Hotpatch per Windows abilitato di default in Intune da maggio 2026
- Introduzione
- Cosa sono gli aggiornamenti Hotpatch
- Cosa cambia da maggio 2026
- Il ciclo Hotpatch: baseline e mesi senza riavvio
- Prerequisiti da verificare
- VBS: perché diventa un punto da controllare
- Come controllare Hotpatch a livello tenant
- Come controllare Hotpatch con le Quality Update policies
- Come verificare se un dispositivo è configurato per Hotpatch
- Cosa succede ai dispositivi non idonei
- Monitoraggio e troubleshooting
- Rollback: cosa sapere
- Cosa fare prima di lasciare Hotpatch abilitato di default
- Quando valutare l’opt-out
- Conclusioni
Introduzione
A partire dall’aggiornamento di sicurezza di maggio 2026, Windows Autopatch abilita gli aggiornamenti Hotpatch per impostazione predefinita sui dispositivi Intune idonei. La modifica è stata anticipata nel Message Center con il messaggio MC1248388 – Plan for Change: Windows Autopatch is enabling hotpatch updates by default, pubblicato il 10 marzo 2026, ed è stata poi descritta anche nel blog Windows IT Pro.
Il cambiamento è rilevante perché sposta Hotpatch da funzionalità da abilitare consapevolmente a comportamento predefinito per i dispositivi che rispettano i prerequisiti. In altre parole, se un dispositivo è idoneo, può iniziare a ricevere aggiornamenti di sicurezza Hotpatch senza che l’amministratore debba creare una configurazione dedicata per abilitarli. Questo non significa che i riavvii scompaiano. Significa che, nei mesi Hotpatch, gli aggiornamenti di sicurezza possono essere installati e applicati senza attendere il riavvio del dispositivo. Nei mesi baseline, invece, il riavvio rimane necessario.
Cosa sono gli aggiornamenti Hotpatch
Gli aggiornamenti Hotpatch sono aggiornamenti di sicurezza mensili che possono essere applicati senza richiedere il riavvio immediato del dispositivo. La logica è semplice: ridurre il tempo che passa tra l’installazione della patch e l’effettiva protezione del sistema.
Con un aggiornamento cumulativo tradizionale, il dispositivo può risultare in attesa di riavvio per ore o giorni. In ambienti enterprise questo comportamento è molto comune, soprattutto dove gli utenti rimandano il reboot o dove sono configurate finestre di manutenzione molto conservative. Con Hotpatch, invece, le correzioni di sicurezza previste per quel ciclo vengono applicate senza attendere il riavvio, riducendo l’interruzione per l’utente e migliorando più rapidamente lo stato di conformità.
Gli aggiornamenti Hotpatch sono abilitati per impostazione predefinita per tutti i dispositivi idonei in Microsoft Intune e che possono essere controllati tramite impostazione tenant oppure tramite Quality Update policy.
Cosa cambia da maggio 2026
Dal ciclo di sicurezza di maggio 2026, Windows Autopatch abilita Hotpatch di default sui dispositivi idonei. Il Message Center specifica che il cambiamento riguarda tutti i dispositivi Intune eleggibili e che i dispositivi inizieranno a ricevere aggiornamenti Hotpatch con l’aggiornamento di sicurezza di maggio 2026. Non tutti i dispositivi riceveranno automaticamente Hotpatch, lo riceveranno solo quelli che soddisfano i prerequisiti tecnici. I dispositivi non idonei continueranno a ricevere il normale aggiornamento cumulativo più recente, quindi rimarranno comunque protetti, ma con il comportamento tradizionale che prevede il riavvio. In sintesi:
Scenario | Comportamento |
|---|---|
Dispositivo idoneo a Hotpatch | Riceve gli aggiornamenti Hotpatch nei mesi previsti |
Dispositivo non idoneo | Riceve il normale aggiornamento cumulativo più recente |
Mese baseline | È previsto un aggiornamento cumulativo con riavvio |
Mese Hotpatch | L’aggiornamento di sicurezza viene applicato senza riavvio immediato |
Policy Quality Update configurata | La policy prevale sull’impostazione predefinita tenant |
Il ciclo Hotpatch: baseline e mesi senza riavvio
Hotpatch non elimina completamente i riavvii dal ciclo di aggiornamento Windows. Il modello prevede mesi baseline e mesi Hotpatch. I mesi baseline sono elencati nella tabella seguente:
Quarter | Mese baseline | Mesi Hotpatch |
|---|---|---|
Q1 | Gennaio | Febbraio, marzo |
Q2 | Aprile | Maggio, giugno |
Q3 | Luglio | Agosto, settembre |
Q4 | Ottobre | Novembre, dicembre |
Nei mesi baseline viene installato un aggiornamento cumulativo completo e il riavvio è necessario. Nei mesi Hotpatch vengono invece installati aggiornamenti di sicurezza che non richiedono il riavvio immediato. Questo aspetto è importante anche per la comunicazione interna agli utenti: Hotpatch riduce il numero di riavvii richiesti durante l’anno, ma non li azzera. L’obiettivo è ridurre l’esposizione tra installazione della patch e protezione effettiva del dispositivo, non cambiare completamente il modello di servicing di Windows.
