在 Intune 中,使用 Windows 10 及更新版本的功能更新時,您可以選擇希望裝置維持在 Windows 功能更新版本。 Intune 支援將功能等級設定為在建立政策時仍支援的任何版本。
你也可以使用功能更新政策,將執行 Windows 10 的裝置升級到 Windows 11。
Windows 功能更新政策與 Windows 10 及以後版本的更新環政策合作,防止裝置收到比功能更新政策中指定的值更新更晚的 Windows 功能版本。
當裝置收到功能更新政策時:
裝置更新到政策中指定的 Windows 版本。 已經運行較新版本 Windows 的裝置仍維持目前版本。 凍結版本後,裝置的功能集在政策期間保持穩定。
注意事項
裝置在該 Windows 版本有 保護保留時 ,不會安裝更新。 當裝置評估更新版本的適用性時,若存在未解決的已知問題,Windows 會建立暫時的保護措施。 問題解決後,保留會被解除,裝置才能更新。
- 想了解更多關於 Windows 功能更新狀態文件中的保護措施。
- 要了解可能導致保護暫停的已知問題,請參閱適用的 Windows 版本資訊,然後參考該頁目錄中的相關 Windows 版本:
與使用暫停( Pause )搭配更新環(更新環)35天後失效不同,功能更新政策仍然有效。 裝置不會安裝新的 Windows 版本,除非你修改或移除功能更新政策。 如果你編輯政策指定新版本,裝置就能安裝該 Windows 版本的功能。
功能更新的卸 載 功能功能仍由更新環保留。
你可以設定政策來管理 Windows Update 何時將該優惠提供給裝置。 欲了解更多資訊,請參閱 Windows 匯報的推出選項。
當 Windows 功能更新從雲端服務部署到裝置時,最新的每月品質更新會自動包含在內。
必要條件
以下是 Intune 功能更新 Windows 10 及更新版本的前置條件:
建立與鎖定功能更新的核心功能只需 Intune 授權即可。 核心功能包括建立政策、選擇功能更新以更新裝置、使用 「盡快提供更新 」選項或指定開始日期,以及報告。 客戶端政策在專業 SKU 裝置上支援的功能不需要授權。
額外的雲端功能則需額外授權。 要使用雲端功能,除了 Intune 授權外,您的組織還必須擁有以下其中一項包含 Windows 自動補丁授權的訂閱:
Windows Enterprise E3 或 E5 (包含在 Microsoft 365 F3、E3 或 E5)
Windows Education A3 或 A5 (包含在 Microsoft 365 A3 或 A5)
Windows 虛擬桌面存取 E3 或 E5
Microsoft 365 商務進階版
需要額外授權的雲端功能可在 「建立功能更新部署 」或「政策建立」頁面中說明,內容包括以下項目及可能新增的功能:
- 漸進式推出: 漸進式推出 功能僅為雲端功能,包含部署指定功能更新及何時開始向裝置開放該更新的基本控制。
- 可選功能更新
- Windows 10 (SxS) :Windows 10 (SxS) 功能僅限雲端。 如果你在建立需要 Windows 自動補丁的功能新政策時被阻擋,且你透過Enterprise 合約 (EA) 取得使用Windows Update客戶政策的授權,請聯絡授權來源,例如你的Microsoft帳戶團隊或賣給你的合作夥伴。 帳戶團隊或合作夥伴可以確認您的租戶授權符合 Windows 自動補丁授權要求。 請參見 「啟用現有EA的訂閱啟用」。
裝置必須:
使用仍支援的 Windows 版本。
註冊在 Intune MDM,並且成為 Microsoft Entra 混合加入或 Microsoft Entra 加入。
開啟遙測功能,最低設定為 「必要」。
收到功能更新政策且遙測設定為 未設定 () 的裝置,可能會安裝比功能更新政策中定義的更新版本更晚的 Windows。
將遙測設定為 Windows 裝置 限制政策 的一部分。 在裝置限制設定檔中,於 報告與遙測(Reporting and Telemetry)中,設定 共享使用資料 的最低值為 「必要」。 也支援 1903 (及更早的增強值) 或 選用 。
Microsoft帳戶 Sign-In 助理 (wlidsvc) 必須能夠執行。 如果服務被封鎖或設為 停用,則無法接收更新。 更多資訊請參閱 「功能更新未提供,但其他更新則有提供」。 預設情況下,服務設定為 手動 (觸發啟動) ,允許在需要時執行。
能存取端點。 欲取得此處相關服務所需端點的詳細清單,請參見 網路端點。
- Windows Update
- Windows 自動修補
在 Intune 中啟用您想部署功能更新的裝置的資料收集功能。
以下 Windows 版本支援功能更新:
- 專業版
