在 Microsoft Intune 中加速 Windows 质量更新

使用 Windows 10 和更高版本策略的质量更新,可以在使用 Microsoft Intune 管理的设备上加快安装最新的 Windows 10/11 安全更新。 无需暂停或编辑现有的每月更新策略即可部署快速更新。 例如,当你的正常更新过程在一段时间内不部署更新时,可能会加快特定更新以缓解安全威胁。

并非所有更新都可以加速。 目前,只有可加速的 Windows 10/11 安全更新程序可以使用质量更新策略进行部署。 若要管理每月定期质量更新,请使用 Windows 10 及更高版本的更新通道策略

加速更新的工作原理

借助加速更新,可以加快质量更新的安装速度,例如最新的 补丁星期二 版本或针对零天缺陷的带外安全更新。

加速更新策略会暂时替代延迟和其他设置,以尽快安装更新。 此过程使设备能够启动快速更新的下载和安装,而无需等待设备检查更新。

设备启动更新所需的实际时间取决于设备 Internet 连接、扫描时间、设备通信通道是否正常运行以及云处理时间等因素。

  • 对于每个快速更新策略,可以选择基于其发布日期部署的单个更新。 通过使用发布日期,无需创建单独的策略来将更新的不同实例部署到具有不同 Windows 版本的设备,例如Windows 10版本 1809、1909 等。

  • Windows 更新评估每个设备的生成和体系结构,然后提供适用的更新版本。

  • 只有需要更新的设备才会收到加速更新:

    • Windows 更新不会尝试为已具有等于或大于更新版本的修订的设备加快更新。
    • 对于生成版本低于更新版本的设备,Windows 更新会在安装之前确认设备是否仍然需要更新。

    重要

    在某些情况下,Windows 更新安装的更新比你在加速更新策略中指定的更新还要新。 有关此方案的详细信息,请参阅本文后面的关于安装最新的适用更新

  • 加速更新策略会忽略并覆盖你部署的更新版本的任何质量更新延迟期。 可使用 Intune Windows 更新通道和“质量更新延迟期”设置来配置质量更新延迟。

  • 如果需要重启才能完成更新安装,该策略有助于管理重启。 在策略中,可以配置在策略强制执行自动重启之前用户必须重启设备的时间段。 用户还可以选择计划重启,或让设备尝试查找设备“使用时段”之外的最佳时间。 在到达重启截止时间之前,设备会显示通知,提醒设备用户这一截止时间,并提供计划重启的选项。

    如果设备未在截止时间之前重启,则重启可能会发生在工作日的中间。 有关重启行为的详细信息,请参阅强制执行更新的合规性截止时间

  • 对于正常的每月质量更新服务,不建议使用加速更新。 相反,请考虑使用 Windows 10 及更高版本的更新通道策略中的截止时间设置。 有关信息,请参阅 Windows 更新设置中用户体验设置下的“使用截止时间设置”。

先决条件

重要

GCC 和 GCC High/DoD 云环境中不支持此功能。

使用现有 EA 启用订阅激活 不适用于适用于 Windows 自动修补功能的 GCC 和 GCC High/DoD 云环境。

下面是使用 Intune 安装加速质量更新的资格要求:

许可

除了Intune许可证外,你的组织还必须具有以下订阅之一,其中包括 Windows 自动修补许可证:

  • Windows 10/11 企业版 E3 或 E5(包含在 Microsoft 365 F3、E3 或 E5 中)
  • Windows 10/11 教育版 A3 或 A5(包含在 Microsoft 365 A3 或 A5 中)
  • Windows 虚拟桌面访问 E3 或 E5
  • Microsoft 365 商业高级版

从 2022 年 11 月开始,将检查并强制执行 Windows 自动修补许可证。

如果在为需要 Windows 自动修补的功能创建新策略时被阻止,并且你通过企业协议 (EA) 获得使用Windows 更新客户端策略的许可证,请联系许可证的来源,例如Microsoft帐户团队或销售许可证的合作伙伴。 帐户团队或合作伙伴可以确认租户许可证满足 Windows 自动修补许可证要求。 请参阅 使用现有 EA 启用订阅激活

