透過熱補丁更新,您可以迅速採取措施,保護組織免受不斷演變的網路攻擊環境,同時減少使用者中斷。 熱補丁更新是 每月 B 版的安全 更新,安裝並生效時不需要重新啟動裝置。 透過減少重啟需求,這些更新有助於確保更快速的合規,讓組織更容易維持安全,同時保持工作流程不中斷。
Microsoft Intune 中所有符合資格的裝置預設已啟用熱補丁安全更新。 此方法幫助組織維持安全合規,同時減少工作流程中斷。
你可以用租戶層級設定或品質更新政策來設定是否啟用熱補丁。
主要權益
- 更快的安全性:熱補丁安全修補在不需重啟的情況下生效,讓裝置更快速地安全。
- 減少中斷:熱補丁可在不需立即重啟裝置的情況下安裝合格的安全更新,幫助使用者保持生產力。
- 較小的有效載荷:熱補丁套件的大小明顯小於標準的累積更新。
- 現有更新環不變更:現有更新環配置仍然有效,並與熱補丁配置一同被尊重。
- 政策層級可視性:熱補丁品質更新報告提供接收熱補丁更新裝置的政策層級更新狀態視圖。
必要條件
熱補丁的前置條件和 Windows 品質更新政策相同。 請參閱 品質更新的前置條件。 本節強調熱補丁相關的額外先決條件。
裝置配置需求
要準備裝置接收熱補丁更新,請在該裝置上設定以下作業系統設定。 您必須設定這些設定,才能讓裝置獲得熱補丁更新並套用所有熱補丁更新。
基於虛擬化的安全 (VBS)
必須開啟 VBS,裝置才能獲得熱補丁更新。 關於如何設定及偵測是否啟用 VBS,請參見 VBS) (虛擬化安全性 。注意事項
裝置可能暫時不符合資格,因為它們沒有啟用 VBS,或目前沒有使用最新的基準版本。 為了確保所有 Windows 裝置都正確設定以符合熱補丁更新的資格,請參閱「 熱補丁更新疑難排解」。
你也可以在 自動補丁警報和修復 中查詢 VBS 狀態,並以 Hotpatch - VBS 未執行警報。
Arm 64 裝置必須停用編譯的混合 PE 使用 (CHPE) (Arm 64 僅 CPU)
為了確保所有熱補丁更新都被套用,您必須設定 CHPE) (Compiled Hybrid Portable Executable disable flag,並重新啟動裝置以停用 CHPE 使用。 你只需要設定這個旗幟一次。 登錄檔設定在更新期間仍會保留。
這項要求僅適用於使用熱補丁更新的 Arm 64 CPU 裝置。 熱補丁更新與服務 CHPE OS 二進位檔不相容。
要停用 CHPE,請建立和/或設定以下 DWORD 登錄檔鍵:
路徑:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1欲了解更多關於CHPE的資訊,請參閱 WOW64實施細節
注意事項
目前沒有計畫在啟用 CHPE 的 Arm64 裝置上支援熱補丁更新。 僅對 Arm64 裝置需要停用 CHPE。 AMD 和 Intel 的 CPU 沒有 CHPE。 如果你選擇不再使用熱補丁更新,請清除 CHPE 停用旗標 (
HotPatchRestrictions=0) ,然後重新啟動裝置以開啟 CHPE 使用。
不合格裝置
未符合一項或多項先決條件的裝置會自動收到 LCU) (最新累積更新。 LCU) 最新的累積更新 (包含每月更新,取代了前一個月包含安全與非安全釋出的更新。
LCU 需要你重新啟動裝置,但 LCU 會確保裝置完全安全且符合規範。
注意事項
如果裝置不符合熱補丁更新的資格,這些裝置會被提供 LCU。 LCU 會保留你設定的 Update 環設定,不會改變設定。
發行週期
欲了解更多熱補丁更新的發佈日曆資訊,請參閱 熱補丁發佈說明。
- 基線:包含最新安全修正、累積新功能及增強功能。 需要重啟。
- 熱補丁:包含安全更新。 不需要重啟。
| 季 | 基線更新 (需要重新啟動) | 熱補丁 (不需要重啟) |
|---|---|---|
| 1 | 一月 | 二月與三月 |
| 2 | 四月 | 五月與六月 |
| 3 | 七月 | 八月與九月 |
| 4 | 十月 | 十一月與十二月 |
在熱補丁月份,如果裝置已啟用熱補丁更新但未使用最新的基準更新,該裝置將同時接收最新的基準更新 (重啟所需的) ,以及最新的熱補丁更新。
注意事項
將已註冊的熱補丁裝置升級到最新的 Windows 版本 (例如從 Windows 11、24H2 升級到 Windows 11、25H2 版本,) 在基準月份內,裝置會持續處於熱補丁週期內,並且能無縫接收熱補丁更新。 然而,在熱補丁月將裝置升級到最新 Windows 版本時,裝置會切換到標準更新;你必須重新啟動裝置才能套用更新,直到下一個基準版本發佈。
Windows 11 企業版或 Windows Server 2025 上的熱補丁
注意事項
Hotpatch 也支援 Windows Server 和 Windows 365。 欲了解更多資訊,請參閱 Windows Server Azure 版熱補丁。
Windows 11 與 Windows Server 2025 之間的熱補丁更新方式相似。
- Windows 自動修補程式管理 Windows 11 更新
- Windows 2025 Datacenter/Standard 版 (Azure 更新管理員及選購的 Azure Arc 訂閱,) 管理 2025 Datacenter Azure 版Windows Server。
