Atualizações de acesso frequente

Com as atualizações de acesso frequente, pode tomar medidas rapidamente para ajudar a proteger a sua organização do panorama em evolução dos ciberataques, ao mesmo tempo que minimiza as perturbações dos utilizadores. As atualizações de hotpatch são atualizações de segurança de versão B mensais que instalam e produzem efeitos sem que tenha de reiniciar o dispositivo. Ao minimizar a necessidade de reiniciar, estas atualizações ajudam a garantir uma conformidade mais rápida, tornando mais fácil para as organizações manter a segurança, mantendo os fluxos de trabalho ininterruptos.

O Hotpatch é uma extensão de Windows Update e requer que o Windows Autopatch crie e implemente atualizações de acesso frequente em dispositivos inscritos na política de atualização de qualidade do Windows Autopatch.

Principais benefícios

  • As atualizações de acesso frequente simplificam o processo de instalação e melhoram a eficiência de conformidade.
  • Não são necessárias alterações às configurações da cadência de atualização existente. As configurações de cadência existentes são honradas juntamente com as políticas de atualização de acesso frequente.
  • O relatório atualização de qualidade hotpatch fornece uma vista ao nível da política dos estados de atualização atuais para todos os dispositivos que recebem atualizações de acesso frequente.
  • O tamanho do pacote de atualização hotpatch é significativamente menor do que as atualizações cumulativas padrão. Por conseguinte, as atualizações de acesso frequente são instaladas mais rapidamente e consomem menos largura de banda de rede. Encontre detalhes adicionais sobre a eficiência do Hotpatch desbloqueada: Tamanho de atualização mais pequeno.

Pré-requisitos

Para beneficiar das atualizações de acesso frequente, os dispositivos têm de cumprir os seguintes pré-requisitos:

  • Uma das licenças elegíveis: Windows 11 Enterprise E3 ou E5, Microsoft 365 F3, Windows 11 Education A3 ou A5, Microsoft 365 Business Premium ou Windows 365 Enterprise
  • Windows 11, versão 24H2 ou posterior
  • Os dispositivos têm de estar na versão de lançamento da linha de base mais recente para se qualificarem para atualizações de acesso frequente. A Microsoft lança atualizações de linha de base trimestralmente* como atualizações cumulativas padrão. Para obter mais informações sobre a agenda mais recente para estas versões, consulte Notas de versão do hotpatch.
  • Microsoft Intune para gerir a implementação de atualizações de acesso frequente com a política de atualização de qualidade do Windows com o hotpatch ativado

Pré-requisitos de configuração do sistema operativo

Para preparar um dispositivo para receber atualizações de acesso frequente, configure as seguintes definições do sistema operativo no dispositivo. Tem de configurar estas definições para que o dispositivo receba a atualização de acesso frequente e aplique todas as atualizações de acesso frequente.

Segurança baseada em virtualização (VBS)

A VBS tem de estar ativada para que seja disponibilizada atualizações de acesso frequente a um dispositivo. Para obter informações sobre como definir e detetar se o VBS está ativado, veja Virtualization-based Security (VBS).

O VBS é necessário para que o instalador de atualização de acesso frequente funcione. Para ativar o VBS, pode utilizar a CSP VirtualizationBasedTechnology. Para obter mais informações, veja VirtualizationBasedTechnology.

Observação

Os dispositivos podem ser temporariamente inelegíveis porque não têm o VBS ativado ou não estão atualmente na atualização de linha de base mais recente. Para garantir que todos os seus dispositivos Windows são elegíveis para atualizações de acesso frequente, configure-os corretamente através da Resolução de problemas de atualizações de acesso frequente. Também pode encontrar status VBS em Alertas de correção automática e remediação com o alerta "Hotpatch – VBS não em execução".

Os dispositivos Arm 64 têm de desativar a utilização híbrida de PE (CHPE) compilada (Apenas CPU do Arm 64)

CHPE (Compiled Hybrid Portable Executable) é um tipo de binário que melhora o desempenho de aplicações de 32 bits (x86) em execução em dispositivos Arm64. Os binários CHPE incluem código Arm64 e x86 nativo, permitindo que o Windows execute aplicações x86 de forma mais eficiente em PCs baseados em Arm.