支持的 Windows 10/11 版本

  • x86 或 x64 体系结构上仍支持 Windows 10/11 服务版本

仅支持正式发布的更新版本。 加速更新不支持预览版(包括 Beta 版和开发频道)。

支持的 Windows 10/11 版本

  • 专业
  • 企业版
  • 教育
  • 专业教育版
  • 专业工作站版

设备必须满足以下条件

注意

Windows 11版本 24H2 及更高版本不能应用 KB 4023057,这仅适用于Windows 11版本 23H2 及更低版本。 升级到 24H2 会删除 KB 4023057,因此不再需要检查 KB 安装。

若要确认设备上是否存在更新运行状况工具,请执行以下步骤:

  • 查找文件夹 C:\Program Files\Microsoft Update Health Tools 或查看 ServicesAdd Remove Programs for Microsoft Update Health Tools
  • 作为管理员 (或从 Intune) 运行以下 PowerShell 脚本:
### Check for the Microsoft Update Health Service; if found, no remediation is needed.
if (Get-Service -Name "Microsoft Update Health Service" -ErrorAction SilentlyContinue) {
    Write-Host "Microsoft Update Health Service is present."
    Exit 0
} else {
    Write-Host "Microsoft Update Health Service is missing."
    Exit 1
}

如果脚本返回 1,则设备具有 UHS 客户端。 如果脚本返回 0,则设备没有 UHS 客户端。

设备设置

为了帮助避免可能阻止安装加速更新的冲突或配置,请按如下所示配置设备。 你可以使用 Intune Windows 10 及更高版本的更新通道策略来管理这些设置。

更新通道设置 建议的值
启用预发行版本 此设置应设为 未配置。 加速更新不支持预览版(包括 Beta 版和开发频道)。
自动更新行为 重置为默认值

其他值可能会导致用户体验不佳,并减缓加速更新的过程。
更改通知更新级别 使用除“关闭所有通知(包括重启警告)”外的任何值

有关这些设置的详细信息,请参阅策略 CSP - 更新

组策略设置会替代移动设备管理策略,并且下面列出的组策略设置可能会干扰加速策略。 在下列设置由组策略管理的设备上,将它们还原为设备默认值(未配置):

  • CorpWuURL - 指定 Intranet Microsoft 更新服务位置。
  • AutoUpdateCfg - 配置自动更新。
  • DeferFeatureUpdates - 选择预览版和功能更新的接收时间。
  • 禁用双重扫描 - 不允许更新延迟策略导致运行 Windows 更新扫描。

监视和报告

在监视加速更新的结果和更新状态之前,Intune租户必须启用数据收集

已加入工作区的设备的限制

Windows 10 的质量更新Intune策略及更高版本需要使用Windows 更新客户端策略和 Windows 自动修补。 如果Windows 更新客户端策略支持 WPJ 设备,则 Windows 自动修补提供了 WPJ 设备不支持的其他功能。

有关Intune Windows 更新策略的 WPJ 限制的详细信息,请参阅在 Intune 中管理Windows 10和Windows 11软件更新中的加入工作区的设备的策略限制

创建并分配加速质量更新

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“设备>管理更新>Windows 10及更高版本的更新>质量更新”选项卡“>创建配置文件”。

    创建配置文件 UI 的屏幕截图。

  3. 在“设置”中,输入以下属性来标识此配置文件

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。

    • 说明:输入配置文件的说明。 此设置是可选的,但建议设置。

  4. 在“设置”中,配置“如果设备 OS 版本低于此版本,则加速安装质量更新”。 从下拉列表中选择要加速的更新。 该列表仅包含可以加速的更新。

    提示

    可选的 Windows 质量更新无法加速,并且无法进行选择。

    更新选择 UI 的屏幕截图。

    选择更新时:

    • 更新按发布日期进行标识,并且每个策略只能选择一个更新。

    • 名称中包含字母 B 的更新表示更新是作为周二补丁日事件的一部分发布的。 字母 B 表示此更新是在当月第二个周二发布的。

    • 周二补丁日发布的带外 Windows 10/11 安全更新程序可以加速。 带外补丁版本具有不同的标识符,而不是字母 B。

    • 部署更新时,Windows 更新确保接收策略的每个设备都安装适用于该设备体系结构及其当前 Windows 版本(如版本 1809、2004 等)的更新版本。

    非安全性加速汇报:包括上一个 B/ Security 版本之后的质量修补程序。 管理员可以在设备上加快安装最新的适用质量更新,而无需等待延迟期。

    • 不带“SecurityUpdate”一词的汇报表示它不是安全更新程序。 名称中包含字母 D 的汇报标识自最新补丁星期二安全周以来发布的更新。 还可能会看到 2024.01 OOB 更新 (带外 修补程序版本) 。 Windows 每月更新说明

