采用Microsoft 365应用的服务配置文件
服务配置文件允许使用自动化直接从 Office 内容分发网络 (CDN) 向Microsoft 365 企业应用版传送每月更新。 通过与全球企业的广泛一对一互动,我们构建了本文,引导你了解在环境中启用服务配置文件的最佳做法,并讨论为你和组织带来的好处。
注意
服务配置文件已弃用,并替换为 云更新。 如果Microsoft 365 应用版管理中心中尚不提供云更新,请登录到中心,然后选择右上角区域中的“提供反馈”按钮。 选择任何选项,输入要切换到云更新和Email的注释。 选择“提交”。 我们会尽快与你联系。
本文内容:
- 使用服务配置文件的好处
- 有关采用服务配置文件的两种方法的分步指南
- 深入了解设备选择条件的工作原理
- 启用服务配置文件后设备会发生什么情况
注意
以上和以下所有内容仅适用于Microsoft 365 应用版更新。 此功能不会替换、修改或影响用于部署其他更新(例如 Windows 更新)的现有解决方案。
使用服务配置文件的好处
使用服务配置文件比通用更新管理工具具有多种优势:
改进了安全货币: 对于企业环境,我们通常会看到大约 66% 的安全货币。 这意味着,在每月“补丁星期二”之后,租户内设备上大约 66% 的Microsoft 365 应用版已使用最新的安全更新进行修补。 在服务配置文件中,我们看到该货币升值超过 90%。 这意味着,新服务有助于更快、更广泛地减少环境中的已知威胁。
增加的覆盖范围: 常见的更新管理工具通常受目录服务的边界限制。 例如,设备必须加入 Active Directory,才能由给定的解决方案进行管理。 使用服务配置文件,你将打破此障碍,并可以管理租户激活的所有Microsoft 365 应用版实例,并让租户中的Microsoft Entra用户登录。 设备是加入 Active Directory、Microsoft Entra ID、注册到Microsoft Entra ID还是保持工作组模式并不重要。
利用云: 作为真正的基于云的服务,服务配置文件不依赖于任何本地基础结构。 无论设备位于何处,如果它可以连接到云,则可以对其进行服务。
轻松载入: 如果设备属于) 后面文章 (阐述的服务配置文件范围,它将自动替代任何其他 Office 更新管理机制。 无需先将Microsoft 365 应用版从其他管理解决方案分离。 如果设备超出服务配置文件的范围,则会还原以前的更新管理控制。 服务配置文件只会更改 Office 更新的处理方式,其他所有 (例如,如何管理 Windows 或 Edge 更新) 保持不变。 总之,设备可以由两个解决方案同时管理,而不会发生任何冲突。
确定是否要通过更新通道或使用Microsoft Entra组来采用服务配置文件
一些管理员希望分步采用服务配置文件,并监视一切是否顺利运行,而不是同时为所有设备启用服务配置文件。 分阶段采用该功能的常见方法有两种:
通过更新通道: 使用此方法时,服务配置文件首先面向一小部分更新通道。 它会忽略其他通道上的所有设备。 这允许你一次将一个频道迁移到两个 每月企业频道 ,并通过服务配置文件进行管理。 随着时间的推移,可以扩展通道选择,直到覆盖所有通道并移动所有设备。
通过Microsoft Entra组:替代方法是使用Microsoft Entra组将服务配置文件限制为仅应用于指定的设备或用户。 这允许你在更精细的级别上将设备添加到范围。
若要确定哪种方法最适合你,请查看每个更新通道安装Microsoft 365 应用版数:
- 确保Microsoft 365 应用版管理中心中的清单已启用并运行至少一周,以便大多数设备已注册到其中。
- 导航到Microsoft 365 应用版管理中心的“安全更新状态”页,向下滚动并查看每个通道的设备数。
如果你愿意同时迁移频道上的所有设备,这是适合你的方法。 如果想要小批量迁移设备,应按组Microsoft Entra。 例如,如果你在给定通道上有数千台设备,并且你想要迁移它们(例如,三个批次来限制更改),则情况就可能如此。
如何使用“按更新通道”方法设置服务配置文件
如果要分步采用服务配置文件,可以先针对单个更新通道来执行此操作。 这些设备上的Microsoft 365 应用版将迁移到每月企业频道并自动更新。 可以在门户中监视进度,并随着时间的推移添加其他更新通道,以增加覆盖范围。
- 登录到 Microsoft 365 应用版 管理中心。 确保在环境中满足使用服务配置文件 的要求 。
- 导航到 “服务>每月企业 ”,然后通过选择“ 入门”启动向导。 再次选择“ 下一步 ”转到“ 设备选择条件 ”页。
- 启用服务配置文件时,每月企业频道上的设备会自动成为目标。 右上角的图表概述了当前所选内容将面向多少台设备。
