与 Windows 更新 for Business 集成

  • 项目

适用于: Configuration Manager(current branch)

Windows 更新 for Business (WUfB) 使你能够让组织中的Windows 10或更高版本的设备始终处于最新状态,并在这些设备直接连接到 Windows 更新 (WU) 服务时使用最新的安全防护和 Windows 功能。 Configuration Manager可以区分使用 WUfB 和 WSUS 获取软件更新的 Windows 计算机。

警告

如果对设备使用共同管理,并且已将Windows 更新策略移动到Intune,则设备将从Intune获取其适用于企业的Windows 更新策略

  • 如果Configuration Manager客户端仍安装在共同管理的设备上,则累积汇报和功能汇报的设置由 Intune 管理。 但是,如果在“客户端设置”中启用第三方修补,仍由Configuration Manager管理。

当Configuration Manager客户端配置为接收来自 WU(包括 WUfB 或 Windows 预览体验成员)的更新时,某些Configuration Manager功能不再可用:

  • Windows 更新合规性报告:

    • Configuration Manager将不知道发布到 WU 的更新。 配置为从 WU 接收更新的Configuration Manager客户端将在Configuration Manager控制台中显示这些更新未知

    • 排查总体符合性状态很困难,因为 未知 状态仅适用于未报告从 WSUS 返回的扫描状态的客户端。 现在,它还包括从 WU 接收更新的Configuration Manager客户端。

    • 定义汇报合规性是整体更新合规性报告的一部分,也不会按预期工作。

  • 基于更新符合性状态的 Defender 的整体 Endpoint Protection 报告不会返回准确的结果,因为缺少扫描数据。

  • Configuration Manager无法将Microsoft更新(如 Microsoft 365 应用版、IE 和 Visual Studio)部署到连接到 WUfB 以接收更新的客户端。

  • Configuration Manager仍可以将发布到 WSUS 并通过Configuration Manager管理的第三方更新部署到连接到 WUfB 以接收更新的客户端。 如果不希望在连接到 WUfB 的客户端上安装任何第三方更新,请禁用名为 “在客户端上启用软件更新”的客户端设置。

  • Configuration Manager使用软件更新基础结构的完整客户端部署不适用于连接到 WUfB 以接收更新的客户端。

识别使用 WUfB 进行 Windows 更新的客户端

使用以下过程标识使用 WUfB 获取 Windows 更新和升级的客户端。 然后将这些客户端配置为停止使用 WSUS 获取更新,并部署客户端代理设置以禁用这些客户端的软件更新工作流。

WUfB 的先决条件

  • 运行 Windows 10 Desktop Pro 或 Windows 10 企业版 Edition 版本 1511 或更高版本的客户端

  • 部署了 Windows 更新 for Business,客户端使用 WUfB 获取 Windows 更新和升级。

标识使用 WUfB 的客户端

  1. 如果以前已启用,请确保 Windows 更新 代理未针对 WSUS 进行扫描。 以下注册表项可用于指示计算机是针对 WSUS 扫描还是Windows 更新。 如果注册表项不存在,则不会针对 WSUS 进行扫描。

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer

  2. Configuration Manager资源资源管理器中的Windows 更新节点下有一个新属性 UseWUServer

  3. 为通过 WUfB 连接的所有计算机创建基于 UseWUServer 属性的集合,以便进行更新和升级。 可以基于类似于以下查询的查询创建集合:

    Select sr.* from SMS_R_System as sr join SMS_G_System_WINDOWSUPDATE as su on sr.ResourceID=su.ResourceID where su.UseWUServer is null

  4. 创建客户端代理设置以禁用软件更新工作流。 将设置部署到直接连接到 WUfB 的计算机集合。

  5. 通过 WUfB 管理的计算机将在符合性状态中显示 “未知 ”,并且不会计入总体符合性百分比。

为 Business 配置Windows 更新延迟策略

可以为由 Windows 更新 企业版直接管理的 Windows 设备配置Windows 10或更高版本的功能汇报或质量汇报延迟策略。 可以在“软件库>”“Windows 服务”下的“业务策略新Windows 更新”节点中管理延迟策略。

