通过

Microsoft Intune 中 Windows 10 和 Windows 11 的更新通道疑难解答

本文提供有关排查Windows 更新圈设置问题的指导,以确保它们已成功传送到组织的 Windows 10 或 Windows 11 设备。 更新圈设置管理 Windows 设备安装操作系统(OS)更新的方式和时间。 有关更新通道策略的详细信息,请参阅 Intune 中适用于 Windows 10 及更高版本的策略的更新通道。

如果在将更新通道策略部署到具有 Microsoft Intune 的 Windows 10 或 11 设备时遇到问题,最好先确定问题是 Intune 还是与 Windows 相关。 在进行故障排除之前,请务必考虑 Intune 策略是否已成功部署到目标设备。

本指南中包含一些部署见解,以突出显示 OS 和策略更新的工作原理。 当其他故障排除工作不提供所需结果时,可以独立于其他人执行以下步骤。

Windows 更新环策略执行的操作

Windows 更新环策略仅定义更新策略,例如阻止驱动程序安装、设置延迟期或设置维护时间。 更新通道策略不提供更新的基础结构本身。 这意味着该策略需要使用现有的更新解决方案(如适用于企业的 Windows 更新(WUFB)来获取实际更新。

Windows 更新 Intune 中创建的环策略使用用于更新 Windows 设备的 Windows 策略 CSP。 Intune 将Windows 更新环策略部署到分配的设备后,策略配置服务提供程序(CSP)会将相应的值写入 Windows 注册表,以使策略生效。

了解这些策略执行的操作后,可以验证更新通道设置是否已成功应用。

验证是否满足先决条件

有多种方法可以验证更新通道设置是否已成功应用。 通常,Intune 管理中心中的状态已足够,但在排查相关问题时,其他验证方法可能会有所帮助。

若要开始,请查看 OS 先决条件。 有关详细信息,请参阅 Intune 中适用于 Windows 10 及更高版本的策略的“先决条件”部分,以帮助查看。

运行 Windows 10 版本 1607 或更高版本或 Windows 11。

版本:

  • Windows 10/11 专业版

  • Windows 10/11 企业版

  • Windows 10/11 团队(适用于 Surface Hub 设备)

  • Windows Holographic for Business:仅支持 Windows 更新的一部分设置,包括:

    • 自动更新行为
    • Microsoft产品更新
    • 服务通道(任何正式版的更新版本)

    有关详细信息,请参阅 使用 Intune 在 Windows Holographic 和 HoloLens 设备上管理和使用不同的设备管理功能。

  • 企业长期服务渠道 (LTSC)

注意

更新通道还可用于将符合条件的 Windows 10 设备升级到 Windows 11。 创建策略时,导航到 Windows 10 及更高版本的设备>Windows>更新通道,然后将升级 Windows 10 设备配置为最新的 Windows 11 版本设置为“是”。

Intune 管理中心中的故障排除

排查策略问题的最佳做法始终是在 Intune 管理中心检查其状态。

导航到适用于 Windows 10 及更高版本的设备>Windows>更新通道,然后选择要查看的更新通道策略。 你将找到更新通道策略的默认视图,其中包括有关策略的基本详细信息、设备和用户签入状态的报告选项、策略的属性、其分配以及策略中包括和排除的设备组

若要访问特定设备并对分配给它的更新通道策略进行故障排除, 设备和用户签入状态 部分是最佳选项。

Intune 管理中心的“更新通道概述”页的屏幕截图。

确认更新通道策略已成功应用于设备的建议方法是选择 特定更新通道策略页上的“查看报告 ”按钮。 该报表显示分配有策略的所有设备的列表及其各自的状态。 此列表可用于快速确定特定设备是否已收到更新策略。

有关更新通道策略的报告体验的详细信息,请参阅适用于 Microsoft Intune 的 Windows 更新 报表的 Windows 10 和更高版本的更新通道策略部分。

