适用于企业的 Windows 更新部署服务
Windows 更新 for Business 部署服务是 Windows 更新 for Business 产品系列中的云服务。 它旨在与现有的 Windows 更新 for Business 策略和 Windows 更新 for Business 报表配合使用。 部署服务提供对从Windows 更新传递到托管设备的更新的审批、计划和保护的控制。 该服务以隐私为重点,由领先的行业合规性认证提供支持。
Windows 更新 for Business 产品系列包含三个元素:
- 用于控制更新体验和计时的客户端策略,可通过组策略和 CSP 使用
- 用于监视更新部署的 business 报表Windows 更新
- 用于批准和计划部署的特定更新的部署服务 API,可通过 Microsoft Graph 和关联的 SDK (包括 PowerShell)
部署服务是对现有 Windows 更新 for Business 功能(包括现有设备策略和 Windows 更新 for Business 报表工作簿)的补充。
部署服务的工作原理
对于大多数更新管理解决方案,更新策略通常使用注册表编辑、组策略或利用 CSP 的 MDM 解决方案在客户端上设置。 这意味着最终用户体验和更新部署设置最终由各个设备设置决定。 但是,对于 Windows 更新 for Business 部署服务,该服务是控制更新部署行为的核心点。 由于部署服务与 Windows 更新 直接集成,因此一旦管理员定义了部署行为,Windows 更新就已知道在设备扫描时应如何定向设备来安装更新。 部署服务在管理工具 (包括脚本工具(如Windows PowerShell) )和Windows 更新服务之间创建直接信道,以便管理员可以直接控制内容的审批和提供。
使用部署服务通常遵循一种常见模式:
管理员使用管理工具来选择设备和批准要部署的内容。 此工具可以是 PowerShell、Microsoft Graph 应用或更完整的管理解决方案,例如Microsoft Intune。
所选管理工具将审批、计划和设备选择信息传达给部署服务。
部署服务处理内容审批,并将其与以前批准的内容进行比较。 最终的更新适用性确定并传达给Windows 更新,然后,检查设备在其下一个更新检查提供已批准的内容。
部署服务通过 Microsoft Graph REST API 公开这些功能。 可以通过 Graph SDK 直接调用 API,也可以将其与管理工具(如 Microsoft Intune)集成。
Windows 更新 for Business 部署服务的功能
部署服务专为寻求比通过延迟策略和部署圈提供的更多控制权的 IT 专业人员而设计。 该服务提供以下更新功能:
- 审批和计划:批准并计划在特定日期开始的更新部署
- 示例:在 2023 年 2 月 17 日将 Windows 11 22H2 功能更新部署到指定设备。
- 逐步推出:通过指定逐步推出设置,在几天或几周内分阶段部署
- 示例:从 2023 年 2 月 17 日开始,每天将 Windows 11 22H2 功能更新部署到 500 台设备
- 加速:绕过为 Business 策略配置的Windows 更新,立即在整个组织中部署安全更新
- 安全措施保留:自动保留受 Microsoft 机器学习算法识别的更新问题影响的设备的部署
某些功能可用于特定的更新分类:
| 功能 | 质量更新 | 功能更新 | 驱动程序和固件 |
|---|---|---|---|
| 审批和计划 | 是 | 是 | |
| 逐步推出 | 是 | ||
| 加快 | 是 | ||
| 保障措施 | 是 |
部署保护
部署服务通过结合使用推出控件和机器学习算法来保护部署,这些算法监视部署并在推出期间对问题做出反应。
逐步推出
部署服务允许在几天或几周内部署任何更新。 计划更新后,部署服务会根据计划参数和跨越正在更新的设备的唯一属性来优化部署。 该服务遵循以下步骤:
- 根据计划参数确定每个部署波中要更新的设备数。
- 为每个部署波选择设备,以便早期波具有各种硬件和软件,以充当试点设备填充。
- 开始部署到早期波形,以构建总体中存在的设备属性的覆盖范围。
- 继续以统一的速率进行部署,直到所有波形完成并且所有设备都更新。
此内置试点功能补充了现有的 部署圈 结构,并为在更新期间降低和管理风险提供了另一个支持。 此功能旨在在每个环内运行。 部署服务不提供用于创建环本身的工作流。 继续使用部署圈作为组织的服务策略的一部分,但使用逐步推出来增加计划便利性和每个圈中的其他保护。
针对可能和已知问题的保护保留
Microsoft 使用 保护保留 来防止设备安装更新或升级,从而防止设备遇到已知的质量或兼容性问题。 对于Windows 11部署,部署服务还扩展了安全措施,以保护在更新 ((如操作系统回滚、应用崩溃或图形问题) )后,Microsoft 认为遇到问题的风险较高的设备。 服务暂时保留这些设备的部署,而 Microsoft 则调查可能的问题。 默认情况下,保护保留适用于部署,但可以选择退出。若要验证设备是否受到安全保留的影响,请参阅 我是否受到安全保留的影响?。
监视部署以检测回滚问题
在部署Windows 11或Windows 10功能更新期间,驱动程序组合有时可能会导致意外的更新失败,使设备还原以前安装的操作系统版本。 部署服务可以监视设备是否有此类问题,并在发生这种情况时自动暂停部署,让你有时间检测和缓解问题。
部署服务入门
若要使用部署服务,请使用基于 Microsoft Intune 等平台构建的管理工具、使用 PowerShell 编写常见操作脚本或生成自己的应用程序。
若要详细了解部署服务和部署过程,请参阅:
使用 PowerShell 编写常见操作脚本
Microsoft Graph SDK 包含一个 PowerShell 扩展,可用于编写脚本并自动执行常见更新操作。 有关详细信息,请参阅 Microsoft Graph PowerShell SDK 入门。
生成自己的应用程序
Microsoft Graph 通过 提供部署服务 API。 以下资源入门:
学习路径: Microsoft Graph 基础知识
学习路径: 使用 Microsoft Graph 生成应用
GitHub 上的 Windows 更新 for Business 部署服务示例驱动程序部署应用程序
使用 Microsoft Intune
Microsoft Intune与部署服务集成以提供 Windows 客户端更新管理功能。 有关详细信息,请参阅:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