分享方式:


Intune 中 Windows 10 和更新版本原則的功能更新

透過 Intune 中 Windows 10 和更新版本的功能更新,您可以選取您想要裝置保留的 Windows 功能更新版本,例如 Windows 10 1909 版或 Windows 11 版。 Intune 支援將功能層級設定為在您建立原則時仍受支援的任何版本。

您也可以使用功能更新原則,將執行 Windows 10的裝置升級為 Windows 11

Windows 功能更新原則可搭配您適用於 Windows 10 和更新版本原則的更新通道使用,以防止裝置收到比功能更新原則中指定值還晚的 Windows 功能版本。

當裝置收到功能更新的原則時:

  • 裝置會更新為原則中指定的 Windows 版本。 已執行新版 Windows 的裝置會維持在目前的版本。 藉由凍結版本,裝置功能集會在原則期間保持穩定。

    注意事項

    當裝置具有該 Windows 版本 的防護保留 時,將不會安裝更新。 當裝置評估更新版本的適用性時,如果已知問題尚未解決,Windows 會建立暫時性保護保留。 一旦問題解決,就會移除保留,然後裝置就可以更新。

    • 如需保護 保留 的詳細資訊,請參閱 Windows 檔中的 功能更新狀態

    • 若要瞭解可能導致保護保留的已知問題,請參閱適用的 Windows 版本資訊,然後從該頁面的目錄參考相關的 Windows 版本:

      例如,針對 Windows 11 21H2 版,移至 Windows 11 版本資訊,然後從左側窗格中選取 [版本 21H2],然後選取 [已知問題和通知]結果頁面包含該 Windows 版本已知問題的詳細數據,可能會導致保護保留。

  • 不同於搭配更新通道使用 Pause ,更新通道會在35天后到期,功能更新原則會維持有效狀態。 在您修改或移除功能更新原則之前,裝置將不會安裝新的 Windows 版本。 如果您編輯原則以指定較新的版本,則裝置可以從該 Windows 版本安裝功能。

  • 更新通道仍然接受 卸載 功能更新的功能。

  • 您可以設定原則來管理 Windows Update 將供應專案提供給裝置使用的排程。 如需詳細資訊,請參閱 Windows 匯報 的推出選項

必要條件

重要事項

GCC 和 GCC High/DoD 雲端環境不支援此功能。

使用現有的EA啟用訂用 帳戶不適用於適用於 WuFB-DS 功能的 GCC 和 GCC High/DoD 雲端環境。

以下是 Windows 10 和更新版本 Intune 功能更新的必要條件:

  • 建立功能更新和以功能更新為目標的核心功能只需要授權 Intune。 核心功能包括建立原則,以及選取更新裝置的功能更新、使用 [儘快 提供更新] 選項或指定開始日期和報告。 專業 SKU 裝置上客戶端原則所支援的功能不需要授權。

  • 其他雲端式功能需要額外的授權。 若要使用雲端式功能,除了 Intune 的授權之外,您的組織還必須擁有下列其中一個訂用帳戶,其中包含商務用 Windows Update 部署服務的授權:

    • Windows 10/11 企業版 E3 或 E5 (隨附於 Microsoft 365 F3、E3 或 E5 中)

    • Windows 10/11 教育版 A3 或 A5 (隨附於 Microsoft 365 A3 或 A5 中)

    • Windows 虛擬桌面存取 E3 或 E5

    • Microsoft 365 商務進階版

    從 2022 年 11 月開始,會檢查並強制執行商務用 Windows Update 部署服務 (WUfB ds) 授權。

    需要額外授權的雲端式功能會在 [ 建立功能更新部署 或原則建立] 頁面中指出,並包含下列專案和可能的新功能:

    • 漸進式推出: 漸進式推出 功能是僅限雲端的功能,包含部署指定功能更新的基本控制件,以及何時開始將更新提供給裝置使用。

    • 選擇性功能更新

    • Windows 10 (SxS) :Windows 10 (SxS) 功能是僅限雲端功能。 如果您針對需要商務用 Windows Update 部署服務的功能建立新原則,並透過 Enterprise 合約 (EA) 取得使用 WUfB 的授權時遭到封鎖,請連絡您的授權來源,例如您的Microsoft帳戶小組或向您銷售授權的合作夥伴。 帳戶小組或合作夥伴可以確認您的租用戶授權符合 WUfB ds 授權需求。 請參閱 使用現有的EA啟用訂用帳戶啟用

