Управление обновлениями драйверов Windows в Microsoft Intune

  • Статья

С помощью управления обновлениями драйверов Windows в Microsoft Intune можно просматривать, утверждать и приостанавливать развертывание обновлений драйверов для управляемых Windows 10 и Windows 11 устройств. Intune и служба развертывания (DS) клиентский компонент Центра обновления Windows для бизнеса (WUfB) помогают определить применимые обновления драйверов для устройств, которым назначена политика обновлений драйверов. Intune и WUfB-DS сортируют обновления по категориям, которые помогают легко определить рекомендуемые обновления драйверов для всех устройств или обновления, которые могут считаться необязательными для более ограниченного использования.

Используя политики обновления драйверов Windows, вы можете контролировать, какие обновления драйверов можно установить на ваших устройствах. Варианты действий:

  • Включите автоматическое утверждение рекомендуемых обновлений драйверов. Политики, заданные для автоматического утверждения, автоматически утверждают и развертывают каждую новую версию обновления драйверов, которая считается рекомендуемой драйвером для устройств, назначенных политике. Рекомендуемые драйверы обычно представляют собой последнее обновление драйвера, опубликованное издателем драйвера, которое издатель помечает как обязательное. Драйверы, которые не определены как текущий рекомендуемый драйвер, также доступны в качестве других драйверов, которые можно считать необязательными обновлениями драйверов.

    Позже, когда будет выпущено новое обновление драйвера от OEM и будет определено как текущее рекомендуемое обновление драйвера, Intune автоматически добавляет его в политику и перемещает ранее рекомендуемый драйвер в список других драйверов.

    Совет

    Утвержденное рекомендуемое обновление драйверов, которое перемещается в список других драйверов из-за того, что доступно новое рекомендуемое обновление драйверов, остается утвержденным. Если доступно новое рекомендуемое и утвержденное обновление драйвера, WUfB-DS установит только последнюю утвержденную версию. Если последняя утвержденная версия обновления приостановлена, служба развертывания автоматически предложит следующую последнюю и утвержденную версию обновления, которая теперь находится в списке других драйверов . Это гарантирует, что последняя утвержденная версия обновления драйвера может продолжать устанавливаться на устройствах, в то время как более поздняя рекомендуемая версия остается приостановленной.

    С помощью этой конфигурации политики можно также просмотреть доступные обновления, чтобы выборочно утверждать, приостанавливать или отклонять любые обновления, которые остаются доступными для устройств с политикой.

  • Настройте политику так, чтобы требовать утверждения всех обновлений вручную. Эта политика гарантирует, что администраторы должны утвердить обновление драйвера перед его развертыванием. Новые версии обновлений драйверов для устройств с этой политикой автоматически добавляются в политику, но остаются неактивными до утверждения.

Позже, когда для устройства в политике будет рекомендовано новое обновление драйвера от изготовителя оборудования, состояние политики обновится, чтобы указать, что есть драйверы, ожидающие проверки. Это состояние становится призывом к действию, чтобы проверить политику и решить, хотите ли вы утвердить развертывание новейших драйверов на устройствах.

  • Управление драйверами, утвержденными для развертывания. Вы можете изменить любую политику обновления драйверов, чтобы изменить, какие драйверы утверждены для развертывания. Вы можете приостановить развертывание любого отдельного обновления драйвера, чтобы остановить его развертывание на новых устройствах, а затем повторно применить приостановленное обновление, чтобы позволить клиентский компонент Центра обновления Windows возобновить его установку на соответствующих устройствах.

Независимо от конфигурации политики и включенных драйверов на устройства могут устанавливаться только утвержденные драйверы. Кроме того, клиентский компонент Центра обновления Windows устанавливает последнее доступное и утвержденное обновление только в том случае, если версия более поздняя, чем установленная в данный момент на устройстве.

Управление обновлениями драйверов Windows применяется к:

  • Windows 10
  • Windows 11

Предварительные требования

Важно!

Эта функция не поддерживается в облачной среде GCC.

Включение активации подписки с помощью существующего ea не применимо к облачным средам GCC и GCC High/DoD для возможностей WuFB-DS.

