注册设备

  • 项目

在 Microsoft 在 Windows 自动修补中管理你的设备之前,你必须向服务注册设备。

在开始之前

一旦 IT 管理员决定由服务管理其租户,Windows 自动修补即可接管满足基于软件先决条件的设备软件更新管理控制。 Windows 自动修补软件更新管理范围包括以下软件更新工作负载:

Windows 自动修补组设备注册

创建/编辑自定义自动修补组或编辑默认自动修补组以添加或删除部署圈时,将扫描设置部署圈时使用的基于设备的Microsoft Entra组,以查看是否需要向 Windows 自动修补服务注册设备。

如果未注册设备,则自动修补组使用现有的基于设备的Microsoft Entra组而不是 Windows 自动修补设备注册组启动设备注册过程。

有关详细信息,请参阅 创建自定义自动修补组编辑自动修补组 以使用自动修补组设备注册方法注册设备。

嵌套其他Microsoft Entra组时支持的方案

Windows 自动修补还支持以下Microsoft Entra嵌套组方案:

Microsoft Entra组从中同步:

警告

不建议将Configuration Manager集合直接同步到 Windows 自动修补设备注册Microsoft Entra组。 将Configuration Manager集合同步到Microsoft Entra组时使用不同的Microsoft Entra组,然后可以将此组或这些组嵌套到 Windows 自动修补设备注册Microsoft Entra组中。

重要提示

Windows 自动修补设备注册Microsoft Entra组仅支持一级Microsoft Entra嵌套组。

清理Microsoft Entra租户中Microsoft Entra混合联接和 Azure 注册设备的双重状态

当设备最初作为已注册Microsoft Entra设备连接到Microsoft Entra ID时,会出现Microsoft Entra双重状态。 但是,启用Microsoft Entra混合联接时,同一设备将两次连接到Microsoft Entra ID但作为混合Microsoft Entra设备连接。

在双重状态下,你最终会获得两个Microsoft Entra设备记录,这些记录针对同一设备具有不同的联接类型。 在这种情况下,混合Microsoft Entra设备记录优先于Microsoft Entra ID中任何类型的身份验证的Microsoft Entra已注册设备记录,这使得Microsoft Entra注册的设备记录过时。

在向 Windows 自动修补注册设备之前,建议在 Microsoft Entra ID 中检测和清理陈旧设备,请参阅如何:在 Microsoft Entra ID 中管理过时的设备

警告

如果在向 Windows Autopatch 注册设备之前未在 Microsoft Entra ID 中清理过时设备,则可能最终看到设备无法满足Intune或 Cloud-Attached (设备必须Intune托管或共同托管) 先决条件检查,因为预计这些过时的设备必须Intune管理或共同托管) 先决条件检查Microsoft Entra设备不再注册到Intune服务。

设备注册的先决条件

若要符合 Windows 自动修补管理的条件,设备必须满足基于软件的最低要求:

注意

Windows 自动修补不支持不生成序列号、型号和制造商信息的设备模拟器。 使用不支持的设备模拟器的设备不符合Intune或云附加先决条件检查。

重要提示

Windows 自动修补支持Windows 10 Long-Term服务通道 (LTSC) 当前由 Windows LTSC 提供服务的设备注册。 该服务仅支持管理当前由 LTSC 提供服务的设备的 Windows 质量更新 工作负载。 Windows 更新 for Business 服务和 Windows 自动修补不为属于 LTSC 的设备提供 Windows 功能更新。 必须使用 LTSC 媒体Configuration Manager操作系统部署功能为属于 LTSC 的 Windows 设备执行就地升级。

有关详细信息,请参阅 Windows 自动修补先决条件

关于“已注册”、“未就绪”和“未注册”选项卡

重要提示

已注册的设备可以显示在“已注册”、“未就绪”或“未注册”选项卡中。 当设备成功注册到服务时,设备将列在“已注册”选项卡中。但是,即使设备 () 成功注册,它们也可以是“未就绪”选项卡的一部分。如果设备无法注册,设备将列在“未注册”选项卡中。