Este requisito aplica-se apenas a dispositivos de CPU Arm64 ao utilizar atualizações de acesso frequente. As atualizações de acesso frequente não são compatíveis com a manutenção dos binários do SO CHPE localizados na %SystemRoot%\SyChpe32 pasta.

Observação

O CHPE só é relevante para ambientes em que o Microsoft Office de 32 bits x86 ou outras aplicações x86 legadas são necessárias em dispositivos Arm64.

Se não tiver a certeza de que edição das aplicações está a executar e se estas poderão falhar ao desativar o CHPE, consulte Escolher entre a versão de 64 bits ou de 32 bits do Office.

A falha da aplicação ou os problemas de desempenho podem resultar da desativação dos binários CHPE. Isto pode acontecer se executar um programa de 32 bits, como código VBA com instruções Declare ou Suplementos COM de 32 bits sem alternativa de 64 bits. Para evitar estes problemas, atualize o programa para 64 bits. Em alternativa, identifique os dispositivos que têm de executar estes programas e exclua-os das políticas de atualização de qualidade de acesso frequente.

Para obter orientações sobre como atualizar aplicações de 32 bits para 64 bits, consulte Atualizar a arquitetura da aplicação do Arm32 para o Arm64.

Para ajudar a garantir que todas as atualizações de acesso frequente são aplicadas, tem de desativar a utilização do CHPE. Defina o sinalizador CHPE desativado e reinicie o dispositivo. Só tem de definir este sinalizador uma vez. A definição de registo permanece aplicada através de atualizações.

Para desativar os binários CHPE, pode utilizar o CSP da política de sistema DisableCHPE.

Também pode criar e/ou definir a seguinte chave de registo DWORD: Path: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1

Importante

O suporte para a edição de 32 bits do Microsoft 365 Apps em dispositivos baseados no Windows Arm está a terminar. As novas atualizações de funcionalidades pararam em outubro de 2025 e as atualizações de segurança terminam em dezembro de 2026. Se a sua organização ainda estiver a utilizar Microsoft 365 Apps de 32 bits em PCs windows baseados em Arm, veja Fim do Suporte para Microsoft 365 Apps de 32 bits em PCs windows baseados em Arm. Não existem planos para suportar atualizações de acesso frequente em dispositivos Arm64 com CHPE ativado. A desativação do CHPE só é aplicável a dispositivos Arm64.

Se optar por deixar de utilizar atualizações de acesso frequente, desmarque o sinalizador CHPE disable () eHotPatchRestrictions=0, em seguida, reinicie o dispositivo para ativar a utilização chpe.

Dispositivos não elegíveis

Os dispositivos que não cumprem um ou mais pré-requisitos recebem automaticamente a Atualização Cumulativa Mais Recente (LCU) padrão. As LCUs contêm atualizações mensais que substituem as atualizações do mês anterior que contêm versões de segurança e não relacionadas com segurança.

As LCUs requerem que reinicie o dispositivo. As LCUs foram concebidas para ajudar a manter os dispositivos seguros e em conformidade de mês para mês.

Observação

Se os dispositivos não forem elegíveis para atualizações de acesso frequente, é-lhes oferecida a LCU. A LCU mantém as definições de cadência de atualização configuradas; não altera as definições.

Ciclos de lançamento

Para obter mais informações sobre o calendário de lançamento para atualizações de acesso frequente, consulte Notas de versão do hotpatch.

  • Linha base: inclui as correções de segurança mais recentes, novas funcionalidades cumulativas e melhoramentos. É necessário reiniciar.

  • Hotpatch: inclui atualizações de segurança. Não é necessário reiniciar.