每年規劃的日曆日期、八個熱補丁月和四個基準月份,對所有支援熱補丁的作業系統都是相同的。 例如,某作業系統 (可能有額外的基線月份,例如 2022) Windows Server,而另一作業系統則有熱補丁月份,例如 Server 2025 或 Windows 11,版本 24H2。 請在 Windows 發布健康區查看發佈說明。
註冊裝置以接收熱補丁更新
你可以透過租戶層級設定或品質更新政策,為裝置啟用熱補丁更新。 租戶層級設定是套用在不屬於品質更新政策成員的裝置上的預設設定。 如果裝置被分配到品質更新政策,就會套用該政策中的熱補丁設定。
預設熱補丁租戶設定
預設租戶設定只會套用在不屬於品質更新政策成員的裝置上。
Windows 自動補丁會尊重你設定的高品質更新政策。 如果裝置被分配到這些政策之一,就會套用該政策中的熱補丁設定。
請為你的租戶設定預設的熱補丁更新行為:
- 在 Microsoft Intune 管理中心,選擇租戶管理>Windows Autopatch>租戶管理。
- 選擇 租戶設定 標籤。
- 將 「可用時,套用更新而不重啟裝置」 (「hotpatch」) 設定切換為 允許 或 封鎖。
使用品質更新政策設定熱補丁。
Windows 自動補丁會尊重你在品質更新政策中設定熱補丁設定的設定。 如果裝置被分配到這些政策之一,該政策中的熱補丁設定會被套用,而不是租戶的預設設定。
要註冊裝置以接收熱補丁更新:
- 在 Microsoft Intune 管理中心,選擇裝置>Windows 更新。
- 選擇 「品質更新 」標籤。
- 選擇 建立,然後選擇 Windows 品質更新政策。
- 在 基礎 條款中,輸入新保單名稱並選擇 「下一」。
- 在 設定 區塊中,設定 「可用時,套用且不重啟裝置時套用」 (「hotpatch」) 為 允許。 然後,選取 [下一步]。
- 選擇適當的範圍標籤或保持預設狀態。 然後,選取 [下一步]。
- 將裝置指派到政策中,並選擇 下一步。
- 檢視政策並選擇 建立。
這些步驟確保符合資格標準的目標裝置能被妥善配置。 請參閱 先修條件。 不符合資格的裝置則可獲得 LCU) (提供最新的累積更新。 看看 是什麼讓裝置無法符合資格。
注意事項
開啟熱補丁更新不會改變你受管理裝置上現有的截止日期驅動或排程安裝設定。 延期和有效工時設定仍然適用。
回滾熱補丁更新
熱補丁更新不支援自動回滾,但你可以卸載它們。 如果你在熱補丁更新時遇到意外問題,可以先解除安裝熱補丁更新,並安裝 LCU) (最新的標準累積更新,然後重新啟動。 卸載熱補丁更新很快,但需要重啟裝置。
熱補丁品質更新報告
在建立啟用熱補丁更新的 Windows 品質更新政策後,你可以從報告中監控結果、熱補丁部署狀態和錯誤。
本報告顯示所有啟用熱補丁更新的裝置的目標裝置總數及目前更新狀態。
要取得報告:
- 在 Microsoft Intune 管理中心,選擇「報告」
- 在 Windows 自動補丁 區塊中,選擇 Windows 品質更新
- 在 「報告 」標籤中,選擇 熱補丁品質更新報告。
排解熱補丁更新問題
步驟 1:在安裝熱補丁更新前,確認裝置是否符合熱補丁更新的資格,且基準狀態良好
熱補丁是依照熱補丁發布週期進行的。 請檢視前置條件,確保裝置符合熱補丁更新的資格。 關於不符合先決條件的裝置資訊,請參見 不合格裝置。
最新發行時程請參閱 熱補丁發布說明。 有關 Windows 更新歷史的資訊,請參見 Windows 11,版本 24H2 更新歷史。
步驟 2:確認裝置是否啟用了基於虛擬化 (VBS)
- 選擇開始,並在搜尋中輸入 系統資訊 。
- 從結果中選擇 系統資訊 。
- 在 系統摘要中,項目欄下,找到 基於虛擬化的安全。
- 在 「值 」欄位下,確保它標示 為「運行中」。
步驟 3:確認裝置是否正確設定以啟用熱補丁更新
- 在 Intune 中,透過 Windows 自動補丁檢視你設定的政策,看看哪些裝置群組被熱補丁政策鎖定,方法是前往 Windows Update>品質匯報頁面。
- 確保熱補丁更新政策設定為 允許。
- 在裝置上,選擇開始>設定>Windows Update>進階選項>已設定更新政策> 找到 啟用熱補丁(若有)。 此設定表示該裝置已依照 Windows 自動修補程式設定的熱補丁更新。
步驟 4:停用 CHPE (僅 Arm64 CPU) (編譯混合 PE 的使用)
欲了解更多資訊,請參閱 Arm 64 裝置必須停用編譯混合 PE 使用 (CHPE) (Arm 64 僅 CPU) 。
步驟 5:使用事件檢視器確認裝置是否開啟了熱補丁更新
- 在開始選單中點右鍵,選擇 事件檢視器。
- 在篩選器中搜尋 AllowRebootlessUpdates 。 如果 AllowRebootlessUpdates 設定為
1,該裝置會註冊在 Windows 自動補丁更新政策中,並且開啟了熱補丁更新:"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
步驟 6:檢查 Windows 日誌是否有熱補丁錯誤
熱補丁更新提供收件匣監控服務,檢查裝置上已安裝更新的健康狀況。 如果監控服務偵測到錯誤,服務會在 Windows 應用程式日誌中記錄事件。 若發生嚴重錯誤,裝置會安裝標準 (LCU) 更新,以確保裝置完全安全。
- 在開始選單中點右鍵,選擇 事件檢視器。
- 在篩選器中搜尋 hotpatch 即可查看日誌。