- 大型企業
- 專業教育版
- Education
- 工作站專業版。
注意事項
不支援版本與版本:Windows Enterprise LTSC:Windows Update 用戶端政策不支援長期服務通道(Long Term Service Channel)版本。 建議使用替代的修補方法,例如 WSUS 或 Configuration Manager。
職場連接裝置的限制
Intune 針對 Windows 10 及更新版本的功能更新政策要求使用 Windows Update 用戶端政策及 Windows 自動修補。 Windows Update 用戶端政策支援 WPJ 裝置,而 Windows 自動補丁則提供更多 WPJ 裝置不支援的功能。
欲了解更多關於 WPJ 對 Intune Windows Update 政策限制的資訊,請參閱「管理Windows 10」中的「工作場所已加入裝置的政策限制」及「Intune 中的Windows 11軟體更新」。
Windows 10 及以後版本功能更新政策的限制
當您部署 Windows 10 及以後版本功能更新政策到同時接收 Windows 10 及以後版本更新環的裝置時,請檢視以下設定的更新環:
- 我們建議將 功能更新延遲期 設為 0, () 天。 此配置確保功能更新不會因更新環政策中可能設定的延遲而延遲。
- 更新環的功能更新必須正在 執行。 它們不能暫停。
提示
如果您使用功能更新,建議您在相關的更新環政策中將功能更新延期設為 0 。 將更新環延後與功能更新政策結合,可能會造成複雜度,延遲更新安裝。
欲了解更多資訊,請參閱「從更新環延期移至功能更新政策」
Windows 10及後續政策的功能更新無法在 OOBE) (Windows Autopilot 開箱即用體驗中套用。 相反地,這些政策會在裝置完成配置後的第一次 Windows Update 掃描時生效,通常需要一天時間。
如果你用 Configuration Manager 共同管理裝置,當你重新將 Windows Update 政策工作負載設定到 Intune 時,功能更新政策可能不會立即生效。 此延遲是暫時的,但初期可能導致裝置更新至政策中設定的較晚功能更新版本。
為了避免這種初期延遲影響你的共管設備:
前往裝置>依平台>Windows>管理更新>Windows 10 及後續更新>功能更新標籤 >建立個人檔案。
在 部署設定中,輸入有意義的名稱和政策描述。 然後,指定你希望裝置執行的功能更新。
完成政策設定,包括將政策指派給裝置。 該政策會部署到裝置,但任何已經安裝你選擇版本或更新版本的裝置,將不會獲得更新。
監控保單報告。 要做到這點,請前往報告>Windows 匯報>報告標籤>功能匯報報告。 選擇你建立的政策,然後產生報告。
擁有 OfferReady 或更新狀態的裝置,會被註冊為功能更新,並受到保護,無法更新到你在步驟 3 中指定的更新之外的任何更新。 請參閱組織) 報告 (使用Windows 10功能更新。
裝置已註冊更新並受到保護後,你可以安全地將 Windows Update 政策的工作負載從 Configuration Manager 改到 Intune。 請參考共管理文件中的「將工作負載切換到 Intune」。
當裝置簽入 Windows Update 服務時,該裝置的群組成員資格會被驗證,該群組會與任何功能更新政策設定中所分配的安全群組進行驗證。
收到功能更新政策的受管理裝置會自動加入 Windows 自動補丁。 該服務負責管理裝置收到的更新。 Microsoft Intune 使用這項服務,並與你的 Intune 政策合作,針對 Windows 更新部署功能更新到裝置。
當裝置不再被指派到任何功能更新政策時,該裝置仍會註冊在自動補丁中。 這個變更讓裝置有時間被指派到不同的政策,並確保在此期間裝置不會收到原本預期的功能更新。
因此,當功能更新政策不再適用於某裝置時,該裝置在以下任一情況下才會獲得任何功能更新:
- 裝置會被分配到一個新功能更新設定檔。
- 該裝置已從 Intune 取消註冊,Intune 會透過自動補丁將該裝置從功能更新管理中取消註冊。
- 你可以使用 Windows 自動補丁圖 API 將裝置從功能更新管理 中移除 。
建立並指派 Windows 10 及更新版本的功能更新政策
依平台>選擇裝置>Windows>Windows 10 及以後更新>功能更新標籤 >建立個人檔案。
在 部署設定中:
a. 姓名、 描述:指定名稱,描述 (可選) 。
b. 必要/可選更新:這些選項僅在目標版本為 Windows 11 時可用。
- 當選擇預設選項「 讓使用者可作為所需更新 」時,裝置會根據裝置設定自動安裝該更新。