  • 裝置必須:

    • 執行持續支援的 Windows 10/11 版本。

    • 在 Intune MDM 中註冊,並加入混合式 AD 或 Microsoft Entra 加入。

    • 開啟 [遙測],最低設定為 [ 必要]

      接收功能更新原則且已將 [遙測] 設定為 [ 設定] (關閉) 的裝置,可能會安裝比功能更新原則中定義的更新版本還要新版本的 Windows。 需要遙測的必要條件正在檢閱中,因為這項功能即將正式運作。

      將遙測設定為 Windows 10/11 裝置限制原則的一部分。 在裝置限制配置檔的 [報告和遙測] 底下,以 [必要] 的最小值設定 [共用使用量數據]。 也支持 增強 (1903 和更早版本) 選擇性的值

    • Microsoft帳戶 Sign-In Assistant (wlidsvc) 必須能夠執行。 如果服務遭到封鎖或設定為 [ 已停用],則無法接收更新。 如需詳細資訊,請參閱 其他更新時未提供功能更新。 根據預設,服務會設定為 [手動 (觸發程序啟動) ],這可讓它在需要時執行。

    • 可存取端點。 若要取得此處所列相關聯服務所需的詳細端點清單,請參閱 網路端點

  • 針對您想要部署功能更新的裝置,在 Intune 中啟用數據收集

  • 下列 Windows 10/11 版本支援功能更新:

    • 專業版
    • 企業
    • 教育
    • Education
    • 工作站專業版。

    注意事項

    不支援的版本和版本
    Windows 10/11 企業版 LTSC:Windows Update 商務 (WUfB) 不支持長期服務通道版本。 規劃使用替代修補方法,例如 WSUS 或 Configuration Manager。

已加入工作場所裝置的限制

Windows 10 及更新版本的功能更新 Intune 原則需要使用商務用 Windows Update (WUfB) 和商務用 Windows Update 部署服務 (WUfB ds) 。 WUfB 支援 WPJ 裝置時,WUfB ds 提供 WPJ 裝置不支援的更多功能。

如需 Intune Windows Update 原則 WPJ 限制的詳細資訊,請參閱管理 Windows 10 和 Intune 中 Windows 11 軟體更新中的加入工作場所裝置的原則限制

Windows 10和更新版本原則的功能更新限制

  • 當您將 Windows 10 和更新版本原則的功能更新部署到也收到 Windows 10 和更新版本原則更新通道的裝置時,請檢閱更新通道以取得下列設定:

    • 建議您將 功能更新延遲期間 (天) 設定為 0。 此設定可確保您的功能更新不會因為更新通道原則中可能設定的更新延遲而延遲。
    • 更新通道的功能更新必須 正在執行。 不得暫停。

    提示

    如果您使用功能更新,建議您在相關聯的更新通道原則中,將功能更新延遲期間設定為 0 。 將更新通道延遲與功能更新原則結合,可能會造成可能會延遲更新安裝的複雜度。

    如需詳細資訊, 請參閱從更新通道延遲移至功能更新原則

  • Windows 10 和更新版本原則的功能更新無法在 OOBE) (Autopilot 現用體驗期間套用。 相反地,原則會在裝置完成布建之後的第一個 Windows Update 掃描套用,這通常是一天。

  • 如果您使用 Configuration Manager 共同管理裝置,當您將 Windows Update 原則工作負載設定為 Intune 時,功能更新原則可能不會立即在裝置上生效。 此延遲是暫時性的,但一開始可能會導致裝置更新為比原則中所設定的更新版本更新為較新的功能更新版本。

    若要防止此初始延遲影響共同管理的裝置:

    1. 登入 Microsoft Intune 系統管理中心

    2. 移至 [依平台>的裝置>][Windows>管理更新>Windows 10 及更新版本>的 [功能更新] 索引卷標 >[建立配置檔]

