閱讀英文

共用方式為

Microsoft Intune 中的 Windows 驅動程式更新管理

  • 發行項

使用 Microsoft Intune 中的 Windows 驅動程式更新管理,您可以檢閱、核准受控 Windows 10 和 Windows 11 裝置的驅動程式更新部署和暫停部署。 Intune 和商務用 Windows Update (WUfB) 部署服務 (DS) 負責識別指派驅動程式更新原則之裝置適用的驅動程式更新。 依類別 Intune 和 WUfB-DS 排序更新,可協助您輕鬆識別所有裝置的建議驅動程式更新,或可能被視為選擇性以供更多限制使用的更新。

使用 Windows 驅動程式更新原則,您仍可控制哪些驅動程式更新可安裝在您的裝置上。 您可以:

  • 啟用建議驅動程式更新的自動核准。 針對自動核准設定的原則會自動核准並部署每個新驅動程式更新版本,這些版本會被視為指派給原則之裝置 的建議驅動 程式。 建議的驅動程式通常是由發行者標示為 必要之驅動程序發行者所發佈的最新驅動程式更新。 未識別為目前建議驅動程式的驅動程式也可作為 其他驅動程式使用,這可視為選擇性驅動程式更新。

    稍後,當 OEM 中較新的驅動程式更新發行並識別為目前建議的驅動程式更新時,Intune 會自動將它新增至原則,並將先前建議的驅動程式移至其他驅動程式清單。

    提示

    由於有較新的建議驅動程式更新可供使用,已核准的建議驅動程式更新會移至 其他驅動 程式清單,但仍會獲得核准。 當有較新的建議和核准的驅動程式更新可用時,WUfB-DS 只會安裝該最新核准的版本。 如果已暫停最新核准的更新版本,部署服務會自動提供下一個最新且已核准的更新版本,該版本現在位於 其他驅動程式 清單中。 此行為可確保上次核准的已知良好驅動程式更新版本可以繼續安裝在裝置上,而較新的建議版本仍會暫停。

    使用此原則設定,您也可以選擇檢閱可用的更新,以選擇性地核准、暫停或拒絕 任何 仍可供具有原則之裝置使用的更新。

  • 設定原則以要求手動核准所有更新。 此原則可確保系統管理員必須先核准驅動程式更新,才能部署。 具有此原則之裝置的較新版本驅動程式更新會自動新增至原則,但在核准之前會保持非使用中狀態。

稍後,當原則中的裝置建議使用來自 OEM 的較新驅動程式更新時,原則狀態會更新,以指出有驅動程式擱置您的檢閱。 此狀態會變成動作的呼叫,以檢閱原則,並決定是否要核准將最新的驅動程式部署至裝置。

  • 管理哪些驅動程式已核准進行部署。 您可以編輯任何驅動程式更新原則,以修改哪些驅動程式已核准進行部署。 您可以暫停部署任何個別的驅動程式更新,以停止部署至新裝置,然後稍後重新布建暫停的更新,讓 Windows Update 在適用的裝置上繼續安裝。

不論原則設定和包含的驅動程序為何,只有核准的驅動程式可以在裝置上安裝。 此外,Windows Update 只會在版本比裝置上目前安裝的更新還新時,才安裝最新可用和核准的更新。

Windows 驅動程式更新管理適用於:

  • Windows 10
  • Windows 11

必要條件

重要

GCC 雲端環境不支援此功能。

使用現有的EA啟用訂用 帳戶不適用於適用於 WuFB-DS 功能的 GCC 和 GCC High/DoD 雲端環境。

若要使用 Windows Driver Update 管理,您的組織必須具有下列授權、訂用帳戶和網路設定:

訂閱

  • Intune:您的租使用者需要 Microsoft Intune 方案 1 訂帳戶。

  • Microsoft Entra IDMicrosoft Entra ID 免費 (或更新) 訂用帳戶。

Windows 訂用帳戶和授權

您的組織必須具有下列其中一個訂用帳戶,其中包含商務用 Windows Update 部署服務的授權:

  • Windows 10/11 企業版 E3 或 E5 (隨附於 Microsoft 365 F3、E3 或 E5 中)
  • Windows 10/11 教育版 A3 或 A5 (隨附於 Microsoft 365 A3 或 A5 中)
  • Windows 虛擬桌面存取 E3 或 E5
  • Microsoft 365 商務進階版

