如何使用組策略來部署已知問題復原
本文說明如何設定組策略,以使用在受管理裝置上啟動 KIR 的已知問題復原 (KIR) 原則定義。
適用於: Windows Server(所有支援的版本)、Windows 用戶端(所有支援的版本)
摘要
Microsoft開發了名為 KIR 的新 Windows 服務技術,適用於 Windows Server 2019 和 Windows 10 版本 1809 和更新版本。 針對支援的 Windows 版本,KIR 會復原在非安全性 Windows Update 版本中套用的特定變更。 作為該版本一部分所做的所有其他變更都會保持不變。 藉由使用這項技術,如果 Windows 更新造成回歸或其他問題,您就不需要卸載整個更新,並將系統傳回最後已知的良好設定。 您只會回復造成問題的變更。 此復原是暫時的。 Microsoft發行修正問題的新更新之後,就不再需要復原。
重要
KIR 僅適用於非安全性更新。 這是因為復原非安全性更新的修正不會造成潛在的安全性弱點。
Microsoft管理非企業裝置的 KIR 部署程式。 針對企業裝置,Microsoft提供 KIR 原則定義 MSI 檔案。 然後,企業可以使用組策略在混合式Microsoft Entra ID 或 Active Directory 網域服務 (AD DS) 網域中部署 KIR。
注意
您必須重新啟動受影響的計算機,才能套用此組策略變更。
KIR 程式
如果Microsoft判斷非安全性更新有重大回歸或類似的問題,Microsoft會產生 KIR。 Microsoft會在 Windows 健康情況儀錶板中宣告 KIR,並將資訊新增至下列位置:
- 適用 Windows Update KB 文章的已知問題一節
- Windows 健康情況版本儀錶板 https://aka.ms/windowsreleasehealth 上的已知問題列表,適用於受影響的 Windows 版本(例如 ,Windows 10 版本 20H2 和 Windows Server 版本 20H2)
針對非企業客戶,Windows Update 程式會自動套用 KIR。 使用者不必採取任何動作。
針對企業客戶,Microsoft提供原則定義 MSI 檔案。 企業客戶可以使用企業組策略基礎結構,將 KIR 傳播至受控系統。
若要查看 KIR MSI 檔案的範例,請下載 Windows 10 (2004 和 20H2) 已知問題復原031321 01.msi。
KIR 原則定義有有限的壽命(幾個月,最多)。 Microsoft發佈修正的更新以解決原始問題之後,就不再需要 KIR。 然後,即可從組策略基礎結構中移除原則定義。
使用組策略將 KIR 套用至單一裝置
若要使用組策略將 KIR 套用至單一裝置,請遵循下列步驟:
- 將 KIR 原則定義 MSI 檔案下載到裝置。
重要
請確定列在.msi檔名中的作業系統符合您要更新之裝置的作業系統。
- 在裝置上執行.msi檔案。 此動作會在系統管理範本中安裝 KIR 原則定義。
- 開啟本機群組原則編輯器。 若要這樣做,請選取 [ 開始],然後輸入 gpedit.msc。
- 選取 [本機計算機原則>計算機設定>系統管理範本>] KB ####### 問題 XXX 復原>Windows 10 版本 YYMM。
注意
在此步驟中, ####### 是造成問題的更新知識庫文章編號。 XXX 是問題號碼, YYMM 是 Windows 10 版本號碼。
- 以滑鼠右鍵按兩下原則,然後選取 [編輯>停用>的確定]。
- 重新開機裝置。
如需如何使用本地組原則編輯器的詳細資訊,請參閱 使用本地組原則編輯器來處理系統管理範本原則設定。
使用組策略將 KIR 套用至混合式Microsoft Entra ID 或 AD DS 網域中的裝置
若要將 KIR 原則定義套用至屬於混合式Microsoft Entra ID 或 AD DS 網域的裝置,請遵循下列步驟:
- 下載並安裝 KIR MSI 檔案
- 建立群組原則物件 (GPO) 。
- 建立及設定套用 GPO 的 WMI 篩選條件。
- 連結 GPO 和 WMI 篩選條件。
- 設定 GPO。
- 監視 GPO 結果。
1.下載並安裝 KIR MSI 檔案
- 檢查 KIR 版本資訊或已知問題清單,以識別您必須更新的作業系統版本。
- 下載 KIR 原則定義.msi需要更新至您用來管理網域組策略的計算機。
- 執行.msi檔案。 此動作會在系統管理範本中安裝 KIR 原則定義。
注意
原則定義會安裝在 C:\Windows\PolicyDefinitions 資料夾中。 如果您已實作組策略 中央存放區,則必須將 .admx 和 .adml 檔案複製到中央存放區。
2.建立 GPO
- 開啟組策略管理主控台,然後選取 [樹系:DomainName>網域]。