    3. 針對 [部署設定],輸入有意義的名稱和原則的描述。 然後,指定您要讓裝置執行的功能更新。

    4. 完成原則設定,包括將原則指派給裝置。 此原則會部署至裝置,但不會提供更新給任何已選取版本或較新版本的裝置。

      監視原則的報告。 若要這樣做,請移至>表 Windows 匯報>表索引標籤>功能 匯報 報表。 選取您建立的原則,然後產生報告。

    5. 狀態為 OfferReady 或更新版本的裝置會註冊功能更新,並防止更新為您在步驟 3 中指定的更新。 請參閱使用組織) 報告 (Windows 10 功能更新

    6. 註冊更新並受到保護的裝置,您可以安全地將 Windows Update 原則工作負載從 Configuration Manager 變更為 Intune。 請參閱共同管理檔中的將工作負載切換至 Intune

  • 當裝置簽入 Windows Update 服務時,會根據指派給任何功能更新保留之功能更新原則設定的安全組來驗證裝置的群組成員資格。

  • 接收功能更新原則的受控裝置會自動向商務用 Windows Update 部署服務註冊。 部署服務會管理裝置收到的更新。 Microsoft Intune 使用此服務,並搭配您的 windows 更新 Intune 原則,將功能更新部署至裝置。

    當裝置不再指派給任何功能更新原則時,裝置仍會在部署服務中註冊。 這項變更可讓您有時間將裝置指派給不同的原則,並確保同時裝置不會收到未預期的功能更新。

因此,當功能更新原則不再套用至裝置時,在發生下列其中一項之前,不會提供該裝置任何功能更新:

  • 裝置會指派給新的功能更新配置檔。
  • 裝置已從 Intune 取消註冊,這會從部署服務的功能更新管理取消註冊裝置。
  • 您可以使用商務用 Windows Update 部署服務圖形 API,從功能更新管理中移除裝置

建立及指派 Windows 10 和更新版本原則的功能更新

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [依平台>的裝置>][Windows>Windows 10 及更新版本的> [功能更新] 索引標籤 >[建立配置檔]

  3. 在 [ 部署設定] 下

    a. 名稱描述:指定名稱,以及選擇性) (描述。

    b. 必要/選擇性更新:只有在 Windows 11 目標版本時,才能使用這些選項。

    • 選取預設選項 [ 將必要的更新提供給使用者 ] 時,裝置會根據裝置設定自動安裝更新。
    • 當系統管理員選取 [將使用者當 做選擇性更新提供給使用者] 選項時,選取的更新會作為選擇性更新提供給使用者。 首度發行設定仍會控制裝置何時可以使用更新,但用戶必須先選擇安裝更新,才能在裝置上安裝更新。

    使用者在其裝置上看到的內容
    當系統管理員將更新設為 選擇性 更新時,用戶必須流覽至 [Windows 更新設定 ] 頁面,才能查看並選擇安裝更新。 建議透過您的通道與用戶通訊,讓他們有選擇性的更新。
    當使用者流覽至 Windows 更新設定 頁面時,他們可以看到並選擇在願意進行更新時安裝更新。 使用者必須按兩下 [下載 ] 來安裝更新。 否則,除非系統管理員將它設為 必要 更新,否則不會安裝它。 這是使用者在個人計算機中熟悉的相同選擇性更新體驗。

    當系統管理員從 [選擇性 ] 切換為 [ 必要] 時,會觀察到下列行為:

    • 匯報 不會針對在選擇更新時繼續並選擇重新安裝更新的人員重新安裝。
    • 如果裝置尚未啟動更新,則下次裝置檢查更新時,會將更新視為 必要更新並 自動安裝。

    當系統管理員從 [ 必要 ] 切換為 [選擇性] 時,會觀察到下列行為:

    • 已安裝更新的裝置不會受到影響。
    • 擱置重新啟動的裝置可能會繼續將更新安裝為 必要 更新。
    • 切換只會影響尚未啟動更新的裝置,或在更新程式中夠早開始,以便變更為 選擇性 更新。

    c. 要部署的功能更新:選取特定版本的 Windows,其中包含您想要在裝置上部署的功能集。 只有保留支援的 Windows 版本可供選取。

    d. 首度發行選項:設定當 Windows 匯報 將更新提供給接收此原則的裝置時管理的推出選項。 如需使用這些選項的詳細資訊,請參閱 Windows 匯報 的推出選項,然後選取 [下一步]

