採用 Microsoft 365 Apps 的服務設定檔

發行項
02/28/2024

服務配置檔可讓您使用自動化，直接從 Office 內容傳遞網路 (CDN) 將每月更新傳遞至 Microsoft 365 Apps 企業版。透過與全球企業的廣泛一對一參與，我們建置了本文，引導您完成在環境中啟用維護配置檔的最佳做法，並討論您和貴組織的優點。

注意事項

服務配置檔已被取代，並由雲端更新取代。如果您的 Microsoft 365 Apps 系統管理中心尚未提供雲端更新，請登入中心，然後選取右上方區域中的 [提供意見反應] 按鈕。選取任何選項，輸入您想要切換至雲端更新和 Email 的批注。選取 [提交]。我們很快就會與您連絡。

本文內容包含：

使用維護配置檔的優點
採用服務配置檔之兩種方式的逐步指引
深入探討裝置選取準則的運作方式
啟用維護配置檔之後，裝置會發生什麼情況

注意事項

上述和以下所有專案僅適用於 Microsoft 365 Apps 更新。此功能不會取代、修改或影響部署其他更新的現有解決方案，例如 Windows 更新。

提示

如果您偏好影片而非文字，我們有服務配置檔概觀影片和服務配置檔深入探討影片可供使用。

使用維護配置檔的優點

在一般更新管理工具上使用維護設定檔有多種優點：

改善的安全性貨幣： 對於企業環境，我們通常會看到大約 66% 的安全性貨幣。這表示在每個每月的「週二修補程式」之後，租用戶內裝置上大約 66% 的 Microsoft 365 Apps 已使用最新的安全性更新進行修補。使用維護配置檔時，我們看到此貨幣高於 90%。這表示新的服務可協助您更快且更廣泛地減少環境中的已知威脅。
提高觸達範圍： 常見的更新管理工具通常受限於目錄服務的界限。例如，裝置必須加入Active Directory，才能由指定的解決方案管理。使用維護配置檔時，您會中斷此障礙，並可管理租使用者所啟用且具有租使用者 Microsoft Entra 使用者登入的所有 Microsoft 365 Apps 實例。裝置是否已加入 Active Directory、Microsoft Entra ID、註冊到 Microsoft Entra ID，或保持在工作組模式中並不重要。
利用雲端： 服務配置檔是真正的雲端式服務，並不相依於任何內部部署基礎結構。無論裝置位於何處，如果裝置可以連線到雲端，就可以提供服務。
輕鬆上線： 如果裝置屬於維護配置檔的範圍， (本文稍後) 詳細說明，則會自動覆寫任何其他 Office 更新管理機制。不需要先將 Microsoft 365 Apps 與其他管理解決方案中斷連結。如果裝置超出維護配置檔的範圍，則會還原先前的更新管理控件。維護配置檔只會變更 Office 更新的處理方式、其他所有 (例如，如何管理 Windows 或 Edge 的更新) 維持不變。總而言之，裝置可以同時由兩個解決方案管理，而不會產生任何衝突。

決定您要透過更新通道或使用 Microsoft Entra 群組來採用維護配置檔

某些系統管理員想要逐步採用，並監視所有裝置是否順利執行，而不是同時啟用所有裝置的維護配置檔。有兩種常見的方式可分段採用此功能：

透過更新通道： 使用此方法時，維護配置檔會先以少量的更新通道選擇為目標。它會忽略其他通道上的所有裝置。這可讓您一次將一個通道移轉至每月企業通道，並透過服務配置檔進行管理。經過一段時間後，您會擴充頻道的選取範圍，直到涵蓋所有通道並移動所有裝置為止。
依 Microsoft Entra 群組：替代方法是使用 Microsoft Entra 群組，將維護配置檔限製為僅套用至指定的裝置或使用者。這可讓您將裝置新增至更細微的層級範圍。

若要決定哪一種方法最適合您，請檢閱每個更新通道有多少 Microsoft 365 Apps 安裝：

請確定 Microsoft 365 Apps 系統管理中心的清查已啟用並執行至少一周，因此大部分的裝置都已在其中註冊。
流覽至 Microsoft 365 Apps 系統管理中心的 [安全性更新狀態] 頁面，向下卷動並檢閱每個通道的裝置數目。

如果您熟悉一次移轉通道上的所有裝置，這是適合您的方法。如果您想要以較小的批次移轉裝置，您應該依 Microsoft Entra 群組。例如，如果您在指定的通道上有數千個裝置，而且您想要將它們移轉到三個批次來限制變更，則情況可能如下。

如何使用「依更新通道」方法設定服務配置檔

如果您想要逐步採用維護配置檔，您可以先以單一更新通道為目標來執行此動作。這些裝置上的 Microsoft 365 Apps 會移轉至每月企業通道，並自動更新。您可以在入口網站中監視進度，並隨著時間新增其他更新通道，以增加涵蓋範圍。

