使用 Microsoft Intune 管理 Windows 驱动程序更新的策略
本文可帮助你使用 Microsoft Intune 为 Windows 10 和 Windows 11 设备创建和管理 Windows 驱动程序更新策略。 这些策略允许查看适用于策略目标设备的可用驱动程序更新列表、批准部署更新或暂停部署单个更新。 批准驱动程序更新后,Intune 会将分配发送到 Windows 更新,Windows 更新会根据策略配置管理设备上的更新安装。
在创建和部署驱动程序更新策略之前,请花些时间查看 Windows 驱动程序更新先决条件,考虑构建驱动程序更新部署计划,并查看驱动程序更新的常见问题。 Windows 驱动程序更新概述一文中提供了这些主题。
创建驱动程序更新策略后,计划定期查看它们,了解新添加的驱动程序更新。 添加到支持自动审批的策略的建议驱动程序更新开始部署,无需任何干预。 但是,在管理员手动批准之前,不会安装添加到策略的任何其他新更新。
应用于:
- Windows 10
- Windows 11
创建 Windows 驱动程序更新策略
使用以下过程作为指南,创建策略来管理设备组的驱动程序更新。
重要
适用于 Windows 更新通道的策略和使用设置目录的策略可以包括可阻止安装 Windows 驱动程序更新的配置。 若要确保不阻止驱动程序更新,请查看以下配置的策略:
- Windows 更新通道策略:确保 Windows 驱动程序 设置设置为 “允许”。
- 设置目录策略:在 “适用于企业的 Windows 更新 ”类别中,确保“ 在质量更新中排除 WU 驱动程序 ”设置为 “允许 Windows 更新驱动程序”。
默认情况下,这两个设置都使用 将允许 Windows 驱动程序更新的配置。
登录到 Microsoft Intune 管理中心 ,转到 “设备>按平台>Windows>管理更新>Windows 10 及更高版本更新>驱动程序更新 ”选项卡,然后选择“ 创建配置文件”。
在“基本信息”页上,输入以下属性:
- 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松识别它们。
- 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
在 “设置”中,在此策略中配置设备更新的审批方法。 为 审批方法选择以下选项之一:
手动批准和部署驱动程序更新 - 使用此选项时,添加到策略的每个新驱动程序更新的状态都设置为 “需要评审”。 管理员必须编辑策略,将每个单独更新的状态更改为 “已批准” ,然后该更新才能部署到适用的设备。
手动批准更新时,可以指定 Windows 更新在适用设备上安装更新的日期。 此日期不同于使用自动审批的策略中自动批准更新所需的延迟期。
自动批准所有建议的驱动程序更新 - 使用此选项,添加到策略的所有新 推荐 驱动程序更新将添加状态为 “已批准” ,并开始在适用的设备上安装,而无需管理员查看或批准。
如果要确保设备上的驱动程序与 OEM 最新建议的更新保持最新,请使用自动审批策略。
不是建议的驱动程序更新的所有其他更新将添加到状态为“需要评审”的其他驱动程序列表中的策略。 与添加到使用手动审批的策略的更新一样,在 Windows 更新安装这些更新之前,管理员必须将这些更新显式分配为 “已批准” 状态,并可以设置开始日期。
为自动审批设置策略时,必须配置以下设置,以便为自动批准的更新创建延迟期:
- 使更新在 (天后可用) – 此设置是一个延迟期,当 Windows 更新开始部署并安装自动添加到策略状态为 “已批准”的新建议更新时,将延迟。 延迟支持从零到 30 天,从将更新添加到策略的日期开始,而不是从 OEM 提供或发布更新的日期开始。 延迟旨在提供时间来识别并在必要时暂停部署新的建议更新。
