Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обеспечение безопасности и актуальности устройств с Windows является одной из самых важных обязанностей для любой организации. Microsoft Intune предоставляет облачный подход к управлению обновлениями Windows, обеспечивая контроль, предсказуемость и минимальные нарушения работы пользователей.
В этом обзоре объясняется, как Intune управляет обновлениями Windows, доступные типы политик и как эти компоненты вписываются в полную стратегию обновления.
Что можно сделать с помощью Intune
- Настройка параметров обновления на устройствах без управления отдельными исправлениями.
- Определите круги обновления для управления временем развертывания и снижения риска.
- Запретить устройствам устанавливать новые версии компонентов до тех пор, пока вы не будете готовы, но по-прежнему применяйте обновления безопасности и качества.
Intune хранит только назначения политик, а не сами обновления. При сохранении политики Intune отправляет сведения о конфигурации в автоматическое исправление Windows, которое определяет, какие обновления утверждены для развертывания. Устройства загружают утвержденные обновления непосредственно из клиентский компонент Центра обновления Windows, устанавливая и применяя эти изменения в соответствии с клиентский компонент Центра обновления Windows клиентскими политиками.
Возможности управления обновлениями Windows
Следующие типы политик помогают управлять обновлениями Windows в Intune:
политика клиента клиентский компонент Центра обновления Windows
Настраивает базовый CSP политики обновления. Intune эти параметры отображаются с помощью кругов обновления и каталога параметров, что дает администраторам возможность применять детализированное поведение обновления на уровне устройства.
Обновление политики круга
Применяет политики клиента клиентский компонент Центра обновления Windows к группам устройств. Круги обновлений управляют периодами отсрочки, крайними сроками, поведением перезапуска и параметрами взаимодействия с пользователем, обеспечивая поэтапное развертывание в вашей среде.
Политика обновления компонентов
Блокирует устройства для определенной версии Windows (например, Windows 11 24H2). Эти политики предотвращают обновление устройств за пределами целевого выпуска, обеспечивая согласованность и контроль над основными обновлениями ОС.
Политика обновления качества
Предоставляет ежемесячные накопительные обновления для обеспечения безопасности и надежности. Поддерживает:
- Горячее исправление. Контроль того, будут ли соответствующие устройства получать исправления безопасности без перезагрузки.
- Ускорение политик. Немедленной отправки критически важных обновлений системы безопасности путем переопределения параметров отсрочки.
Обновления для системы безопасности hotpatch
Обеспечивает более быструю защиту устройств, предоставляя соответствующие исправления безопасности без перезагрузки. По умолчанию ежемесячные обновления для системы безопасности Windows доставляются без перезагрузки.
Политика обновления драйверов
Управляет доставкой обновлений драйверов оборудования из клиентский компонент Центра обновления Windows. Политики обновления драйверов помогают обеспечить совместимость и стабильность устройств, контролируя время и способ установки драйверов.
Автоисправление Windows
Автоматическое исправление Windows определяет, какое клиентский компонент Центра обновления Windows содержимое утверждено для развертывания на устройствах Windows, обеспечивая их актуальность и безопасность. Если для устройства не используется политика автозаполнения для определенного типа контента, развертывается все последнее содержимое из клиентский компонент Центра обновления Windows.
Microsoft Intune использует автоматическое исправление Windows для управления обновлениями компонентов, исправлениями и обновлениями драйверов. Чтобы включить эти рабочие процессы, существует политика для каждого из этих типов контента.
Когда устройство назначается политике, оно регистрируется в автозаписи для этого типа контента, и на нем развертывается только утвержденное содержимое. Администраторы могут утверждать обновления в политике автоматически или вручную в зависимости от того, что лучше всего подходит для их организации.
Помимо политики, существует несколько других мощных функций Intune на основе автозапавливаний:
- Группы автозаполнения обеспечивают динамическое группирование устройств, постепенное развертывание обновлений, а также потоки создания и редактирования нескольких политик.
- Отчеты об автоматическом исправлении содержат подробные сведения о готовности к обновлению, соответствии требованиям и оповещениях.
- Для подходящих выпусков Windows она также включает облачные сценарии обновления, такие как горячее исправление и ускоряемые обновления с минимальной ручной настройкой.