- 选择要在第一批中面向的所有更新通道的检查框。 通常,我们首先将每月企业频道和 Beta 频道和当前频道 (预览版) 作为目标。 批量更新后,我们会扩展到当前频道,然后扩展到 Semi-Annual 企业频道,包括预览版。
- 查看并调整其他选择条件。
- 选择“ 下一步 ”转到 “更新排除日期 ”页。 如果需要,请输入排除日期。
- 选择“ 下一步 ”转到 “更新截止时间 ”页。 建议使用默认设置来平衡用户体验并快速达到安全合规性。 详细了解截止时间的工作原理。
- 选择“ 下一步 ”查看配置,然后选择“ 创建配置文件 ”以执行操作。
创建后,服务配置文件将开始计算哪些设备属于所选条件。 完成此操作后,它开始指示联机的设备更新到最新的每月企业频道版本。 查看“设备”选项卡上的进度。可能需要几个小时才能看到第一波设备移动,因此请定期查看仪表板。 如果更新在给定设备上失败,请参阅“ 问题 ”选项卡上的更多详细信息。
几天后,大部分目标设备应已更新到最新的Microsoft 365 应用版版本。 如果一切顺利,请转到 “设置” 选项卡并添加其他更新通道,将更多设备迁移到服务配置文件。
如何使用“按Microsoft Entra组”方法设置服务配置文件
如果要在更精细的步骤中采用服务配置文件,请使用Microsoft Entra组将目标限制为特定设备集。 这些设备上的Microsoft 365 应用版将迁移到每月企业频道并自动更新。 可以在门户中监视进度,并随着时间的推移将其他Microsoft Entra组或设备添加到现有组,以增加覆盖范围。
- 创建一个或多个要用于定位的Microsoft Entra组。 将三种类型的项添加到一个组中,并可以将它们混合:
- 设备:这些设备必须Microsoft Entra联接或Microsoft Entra混合联接,并且Microsoft 365 应用版管理中心内的清单中已知。
- 用户:根据激活数据,服务配置文件标识清单中的哪些设备具有由指定的用户帐户激活的Microsoft 365 应用版安装。 这也将涵盖在共享计算机激活模式下运行的设备,其中指定的用户已登录并使用Microsoft 365 应用版。
- Microsoft Entra组:使用嵌套组,例如将组的管理委托给业务部门。 最多支持三个级别嵌套。
- 登录到 Microsoft 365 应用版 管理中心。 确保在环境中满足使用服务配置文件 的要求 。
- 导航到 “服务>每月企业 ”,然后通过选择“ 入门”启动向导。 再次选择“ 下一步 ”转到“ 设备选择条件 ”页。
- 在顶部,选择“选择要包含的组”,并添加要面向的Microsoft Entra组。 这将定义应用剩余选择条件后将面向的最大设备集。
- 示例:指定具有两个设备的Microsoft Entra组,一个在当前频道上运行,另一个在每月企业频道上运行。 如果在“频道”部分中仅选择“每月企业 频道 ”,则只会将一台设备添加到服务配置文件的范围,因为另一台设备与所有选择条件不匹配。 如果清单中该通道上有更多设备,则目标仍仅限于Microsoft Entra组中的一台设备。
- 启用服务配置文件时,每月企业频道上的设备将自动成为目标。 右上角的图表概述了当前所选内容可以面向多少台设备。
- 查看并调整其他选择条件。
- 选择“ 下一步 ”转到 “更新排除日期 ”页。 如果需要,请输入排除日期。
- 选择“ 下一步 ”转到 “更新截止时间 ”页。 建议使用默认设置来平衡用户体验并快速达到安全合规性。 详细了解截止时间的工作原理。
- 选择“ 下一步 ”查看配置,然后选择“ 创建配置文件 ”以执行操作。
创建后,服务配置文件将开始计算哪些设备属于所选条件。 完成此操作后,它开始指示联机的设备更新到最新的每月企业频道版本。 查看“设备”选项卡上的进度。可能需要几个小时才能看到第一波设备移动,因此请定期查看仪表板。 如果更新在给定设备上失败,请参阅“ 问题 ”选项卡上的更多详细信息。
几天后,大部分目标设备应已更新到最新的Microsoft 365 应用版版本。 如果一切顺利,请转到“设置”选项卡并添加其他Microsoft Entra组,或者直接将设备或用户添加到组以扩大范围。 建议考虑在某个时候删除Microsoft Entra组筛选器,同时涵盖未加入Microsoft Entra的设备。
使用服务配置文件的最佳做法
下面是使用服务配置文件管理更新的一些最佳做法:
- 与其他云服务或Microsoft Configuration Manager一样,服务配置文件是异步服务。 创建或更改配置时,服务会在后台处理输入。 用户界面 (尤其是“ 设备 ”选项卡) 不会立即反映所做的更改。