例如,考虑使用自动审批并延迟三天的驱动程序更新策略。 6 月 1 日,WUfB-DS 标识适用于具有此策略的设备的新建议驱动程序更新,并将更新添加到已批准的策略。 由于延迟期为 3 天,因此 Windows 更新将等待向任何设备提供此更新,直到 6 月 4 日,该更新已添加到策略后的三天。 如果延迟设置为零天,Windows 更新将立即开始在设备上安装更新。
提示
创建策略后,将无法编辑策略以更改审批类型。 如果审批类型是自动的,则可以编辑“ 使更新在 (天后可用”的值,) 。
对于 “作用域标记”,选择要应用的任何所需范围标记。
对于 “分配”,请选择接收策略的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。 必须先将设备分配到此策略并保存该策略,然后 WUfB-DS 才能识别要添加到此策略驱动程序列表的适用驱动程序更新。
提示
建议为设备分配单个驱动程序更新策略策略。 将设备仅分配到一个策略有助于防止安装在一个策略中拒绝但在第二个策略中批准的驱动程序更新。 请记住,Windows 驱动程序更新的策略不支持删除或回滚驱动程序更新的选项。
对于 “查看 + 创建”,请查看策略配置,然后选择“ 创建”。 选择“创建”时,将保存所做的更改并分配配置文件。 配置文件也会显示在策略列表中。
管理和维护驱动程序更新策略
随着时间的推移,Windows 驱动程序更新策略中可用的驱动程序更新列表可能会更改。 以下事件可能会引入对可用驱动程序更新的更改:
设备分配:如果策略的设备分配发生更改,则通过策略提供的驱动程序更新可以更改,以反映现在分配给该策略的设备。 更改设备分配可以向策略添加驱动程序更新或新版本的更新,并在更新不再应用于分配给该策略的任何设备时从策略中删除更新。
驱动程序更新过期:所有适用的设备都安装了驱动程序更新版本后,该版本不再适用于在该策略的设备上安装,并且更新将从策略驱动程序列表中删除。
新的驱动程序更新版本可用:当 OEM 发布取代策略中找到的驱动程序更新的驱动程序更新版本时,会将新更新添加到该策略。
对于具有自动审批的策略:
- 所有新的 建议的驱动程序 更新都会自动批准,但在达到新更新的策略延迟期之前不会部署。 以前建议的更新(现在是较旧版本)将移至 其他驱动程序 列表,并保持批准状态。
- 非建议的驱动程序更新的新更新将添加到策略 的其他驱动程序 列表中,并设置其状态设置 “需要评审”。 必须先手动批准这些更新,然后才能将其部署到设备。
对于具有手动批准的策略,所有新的驱动程序更新都会添加到状态为 “需要评审”的策略。 此状态适用于添加到建议的驱动程序和其他驱动程序列表的更新。 管理员必须先在手动审批策略中批准所有更新,然后才能部署到设备。
查看 Windows 驱动程序更新策略列表时,任何具有需要手动批准的新驱动程序更新的策略都将显示黄色警告图标和“要查看”的驱动程序更新计数。 此警告显示在策略列表的 “要查看的驱动程序 ”列中。 若要详细了解如何管理驱动程序更新,请参阅本文中的 使用新添加的驱动程序更新标识策略 。
计划定期查看设备驱动程序更新策略,以确定添加了新驱动程序的策略。
有关手动批准更新的详细信息,请参阅本文后面的 管理驱动程序更新的状态 。
使用新添加的驱动程序更新识别策略
在管理中心查看驱动程序更新策略列表时,可以通过查看“ 要查看的驱动程序 ”列来识别已向其添加新驱动程序的策略,以获取需要评审的新更新的指示。
注意
这种情况的一个例外是 新建议的驱动程序 更新,这些更新将添加到策略集以便自动批准。 作为最新或最新推荐的驱动程序更新的建议驱动程序更新会自动添加到策略并自动批准,并且永远不会将其状态设置为 “需要评审”。
若要查找有新驱动程序更新等待评审的策略,请在管理中心转到 “设备>管理更新>”“Windows 10 及更高版本更新>”“驱动程序更新 ”选项卡。