登入 Microsoft 365 Apps 系統管理中心。請確定您的環境中已符合使用服務配置檔的需求。
流覽至 [ 服務>每月企業 ]，然後選取 [ 開始使用] 來啟動精靈。再次選取 [下一步 ] 以移至 [ 裝置選取準則 ] 頁面。
啟用服務配置檔時，每月企業通道上的裝置會自動設為目標。右上方的圖表提供您目前選取範圍的目標裝置數目概觀。
針對您想要在第一個批次中的目標所有更新通道選取複選框。通常，我們會先將目標設為每月企業通道加上 Beta 通道和目前通道 (預覽) 。大量更新之後，我們會擴充至目前通道，然後延伸至 Semi-Annual 企業通道，包括預覽。
檢閱並調整其他選取準則。
選 取 [下一步 ] 以移至 [更新排除日期] 頁面。視需要輸入排除日期。
選取 [下一步 ] 以移至 [更新期限 ] 頁面。我們建議您使用預設設定來平衡用戶體驗並快速達到安全性合規性。深入瞭解期限的運作方式。
選 取 [下一步 ] 以檢閱您的設定，然後選取 [ 建立配置檔 ] 以開始進行。

建立之後，維護配置檔會開始計算哪些裝置屬於選取的準則。完成之後，它會開始指示在線裝置更新至最新的每月企業通道版本。檢閱 [ 裝置 ] 索引標籤上的進度。您可能需要幾個小時才能看到第一波裝置移動，因此請定期檢閱儀錶板。如果指定裝置上的更新失敗，請在 [問題] 索引標籤上查看更多詳細數據。

幾天之後，大部分的目標裝置應該已更新為最新的 Microsoft 365 Apps 版本。如果一切順利，請移至 [ 設定] 索引 標籤並新增其他更新通道，以將更多裝置移轉至服務配置檔。

如何使用「依 Microsoft Entra 群組」方法來設定服務配置檔

如果您想要以更細微的步驟採用維護配置檔，請使用 Microsoft Entra 群組將目標限製為一組特定裝置。這些裝置上的 Microsoft 365 Apps 會移轉至每月企業通道，並自動更新。您可以在入口網站中監視進度，並在一段時間內將額外的 Microsoft Entra 群組或裝置新增至現有的群組，以增加涵蓋範圍。

建立一或多個要用於目標的 Microsoft Entra 群組。將三種類型的專案新增至群組，而且可以混用它們：
- 裝置：這些裝置必須 Microsoft Entra 加入或 Microsoft Entra 混合式聯結，且 Microsoft 365 Apps 系統管理中心內的清查已知。
- 用戶：根據啟用數據，服務配置檔會識別清查中的哪些裝置具有指定的用戶帳戶所啟用的 Microsoft 365 Apps 安裝。這也會涵蓋在共用電腦啟用模式中執行的裝置，其中指定的使用者已登入並使用 Microsoft 365 Apps。
- Microsoft Entra 群組：使用巢狀群組，例如將群組的管理委派給業務單位。最多支援三個層級的巢狀。
登入 Microsoft 365 Apps 系統管理中心。請確定您的環境中已符合使用服務配置檔的需求。
流覽至 [ 服務>每月企業 ]，然後選取 [ 開始使用] 來啟動精靈。再次選取 [下一步 ] 以移至 [ 裝置選取準則 ] 頁面。
在頂端，選取 [選擇要包含的群組]，並新增您要設為目標的 Microsoft Entra 群組。這會定義套用其餘選取準則之後，將會設為目標的裝置集合上限。
- 範例：您指定具有兩個裝置的 Microsoft Entra 群組，一個在目前通道上執行，另一個在每月企業通道上執行。如果您只在 [信道] 區段中 選取 [每月企業通道]，則只會將一部裝置新增至維護配置檔的範圍，因為另一個裝置不符合所有選取準則。如果您的庫存中有更多裝置在該通道上，目標仍會限制為來自 Microsoft Entra 群組的一個裝置。
啟用維護配置檔時，每月企業通道上的裝置將會自動設為目標。右上方的圖表可讓您概略瞭解目前選取範圍可以設定為目標的裝置數目。
檢閱並調整其他選取準則。
選 取 [下一步 ] 以移至 [更新排除日期] 頁面。視需要輸入排除日期。
選取 [下一步 ] 以移至 [更新期限 ] 頁面。我們建議您使用預設設定來平衡用戶體驗並快速達到安全性合規性。深入瞭解期限的運作方式。
選 取 [下一步 ] 以檢閱您的設定，然後選取 [ 建立配置檔 ] 以開始進行。

幾天之後，大部分的目標裝置應該已更新為最新的 Microsoft 365 Apps 版本。如果一切順利，請移至 [設定] 索引標籤，並新增其他 Microsoft Entra 群組，或直接將裝置或使用者新增至群組，以擴大範圍。建議您考慮在某個時間點移除 Microsoft Entra 群組篩選器，以涵蓋未 Microsoft Entra 加入的裝置。