注意

可以为 Windows 预览体验成员设置延迟策略。
有关 Windows 预览体验计划的详细信息,请参阅 适用于企业的 Windows 预览体验计划入门

延迟策略的先决条件

  • Windows 10版本 1703 或更高版本
  • 由 Windows 更新 for Business 管理的Windows 10或更高版本的设备必须具有 Internet 连接

创建适用于企业的Windows 更新延迟策略

  1. 软件库>Windows 服务中>Windows 更新业务策略
  2. 在“主页”选项卡上的“创建”组中,选择“创建业务策略Windows 更新”,打开“创建业务策略Windows 更新向导”。
  3. 在“ 常规 ”页上,提供策略的名称和说明。
  4. 在“延迟策略”页上,配置是延迟还是暂停功能汇报。 功能汇报通常是 Windows 的新功能。 配置分支就绪级别设置后,可以定义是否以及是否要延迟接收功能汇报从Microsoft接收功能。

    • 分支就绪级别:设置设备将接收 Windows 更新的分支。 选择Semi-Annual频道 (目标) 、Semi-Annual频道或 Windows 预览体验成员版本。

      注意

      半年频道的策略部署到Windows 10版本 1903 或更高版本。 将半年频道 (定向) 的策略部署到Windows 10版本 1809 或更低版本

      如果将半年频道 (定向) 的策略部署到Windows 10版本 1903 或更高版本,则部署将失败并出现错误0x8004100c

    • 延迟期 (天) :指定功能汇报延迟的天数。 可以从发布后最多 365 天内延迟接收这些功能汇报。

    • 暂停功能汇报开始:选择是否暂停设备接收功能汇报,自暂停更新起最多 35 天。 最长天数过后,暂停功能将自动过期,设备将扫描 Windows 汇报以查找适用的更新。 在此扫描之后,你可以再次暂停更新。 可以通过清除复选框来取消暂停功能汇报。

  5. 选择是延迟还是暂停质量汇报。 质量汇报通常是对现有 Windows 功能的修复和改进,通常在每个月的第二个星期二发布,但可以通过Microsoft随时发布。 可以定义是否以及要延迟接收质量汇报遵循其可用性的时间。
    • 延迟期 (天) :指定质量汇报将延迟的天数。 这些质量汇报自发布之日起最多可以推迟 30 天。
    • 暂停质量汇报开始:选择是否暂停设备接收质量汇报,自暂停更新起最多 35 天。 最长天数过后,暂停功能将自动过期,设备将扫描 Windows 汇报以查找适用的更新。 在此扫描之后,你可以再次暂停更新。 可以通过清除复选框来取消暂停质量汇报。
  6. 选择“安装来自其他Microsoft产品的更新”以启用组策略设置,使延迟设置适用于Microsoft更新以及 Windows 汇报。
  7. 选择“包含具有Windows 更新的驱动程序”,从 Windows 汇报自动更新驱动程序。 如果清除此设置,则不会从 Windows 汇报下载驱动程序更新。
  8. 完成向导以创建新的延迟策略。

部署适用于企业的Windows 更新延迟策略

  1. 软件库>Windows 服务中>Windows 更新业务策略
  2. 在“主页”选项卡上的“部署”组中,选择“部署业务策略Windows 更新”。
  3. 配置以下设置:
    • 要部署的配置策略:选择要部署的 Windows 更新 for Business 策略。
    • 集合:单击“ 浏览 ”以选择要在其中部署策略的集合。
    • 允许在维护时段外修正:如果已为要部署策略的集合配置了维护时段,请启用此选项,让策略设置在维护时段外修正值。 有关维护时段的详细信息,请参阅 如何使用维护时段
    • 计划:指定在客户端计算机上评估部署的策略所依据的符合性评估计划。 计划可以是简单计划,也可以是自定义计划。
  4. 完成向导以部署策略。