Windows 质量更新

  • 项目

Windows 自动修补部署每月第二个星期二发布的 每月安全更新版本

为了逐步向设备发布更新,Windows Autopatch 将一组移动设备管理 (MDM) 策略部署到每个更新部署圈,以控制推出。 有三个主要策略用于控制 Windows 质量更新:

策略 描述
延期 延迟策略将向设备提供更新的时间延迟一定天数。 Windows 质量更新的“产品/服务”日期等于每个月第二个星期二之后延迟策略中指定的天数。
最后 期限 在截止时间之前,用户可以计划重启或在活动时段外自动计划。 截止时间过后,无论使用时间如何,都会重启,用户将无法重新计划。 特定设备的截止时间设置为向设备提供更新后的指定天数。
宽限期 此策略指定在下载更新之后的最短天数,直到设备自动重启。 此策略将覆盖截止时间策略,以便如果用户休假后回来,它可以防止设备在联机后立即强制重启以完成更新。

对于 默认自动修补组中的设备,Windows 自动修补会在部署圈中以不同的方式配置这些策略,以逐步发布更新。 测试通道中的设备先接收更改,最后一个通道中的设备最后接收更改。 有关测试和最后一个部署圈的详细信息,请参阅 关于自动修补组中的测试和最后一个部署圈。 使用 Windows 自动修补组,还可以自定义 默认部署组的部署环组合 以添加和/或删除部署圈,并可以自定义每个部署圈的更新部署节奏。 若要详细了解如何自定义 Windows 质量更新部署节奏,请参阅自定义Windows 更新设置

重要提示

部署与 Autopatch 策略冲突的延迟、截止时间或宽限期策略将导致设备被视为不符合管理条件,它仍会收到来自 Windows 自动修补的策略,这些策略不冲突,但可能无法按设计运行。 这些设备将在设备报告中标记为不合格,并且不会计入服务级别 目标

服务级别目标

Windows 自动修补旨在使至少 95% 的 “最新”设备 保持最新质量更新。 自动修补按圈使用以前定义的发布计划(报告期为 5 天)来计算和评估 SLO) (服务级别目标。 服务级别目标的结果是发布管理和报告中显示的“具有最新质量更新的百分比”列。

服务级别目标计算

(SLO) 计算服务级别目标时,设备可能处于两种状态:

  • 发布期间处于活动状态的设备
  • 发布后变为活动的设备

以下每种状态的服务级别目标计算为:

State 计算
在发布期间处于活动状态的设备 此服务级别目标计算假定设备在计划发布期间具有典型活动。 计算方法:

Deferral + Deadline + Reporting Period = service level objective
发布后变为活动的设备 此服务级别目标计算是指在计划的发布期间脱机设备,但稍后会重新联机。 计算方法:

Grace Period + Reporting period = service level objective
时间 中定义的值
延迟 目标部署圈
最后 期限 目标部署圈
宽 限期 目标部署圈
报告周期 五天。 由 Windows 自动修补定义的值。

注意

目标部署圈是指有关设备的部署环值。 如果设备的延迟为 5 天,最后期限为 2 天,宽限期为 2 天,则设备的 SLO 将从每月第二个星期二开始计算为 5 + 2 + 5 = 12-day 服务级别目标。 五天报告期是 Windows Autopatch 建立的一个报告期,用于为服务中的设备检查报告和数据评估留出足够的时间。

重要提示

Windows 自动修补支持Windows 10 Long-Term服务通道 (LTSC) 当前由 Windows LTSC 提供服务的设备注册。 该服务仅支持管理当前由 LTSC 提供服务的设备的 Windows 质量更新 工作负载。 Windows 更新 for Business 服务和 Windows 自动修补不为属于 LTSC 的设备提供 Windows 功能更新。 必须使用 LTSC 媒体Configuration Manager操作系统部署功能为属于 LTSC 的 Windows 设备执行就地升级。

