设备注册概述

  • 项目

Windows 自动修补必须将 现有设备注册 到其服务中,才能代表你管理更新部署。

Windows 自动修补设备注册过程对最终用户是透明的,因为它不需要重置设备。

整个设备注册过程如下:

设备注册过程概述

  1. 向 Windows 自动修补注册设备 之前,IT 管理员查看 Windows 自动修补设备注册先决条件。
  2. IT 管理员通过将基于设备的Microsoft Entra组添加为自定义自动修补组或默认自动修补的一部分来标识要由 Windows 自动修补管理的设备
  3. 然后,Windows 自动修补:
    1. 在注册前执行设备就绪情况 (先决条件检查) 。
    2. 计算部署环分布。
    3. 根据前面的计算将设备分配到其中一个部署圈。
    4. 将设备分配给管理所需的其他Microsoft Entra组。
    5. 将设备标记为活动进行管理,以便它可以应用其更新部署策略。
  4. 然后,IT 管理员监视设备注册趋势和更新部署报告。

有关设备注册工作流的详细信息,请参阅 详细的设备注册工作流图 部分,了解有关 Windows 自动修补设备注册过程背后的更多技术详细信息。

详细的设备注册工作流图

请参阅以下详细工作流图。 此图介绍了 Windows 自动修补设备注册过程:

详细的设备注册工作流图

步骤 描述
步骤 1:标识设备 IT 管理员标识要由 Windows 自动修补服务管理的设备。
步骤 2:添加设备 IT 管理员在创建编辑自定义自动修补组时/,使用添加基于设备的现有Microsoft Entra组时,通过直接成员身份添加设备,或者将其他Microsoft Entra ID分配或动态组嵌套到 Windows 自动修补设备注册Microsoft Entra ID分配组,或编辑默认自动修补组
步骤 3:发现设备 Windows 自动修补发现设备功能可发现 (小时) 的设备,这些设备以前由 IT 管理员添加到 Windows 自动修补设备注册Microsoft Entra ID分配组,或者从步骤 2 中与自动修补组一起使用的Microsoft Entra组。 将设备注册到其服务时,Windows 自动修补使用Microsoft Entra设备 ID 来查询Microsoft Intune和Microsoft Entra ID中的设备属性。
  1. 从Microsoft Entra组发现设备后,同一函数会在发现操作期间收集其他设备属性并将其保存到其内存中。 在此步骤中,从Microsoft Entra ID收集以下设备属性:
    1. AzureADDeviceID
    2. OperatingSystem
    3. DisplayName (设备名称)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. 在同一步骤中,Windows 自动修补发现设备函数调用另一个函数,即设备先决条件检查函数。 设备先决条件检查功能评估基于软件的设备级先决条件,以符合注册前的 Windows 自动修补设备就绪要求。
步骤 4:检查先决条件 Windows 自动修补先决条件函数发出Intune 图形 API调用,以按顺序验证注册过程所需的设备就绪情况属性。 有关详细信息,请参阅详细先决条件检查工作流关系图部分。 该服务检查以下设备就绪情况属性和/或先决条件:
  1. 设备是否Intune管理。
    1. Windows 自动修补可查看Microsoft Entra设备 ID 是否具有与之关联的Intune设备 ID
      1. 如果是,则表示此设备已注册到Intune。
      2. 如果没有,则表示设备未注册到Intune,因此它不能由 Windows 自动修补服务管理。
    2. 如果设备不是由Intune管理,则 Windows 自动修补服务无法收集设备属性,例如操作系统版本、Intune注册日期、设备名称和其他属性。 发生这种情况时,Windows 自动修补服务将使用在步骤 3a 中收集并保存到其内存中的Microsoft Entra设备属性。
      1. 步骤 3a 中的Microsoft Entra ID收集设备属性后,设备将标记为“先决条件失败”状态,然后添加到“未注册”选项卡,以便 IT 管理员可以查看设备未注册到 Windows 自动修补) 的原因 (。 IT 管理员将修正这些设备。 在这种情况下,IT 管理员应检查设备未注册到Intune的原因。
      2. 一个常见原因是,当Microsoft Entra设备 ID 已过时时,它不再具有与其关联的Intune设备 ID。 若要进行修正,请清理租户中所有过时Microsoft Entra设备记录
    3. 如果设备由 Intune 管理,则 Windows 自动修补先决条件检查功能会继续执行下一个先决条件检查,该检查评估设备在过去 28 天内是否已签入Intune。
  2. 如果设备是否为 Windows 设备。
    1. Windows 自动修补将查看设备是否为 Windows 和公司拥有的设备。
      1. 如果是,则意味着此设备可以注册到服务,因为它是 Windows 公司拥有的设备。
      2. 如果不是,则表示设备是非 Windows 设备,或者它是 Windows 设备,但它是个人设备。
  3. Windows 自动修补检查 Windows SKU 系列。 SKU 必须是:
    1. 企业
    2. 专业版
    3. Pro 工作站
  4. 如果设备满足操作系统要求,Windows 自动修补将检查设备是否为:
    1. 仅由 Intune 管理。
      1. 如果设备仅由 Intune 管理,则设备标记为“已通过所有先决条件”。
    2. 由 Configuration Manager 和 Intune 共同管理。
      1. 如果设备由Configuration Manager和Intune共同管理,则会评估其他先决条件检查,以确定设备是否满足 Windows Autopatch 在共同管理状态下管理设备所需的启用共同管理的工作负载。 此步骤中评估的必需共同管理工作负载包括:
        1. Windows 汇报策略
        2. 设备配置
        3. Office 单击运行
      2. 如果 Windows 自动修补确定设备上未启用其中一个工作负载,则服务会将设备标记为 “先决条件”失败 ,并将设备移动到“ 未注册 ”选项卡。
步骤 5:计算部署环分配 设备通过 步骤 4 中所述的所有先决条件后,Windows 自动修补将开始其部署环分配计算。 以下逻辑用于计算 Windows 自动修补部署环分配:
  1. 如果 Windows 自动修补租户的现有托管设备大小为 200 ≤,则部署圈分配为 First (5%) ,Fast (15%) ,其余设备将转到 Broad Ring (80%)
  2. 如果 Windows 自动修补租户的现有托管设备大小为 >200,则部署环分配将为 “第一 (1%) 快速 (9%) ”,其余设备将 (90%)
步骤 6:将设备分配到部署环组 完成部署环计算后,Windows Autopatch 会将设备分配到两个部署环集,第一个是以下Microsoft Entra组表示的基于服务的部署环集:
  1. 新式工作区 Devices-Windows 自动修补优先
    1. Windows 自动修补设备注册过程不会自动将设备分配到由新式工作区 Devices-Windows 自动修补测试) (Microsoft Entra组表示的测试圈。 在将更新部署到更广泛的设备群体之前,请务必将设备分配到测试圈以验证更新部署。
  2. 新式工作区 Devices-Windows Autopatch-Fast
  3. 新式工作区 Devices-Windows Autopatch-Broad
    4. 然后是第二个部署圈集,即以下Microsoft Entra组表示的基于软件更新的部署圈集:
    • Windows 自动修补 - Ring1
      • Windows 自动修补设备注册过程不会自动将设备分配到由 Windows 自动修补 - 测试) (组Microsoft Entra组表示的测试通道。 在将更新部署到更广泛的设备群体之前,请务必将设备分配到测试圈以验证更新部署。
    • Windows 自动修补 - Ring2
      • Windows 自动修补 - Ring3
步骤 7:将设备分配到Microsoft Entra组 当某些条件适用时,Windows 自动修补还会将设备分配给以下Microsoft Entra组:
  1. 新式工作区设备 - 全部
    1. 此组包含由 Windows 自动修补管理的所有设备。
  2. 新式工作区设备 - 虚拟机
    1. 此组包含由 Windows 自动修补管理的所有 虚拟设备
步骤 8:设备后注册 在设备后注册中,将发生三个操作:
  1. Windows 自动修补将设备添加到其托管数据库。
  2. 在“已注册”选项卡中将设备标记为“活动”。
  3. 已成功注册的设备Microsoft Entra设备 ID 将添加到 Microsoft 云托管桌面扩展的允许列表中。 注册设备后,Windows Autopatch 将安装 Microsoft 云托管桌面扩展代理,以便代理可以通信回 Microsoft 云托管桌面扩展服务。
    1. 代理是在 Windows 自动修补租户注册过程中创建的 现代工作区 - 自动修补客户端设置 PowerShell 脚本。 设备成功注册到 Windows 自动修补服务后,将执行脚本。
步骤 9:查看设备注册状态 IT 管理员在“ 已注册 ”和“ 未注册 ”选项卡中查看设备注册状态。
  1. 如果设备 已成功注册,设备会显示在“ 已注册 ”选项卡中。
  2. 否则,设备将显示在“未注册”选项卡中。
步骤 10:注册工作流结束 这是 Windows 自动修补设备注册工作流的结束。

详细先决条件检查工作流图

如前面的详细设备注册工作流图中的步骤 4 中所述,下图是 Windows 自动修补设备注册过程的先决条件构造的直观表示形式。 先决条件检查按顺序执行。

详细先决条件检查工作流图

Windows 自动修补部署圈

在租户注册过程中,Windows 自动修补会创建两个不同的部署环集:

以下四个Microsoft Entra ID分配的组用于为基于服务的部署圈集组织设备:

基于服务的部署圈 描述
新式工作区 Devices-Windows Autopatch-Test 部署圈,用于测试基于服务的配置,在生产推出之前应用部署
新式工作区 Devices-Windows Autopatch-First 面向早期采用者的首个生产部署圈。
新式工作区 Devices-Windows Autopatch-Fast 用于快速推出和采用的快速部署圈
新式工作区 Devices-Windows Autopatch-Broad 在组织中广泛推广的最终部署圈

五个Microsoft Entra ID分配的组,这些组用于为默认自动修补组中基于软件更新的部署圈集组织设备:

基于软件更新的部署圈 描述
Windows 自动修补 - 测试 部署圈,用于在生产推出之前测试基于软件更新的部署。
Windows 自动修补 - Ring1 面向早期采用者的首个生产部署圈。
Windows 自动修补 - Ring2 用于快速推出和采用的快速部署圈。
Windows 自动修补 - Ring3 用于在组织中广泛推广的最终部署圈。
Windows 自动修补 - 最后一个 适用于专用设备或 VIP/主管的可选部署圈,这些设备或 VIP/主管在组织中通过早期和常规总体进行了充分测试后必须接收软件更新部署。

在基于软件的部署圈集中,每个部署圈都有一组不同的更新部署策略,用于控制更新的推出。

注意

不支持直接将设备添加或导入其中任何组。 这样做可能会影响 Windows 自动修补服务。 若要在这些组之间移动设备,请参阅 在部署圈之间移动设备

重要提示

Windows 自动修补设备注册不会将设备分配到基于服务的 (Modern Workplace Devices-Windows Autopatch-Test) 的测试部署圈,也不会将设备分配给默认自动修补组中基于软件更新的 (Windows 自动修补 - 测试和 Windows 自动修补 - 最后) 。 这是为了防止对企业至关重要的设备受到影响,或者高管使用的设备接收早期软件更新部署。

在设备注册过程中,Windows 自动修补会将每个设备分配给 基于服务和基于软件更新的部署圈 ,以便该服务在整个组织中具有设备多样性的适当表示形式。

部署环分发旨在将软件更新部署发布到尽可能少的设备,以获取对给定更新部署进行质量评估所需的信号。

注意

无法为 Windows 自动修补服务管理的设备创建其他部署圈或使用自己的部署环。

默认部署环计算逻辑

Windows 自动修补部署圈计算发生在设备注册过程中,它同时适用于 基于服务的部署圈集和基于软件更新的部署环集

  • 如果 Windows 自动修补租户的现有托管设备大小 为 200 ≤,则部署环分配为“第一 (5%) ”,“快速 (15%) ”,其余设备将 ( 80%) 转到 Broad Ring。
  • 如果 Windows 自动修补租户的现有托管设备大小为 >200,则部署环分配将为“第一 (1%) ”,快速 (9%) ,其余设备将 ( 90%)

注意

可以通过编辑默认自动修补组来自定义部署环计算逻辑。

基于服务的部署圈 默认自动修补组部署圈 默认设备均衡百分比 描述
测试 测试 Windows 自动修补不会自动将设备添加到此部署圈。 必须按照所需的过程手动将设备添加到测试通道。 有关这些过程的详细信息,请参阅 在部署圈之间移动设备。 根据环境大小,此圈中建议的设备数如下所示:
  • 0-500 台设备:至少 一台设备
  • 500-5000 台设备:至少 5 个 设备。
  • 5000 多个 设备:至少 50 台设备。
此组中的设备适用于 IT 管理员和测试人员,因为此处已首先发布更改。 此发布计划使组织有机会在接触生产用户之前验证更新。
第一个 环 1 1% First Ring 是接收更改的第一组生产用户。

此组是第一组向 Windows 自动修补发送数据的设备,用于生成所有最终用户的健康信号。 例如,Windows 自动修补可能会生成一个统计显著信号,指示所有最终用户在特定版本中出现严重错误,但不能确信它在组织中这样做。

由于 Windows 自动修补尚没有足够的数据来通知发布决策,因此,如果测试圈的早期测试期间未涵盖某些方案,则此部署圈中的设备可能会遇到中断。
迅速 环 2 9% Fast Ring 是接收更改的第二组生产用户。 来自第一个环的信号被视为向 Broad 环发布过程的一部分。

此部署圈的目标是超过在租户级别生成统计显著性分析所需的 500 设备阈值。 这些额外的设备允许 Windows 自动修补考虑发布对其余设备的影响,并评估是否需要对租户执行有针对性的操作。
广泛 环 3 80%90% Broad 圈是接收软件更新部署的最后一组用户。 由于它包含注册到 Windows Autopatch 的大多数设备,因此在软件更新部署中,它有利于稳定性,胜过速度。
不适用 最后 Last ring 旨在用于专用设备或属于组织中的 VIP/高管的设备。 Windows 自动修补不会自动将设备添加到此部署圈。

