Aggiornamento da Windows 10 a Windows 11

Questo articolo descrive in dettaglio il processo per controllare quali dispositivi Windows 10 sono idonei per un aggiornamento a Windows 11 e avviare automaticamente l’aggiornamento utilizzando i criteri FleetDM e gli script PowerShell. La procedura include:

Rilevamento e archiviazione dei componenti di sistema richiesti (TPM 2.0 e Secure Boot) nel registro;
Convalidare i requisiti hardware e software per determinare l’idoneità all’aggiornamento;
Esecuzione di un download automatizzato e di un’installazione invisibile di Windows 11 su dispositivi conformi.

1. Classificare i dispositivi con TPM e Secure Boot presenti

1.1. Creare la policy di rilevamento (registro FleetDM)

Utilizza la query seguente per verificare la presenza di chiavi di registro che memorizzeranno lo stato TPM e Secure Boot:

SELECT 1 WHERE EXISTS (
      SELECT 1 FROM registry
      WHERE path = 'HKEY_LOCAL_MACHINE\Software\FleetDM\TPMVersion'
    )
    AND EXISTS (
      SELECT 1 FROM registry
      WHERE path = 'HKEY_LOCAL_MACHINE\Software\FleetDM\SecureBoot'
    );

1.2. Esegui lo script associato (popola il registro)

Allega questo script di PowerShell alla policy sopra. Rileva la versione del TPM e lo stato di avvio sicuro, quindi li scrive nel registro Windows per FleetDM.

$TPM = Get-WmiObject -Namespace "Root\CIMv2\Security\MicrosoftTpm" -Class Win32_Tpm
$SecureBoot = Confirm-SecureBootUEFI

$TPMVersion = $TPM.SpecVersion
$SecureBootEnabled = if ($SecureBoot) { 1 } else { 0 }

# Write values to the registry (example)
New-Item -Path "HKLM:\Software\FleetDM" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\Software\FleetDM" -Name "TPMVersion" -Value $TPMVersion
Set-ItemProperty -Path "HKLM:\Software\FleetDM" -Name "SecureBoot" -Value $SecureBootEnabled

Risultato previsto: HKLM\Software\FleetDM\TPMVersion e HKLM\Software\FleetDM\SecureBoot vengono creati/aggiornati.

2. Valutare l’idoneità di un dispositivo Windows 10 per Windows 11

Crea la policy seguente per convalidare i requisiti minimi (RAM, core CPU, architettura, TPM 2.0, avvio protetto) ed escludere dispositivi non conformi.

SELECT 1 FROM os_version as os JOIN system_info as si WHERE
    os.name NOT LIKE 'Microsoft Windows 10%'
    OR si.physical_memory < 4 * 1024 * 1024 * 1024
    OR si.cpu_physical_cores < 2
    OR si.cpu_type NOT LIKE '%x86_64%'
    OR NOT EXISTS (
      SELECT * FROM registry
      WHERE path = 'HKEY_LOCAL_MACHINE\Software\FleetDM\TPMVersion'
        AND data LIKE '2%'
    )
    OR NOT EXISTS (
      SELECT * FROM registry
      WHERE path = 'HKEY_LOCAL_MACHINE\Software\FleetDM\SecureBoot'
        AND data = '1'
    );

Interpretation: the query returns 1 if the device is not a compliant Windows 10. Use it as a non-compliance policy to keep only eligible devices (those for which the query does not return 1).

3. Attiva l’aggiornamento Windows 11 (dispositivi idonei)

Allega lo script di distribuzione riportato di seguito ai dispositivi conformi. Scarica l’ISO di Windows 11, monta l’immagine, copia le fonti localmente e pianifica una configurazione silenziosa in SISTEMA.

# Imports
Import-Module BitsTransfer

# Variables
$uri = "https://production-bucket-public-files.s3.eu-west-3.amazonaws.com/Win11_24H2_French_x64.iso" # French locale — replace with the appropriate locale ISO for your region
$destination = "C:\Win11.iso"
$log = "C:\logs\download_win11_iso.log"

# Create the logs folder if it doesn't exist
if (-not (Test-Path -Path "C:\logs")) {
    New-Item -Path "C:\logs" -ItemType Directory | Out-Null
}

# Start the download
try {
    "`n[$(Get-Date)] Starting download..." | Out-File -Append $log
    if (-not (Test-Path $destination)){
      Start-BitsTransfer -Source $uri -Destination $destination
    }
    "`n[$(Get-Date)] Download completed successfully." | Out-File -Append $log
} catch {
    "`n[$(Get-Date)] Error during download: $_" | Out-File -Append $log
}

# Additional variables
$isoPath = "C:\Win11.iso"
$setupFolder = "C:\Temp\Win11Files"
$taskName = "Win11SilentUpgrade"

# Step 1 - Mount the ISO
Mount-DiskImage -ImagePath $isoPath -PassThru | Out-Null
Start-Sleep -Seconds 2
$vol = Get-Volume -DiskImage (Get-DiskImage -ImagePath $isoPath)
$driveLetter = $vol.DriveLetter

# Step 2 - Copy ISO content locally
New-Item -ItemType Directory -Force -Path $setupFolder | Out-Null
Copy-Item "$driveLetter`:\*" -Destination $setupFolder -Recurse

# Unmount the ISO
Dismount-DiskImage -ImagePath $isoPath

# Step 3 - Create and schedule the installation task
$action = New-ScheduledTaskAction -Execute "C:\Temp\Win11Files\setup.exe" -Argument "/auto upgrade /migratedrivers none /resizerecoverypartition enable /dynamicupdate disable /eula accept /quiet /noreboot /uninstall disable /compat ignorewarning /copylogs C:\logs\WinSetup.log"
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount -RunLevel Highest
$task = New-ScheduledTask -Action $action -Principal $principal -Trigger (New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(1))

Register-ScheduledTask -TaskName $taskName -InputObject $task -Force

# Step 4 - Start the task immediately
Start-ScheduledTask -TaskName $taskName

Per iniziare

Ciclo di vita dei dipendenti

Gestione dei dispositivi

Protezione endpoint

Identità e gestione SaaS

Acquisti globali e inventario

Guide e risorse

Aggiornamento da Windows 10 a Windows 11

1. Classificare i dispositivi con TPM e Secure Boot presenti

1.1. Creare la policy di rilevamento (registro FleetDM)

1.2. Esegui lo script associato (popola il registro)

2. Valutare l’idoneità di un dispositivo Windows 10 per Windows 11

3. Attiva l’aggiornamento Windows 11 (dispositivi idonei)

Per iniziare

Ciclo di vita dei dipendenti

Gestione dei dispositivi

Protezione endpoint

Identità e gestione SaaS

Acquisti globali e inventario

Guide e risorse

​1. Classificare i dispositivi con TPM e Secure Boot presenti

​1.1. Creare la policy di rilevamento (registro FleetDM)

​1.2. Esegui lo script associato (popola il registro)

​2. Valutare l’idoneità di un dispositivo Windows 10 per Windows 11

​3. Attiva l’aggiornamento Windows 11 (dispositivi idonei)

1. Classificare i dispositivi con TPM e Secure Boot presenti

1.1. Creare la policy di rilevamento (registro FleetDM)

1.2. Esegui lo script associato (popola il registro)

2. Valutare l’idoneità di un dispositivo Windows 10 per Windows 11

3. Attiva l’aggiornamento Windows 11 (dispositivi idonei)