通过

Microsoft Intune 中的 Windows 驱动程序更新管理

  • 项目

使用 Microsoft Intune 中的 Windows 驱动程序更新管理,你可以查看、批准部署和暂停托管 Windows 10 和 Windows 11 设备的驱动程序更新部署。 Intune 和适用于企业的 Windows 更新 (WUfB) 部署服务 (DS) 处理繁重的工作,以确定分配有驱动程序更新策略的设备适用的驱动程序更新。 Intune 和 WUfB-DS 按类别对更新进行排序,这些类别可帮助你轻松识别所有设备的建议驱动程序更新,或者可能被视为可选更新,但用途更有限。

使用 Windows 驱动程序更新策略,你可以控制哪些驱动程序更新可以在设备上安装。 可以执行下列操作:

  • 启用自动批准建议的驱动程序更新。 为自动审批设置的策略会自动批准和部署每个新驱动程序更新版本,这些版本被视为分配给策略的设备 的建议驱动程序 。 建议的驱动程序通常是驱动程序发布者发布的最新驱动程序更新,发布者已将其标记为 必需。 未标识为当前推荐驱动程序的驱动程序也作为 其他驱动程序提供,可将其视为可选的驱动程序更新。

    稍后,当发布来自 OEM 的较新驱动程序更新并将其标识为当前 建议 的驱动程序更新时,Intune 会自动将其添加到策略,并将以前推荐的驱动程序移到其他驱动程序列表中。

    提示

    由于较新的推荐驱动程序更新可用,已批准的推荐驱动程序更新将移到 其他驱动程序 列表,该更新仍为已批准。 当有较新的推荐和批准的驱动程序更新可用时,WUfB-DS 将仅安装最新批准的版本。 如果暂停最新批准的更新版本,部署服务将自动提供下一个最新且已批准的更新版本,该版本现在位于 其他驱动程序 列表中。 此行为可确保已批准的上一个已知良好的驱动程序更新版本可以继续安装在设备上,而较新的建议版本将保持暂停状态。

    使用此策略配置,还可以选择查看可用更新,以便有选择地批准、暂停 或拒绝任何 仍可用于具有策略的设备更新。

  • 将策略配置为要求手动批准所有更新。 此策略可确保管理员必须先批准驱动程序更新,然后才能部署它。 具有此策略的设备驱动程序更新的较新版本会自动添加到策略,但在获得批准之前保持非活动状态。

稍后,当建议为策略中的设备提供来自 OEM 的较新驱动程序更新时,策略状态会更新,以指示存在等待评审的驱动程序。 此状态将成为一种行动号召,用于查看策略并决定是否要批准将最新的驱动程序部署到设备。

  • 管理已批准部署的驱动程序。 可以编辑任何驱动程序更新策略,以修改已批准部署的驱动程序。 可以暂停部署任何单个驱动程序更新以停止其部署到新设备,然后重新提供暂停的更新,使 Windows 更新能够继续在适用的设备上安装它。

无论包含何种策略配置和驱动程序,都只能在设备上安装已批准的驱动程序。 此外,Windows 更新仅当版本比设备上当前安装的版本更新时,才会安装最新的可用和已批准的更新。

Windows 驱动程序更新管理适用于:

  • Windows 10
  • Windows 11

先决条件

重要

GCC 云环境不支持此功能。

使用现有 EA 启用订阅激活 不适用于适用于 WuFB-DS 功能的 GCC 和 GCC High/DoD 云环境。

若要使用 Windows 驱动程序更新管理,你的组织必须具有以下许可证、订阅和网络配置:

订阅

  • Intune:租户需要 Microsoft Intune 计划 1 订阅。

  • Microsoft Entra IDMicrosoft Entra ID 免费 (或更高版本的) 订阅。

Windows 订阅和许可证

你的组织必须具有以下订阅之一,其中包含适用于企业的 Windows 更新部署服务的许可证:

  • Windows 10/11 企业版 E3 或 E5(包含在 Microsoft 365 F3、E3 或 E5 中)
  • Windows 10/11 教育版 A3 或 A5(包含在 Microsoft 365 A3 或 A5 中)
  • Windows 虚拟桌面访问 E3 或 E5
  • Microsoft 365 商业高级版