Windows 自动修补在其设备边栏选项卡中有三个选项卡。 每个选项卡旨在提供一组不同的设备就绪状态,以便 IT 管理员知道要到哪里进行监视,并修复潜在的设备运行状况问题。

“设备”边栏选项卡 用途 预期的设备就绪状态
注册 此选项卡的目的是显示已成功注册到 Windows 自动修补服务的设备。 Active
未就绪 此选项卡的用途是帮助你识别和修正未能通过一个或多个设备注册后就绪情况检查的设备。 此选项卡中显示的设备已成功注册到 Windows 自动修补。 但是,这些设备尚未准备好让服务管理一个或多个软件更新工作负载。 就绪失败和/或非活动
未注册 此选项卡的用途是帮助你识别和修正不符合一个或多个先决条件检查的设备,以便成功注册到 Windows 自动修补服务。 先决条件失败

设备就绪状态

以下是 Windows 自动修补中可能的设备就绪状态:

就绪状态 描述 “设备”边栏选项卡
Active 具有此状态的设备已成功通过所有先决条件检查,然后成功注册到 Windows 自动修补。 此外,具有此状态的设备已成功通过所有设备后注册就绪情况检查。 注册
就绪失败 具有此状态的设备尚未通过一个或多个设备注册后就绪情况检查。 这些设备尚未准备好拥有由 Windows Autopatch 管理的一个或多个软件更新工作负载。 未就绪
Inactive 具有此状态的设备在过去 28 天内未与 Microsoft Intune 通信。 未就绪
先决条件失败 具有此状态的设备未通过一个或多个先决条件检查,并且尚未成功注册到 Windows 自动修补 未注册

设备注册所需的内置角色

角色定义授予分配给该角色的用户的权限集。 可以在 Windows 自动修补中使用以下内置角色之一来注册设备:

  • Microsoft Entra全局管理员
  • Intune服务管理员

有关详细信息,请参阅使用 Microsoft Intune Microsoft Entra 内置角色基于角色的访问控制 (RBAC)

如果要分配特权较低的用户帐户以在 Windows 自动修补门户中执行特定任务(例如,向服务注册设备),可以将这些用户帐户添加到租户注册过程中创建的两个Microsoft Entra组中之一:

Microsoft Entra组名称 发现设备 修改列 刷新设备列表 导出到 .CSV 设备操作
新式工作区角色 - 服务管理员
新式工作区角色 - 服务读取者

提示

如果要将特权较低的用户帐户添加到新式工作区角色 - 服务管理员Microsoft Entra组中,建议添加与 Windows 自动修补设备注册Microsoft Entra组所有者相同的用户。 Windows 自动修补设备注册Microsoft Entra组的所有者可以将新设备添加为组的成员以进行注册。

有关详细信息,请参阅在 Microsoft Entra ID 中分配组成员的所有者

有关设备注册过程的详细信息

将设备注册到 Windows 自动修补将执行以下操作:

  1. 记录服务中的设备。
  2. 将设备分配给软件更新管理所需的 两个部署环集 和其他组。

有关详细信息,请参阅 设备注册概述

Windows 365 企业版工作负载上的 Windows 自动修补

Windows 365 企业版为 IT 管理员提供了在Windows 365预配策略创建过程中向 Windows 自动修补服务注册设备的选项。 此选项为管理员和用户提供无缝体验,以确保云电脑始终处于最新状态。 当 IT 管理员决定使用 Windows 自动修补管理其Windows 365云电脑时,Windows 365预配策略创建过程会调用 Windows 自动修补设备注册 API 以代表 IT 管理员注册设备。

若要从Windows 365预配策略向 Windows 自动修补注册新的Windows 365 云电脑设备,请执行以下操作:

  1. 转到Intune管理中心
  2. 在左窗格中,选择“ 设备”。
  3. 导航到“预配>Windows 365”。
  4. 选择“预配策略 >”“创建策略”。
  5. 提供策略名称,然后选择“ 联接类型”。 有关详细信息,请参阅 设备联接类型
  6. 选择下一步
  7. 选择所需的图像,然后选择“ 下一步”。
  8. “Microsoft 托管服务 ”部分下,选择“ Windows 自动修补”。 然后选择“下一步”。 如果 Windows 自动修补 (预览版) 在全局管理员完成设置之前无法管理云电脑。将显示消息,必须注册租户才能继续。
  9. 相应地分配策略,然后选择“ 下一步”。
  10. 选择创建。 现在,Windows 自动修补会自动注册和管理新预配的 Windows 365 企业版 云电脑。

有关详细信息,请参阅创建Windows 365预配策略

重要提示

从 2023 年 5 月开始,Windows 365 云电脑设备分配到两个部署环集:基于服务和基于软件的部署圈。 此外,注册到 Windows 自动修补后,Windows 365 云电脑设备会自动添加到“默认自动修补”组。 有关详细信息,请参阅 基于服务的部署圈集与基于软件更新的部署环集

Azure 虚拟桌面工作负载上的 Windows 自动修补

Windows 自动修补可用于 Azure 虚拟桌面工作负载。 企业管理员可以使用现有设备注册过程预配其 Azure 虚拟桌面工作负载,以便由 Windows 自动修补进行管理。

Windows 自动修补为虚拟机提供与 物理设备相同的服务范围。 但是,除非另行指定,否则 Windows 自动修补会推迟对Azure 支持的任何 Azure 虚拟桌面特定支持。

必备条件

适用于 Azure 虚拟桌面的 Windows 自动修补遵循与 Windows 自动修补相同的 先决条件Azure 虚拟桌面先决条件

该服务支持:

  • 个人持久性虚拟机

不支持以下 Azure 虚拟桌面功能:

  • 多会话主机
  • 共用非持久性虚拟机
  • 远程应用流式处理

在 Azure 虚拟桌面上部署自动修补

可以使用与 物理设备相同的方法将 Azure 虚拟桌面工作负载注册到 Windows 自动修补。

为便于部署,我们建议在自动修补设备注册组中嵌套动态设备组。 动态设备组将面向会话主机中定义的 “名称 ”前缀,但 排除 任何多会话会话主机。 例如:

组名称 动态成员身份名称
Windows 自动修补 - 主机池会话主机
  • (device.displayName -contains "AP")
  • (device.deviceOSType -ne "Windows 10 Enterprise for Virtual Desktops")

通过Windows 365或 Windows 自动修补服务工程团队提供设备注册相关事件的支持。

设备管理生命周期方案

规划在 Windows 自动修补中注册设备时,还需要考虑一些设备管理生命周期方案。

设备刷新

如果设备以前已注册到 Windows 自动修补服务,但需要重置映像,则必须运行 Microsoft Intune 中可用的设备预配过程之一来重置设备映像。

设备将重新加入到Microsoft Entra ID (混合或仅Microsoft Entra) 。 然后,也重新注册到 Intune。 你或 Windows 自动修补服务无需执行进一步操作,因为该设备Microsoft Entra设备 ID 记录保持不变。

设备维修和硬件更换

如果需要修复以前注册到 Windows 自动修补服务的设备,请更换主板、不可移动的网络接口卡 (NIC) 或硬盘驱动器,则必须将设备重新注册到 Windows 自动修补服务中,因为发生重大硬件更改时会生成新的硬件 ID,例如:

  • SMBIOS UUID (主板)
  • MAC 地址 (不可移动 NIC)
  • OS 硬盘驱动器的串行、型号、制造商信息

发生这些硬件更改之一时,Microsoft Entra ID会为该设备创建新的设备 ID 记录,即使设备在技术上是同一设备也是如此。

重要提示

如果为以前注册到 Windows 自动修补服务的设备生成了新的Microsoft Entra设备 ID,即使它是技术上相同的设备,也必须通过设备直接成员身份或通过嵌套Microsoft Entra动态/分配组将新的Microsoft Entra设备 ID 添加到Windows 自动修补设备注册Microsoft Entra组。 此过程保证将新生成的Microsoft Entra设备 ID 注册到 Windows 自动修补,并且设备继续由服务管理其软件更新。