與商務用Windows Update整合

  • 發行項

適用於:Configuration Manager (目前的分支)

Windows Update商務用 (WUfB) 可讓您讓組織中的Windows 10或更新版本裝置在直接連線到 Windows Update (WU) 服務時,隨時保持最新的安全性防禦和 Windows 功能。 Configuration Manager可以區分使用 WUfB 和 WSUS 取得軟體更新的 Windows 電腦。

警告

如果您為裝置使用共同管理,且已將Windows Update原則移至Intune,則您的裝置會從Intune取得其商務用Windows Update原則。

  • 如果Configuration Manager用戶端仍安裝在共同管理的裝置上,則累積更新和功能更新的設定會由Intune管理。 不過,如果在 [用戶端設定] 中啟用協力廠商修補,則仍由Configuration Manager管理。

當Configuration Manager用戶端設定為接收來自 WU 的更新時,某些Configuration Manager功能已無法再使用,其中包括 WUfB 或 Windows 測試人員:

  • Windows Update合規性報告:

    • Configuration Manager不會察覺發行至 WU 的更新。 設定為從 WU 接收更新的Configuration Manager用戶端會在 Configuration Manager 主控台中顯示這些更新的未知

    • 針對整體合規性狀態進行疑難排解十分困難,因為 未知 狀態僅適用于未從 WSUS 回報掃描狀態的用戶端。 現在它也包含Configuration Manager接收 WU 更新的用戶端。

    • 定義更新合規性是整體更新合規性報告的一部分,而且也不會如預期般運作。

  • 基於更新合規性狀態的 Defender 整體 Endpoint Protection 報告不會傳回精確的結果,因為遺漏掃描資料。

  • Configuration Manager將無法將Microsoft更新,例如Microsoft 365 Apps、IE 和 Visual Studio 部署到連線到 WUfB 以接收更新的用戶端。

  • Configuration Manager仍然可以將發行至 WSUS 並透過Configuration Manager管理的協力廠商更新部署到連線至 WUfB 以接收更新的用戶端。 如果您不想在連線到 WUfB 的用戶端上安裝任何協力廠商更新,請停用名為 [在用戶端上啟用軟體更新] 的客戶端設定。

  • Configuration Manager使用軟體更新基礎結構的完整用戶端部署將無法讓連線到 WUfB 的用戶端接收更新。

識別使用 WUfB 進行 Windows 更新的用戶端

使用下列程式來識別使用 WUfB 取得 Windows 更新和升級的用戶端。 然後將這些用戶端設定為停止使用 WSUS 來取得更新,並部署用戶端代理程式設定,以停用這些用戶端的軟體更新工作流程。

WUfB 的必要條件

  • 執行 Windows 10 Desktop Pro 或 Windows 10 企業版 版本 1511 或更新版本的用戶端

  • 已部署商務用Windows Update,且用戶端會使用 WUfB 來取得 Windows 更新和升級。

識別使用 WUfB 的用戶端

  1. 如果先前已啟用Windows Update代理程式,請確定該代理程式不會掃描 WSUS。 下列登錄機碼可用來指出電腦是掃描 WSUS 還是Windows Update。 如果登錄機碼不存在,則不會掃描 WSUS。

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer

  2. Configuration Manager資源總管中Windows Update節點下有一個新的屬性UseWUServer

  3. 針對透過 WUfB 連線以進行更新和升級的所有電腦,根據 UseWUServer 屬性建立集合。 您可以根據類似下列查詢的查詢來建立集合:

    Select sr.* from SMS_R_System as sr join SMS_G_System_WINDOWSUPDATE as su on sr.ResourceID=su.ResourceID where su.UseWUServer is null

  4. 建立用戶端代理程式設定以停用軟體更新工作流程。 將設定部署至直接連線到 WUfB 的電腦集合。

  5. 透過 WUfB 管理的電腦會在合規性狀態中顯示 [未知 ],且不會計算為整體合規性百分比的一部分。

設定商務用Windows Update延遲原則

您可以為商務用Windows Update直接管理的 Windows 裝置設定Windows 10或更新版本功能更新或品質更新的延遲原則。 您可以在 [軟體> 程式庫Windows 服務] 下的新[商務Windows Update原則] 節點中管理延遲原則。

