與商務用Windows Update整合
適用於:Configuration Manager (目前的分支)
Windows Update商務用 (WUfB) 可讓您讓組織中的Windows 10或更新版本裝置在直接連線到 Windows Update (WU) 服務時,隨時保持最新的安全性防禦和 Windows 功能。 Configuration Manager可以區分使用 WUfB 和 WSUS 取得軟體更新的 Windows 電腦。
警告
如果您為裝置使用共同管理,且已將Windows Update原則移至Intune,則您的裝置會從Intune取得其商務用Windows Update原則。
- 如果Configuration Manager用戶端仍安裝在共同管理的裝置上,則累積更新和功能更新的設定會由Intune管理。 不過,如果在 [用戶端設定] 中啟用協力廠商修補,則仍由Configuration Manager管理。
當Configuration Manager用戶端設定為接收來自 WU 的更新時,某些Configuration Manager功能已無法再使用,其中包括 WUfB 或 Windows 測試人員:
Windows Update合規性報告:
Configuration Manager不會察覺發行至 WU 的更新。 設定為從 WU 接收更新的Configuration Manager用戶端會在 Configuration Manager 主控台中顯示這些更新的未知。
針對整體合規性狀態進行疑難排解十分困難,因為 未知 狀態僅適用于未從 WSUS 回報掃描狀態的用戶端。 現在它也包含Configuration Manager接收 WU 更新的用戶端。
定義更新合規性是整體更新合規性報告的一部分,而且也不會如預期般運作。
基於更新合規性狀態的 Defender 整體 Endpoint Protection 報告不會傳回精確的結果,因為遺漏掃描資料。
Configuration Manager將無法將Microsoft更新,例如Microsoft 365 Apps、IE 和 Visual Studio 部署到連線到 WUfB 以接收更新的用戶端。
Configuration Manager仍然可以將發行至 WSUS 並透過Configuration Manager管理的協力廠商更新部署到連線至 WUfB 以接收更新的用戶端。 如果您不想在連線到 WUfB 的用戶端上安裝任何協力廠商更新,請停用名為 [在用戶端上啟用軟體更新] 的客戶端設定。
Configuration Manager使用軟體更新基礎結構的完整用戶端部署將無法讓連線到 WUfB 的用戶端接收更新。
識別使用 WUfB 進行 Windows 更新的用戶端
使用下列程式來識別使用 WUfB 取得 Windows 更新和升級的用戶端。 然後將這些用戶端設定為停止使用 WSUS 來取得更新,並部署用戶端代理程式設定,以停用這些用戶端的軟體更新工作流程。
WUfB 的必要條件
執行 Windows 10 Desktop Pro 或 Windows 10 企業版 版本 1511 或更新版本的用戶端
已部署商務用Windows Update,且用戶端會使用 WUfB 來取得 Windows 更新和升級。
識別使用 WUfB 的用戶端
如果先前已啟用Windows Update代理程式,請確定該代理程式不會掃描 WSUS。 下列登錄機碼可用來指出電腦是掃描 WSUS 還是Windows Update。 如果登錄機碼不存在,則不會掃描 WSUS。
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer
Configuration Manager資源總管中Windows Update節點下有一個新的屬性UseWUServer。
針對透過 WUfB 連線以進行更新和升級的所有電腦,根據 UseWUServer 屬性建立集合。 您可以根據類似下列查詢的查詢來建立集合:
Select sr.* from SMS_R_System as sr join SMS_G_System_WINDOWSUPDATE as su on sr.ResourceID=su.ResourceID where su.UseWUServer is null
建立用戶端代理程式設定以停用軟體更新工作流程。 將設定部署至直接連線到 WUfB 的電腦集合。