    Trimestre Atualizações da linha de base* (requer reinício) Hotpatch** (não é necessário reiniciar)
    1 Janeiro Fevereiro e Março
    2 Abril Maio e Junho
    3 Julho Agosto e Setembro
    4 Outubro Novembro e Dezembro

Observação

  • *Ocasionalmente, por motivos de segurança, podem existir atualizações de linha de base que requerem um reinício fora do agendamento trimestral planeado. Se isto acontecer, a cadência de atualização da linha de base planeada existente não é alterada. Por exemplo, se junho se tornar uma atualização de linha de base, julho continuará a ser uma atualização de linha de base.
  • **Durante um mês de bloqueio de acesso frequente, se um dispositivo tiver atualizações de acesso frequente ativadas, mas não estiver na atualização de linha de base mais recente, o dispositivo receberá a atualização de linha de base mais recente (reinício necessário) e a atualização mais recente do hotpatch.
  • Considere quando atualizar um dispositivo inscrito em hotpatch para a versão mais recente do Windows (por exemplo, de Windows 11, versão 24H2 para a versão 25H2). Se atualizar os dispositivos durante um mês de linha de base, estes permanecerão no ciclo de acesso frequente e continuarão a receber as atualizações de acesso frequente de forma totalmente integrada. Se atualizar um dispositivo para a versão mais recente do Windows num mês de atualização, este muda para as atualizações padrão. Neste caso, tem de reiniciar o dispositivo para aplicar a atualização. As atualizações de hotpatch são retomadas após a seguinte atualização da linha de base.

Hotpatch no Windows 11 Enterprise ou Windows Server 2025

Observação

As atualizações do Hotpatch também estão disponíveis em Windows Server e Windows 365. Para obter mais informações, veja Hotpatch for Windows Server Azure Edition (Hotpatch for Windows Server Azure Edition).

As atualizações de acesso frequente são semelhantes entre Windows 11 e Windows Server 2025.

  • O Windows Autopatch gere atualizações Windows 11.
  • Gerenciador de Atualizações do Azure e opcional subscrição do Arc Azure para o Windows 2025 Datacenter/Standard Editions (no local) gere o Windows Server 2025 Datacenter Azure Edition. Para obter mais informações, em Windows Server e Windows 365, consulte Hotpatch for Windows Server Azure Edition .

As datas do calendário, oito meses de acesso frequente e quatro meses de linha base, planeadas todos os anos, são as mesmas para todos os sistemas operativos (SO) suportados por hotpatch. Podem existir meses de linha de base adicionais para um SO (por exemplo, Windows Server 2022), enquanto que existem meses de acesso frequente para outro SO, como o Server 2025 ou Windows 11, versão 24H2. Reveja as notas de versão do estado de funcionamento da versão do Windows para se manter atualizado.

Inscrever dispositivos para receber atualizações de acesso frequente

Observação

Se estiver a utilizar grupos de Bloqueio Automático do Windows e pretender que os seus dispositivos recebam atualizações de acesso frequente, crie uma política de atualização de acesso frequente e atribua dispositivos ao mesmo. Ativar as atualizações de acesso frequente não altera a definição de diferimento aplicada aos dispositivos dentro de um grupo de Bloqueio Automático do Windows.

Para inscrever dispositivos para receber atualizações de acesso frequente:

  1. Aceda ao centro de administração do Intune.
  2. Selecione Dispositivos no menu de navegação esquerdo.
  3. Na secção Gerir atualizações , selecione Atualizações do Windows.
  4. Aceda ao separador Atualizações de qualidade .
  5. Selecione Criar e selecione Política de atualização de qualidade do Windows.
  6. Na secção Informações básicas , introduza um nome para a nova política e selecione Seguinte.
  7. Na secção Definições , defina a opção "Quando disponível, aplique sem reiniciar o dispositivo ("Acesso Frequente") como Permitir. Em seguida, selecione Próximo.
  8. Selecione as etiquetas de Âmbito adequadas ou deixe como Predefinição. Em seguida, selecione Próximo.
  9. Atribua os dispositivos à política e selecione Seguinte.
  10. Reveja a política e selecione Criar.
  11. Também pode Editar a política de atualização de qualidade do Windows existente e definir "Quando disponível, aplicar sem reiniciar o dispositivo ("Hotpatch") como Permitir.