查看你的订阅详细信息,了解 Windows 11 的适用性

如果在为需要 WUfB-DS 的功能创建新策略时被阻止,并且你通过企业协议 (EA) 获得使用 WUfB 的许可证,请联系许可证的来源,例如Microsoft帐户团队或销售许可证的合作伙伴。 帐户团队或合作伙伴可以确认租户的许可证是否满足 WUfB-DS 许可证要求。 请参阅 使用现有 EA 启用订阅激活

设备 & 版本要求

Windows 版本

以下 Windows 10/11 版本支持驱动程序更新:

  • Pro 版
  • 企业
  • 教育
  • 专业工作站版

注意

不支持的版本
Windows 10/11 企业版 LTSC:Windows 10 及更高版本 边栏选项卡下提供的功能更新、驱动程序更新和加速质量更新策略不支持长期 服务通道 (LTSC) 版本。 计划在 Intune 中使用更新通道策略。

设备必须满足以下条件

  • 运行仍处于支持状态的 Windows 10/11 版本。

  • 在 Intune MDM 中注册,并且已加入混合 AD 或Microsoft Entra 联接。

  • 启用遥测并将其配置为报告 Windows 文档中对 Windows 诊断数据收集的更改中定义的基本最低数据级别。

    可以使用以下 Intune 设备配置文件路径之一为 Windows 10 或 Windows 11 设备配置遥测:

    • 设备限制模板:使用此配置文件,将 “共享使用情况数据” 设置为 “必需”。 也支持可选
    • 设置目录:从“设置”目录中,添加“允许系统”类别中的“遥测”,并将其设置为“基本”。 还支持 Full

    有关 Windows 遥测设置的详细信息(包括 Windows 中的当前和过去的设置选项),请参阅 Windows 文档中对 Windows 诊断数据收集的更改

  • “Microsoft 帐户登录助手”(wlidsvc) 必须能够运行。 如果服务已被阻止或设置为“已禁用”,则无法接收更新。 有关详细信息,请参阅提供其他更新时未提供功能更新。 默认情况下,服务设置为“手动(触发器启动)”,即允许根据需要运行服务。

  • 有权访问 Intune 托管设备所需的网络终结点。 请参阅 网络终结点

为报表启用数据收集

若要支持 Windows 驱动程序更新报告,必须在 Intune 中启用 Windows 诊断数据的使用。 可能已为其他报表启用了诊断数据,例如 Windows 功能更新和加速质量更新报告。 若要启用 Windows 诊断数据的使用,请执行以下操作:

  1. 登录到 Microsoft Intune 管理中心 ,然后转到 租户管理>连接器和令牌>Windows 数据

  2. 展开 “Windows 数据 ”,并确保“ 启用需要处理器配置中 Windows 诊断数据的功能 ”设置已切换为 “开”。

有关详细信息,请参阅 启用通过 Intune 使用 Windows 诊断数据

GCC 高支持

GCC High 环境当前不支持驱动程序更新的 Intune 策略。

RBAC 要求

若要管理 Windows 驱动程序更新,必须为你的帐户分配基于角色的访问控制 (RBAC) 角色,该角色包含以下权限:

  • 设备配置
    • Assign
    • 创建
    • 删除
    • 查看报表
    • 更新
    • 阅读

可以将具有一个或多个权限 的设备配置 权限添加到自己的自定义 RBAC 角色,或使用内置 策略和配置文件管理员 角色,其中包括这些权限。

有关详细信息,请参阅 Microsoft Intune 的基于角色的访问控制

已加入工作区的设备的限制

适用于 Windows 10 及更高版本的驱动程序更新 的 Intune 策略要求使用适用于企业的 Windows 更新 (WUfB) 和 适用于企业的 Windows 更新部署服务 (WUfB ds) 。 在 WUfB 支持 WPJ 设备的情况下,WUfB ds 提供 WPJ 设备不支持的其他功能。

有关 Intune Windows 更新策略的 WPJ 限制的详细信息,请参阅在 Intune 中管理 Windows 10 和 Windows 11 软件更新中的加入工作区设备的策略限制