使用服務配置檔的最佳做法

以下是使用維護設定檔管理更新時的一些最佳做法：

如同其他雲端服務或 Microsoft Configuration Manager，服務配置檔是異步服務。當您建立或變更組態時，服務會在背景處理您的輸入。使用者介面 (尤其是 [ 裝置 ] 索引標籤) 不會立即反映您的變更。
變更設定 (選取準則、更新期限、客戶推出波等 ) 之後，請讓服務有一些時間來處理您的變更。在此處理期間，當服務重新計算裝置的範圍和狀態時，您可能會看到配置檔中的裝置數目下降。然後，裝置會以數百或千個裝置的批次方式新增回範圍。視您環境中的裝置總數而定，此程式可能需要數小時才能完成。
這也適用於發行新的更新時。一開始，維護配置檔會重設為零個裝置，而裝置會隨著時間新增至維護配置檔。
建議您先允許每個變更完成計算，再引進下一個變更。在此程序期間請耐心等候。
暫停或繼續維護配置檔時也適用相同的方法。允許服務處理變更，而不要連續快速暫停/繼續服務。暫停維護配置檔不會停止裝置上已起始的更新安裝，但會阻止服務將新的更新命令傳送至裝置。
觸發復原時，會套用相同的。設定復原動作之後，服務需要時間來處理變更，並等候裝置簽入以傳送回復命令。
使用 Microsoft Entra 群組來包含或排除裝置或建立自定義推出波時，建議將每個群組的成員數目限制為20,000個。您可以指定多個群組。此外，處理多個較小的群組會比處理單一大型群組更快。建議您使用兩個群組，每個群組有 20,000 個成員，而不是使用一個具有 40,000 個成員的 Microsoft Entra 群組。

選取器的運作方式

服務配置檔提供多個選取器，可讓您將正確的裝置集合設為目標。選取並儲存選取器之後，服務配置檔會檢查清查中列出的每部裝置是否都受到檢查。任何指定的裝置都必須符合要新增至配置檔的所有選取準則。如果裝置未通過檢查，即使裝置通過其他檢查，也不會新增。

組：此選取器可讓您指定一或多個 Microsoft Entra 群組。支援巢狀群組。若要通過檢查，必須符合下列兩個條件之一：
- 針對裝置：這些必須 Microsoft Entra 混合式聯結 (也稱為 HAADJ) 或 Microsoft Entra 加入 (也稱為 AADJ) ，並列在清查中。
- 針對使用者：清查中具有指定使用者所啟用 Microsoft 365 Apps 安裝的所有裝置都會通過檢查。針對此條件，裝置不需要加入任何目錄服務。
管道：此選取器會檢查 Microsoft 365 Apps 目前安裝的更新通道。若要通過檢查，裝置必須執行已選取的 Microsoft 365 Apps 更新通道。
磁碟空間： 此選取器會檢查回報給清查的可用磁碟空間。若要通過檢查，裝置的可用磁碟空間必須比指定的還要多。
宏：此選取器會檢查清查在過去 30 天內是否已報告宏使用量。如果在過去 30 天內至少有一個含有宏的檔案開啟，清查會保存二進位的 Yes/No 資訊。
載入宏：此選取器會檢查清查是否報告裝置上已安裝載入宏。清查會保存詳細的載入宏安裝數據，但這是二進位的 [是/否] 檢查。它只以載入宏的存在為基礎，而不是實際使用量。

如何將維護配置檔套用至裝置

建立維護配置檔之後，服務會預先計算應設為目標的裝置數目。所有裝置都會定期連線到 Microsoft 365 Apps 系統管理中心，並檢查是否有擱置中的動作或上傳更新的清查。以維護配置檔為目標的裝置會收到命令，以開始執行最新每月企業通道版本的更新。這些裝置也會收到命令，指示本機 Office 更新引擎忽略來自其他管理解決方案的命令。這僅限 Microsoft 365 Apps 更新;報告清查、執行安裝、更新其他產品 (所有其他管理工作) 維持不變。

一旦裝置收到執行更新的命令，就會使用 Office CDN、傳遞優化，以及可能可用的連線快取或對等來下載並套用更新。如果因為開啟 Microsoft 365 應用程式而無法套用更新，則會在背景、裝置重新啟動期間或裝置鎖定且操作系統進入閑置狀態時，以無訊息方式重試。如果在達到指定的期限之前無法套用更新，使用者會收到多個提示，要求關閉應用程式並套用更新。大約 48 小時後，使用者會收到倒數計時的最終通知。當達到零時，會儲存開啟的檔、關閉並更新應用程式，然後重新開啟並重載檔。但在大部分情況下，擱置中的更新可以在背景中以無訊息方式套用，而不需要提示使用者。

入口網站會收到這些步驟的狀態資訊，系統管理員會看到裝置從 「未啟動 」轉換為「 進行中」 ，最後會 轉換為「更新 」。如果裝置上發生錯誤，則會在入口網站中據以標示它，並重新套用起始。在大部分情況下，失敗與下載更新有關;例如，當裝置在下載使用中時關閉時。

更新裝置之後，它們會維持在此狀態，直到 Microsoft 發行每月企業通道的下一個更新為止。然後，服務會自動重新計算每個裝置所需的動作，並開始將這些動作交給裝置。根據預設，這會在四天內以波為單位發生，以降低對網路的影響。不需要手動動作即可起始每月更新週期。