Windows 质量更新策略

Windows 策略更新策略允许部署热补丁更新。 热补丁更新旨在减少停机时间和中断。 热补丁更新是 每月 B 发布的安全更新 ,无需重启设备即可安装并生效。 通过最大程度地减少重启需求,这些更新有助于确保更快的合规性,使组织更容易维护安全性,同时保持工作流不中断。

热补丁是Windows 更新的扩展,要求自动修补创建热补丁并将其部署到在自动修补质量更新策略中注册的设备。

主要优势

  • 热补丁更新简化了安装过程并提高合规性效率。
  • 无需对现有更新通道配置进行更改。 现有的环形配置与热补丁策略一起使用。
  • 热补丁质量更新报告提供接收热补丁更新的所有设备的当前更新状态的按策略级别视图。

先决条件

若要从热补丁更新中受益,设备必须满足以下先决条件:

作系统配置先决条件

若要准备设备以接收热补丁更新,请在设备上配置以下作系统设置。 必须将这些设置配置为向设备提供热补丁更新并应用所有热补丁更新。

基于虚拟化的安全性 (VBS)

必须打开 VBS 才能为设备提供热补丁更新。 有关如何设置和检测是否启用了 VBS 的信息,请参阅 基于虚拟化的安全性 (VBS)

注意

设备可能暂时不合格,因为它们未启用 VBS,或者当前未处于最新基线版本。 若要确保所有 Windows 设备都已正确配置为符合热补丁更新的条件,请参阅 热补丁更新疑难解答

Arm 64 设备必须禁用编译的混合 PE 用法 (CHPE) (Arm 64 CPU 仅限)

重要

Arm 64 设备支持以公共预览版提供

若要确保应用所有热补丁更新,必须设置 已编译的混合可移植可执行文件 (CHPE) 禁用标志,并重启设备以禁用 CHPE 使用。 只需设置此标志一次。 注册表设置仍通过更新应用。

此要求仅适用于使用热补丁更新时的 Arm 64 CPU 设备。 热补丁更新与服务 CHPE OS 二进制文件不兼容。

若要禁用 CHPE,请创建和/或设置以下 DWORD 注册表项:

路径: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1

若要详细了解 CHPE,请参阅 此处

注意

在启用了 CHPE 的 Arm64 设备上,没有支持热补丁更新的计划。 仅 Arm64 设备需要禁用 CHPE。 AMD 和 Intel CPU 没有 CHPE。

如果选择不再使用热补丁更新,请清除 CHPE 禁用标志 (HotPatchRestrictions=0) 然后重启设备以启用 CHPE 用法。

不符合条件的设备

不满足一个或多个先决条件的设备会自动接收最新累积更新 (LCU) 。 最新累积更新 (LCU) 包含每月更新,这些更新取代包含安全和非安全版本的上个月的更新。

LCU 要求重启设备,但 LCU 可确保设备完全安全且合规。

注意

如果设备不符合热补丁更新的条件,则会向这些设备提供 LCU。 LCU 会保留配置的更新通道设置,不会更改设置。

发布周期

有关热补丁更新的发布日历的详细信息,请参阅 热补丁发行说明

  • 基线:包括最新的安全修补程序、累积新功能和增强功能。 需要重启。
  • 热补丁:包括安全更新。 无需重启。
季度 基线更新 (需要重启) 热补丁 (无需重启)
1 一月 2 月和 3 月
2 四月 5 月和 6 月
3 7 月 8 月和 9 月
4 10 月 11 月和 12 月

2025 Windows 11 企业版 或 Windows Server 上的热补丁

注意

热补丁也可用于Windows Server和Windows 365。 有关详细信息,请参阅适用于 Windows Server Azure Edition 的热补丁

Windows 11 和 Windows Server 2025 之间的热补丁更新类似。

  • Windows 自动修补管理Windows 11更新
  • 适用于 Windows 2025 Datacenter/Standard Editions 的Azure 更新管理器和可选 Azure Arc 订阅 (本地) 管理Windows Server 2025 Datacenter Azure Edition。 有关详细信息,有关Windows Server和Windows 365,请参阅适用于 Windows Server Azure Edition 的热补丁

每年计划的日历日期、8 个热补丁月和 4 个基准月对于所有支持热补丁的作系统 (OS) 相同。 例如,一个 OS (可能会有额外的基线月,例如,Windows Server 2022) ,而另一个 OS 有热补丁月,例如 Server 2025 或 Windows 11 版本 24H2。 查看 Windows 版本运行状况 中的发行说明以保持最新状态。

注册设备以接收热补丁更新

注意

如果使用自动修补组,并且希望设备接收热补丁更新,则必须创建热修补策略并向其分配设备。 启用热补丁更新不会更改应用于自动修补组中设备的延迟设置。

若要注册设备以接收热补丁更新,请执行以下作:

  1. 转到Intune管理中心
  2. 从左侧导航菜单中选择“设备”。
  3. “管理更新 ”部分下,选择“ Windows 更新”。
  4. 转到“ 质量更新 ”选项卡。
  5. 选择“ 创建”,然后选择“ Windows 质量更新策略”。
  6. “基本信息 ”部分下,输入新策略的名称,然后选择“下一步”。
  7. “设置” 部分下,将 “如果可用,则应用而不重启设备 (”热补丁“) 设置为 ”允许”。 然后,选择“下一步”
  8. 选择适当的“作用域”标记或保留为“默认”。 然后,选择“下一步”
  9. 将设备分配到策略,然后选择“ 下一步”。
  10. 查看策略并选择“ 创建”。

这些步骤可确保正确配置 有资格 接收热补丁更新的目标设备。 不符合条件的设备 (LCU) 提供最新的累积更新。

注意

启用热补丁更新不会更改托管设备上现有的截止时间驱动或计划的安装配置。 延迟和可用小时数设置仍适用。

回滚热补丁更新

不支持热补丁更新的自动回滚,但你可以卸载它们。 如果热补丁更新遇到意外问题,可以通过卸载热补丁更新并安装最新的标准累积更新 (LCU) 并重启进行调查。 卸载热补丁更新很快,但确实需要重启设备。

监视和报告

创建 Windows 质量更新策略并启用热补丁更新后,可以从报表中监视结果、热补丁部署状态和错误。

热补丁质量更新

此报表显示所有已启用热补丁更新的设备的目标设备总数和当前更新状态。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“Windows 自动修补”部分下的“报告 > Windows 质量更新”。

  3. 在“ 报表 ”选项卡上,选择“ 热补丁质量更新报表”。

Windows 质量更新分发

此报表显示不同质量更新版本的设备分布情况。 对于热补丁适用的汇报,可以看到热补丁和标准质量更新内部版本号都显示。 请注意,与标准版本相比,由于包含修补程序的子集,热修补版本编号较低。 可以在“此更新”列中为每个版本选择“ 设备 ”,以查看设备及其相应更新的详细列表。

若要转到设备,

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“报告 > Windows 更新”。

  3. 在“报表”选项卡上,单击“Windows 质量更新分发报告”。

选择“ 更新类型 ”以选择质量更新版本。 每个功能版本报表的 Windows 质量更新分发的“内部版本号”列显示热补丁和Standard版本。