Prerequisiti da verificare
Per ricevere Hotpatch, i dispositivi devono rispettare i prerequisiti previsti. La documentazione Microsoft indica che Hotpatch richiede gli stessi prerequisiti dei criteri di aggiornamento qualità di Windows, con alcuni requisiti aggiuntivi specifici. Tra questi, il più importante in molti ambienti è l’abilitazione di Virtualization-based Security, cioè VBS. I prerequisiti principali da verificare sono i seguenti:
Area | Verifica |
|---|---|
Gestione | Dispositivo gestito da Intune o co-managed con workload corretti verso Intune |
Windows Autopatch | Dispositivo idoneo e registrato secondo i prerequisiti del servizio |
Versione Windows | Windows 11 versione 24H2 o successiva, secondo i requisiti Hotpatch |
Baseline | Dispositivo allineato alla baseline più recente prevista dal ciclo Hotpatch |
Sicurezza | VBS abilitato |
Connettività | Dispositivo in comunicazione con Intune e connesso a Internet |
Arm64 | Eventuale gestione del requisito CHPE, dove applicabile |
Per Windows Autopatch, i dispositivi devono essere aziendali, gestiti da Intune o co-gestiti con Configuration Manager, con comunicazione verso Intune negli ultimi 28 giorni e con connettività Internet. I dispositivi gestiti solo da Configuration Manager non sono supportati per Windows Autopatch.
VBS: perché diventa un punto da controllare
Uno dei motivi principali per cui un dispositivo potrebbe non ricevere Hotpatch è l’assenza di VBS. La documentazione specifica che VBS deve essere attivo affinché il dispositivo possa ricevere gli aggiornamenti Hotpatch. La verifica può essere fatta direttamente dal dispositivo aprendo System Information e controllando il valore Virtualization-based security. Se lo stato è Running, VBS è in esecuzione. In ambienti gestiti con Intune, conviene verificare questo aspetto prima del rollout di massa, perché molti dispositivi potrebbero risultare teoricamente gestiti da Intune e aggiornati, ma non effettivamente idonei a Hotpatch a causa della configurazione di sicurezza locale, firmware, virtualizzazione o impostazioni correlate.
Come controllare Hotpatch a livello tenant
La nuova impostazione tenant permette di definire il comportamento predefinito per i dispositivi che non sono già gestiti da una policy di aggiornamento qualità specifica.
Il percorso è Tenant administration > Windows Autopatch > Tenant management > Tenant settings. Da qui è possibile configurare l’opzione When available, apply updates without restarting the device (“hotpatch”) impostandola su Allow oppure Block. Questo controllo è utile quando l’azienda vuole decidere il comportamento generale del tenant senza creare policy dedicate per ogni gruppo di dispositivi.
Come controllare Hotpatch con le Quality Update policies
Le Quality Update policies permettono un controllo più granulare. Questo è il punto più importante da tenere presente: se un dispositivo è assegnato a una Quality Update policy, l’impostazione Hotpatch definita nella policy prevale sull’impostazione tenant. Il percorso è Devices > Windows updates > Quality updates > Create > Windows quality update policy. Nella sezione Settings è possibile configurare When available, apply without restarting the device (“hotpatch”) su Allow o Block.
Questo consente di gestire scenari diversi, ad esempio:
Scenario | Configurazione consigliata |
|---|---|
Pilota tecnico | Quality Update policy con Hotpatch su Allow |
Dispositivi standard | Tenant default su Allow |
Gruppi critici non ancora pronti | Quality Update policy dedicata con Hotpatch su Block |
Validazione progressiva | Rollout per gruppi con monitoraggio del report Hotpatch |
Come verificare se un dispositivo è configurato per Hotpatch
Sul dispositivo è possibile controllare la presenza della policy da Settings > Windows Update > Advanced options > Configured update policies. La policy da cercare è Enable hotpatching when available, in italiano lo troverete con Abilita applicazione di patch a caldo quando disponibile. Questa informazione indica che il dispositivo è configurato per ricevere aggiornamenti Hotpatch quando disponibili.