- 更改配置 (选择条件、更新截止时间、客户推出波次等 ) 后,让服务有一段时间来处理更改。 在此处理过程中,你可能会看到配置文件中的设备数下降,因为服务会重新计算设备的范围和状态。 然后,设备以几百个或数千个设备批量添加回范围。 此过程可能需要几个小时才能完成,具体取决于环境中的设备总数。
- 这也适用于发布新更新时。 最初,服务配置文件将重置为零个设备,并且设备将随着时间的推移重新添加到服务配置文件。
- 建议在引入下一个更改之前先让每个更改完成计算。 在此过程中要有耐心。
- 暂停或恢复服务配置文件时也是如此。 允许服务处理更改,并且不要快速连续暂停/恢复服务。 暂停服务配置文件不会停止设备上已启动的更新安装,但会阻止服务向设备发送新的更新命令。
- 触发回滚时,同样适用。 配置回滚操作后,服务需要时间来处理更改,并等待设备检查以发送回滚命令。
- 使用Microsoft Entra组来包括或排除设备或创建自定义推出波次时,建议将每个组的成员数限制为 20,000 个。 可以指定多个组。 此外,处理多个较小的组比处理单个大型组要快。 建议使用两个组,每个组包含 20,000 个成员,而不是使用一个具有 40,000 个成员的Microsoft Entra组。
选择器的工作原理
服务配置文件提供了多个选择器,使你能够面向正确的设备集。 选择并保存选择器后,服务配置文件会根据这些设备检查清单中列出的每个设备。 任何给定设备都必须匹配要添加到配置文件的所有选定条件。 如果设备未通过检查,则不会添加它,即使它通过了其他检查。
- 组:此选择器允许指定一个或多个Microsoft Entra组。 支持嵌套组。 若要通过检查,必须满足以下两个条件之一:
- 对于设备:这些Microsoft Entra混合联接 (也称为 HAADJ) 或Microsoft Entra联接 (也称为 AADJ) 并列在清单中。
- 对于用户:清单中指定用户激活Microsoft 365 应用版安装的所有设备都会传递检查。 对于这种情况,不需要将设备加入任何目录服务。
- 渠道:此选择器检查Microsoft 365 应用版当前安装的更新通道。 若要传递检查,设备必须运行已选择的Microsoft 365 应用版更新通道。
- 磁盘空间: 此选择器检查清单中报告的可用磁盘空间。 若要传递检查,设备必须具有比指定更多的可用磁盘空间。
- 宏: 此选择器检查清单是否在过去 30 天内报告了宏使用情况。 如果在过去 30 天内至少打开了一个包含宏的文件,清单将保留二进制“是/否”信息。
- 加载项:此选择器检查清单是否已报告设备上安装了加载项。 清单包含详细的加载项安装数据,但这是一个二进制“是/否”检查。 它仅基于加载项的存在,而不是实际使用情况。
如何将服务配置文件应用于设备
创建服务配置文件后,服务将预先计算应面向的设备数。 所有设备都会定期连接到 Microsoft 365 应用版 管理中心,并检查挂起的操作或上传更新的清单。 服务配置文件面向的设备将收到命令,开始对最新的每月企业频道版本执行更新。 这些设备还将接收命令,指示本地 Office 更新引擎忽略来自其他管理解决方案的命令。 这仅限于Microsoft 365 应用版更新;所有其他管理任务 (报告清单、运行安装、更新其他产品) 保持不变。
设备收到执行更新的命令后,它将使用 Office CDN、 传递优化以及可能可用的连接缓存或对等互连来下载并应用更新。 如果由于打开 Microsoft 365 应用而无法应用更新,它会在后台、设备重新启动期间或设备锁定且操作系统处于空闲状态时以静默方式重试以执行此操作。 如果在达到指定的截止时间之前无法应用更新,则用户会收到多个提示,提示关闭应用程序并应用更新。 大约 48 小时后,用户将收到包含倒计时的最终通知。 当达到零时,将保存打开的文档,关闭并更新应用程序,然后重新打开并重新加载文档。 但在大多数情况下,挂起的更新可以在后台以无提示方式应用,而无需提示用户。
门户接收有关这些步骤的状态信息,管理员将看到设备从 “未启动” 转换为“ 正在进行” ,最后转换为 “更新 ”。 如果设备上发生错误,则会在门户中相应地对其进行标记并重新应用。 在大多数情况下,失败与更新下载有关;例如,当下载处于活动状态时设备关闭时。
更新设备后,它们将保持此状态,直到 Microsoft 向每月企业频道发布下一个更新。 然后,该服务将自动重新计算每个设备所需的操作,并开始将这些操作分发给设备。 默认情况下,这会在四天内以波形发生,以减少对网络的影响。 启动每月更新周期不需要手动操作。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