檢閱您的訂用帳戶詳細數據,以瞭解 Windows 11 的適用性

如果您在為需要 WUfB-DS 的功能建立新原則時遭到封鎖,而且您透過 Enterprise 合約 (EA) 取得使用 WUfB 的授權,請連絡您的授權來源,例如您的Microsoft帳戶小組或向您銷售授權的合作夥伴。 帳戶小組或合作夥伴可以確認您的租用戶授權符合 WUfB-DS 授權需求。 請參閱 使用現有的EA啟用訂用帳戶啟用

裝置 & 版本需求

Windows 版本

下列 Windows 10/11 版本支援驅動程式更新:

  • 專業版
  • 企業
  • 教育
  • 工作站專業版。

注意

不支援的版本和版本
Windows 10/11 企業版 LTSC:[品質更新] 底下的 [功能更新]、[驅動程式更新] 和 [加速品質更新原則],可在 [Windows 10] 和 [更新版本] 下方取得,不支援 LTSC) 版本 (長期服務通道。 規劃在 Intune 中使用更新通道原則。

裝置必須

  • 執行持續支援的 Windows 10/11 版本。

  • 在 Intune MDM 中註冊,並加入混合式 AD 或 Microsoft Entra 加入。

  • 已開啟遙測並設定為報告 基本 的最低數據層級,如 Windows 檔中 Windows 診斷數據收集的變更 中所定義。

    您可以使用下列其中一個 Intune 裝置組態設定檔路徑來設定 Windows 10 或 Windows 11 裝置的遙測:

    • 裝置限制範本:使用此設定檔,將 [共用使用量數據 ] 設定為 [ 必要]。 也支持選擇性
    • 設定目錄:從 [設定] 目錄中,從 [系統] 類別新增 [允許遙測],並將它設定為 [基本]。 也支援完整

    如需 Windows 遙測設定的詳細資訊,包括來自 Windows 的目前和過去設定選項,請參閱 Windows 檔中的 Windows 診斷數據收集變更

  • Microsoft帳戶 Sign-In Assistant (wlidsvc) 必須能夠執行。 如果服務遭到封鎖或設定為 [ 已停用],則無法接收更新。 如需詳細資訊,請參閱 其他更新時未提供功能更新。 根據預設,服務會設定為 [手動 (觸發程序啟動) ],這可讓它在需要時執行。

  • 可存取受控裝置 Intune 所需的網路端點。 請參閱 網路端點

啟用報表的數據收集

若要支援 Windows 驅動程式更新的報告,您必須在 Intune 中啟用 Windows 診斷數據的使用。 其他報表可能已啟用診斷數據,例如 Windows 功能更新和加速品質更新報告。 若要啟用 Windows 診斷資料的使用:

  1. 登入 Microsoft Intune 系統管理中心,然後移至租用戶系統管理>連接器和令牌>Windows 數據

  2. 展開 [Windows 數據 ],並確定 [ 啟用處理器設定中需要 Windows 診斷數據的功能 ] 設定切換為 [ 開啟]

如需詳細資訊,請參閱依 Intune 啟用 Windows 診斷數據的使用

GCC High 支援

GCC High 環境目前不支援驅動程式 匯報 的 Intune 原則。

RBAC 需求

若要管理 Windows 驅動程式更新,您的帳戶必須獲指派 Intune 角色型訪問控制 (包含下列許可權的 RBAC) 角色:

  • 裝置設定
    • Assign
    • 建立
    • Delete
    • 檢視報表
    • 更新
    • 讀取

您可以將具有一或多個許可權 的裝置 設定許可權新增至您自己的自定義 RBAC 角色,或使用其中一個內建 的原則和配置檔管理員 角色,其中包含這些許可權。

如需詳細資訊,請參閱 Microsoft Intune 的角色型訪問控制

已加入工作場所裝置的限制

Windows 10 和更新版本的驅動程式更新 Intune 原則需要使用商務用 Windows Update (WUfB) 和 Windows Update for Business 部署服務 (WUfB ds) 。 WUfB 支援 WPJ 裝置時,WUfB ds 提供 WPJ 裝置不支援的其他功能。

如需有關 Intune Windows Update 原則之 WPJ 限制的詳細資訊,請參閱管理 Windows 10 和在 Intune 中 Windows 11 軟體更新中的加入工作場所裝置的原則限制

架構

Windows 驅動程式更新管理的概念圖。

Windows 驅動程式更新管理架構

  1. Microsoft Intune 提供裝置至 WUfB-DS 的 Microsoft Entra 標識碼和 Intune 原則設定。 Intune 也會提供驅動程式核准清單,並將命令暫停至 WUfB-DS。
  2. WUfB-DS 會根據 Intune 提供的資訊來設定 Windows 匯報。 Windows 匯報 提供每個裝置識別碼適用的驅動程式更新清查。
  3. 裝置會將數據傳送至 Microsoft,讓 Windows Update 可以在裝置的一般 Windows Update 掃描更新期間,識別適用的驅動程式更新。 裝置上會安裝任何已核准的更新。
  4. WUfB-DS 會將 Windows 診斷數據回報給報表的 Intune。

