliriz.

Alerts kısmında ise Generate an alert when this Rule fails seçeneğini ile güncellemenin başarısız olması durumunda alarm üretmesi sağlanabilir. Varsayılan olarak bırakın ve Deployment Package kısmından, her ay otomatik olarak yeni bir dağıtım paketi oluşturması için Create a new deployment package seçeneğini işaretleyin. Akabinde kural için bir isim belirleyerek ilk başta güncellemelerin indirilmesi için oluşturulan klasörün UNC yolunu yazmamız yeterli olacaktır. 

Distribution Point kısmından yapınızdaki DP sunucumuzu Add butonuna basarak ekleyelim. Diğer kısımlarda bir değişiklik yapmadan işlemi tamamlayınız. ADR oluşturulma işlemi bittikten sonra herhangi bir işlem yapmamıza gerek kalmamaktadır. Belirlediğiniz zaman ve kriterlere göre güncellemeler indirilecek ve ardından hedef Collection’daki bilgisayarlara dağıtım sağlanacaktır.

ADR Güncelleme süresini test etmek için 10dk sonra ayarladığımız için görev çalıştı. ADR sayfasında Refresh işlemi gerçekleştirdiğimizde güncellemelerin indirildiği tarih, saat bilgisini ve durumunu görürüz.

Deployment Packages kısmından oluşturmuş olduğumuz ADR’nin Distribution Point başarılı bir şekilde dağıtıldığını görebiliriz.

Belirlediğiniz klasöre bakarak dosyaların indirildiğini görebilirsiniz. 

İndirme işlemi bittikten sonra, SCCM konsol üzerinden son olarak Software Update Groups otomatik olarak oluşturulduğunu görebilirsiniz.

Koleksiyona ekli bir bilgisayar üzerinden yazılım dağıtım döngüsünü hemen tetiklerseniz güncellemelerin geldiğini görebilirsiniz.

step-06|ADR Criteria

Bu kısımda ise farklı ürünler için kriterlerin kolaylık olması adına sadece ekran görüntüleri paylaşılacaktır.

Windows Edge, 10, 11

Windows Server 2016-2025

Windows Office 2016, 2019, LTSC, 365

Windows Defender

Windows Defender güncellemesini eğer özel bir yapınız yok ise Endpoint Protection kısmındaki ayarları kullanarak Microsoft Update kullanabilirsiniz.

SCCM kullanılacak ise, diğer güncellemeler ayda bir olduğu için herhangi bir sorun olmazken, defender gibi kritik güncellemeler her gün uygulanacak ise bazı şeylere dikkat edilmesi gerekir. Yani, ADR sıklığı (günlük) ile yazılım güncelleme tarama sıklığı (haftada 1) arasında nasıl bir etkileşim olduğunu anlamamız gerekiyor.

• ? Senaryo Özeti:

• Windows Defender Güncellemeleri için ADR → her gün çalışıyor ✅
• Software Update Scan Schedule (WUA Tarama) → haftada 1 kez ⏱️
• İstemciler → Defender güncellemelerini SCCM üzerinden alıyor

Eğer yapı bu şekilde kurulursa istemciler Defender Güncellemesini Genellikle Haftada 1 Kere alır.  Bu yüzden tarama süresini günlük yapmanız gerekmektedir. Bununla hiç uğraşmayıp ADR günlük yerine haftalık olarak ayarlayabilirsiniz. 

step-07|update status

Son kısımda, yazılım güncellemesinin dağıtım durumlarını nasıl kontrol edeceğimize bakacağız. Bunun için SCCM console üzerinde Monitoring → Deployments kısmından ilgili dağıtım grubuna tıklamanız yeterlidir.

En altta toplam varlık sayısı için unknown, error, In Progress, Compliant gibi bilgileri görebilirsiniz. Bu kısımda daha detaylı bilgi almak için View Status alanına tıklayın.

Açılan pencerede tamamlananları görebilirsiniz. Ya da In Progress kısmında cihazlar yeniden başlatmayı beklediğini tespit edebilirsiniz. Herhangi bir cihaz üzerinden daha fazla bilgi almak için, More Detais seçeneğini seçelim.

Artık KB paketi ile hangi güncellemenin yüklendiği görebilmiş olduk.