- 當管理員選擇「 讓使用者可選更新」時,所選更新會以可選更新形式提供給使用者。 推出設定仍可控制更新何時可用,但使用者必須選擇在裝置安裝前安裝更新。
使用者在裝置上看到的內容 當管理員將更新設為 可選 更新時,使用者必須前往 Windows 更新設定 頁面查看並選擇安裝該更新。 建議透過溝通管道向終端用戶傳達可選更新的可用性。 當使用者進入 Windows 更新設定 頁面時,他們可以選擇安裝該更新,只要願意接受更新。 使用者必須點擊 下載 才能安裝更新。 否則,除非管理員把它設為 「必須 更新」,否則不會安裝。 這和用戶在個人電腦上熟悉的可選更新體驗相同。
當管理員從 可選 切換為 必須時,會觀察到以下行為:
- 匯報不會重新安裝,因為那些在選擇性更新時就安裝了更新的人。
- 如果裝置尚未啟動更新,下次檢查更新時,該更新會被視為 「必需 更新」並自動安裝。
當管理員從 「必要 」切換為 「可選」時,會觀察到以下行為:
- 已經安裝更新的裝置則不會受到影響。
- 等待重啟的裝置很可能會繼續安裝該更新為 「必要 更新」。
- 切換只會影響尚未開始更新或進度較早、可以改成 可選 更新的裝置。
c. 功能更新以部署:選擇你想部署在裝置上的特定 Windows 版本。 僅有仍支援的 Windows 版本可供選擇。
d. 推出選項:設定推出選項,以管理 Windows 匯報何時將更新開放給收到此政策的裝置。 欲了解更多如何使用這些選項的資訊,請參閱 Windows 匯報的推出選項,然後選擇「下一頁」。
在 「指派」中,選擇 + 選擇群組以包含, 然後將功能更新部署指派到一個或多個裝置群組。 選取 [下一步] 繼續。
在 檢視 + 創建中,檢視設定。 當準備儲存功能更新政策時,請選擇 「建立」。
升級裝置至 Windows 11
你可以使用功能更新政策,針對Windows 10及以後版本的裝置升級Windows 10 Windows 11。
當你使用功能更新政策部署 Windows 11 時,可以將該政策鎖定在符合 Windows 11 最低要求的 Windows 10 裝置上,以便升級到 Windows 11。 不符合 Windows 11 要求的裝置將無法安裝更新,且會維持目前的 Windows 10 版本。
另一個選項是勾選「當裝置無法執行 Windows 11 時,安裝最新的 Windows 10 功能更新,不符合 Windows 11 需求的裝置將改為安裝最新的 Windows 10 功能更新。
然而,如果無法執行 Windows 11 的 Windows 10 裝置被針對 Windows 11 更新,未來的 Windows 10 更新將不會自動提供給該裝置。 此時,將不符合資格的裝置從 Windows 11 政策中移除,並將該裝置指派至 Windows 10 功能更新政策。 請參考 「當多個政策針對同一裝置時的更新行為」。
準備升級到 Windows 11
準備 Windows 11 升級的第一步是確保您的裝置符合 Windows 11 的最低系統需求。
你可以利用 端點分析 來判斷哪些裝置符合硬體需求。 如果你的裝置不符合所有條件,你可以精確看到哪些未被滿足。 要使用 Endpoint 分析,你的裝置必須由 Intune 管理、共同管理,或啟用 Configuration Manager 客戶端並啟用租戶連接。
如果你已經在使用端點分析,請前往「隨時隨地工作」報告,並在中間選擇 Windows 分數類別,開啟一個包含 Windows 11 準備度綜合資訊的飛出視窗。 想了解更細緻的細節,請前往報告頂端的 Windows 標籤。 在 Windows 標籤中,你會看到裝置間的準備狀況資訊。
Windows 11 版本授權
Windows 11 包含一份新的授權協議,詳情請見 https://www.microsoft.com/useterms/。 提交 Windows 11 部署政策的組織會自動接受此授權協議。
當您在 Microsoft Intune 管理中心設定政策以部署任何 Windows 11 版本時,Microsoft Intune 管理中心會顯示通知,提醒您提交政策即代表裝置及您的裝置使用者接受 Windows 11 授權協議條款。 提交功能更新政策後,終端用戶將不會看到或需要接受授權協議,使更新過程更加順暢。
每次選擇 Windows 11 版本時,即使你所有 Windows 裝置都已經執行 Windows 11,這個授權提醒都會出現。 此提示是因為 Intune 不會追蹤哪些裝置會收到該政策,而其可能新的 Windows 10 裝置可能會加入並成為該政策的目標。
欲了解更多資訊及一般授權細節,請參閱 Windows 11 文件。
為 Windows 11 建立政策