Чтобы использовать управление обновлениями драйверов Windows, ваша организация должна иметь следующие лицензии, подписки и конфигурации сети:

Подписки

  • Intune. Вашему клиенту требуется подписка Microsoft Intune плана 1.

  • Microsoft Entra ID: Microsoft Entra ID бесплатная подписка (или больше).

Требования к выпуску & устройства

Подписки и лицензии Windows:

У вашей организации должна быть одна из следующих подписок, включающих лицензию на службу развертывания клиентский компонент Центра обновления Windows для бизнеса:

  • Windows 10/11 Корпоративная E3 или E5 (включено в Microsoft 365 F3, E3 или E5)
  • Windows 10/11 для образовательных учреждений A3 или A5 (включено в Microsoft 365 A3 или A5)
  • Доступ к виртуальному рабочему столу Windows E3 или E5
  • Microsoft 365 бизнес премиум

Проверьте сведения о своей подписке на применимость к Windows 11.

Если вы заблокированы при создании новых политик для возможностей, для которых требуется WUfB-DS, и вы получаете лицензии на использование WUfB через Соглашение Enterprise (EA), обратитесь к источнику ваших лицензий, например к группе учетных записей Майкрософт или к партнеру, который продал вам лицензии. Команда по учетным записям или партнер могут подтвердить, что лицензии ваших клиентов соответствуют требованиям к лицензии WUfB-DS. См . раздел Включение активации подписки с помощью существующего ea.

Выпуски Windows:

Обновления драйверов поддерживаются для следующих выпусков Windows 10/11:

  • Pro
  • Корпоративный
  • Для образования
  • Pro для рабочих станций

Примечание.

Неподдерживаемые версии и выпуски:
Windows 10/11 Enterprise LTSC: обновления компонентов, обновления драйверов и политики ускоренного обновления качества в разделе Обновления качества, доступные в колонке Windows 10 и более поздних версий, не поддерживают выпуск LTSC. Запланируйте использование политик кругов обновления в Intune.

Устройства должны:

  • запустить версию Windows 10/11, которая поддерживается;

  • Зарегистрируйтесь в Intune MDM и присоединитесь к гибридной службе AD или Microsoft Entra присоединение.

  • Включите и настроите телеметрия для отчета о минимальном уровне данных уровня "Базовый" , как определено в разделе Изменения в сборе диагностических данных Windows в документации по Windows.

    Для настройки телеметрии для Windows 10 или Windows 11 устройств можно использовать один из следующих путей Intune профилей конфигурации устройств.

    • Шаблон ограничения устройства. В этом профиле задайте для параметра Общий доступ к данным об использовании значение Обязательно. Также поддерживается необязательный параметр.
    • Каталог параметров. В каталоге параметров добавьте разрешить телеметрия из категории Система и задайте для него значение Basic. Также поддерживается полная версия.

    Дополнительные сведения о параметрах телеметрии Windows, включая текущие и прошлые параметры из Windows, см. в разделе Изменения в сборе диагностических данных Windows в документации по Windows.

  • Должен быть запущен Помощник по входу в учетную запись Microsoft (wlidsvc). Если служба заблокирована или отключена, получить обновление не удастся. Дополнительные сведения см. в разделе Обновления компонентов не предлагаются в отличие от других обновлений. По умолчанию для службы задано значение Вручную (запуск по триггеру). Это позволит запустить его при необходимости.

  • Иметь доступ к конечным точкам сети, необходимым для Intune управляемых устройств. См . раздел Сетевые конечные точки.

Включение сбора данных для отчетов

Для поддержки отчетов об обновлениях драйверов Windows необходимо включить использование диагностических данных Windows в Intune. Возможно, диагностические данные уже включены для других отчетов, таких как обновления компонентов Windows и отчеты о ускоренном обновлении качества. Чтобы включить использование диагностических данных Windows, выполните следующие действия:

  1. Войдите в центр администрирования Microsoft Intune и перейдите в раздел Администрирование> клиентовСоединители и маркеры>Данных Windows.

