Share via

Windows 更新 for Business 部署服务先决条件

在开始使用 Windows 更新 for Business 部署服务部署更新之前,请确保满足先决条件。

Azure 和 Microsoft Entra ID

许可

Windows 更新 for Business 部署服务要求设备用户具有以下许可证之一:

  • Windows 10/11 企业版 E3 或 E5 (包含在 Microsoft 365 F3、E3 或 E5)
  • Windows 10/11 教育版 A3 或 A5 (包含在 Microsoft 365 A3 或 A5)
  • Windows 虚拟桌面访问 E3 或 E5
  • Microsoft 365 商业高级版

操作系统和版本

  • Windows 11专业版、教育版、企业版、专业教育版或专业工作站版
  • Windows 10专业版、教育版、企业版、专业教育版或专业工作站版

Windows 更新 for Business 部署服务支持正式发布频道上的 Windows 客户端设备。

Windows 操作系统更新

  • 加快更新需要客户端上的 更新运行状况工具 。 这些工具从 KB4023057 开始安装。 若要确认设备上是否存在更新运行状况工具,请执行以下操作:

    • 查找文件夹 C:\Program Files\Microsoft Update Health Tools,或查看“为 Microsoft 更新运行状况工具添加删除程序”。
    • 作为管理员,运行以下 PowerShell 脚本:Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

  • 对于 Windows 诊断数据收集的更改,建议安装 2023 年 1 月版本预览版累积更新或更高版本的等效更新

诊断数据要求

部署计划控制始终可用。 但是,为了利用针对用户群体定制的独特部署保护并 部署驱动程序更新,设备必须与 Microsoft 共享诊断数据。 对于这些功能,部署服务至少要求设备在所需的级别发送诊断数据, (以前称为这些功能的基本) 。

Windows 更新 for Business 报表与部署服务结合使用时,在以下级别使用诊断数据可在报告中显示设备名称:

  • Windows 11 设备的可选级别 (以前为“完全) ”
  • Windows 10设备的增强级别

权限

注意

利用图形 API的其他部分可能需要其他权限。 例如,若要显示 设备 信息,至少需要 Device.Read.All 权限。

所需的终结点

  • 有权访问以下终结点:

  • Windows 更新终结点

    • *.prod.do.dsp.mp.microsoft.com
    • *.windowsupdate.com
    • *.dl.delivery.mp.microsoft.com
    • *.update.microsoft.com
    • *.delivery.mp.microsoft.com
    • tsfe.trafficshaping.dsp.mp.microsoft.com

  • 适用于企业的部署服务终结点的Windows 更新

    • devicelistenerprod.microsoft.com
    • login.windows.net
    • payloadprod*.blob.core.windows.net

  • Windows 推送通知服务 (建议,但不是必需的。如果没有此访问权限,设备可能不会加速更新,直到其下一个每日更新检查更新。)

    • *.notify.windows.com

限制

Windows 更新 for Business 部署服务是 Azure 中托管的 Windows 服务,它使用 Windows 诊断数据。 你应该知道,Windows 更新 for Business 部署服务不符合美国政府社区合规性 (GCC) 要求。 有关 Microsoft 产品和服务的 GCC 产品列表,请参阅 Microsoft 信任中心。 Windows 更新 for Business 部署服务在 Azure 商业云中可用,但不适用于 GCC High 或 美国 国防部客户。

驱动程序的策略注意事项

服务可以接收内容审批,但由于设备上的组策略、CSP 或注册表设置,内容不会安装在设备上。 在某些情况下,组织会专门配置这些策略以满足其当前或未来需求。 例如,组织可能希望通过部署服务查看适用的驱动程序内容,但不允许安装。 配置此类行为可能很有用,尤其是在由于组织需求变化而转换驱动程序更新管理时。 以下列表描述了驱动程序相关的更新策略,这些策略可能会影响通过部署服务进行部署:

从设备Windows 更新中排除驱动程序的策略

以下策略从设备的Windows 更新中排除驱动程序:

  • 排除驱动程序的策略位置
    • 组策略\Windows Components\Windows Update\Do not include drivers with Windows Updates设置为enabled
    • CSPExcludeWUDriversInQualityUpdate 设置为 1
    • 注册表HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates 设置为 1
    • Intune:更新通道的 Windows 驱动程序更新设置设置为Block

使用部署服务的行为:具有驱动程序排除策略的设备,这些策略已为 驱动程序 注册,并通过部署服务添加到受众:

  • 将在部署服务中显示适用的驱动程序内容
  • 不会安装从部署服务批准的驱动程序
    • 如果将驱动程序部署到阻止它们的设备,则部署服务会显示提供驱动程序,报告显示安装挂起。

定义驱动程序更新源的策略

以下策略将驱动程序更新的源定义为 Windows 更新 或 Windows Server 更新服务 (WSUS) :

  • 定义更新源的策略的位置
    • 组策略\Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows Updates设置为 enabledDriver Updates选项设置为Windows Update
    • CSPSetPolicyDrivenUpdateSourceForDriverUpdates0 设置为 Windows 更新 作为源
    • 注册表HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates 设置为 0。 在 下 \AUUseUpdateClassPolicySource 还需要将 设置为 1
    • Intune:不适用。 Intune使用 Windows 更新 for Business 部署更新。 Configuration Manager的共同托管客户端,Windows 更新策略的工作负荷设置为 Intune 也将使用 Windows 更新 for Business。

使用部署服务的行为:具有这些更新源策略的设备,这些策略已注册 驱动程序 并通过部署服务添加到访问群体:

  • 将在部署服务中显示适用的驱动程序内容
  • 将安装从部署服务批准的驱动程序

注意

当驱动程序的扫描源设置为 WSUS 时,部署服务不会从设备获取清单事件。 这意味着部署服务无法报告驱动程序对设备的适用性。

部署服务的常规提示

请遵循以下建议,以获得最佳服务结果:

  • 等待设备完成预配,然后再使用服务进行管理。 如果 Autopilot 正在预配设备,则只能在部署服务完成预配后对其进行管理, (通常) 一天。

  • 使用部署服务进行功能更新管理,而不使用功能更新延迟策略。 如果要使用部署服务在以前使用功能更新延迟策略的设备上管理功能更新,最好将功能更新延迟策略设置为 0 天,以避免具有多个管理功能更新的条件。 只有在确认设备已在服务中注册且没有错误后,才应将功能更新延迟策略值更改为 0 天。

  • 避免使用不同的通道来管理相同的资源。 如果将Microsoft Intune与 Microsoft Graph API 或 PowerShell 一起使用,则如果使用这两个通道管理相同的资源,则可能会覆盖资源 (的各个方面,例如设备、部署、可更新的资产组) 。 而是仅通过创建资源的通道管理每个资源。