体系结构

Windows 驱动程序更新管理的概念图。

Windows 驱动程序更新管理体系结构

  1. Microsoft Intune 向 WUfB-DS 提供设备的 Microsoft Entra ID 和 Intune 策略设置。 Intune 还为 WUfB-DS 提供驱动程序审批和暂停命令的列表。
  2. WUfB-DS 根据 Intune 提供的信息配置 Windows 更新。 Windows 更新为每个设备 ID 提供适用的驱动程序更新清单。
  3. 设备将数据发送到Microsoft以便 Windows 更新可以在设备定期扫描更新期间识别设备的适用驱动程序更新。 设备上安装任何已批准的更新。
  4. WUfB-DS 将 Windows 诊断数据报告回 Intune 以获取报告。

规划驱动程序更新

在创建策略和管理策略中的驱动程序审批之前,我们建议构建一个驱动程序更新部署计划,其中包括可以批准驱动程序和固件更新的团队成员。 要考虑的主题包括:

  • 何时使用 自动 驱动程序审批与 手动 驱动程序审批。

  • 使用驱动程序更新策略的部署圈来限制新驱动程序更新的安装,以测试设备组,然后再在所有设备上广泛安装这些更新。 使用此方法,团队可以在广泛部署更新之前在早期圈中识别潜在问题。 使用环可以让你有时间在后续通道中暂停麻烦的更新,以延迟或阻止其部署。 环的组织方法示例包括:

    • 为不同的设备和硬件模型构建驱动程序更新策略,使其与组织单位保持一致,或者二者兼而有之。

    • 使用自动更新的策略延迟期和手动批准的更新 的可用日期 ,以与质量和功能更新计划保持一致。

    还可以设置手动批准的更新的更新可用性,以匹配常见的更新周期,例如Microsoft的补丁星期二版本。 计划一致有助于减少某些驱动程序更新所需的额外系统重启。

  • 仅将设备分配给一个驱动程序更新策略,以帮助防止设备通过多个策略管理其驱动程序。 这可以帮助避免在以前在单独的策略中拒绝或暂停同一更新时由一个策略安装驱动程序。 有关规划部署的详细信息,请参阅 Windows 部署文档中的 创建部署计划

常见问题

驱动程序更新策略是否支持分配筛选器?

  • 不正确。 分配筛选器当前不支持驱动程序更新。

是否可以在 Autopilot 期间应用驱动程序更新策略?

  • 不正确。 目前,autopilot 期间不支持驱动程序更新。

是否可以使用策略回滚驱动程序更新?

  • 不正确。 WUfB 当前不支持驱动程序回滚。 虽然回滚可以编写脚本,但潜在变量太多,无法提供一个有用的示例脚本来执行此操作。 如果必须删除驱动程序,请考虑使用 PowerShell 等手动方法。

为了帮助避免需要从大量设备回滚驱动程序的问题,请使用 部署环 将驱动程序安装限制为小型初始设备组。 此方法允许在组织中广泛部署驱动程序之前,有时间评估驱动程序的成功或兼容性。

  • 对于具有手动批准的策略,必须先查看并手动批准每个驱动程序,然后才能将其部署到设备。 虽然比使用自动审批的策略工作更多,但手动审批可以帮助避免自动批准的驱动程序出现问题。
  • 如果使用具有自动审批的策略,请计划监视策略是否存在问题的早期迹象。 如果在早期部署圈中发现了驱动程序更新问题,则可以在其他策略中暂停相同的更新。

是否可以通过多个驱动程序更新策略管理设备?

  • 虽然支持为每个设备使用多个策略,但我们不建议这样做。 相反,我们建议将设备添加到单个策略,以避免混淆设备的驱动程序是否获得批准。

    请考虑从两个策略接收驱动程序更新的设备。 在一个策略中,特定更新得到批准,而另一个策略中,该更新将暂停。 由于 “已批准 ”状态始终获胜,因此驱动程序会在设备上安装,尽管该更新的任何其他状态是在任何其他策略中设置的。

如何在接收驱动程序更新的设备上减少重启?