    • 仅当非安全更新是最新版本时才显示。 下拉列表将更新为显示最近的两个安全更新,包括一个是带外更新。 如果最新的非安全更新比最新的安全更新更新,则非安全更新也会包含在下拉列表中。 因此,有时显示两个更新,在其他时间显示三个更新。

      提示

      有关详细信息,请参阅博客 Windows 10 更新服务频率 - Microsoft 技术社区

    • 非安全性加速更新适用于Windows 11设备。 如果Windows 10设备分配给设置 D 版本的加速策略,则这些设备不会加速,并在以下报告中显示警报。

      • 报告>Windows 汇报>报表选项卡 >Windows 加速更新报告
      • 设备>管理更新>Windows 10及更高版本的更新>“监视”选项卡>“加速质量更新策略”磁贴,然后单击标题。
  5. 在“设置”中,配置“强制重启之前等待的天数”。 对于此设置,请选择安装更新后到设备自动重启以完成更新安装之间等待的时间。 可以选择零到两天。 如果在截止时间之前手动重启了设备,则自动重启会取消。 如果更新不需要重启,则不会强制实施此设置。

    • 设置为 0 天表示设备安装更新后,用户就会收到有关重启的通知,并且留给他们保存工作的时间有限

      重要

      此体验可能会影响用户的工作效率。 请考虑将其用于那些必须尽快完成并重启设备的设备或更新。

    • 设置为 1 天2 天,设备用户可灵活地在强制重启之前管理重启。 这些设置对应于在设备上安装更新后 24 或 48 小时的自动重启延迟。

      选择强制重启前几天的屏幕截图。

  6. 在“分配”中,选择“添加组”,然后选择要分配策略的设备或用户组

  7. 在“查看 + 创建”中,选择“创建”。 创建策略后,它将部署到分配的组。

确定最新的适用更新

在某些情况下,加速更新的策略会导致安装比策略中指定的更新还要新的更新。 如果较新的更新包括并超过指定的更新,并且在设备签入以安装在加速更新策略中指定的更新之前,此较新的更新可用,则会出现这种结果。 本文后面会提供这种情况的详细示例

安装最新的质量更新可减少对设备和用户造成的中断,同时实现预期更新的好处。 这样可以避免安装多个更新,因为每个更新可能需要单独重启。

满足以下条件时将部署最新的更新:

  • 设备未应用阻止安装最新更新的延迟策略。 在这种情况下,没有延迟的最新可用更新是可能安装的更新。

  • 在加速更新的过程中,设备将运行检测较新更新的新扫描。 这种情况可能会出现在以下时间:

    • 设备重启以完成安装时
    • 设备运行其每日扫描时
    • 新的更新可用时

    扫描发现最新更新时,Windows 更新将尝试停止安装原始更新、取消重启,然后开始下载并安装最新更新。

虽然快速更新策略将覆盖策略中指定的更新版本的更新延迟,但它们不会覆盖为任何其他更新版本设置的延迟。

安装加速更新的示例

以下事件序列提供了一个示例,说明名为 Test-1Test-2 的两个设备如何根据分配给设备的 Windows 10 及更高版本的质量更新策略来安装更新。

  1. Intune 管理员会在每月的第四个周二部署最新的 Windows 10 质量更新。 因此他们可以在周二补丁日事件后的两周内,在强制安装更新之前验证环境中的更新。

  2. 2021 年 1 月 19 日,设备 Test-1 和 Test-2 安装 1 月 12 日周二补丁日发布的最新质量更新。 第二天,这两台设备的用户都会关闭设备,因为他们要休假。

  3. 2 月 9 日,Intune 管理员创建策略以加速安装周二补丁日发布的“02/09/2021 - 2021.02 B Windows 10 安全更新程序”,帮助保护公司设备免受更新所解决的严重威胁。 加速策略分配给一组设备,其中包括 Test-1 和 Test-2。 处于活动状态的该组中的所有设备都将接收并安装加速更新策略。