規劃驅動程式更新

在您建立原則並管理原則中驅動程式的核准之前,建議您建構驅動程式更新部署計劃,其中包含可核准驅動程式和韌體更新的小組成員。 要考慮的主題包括:

  • 使用 自動 驅動程式核准與使用 手動 驅動程式核准的時機。

  • 在所有裝置上廣泛安裝這些更新之前,使用驅動程式更新原則的部署更新步調來限制新驅動程式更新的安裝,以測試裝置群組。 透過這種方法,您的小組可以在廣泛部署更新之前,先找出早期通道中的潛在問題。 使用通道可讓您有時間在後續更新步調中暫停麻煩的更新,以延遲或防止其部署。 環形的組織方法範例包括:

    • 針對不同的裝置和硬體型號,根據您的組織單位或兩者的組合來建構驅動程式更新原則。

    • 針對自動更新使用原則延遲期間和手動核准更新的 可用日期 ,以配合您的更新通道進行品質和功能更新排程。

    您也可以設定手動核准更新的更新可用性,以符合常見的更新週期,例如Microsoft的 Patch Tuesday 版本。 排程的對齊有助於減少某些驅動程式更新所需的額外系統重新啟動。

  • 僅將裝置指派給一個驅動程式更新原則,以協助防止裝置透過多個原則管理其驅動程式。 當您先前拒絕或暫停個別原則中的相同更新時,這有助於避免由一個原則安裝驅動程式。 如需規劃部署的詳細資訊,請參閱 Windows 部署檔中的建立 部署計劃

常見問題集

驅動程式更新的原則是否支援指派篩選?

  • 不能。 指派篩選器目前不支援驅動程式 匯報。

我可以在 Autopilot 期間套用驅動程式更新原則嗎?

  • 不能。 目前不支援在 autopilot 期間使用驅動程式 匯報。

注意

Windows 會在 Autopilot 期間套用重大更新。 這些更新可能包含系統管理員尚未核准的重要驅動程式更新。

我可以使用原則來復原驅動程式更新嗎?

  • 不能。 WUfB 目前不支援驅動程序復原。 雖然復原可以編寫腳本,但仍有太多可能的變數,無法提供有用的範例腳本來執行此動作。 如果您必須移除驅動程式,請考慮使用手動方法,例如 PowerShell。

若要協助避免需要從大量裝置復原驅動程序的問題,請使用 部署更新步調 將驅動程式安裝限制為小型初始裝置群組。 這種方法可讓您有時間評估驅動程式的成功或相容性,然後再將驅動程式廣泛部署到整個組織。

  • 對於具有手動核准的原則,您必須先檢閱並手動核准每個驅動程式,才能部署到裝置。 雖然工作比具有自動核准的原則更多,但手動核准有助於避免自動核准驅動程序的問題。
  • 如果您使用具有自動核准的原則,請規劃監視原則是否有問題的早期徵兆。 如果在早期部署通道中發現驅動程式更新問題,您可以在其他原則中暫停相同的更新。

我可以透過多個驅動程式更新原則來管理裝置嗎?

  • 雖然支援每個裝置使用多個原則,但我們不建議這麼做。 相反地,建議您將裝置新增至單一原則,以避免對裝置的驅動程式是或未核准產生混淆。

    請考慮從兩個原則接收驅動程式更新的裝置。 在一個原則中,會核准特定更新,而在其他原則中,該更新會暫停。 由於 核准 的狀態一律為優先,因此即使任何其他原則中已設定該更新的任何其他狀態,驅動程式仍會安裝在裝置上。

如何減少接收驅動程式更新之裝置上的重新啟動?

  • 因為當 OEM 發行新的更新時,或如果該更新需要重新啟動,它不一定會事先清楚,所以請考慮定期的更新檢閱模式。

    • 對於具有手動核准的原則,當您核准驅動程式並設定 核准可用日期時,您可以將該日期設定為每月修補程式星期二之類的事件,或您選擇的任何其他時間。
    • 對於具有自動核准的原則,您可以暫停新增的 ,然後返回核准。 當您重新取得任何暫停的更新時,您可以設定核 准可用的日期

    為了協助減輕這種類型的週期性挑戰,我們正在評估變更,以減輕使用 Patch Tuesday 更新手動協調驅動程式更新的需求。

為什麼驅動程式從我的原則中可用的驅動程式清單中消失?