Estes passos ajudam a garantir que os dispositivos visados que são elegíveis para receber atualizações de acesso frequente estão configurados corretamente. São disponibilizadas as atualizações cumulativas mais recentes (LCU) aos dispositivos não elegíveis.

Observação

Ativar as atualizações de acesso frequente não altera as configurações de instalação agendada ou orientadas por prazos existentes nos seus dispositivos geridos. As definições de diferimento e hora ativa ainda se aplicam.

Reverter uma atualização de acesso frequente

A reversão automática de uma atualização de acesso frequente não é suportada, mas pode desinstalá-las. Se ocorrer um problema inesperado com atualizações de hotpatch, pode investigar ao desinstalar a atualização de acesso frequente e instalar a LCU e reiniciar. A desinstalação de uma atualização de acesso frequente é rápida; no entanto, requer um reinício do dispositivo.

Resolver problemas de atualizações de acesso frequente

Passo 1: verifique se o dispositivo é elegível para atualizações de acesso frequente e numa linha de base de hotpatch antes de a atualização de acesso frequente ser instalada

As atualizações de acesso frequente seguem o ciclo de lançamento do hotpatch. Reveja os pré-requisitos para ajudar a garantir que o dispositivo é elegível para atualizações de acesso frequente. Para obter informações sobre dispositivos que não cumprem os pré-requisitos, consulte Dispositivos não elegíveis.

Para obter a agenda de versão mais recente, veja as notas de versão do hotpatch. Para obter informações sobre o histórico de atualizações do Windows, consulte Windows 11, versão 24H2, histórico de atualizações.

Passo 2: verificar se o dispositivo tem a segurança baseada em Virtualização (VBS) ativada

  1. Selecione Iniciar e introduza System information na Pesquisa.
  2. Selecione Informações do sistema nos resultados.
  3. Em Resumo do sistema, na coluna Item, localize Segurança baseada em Virtualização.
  4. Na coluna Valor, certifique-se de que indica Em execução.

Passo 3: verificar se o dispositivo está configurado corretamente para ativar as atualizações de acesso frequente

  1. No Microsoft Intune, reveja as políticas configuradas no Windows Autopatch. Veja que grupos de dispositivos são visados por uma política de acesso frequente ao aceder à página Atualizações Windows Update>Quality.
  2. Certifique-se de que a política de atualização de acesso frequente está definida como Permitir.
  3. No dispositivo, selecione Iniciar>Definições>Windows Update>Opções> avançadasPolíticas de atualização configuradas.
  4. Localize Ativar a aplicação de acesso frequente quando disponível. Esta definição indica que o dispositivo está inscrito em atualizações de acesso frequente, conforme configurado pelo Windows Autopatch.

Passo 4: Desativar a utilização híbrida de PE (CHPE) compilada (apenas CPU Arm64)

Para obter mais informações, veja Os dispositivos Arm 64 têm de desativar a utilização de PE híbrida compilada (CHPE) (Apenas CPU do Arm 64).

Passo 5: Utilizar o Visualizador de eventos para verificar se o dispositivo tem atualizações de acesso frequente ativadas

  1. Clique com o botão direito do rato no menu Iniciar e selecione Visualizador de eventos.

  2. Procure AllowRebootlessUpdates no filtro. Se AllowRebootlessUpdates estiver definido como 1, o dispositivo está inscrito na política de atualização de Bloqueio Automático do Windows e tem as atualizações de acesso frequente ativadas:

    "data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

Passo 6: Verificar se existem erros de acesso frequente nos Registos do Windows

As atualizações de hotpatch fornecem um serviço de monitorização da caixa de entrada que verifica o estado de funcionamento das atualizações instaladas no dispositivo. Se o serviço de monitorização detetar um erro, o serviço regista um evento nos Registos de Aplicações do Windows. Se ocorrer um erro crítico, o dispositivo instala a atualização padrão (LCU) para ajudar a garantir que o dispositivo está totalmente seguro.

  1. Clique com o botão direito do rato no menu Iniciar e selecione Visualizador de eventos.
  2. Procure hotpatch no filtro para ver os registos.
  • Last updated on