- 以滑鼠右鍵按下您的功能變數名稱,然後選取 [在此網域中建立 GPO],然後在這裡連結它。
- 輸入新 GPO 的名稱(例如 KIR 問題 XXX),然後選取 [確定]。
如需如何建立 GPO 的詳細資訊,請參閱 建立組策略物件。
3.建立及設定套用 GPO 的 WMI 篩選
以滑鼠右鍵按兩下 [WMI 篩選],然後選取 [ 新增]。
輸入新 WMI 篩選的名稱。
輸入 WMI 篩選器的描述,例如 篩選至所有 Windows 10 版本 2004 裝置。
選取 [新增]。
在 [查詢] 中,輸入下列查詢字串:
SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>
重要
在此字串中, <VersionNumber> 代表您想要套用 GPO 的 Windows 版本。 版本號碼必須使用下列格式(當您在字串中使用數位時,請排除括弧):
10.0.xxxxx
其中 xxxxx 是五位數的數位。 目前,KIR 支援下列版本:
版本 建立編號 Windows 10 版本 20H2 10.0.19042 Windows 10 (版本 2004) 10.0.19041 Windows 10 版本 1909 10.0.18363 Windows 10 版本 1903 10.0.18362 Windows 10 版本 1809 10.0.17763 如需 Windows 版本和組建編號的最新清單,請參閱 Windows 10 - 版本資訊。
重要
Windows 10 版本資訊頁面上所列的組建編號不包含 10.0 前置詞。 若要在查詢中使用組建編號,您必須新增 10.0 前置詞。
如需如何建立 WMI 篩選的詳細資訊,請參閱 建立 GPO 的 WMI 篩選。
4.連結 GPO 和 WMI 篩選
- 選取您先前建立的 GPO,開啟 [WMI 篩選] 功能表,然後選取您剛才建立的 WMI 篩選條件。
- 選取 [ 是 ] 以接受篩選。
5.設定 GPO
編輯您的 GPO 以使用 KIR 啟用原則:
- 以滑鼠右鍵按下您先前建立的 GPO,然後選取 [編輯]。
- 在組策略編輯器中,選取 [GPOName>計算機設定>系統管理範本>] KB ####### 問題 XXX 復原>Windows 10 版本 YYMM。
- 以滑鼠右鍵按兩下原則,然後選取 [編輯>停用>的確定]。
如需如何編輯 GPO 的詳細資訊,請參閱 從 GPMC 編輯組策略物件。
6.監視 GPO 結果
在組策略的預設設定中,受管理裝置應在90到120分鐘內套用新原則。 若要加速此程式,您可以在受影響的裝置上執行 gpupdate
,以手動檢查更新的原則。
請確定每個受影響的裝置會在套用原則之後重新啟動。
重要
在裝置套用原則后,會停用引進問題的修正,然後重新啟動。
使用 Microsoft Intune ADMX 原則擷取至受控裝置部署 KIR 啟用
注意
若要使用本節中的解決方案,您必須在 2022 年 7 月 26 日或更新版本電腦上安裝的累積更新。
組策略和 GPO 與行動裝置管理 (MDM) 解決方案不相容,例如 Microsoft Intune。 這些指示將引導您瞭解如何使用 Intune 自定義設定 進行 ADMX 擷取 ,並設定 ADMX 支援的 MDM 原則 來執行 KIR 啟用,而不需要 GPO。
若要在受 Intune 管理的裝置上執行 KIR 啟用,請遵循下列步驟:
- 下載並安裝 KIR MSI 檔案以取得 ADMX 檔案。
- 在 Microsoft Intune 中建立自定義組態配置檔。
- 監視 KIR 啟用。
1.下載並安裝 KIR MSI 檔案以取得 ADMX 檔案
檢查 KIR 版本資訊或已知問題清單,以識別您必須更新的作業系統 (OS) 版本。
下載您用來登入 Microsoft Intune 之電腦上所需的 KIR 原則定義.msi檔案。
注意
您將需要存取 KIR 啟用 ADMX 檔案的內容。
執行檔案
.msi
。 此動作會在系統管理範本中安裝 KIR 原則定義。注意
原則定義會安裝在 C:\Windows\PolicyDefinitions 資料夾中。
如果您想要將 ADMX 檔案解壓縮到另一個位置,請使用
msiexec
命令搭配 TARGETDIR 屬性。 例如:msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx
2.在 Intune Microsoft中建立自定義組態配置檔
若要設定裝置以執行 KIR 啟用,您必須為受控裝置的每個作業系統建立自定義組態設定檔。 若要建立自訂設定檔,請遵循下列步驟:
- 選取屬性並新增配置檔的基本資訊。
- 將自定義組態設定新增至內嵌ADMX檔案以進行 KIR 啟用。
- 新增自定義組態設定以設定新的 KIR 啟用原則。