为Windows 10及更高版本导入更新通道, (公共预览版)

重要提示

此功能以 公共预览版提供。 它正在积极开发,可能不完整。

可以将组织的现有Intune更新通道导入到 Windows 自动修补Windows 10及更高版本。 导入组织的更新通道可提供 Windows 自动修补报告和设备就绪性的优势,而无需重新部署或更改组织的现有更新通道。 

导入的环会自动将所有目标设备注册到 Windows 自动修补中。 有关设备注册的详细信息,请参阅 设备注册工作流图

注意

注册为导入环的一部分的设备可能需要在设备收到最新版本的策略后最多 72 小时才会反映在 Windows 自动修补设备边栏选项卡和报告中。 有关报告的详细信息,请参阅 Windows 质量和功能更新报告概述

注意

设备注册失败不会影响现有的更新计划或目标。 但是,无法注册的设备可能会影响 Windows 自动修补提供报告和见解的能力。 应根据需要解决任何冲突。 如需其他帮助, 请提交支持请求

导入Windows 10及更高版本的更新通道

导入 Windows 10 及更高版本的更新通道:

  1. 转到Microsoft Intune管理中心。 
  2. 从左侧导航菜单中选择“ 设备 ”。 
  3. “Windows 自动修补 ”部分下,选择“ 发布管理”。 
  4. “发布管理 ”边栏选项卡中,转到“ 发布计划 ”选项卡,然后选择“ Windows 质量更新”。 
  5. 为Windows 10及更高版本选择“导入更新通道”。 
  6. 选择要导入的现有环。 
  7. 选择“ 导入”。

删除 Windows 10 及更高版本导入的更新环

删除Windows 10及更高版本的导入更新通道:

  1. 转到Microsoft Intune管理中心。 
  2. 从左侧导航菜单中选择“ 设备 ”。 
  3. “Windows 自动修补 ”部分下,选择“ 发布管理”。 
  4. “发布管理 ”边栏选项卡中,转到“ 发布计划 ”选项卡,然后选择“ Windows 质量更新”。 
  5. 选择要删除的Windows 10及更高版本的更新通道。 
  6. 选择 水平省略号 (...) ,然后选择 “删除”。

已知限制

导入的 Intune 更新通道中不提供以下 Windows 自动修补功能:

  • 依赖于自动修补组的自动修补组和功能
  • 在设备中的部署环之间移动设备
  • 自动部署环修正函数
  • 策略运行状况和修正

发布管理

注意

若要访问“发布管理”边栏选项卡,必须具有正确的 基于角色的访问控制

在“发布管理”边栏选项卡中,可以:

发布计划

对于每个 部署圈,“ 发布计划 ”选项卡包含:

  • 更新的状态。 版本显示为 “活动”。 更新计划基于代表你配置的Windows 10更新通道策略的值。
  • 更新的可用日期。
  • 更新的目标完成日期。
  • 在“ 发布计划 ”选项卡中,可以 暂停 和/或 恢复 Windows 质量更新版本。

加速版本

有关 Windows 新修订版的威胁和漏洞信息将在每月的第二个星期二提供。 Windows 自动修补不久后会评估该信息。 如果服务确定它对于安全性至关重要,则可能会加快速度。 质量更新在整个发布过程中也会持续进行评估,Windows 自动修补可能会在发布期间随时选择加速。

加速发布时,21 天内 95% 的设备常规目标不再适用。 相反,Windows 自动修补大大加快了版本的发布计划,以更快地更新环境。 此方法需要测试圈之外的所有设备的更新计划,因为这些设备已快速获取更新。

发布类型 延迟 最后 期限 宽 限期
加速发布 所有设备 0 1 1

关闭服务驱动的加速质量更新版本

Windows 自动修补提供了关闭服务驱动的加速质量更新的选项。

默认情况下,该服务会根据需要加快质量更新。 对于希望获得更大控制权的组织,你可以使用Microsoft Intune禁用 Windows 自动修补注册设备的快速质量更新。