  4. 在 [ 指派] 下選擇 [+ 選取要包含的群組 ],然後將功能更新部署指派給一或多個裝置群組。 選取 [下一步] 繼續。

  5. 在 [ 檢閱 + 建立] 下,檢閱設定。 準備好儲存功能更新原則時,請選取 [ 建立]

將裝置升級至 Windows 11

您可以使用 Windows 10 和更新版本的功能更新原則,將執行 Windows 10 的裝置升級為 Windows 11。

當您使用功能更新原則來部署 Windows 11 時,您可以將原則的目標設為 Windows 10 符合 Windows 11 最低需求的裝置,將其升級至 Windows 11。 不符合 Windows 11 需求的裝置將不會安裝更新,並維持其目前的 Windows 10 版本。

另一個選項是選取複選框 當裝置無法執行 Windows 11 時,安裝最新的 Windows 10 功能更新,則不符合 Windows 11 需求的裝置將會改為取得最新的 Windows 10 功能更新。

不過,如果無法執行 Windows 11 的 Windows 10 裝置是以 Windows 11 更新為目標,則未來的 Windows 10 更新將不會自動提供給該裝置。 在此情況下,請從 Windows 11 原則中移除不符合資格的裝置,並將裝置指派給 Windows 10 功能更新原則。 請參閱 多個原則以裝置為目標時的更新行為

準備升級至 Windows 11

準備 Windows 11 升級的第一個步驟是確保您的裝置符合 Windows 11 的最低系統需求

您可以在 Microsoft Intune 中使用端點分析來判斷哪些裝置符合硬體需求。 如果您的某些裝置不符合所有需求,您可以確切查看哪些裝置不符合。 若要使用端點分析,您的裝置必須由 Intune 管理、共同管理,或啟用 Configuration Manager 用戶端版本 2107 或更新版本並啟用租使用者附加。

如果您已經在使用端點分析,請從任何位置流覽至 [工作] 報告,然後選取中間的 [Windows 分數] 類別,以使用匯總 Windows 11 整備資訊來開啟飛出視窗。 如需更細微的詳細數據,請移至報表頂端的 [Windows] 索引標籤。 在 [Windows] 索引標籤上,您會看到裝置整備資訊。

Windows 11 版本的授權

Windows 11 包含新的許可協定,可在 檢視。https://www.microsoft.com/useterms/ 提交原則以部署 Windows 11 的組織會自動接受此許可協定。

當您在 Microsoft Intune 系統管理中心使用設定原則來部署任何 Windows 11 版本時,Microsoft Intune 系統管理中心會顯示通知,提醒您,藉由提交原則,您代表裝置和裝置使用者接受 Windows 11 許可協定條款。 提交功能更新原則之後,終端使用者將不會看到或需要接受許可協定,因此更新程序會順暢。

每當您選取 Windows 11 組建時,即使您所有的 Windows 裝置都已執行 Windows 11,還是會出現此授權提醒。 之所以會提供此提示,是因為 Intune 不會追蹤哪些裝置會收到原則,而且可能執行 Windows 10 的新裝置稍後可能會註冊並成為原則的目標。

如需包括一般授權詳細數據的詳細資訊,請參閱 Windows 11 檔

建立 Windows 11的原則

若要部署 Windows 11,您將建立和部署功能更新原則,就像您先前針對 Windows 10 裝置所做的一樣。 雖然這是相同的程式,但您不會選取 Windows 10 版本,而是從 [功能更新] 下拉式清單中選取 Windows 11 版本。 下拉式清單會顯示支援 Windows 10 和 Windows 11 版本更新。

此外,系統管理員可以選擇將最新的 Windows 10 更新部署到不符合 Windows 11 資格的裝置。 若要啟用這項功能,系統管理員必須選取 [當裝置無法執行 Windows 11 時,請在部署原則中安裝最新的 Windows 10 功能更新] 複選框。 只有在您從 [要部署的功能更新] 下拉式清單中選擇 Windows 11 版本,以及租使用者符合本檔開頭所定義的授權需求時,才能使用此功能。