  2. Разверните данные Windows и убедитесь , что параметр Включить функции, для которых требуются диагностические данные Windows в конфигурации процессора , установлен в значение Включено.

Дополнительные сведения см. в статье Включение использования диагностических данных Windows Intune.

Поддержка GCC High

политика Intune для Обновления драйверов в настоящее время не поддерживается в средах GCC High.

Требования RBAC

Для управления обновлениями драйверов Windows вашей учетной записи должна быть назначена роль Intune управления доступом на основе ролей (RBAC), которая включает следующие разрешения:

  • Конфигурации устройств:
    • Назначение
    • Создание
    • Удалить
    • Просмотр отчетов
    • Обновление
    • Чтение

Вы можете добавить разрешение "Конфигурация устройств" с одним или несколькими правами для собственных пользовательских ролей RBAC или использовать встроенную роль диспетчера политик и профилей , которая включает эти права.

Дополнительные сведения см. в разделе Управление доступом на основе ролей для Microsoft Intune.

Ограничения для устройств, присоединенных к рабочему месту

политики Intune для обновлений драйверов для Windows 10 и более поздних версий требуют использования службы развертывания клиентский компонент Центра обновления Windows для бизнеса (WUfB) и клиентский компонент Центра обновления Windows для бизнеса (WUfB). ds). Там, где WUfB поддерживает устройства WPJ, WUfB ds предоставляет другие возможности, которые не поддерживаются для устройств WPJ.

Дополнительные сведения об ограничениях WPJ для политик Intune клиентский компонент Центра обновления Windows см. в статье Ограничения политик для устройств, присоединенных к рабочему местустатьи Управление Windows 10 и Windows 11 обновлениями программного обеспечения в Intune.

Архитектура

Концептуальная схема управления обновлениями драйверов Windows.

Архитектура управления обновлениями драйверов Windows:

  1. Microsoft Intune предоставляет идентификаторы Microsoft Entra и параметры политики Intune для устройств в WUfB-DS. Intune также предоставляет список утверждений драйверов и команд приостановки для WUfB-DS.
  2. WUfB-DS настраивает Обновления Windows на основе информации, предоставленной Intune. Windows Обновления предоставляет подходящий список обновлений драйверов для каждого идентификатора устройства.
  3. Устройства отправляют данные в корпорацию Майкрософт, чтобы клиентский компонент Центра обновления Windows могли определить применимые обновления драйверов для устройства во время его обычного клиентский компонент Центра обновления Windows проверки на наличие обновлений. Все утвержденные обновления устанавливаются на устройство.
  4. WUfB-DS передает диагностические данные Windows обратно в Intune отчетов.

Планирование обновлений драйверов

Прежде чем создавать политики и управлять утверждением драйверов в политиках, рекомендуется создать план развертывания обновлений драйверов, включающий участников команды, которые могут утверждать обновления драйверов и встроенного ПО. К темам, которые следует рассмотреть, относятся:

  • Когда следует использовать автоматическое утверждение драйверов и утверждение драйверов вручную .

  • Использование кругов развертывания для политик обновления драйверов, чтобы ограничить установку новых обновлений драйверов тестовых групп устройств перед широкой установкой этих обновлений на всех устройствах. При таком подходе ваша команда может выявить потенциальные проблемы на ранних этапах перед развертыванием обновлений в широком смысле. Использование кругов может дать вам время на приостановку сложного обновления в последующих кругах, чтобы отложить или предотвратить его развертывание. Ниже приведены примеры организационных подходов к кругу.

    • Структурирование политик обновления драйверов для различных моделей устройств и оборудования в соответствии с подразделениями или сочетанием обоих моделей.

    • Использование периодов отсрочки политики для автоматических обновлений и даты доступности для обновлений, утвержденных вручную, чтобы согласовать круги обновлений для расписания обновлений качества и компонентов.

    Вы также можете настроить доступность обновлений для обновлений, утвержденных вручную, в соответствии с распространенными циклами обновления, такими как выпуск Исправлений Майкрософт во вторник. Выравнивание расписаний может помочь сократить количество дополнительных перезапусков системы, которые требуются некоторым обновлениям драйверов.