  • 由于 OEM 何时发布新更新或该更新需要重新启动,因此并不总是提前明确,因此请考虑定期更新评审模式。

    • 对于手动批准的策略,当你批准驱动程序并设置 审批可用日期时,可以将该日期设置为事件,例如每月补丁星期二或你选择的任何其他时间。
    • 对于具有自动审批功能的策略,可以暂停新添加的策略,然后返回批准它。 重新提供任何暂停的更新时,可以设置 批准可用日期

    为了帮助缓解此类重复挑战,我们评估了一些更改,这些更改可以缓解使用 补丁星期二 更新手动协调驱动程序更新的需要。

为什么某个驱动程序从策略中的可用驱动程序列表中消失?

  • 当 OEM 将驱动程序替换为新的推荐驱动程序时,旧驱动程序可以移动到 “其他驱动程序 ”类别。 但是,如果旧版驱动程序与所有设备使用的驱动程序版本相同或更早,则会从策略中完全删除该驱动程序,因为没有设备可以通过驱动程序更新策略安装它。

如何从策略的驱动程序列表中删除较旧的驱动程序?

  • 为确保可用驱动程序列表是最新的,在策略目标的所有设备上,版本早于已安装版本的驱动程序不再适用。 这些较旧的驱动程序将从以前部署的和活动的策略的驱动程序列表中删除。 只有可以更新当前安装在策略目标设备上的驱动程序版本的驱动程序保留在策略中。

    无法通过驱动程序更新管理安装比设备上已有的版本更旧版本的驱动程序。

WUfB-DS 同步频率是多少?

  • Intune to WUfB-DS 同步每天运行,你可以使用 “同步” 选项按需运行同步。 完成同步的时间取决于所涉及的设备信息,但通常只需几分钟即可完成。

    设备每天在运行 Windows 更新扫描时与 WUfB-DS 服务同步。

哪些驱动程序可供管理?

  • 当前发布到 Windows 更新并适用于策略中的一个或多个设备的任何驱动程序更新都可通过驱动程序更新策略获得。

更新密码锁定的 BIOS 的驱动程序呢? 这是如何工作的?

  • 发布到 Windows 更新的更新要求使用 Windows 机制,该机制可实现安全更新固件或驱动程序,而无需解锁 BIOS/UEFI。

如果供应商有自己的应用用于扫描和安装驱动程序和固件更新,则其应用与 WUfB-DS 之间的更新可用性是否有延迟?

  • 延迟的可能性取决于确定其更新可用性的供应商或 OEM。 由于驱动程序更新在发布到 Windows 更新之前由同一门户进行数字签名,因此驱动程序更新可能会在通过供应商工具提供之前通过 Windows 更新提供。

为什么我的设备安装了未通过更新策略的驱动程序更新?

  • 这些可能是 扩展 驱动程序,它们是主驱动程序安装或更新主驱动程序时可以引用安装的“子驱动程序”。 扩展驱动程序显示在设备上已安装的驱动程序或更新历史记录中,但无法直接管理。 由于扩展驱动程序在没有基本驱动程序的情况下无法正常运行,因此可以安全地允许它们进行安装。

暂停的更新实际暂停的速度有多快?

  • 暂停是尽力而为,当暂停更新时,WUfB-DS 会删除审批。 但是,在下次扫描更新之前,设备不会知道更新已暂停。
    • 如果设备尚未扫描更新,则不会提供暂停的更新,并且 “暂停” 按预期工作。
    • 如果设备扫描更新并发现更新已暂停,并且设备正在下载、安装或等待重启,则设备上的 Windows 更新将尝试“尽最大努力”删除安装该驱动程序更新。 如果无法停止安装,更新将完成安装。
    • 如果更新在下次扫描更新之前完成安装,则不会发生任何操作,并且更新仍会保持安装状态。

在哪里可以了解有关可用驱动程序的详细信息?

  • 可以通过复制名称并搜索 catalog.update.microsoft.com 网站来获取有关驱动程序的详细信息。

驱动程序更新策略是否更新插件设备的驱动程序?

  • 是,如果驱动程序更新由 OEM 供应商发布到 Windows 更新。

我的设备用户可以看到哪些驱动程序更新?

  • 将设备分配到驱动程序更新策略后,不会向最终用户显示可选驱动程序。 当管理员批准驱动程序更新时,它会有效地成为“必需”,并在设备下次扫描更新时安装。

如果我当前使用 Configuration Manager 进行更新,如何使用驱动程序管理?