使用這項功能時,您不需要建立兩個不同的部署原則或兩個不同的功能更新。 透過單一原則,您可以取得無法移至 Windows 11 的 Windows 10 裝置,以升級至最新的 Windows 10 版本,以及可移至 Windows 11 的所有裝置,以升級至您選擇的 Windows 11 版本。

您無法設定現有原則的複選框,因為變更複選框值會結束目前的部署,並啟動兩個新的部署。 若要變更您的部署設定,請刪除目前的功能更新原則,並建立已選取複選框的新原則。

  • 將舊版 Windows 部署到裝置並不會降級裝置。 裝置只會在更新比裝置目前版本更新時才安裝更新。
  • 將 Windows 11 更新部署至支援 Windows 11 的 Windows 10 裝置,會升級該裝置

當多個原則以裝置為目標時更新行為

當功能更新原則以具有多個更新原則的裝置為目標,或以更新為目標的 Windows 10 裝置 Windows 11 時,請考慮下列幾點:

  • 每個 Windows 功能更新原則都支援單一更新。 當裝置以多個原則為目標時,可能會以多個更新版本作為目標。

  • Windows Update 服務一次只能提供裝置一個功能更新,而且一律提供以裝置為目標的最新更新版本。

  • 由於 Windows 11 更新會被視為較 Windows 10 版本,因此服務一律會針對 Windows 10 和 Windows 11 更新的目標裝置提供 Windows 11 更新。 之所以這麼做,是因為將 Windows 11 更新部署至 Windows 10 裝置是支持的升級路徑。

  • 使用複選框 當裝置無法執行 Windows 11 時,使用多個原則時安裝最新的 Windows 10 功能更新可避免本節中所述的問題,並設定服務來偵測裝置不符合 Windows 11 資格,並改為提供最新的 Windows 10 功能更新。

注意事項

如果您使用相同的裝置/秒建立兩個原則,其中一個設定為 [ 必要 ],另一個設定為 [選擇性 ],且兩個原則都以相同的功能更新版本為目標,則更新會以 [必要] 提供。

管理 Windows 10和更新版本原則的功能更新

在系統管理中心中,移至 [依平臺>管理裝置>][Windows>管理更新>Windows 10 及更新更新>功能更新] 索引標籤,以檢視您的配置檔。

您可以針對每個設定檔檢視:

  • 功能更新版本 – 設定檔中的功能更新版本。

  • 已指派 – 如果設定檔指派給一或多個群組。

  • 支援:功能更新的狀態:

    • 支援 – 功能更新版本支援,可部署至裝置。
    • 支援結束 - 功能更新版本在其支持結束日期的兩個月內。
    • 不支援 – 功能更新的支援已過期,不再部署至裝置。
  • 支援結束日期 – 功能更新版本的支持結束日期。

注意事項

提供的日期是 Windows 企業版和教育版。 若要尋找商務用 Windows Update 支援的其他版本支援日期,請參閱 Microsoft 產品生命週期網站

從清單中選取設定檔會開啟 [配置檔 概觀 ] 窗格,您可以在其中:

  • 取 [刪除] 以從 Intune 刪除原則,並從裝置中移除原則。
  • 取 [屬性 ] 以修改部署。 在 [ 屬性] 窗格上,選取 [ 編輯 ] 以開啟 [ 部署設定] 或 [指派],然後您可以在其中修改部署。

注意事項

使用者更新狀態 上次掃描的時間值會傳回「尚未掃描」,直到初始使用者登入並更新會話協調器 (USO) 掃描起始為止。 如需整合更新平臺 (UUP) 架構和相關元件的詳細資訊,請參閱開始使用 Windows Update

驗證和報告

有多個選項可透過 Intune 取得 Windows 10/11 更新的深入報告。 Windows Update 報表會在相同的報表中顯示 Windows 10 和 Windows 11 裝置的詳細數據。

若要深入瞭解,請參閱 Intune 合規性報告

後續步驟