  • 當 OEM 以新的建議驅動程式取代驅動程式時,較舊的驅動程式可以移至 [ 其他驅動程式 ] 類別。 不過,如果該較舊的驅動程式版本與所有裝置所使用的驅動程式版本相同或更舊,該驅動程式會完全從原則中移除,因為沒有任何裝置可以透過驅動程式更新原則加以安裝。

如何? 從我的原則驅動程式清單中移除較舊的驅動程式?

  • 為了確保可用的驅動程式清單是最新的,具有比原則目標之所有裝置上已安裝之舊版本的驅動程式已不再適用。 這些較舊的驅動程式會從先前部署和作用中原則的驅動程式清單中移除。 只有可更新目前安裝在原則目標裝置上的驅動程式版本的驅動程式,仍可在原則中使用。

    您無法透過驅動程式更新管理,以比裝置上已存在的舊版本安裝驅動程式。

WUfB-DS 同步處理頻率為何?

  • Intune 每天執行 WUfB-DS 同步處理,您可以使用 [同步處理] 選項視需要執行同步處理。 完成同步處理的時間取決於所涉及的裝置資訊,但通常只需要幾分鐘的時間才能完成。

    裝置會在裝置執行 Windows Update 掃描時,每天與 WUfB-DS 服務同步。

哪些驅動程式可供管理?

  • 目前發佈至 Windows Update 且適用於原則中一或多個裝置的任何驅動程式更新,都可透過驅動程式更新原則取得。

更新已鎖定密碼之 BIOS 的驅動程式呢? 如何運作?

  • 發行至 Windows Update 的 匯報 必須使用 Windows 機制,以安全地更新韌體或驅動程式,而不需要解除鎖定 BIOS/UEFI。

如果廠商有自己的應用程式來掃描和安裝驅動程式和韌體更新,則其應用程式與WUfB-DS之間的更新可用性是否有延遲?

  • 延遲的可能性取決於決定其更新可用性的廠商或 OEM。 由於驅動程式更新在發佈至 Windows 匯報 之前,會由相同的入口網站進行數位簽署,因此驅動程式更新可能會在透過廠商工具提供之前,透過 Windows Update 提供。

為什麼我的裝置已安裝未通過更新原則的驅動程式更新?

  • 這些可能是 擴充驅動 程式,這是主要驅動程式在安裝或更新主要驅動程式時可以參考的「子驅動程式」。 延伸模塊驅動程式會顯示在裝置上已安裝的驅動程式或更新歷程記錄中,但無法直接管理。 因為擴充驅動程式無法在沒有基底驅動程序的情況下運作,所以可以安全地允許它們安裝。
  • 隨插即用 也可以自動安裝驅動程式。 當 Windows 偵測到新的硬體或軟體 (,例如滑鼠、鍵盤或網路攝影機) 沒有現有的驅動程式時,它會安裝最新的驅動程式,以確保元件立即運作。 初始安裝之後,這些驅動程式的任何未來更新都需要核准。

已暫停的更新實際暫停的速度為何?

  • 暫停是最好的工作,而當更新暫停時,WUfB-DS 會移除核准。 不過,裝置在下次掃描更新之前,不會知道更新已暫停。
    • 如果裝置尚未掃描更新,則不會提供暫停的更新,且 Pause 會如預期般運作。
    • 如果裝置掃描更新,並發現更新已暫停,且裝置正在下載、安裝或等候重新啟動,則裝置上的 Windows Update 會嘗試「盡力」移除安裝的驅動程式更新。 如果無法停止安裝,更新會完成安裝。
    • 如果更新在下一次掃描更新之前完成安裝,則不會發生任何情況,而且更新仍會保持安裝。

哪裡可以深入瞭解可用的驅動程式?

  • 您可以複製名稱並搜尋 catalog.update.microsoft.com 網站,以取得驅動程式的詳細資訊。

驅動程式更新原則是否更新外掛程式裝置的驅動程式?

  • 是,如果 OEM 廠商已將驅動程式更新發佈至 Windows Update。

我的裝置使用者可以看到哪些驅動程式更新?

  • 將裝置指派給驅動程式更新原則之後,不會向用戶顯示選擇性驅動程式。 當系統管理員核准驅動程式更新時,它實際上會變成「必要」,並在下次裝置掃描更新時安裝。

如果我目前使用 Configuration Manager 進行更新,如何? 使用驅動程式管理?