  4. 在 3 月 9 日的周二补丁日事件中,新的质量更新发布为 03/09/2021 - 2021.03 B Windows 10 安全更新程序。 没有需要加速部署此更新的关键问题,但管理员确实发现了可能的冲突。 为了提供时间来查看可能的问题,管理员使用 Windows 更新通道策略来创建七天延迟策略。 在 3 月 14 日之前,所有托管设备都无法安装此更新。

  5. 现在根据重启 Test-1 和 Test-2 设备的时间,考虑这两台设备的以下结果

    • Test-1 - 3 月 12 日,Test-1 重启并连接到网络,然后收到加速更新通知

      1. 按照策略,Windows 更新确定 Test-1 仍然需要加速更新安装
      2. 由于 3 月 9 日的更新取代了 2 月的更新,因此 Windows 更新可以安装 3 月 9 日的更新。
      3. 3 月的更新有一个有效的延迟,直到 3 月 14 日才到期。

      结果:由于 3 月更新版的延迟策略仍然有效,并且阻止安装该更新,因此 Device-1 将安装策略中配置的 2 月更新版

    • Test-2 - 3 月 20 日,Test-2 重启并连接到网络,然后收到加速更新通知

      1. 按照策略,Windows 更新确定 Test-2 仍然需要加速更新安装
      2. 由于 3 月 9 日的更新取代了 2 月的更新,因此 Windows 更新可以安装 3 月 9 日的更新。
      3. 3 月更新版不再具有有效的延迟。

      结果:由于 3 月更新版的延迟策略已过期,Test-2 将安装最新的 3 月更新版,跳过 2 月更新版并安装比策略中指定的更新还要新的更新

管理策略以加速质量更新

在管理中心,转到“设备>按平台>Windows>管理更新>Windows 10及更高版本的更新>质量更新”选项卡,然后选择要管理的策略。 策略将打开到“概述”窗格。

从该窗格中,你可以:

  • 选择“删除”,从 Intune 中删除策略。 删除策略会将其从Intune但如果已完成安装,则不会导致更新卸载。 Windows 更新将尝试取消任何正在进行的安装,但无法保证成功取消正在进行的安装。

  • 选择“属性”以修改部署。 在“属性”窗格中,选择“编辑”以打开“设置”、“范围标记”或“分配”,然后你可以在其中修改部署

监视和报告

在监视加速更新的结果和更新状态之前,Intune租户必须启用数据收集

创建策略后,可以监视以下报告中的结果、更新状态和错误。

摘要报表

此报告显示配置文件中所有设备的当前状态,并概述有多少设备正在安装更新、已完成安装或出现错误。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“报告”>“Windows 更新”。 在“摘要”选项卡上,可以查看“Windows 加速质量更新”表。

  3. 若要深入了解更多信息,请依次选择“报告”选项卡和“Windows 加速更新报告”

  4. 单击“选择加速更新配置文件”链接。

  5. 从页面右侧显示的配置文件列表中,选择一个配置文件以查看结果。

  6. 选择“生成报告”按钮

设备报告

此报告有助于查找出现警报或错误的设备,并且有助于解决更新问题。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“设备”>“监视”。

  3. 在监视报告列表中,滚动到“软件更新”部分,然后选择“Windows 加速更新失败”

  4. 从页面右侧显示的配置文件列表中,选择一个配置文件以查看结果。

    设备报告的示例。

更新状态

更新状态 更新子状态 定义
Pending Validating 设备已添加到服务的策略中,并且确认设备是否可以加速的验证已开始。
Pending Scheduled 设备已通过验证,将会加速。
产品/服务 OfferReady 加速指令已发送到设备。
安装 OfferReceived 设备运行了 Windows 更新扫描,并且有更新可用,但未开始下载。
安装 DownloadStart 设备已开始下载更新。
安装 DownloadComplete 设备已下载更新。
安装 InstallStart 设备已开始安装更新。
安装 InstallComplete 设备已完成更新的安装。 除非更新出现更新错误,否则设备应快速移动到 RestartRequired 或 UpdateInstalled
安装 RestartRequired 安装已完成,需要重启。
安装 RestartInitiated 设备已开始重启。
安装 RestartComplete 设备已完成重启。
已安装 UpdateInstalled 更新已成功完成。

后续步骤