Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zapewnienie bezpieczeństwa i aktualności urządzeń z systemem Windows jest jednym z najważniejszych obowiązków każdej organizacji. Microsoft Intune zapewnia oparte na chmurze podejście do zarządzania aktualizacjami systemu Windows, zapewniając użytkownikom kontrolę, przewidywalność i minimalne zakłócenia.
W tym omówieniu wyjaśniono, jak Intune zarządza aktualizacjami systemu Windows, dostępnymi typami zasad i jak te elementy pasują do pełnej strategii aktualizacji.
Co można zrobić z Intune
- Skonfiguruj ustawienia aktualizacji na urządzeniach bez zarządzania poszczególnymi poprawkami.
- Zdefiniuj pierścienie aktualizacji, aby kontrolować chronometraż wdrożenia i zmniejszać ryzyko.
- Uniemożliwiaj urządzeniom instalowanie nowych wersji funkcji, dopóki nie będziesz gotowy, a jednocześnie zastosuj aktualizacje zabezpieczeń i jakości.
Intune przechowuje tylko przypisania zasad, a nie same aktualizacje. Podczas zapisywania zasad Intune wysyła szczegóły konfiguracji do usługi Autopatch systemu Windows, która określa, które aktualizacje są zatwierdzone do wdrożenia. Urządzenia pobierają zatwierdzone aktualizacje bezpośrednio z Windows Update, instalując i stosując te zmiany zgodnie z zasadami klienta Windows Update.
Funkcje zarządzania aktualizacjami systemu Windows
Następujące typy zasad ułatwiają zarządzanie aktualizacjami systemu Windows w Intune:
zasady klienta Windows Update
Konfiguruje podstawowy dostawca CSP zasad aktualizacji. Intune udostępnia te ustawienia za pomocą pierścieni aktualizacji i katalogu ustawień, zapewniając administratorom elastyczność stosowania szczegółowych zachowań aktualizacji na poziomie urządzenia.
Aktualizowanie zasad pierścienia
Stosuje zasady klienta Windows Update do grup urządzeń. Pierścienie aktualizacji kontrolują okresy odroczenia, terminy, zachowanie ponownego uruchomienia i ustawienia środowiska użytkownika, co umożliwia stopniowe wdrażanie w całym środowisku.
Zasady aktualizacji funkcji
Blokuje urządzenia w określonej wersji systemu Windows (na przykład Windows 11 24H2). Te zasady uniemożliwiają uaktualnianie urządzeń poza docelową wersję, zapewniając spójność i kontrolę nad głównymi uaktualnieniami systemu operacyjnego.
Zasady aktualizacji jakości
Dostarcza comiesięczne aktualizacje zbiorcze dla zabezpieczeń i niezawodności. Obsługuje:
- Hotpatch: umożliwia kontrolowanie, czy kwalifikujące się urządzenia otrzymują poprawki zabezpieczeń bez ponownego uruchamiania.
- Przyspieszanie zasad: natychmiastowe wypychanie krytycznych aktualizacji zabezpieczeń przez zastąpienie ustawień odroczenia.
Aktualizacje zabezpieczeń rozwiązania Hotpatch
Szybciej zabezpiecza urządzenia, dostarczając kwalifikujące się poprawki zabezpieczeń bez ponownego uruchamiania. Aktualizacje bez ponownego rozruchu to domyślny sposób dostarczania miesięcznych aktualizacji zabezpieczeń systemu Windows.
Zasady aktualizacji sterowników
Zarządza dostarczaniem aktualizacji sterowników sprzętu z Windows Update. Zasady aktualizacji sterowników pomagają zapewnić zgodność i stabilność urządzeń, kontrolując czas i sposób instalowania sterowników.
Autopoprawka Windows
Funkcja Autopatch systemu Windows kontroluje, która zawartość Windows Update jest zatwierdzona do wdrożenia na urządzeniach z systemem Windows, zapewniając ich aktualną i bezpieczną ochronę. Jeśli urządzenie nie jest objęte zasadami autopatchowania dla danego typu zawartości, wdrażana jest cała najnowsza zawartość z Windows Update.
Microsoft Intune korzysta z funkcji Autopatch systemu Windows, aby umożliwić zarządzanie aktualizacjami funkcji, aktualizacjami jakości i aktualizacjami sterowników. Aby włączyć te przepływy pracy, istnieją zasady dla każdego z tych typów zawartości.
Gdy urządzenie jest przypisane do zasad, jest ono rejestrowane w programie Autopatch dla tego typu zawartości, a na tym urządzeniu jest wdrażana tylko zatwierdzona zawartość. Administratorzy mogą zatwierdzać aktualizacje w zasadach automatycznie lub ręcznie, w zależności od tego, co działa najlepiej w organizacji.
Poza zasadami istnieje kilka innych zaawansowanych funkcji Intune obsługiwanych przez funkcję Autopatch:
- Grupy automatycznego wdrażania umożliwiają dynamiczne grupowanie urządzeń, stopniowe wdrażanie aktualizacji, a także tworzenie i edytowanie przepływów z wieloma zasadami.
- Raporty autopatch zapewniają szczegółowy wgląd w gotowość do aktualizacji, zgodność i alerty.
- W przypadku kwalifikujących się wersji systemu Windows umożliwia ona również scenariusze aktualizacji oparte na chmurze, takie jak aktualizacje hotpatch i przyspieszone aktualizacje z minimalną konfiguracją ręczną.