在 Windows 驱动程序更新策略列表中,查看“ 要查看的驱动程序 ”列中的条目,这些条目指示已将新更新添加到策略中,你可能想要查看和批准这些更新以供部署。 在“ 驱动程序更新 ”页的以下屏幕截图中,有两个策略具有新的驱动程序更新。 一个显示 1 个审阅, 另一个显示 有 3 个审阅:
在管理员显式批准这些新更新之前,具有新驱动程序更新的两个策略不会部署这些新更新。 如果试图修改这些策略的已批准更新,还可以查看尚未收到新更新的其他策略。
策略将继续显示新更新的计数,直到每个更新 都获得批准 或 拒绝。 管理所有当前更新后,计数将降至零 (0) ,直到新更新被标识并添加到策略中。
策略属性和驱动程序列表
查看 Windows 驱动程序更新策略列表时,可以通过选择策略名称或其任何值来查看有关策略的详细信息。 可以通过三个选项卡获取策略详细信息。
- 第一个选项卡显示策略 “属性”,你可以在其中查看和编辑策略配置。
- 其他两个选项卡包含策略驱动程序列表。
可以使用 驱动程序列表 查看 WUfB-DS 标识为适用于接收该策略的一个或多个设备的驱动程序更新。 在列表中,可以查看和管理每个更新的审批状态。
提示
驱动程序列表不是当前在分配给策略的设备上安装的驱动程序版本的记录。 相反,它是由 WUfB-DS 标识和收集的驱动程序更新的列表,这些更新可以安装在设备上,以将其现有驱动程序升级到较新版本。 Intune 不会收集已安装驱动程序的清单。
驱动程序列表分为两个选项卡:
推荐的驱动程序 - 建议的驱动程序是 Windows 更新可以为设备标识的“必需”驱动程序更新的最佳匹配项。 若要成为建议的更新,OEM 或驱动程序发布者必须将更新标记为 必需 ,并且更新必须是标记为必需的最新更新版本。 这些更新与 Windows 更新提供的更新相同,几乎始终是驱动程序的最新更新版本。
当 OEM 发布限定为新推荐驱动程序的较新版本时,它会将以前的更新替换为建议的驱动程序更新。 如果较旧的更新版本仍适用于策略中的设备,则会将其移动到“ 其他驱动程序 ”选项卡。如果旧版本以前已获批准,则仍保持已批准状态。
其他驱动程序 - 其他驱动程序更新是原始设备制造商 (OEM) 除了当前建议的驱动程序更新之外,还提供更新。 只要这些更新比至少一台具有策略的设备上安装的驱动程序版本更新,这些更新就会保留在策略中。
这些更新可能包括:
- 以前推荐的更新已被较新的更新版本取代
- 固件更新
- 可选驱动程序更新,或默认情况下 OEM 不打算在所有设备上安装的更新
这些更新可以通过 Windows 驱动程序更新策略进行管理和部署,但不能通过适用于企业的经典客户端 Windows 更新 (WUfB) 策略进行管理和部署。
提示
当策略中的任何设备不再需要驱动程序更新时,将从驱动程序列表和策略中删除该更新版本。 策略仅保留可用于更新具有该策略的设备上的驱动程序的驱动程序更新版本。
在以下屏幕截图中,我们打开了名为“测试手动” 的策略,并选择了“ 建议的驱动程序 ”选项卡:
此策略需要手动批准,目前有三个驱动程序更新正在等待评审。
为了进行比较,以下屏幕截图显示了此相同策略的“ 其他驱动程序 ”选项卡的内容。
每个驱动程序列表都显示策略中更新的以下详细信息。 以下大多数详细信息都基于从 OEM 或驱动程序制造商的驱动程序更新中获取的信息:
驱动程序名称 – 驱动程序更新名称。 来自 OEM 或制造商的后续更新版本具有相同名称的情况并不少见。 使用更新 版本 和 发布日期 来区分更新实例。
版本 - OEM 或制造商提供的更新版本。
制造商 - 驱动程序更新的制造商。
驱动程序类 - 驱动程序类根据驱动程序发布者创作的详细信息确定,通常表示驱动程序硬件类。 此信息并不总是很容易确定或一致的更新来自不同 OEM 来源或制造商。 当无法识别驱动程序的类时,它会分配给 其他 硬件类。
