共用方式為

設定 Windows Update 設定以進行 Azure 更新管理員

  • 發行項

Azure 更新管理員會倚賴 Windows Update 用戶端來下載並安裝 Windows 更新。 連線至 Windows Server Update Services (WSUS) 或 Windows Update 時,Windows Update 用戶端會使用特定設定。 其中有多項設定可透過下列項目來管理:

  • 本機群組原則編輯器
  • 群組原則
  • PowerShell
  • 直接編輯登錄

更新管理員會依循多項指定用來控制 Windows Update 用戶端的設定。 如果您使用設定來啟用非 Windows 更新,更新管理員也會管理這些更新。 如果您想要啟用在進行更新部署之前先下載更新的功能,更新部署可能較為快速、較有效率,且較不會超出維護期間。

如需在 Azure 訂閱中設定 WSUS,並安全地將 Windows 虛擬機器保持在最新狀態的其他建議,請參閱規劃您的部署以便在 Azure 中使用 WSUS 更新 Windows 虛擬機器

預先下載更新

若要設定自動下載更新而不自動安裝的功能,您可以使用群組原則,將自動更新設定設為 3。 此設定可讓您在背景下載必要的更新,並在更新已可供安裝時通知您。 如此,更新管理員仍會繼續控制排程,但允許在維護時段以外下載更新。 此行為可防止更新管理員發生 Maintenance window exceeded 錯誤。

您可以在 PowerShell 中啟用這項設定:

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()

設定重新開機設定

藉由編輯登錄來設定自動更新用來管理重新啟動的登錄機碼中列出的登錄機碼可能會導致您的機器重新開機,即使您在 [更新部署] 設定中指定了 [一律不重新開機],仍是如此。 請依據您的環境需求設定這些登錄機碼。

啟用其他 Microsoft 產品的更新

根據預設,Windows Update 用戶端會設定為僅提供 Windows 作業系統的更新。 在 Windows Update 中,選取 [線上檢查 Windows 更新]。 這樣就會檢查其他 Microsoft 產品的更新,啟用 [當我更新 Windows 時提供其他 Microsoft 產品的更新],以接收其他 Microsoft 產品的更新,包括 Microsoft SQL Server 和其他 Microsoft 軟體的安全性修補程式。

使用下列其中一個選項,執行大規模設定變更:

  • 對於從更新管理員設定為依排程修補的伺服器 (將 VM PatchSettings 設定為 AutomaticByPlatform = Azure-Orchestrated),以及所有在早於 Server 2016 的作業系統上執行的 Windows Server,請在您要變更的伺服器上執行下列 PowerShell 指令碼。

    $ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceManager.Services
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")

  • 若伺服器執行 Server 2016 或更新版本,且未使用更新管理員排程的修補 (將 VM PatchSettings 設定為 AutomaticByOS = Azure-Orchestrated),您可以下載並使用最新的群組原則系統管理範本檔案,使用群組原則加以控制。

設定 Windows 伺服器以進行 Microsoft 更新

Windows 伺服器上的 Windows Update 用戶端可以從下列任一 Microsoft 裝載的修補程式存放庫取得其修補程式:

  • Windows Update - 裝載作業系統修補程式。
  • Microsoft Update - 裝載作業系統和其他 Microsoft 修補程式。 例如 MS Office、SQL Server 等等。

注意

對於修補程式的應用程式,您可以在安裝時選擇更新用戶端,或是稍後再使用群組原則或藉由直接編輯登錄來選擇。 若要取得非作業系統 Microsoft 修補程式或僅安裝作業系統修補程式,建議您變更修補程式存放庫,因為這是作業系統設定,而不是您可以在 Azure 更新管理員內設定的選項。

編輯登錄

如果使用 Azure 更新管理員在您的機器上設定排程修補,用戶端上的自動更新就會停用。 若要編輯登錄並進行設定,請參閱 Windows 上的第一方更新

在 Azure 更新管理員上使用群組原則進行修補

如果您的機器使用 Azure 更新管理員進行修補,且已在用戶端上啟用自動更新,您可以使用群組原則完整掌控。 若要使用群組原則進行修補,請遵循下列步驟:

  1. 移至 [電腦設定]>[系統管理範本]>[Windows 元件]>[Windows Update]>[管理終端使用者體驗]

  2. 選取 [設定自動更新]

  3. 選取或取消選取 [安裝其他 Microsoft 產品的更新] 選項。

    選取或取消選取為其他 Microsoft 產品安裝更新的螢幕擷取畫面。

針對 Windows Server 2022:

  1. 移至 [電腦設定]>[系統管理範本]>[Windows 元件]>[Windows Update]>[設定自動更新]

  2. 選取 [設定自動更新]

  3. 選取或取消選取 [安裝其他 Microsoft 產品的更新] 選項。

    在 Windows Server 2022 中選取或取消選取為其他 Microsoft 產品安裝更新的螢幕擷取畫面。

進行 WSUS 組態設定

更新管理員支援 WSUS 設定。 您可以使用指定內部網路 Microsoft Update 服務位置中的指示,指定掃描和下載更新的來源。 根據預設,Windows Update 用戶端會設定為從 Windows Update 下載更新。 將 WSUS 伺服器指定為機器的來源時,如果 WSUS 未核准更新,則更新部署會失敗。

若要限定機器使用內部更新服務,請參閱不要連線至任何 Windows Update 網際網路位置

下一步

依照部署更新中的指示來設定更新部署。