  • Назначьте устройствам только одну политику обновления драйверов, чтобы предотвратить управление драйверами устройства с помощью нескольких политик. Это поможет избежать установки драйвера одной политикой, когда вы ранее отклонили или приостановили это же обновление в отдельной политике. Дополнительные сведения о планировании развертываний см. в разделе Create плана развертывания в документации по развертыванию Windows.

Вопросы и ответы

Поддерживают ли политики для обновлений драйверов фильтры назначений?

  • Нет. Обновления драйверов в настоящее время не поддерживаются фильтрами назначений.

Можно ли применить политику обновлений драйверов во время Autopilot?

  • Нет. В настоящее время Обновления драйверов не поддерживаются во время автопилота.

Можно ли использовать политику для отката обновления драйвера?

  • Нет. В настоящее время WUfB не поддерживает откат драйвера. Хотя можно создать скрипт отката, существует слишком много потенциальных переменных, чтобы предоставить полезный пример скрипта для этого. Если необходимо удалить драйвер, рассмотрите возможность ручных методов, таких как PowerShell.

Чтобы избежать проблем, требующих отката драйвера с большого количества устройств, используйте круги развертывания , чтобы ограничить установку драйвера небольшими начальными группами устройств. Такой подход позволяет оценить успешность или совместимость драйвера, прежде чем развертывать его в организации.

  • Для политик с утверждениями вручную необходимо проверить и вручную утвердить каждый драйвер, прежде чем он сможет развернуться на устройствах. Несмотря на большую работу, чем политики с автоматическим утверждением, утверждение вручную помогает избежать проблем с автоматически утвержденными драйверами.
  • Если вы используете политики с автоматическим утверждением, запланируйте мониторинг политики на наличие ранних признаков проблем. Если проблема с обновлением драйвера обнаружена в круге раннего развертывания, вы можете приостановить это обновление в других политиках.

Можно ли управлять устройством с помощью нескольких политик обновления драйверов?

  • Хотя поддерживается использование нескольких политик для каждого устройства, мы не рекомендуем это делать. Вместо этого рекомендуется добавлять устройства в одну политику, чтобы избежать путаницы по поводу того, является ли драйвер для устройства утвержденным или не утвержден.

    Рассмотрим устройство, которое получает обновления драйверов из двух политик. В одной политике определенное обновление утверждается, а в другой политике это обновление приостанавливается. Так как состояние утверждено всегда побеждает, драйвер устанавливается на устройстве, несмотря на любое другое состояние для этого обновления, установленное в любой другой политике.

Как уменьшить количество перезагрузок на устройствах, получающих обновления драйверов?

  • Так как не всегда ясно заранее, когда изготовитель оборудования выпускает новое обновление или если это обновление требует перезагрузки, рассмотрите регулярный шаблон проверок обновлений.

    • Для политик с утверждением вручную при утверждении драйверов и установке доступной даты утверждения можно задать для этой даты событие, например ежемесячный вторник исправлений, или любое другое время по вашему выбору.
    • Для политик с автоматическим утверждением можно приостановить добавленный объект, а затем вернуться, чтобы утвердить его. При повторном утверждении любого приостановленного обновления можно задать доступную дату утверждения.

    Чтобы устранить эту повторяющуюся проблему, мы оцениваем изменения, которые могут устранить необходимость вручную координировать обновления драйверов с обновлениями вторника исправлений .

Почему драйвер исчез из списка доступных драйверов в моей политике?

  • Когда OEM заменяет драйвер новым рекомендуемым драйвером, старый драйвер можно переместить в категорию Другие драйверы . Однако если этот старый драйвер имеет ту же или старую версию, что и драйверы, используемые всеми устройствами, этот драйвер полностью удаляется из политики, так как нет устройств, которые могли бы установить его с помощью политик обновлений драйверов.

Разделы справки удалить старые драйверы из списка драйверов моих политик?

