更新合规性、活动和用户体验的策略

• 适用于:

  ✅ Windows 11, ✅ Windows 10

使设备保持最新状态是使其平稳安全地工作的最佳方式。

更新符合性的最后期限

可以使用更新截止时间策略控制设备必须可靠地遵守所需更新计划的严格程度。 Windows 组件根据这些截止时间进行调整。 此外，他们还可以在用户体验和速度之间做出权衡，以满足所需的更新截止时间。 例如，他们可以在截止时间临近之前确定用户体验的优先级，然后在最后期限临近时优先考虑速度，同时仍为用户提供一些控制。

最后 期限

从 Windows 10、版本 1903 和 2019 年 8 月安全更新开始，Windows 10版本 1709 及更高 (包括Windows 11) ，引入了一个新策略来替换较旧的类似截止时间的策略：指定自动更新和重启的截止时间。

设备达到 restart pending 更新状态后，旧策略开始强制实施截止时间。 新策略从发布更新时开始更新安装截止时间的倒计时以及任何延迟。 此外，此策略包括可配置的宽限期，以及 (截止时间前选择退出自动重启的选项，尽管我们建议始终允许自动重启以达到最大更新速度) 。

建议按如下所示设置截止时间：

• 质量更新截止时间（天）：2
• 功能更新截止时间，以天为单位：2

通知会在适当的时间自动显示给用户，用户可以选择稍后提醒、重新安排或立即重启，具体取决于截止时间的接近时间。 建议 不要 设置任何通知策略，因为它们会自动配置相应的默认值。 如果你有展台或数字标牌，则例外。

虽然建议使用 3 天质量更新和 7 天进行功能更新，但根据组织及其要求，你可能会决定希望或多或少，并且此策略可配置为至少两天。

重要提示

如果设备无法访问 Internet，则无法确定 Microsoft 何时发布更新，因此无法强制实施截止时间。 详细了解 低活动设备。

宽限期

你可以为 Windows 设置一个天数，以查找强制重启之前中断最少的自动重启时间。 这尤其适用于用户已离开多天 (（例如，在度假) ），这样用户返回时不会强制设备立即更新。

建议设置以下内容：

• 宽限期，以天为单位：5

截止时间和宽限期过后，将自动应用更新，并且无论 使用时间如何，都会重启。

让 Windows 选择重启时间

Windows 可以使用用户交互来动态确定自动重启的中断最少的时间。 若要利用此功能，请确保 ConfigureDeadlineNoAutoReboot 设置为 Disabled。

设备活动策略

Windows 通常要求设备处于活动状态并连接到 Internet 至少 6 小时，并且至少有两个连续活动，才能成功完成系统更新。 设备可能有其他物理情况，导致无法成功安装更新-例如，如果笔记本电脑的电池电量不足，或者用户在活动时间结束前关闭了设备，并且设备不符合截止时间。

可以使用本部分中的设置来确保设备可在更新符合性期间安装更新。

使用小时数

“活动时间”标识设备应处于使用状态的时间段。 通常，重启发生在这些小时之外。 Windows 10，版本 1903 引入了“智能使用时间”，它允许系统根据用户的活动了解活动时间，而不是你作为管理员必须为组织做出决策，或允许用户选择活动时间，以最大程度地减少系统安装更新的时间。

重要提示

如果在以前版本的 Windows 10中使用了“配置工作小时数”设置，则必须禁用这些选项才能利用智能使用时段。

如果确实设置了活动时段，建议将以下策略设置为 “已禁用 ”，以提高更新速度：

• 延迟自动重新启动。 虽然可以将系统设置为延迟登录用户的重启，但如果用户始终登录或关闭，此设置可能会无限期地延迟更新。 相反，我们建议将以下策略设置为 “禁用”：

  • 在活动时段关闭自动重启

  • 对于计划的自动更新，登录用户不会自动重启

  • 限制重启延迟。 通过使用符合性截止时间，你的用户会收到更新将发生的通知，因此我们建议将此策略设置为 “已禁用”，以允许合规性截止时间来消除用户在合规性截止时间设置之外延迟重启的能力。