Cosa succede ai dispositivi non idonei
Un dispositivo non idoneo non rimane senza aggiornamenti. Se non soddisfa i prerequisiti Hotpatch, riceve il normale aggiornamento cumulativo più recente. Questo aggiornamento richiede il riavvio, ma mantiene il dispositivo protetto e conforme secondo il modello tradizionale. Hotpatch migliora il modo in cui vengono applicate alcune patch di sicurezza, ma non sostituisce il normale meccanismo di aggiornamento per tutti i dispositivi e in tutte le condizioni.
Monitoraggio e troubleshooting
Dopo aver abilitato Hotpatch, è possibile monitorare lo stato dal report dedicato Reports > Windows Autopatch > Windows quality updates > Reports > Hotpatch quality updates report
Il report consente di verificare lo stato degli aggiornamenti Hotpatch, i dispositivi coinvolti e gli eventuali errori.
Rollback: cosa sapere
Il rollback automatico di un aggiornamento Hotpatch non è supportato. In caso di problemi, è possibile disinstallare l’aggiornamento Hotpatch e installare l’ultimo aggiornamento cumulativo standard, ma questa operazione richiede un riavvio del dispositivo. Questo non significa che Hotpatch sia rischioso di per sé, ma che deve essere inserito in un processo di gestione aggiornamenti con pilot, monitoraggio, gruppi progressivi e criteri di esclusione per i dispositivi più sensibili.
Cosa fare prima di lasciare Hotpatch abilitato di default
Per molte aziende la scelta migliore sarà lasciare Hotpatch abilitato, perché riduce il tempo necessario per applicare effettivamente le correzioni di sicurezza e limita l’impatto dei riavvii sull’utente finale. Prima di affidarsi al comportamento predefinito, però, conviene fare alcune verifiche puntuali:
Attività | Obiettivo |
|---|---|
Verificare i prerequisiti Windows Autopatch | Capire quali dispositivi sono realmente idonei |
Controllare VBS | Evitare che molti dispositivi restino fuori dal ciclo Hotpatch |
Rivedere le Quality Update policies | Verificare se esistono policy che prevalgono sul tenant default |
Definire eventuali gruppi di esclusione | Bloccare Hotpatch solo dove serve davvero |
Monitorare il report Hotpatch | Controllare stato, errori e copertura |
Comunicare correttamente agli utenti | Chiarire che i riavvii diminuiscono, ma non spariscono |
Quando valutare l’opt-out
L’opt-out può essere utile se l’azienda non ha ancora validato Hotpatch sui propri dispositivi, se ci sono gruppi critici con requisiti applicativi particolari o se il modello di aggiornamento è già fortemente governato da procedure interne. L’opt-out può essere gestito a livello tenant oppure tramite Quality Update policies. La scelta dipende dal livello di granularità richiesto. Se il problema riguarda pochi gruppi di dispositivi, è preferibile usare policy dedicate. Se invece l’azienda non è pronta in generale, si può valutare temporaneamente il blocco a livello tenant. La cosa da evitare è lasciare il tema non governato: anche quando una funzionalità è abilitata di default, resta necessario capire dove viene applicata, quali dispositivi sono idonei e quali policy possono modificare il comportamento previsto.
Conclusioni
L’abilitazione di Hotpatch di default rappresenta un passaggio importante nella gestione moderna degli aggiornamenti Windows. L’obiettivo non è eliminare completamente i riavvii, ma ridurre il tempo in cui un dispositivo rimane esposto dopo il rilascio delle correzioni di sicurezza. Per gli ambienti gestiti con Intune e Windows Autopatch, il cambiamento va accolto come un’opportunità, ma non va ignorato. I dispositivi devono rispettare i prerequisiti, VBS deve essere verificato, le Quality Update policies devono essere riviste e i report devono essere usati per controllare l’effettiva copertura.
Questa feature funziona bene quando è parte di un processo maturo di update management: tenant default chiaro, policy mirate, gruppi pilota, monitoraggio e comunicazione agli utenti. In questo modo è possibile ottenere aggiornamenti di sicurezza più rapidi, meno interruzioni operative e un ciclo di patching più coerente con le esigenze degli ambienti enterprise.
