Windows 自动更新组概述
随着组织转向 Microsoft 代表他们管理更新流程的托管服务模型,他们面临着一个挑战,即拥有正确的组织结构表示形式,然后是自己的部署节奏。 Windows 自动修补组可帮助组织以对业务有意义的方式管理更新,而无需产生额外费用或计划外中断。
什么是 Windows 自动修补组?
自动修补组是一个逻辑容器或单元,用于对多个Microsoft Entra组和软件更新策略进行分组,例如用于Windows 10和更高版本的更新圈策略,以及Windows 10和更高版本的策略的功能更新。
主要优势
自动修补组可帮助 Microsoft Cloud-Managed 服务满足组织在更新管理过程中所处的位置。 主要优势包括:
| 好处 | 描述 |
|---|---|
| 复制组织结构 | 可以设置自动修补组,以复制现有基于设备的Microsoft Entra组目标逻辑所表示的组织结构。 |
| 具有灵活数量的部署 | 通过自动修补组,可以灵活地在组织中使用适当数量的部署圈。 每个自动修补组最多可以设置 15 个部署圈。 |
| 确定哪些设备 () 属于部署圈 | 除了使用现有的基于设备的Microsoft Entra组并选择部署环的数量之外,还可以在设备注册过程中在设置自动修补组时确定哪些设备属于部署圈。 |
| 选择部署节奏 | 为企业选择合适的软件更新部署节奏。 |
高级体系结构关系图概述
自动修补组是 Windows 自动修补服务中的设备注册微服务的一部分的函数应用。 下表对高级工作流进行说明:
| 步骤 | 描述 |
|---|---|
| 步骤 1:创建自动修补组 | 创建自动修补组。 |
| 步骤 2:Windows 自动修补使用 Microsoft Graph 创建Microsoft Entra ID和策略分配 | Windows 自动修补服务使用 Microsoft Graph 协调以下项的创建:
|
| 步骤 3:Intune分配软件更新策略 | 在 Microsoft Entra 服务中创建Microsoft Entra组后,Intune将软件更新策略分配给这些组,并将需要软件更新策略的设备数提供给 Windows 更新 for Business (WUfB) 服务。 |
| 步骤 4:业务责任Windows 更新 | Windows 更新 for Business (WUfB) 负责:
|
重要概念
在使用自动修补组之前,需要熟悉一些关键概念。
关于默认自动修补组
注意
对于可以使用预配置的五个部署环组合来满足其业务需求的组织,建议使用默认自动修补组。
默认自动修补组使用 Windows 自动修补的默认更新管理过程建议。 默认自动修补组包含:
- 一组 五个部署圈
- Windows 质量和功能更新的默认更新部署节奏。
默认自动修补组旨在为希望:
- 注册到服务
- 与 Windows Autopatch 的默认更新管理过程保持一致,无需更多自定义。
无法删除或重命名默认自动修补组。 但是,可以自定义其部署圈组合以添加和/或删除部署圈,还可以为其中的每个部署环自定义更新部署节奏。
默认部署环组合
默认情况下,使用以下基于软件更新的部署圈,由Microsoft Entra ID分配的组表示:
- Windows 自动修补 - 测试
- Windows 自动修补 - Ring1
- Windows 自动修补 - Ring2
- Windows 自动修补 - Ring3
- Windows 自动修补 - 最后一个
Windows 自动修补 - Test 和 Last 只能用作 分配 的设备分发。 Windows 自动修补 - Ring1、 Ring2 和 Ring3 可以与 已分配 或 动态 设备分发一起使用,或者同时具有这两种设备分发类型的组合。
提示
有关 分配 和 动态 部署圈分发类型之间的差异的详细信息,请参阅 关于部署圈。 只有放置在“测试和最后一个部署”部署圈之间的部署圈才能与动态部署环分发一起使用。
注意
租户中不能缺少由自动修补组创建的这些和其他Microsoft Entra ID分配的组,否则,自动修补组可能无法正常工作。
“最后一个部署圈”是“默认自动修补”组中的第五个部署圈,旨在覆盖一组专用设备和/或 VIP/Executive 用户的情况。 他们必须在组织总体之后接收软件更新部署,以减少对组织关键业务的中断。
默认更新部署节奏
默认自动修补组为其部署圈提供默认的更新部署节奏,但 “最后 (第五个) 部署圈除外。
Windows 10 及更高版本的更新通道策略
自动修补组为默认自动修补组中的每个部署圈设置Windows 10和更高版本的更新通道策略。 请参阅以下默认策略值:
| 策略名称 | Microsoft Entra组分配 | 质量更新延迟(天) | 功能更新延迟(以天为单位) | 功能更新卸载窗口(以天为单位) | 质量更新的最后期限(以天为单位) | 功能更新的截止时间(以天为单位) | 宽 限期 | 在截止时间之前自动重启 |
|---|---|---|---|---|---|---|---|---|
| Windows 自动修补更新策略 - 默认值 - 测试 | Windows 自动修补 - 测试 | 0 | 0 | 30 | 0 | 5 | 0 | 是 |