• 不允许用户批准更新和重新启动。 让用户在截止时间策略之外批准或参与更新过程会降低更新速度并增加风险。 这些策略应设置为 “已禁用”：

  • Update/RequireUpdateApproval
  • Update/EngagedRestartDeadline
  • Update/EngagedRestartDeadlineForFeatureUpdates
  • Update/EngagedRestartSnoozeSchedule
  • Update/EngagedRestartSnoozeScheduleForFeatureUpdates
  • Update/EngagedRestartTransitionSchedule

• 配置自动更新。 通过正确设置策略以配置自动更新，可以让客户端联系Windows Server Update Services (WSUS) 服务器，以便管理它们，从而提高更新速度。 建议将此策略设置为 “已禁用”。 但是，如果需要提供值，请确保通过将组策略设置为 4，将下载设置为自动安装。 如果使用 Microsoft Intune，请将值设置为“重置”为“默认值”。

• 允许通过按流量计费的网络下载自动Windows 更新。 由于更多设备主要使用手机网络数据，并且没有 Wi-Fi 访问权限，因此请考虑允许用户从按流量计费的网络自动下载更新。 尽管默认设置不允许通过按流量计费的网络进行下载，但如果用户具有手机网络服务，将此值设置为 1 可以提高速度，使用户能够获取更新（无论他们是否连接到 Internet）。

重要提示

旧版 Windows 不支持智能工作时间。 如果设备运行的 Windows 版本低于 Windows 10 版本 1903，我们建议设置以下策略：

• 配置活动小时数。 从 Windows 10 版本 1703 开始，可以指定从活动小时数开始时间算起的最大活动小时范围。 建议将此值设置为 10。
• 计划更新安装。 在“配置自动汇报设置”中，有两种方法可在指定的安装时间后控制强制重启。 如果使用 计划更新安装，请不要启用这两个设置，因为它们很可能发生冲突。
  • 指定自动维护时间。 此设置允许为更新设置更广泛的维护时段，并确保此计划不会与活动时段冲突。 建议将此值设置为 3 (对应于) 凌晨 3 点。 如果凌晨 3：00 处于工作班次中间，请选择至少在计划工作时间开始前几个小时的另一个时间。
  • 计划安装时间。 此设置允许你计划重启的安装时间。 建议 不要 将其设置为 “已禁用” ，因为它可能会与使用时段冲突。

电源策略

设备必须在非活动时间内实际可用才能进行更新。 如果电源策略阻止他们醒来，则他们无法执行此操作。 在我们的组织中，我们努力在安全性和生态友好型配置之间实现平衡。 建议使用以下设置来实现我们认为适当的权衡：

对于用户来说，设备处于打开或关闭状态，但对于 Windows，有些状态允许 (活动) 进行更新，并且不会 (非活动) 。 某些状态被视为活动状态 (睡眠) ，但用户可能认为设备已关闭。 此外，Windows 在开始更新之前会检查电源状态 (插入/电池) 。

可以替代默认设置并阻止用户更改这些设置，以确保设备在非活动时间内可供更新。

注意

确保设备在需要时可以安装更新的一种方法是教育用户在非活动时段保持设备接通电源。 即使采用最佳策略，未接通电源的设备也不会更新，即使在睡眠模式下也是如此。

建议使用以下电源管理设置：

• 睡眠模式 (S1 或 S0 低功耗空闲或 新式待机) 。 当设备处于睡眠模式时，系统似乎处于关闭状态，但如果有可用的更新，它可以唤醒设备以便进行更新。 睡眠模式下的功耗介于工作 (系统完全可用) 和休眠 (S4 之间（关机前) 最低功率级别）。 当设备未使用时，系统通常会在进入休眠状态之前进入睡眠模式。 当睡眠和休眠之间的时间太短且 Windows 没有时间完成更新时，速度问题就会出现。 睡眠模式是一个重要的设置，因为只要有足够的电源，系统就可以将系统从睡眠状态唤醒以启动更新过程。

将以下策略设置为 “启用” 或“ 不配置 ”，以允许设备使用睡眠模式：

• Power/AllowStandbyStatesWhenSleepingOnBattery
• Power/AllowStandbyWhenSleepingPluggedIn