若要关闭服务驱动的加速质量更新,请执行以下操作:

  1. 转到Microsoft Intune管理中心>设备
  2. “Windows 自动修补>发布管理”下,转到“ 发布设置 ”选项卡并关闭 “加速质量更新 ”设置。

注意

Windows 自动修补不允许客户请求加速版本。

带外版本

Windows 自动修补计划和部署所需的带外 (OOB) 在正常计划之外发布的更新。

对于已通过质量更新延迟日期的部署圈,将加快 OOB 发布计划,并在同一天部署。 对于即将延迟的部署圈,根据设置的延迟日期发布 OOB。

若要查看已部署的带外质量更新,请执行以下操作:

  1. 转到Microsoft Intune管理中心>设备>Windows 自动修补>发布管理
  2. 在“发布公告”选项卡下,可以查看与部署的 OOB 和常规 Windows 质量更新相对应的 知识库 (KB) 文章。 还可以在“发布计划”选项卡中查看 OOB 更新版本的计划。

注意

发布下一个质量更新时,将从“发布公告”选项卡中 删除 公告和 OOB 更新计划。 此外,如果暂停部署圈的质量更新,OOB 更新也将暂停。

暂停和恢复发布

注意

应仅使用 Windows 自动修补发布管理边栏选项卡在 Windows 自动修补托管设备上暂停和恢复 Windows 质量和 Windows 功能更新请勿使用Microsoft Intune最终用户体验流来暂停或恢复 Windows 自动修补托管设备。

服务级别暂停由 Windows Autopatch 从 Windows 更新 for Business 以及 Microsoft 中的其他几个产品组接收的各种软件更新部署相关信号驱动。

如果 Windows 自动修补检测到 某个版本的严重问题,我们可能会决定暂停该版本。

重要提示

暂停或恢复更新可能需要长达 8 小时才能应用于设备。 Windows 自动修补使用Microsoft Intune作为其设备管理解决方案,这是 Windows 设备通过暂停、恢复或回滚更新的新说明与Microsoft Intune通信所花费的平均频率。

有关详细信息,请参阅从Microsoft Intune分配策略、配置文件或应用后,设备获取策略、配置文件或应用需要多长时间

暂停或恢复 Windows 质量更新:

  1. 转到Microsoft Intune管理中心
  2. 从左侧导航菜单中选择“ 设备 ”。
  3. “Windows 自动修补 ”部分下,选择“ 发布管理”。
  4. “发布管理 ”边栏选项卡中,转到“ 发布计划 ”选项卡,然后选择“ Windows 质量更新”。
  5. 选择要暂停或恢复的自动修补组或部署圈。 选择“ 暂停”“恢复”。 或者,可以选择要暂停或恢复的自动修补组或部署圈的水平 省略号 (...) 。 从下拉菜单中选择、 暂停恢复
  6. 可选。 输入有关暂停或恢复所选更新的原因 () 的理由。
  7. 可选。 选择“此暂停与Windows 更新相关”。 选中此复选框时,必须提供有关暂停如何与Windows 更新相关的信息。
  8. 如果要恢复更新,可以选择一个或多个自动修补组或部署圈。
  9. 选择 “暂停”或“恢复部署”。

以下三种状态与暂停的质量更新相关联:

状态 描述
按服务暂停 如果 Windows 自动修补服务暂停了更新,则发布具有“ 已按服务暂停 ”状态。 “按服务暂停”状态仅适用于租户未暂停的响铃。
按租户暂停 如果暂停了更新,则发布具有“ 按租户暂停” 状态。 Windows 自动修补服务无法覆盖租户暂停。 必须选择“ 恢复 ”才能恢复更新。

修正未就绪和/或未更新设备

为确保设备接收 Windows 质量更新,Windows 自动修补提供了有关如何 修正 Windows 自动修补设备警报的信息。