| Windows 自动修补更新策略 - 默认值 - Ring1 | Windows 自动修补 - Ring1 | 1 | 0 | 30 | 2 | 5 | 2 | 是 |
| Windows 自动修补更新策略 - 默认值 - Ring2 | Windows 自动修补 - Ring2 | 6 | 0 | 30 | 2 | 5 | 2 | 是 |
| Windows 自动修补更新策略 - 默认值 - Ring3 | Windows 自动修补 - Ring3 | 9 | 0 | 30 | 5 | 5 | 2 | 是 |
| Windows 自动修补更新策略 - 默认值 - 最后一个 | Windows 自动修补 - 最后一个 | 11 | 0 | 30 | 3 | 5 | 2 | 是 |
Windows 10 及更高版本的功能更新策略
自动修补组为默认自动修补组中每个部署圈设置Windows 10和更高版本的策略的功能更新,请参阅以下默认策略值:
| 策略名称 | Microsoft Entra组分配 | 功能更新版本 | 推出选项 | 第一个部署圈可用性 | 最终部署圈可用性 | 部署圈之间的一天 | 支持结束日期 |
|---|---|---|---|---|---|---|---|
| Windows 自动修补 - DSS 策略 [测试] | Windows 自动修补 - 测试 | Windows 10 21H2 | 尽快提供更新 | 不适用 | 不适用 | 不适用 | 2024 年 6 月 11 日;凌晨 1:00 |
| Windows 自动修补 - DSS 策略 [Ring1] | Windows 自动修补 - Ring1 | Windows 10 21H2 | 尽快提供更新 | 不适用 | 不适用 | 不适用 | 2024 年 6 月 11 日;凌晨 1:00 |
| Windows 自动修补 - DSS 策略 [Ring2] | Windows 自动修补 - Ring2 | Windows 10 21H2 | 尽快提供更新 | 2022 年 12 月 14 日 | 2022 年 12 月 21 日 | 1 | 2024 年 6 月 11 日;凌晨 1:00 |
| Windows 自动修补 - DSS 策略 [Ring3] | Windows 自动修补 - Ring3 | Windows 10 21H2 | 尽快提供更新 | 2022 年 12 月 15 日 | 2022 年 12 月 29 日 | 1 | 2024 年 6 月 11 日;凌晨 1:00 |
| Windows 自动修补 - DSS 策略 [上一个] | Windows 自动修补 - 最后一个 | Windows 10 21H2 | 尽快提供更新 | 2022 年 12 月 15 日 | 2022 年 12 月 29 日 | 1 | 2024 年 6 月 11 日;凌晨 1:00 |
关于自定义自动修补组
注意
对于可以使用预配置的五个部署环组合来满足其业务需求的组织,建议使用 默认自动修补组 。
自定义自动修补组旨在帮助需要更精确地表示其组织的结构以及服务中自己的更新部署节奏的组织。
默认情况下,自定义自动修补组会自动显示“测试”和“上次部署”环。 有关详细信息,请参阅 测试和上次部署圈。
关于部署圈
通过部署圈,自动修补组可以按顺序在自动修补组中逐步推出软件更新部署。
Windows 自动修补符合设备组管理的Microsoft Entra ID和Intune术语。 自动修补组中有两种类型的部署环组分发:
| 部署环分布 | 描述 |
|---|---|
| 动态 | 可以使用一个或多个基于设备的Microsoft Entra组(基于动态查询或分配用于部署圈组合)。 Microsoft Entra与动态分发类型一起使用的组可用于根据可自定义的百分比值跨多个部署圈分配设备。 |
| 已分配 | 可以使用一个基于设备的Microsoft Entra组(基于动态查询或分配用于部署圈组合)。 |
| 动态和已分配的组合 | 若要在处理部署环组合时提供更大的灵活性,可以在“自动修补”组中组合这两种设备分发类型。 自动修补组中的“测试和上次部署”圈 不支持 动态和已分配设备分发的组合。 |
关于测试和上次部署圈
“测试”和“最后一个部署”圈都是默认部署圈,自动出现在“默认自动修补”组和“自定义自动修补”组中。 这些默认部署圈提供自动修补组应具有的最小部署圈数。
如果仅在默认自动修补组中保留“测试和最后一个部署圈”,或者在创建自定义自动修补组时未添加更多部署圈,则“测试部署圈”可用作试点部署圈,而“最后”部署圈可用作生产部署圈。
重要提示
无法从“默认”或“自定义自动修补”组中删除或重命名“测试”和“上次部署”圈。 自动修补组不支持使用单个部署圈作为其部署环构成的一部分,因为需要至少两个部署圈才能逐步推出。 如果必须使用单个部署圈实现特定方案,并且不需要逐步推出,请考虑在 Windows 自动修补外部管理这些设备。
提示
测试和上次部署环一次仅支持一个Microsoft Entra组分配。 如果需要分配多个Microsoft Entra组,可以将其他Microsoft Entra组嵌套在计划用于测试和上次部署圈的组下。 仅支持一级Microsoft Entra组嵌套。
基于服务的部署圈与基于软件更新的部署圈
自动修补组创建两个不同的层。 每个层都包含自己的部署环集。