更新通道策略报告的屏幕截图。

查看受影响设备的更新通道策略。 策略可以有两个条目,具体取决于所管理的设备类型。 当 Intune 部署策略(任何策略,而不仅仅是更新通道策略)时,这些设置将同时针对登录用户和设备的系统上下文传递。 这会导致出现两个条目,这是一个正常情况。 但是,如果使用 Autologon 或本地帐户用户类型管理展台设备,则只会显示系统帐户。

有关详细信息,请参阅 Intune 设备符合性策略的“监视结果”的“查看报告”部分。 若要检查策略是否已成功应用于设备,请参阅 “设备配置 ”报告。 如果出现问题或确认策略已成功应用,请验证目标设备上的设置。

验证设备上的设置

若要确认策略已在本地应用到设备,请导航到“设置帐户>访问”>工作或学校。 如果策略由组织管理,则包含从 Intune 应用到设备的策略列表。

“组织管理”窗格中设备上策略的屏幕截图。

若要查看组织在 Windows 设备上管理的策略,请导航到“设置”>Windows 更新>“高级选项>”配置更新策略。

Windows 更新窗格中“高级”选项的屏幕截图,其中突出显示了“配置的更新策略”选项。

验证策略类型是否为移动设备管理

“已配置更新策略”窗格的屏幕截图,其中“在活动时间开始时设置”设置,其中显示了移动设备管理作为类型。

移动设备管理 (MDM) 解决方案配置更新策略,在此方案中为 Intune。 但是,更新策略可以来自本地 Active Directory,该本地 Active Directory将组策略作为策略类型。

“配置的更新策略”窗格的屏幕截图,其中显示了“允许通过按流量计费的连接自动下载更新”设置,其中显示了组策略作为类型。

MDM 和组策略之间的常见冲突

Intune MDM 策略和组策略(GPO)之间的混合部署可能会产生冲突。 许多组策略是旧的和缓存的,你不知道它们仍然存在。 此外,某些组策略可能来自 System Center Configuration Manager(SCCM)。

使用 gpresult 命令验证通过 GPO 传递的策略的最佳方式。

示例设备的 gpresult 输出的屏幕截图。

如果策略源为“本地组策略”,则 SCCM 可以设置它。 如果不是,请从 Active Directory 基础结构编辑组策略对象以删除冲突值。

在更新过程中,MDM 和组策略之间的策略冲突显示为意外情况。 更新要么根本不应用,要么将应用,但采用计划外的方式。 例如,设备可能停滞在早期版本的 Windows 上,无法升级。

可以使用 CSP 解决 ControlPolicyConflict 其中一些冲突。 通常,如果更新过程未按预期工作,请调查策略冲突。 有关详细信息,请参阅 策略 CSP - ControlPolicyConflict

[注意!] ControlPolicyConflict CSP 不适用于用于管理 Windows 更新的更新策略 CSP。

确认是否已更新正确的注册表项

如果 Intune 成功将Windows 更新环策略部署到目标设备,这些设置会显示在注册表编辑器的下方HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Update

示例注册表的屏幕截图,其中显示了“更新”文件夹中已成功部署的策略。

这些值应与 Intune 的更新通道策略中部署的策略 CSP 说明和配置匹配

检查 MDM 诊断报告

验证是否已将更新通道策略部署到设备的另一种方法是检查 MDM 诊断报告。 在 Windows 设备上,导航到“设置>帐户>访问”工作或学校,然后选择“导出”按钮。 报告包括 Intune 部署的策略。 如果更新通道策略在报告中,则已成功部署策略。

MDM 诊断报告示例的屏幕截图。

查看 Intune 事件的事件查看器日志

查看事件查看器日志,了解策略 CSP 数据如何实时传送到设备。 在设备上,导航到事件查看器应用程序,然后转到“应用程序和服务”日志>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin。

事件查看器中“管理员”窗格的屏幕截图,其中突出显示了“部署到设备的策略”。

无法部署的策略(设置操作)将显示错误或警告。

可选的故障排除方法

某些实例可能需要从设备端(而不是 Intune)对更新通道策略进行故障排除。

查看Windows 更新客户端

使用 Windows 更新 客户端时,可能会出现一些错误,并帮助确定下一步要执行的操作。 例如,你可能会看到更新已成功下载,这表示问题与下载更新无关。 其他问题包括,在工作负载切换到 Intune 后,设备无法扫描 Windows 更新的 URL 以获取新下载,或者设备仍在针对 Windows Server Update Services(WSUS)进行扫描。

