通过

Windows 更新管理概述

使 Windows 设备保持安全和最新是任何组织最重要的责任之一。 Microsoft Intune提供了一种基于云的 Windows 更新管理方法,使用户能够控制、可预测和尽量减少中断。

本概述介绍了Intune如何管理 Windows 更新、可用的策略类型,以及这些部分如何组合成完整的更新策略。

可以使用Intune执行的作

  • 在设备上配置更新设置,而无需管理单个修补程序。
  • 定义更新环以控制推出计时并降低风险。
  • 在你准备就绪之前,防止设备安装新功能版本,同时仍应用安全和质量更新。

Intune仅存储策略分配,而不存储更新本身。 保存策略时,Intune将配置详细信息发送到Windows 更新,这将决定提供哪些更新。 设备直接从Windows 更新下载更新。

Windows 更新管理功能

以下策略类型可帮助你在 Intune 中管理 Windows 更新:

Windows 更新客户端策略

配置基础 更新策略 CSP。 Intune通过更新通道和设置目录显示这些设置,使管理员能够灵活地在设备级别应用精细更新行为。

了解更多

更新环策略

将Windows 更新客户端策略应用于设备组。 更新通道控制延迟期限、截止时间、重启行为和用户体验设置,从而在整个环境中实现分阶段推出。

了解更多

功能更新策略

将设备锁定到特定的 Windows 版本 (例如,Windows 11 24H2) 。 这些策略可防止设备升级到目标版本之外,确保主要 OS 升级的一致性和控制。

了解更多

质量更新策略

提供每月累积更新以确保安全性和可靠性。 支持:

  • 热补丁:在不重新启动的情况下应用符合条件的安全修补程序,以减少停机时间。
  • 加速策略:通过替代延迟设置立即推送关键安全更新。

了解更多

驱动程序更新策略

从 Windows 更新 管理硬件驱动程序更新的交付。 驱动程序更新策略通过控制驱动程序的安装时间和方式,帮助确保设备的兼容性和稳定性。

了解更多

Windows Autopatch

Windows 自动修补是一种与Microsoft Intune集成的托管云服务,可帮助使 Windows 设备保持最新并受到保护。

自动修补使用功能更新策略、质量更新策略和驱动程序更新策略作为其策略图面。 这些策略类型基于支持 Windows 自动修补的同一云业务流程服务构建,并且还可用于Intune中,供想要在不注册自动修补设备的情况下管理更新的管理员使用。

自动修补添加了服务托管的功能,例如动态设备分组、分阶段推出、运行状况监视和报告。 对于符合条件的 Windows 版本,它还支持云支持的更新方案,例如热补丁和快速更新,只需最少的手动配置。

Intune中使用更新通道策略来配置Windows 更新行为,例如延迟、截止时间和重启设置。 对于已注册自动修补的设备,服务可以创建和管理更新通道,以实现推出节奏。

下表比较了使用自动修补和手动Intune配置时更新管理的差异:

功能 不使用自动修补时 使用自动修补时
更新协调 可以使用Intune策略手动控制计划、延迟和推出。 自动修补使用服务托管策略和推出逻辑来协调更新。
更新环策略 可以在 Intune 中配置更新环策略,以控制延迟、截止时间和重启行为。 自动修补可以创建和管理更新通道策略,以控制推出节奏和重启行为。 管理员不应将自定义更新通道策略分配给自动修补管理的设备。
功能更新策略 使用功能更新策略锁定或计划 OS 版本。 自动修补可自动管理版本目标和推出。
质量更新策略 手动配置质量更新策略、加速更新和热补丁设置。 自动修补可管理每月修补程序、加速关键更新,并自动为符合条件的设备应用热补丁。
驱动程序更新策略 使用驱动程序更新策略手动查看和批准驱动程序。 自动修补可自动管理驱动程序审批和计划。

详细了解 Windows 自动修补

先决条件

每种策略类型都有特定的先决条件,详见各自的文档。 通常:

  • 设备必须在Intune中注册。
  • 设备必须Microsoft Entra联接或混合联接。

    使用与 Windows 自动修补相同的后端服务(包括功能更新、质量更新和驱动程序更新)的任何策略类型都不支持已注册Microsoft Entra设备。
    对于 Entra 已注册的设备,更新管理仍仅限于Windows 更新客户端策略和更新环策略。

  • 设备必须有权访问Microsoft更新终结点。

功能更新策略、质量更新策略和驱动程序更新策略使用与 Windows 自动修补相同的云业务流程层。 自动修补自动执行这些策略,但在 Intune 中手动配置它们时,仍会调用同一后端服务,因此要求不会更改。 由于它们共享此服务,因此先决条件在以下三种策略类型中是相同的:

  • 许可:包含 自动修补权利的 Windows 许可证。

    如果在为需要 Windows 自动修补的功能创建新策略时被阻止,并且你通过企业协议 (EA) 获得使用Windows 更新客户端策略的许可证,请联系许可证的来源,例如Microsoft帐户团队或销售许可证的合作伙伴。 帐户团队或合作伙伴可以确认租户的许可证是否满足 Windows 自动修补许可证要求。 请参阅 使用现有 EA 启用订阅激活

    重要

    使用现有 EA 启用订阅激活 不适用于适用于 Windows 自动修补功能的 GCC 和 GCC High/DoD 云环境。

  • 遥测:诊断数据集设置为 “必需” 级别。

  • 服务:已启用Microsoft帐户 Sign-In 助手。

    如果服务已被阻止或设置为“已禁用”,则无法接收更新。 有关详细信息,请参阅提供其他更新时未提供功能更新。 默认情况下,服务设置为“手动(触发器启动)”,即允许根据需要运行服务。

  • Last updated on