发布日期 – OEM 提供此驱动程序更新的日期。
状态 – 此策略中驱动程序更新的当前状态。 可以通过从列表中选择驱动程序更新的名称来修改单个更新的状态。 有四个状态选项可用于更新:
- 需要审查
- 已批准
- 拒绝
- 已暂停
有关这四种状态类型以及如何在策略中管理它们的详细信息,请参阅本文 中的管理更新状态 。
适用设备 – 此数字指示可以安装特定版本的更新的设备数。 可以从 “推荐 的驱动程序”和“其他驱动程序”选项卡针对多个版本的 驱动程序 更新报告同一设备。 当设备仍在使用的驱动程序有多个较新版本可用时,设备会多次报告。
管理驱动程序更新的状态
查看策略 驱动程序列表时,可以选择单个更新来查看和修改其状态。
管理驱动程序更新的状态:
从驱动程序列表中选择更新,打开其 “管理驱动程序 ”窗格。 在以下屏幕截图中,我们选择了第一个驱动程序更新。 该驱动程序的“ 管理驱动程序 ”窗格在右侧打开。
在“ 管理驱动程序 ”窗格中,可以:
- 确认驱动程序更新的名称。
- 查看更新的状态。 屏幕截图中的更新状态为 “需要评审”。
- 查看已安装此更新版本的设备计数。 由于此驱动程序更新版本尚未获得批准,并且尚未在设备上安装,因此此计数显示为不适用。
- 选择 “操作” 的下拉框,可在其中选择一个操作来更改更新的状态。 新驱动程序更新的选项包括 拒绝 和 批准。
下面是用于管理驱动程序更新状态的规则:
- 只能为新驱动程序更新分配“ 需要评审”状态。 但是,添加到自动审批策略集的新 建议 更新将添加为 “已批准”。
- 需要评审的驱动程序更新可以是“已批准”或“已拒绝”。
- 可以暂停已批准的更新。
- 暂停的更新可以是“已批准”。
- 更新“ 已批准”后,永远无法 拒绝更新,但可以无限期 暂停 更新。
以下是有关每个状态的详细信息:
需求评审 - 此状态用于识别已添加到策略的新驱动程序。
对于使用手动审批的策略,需要评审同时适用于新的推荐驱动程序和新的其他驱动程序。 除非管理员明确批准新更新,否则他们不会部署到设备。
对于使用自动审批的策略:
- 新的 推荐驱动程序 将自动获得批准,并且不会触发 “需求评审”的显示。
- 非建议的驱动程序更新的新更新将添加到 “其他驱动程序 ”列表,并标记为 “需求评审”。 在管理员手动批准之前,更新将保持为 “需要评审 ”。
已批准 - 此状态标识已批准在适用设备上安装的更新。
提示
如果更新版本高于设备上当前驱动程序的版本,则 Windows 更新只会在设备上安装驱动程序更新。 因此,不存在策略安装旧版驱动程序和降级设备驱动程序版本的风险。
以下规则适用于更新的“已批准”设置:
具有自动审批的策略:所有新的 推荐 驱动程序更新都自动配置为 “已批准” ,并替换同一驱动程序的任何现有 建议 驱动程序更新。 自动批准后,更新将受策略延迟期的约束,然后才能将其安装在设备上。
当新的建议更新替换较旧的推荐驱动程序更新时,旧驱动程序更新将移动到 其他驱动程序 列表,但仍保持批准状态。 驱动程序列表位置的此更改非常重要,因为 Windows 更新仅在策略中部署任何驱动程序更新的最新已批准版本。 但是,如果暂停了最新的已批准版本,则 Windows 更新将部署下一个最新版本的驱动程序更新,该更新仍然获得批准并适用于设备。
具有手动审批的策略:对于需要手动批准的策略,必须编辑策略并管理新的更新,以将它们配置为 “已批准”。 设置为“已批准”后,可以配置名为“ 在 Windows 更新中可用”的设置。 在这里,必须指定一个日期,指示何时可以在适用设备上安装更新。 如果将此字段留空,则会立即批准在设备上安装更新。
重要
每当驱动程序更新的状态手动更改为“ 已批准”时,该更新的可用性 (即 Windows 更新将开始将其部署到设备的时间,) 由你为 Windows 更新中可用分配的日期定义。