  • Чтобы обеспечить актуальность списка доступных драйверов, драйверы с более старыми версиями, чем те, которые уже установлены на всех устройствах, на которые нацелена политика, больше не применяются. Эти старые драйверы удаляются из списка драйверов ранее развернутых и активных политик. В политике доступны только драйверы, которые могут обновить версию драйвера, установленную на устройстве, на которое нацелена политика.

    Установка драйверов с более старыми версиями, чем те, которые уже присутствуют на устройстве, невозможна с помощью управления обновлениями драйверов.

Какова частота синхронизации WUfB-DS?

  • Intune синхронизации WUfB-DS выполняются каждый день, и вы можете использовать параметр Синхронизация для выполнения синхронизации по запросу. Время завершения синхронизации зависит от сведений об устройстве, но обычно это занимает всего несколько минут.

    Устройства синхронизируются со службой WUfB-DS каждый день, когда устройство выполняет проверку клиентский компонент Центра обновления Windows.

Какими драйверами можно управлять?

  • Все обновления драйверов, опубликованные в настоящее время в клиентский компонент Центра обновления Windows и применимые к одному или нескольким устройствам в политике, доступны через политики обновлений драйверов.

Что насчет драйверов, которые обновляют BIOS с заблокированным паролем. Как это работает?

  • Обновления, опубликованные в клиентский компонент Центра обновления Windows, требуют использования механизма Windows, который позволяет безопасно обновлять встроенное ПО или драйвер без необходимости разблокировки BIOS/UEFI.

Если у поставщика есть собственное приложение для проверки и установки обновлений драйверов и встроенного ПО, существует ли задержка в доступности обновлений между его приложением и WUfB-DS?

  • Возможность задержки зависит от поставщика или изготовителя оборудования, который определяет доступность своих обновлений. Так как обновления драйверов подписываются на том же портале в цифровом виде перед публикацией в Windows Обновления, обновления драйверов могут стать доступными через клиентский компонент Центра обновления Windows, прежде чем они станут доступны через средства поставщиков.

Почему на моих устройствах установлены обновления драйверов, которые не прошли через политику обновлений?

  • Это, скорее всего, драйверы расширений, которые являются "поддрайверами", на которые может ссылаться драйвер main, устанавливаемый при установке или обновлении драйвера main. Драйверы расширений отображаются в установленных драйверах или журнале обновлений на устройстве, но не управляются напрямую. Так как драйверы расширений не работают без базовых драйверов, их установку безопасно разрешить.

Как быстро на самом деле приостановлены обновления?

  • Приостановка — это лучше всего, и при приостановке обновления WUfB-DS удаляет утверждение. Однако устройства не будут знать, что обновление приостановлено до следующей проверки на наличие обновлений.
    • Если устройство еще не проверило наличие обновления, приостановленное обновление не предлагается, и приостановка работает должным образом.
    • Если устройство проверяет наличие обновлений и обнаруживает, что обновление приостановлено, а устройство находится в процессе скачивания, установки или ожидания перезагрузки, клиентский компонент Центра обновления Windows на устройстве пытается удалить это обновление драйвера. Если не удается остановить установку, обновление завершает установку.
    • Если обновление завершает установку до следующей проверки на наличие обновлений, ничего не происходит, и обновление остается установленным.

Где можно узнать больше о доступных драйверах?

  • Дополнительные сведения о драйверах можно получить, скопировав имя и выполнив поиск на веб-сайте catalog.update.microsoft.com.

Обновляют ли политики обновления драйверов драйверы для подключаемых устройств?

  • Да, если обновления драйверов публикуются в клиентский компонент Центра обновления Windows поставщиком OEM.

Какие обновления драйверов могут просматривать пользователи устройств?

  • После назначения устройства политике обновления драйверов необязательные драйверы не отображаются для конечного пользователя. Когда администратор утверждает обновление драйвера, оно фактически становится обязательным и устанавливается при следующем сканировании устройства на наличие обновлений.

Разделы справки использовать управление драйверами, если в настоящее время я использую Configuration Manager для обновлений?

Вы можете продолжать использовать Configuration Manager для обновлений, отличных от драйверов, или начать переносить другие типы обновлений в управление облаком в Intune по одному за раз. Для этого сначала включите подключение к облаку или совместное управление в иерархии Configuration Manager, чтобы зарегистрировать управляемые устройства в Intune.

