通过

适用于企业的 Windows 更新部署服务先决条件

在使用适用于企业的 Windows 更新部署服务开始部署更新之前,请确保满足先决条件。

Azure 和 Microsoft Entra ID

授权

适用于企业的 Windows 更新部署服务要求设备的用户具有以下许可证之一:

  • windows 10/11 企业版 E3 或 E5 (包含在 Microsoft 365 F3、E3 或 E5)
  • Windows 10/11 教育版 A3 或 A5 (包含在 Microsoft 365 A3 或 A5)
  • Windows 虚拟桌面访问 E3 或 E5
  • Microsoft 365 商业高级版

操作系统和版本

  • Windows 11 专业版、教育版、企业版、专业教育版或专业工作站版
  • Windows 10 专业版、教育版、企业版、专业教育版或专业工作站版

适用于企业的 Windows 更新部署服务支持 正式发布频道上的 Windows 客户端设备。

Windows 操作系统更新

  • 加快更新需要客户端上的 更新运行状况工具 。 这些工具从 KB4023057 开始安装。 若要确认设备上是否存在更新运行状况工具,请执行以下操作:

    • 查找文件夹 C:\Program Files\Microsoft Update Health Tools,或查看为Microsoft更新运行状况工具添加删除程序
    • 以管理员身份运行以下 PowerShell 脚本: Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

  • 对于 Windows 诊断数据收集的更改,建议安装 2023 年 1 月版本预览版累积更新或更高版本的等效更新

诊断数据要求

部署计划控制始终可用。 但是,若要利用为总体量身定做的独特部署保护并 部署驱动程序更新,设备必须与Microsoft共享诊断数据。 对于这些功能,部署服务至少要求设备在所需的级别发送诊断数据, (以前称为这些功能的基本) 。

适用于企业的 Windows 更新报表 与部署服务结合使用时,在以下级别使用诊断数据可在报告中显示设备名称:

  • Windows 11 设备的可选级别 (以前 为完整)
  • Windows 10 设备的增强级别

权限

注意

利用图形 API 的其他部分可能需要其他权限。 例如,若要显示 设备 信息,至少需要 Device.Read.All 权限。

所需的终结点

  • 有权访问以下终结点:

  • Windows 更新终结点

    • *.prod.do.dsp.mp.microsoft.com
    • *.windowsupdate.com
    • *.dl.delivery.mp.microsoft.com
    • *.update.microsoft.com
    • *.delivery.mp.microsoft.com
    • tsfe.trafficshaping.dsp.mp.microsoft.com

  • 适用于企业的 Windows 更新部署服务终结点

    • devicelistenerprod.microsoft.com
    • login.windows.net
    • payloadprod*.blob.core.windows.net

  • Windows 推送通知服务 (建议,但不是必需的。如果没有此访问权限,设备在下次每日检查更新更新之前可能不会加速更新。)

    • *.notify.windows.com

限制

适用于企业的 Windows 更新部署服务是 Azure 商业版中托管的 Windows 服务,它使用 Windows 诊断数据。 虽然具有 GCC 租户的客户可以选择使用它,但适用于企业的 Windows 更新部署服务不在 美国政府社区合规性 (GCC) 边界之外。 有关Microsoft产品和服务的 GCC 产品/服务列表,请参阅 Microsoft信任中心

适用于企业的 Windows 更新部署服务在适用于 Office 365 GCC High 和 DoD 租户的 Azure 政府版中不可用。

驱动程序的策略注意事项

服务可以接收内容审批,但由于设备上的组策略、CSP 或注册表设置,内容不会安装在设备上。 在某些情况下,组织会专门配置这些策略以满足其当前或未来需求。 例如,组织可能希望通过部署服务查看适用的驱动程序内容,但不允许安装。 配置此类行为可能很有用,尤其是在由于组织需求变化而转换驱动程序更新管理时。 以下列表描述了驱动程序相关的更新策略,这些策略可能会影响通过部署服务进行部署:

从设备的 Windows 更新中排除驱动程序的策略

以下策略从设备的 Windows 更新中排除驱动程序:

  • 排除驱动程序的策略位置
    • 组策略\Windows Components\Windows Update\Do not include drivers with Windows Updates 设置为 enabled
    • CSPExcludeWUDriversInQualityUpdate 设置为 1
    • 注册表HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates 设置为 1
    • Intune:更新通道的 Windows 驱动程序 更新设置 设置为 Block

使用部署服务的行为:具有驱动程序排除策略的设备,这些策略已为 驱动程序 注册,并通过部署服务添加到受众:

  • 将在部署服务中显示适用的驱动程序内容
  • 不会安装从部署服务批准的驱动程序
    • 如果将驱动程序部署到阻止它们的设备,则部署服务会显示提供驱动程序,报告显示安装挂起。

定义驱动程序更新源的策略

以下策略将驱动程序更新的源定义为 Windows 更新或 Windows Server 更新服务 (WSUS) :

  • 定义更新源的策略的位置
    • 组策略\Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows Updates 设置为 enabledDriver Updates 选项设置为 Windows Update
    • CSP:设置为 Windows 更新作为源的 SetPolicyDrivenUpdateSourceForDriverUpdates 设置为0
    • 注册表HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates 设置为 0。 在 下 \AUUseUpdateClassPolicySource 还需要将 设置为 1
    • Intune:不适用。 Intune 使用适用于企业的 Windows 更新部署更新。 Configuration Manager 中的共同托管客户端 (Windows 更新策略的工作负荷设置为 Intune)也将使用适用于企业的 Windows 更新。

使用部署服务的行为:具有这些更新源策略的设备,这些策略已注册 驱动程序 并通过部署服务添加到访问群体:

  • 将在部署服务中显示适用的驱动程序内容
  • 将安装从部署服务批准的驱动程序

注意

当驱动程序的扫描源设置为 WSUS 时,部署服务不会从设备获取清单事件。 这意味着部署服务无法报告驱动程序对设备的适用性。

部署服务的常规提示

请遵循以下建议,以获得最佳服务结果:

  • 等待设备完成预配,然后再使用服务进行管理。 如果 Autopilot 正在预配设备,则只能在部署服务完成预配后对其进行管理, (通常) 一天。

  • 使用部署服务进行功能更新管理,而不使用功能更新延迟策略。 如果要使用部署服务在以前使用功能更新延迟策略的设备上管理功能更新,最好将功能更新延迟策略设置为 0 天,以避免具有多个管理功能更新的条件。 只有在确认设备已在服务中注册且没有错误后,才应将功能更新延迟策略值更改为 0 天。

  • 避免使用不同的通道来管理相同的资源。 如果使用 Microsoft Intune 以及 Microsoft Graph API 或 PowerShell,则如果使用这两个通道管理相同的资源,则可能会覆盖资源 (的各个方面,例如设备、部署、可更新的资产组) 。 而是仅通过创建资源的通道管理每个资源。