可以继续将 Configuration Manager 用于驱动程序以外的更新,或开始将其他更新类型一次移动到 Intune 中的云管理。 为此,请先在 Configuration Manager 层次结构中启用 云附加 或共同管理,以便在 Intune 中注册托管设备。

采用基于云的更新的建议和首选路径是将 Windows 更新 工作负载移动到 Intune。 如果组织尚未准备好执行此操作,可以通过完成以下步骤,在 Intune 中使用驱动程序和固件管理功能,而无需移动工作负载:

注意

以下过程仅适用于托管的 Windows 11 设备,并且受支持。 对于 Windows 10 设备,建议将 Configuration Manager 共同管理设置中的 Windows 更新工作负载移动到 Intune。 或者,将 Windows 更新工作负荷配置为“试点”设置,并指定包含作用域内 Windows 10 托管设备的集合。

  1. Windows 更新 工作负载设置为 Configuration Manager。

  2. 在 Intune 中配置驱动程序策略,以注册设备并使其准备好进行管理,详见 使用 Microsoft Intune 管理 Windows 驱动程序更新的策略

  3. 配置基于域的组策略,以使用指定特定 Windows 更新类的源策略将 Windows 更新配置为驱动程序更新的源

    注意

    由于 Configuration Manager 使用本地组策略来配置更新源策略,因此使用 Intune 或 CSP 尝试配置这些相同的设置会导致设备状态未定义且不可预知。

  4. 在 Intune 中为要向其部署驱动程序和固件的设备启用 数据收集

  5. [可选]强制允许使用策略提交诊断数据。 将诊断数据提交到 Microsoft 允许 对 Microsoft Intune 使用 Windows 更新报告

    注意

    默认情况下,Windows 设备上允许向Microsoft提交诊断数据。 禁用诊断数据收集可防止使用 Microsoft Intune 的 Windows 更新报告来报告托管设备的任何更新信息。

    使用基于域的组策略或 Intune 将 “允许诊断数据 ”设置配置为 “可选 ”或“ 必需 ”。 有关如何完成此任务的详细信息,请转到:

  6. [可选]在诊断数据中启用设备名称收集。 有关使用基于域的组策略或 Intune 进行配置的详细信息,请参阅 诊断数据要求

    注意

    使用 Intune 配置前面提到的任何诊断数据设置都需要将 设备配置 共同管理工作负荷移动到 Intune。

可以通过在 Intune 中配置 功能更新 策略,并使用指定特定 Windows 更新类的源策略组策略将 功能更新 设置设置为 Windows 更新 ,将功能更新管理移动到 Intune 中的 云。

在 Intune 中使用“质量”或“功能更新”中的“更新通道”策略需要将 Windows 更新 工作负载移动到 Intune。

有没有办法为司机设置最后期限?

质量更新截止时间和宽限期设置适用于驱动程序。

以下是有关何时对司机应用截止时间的更多详细信息:

  • 驱动程序被批准 (手动或自动) 日期可用。 这显示为“第一个部署”。
  • 首次或初始扫描时,会向设备提供已批准的驱动程序。 客户端的更新扫描最初发现更新的日期也是截止时间的开始日期和时间。
  • 质量和功能更新的截止时间计算基于客户端的更新扫描最初发现更新的时间。 请参阅 强制实施更新的合规性截止时间

如何为驱动程序设置延迟?

  • 更新通道策略中为质量更新设置的延迟期限不适用于使用驱动程序更新策略批准的驱动程序。 请改用驱动程序策略中的延迟设置来设置延迟。 事实上,强烈建议使用具有不同延迟设置的多个驱动程序策略来创建驱动程序部署圈。 请记住,仅将设备分配给一个驱动程序策略。

更新通道策略中的用户体验设置是否应用于驱动程序更新?

  • 是的,用户体验设置(如自动更新行为、活动时间、通知等)也适用于驱动程序更新。

为什么返回驱动程序更新清单最多需要 24 小时?

  • 若要使驱动程序清单可用,必须完成几个步骤。 最重要的是,提交策略并注册设备进行管理后,Windows 更新必须等待每台设备执行每日更新扫描。 此过程每天发生,因此所有正常设备最多可能需要 24 小时才能签入。 在此之后,Intune 需要处理扫描结果,以提供可用驱动程序更新的清单。

后续步骤