您可以繼續針對驅動程式以外的更新使用 Configuration Manager,或開始將其他更新類型移至雲端管理,Intune 一次一個更新類型。 若要這樣做,請先在您的 Configuration Manager 階層中啟用雲端連結或共同管理,以在 Intune 中註冊受控裝置。

採用雲端式更新的建議和慣用路徑是將 Windows Update 工作負載移至 Intune。 如果您的組織尚未就緒,您可以在 Intune 中使用驅動程式和韌體管理功能,而不需要完成下列步驟來移動工作負載:

注意

下列程式僅適用於受控 Windows 11 裝置。 針對 Windows 10 裝置,建議您將 Configuration Manager 共同管理設定中的 Windows Update 工作負載移至 Intune。 或者,將 Windows Update 工作負載設定為 [試驗] 設定,並指定包含受控裝置範圍內 Windows 10 集合。

  1. Windows Update 工作負載設定為 [Configuration Manager]。

  2. 在 Intune 中設定您的驅動程序原則,以註冊裝置,並準備好進行管理,如使用 Microsoft Intune 管理 Windows 驅動程式更新的原則中所述

  3. 使用指定 Windows 匯報 特定類別的來源原則,設定以網域為基礎的組策略,將 Windows Update 設定為驅動程式 匯報 的來源

    注意

    因為 Configuration Manager 使用本機組策略來設定更新來源原則,所以使用 Intune 或 CSP 嘗試設定這些相同的設定會導致裝置狀態未定義且無法預測。

  4. 針對您想要部署驅動程式和韌體的裝置,在 Intune 中啟用數據收集

  5. [選擇性]強制允許使用原則提交診斷數據。 提交至 Microsoft 的診斷數據可讓您使用 Microsoft Intune 的 Windows Update 報表

    注意

    根據預設,Windows 裝置上允許將診斷數據提交至Microsoft。 停用診斷數據收集可防止 Microsoft Intune 使用 Windows Update 報告來報告受控裝置的任何更新資訊。

    使用網域型組策略或 Intune,將 [允許診斷數據] 設定為 [選擇性] 或 [必要]。 如需如何完成這項工作的詳細資訊,請移至:

  6. [選擇性]在診斷數據中啟用裝置名稱收集。 如需使用網域型組策略或 Intune 組態的詳細資訊,請參閱診斷數據需求

    注意

    若要使用 Intune 來設定稍早所述的任何診斷數據設定,您必須將裝置組態共同管理工作負載移至 Intune。

您可以在 Intune 中將功能更新管理移至雲端,方法是在 Intune 中設定功能更新原則,然後使用指定特定 Windows匯報 匯報 類別的來源原則組策略,將功能更新設定設為 Windows Update

在品質或功能 匯報 Intune 中使用更新通道原則時,您必須將 Windows Update 工作負載移至 Intune。

是否有方法可以設定驅動程式的期限?

品質更新期限和寬限期設定適用於驅動程式。

以下是有關何時將期限套用至驅動程式的更多詳細數據:

  • 驅動程式已核准在日期 (手動或自動) 提供。 這會顯示為第一個部署。
  • 在第一次或初始掃描時,已核准的驅動程式會提供給裝置。 用戶端的更新掃描最初發現更新的日期也是期限的開始日期和時間。
  • 品質和功能更新的期限計算是以用戶端的更新掃描最初發現更新的時間為基礎。 請參閱 強制執行更新的合規性期限

如何? 設定驅動程序的延遲?

  • 更新通道原則內為品質 匯報 設定的延遲期間不適用於使用驅動程式更新原則核准的驅動程式。 請改用驅動程序原則中的延遲設定來設定延遲。 事實上,強烈建議使用具有不同延遲設定的多個驅動程序原則來建立驅動程式部署通道。 請記得只將裝置指派給一個驅動程序原則。

更新通道原則中的用戶體驗設定是否適用於驅動程式更新?

  • 是,自動更新行為、使用時間、通知等用戶體驗設定也適用於驅動程式更新。

為什麼最多需要 24 小時的時間才能傳回驅動程式更新清查?

  • 若要讓驅動程式清查可供使用,必須完成幾個步驟。 最重要的是,在提交原則並註冊裝置以進行管理之後,Windows 匯報 必須等候每個裝置進行每日掃描以取得更新。 此程式每天都會發生,因此可能需要 24 小時的時間,所有狀況良好的裝置才能存回。 在此之後,Intune 必須處理掃描的結果,以提供可用驅動程式更新的清查。

後續步驟