W poniższej tabeli porównaliśmy różnice między zarządzaniem aktualizacjami w przypadku korzystania z ręcznej konfiguracji automatycznego wykrywania z zasadami i używania grup autopatch:
| Funkcja | W przypadku korzystania z zasad autopatch | W przypadku korzystania z grup autopatch |
|---|---|---|
| Koordynacja aktualizacji | Ręczne dystrybuowanie urządzeń do grup Entra w celu przypisania zasad aktualizacji. | Automatyzuj dystrybucję urządzeń do wielu grup Entra na podstawie preferencji. Przypnij określone grupy do początku lub końca wdrożenia. |
| Aktualizowanie zasad pierścienia | Zasady pierścienia aktualizacji można skonfigurować w Intune w celu kontrolowania odroczeń, terminów ostatecznych i zachowania ponownego uruchamiania. | Jednocześnie skonfigurujesz wiele pierścieni aktualizacji, aby uzyskać pełny obraz odroczeń, terminów ostatecznych i zachowania ponownego uruchamiania w całej wersji. Grupy autopatch mają opcjonalne ustawienia wstępne, które zapewniają zalecane ustawienia dla typowych przypadków użycia. |
| Zasady aktualizacji funkcji | Zasady aktualizacji funkcji umożliwiają blokowanie lub planowanie wersji systemu operacyjnego. | Należy ustawić minimalną wersję aktualizacji funkcji dla wszystkich urządzeń w grupie autopatch. Planujesz stopniowe wdrażanie aktualizacji funkcji, gdy chcesz przeprowadzić uaktualnienie. |
| Zasady aktualizacji jakości | Zasady aktualizacji jakości, przyspieszone aktualizacje i ustawienia aktualizacji są konfigurowane ręcznie. | Zasady aktualizacji jakości, przyspieszone aktualizacje i ustawienia aktualizacji są konfigurowane ręcznie. |
| Zasady aktualizacji sterowników | Zasady aktualizacji sterowników umożliwiają ręczne lub automatyczne przeglądanie i zatwierdzanie sterowników dla wszystkich przypisanych urządzeń. | Przejrzyj i zatwierdź sterowniki ręcznie lub automatycznie, rozpoczynając stopniowe wdrażanie na wszystkich urządzeniach w grupie Autopatch. |
Wartości domyślne usługi
Funkcja Autopatch systemu Windows domyślnie włącza aktualizacje zabezpieczeń hotpatch, aby przyspieszyć zabezpieczanie urządzeń. To domyślne zachowanie dotyczy wszystkich kwalifikujących się urządzeń w Microsoft Intune. Zastosowanie poprawek zabezpieczeń bez oczekiwania na ponowne uruchomienie może doprowadzić organizacje do 90% zgodności w połowie czasu.
Aktualizacje zabezpieczeń można zrezygnować w dowolnym momencie dla całej dzierżawy lub grup urządzeń z zasadami aktualizacji jakości.
Wymagania wstępne
Każdy typ zasad ma określone wymagania wstępne, szczegółowo opisane w ich dokumentacji. Ogólnie rzecz biorąc:
- Urządzenia muszą być zarejestrowane w Intune.
- Urządzenia muszą być Microsoft Entra przyłączone lub przyłączone hybrydowo.
Microsoft Entra zarejestrowanych urządzeń nie są obsługiwane dla żadnego typu zasad, który używa tej samej usługi zaplecza co autopatch systemu Windows — w tym aktualizacji funkcji, aktualizacji jakości i aktualizacji sterowników.
W przypadku Entra zarejestrowanych urządzeń zarządzanie aktualizacjami pozostaje ograniczone do Windows Update zasad klienta i zasad pierścienia aktualizacji. - Urządzenia muszą mieć dostęp do punktów końcowych aktualizacji firmy Microsoft.
Zasady aktualizacji funkcji, zasady aktualizacji jakości i zasady aktualizacji sterowników są aranżowane przez funkcję Autopatch systemu Windows. Wymagania wstępne są takie same w tych trzech typach zasad:
Licencjonowanie: licencja systemu Windows obejmująca uprawnienie do automatycznego wdrażania.
Jeśli podczas tworzenia nowych zasad dla funkcji, które wymagają automatycznego wytyczania systemu Windows, masz licencje na korzystanie z zasad klienta Windows Update za pośrednictwem Enterprise Agreement (EA), skontaktuj się ze źródłem licencji, takim jak zespół konta Microsoft lub partner, który sprzedał Ci licencje. Zespół lub partner konta może potwierdzić, że licencje dzierżawców spełniają wymagania licencyjne dotyczące automatycznego wypychania systemu Windows. Zobacz Włączanie aktywacji subskrypcji przy użyciu istniejącego umowy EA.
Ważna
Włączanie aktywacji subskrypcji przy użyciu istniejącego umowy EA nie ma zastosowania do środowisk GCC i GCC High/DoD w chmurze dla funkcji automatycznego wdrażania systemu Windows.
Telemetria: dane diagnostyczne są ustawione na wymagany poziom.
Usługi: Włączono asystenta Sign-In konta Microsoft.
Jeśli usługa jest zablokowana lub ustawiona na wartość Wyłączone, nie może odebrać aktualizacji. Aby uzyskać więcej informacji, zobacz Aktualizacje funkcji nie są oferowane podczas innych aktualizacji. Domyślnie usługa jest ustawiona na wartość Ręczne (uruchamianie wyzwalacza), co umożliwia jej uruchamianie w razie potrzeby.