在手动审批的策略和自动审批的策略中手动将更新设置为 “已 批准”时,此行为适用。 在具有自动批准的策略中,这包括手动批准其他更新列表中的 更新 ,或者在重新证明已暂停的建议更新时进行手动批准。
已暂停 – 当更新设置为 “已暂停”时,它将处于保留状态,并且不会通过此策略部署到任何其他设备,直到其状态手动更改回“已批准”。 暂停更新不会回滚已完成的更新安装,但可能会停止当前正在进行的更新的活动安装。
当你暂停已批准的更新的最新版本时,Windows 更新不再在设备下次扫描更新时向设备提供该更新。 但是,如果策略具有同一驱动程序的早期更新版本,但该驱动程序仍获得批准,则 Windows 更新将开始在适用的设备上安装该旧版本。
请考虑以下方案:你有一个具有自动审批的策略,设备打印机的建议更新 为版本 3。 此驱动程序更新在已安装且可用时间超过策略新驱动程序延迟期的所有设备上都成功。
在所有设备安装 版本 3 更新之前,会发布更新的较新版本,即 版本 4。 新的驱动程序更新版本 4 是建议的驱动程序,该驱动程序会在策略中自动批准。
当版本 4 成为新的推荐驱动程序时,版本 3 更新将移动到 其他驱动程序 列表,但仍保持批准状态。 由于版本 4 是最新版本,因此此策略会将版本 4 部署到设备,并在新驱动程序的策略延迟期结束时开始执行此操作。 在达到允许部署版本 4 的延迟期限之前,保持批准的以前的更新版本将继续部署到设备。
稍后,你选择暂停版本 4 更新。 Windows 更新会立即停止部署版本 4,并开始将版本 3 部署到尚没有驱动程序更新版本 3 或更高版本的设备。 之所以发生此部署,是因为版本 3 保持已批准状态,并且现在是策略中最新批准的打印驱动程序版本。 版本 3 的部署无需等待延迟期结束,因为之前批准的延迟时间比策略的当前延迟配置要长。
已拒绝 – 可以将驱动程序更新配置为拒绝,这样,它便无法显示为需要评审的新驱动程序。
将更新设置为“已拒绝”不会将其从策略中删除,如果希望将更新部署到适用的设备,可以将更新改回 “已批准 ”。
批量驱动程序更新
批量驱动程序更新允许用户一次性批准、暂停或拒绝设备的多个驱动程序。
如何使用批量驱动程序更新
登录到 Microsoft Intune 管理中心 ,转到 “设备>按平台>Windows>管理更新>Windows 10 及更高版本更新>驱动程序更新 ”选项卡,然后选择现有策略。 如果需要创建新策略,请参阅 创建 Windows 驱动程序更新策略。
在“驱动程序更新”页中,选择“ 批量操作”。
在 “选择操作 ”选项卡中,从“驱动程序操作”下拉列表中选择其中一个 操作 ; 批准、 暂停 或 拒绝 多个驱动程序。
如果选择需要更多信息的操作(例如,如果选择“ 批准”),则还需要使用“ 在 Windows 更新中可用”选择开始日期。 选择 下一步。
在 “选择驱动程序 ”选项卡中,使用 选择要包括的驱动程序 查看和选择可用的驱动程序。 此时会显示 “选择可用驱动程序 ”浮出控件。 显示的列表包括能够批准的驱动程序。 例如,状态为 “已暂停” 或“ 需要审阅”的驱动程序。 这是因为你可以 (重新) 批准 已暂停 或状态为 “需要评审”的驱动程序。 已批准的驱动程序将被筛选掉。
在 “选择可用驱动程序” 浮出控件中,还可以批量选择驱动程序。
注意
一次最多只能选择 100 个驱动程序。 如果选择的 100 个以上,然后选择“ 保存”,将显示错误消息。
选择 “保存” ,然后选择 “下一步”。
在“ 审阅 +保存 ”选项卡中,可以查看和保存所做的更改。
注意
不能混合操作。 例如,不能在一个操作中 暂停 和 批准 集。 必须单独执行每个操作。
批量驱动程序更新的优势
批量驱动程序更新可帮助用户更高效、更方便地管理驱动程序更新。 例如,用户可以在每月定期发布安全版本之前一起批准所有驱动程序,并安排它们从当天开始。