将以下策略设置为 1 (睡眠) 以便在用户关闭设备盖子时，系统进入睡眠模式，并且设备有机会进行更新：

• Power/SelectLidCloseActionOnBattery

• Power/SelectLidCloseActionPluggedIn

• 休眠。 当设备进入休眠状态时，功耗较低，系统无法在没有用户干预的情况下唤醒，例如按下电源按钮。 如果设备处于此状态，则无法更新设备，除非它支持 ACPI 时间和警报设备 (TAD) 。 也就是说，如果支持传统睡眠 (S3) 的设备已接通电源，并且 Windows 更新可用，则会延迟休眠状态，直到更新完成。

注意

这不适用于支持新式待机 (S0 低功耗空闲) 的设备。 可以通过在命令提示符下运行powercfg /a来检查设备支持 (S3 或 S0 低功率空闲) 系统睡眠状态。 有关详细信息，请参阅 Powercfg 选项。

支持传统睡眠的设备的默认超时设置为 3 小时。 建议不要减少这些策略，以便Windows 更新在将设备送入休眠状态之前重启设备：

• Power/HibernateTimeoutOnBattery
• Power/HibernateTimeoutPluggedIn

旧策略或冲突策略

每个版本的 Windows 客户端都可以引入新策略，以便为管理员及其组织提供更好的体验。 发布新的客户端策略时，我们要么完全针对该版本和更高版本发布该策略，要么向后移植该策略，使其在早期版本上可用。

重要提示

如果使用 组策略，请注意，我们不会更新旧的 ADMX 模板，并且必须使用较新的 (1903) ADMX 模板才能使用较新的策略。 此外，如果使用的是 microsoft 或非 Microsoft) (MDM 工具，则在工具界面中提供新策略之前，不能使用该策略。

作为管理员，你已设置并预期某些行为，因此我们明确不会删除旧策略，因为它们是为特定用例设置的。 但是，如果在未禁用类似的旧策略的情况下设置新策略，则可能存在冲突行为，并且更新可能无法按预期执行。

重要提示

有时，我们发现管理员将设备设置为从 MDM 服务器（例如Microsoft Intune）获取组策略设置和 MDM 设置。 策略冲突的处理方式不同，具体取决于它们的最终设置方式：

• Windows 更新：组策略设置优先于 MDM。
• Microsoft Intune：如果在两个不同的组上为同一策略设置不同的值，则会收到警报，在冲突解决之前，不会设置这两个策略。 必须禁用冲突策略，以便组织中的设备按预期进行更新。 例如，如果设备对 MDM 策略更改没有反应，检查查看是否在具有不同值的组策略中设置了类似的策略。 如果发现更新速度不如预期高，或者某些设备比其他设备慢，则可能需要清除所有策略和设置，并仅指定建议的更新策略。 有关建议策略的综合列表，请参阅策略和设置参考。

以下是你可能想要禁用的策略，因为它们可能会降低更新速度，或者有更好的策略可以使用，这些策略可能会发生冲突：

• 延迟功能汇报周期（以天为单位）。 若要获取最大更新速度，最好将此设置为 0 (不延迟) ，以便功能更新可以完成并再次提供每月安全更新。 即使存在必须快速部署的紧急质量更新，也最好使用暂停功能汇报而不是设置延迟策略。 如果不想随时了解最新功能更新，可以选择更长的时间。
• 延迟质量汇报期（天）。 为了最大程度地降低风险并最大化更新速度，在使用不同的设备圈评估更新时，可能需要考虑的最长时间是两到三天。
• 暂停功能汇报开始时间。 除非存在需要时间才能解决的已知问题，否则设置为 “已禁用 ”。
• 暂停质量汇报开始时间。 设置为 “已禁用 ”，除非存在需要时间才能解决的已知问题。
• 截止时间 无自动重启。 默认值为 Disabled - 设置为 0 。 建议设备在收到更新时自动尝试重启。 Windows 使用用户交互动态确定重启中断最少的时间。

还有一些策略不再受支持或已被取代。