在 Intune 中管理 Windows 10 和 Windows 11 软件更新
使用 Microsoft Intune 管理从适用于企业的 Windows 更新安装 Windows 10/11 软件更新。
使用适用于企业的 Windows 更新可以简化更新管理体验。 通过配置更新推出策略,您便无需为设备组批准单个更新,并可以管理环境中的风险。 使用 Intune,可以在设备上配置更新设置并延迟配置更新安装。 你还可以阻止设备从新的 Windows 版本安装功能以帮助其保持稳定,同时允许这些设备继续安装质量和安全性更新。
Intune 只存储更新策略分配,而不存储更新本身。 保存策略时,Intune 会将配置详细信息传递到 Windows 更新,然后 Windows 更新将确定向每台设备提供哪种更新。 设备直接访问 Windows 更新以进行更新。
在 Windows 文档中详细了解 Windows 功能和质量更新。
用于管理更新的策略类型
Intune 提供以下策略类型来管理你分配给设备组的更新:
Windows 10 及更高版本的更新通道:此策略是一系列设置,用于在安装运行 Windows 10 和 Windows 11 更新的设备时进行配置。 对运行 Windows 10 版本 1607 或更高版本和 Windows 11 的设备支持更新通道策略。 有关详细信息,请参阅 更新通道策略。
Windows 10 及更高版本的功能更新:使用 功能更新 策略将设备更新到指定的 Windows 版本,然后冻结这些设备上的功能集版本。 在您选择更新到更高版本的 Windows 版本之前,此版本冻结将保持不变。 尽管该功能版本保持不变,但设备仍可继续安装适用于其功能版本的质量和安全更新。
还可以使用功能更新策略将运行Windows 10的设备升级到 Windows 11。
Windows 10 及更高版本的质量更新:使用 Windows 10 及更高版本的质量更新(也称为加速更新),你可以尽快在使用 Intune Microsoft 管理的设备上安装最新的 Windows 10 和 Windows 11 安全更新。 无需暂停或编辑现有的每月服务策略即可完成快速安装。 有关详细信息,请参阅 加速更新策略。
Windows 10 及更高版本的驱动程序更新:使用 intune Microsoft 中的 Windows 驱动程序更新管理,你可以查看、批准部署和暂停托管 Windows 10 和 Windows 11 设备的驱动程序更新部署。 策略可以自动为你安装最新推荐的驱动程序,或等待管理员手动批准驱动程序,然后再安装这些驱动程序。 Intune 和适用于企业的 Windows 更新 (WUfB) 部署服务 (DS) 处理繁重的工作,以确定分配有驱动程序更新策略的设备适用的驱动程序更新。 有关详细信息,请参阅 驱动程序更新策略。
已加入工作区的设备的策略限制
Microsoft引入了云服务作为适用于企业的 Windows 更新产品系列的一部分, 适用于企业的 Windows 更新部署服务 (WUfB ds) 。 作为云服务,WUfB ds 支持要求设备具有Microsoft Entra 注册 (AADJ 设备) 的设备更新功能。 工作区加入 (WPJ) 设备不支持这些功能。 WPJ 设备上的 Windows 更新管理仍通过适用于 企业的核心 Windows 更新 (WUfB) 功能和 适用于 Windows 10 及更高版本的 Intune 更新通道 策略类型提供支持。
Windows 更新的以下 Intune 策略类型使用 WUfB ds,这会阻止它们在 WPJ 设备上提供支持:
- Windows 10 及更高版本的驱动程序更新
- Windows 10 及更高版本的功能更新
- Windows 10 及更高版本的质量更新
如果使用 Intune 支持 WPJ 设备,以下信息可帮助你了解 WPJ 设备和 AADJ 设备基于策略类型的功能差异。
功能 | 通过更新通道策略的 WUfB |
通过驱动程序、功能和质量更新策略的 WUfB-ds |
---|---|---|
WPJ 设备支持 | 是 | 否 |
AADJ 设备支持 | 是 | 是 |
扫描更新和重启计划 | 是 | 使用更新圈策略管理计划 |
强制实施更新截止时间 | 是 | 使用更新通道策略强制实施截止时间 |
控制要安装的更新 |
功能:是 - 按指定天数 延迟所有功能更新质量:是 - 按指定天数 延迟所有质量更新驱动程序:是 - 允许或阻止所有推荐的驱动程序 - 不支持其他驱动程序 |
功能:是 - 管理 单个 更新 - 指定 开始日期 或 逐步推出 开始和结束日期。 质量:使用更新圈策略 驱动程序:是 - 管理单个推荐驱动程序和其他驱动程序。 |
暂停更新 |
功能: - 暂停所有更新 质量: - 暂停所有更新 驱动程序: - 阻止所有更新 |
功能: - 暂停单个更新 质量: - 暂停单个更新 驱动程序: - 暂停单个更新 |
加快质量更新 | 否 | 是 |
报告 - 设备的摘要计数: - 功能更新 - 质量更新 |
WUfB 报表 | WUfB 报表 |
报告 - 详细状态: - 每个更新 |
WUfB 报表 | 是,Intune 中 |
从更新通道延迟移动到功能更新策略
使用 Intune 管理 Windows 更新时,可以使用带有更新延迟的更新通道策略和功能更新策略来管理要在设备上安装的更新。 如果你使用的是功能更新,则建议停止使用更新通道策略中配置的延迟。 将更新通道延迟与功能更新策略结合使用可能存在一定难度,从而延迟更新安装。 你可以继续使用更新通道中的用户体验设置,因为它们与功能更新策略结合使用时并不会产生问题。
尽管确实可以使用这两种策略类型来控制可在设备上安装的更新,但这样做通常没有好处。 当这两种策略类型都应用于一个设备时,必须在设备上同时满足这两种策略类型的条件(为 true),然后才能为设备提供适用的更新。 此情况可能导致由于某个策略类型的阻止而无法按预期安装更新。
计划转换
计划管理从使用更新通道延迟到功能更新的更改,以便 Windows 更新服务可以准备好部署所需的更新。
创建或修改 Windows 更新的 Intune 策略时,Intune 会将策略详细信息传递到 Windows 更新,后者随后会为每台分配了一个或多个更新策略的设备确定适用的更新。
评估设备更新的过程可能需要 10 分钟,某些情况下可能需要更长的时间。
如果在将延迟设置为零或将其删除后,但在 Windows 更新完成功能更新策略的处理之前,设备开始扫描更新,则可以向该设备提供未计划安装的更新
使用以下过程来确保 Windows 更新在删除延迟之前已处理了功能更新策略。
切换到功能更新策略
在 Microsoft Intune 管理中心,创建配置所需 Windows 版本的 功能更新策略 ,并将其分配给适用的设备。
将已保存的策略分配给设备后,Windows 更新将需要几分钟时间来处理该策略。
在继续操作之前,请查看 Windows 10 功能更新 (组织) 报告,并验证设备是否处于 OfferReady 状态。 所有设备均显示“OfferReady”后,Windows 更新便已完成对该策略的处理。
验证设备处于“OfferReady”状态后,你可以安全地为同一设备集重新配置 Windows 10 及更高版本更新通道策略,以将“功能更新延迟期(天)”设置更改为值 0。
更新报表
若要了解更新通道策略和 Windows 功能更新策略的报表选项,请参阅 Windows 更新报告。
后续步骤
- 使用 Windows 更新通道
- 使用 Windows 功能更新
- 加快质量更新
- 使用 Windows 驱动程序更新策略
- 关详细信息,请参阅 Windows 文档中使用“适用于企业的 Windows 更新”管理更新。