重要提示
默认情况下,基于服务和基于软件更新的部署环集都分配给成功注册到 Windows 自动修补的设备。
基于服务的部署圈
基于服务的部署圈集专门用于使用服务核心功能所需的服务和设备级配置策略、应用和 API 来更新 Windows 自动修补。
下面是Microsoft Entra ID分配的组,这些组表示基于服务的部署圈。 无法删除或重命名这些组:
- 新式工作区 Devices-Windows Autopatch-Test
- 新式工作区 Devices-Windows Autopatch-First
- 新式工作区 Devices-Windows Autopatch-Fast
- 新式工作区 Devices-Windows Autopatch-Broad
注意
请勿 (分配和动态) 修改Microsoft Entra组成员身份类型。 否则,Windows 自动修补服务将无法从这些组读取设备组成员身份,并导致自动修补组功能和其他与服务相关的操作无法正常工作。
此外,不支持将Configuration Manager集合直接同步到自动修补组创建的任何Microsoft Entra组。
基于软件的部署圈
基于软件的部署圈集专用于默认 Windows 自动修补组中的软件更新管理策略,例如 Windows 更新通道和功能更新策略。
以下是Microsoft Entra ID分配的组,这些组表示基于软件更新的部署圈。 无法删除或重命名这些组:
- Windows 自动修补 - 测试
- Windows 自动修补 - Ring1
- Windows 自动修补 - Ring2
- Windows 自动修补 - Ring3
- Windows 自动修补 - 最后一个
重要提示
将更多部署圈添加到默认自动修补组时,将创建其他Microsoft Entra ID分配的组并将其添加到列表中。
注意
请勿 (分配和动态) 修改Microsoft Entra组成员身份类型。 否则,Windows 自动修补服务将无法从这些组读取设备组成员身份,并导致自动修补组功能和其他与服务相关的操作无法正常工作。
此外,不支持将Configuration Manager集合直接同步到自动修补组创建的任何Microsoft Entra组。
关于设备注册
当你创建或编辑自定义自动修补组和/或编辑默认自动修补组以使用现有Microsoft Entra组而不是该服务提供的 Windows 自动修补设备注册组时,自动修补组会将设备注册到 Windows 自动修补服务。
使用自动修补组的常见方法
下面是使用自动修补组的三个常见用途。
用例 #1
注意
对于可以使用预配置的五个部署环组合来满足其业务需求的组织,建议使用 默认自动修补组 。
| 方案 | 解决方案 |
|---|---|
| 你是 Contoso Ltd 的 IT 管理员。并管理多个 Microsoft 和非 Microsoft 云服务。 没有额外的时间来设置和管理多个自动修补组。 你的组织当前使用五个部署圈来运行其更新管理,但如果已预先与最终用户通信,则有机会具有灵活的部署节奏。 |
如果没有数千台设备要管理,请使用组织的默认自动修补组。 可以编辑默认自动修补组以包含其他部署圈和/或略微修改其某些默认部署节奏。 默认自动修补组是预配置的,在向 Windows 自动修补服务注册设备时不需要额外的配置。 下面是由 Windows 自动修补服务预配置和完全托管的默认自动修补组逐步推出的直观表示形式。 |
用例 #2
| 方案 | 解决方案 |
|---|---|
| 你是 Contoso Ltd 的 IT 管理员。组织需要计划在特定关键业务部门或部门内逐步推出软件更新,以帮助降低最终用户中断的风险。 | 可以为每个业务部门创建自定义自动修补组。 例如,可以为财务部门创建自定义自动修补组,并根据不同用户角色或特定用户组对部门和业务的关键程度细分部署环构成。 下面是 Contoso 财务部门逐步推出的直观表示形式。 |
重要提示
设置自动修补组后,将通过其部署圈按顺序部署 Windows 质量或功能更新的发布。
用例 #3
| 方案 | 解决方案 |
|---|---|
| 你是 Contoso Ltd 的 IT 管理员。位于芝加哥的分支机构需要计划在特定部门内逐步推出软件更新,以确保芝加哥办事处的运营不会遇到中断。 | 可以为芝加哥的分支位置创建自定义自动修补组,并按分支位置内的部门细分部署环构成。 下面是 Contoso Chicago 分支位置逐步推出的直观表示形式。 |
重要提示
设置自动修补组后,将通过其部署圈按顺序部署 Windows 质量或功能更新的发布。
支持的配置
使用自动修补组时,支持以下配置。
软件更新工作负载
自动修补组适用于以下软件更新工作负载:
自动修补组的最大数目
Windows 自动修补最多支持租户中的 50 个自动修补组。 除了默认 自动修补组 之外,最多可以创建 49 个自定义自动修补组。 每个自动修补组最多支持 15 个部署圈。
提示
如果达到 50) 支持的最大自动修补组数 (,并尝试创建更多自定义自动修补组,则“自动修补组”边栏选项卡中的“创建”选项将灰显。
若要管理自动修补组,请参阅 管理 Windows 自动修补组。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