透過 WUfB 管理的電腦會在合規性狀態中顯示 [未知 ],且不會計算為整體合規性百分比的一部分。
設定商務用Windows Update延遲原則
您可以為商務用Windows Update直接管理的 Windows 裝置設定Windows 10或更新版本功能更新或品質更新的延遲原則。 您可以在 [軟體> 程式庫Windows 服務] 下的新[商務Windows Update原則] 節點中管理延遲原則。
注意事項
您可以設定 Windows 測試人員的延遲原則。
如需 Windows 測試人員計畫的詳細資訊,請 參閱開始使用商務用 Windows 測試人員計畫。
延遲原則的必要條件
- Windows 10 1703 版或更新版本
- Windows 10或更新版本,由商務用 Windows Update 管理的裝置必須具備網際網路連線能力
建立商務用Windows Update延遲原則
- 在軟體程式庫>Windows 服務>中Windows Update商務原則
- 在 [首頁]索引標籤的 [建立]群組中,選取 [建立商務Windows Update原則] 以開啟 [建立商務Windows Update原則精靈]。
- 在 [一 般] 頁面上,提供原則的名稱和描述。
- 在 [延遲原則] 頁面上,設定是否要延遲或暫停功能更新。 功能更新通常是 Windows 的新功能。 設定分支整備層級設定之後,您可以定義是否要延遲接收功能更新從Microsoft接收功能的時間長度。
分支整備層級:設定裝置將接收 Windows 更新的分支。 選擇Semi-Annual通道 (目標) 、Semi-Annual通道或 Windows 測試人員組建。
注意事項
將半年通道的原則部署至 Windows 10 1903 版或更新版本。 將半年信道 (目標) 的原則部署至 Windows 10 1809 版或更早版本。
如果您將半年通道 (目標) 原則部署至 Windows 10 1903 版或更新版本,則部署會失敗,0x8004100c錯誤。
延遲期間 (天) :指定功能更新將延遲的天數。 您可以延遲接收這些功能更新,從其發行起最多 365 天。
暫停功能更新開始:選取是否要暫停裝置接收功能更新最多 35 天,從您暫停更新的時間起。 超過天數上限之後,暫停功能會自動到期,且裝置會掃描 Windows 更新是否有適用的更新。 在此掃描之後,您可以再次暫停更新。 您可以清除核取方塊來取消暫停功能更新。
- 選擇要延遲或暫停品質更新。 品質更新通常是現有 Windows 功能的修正和改進,通常會在每個月的第二個星期二發佈,但可由Microsoft隨時發行。 您可以定義是否要延遲接收品質更新,並在其可用性之後延遲多久。
- 延遲期間 (天) :指定品質更新將延遲的天數。 您可以延遲接收這些品質更新,從其發行起最多 30 天。
- 暫停品質更新開始:選取是否要暫停裝置接收品質更新最多 35 天,從您暫停更新的時間起。 超過天數上限之後,暫停功能會自動到期,且裝置會掃描 Windows 更新是否有適用的更新。 在此掃描之後,您可以再次暫停更新。 您可以清除核取方塊來取消暫停品質更新。
- 選取[從其他Microsoft產品安裝更新],以啟用群組原則設定,讓延遲設定適用于 Microsoft Update 以及 Windows 更新。
- 選取[包含具有Windows Update的驅動程式] 來自 Windows 更新 自動更新驅動程式。 如果您清除此設定,就不會從 Windows 更新下載驅動程式更新。
- 完成精靈以建立新的延遲原則。
若要部署商務用Windows Update延遲原則
- 在軟體程式庫>Windows 服務>中Windows Update商務原則
- 在 [首頁]索引標籤的 [部署] 群組中,選取 [部署商務Windows Update原則]。
- 進行下列設定:
- 要部署的設定原則:選取您想要部署的商務Windows Update原則。
- 集合:按一下 [流覽 ] 以選取您要部署原則的集合。
- 允許在維護期間以外進行補救:如果已針對您要部署原則的集合設定維護期間,請啟用此選項,讓原則設定補救維護期間外的值。 如需維護期間的詳細資訊,請參閱 如何使用維護時段。
- 排程:指定在用戶端電腦上評估已部署原則的合規性評估排程。 排程可以是簡單或自訂排程。
- 完成精靈以部署原則。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應