若要访问事件查看器,请在设备上在 Windows 开始菜单中找到事件查看器应用,然后选择 Windows>WindowsUpdateClient Microsoft>应用程序和服务日志>

事件查看器中“Windows 更新已成功找到六个更新”消息的屏幕截图。

Windows 更新客户端的屏幕截图,其中显示了有关阻止更新检查的错误0x80072EE6的通知。

检查Windows 更新注册表项源

通过查看Windows 更新(WU)源注册表项来监视 Windows 端。 Intune 仅负责将值部署到以下注册表配置单元:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Update

若要查看设备上Windows 更新的其他配置设置,请访问注册表编辑器应用并导航到以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU 的注册表编辑器的屏幕截图。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 的注册表编辑器的屏幕截图。

在此处找到有关可能来自组策略的已部署策略的其他信息。 例如,注册表项和Windows 更新服务可以指向 WSUS 而不是 WU 服务器,同时禁用双重扫描。 服务错误目录将导致设备扫描 WSUS 而不是 WU。 有关详细信息,请参阅结合使用适用于企业和 WSUS 的 Windows 更新。

注意事项

如果上述选项未提供识别问题所需的结果,并且设备仍未更新,或者正在不规范地执行此操作,请考虑以下问题:

  • 是否为设备启用了报告和遥测? Intune 可以通过多种方式将遥测数据传送到设备。 但是,通过 Intune 最常见的方法是使用 设备限制策略。 否则,也可以通过组策略完成。

    有关详细信息,请参阅在组织中配置 Windows 诊断数据的组策略和 MDM 部分管理诊断数据。

  • 设备上是否有活动网络连接? 如果设备处于飞行模式、关闭或位于没有服务的位置,则当设备能够连接到网络时,策略将适用。

  • 设备是否未升级到特定的以前版本? 通过Windows 更新注册表项中的其他方式(如组策略或设置目录)检查是否存在冲突的 TargetReleaseVersion 值。

  • 验证是否已将Windows 更新配置为提供功能和质量更新。 如果在 UpdateServiceUrl 注册表中填充,请验证是否已 DisableDualScan 设置为 0。 在设备上,访问注册表编辑器应用并导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

  • 设备是否共同管理? 确保Windows 更新的工作负荷已切换到 Intune

    “属性”对话框的屏幕截图,其中突出显示了“工作负荷”选项卡上的“Windows 更新策略”滑块。

  • 请确保不要从另一个更新通道或设置目录策略为业务设置部署冲突Windows 更新。 在设置目录中确认分配的策略。

    对于更新环策略,应在设备的设备配置窗格中或彩色图表中看到“冲突”报告

    显示两个冲突的设备和用户签入状态的屏幕截图。

  • 确保Windows 更新圈策略部署到正确的用户或设备组。

  • 确定整个策略部署是失败还是仅应用某些设置。 导航到设备>配置>更新通道报告。 列表中的特定设置将显示错误,而不是成功消息。

    显示冲突状态的“自动更新行为”和“Microsoft产品更新”配置文件设置的屏幕截图。

  • 检查获取错误状态的设置的实际措辞。 例如,某些特定值仅适用于某些 Windows 版本或版本。

    SetDisableUXWUAccess 设置的屏幕截图,其中范围用户值显示为错误。

请参阅“设置”中Windows 更新中每个设置的说明,这些设置可通过更新通道的 Intune 策略进行管理。

其他注意事项

如果已完成此故障排除指南,但仍存在问题,则可能是本地设备和Windows 更新服务之间的问题。 请参阅以下资源,排查Windows 更新策略问题:

若要提出支持请求,请参阅Windows 更新日志文件,了解支持工程师需要的数据。 在支持票证中包含此数据也有助于加快故障排除过程。