要部署 Windows 11,你會建立並部署功能更新政策,就像你之前對 Windows 10 裝置所做的一樣。 不過流程是一樣的,你不是選擇 Windows 10 版本,而是從功能更新的下拉選單中選擇 Windows 11 版本。 下拉選單顯示支援中的 Windows 10 與 Windows 11 版本更新。
此外,管理員也可以選擇將最新的 Windows 10 更新部署到不符合 Windows 11 資格的裝置上。 要啟用此功能,管理員必須勾選「當裝置無法執行 Windows 11 時,在部署政策中安裝最新的 Windows 10 功能更新。」 此功能僅在您從功能更新中選擇 Windows 11 版本的下拉選單,且租戶符合本文件開頭定義的授權要求時可用。
有了這項功能,你不需要建立兩個不同的部署政策或兩個不同的功能更新。 只要有單一政策,你就能讓無法升級到 Windows 11 的 Windows 10 裝置升級到最新的 Windows 10 版本,而所有能升級到 Windows 11 的裝置則能升級到你選擇的 Windows 11 版本。
你無法為現有政策設定勾選框,因為更改勾選框值會結束目前的部署並開始兩個新部署。 要更改部署設定,請刪除目前的功能更新政策,並選擇勾選新政策。
- 將舊版 Windows 部署到裝置上不會讓裝置降級。 裝置只有在更新比目前版本更新時才會安裝。
- 將 Windows 11 更新部署到支援 Windows 11 的 Windows 10 裝置,該裝置會升級。
當多個政策針對同一裝置時,更新行為
當功能更新政策針對裝置擁有多個更新政策,或針對 Windows 10 裝置提供 Windows 11 更新時,請考慮以下幾點:
每個 Windows 功能更新政策支援單一更新。 當一個裝置同時受到多個政策的攻擊時,可能會被多個更新版本鎖定。
Windows Update 服務一次只能提供一個功能更新,且始終提供針對該裝置的最新更新版本。
由於 Windows 11 更新被視為比 Windows 10 更新更新的版本,該服務總是會將 Windows 11 更新提供給同時受到 Windows 10 與 Windows 11 更新目標的裝置。 這是因為在 Windows 10 裝置上部署 Windows 11 更新是支援的升級路徑。
使用勾選框:當裝置無法執行 Windows 11 時,使用多項政策時安裝最新的 Windows 10 功能更新,可避免本節提及的問題,並設定服務偵測 Windows 11 是否不符合該裝置的資格,改為提供最新的 Windows 10 功能更新。
注意事項
如果你用相同的裝置建立兩個政策,其中一個設為 必需 ,另一個設 為可選 ,且兩者都針對相同的功能更新版本,那麼該更新會被標示 為必需。
管理 Windows 10 及更新功能更新政策
在管理中心,請前往「依平台>>的裝置>」 Windows管理更新>Windows 10 及以後更新>的功能更新標籤,以查看你的個人資料。
每個個人檔案你都可以查看:
功能更新版本 – 設定檔中的功能更新版本。
指派 – 若設定檔被分配給一個或多個群組。
支援:功能更新的狀態:
- 支援 中 – 功能更新版本已支援並可部署至裝置。
- 支援結束 - 功能更新版本距離支援結束日期不到兩個月。
- 不支援 — 功能更新的支援已過期,不再部署到裝置。
支援結束日期 – 功能更新版本的支援結束日期。
注意事項
所提供的日期是針對 Windows 的企業版與教育版。 欲查詢 Windows Autopatch 支援的其他版本的支援日期,請參閱 Microsoft 產品生命週期網站。
從列表中選擇個人檔案會開啟個人資料 概覽 窗格,您可以:
- 選擇刪除以從 Intune 刪除該政策並從裝置中移除。
- 選擇 屬性 以修改部署。 在 屬性 面板中,選擇 編輯 以開啟 部署設定或指派,然後你可以修改部署內容。
注意事項
最終使用者更新狀態的最後掃描時間值會回傳「尚未掃描」,直到初始使用者登入並啟動 USO) 掃描 (更新會話編排器。 欲了解更多關於統一更新平台 (UUP) 架構及相關元件的資訊,請參閱「從 Windows Update 開始」。
驗證與報告
有多種選項可以透過 Intune 獲得 Windows 10/11 更新的深入報告。 Windows 更新報告會在同一報告中並列顯示您的 Windows 10 與 Windows 11 裝置的詳細資訊。
欲了解更多,請參閱 Intune 合規報告。
後續步驟
- 在 Intune 中使用 Windows 更新環
- 使用 Windows 更新相容性報告
- 使用 Windows 更新報告來處理 Windows 10/11 更新
- 另請參閱 Windows 部署內容中的 Windows 自動補丁 ,以獲得替代解決方案