В следующей таблице сравнивается, чем отличается управление обновлениями при использовании конфигурации автозаписи вручную с политиками и группами автозаписи.
| Функция | При использовании политик автозаполнения | При использовании групп автозаполнения |
|---|---|---|
| Координация обновлений | Вручную распределите устройства по группам Entra для назначения политик обновления. | Автоматизация распределения устройств по нескольким группам Entra в зависимости от ваших предпочтений. Закрепите определенные группы в начале или конце развертывания. |
| Обновление политики круга | Вы настраиваете политики кругов обновления в Intune для управления отсрочками, крайними сроками и поведением перезапуска. | Вы одновременно настраиваете несколько кругов обновления, чтобы получить полную картину отложений, крайних сроков и поведения перезапуска во всем выпуске. Группы автозаполнения имеют необязательные предустановки, которые предоставляют рекомендуемые параметры для распространенных вариантов использования. |
| Политика обновления компонентов | Политики обновления компонентов используются для блокировки или планирования версий ОС. | Вы задаете минимальную версию обновления компонентов для всех устройств в группе автозапавливаний. Вы планируете постепенное обновление компонентов, когда вы хотите выполнить обновление. |
| Политика обновления качества | Вы настраиваете политики обновления качества, ускоренное обновление и параметры горячего исправления вручную. | Вы настраиваете политики обновления качества, ускоренное обновление и параметры горячего исправления вручную. |
| Политика обновления драйверов | Политики обновления драйверов используются для проверки и утверждения драйверов вручную или автоматически для всех назначенных устройств. | Проверьте и утвердите драйверы вручную или автоматически, начиная постепенное развертывание на всех устройствах в группе автозаполнения. |
Значения по умолчанию службы
Автоматическое исправление Windows по умолчанию включает обновления для системы безопасности с горячим исправлением, чтобы ускорить защиту устройств. Это поведение по умолчанию применяется ко всем соответствующим устройствам в Microsoft Intune. Применение исправлений безопасности без ожидания перезапуска может привести организаций к 90 % соответствия требованиям в два раза.
Вы можете в любое время отказаться от обновлений для системы безопасности для всего клиента или групп устройств с политиками обновления качества.
Предварительные условия
Каждый тип политики имеет определенные предварительные требования, подробно описанные в соответствующей документации. Ниже приводится краткое описание этих операций.
- Устройства должны быть зарегистрированы в Intune.
- Устройства должны быть Microsoft Entra присоединенными или гибридными.
Microsoft Entra зарегистрированные устройства не поддерживаются для политик любого типа, использующего ту же серверную службу, что и автопатка Windows, включая обновления компонентов, обновления качества и обновления драйверов.
Для Entra зарегистрированных устройств управление обновлениями по-прежнему ограничено клиентский компонент Центра обновления Windows клиентскими политиками и политиками круга обновления. - Устройства должны иметь доступ к конечным точкам обновления Майкрософт.
Политики обновления компонентов, политики обновления качества и политики обновления драйверов оркестрируются с помощью автоматического исправления Windows. Предварительные требования одинаковы для следующих трех типов политик:
Лицензирование: лицензия Windows, которая включает право автозапавливание.
Если вы заблокированы при создании новых политик для возможностей, для которых требуется автоматическое исправление Windows, и вы получаете лицензии на использование клиентский компонент Центра обновления Windows клиентских политик через Соглашение Enterprise (EA), обратитесь к источнику ваших лицензий, например к вашей группе учетных записей Майкрософт или к партнеру, который продал вам лицензии. Команда по учетным записям или партнер могут подтвердить, что лицензии ваших клиентов соответствуют требованиям к лицензии автоматического исправления Windows. См . раздел Включение активации подписки с помощью существующего ea.
Важно!
Включение активации подписки с помощью существующего ea не применяется к облачным средам GCC и GCC High/DoD для возможностей автоматического исправления Windows.
Телеметрия. Для набора диагностических данных задано значение Обязательный уровень.
Службы: включен помощник по учетной записи Майкрософт Sign-In.
Если служба заблокирована или отключена, получить обновление не удастся. Дополнительные сведения см. в разделе Обновления компонентов не предлагаются в отличие от других обновлений. По умолчанию для службы задано значение Вручную (запуск по триггеру). Это позволит запустить его при необходимости.