注意事項

您可以設定 Windows 測試人員的延遲原則。
如需 Windows 測試人員計畫的詳細資訊,請 參閱開始使用商務用 Windows 測試人員計畫

延遲原則的必要條件

  • Windows 10 1703 版或更新版本
  • Windows 10或更新版本,由商務用 Windows Update 管理的裝置必須具備網際網路連線能力

建立商務用Windows Update延遲原則

  1. 軟體程式庫>Windows 服務>中Windows Update商務原則
  2. 在 [首頁]索引標籤的 [建立]群組中,選取 [建立商務Windows Update原則] 以開啟 [建立商務Windows Update原則精靈]。
  3. 在 [一 般] 頁面上,提供原則的名稱和描述。
  4. 在 [延遲原則] 頁面上,設定是否要延遲或暫停功能更新。 功能更新通常是 Windows 的新功能。 設定分支整備層級設定之後,您可以定義是否要延遲接收功能更新從Microsoft接收功能的時間長度。

    • 分支整備層級:設定裝置將接收 Windows 更新的分支。 選擇Semi-Annual通道 (目標) 、Semi-Annual通道或 Windows 測試人員組建。

      注意事項

      半年通道的原則部署至 Windows 10 1903 版或更新版本。 將半年信道 (目標) 的原則部署至 Windows 10 1809 版或更早版本

      如果您將半年通道 (目標) 原則部署至 Windows 10 1903 版或更新版本,則部署會失敗,0x8004100c錯誤。

    • 延遲期間 (天) :指定功能更新將延遲的天數。 您可以延遲接收這些功能更新,從其發行起最多 365 天。

    • 暫停功能更新開始:選取是否要暫停裝置接收功能更新最多 35 天,從您暫停更新的時間起。 超過天數上限之後,暫停功能會自動到期,且裝置會掃描 Windows 更新是否有適用的更新。 在此掃描之後,您可以再次暫停更新。 您可以清除核取方塊來取消暫停功能更新。

  5. 選擇要延遲或暫停品質更新。 品質更新通常是現有 Windows 功能的修正和改進,通常會在每個月的第二個星期二發佈,但可由Microsoft隨時發行。 您可以定義是否要延遲接收品質更新,並在其可用性之後延遲多久。
    • 延遲期間 (天) :指定品質更新將延遲的天數。 您可以延遲接收這些品質更新,從其發行起最多 30 天。
    • 暫停品質更新開始:選取是否要暫停裝置接收品質更新最多 35 天,從您暫停更新的時間起。 超過天數上限之後,暫停功能會自動到期,且裝置會掃描 Windows 更新是否有適用的更新。 在此掃描之後,您可以再次暫停更新。 您可以清除核取方塊來取消暫停品質更新。
  6. 選取[從其他Microsoft產品安裝更新],以啟用群組原則設定,讓延遲設定適用于 Microsoft Update 以及 Windows 更新。
  7. 選取[包含具有Windows Update的驅動程式] 來自 Windows 更新 自動更新驅動程式。 如果您清除此設定,就不會從 Windows 更新下載驅動程式更新。
  8. 完成精靈以建立新的延遲原則。

若要部署商務用Windows Update延遲原則

  1. 軟體程式庫>Windows 服務>中Windows Update商務原則
  2. 在 [首頁]索引標籤的 [部署] 群組中,選取 [部署商務Windows Update原則]
  3. 進行下列設定:
    • 要部署的設定原則:選取您想要部署的商務Windows Update原則。
    • 集合:按一下 [流覽 ] 以選取您要部署原則的集合。
    • 允許在維護期間以外進行補救:如果已針對您要部署原則的集合設定維護期間,請啟用此選項,讓原則設定補救維護期間外的值。 如需維護期間的詳細資訊,請參閱 如何使用維護時段
    • 排程:指定在用戶端電腦上評估已部署原則的合規性評估排程。 排程可以是簡單或自訂排程。
  4. 完成精靈以部署原則。