Рекомендуемый и предпочтительный способ внедрения облачных обновлений — переместить рабочую нагрузку клиентский компонент Центра обновления Windows в Intune. Если ваша организация не готова к этому, вы можете использовать функцию управления драйверами и встроенным ПО в Intune, не перемещая рабочую нагрузку, выполнив следующие действия.

  1. Оставьте для рабочей нагрузки клиентский компонент Центра обновления Windows значение Configuration Manager.

  2. Настройте политики драйверов в Intune, чтобы зарегистрировать устройства и подготовить их к управлению, как описано в разделе Управление политикой для обновлений драйверов Windows с помощью Microsoft Intune.

  3. Настройте групповую политику на основе домена, чтобы настроить клиентский компонент Центра обновления Windows в качестве источника для драйвера Обновления с помощью политики Укажите источник для определенных классов Windows Обновления.

    Примечание.

    Так как Configuration Manager использует локальную групповую политику для настройки политики источника обновления, использование Intune или CSP для настройки этих параметров приводит к неопределенному и непредсказуемому состоянию устройства.

  4. Включите сбор данных в Intune для устройств, на которые необходимо развернуть драйверы и встроенное ПО.

  5. [Необязательно] Принудительное разрешение отправки диагностических данных с помощью политики. Отправка диагностических данных в корпорацию Майкрософт позволяет использовать клиентский компонент Центра обновления Windows отчеты для Microsoft Intune.

    Примечание.

    По умолчанию отправка диагностических данных в Корпорацию Майкрософт разрешена на устройствах Windows. Отключение сбора диагностических данных не позволяет использовать отчеты клиентский компонент Центра обновления Windows для Microsoft Intune, чтобы сообщать сведения об обновлениях для управляемых устройств.

    Настройте для параметра Разрешить диагностические данныезначение Необязательный или Обязательный с помощью групповой политики или Intune на основе домена. Дополнительные сведения о том, как выполнить эту задачу, см. по следующим причинам:

  6. [Необязательно] Включите сбор имен устройств в диагностических данных. Дополнительные сведения о настройке с помощью групповой политики или Intune на основе домена см. в разделе Требования к диагностическим данным.

    Примечание.

    Использование Intune для настройки любых параметров диагностических данных, упомянутых ранее, требует перемещения рабочей нагрузки совместного управления конфигурацией устройств в Intune.

Вы можете переместить управление обновлениями компонентов в облако в Intune, настроив политику обновления компонентов в Intune и задав для параметра Обновления компонентов значение клиентский компонент Центра обновления Windows с помощью параметра Укажите источник для определенных классов Windows. Обновления групповой политики.

Использование политик круга обновлений в Intune для Обновления качества или компонентов требует перемещения рабочей нагрузки клиентский компонент Центра обновления Windows в Intune.

Есть ли способ установить крайний срок для водителей?

  • К драйверам применяются параметры крайний срок обновления качества и льготный период. Крайний срок начинается с момента, когда драйвер впервые предлагается устройству, но не является периодом отсрочки. Период отсрочки задерживает, когда на устройстве впервые предлагаются обновления.

Применяются ли параметры взаимодействия с пользователем из политики круга обновлений для обновлений драйверов?

  • Да, параметры взаимодействия с пользователем, такие как поведение автоматического обновления, часы активности, уведомления и т. д., также применяются для обновлений драйверов.

Почему для возврата инвентаризации обновлений драйверов требуется до 24 часов?

  • Чтобы сделать инвентаризацию драйверов доступной, необходимо выполнить несколько шагов. Самое главное, что после отправки политики и регистрации устройств для управления windows Обновления должны ждать, пока каждое устройство будет ежедневно проверять наличие обновлений. Этот процесс выполняется ежедневно, поэтому все работоспособные устройства могут проверка до 24 часов. После этого Intune необходимо обработать результаты проверки, чтобы предоставить список доступных обновлений драйверов.

Дальнейшие действия