基于软件更新的到基于服务的部署环映射

自动修补组引入的基于服务的部署圈和基于软件更新的部署圈之间有一对一映射。 此映射旨在帮助在尚不支持自动修补组(如 Microsoft 365 应用版 和 Microsoft Edge)的其他软件更新工作负载的部署圈之间移动设备。

如果将设备移动到 设备还会移动到
Windows 自动修补 - 测试 新式工作区 Devices-Windows Autopatch-Test
Windows 自动修补 - Ring1 新式工作区 Devices-Windows Autopatch-First
Windows 自动修补 - Ring2 新式工作区 Devices-Windows Autopatch-Fast
Windows 自动修补 - Ring3 新式工作区 Devices-Windows Autopatch-Broad
Windows 自动修补 - 最后一个 新式工作区 Devices-Windows Autopatch-Broad

如果 Autopatch 组具有五个以上的部署环,并且必须将设备移动到 Ring3 之后的部署圈。 例如,<Autopatch group name - Ring4, Ring5, Ring6, etc.>。 设备将移至 新式工作区 Devices-Windows Autopatch-Broad

在部署圈之间移动设备

如果要将设备移动到不同的部署圈 (基于服务或软件更新的) ,在 Windows 自动修补的部署圈分配后,可以从“ 已注册 ”选项卡为一个或多个设备重复以下步骤。

重要提示

只能在 同一 “自动修补”组中的部署环之间移动设备。 无法跨不同自动修补组在部署圈之间移动设备。 如果尝试选择属于一个自动修补组的设备,以及另一个属于另一个自动修补组的设备,你将在Microsoft Intune门户的右上角收到以下错误消息:“发生错误。请选择同一“自动修补”组中的设备

若要在部署圈之间移动设备,请执行以下操作:

注意

仅当设备在“ 已注册 ”选项卡中处于活动状态时,才能将设备移动到其他部署圈。

  1. Intune管理中心的左窗格中,选择“设备”。
  2. “Windows 自动修补 ”部分中,选择“ 设备”。
  3. 在“ 已注册 ”选项卡中,选择要分配的一个或多个设备。 所有选定的设备都将分配给指定的部署圈。
  4. 从菜单中选择“ 设备操作 ”。
  5. 选择 “分配圈”。 此时会打开一个 Fly-in。
  6. 使用下拉菜单选择要将设备移动到的部署圈,然后选择“保存”。 按列分配的 Ring 将更改为“挂起”。
  7. 分配完成后,按列分配的 Ring 将更改为管理员 (这表示你) 进行了更改,“”列显示新的部署圈分配。

如果在步骤 5 中未看到“按列分配的 Ring”更改为“挂起”,检查通过在设备边栏选项卡中搜索设备来查看设备是否存在于Microsoft Intune中。 有关详细信息,请参阅 Intune 中的设备详细信息

警告

不支持通过直接更改Microsoft Entra组成员身份在部署圈之间移动设备,并且可能会导致 Windows 自动修补服务中的意外配置冲突。 若要避免设备服务中断,请使用前面所述的 “将设备分配到环 ”操作在部署圈之间移动设备。

自动部署环修正函数

Windows 自动修补在其部署圈中监视设备成员身份,新 式工作区 Devices-Windows 自动修补测试Windows 自动修补 - 测试和Windows 自动修补 - 最后 一个圈除外,以提供自动部署环修正功能,以降低其托管设备不将其托管设备作为其部署圈一部分的风险。 这些自动化功能有助于降低设备可能处于易受攻击状态并暴露在安全威胁的风险,以防它们由于以下任一原因而未收到更新部署:

  • IT 管理员对 Windows 自动修补租户注册过程创建的对象执行的更改,或者
  • 出现了一个问题,该问题阻止了设备在设备注册过程中获得分配的部署环。

有两个自动部署环修正函数:

函数 描述
检查设备部署圈成员身份 Windows 自动修补每隔一小时检查一次,以查看其任何托管设备是否不属于其中一个部署圈。 如果设备不是部署圈的一部分,Windows 自动修补会将设备随机分配到其部署圈之一, (新式工作区 Devices-Windows 自动修补测试Windows 自动修补 - 测试和 Windows 自动修补 - 最后 一个圈) 。
多部署环设备修正程序 Windows 自动修补每小时检查一次,以查看其任何托管设备是否属于多个部署圈 (新 式工作区 Devices-Windows 自动修补测试Windows 自动修补 - 测试和Windows 自动修补 - 最后 一个圈) 。 如果设备是多个部署圈的一部分,则 Windows 自动修补会随机删除设备,直到设备只是一个部署圈的一部分。

重要提示

Windows 自动修补自动部署圈功能不会向以下部署圈分配设备或从中删除设备:

  • 新式工作区 Devices-Windows 自动修补测试
  • Windows 自动修补 - 测试
  • Windows 自动修补 - 最后一个