- 將裝置指派給 KIR 啟用自訂組態配置檔。
- 使用適用性規則將裝置設為目標,以依OS接收 KIR 自定義組態設定。
- 檢閱並建立 KIR 啟用自訂組態配置檔。
A. 選取屬性並新增配置檔的基本資訊
選取 [裝置>組態配置檔>] [建立配置檔]。
選取下列屬性:
- 平臺: Windows 10 和更新版本
- 配置檔: 範本>自定義
選取 [建立]。
在 [基本] 中,輸入下列屬性:
- 名稱:輸入原則的描述性名稱。 為您的原則命名,以便以後能輕鬆識別。 例如,良好的原則名稱是 “04/30 KIR Activation – Windows 10 21H2”。
- 描述:輸入原則的描述。 此設定是選擇性的,但建議使用。
注意
平臺 和 配置檔類型 應該已經選取值。
選取 [下一步]。
注意
如需建立自定義組態配置檔和組態設定的詳細資訊,請參閱 在 Microsoft Intune 中使用自定義裝置設定。
在繼續進行後續兩個步驟之前,請在解壓縮檔案的文本編輯器中開啟 ADMX 檔案(例如記事本)。 如果您將其安裝為 MSI 檔案,ADMX 檔案應該位於 C:\Windows\PolicyDefinitions 路徑中。
以下是 ADMX 檔案的範例:
<policies>
<policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >
<parentCategory ref="KnownIssueRollback_Win_11" />
<supportedOn ref="SUPPORTED_Windows_11_0_Only" />
<enabledList…> … </enabledList>
<disabledList…>…</disabledList>
</policy>
</policies>
記錄和parentCategory
的值policy name
。 此資訊位於檔案結尾的「原則」節點中。
B. 將自定義組態設定新增至內嵌ADMX檔案以進行 KIR 啟用
此組態設定可用來在目標裝置上安裝 KIR 啟用原則。 請遵循下列步驟來新增ADMX擷取設定:
在 [ 組態設定] 中,選取 [ 新增]。
輸入下列屬性:
名稱:輸入組態設定的描述性名稱。 為您的設定命名,以便稍後輕鬆識別這些設定。 例如,良好的設定名稱是“ADMX 擷取:04/30 KIR 啟用 – Windows 10 21H2”。
描述: 輸入設定的描述。 此設定是選擇性的,但建議使用。
OMA-URI:輸入字串 ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX 原則名稱>。
注意
將 <ADMX原則名稱> 取代為ADMX檔案中記錄的原則名稱值。 例如,“KB5011563_220428_2000_1_KnownIssueRollback”。
數據類型:選取 [字串]。
值:使用文本編輯器開啟ADMX檔案(例如記事本)。 複製並貼上您想要內嵌至此欄位之 ADMX 檔案的整個內容。
選取儲存。
C. 新增自定義組態設定以設定新的 KIR 啟用原則
此組態設定可用來設定上一個步驟中定義的 KIR 啟用原則。
請遵循下列步驟來新增 KIR 啟用組態設定:
在 [ 組態設定] 中,選取 [ 新增]。
輸入下列屬性:
名稱:輸入組態設定的描述性名稱。 為您的設定命名,以便稍後輕鬆識別這些設定。 例如,良好的設定名稱是「KIR 啟用:04/30 KIR 啟用 – Windows 10 21H2」。
描述: 輸入設定的描述。 此設定是選擇性的,但建議使用。
OMA-URI:輸入字串 ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX 原則名稱>。
注意
將父類別>目錄取代<為上一個步驟中記錄的父類別字串。 例如,“KnownIssueRollback_Win_11”。 將ADMX原則名稱>取代<為上一個步驟中使用的相同原則名稱。
數據類型:選取 [字串]。
值:輸入 <disabled/>。
選取儲存。
選取 [下一步]。
D. 將裝置指派給 KIR 啟用自訂組態配置檔
定義自訂組態設定檔的功能之後,請遵循下列步驟來識別您要設定的裝置:
- 在 [指派] 中,選取 [ 新增所有裝置]。
- 選取 [下一步]。
E. 使用適用性規則以目標裝置接收OS的 KIR 自訂組態設定
若要依適用於 GP 的 OS 將裝置設為目標,請在套用此設定之前,新增適用性規則來檢查裝置 OS 版本(組建)。 您可以在下列頁面上查閱所支援 OS 的組建編號:
頁面中顯示的組建編號會格式化為 MMMMM.mmmm(M= 主要版本和 m= 次要版本)。 OS 版本屬性會使用主要版本位數。 輸入適用性規則的 OS 版本值應格式化為 「10.0.MMMMM」。。 例如,“10.0.22000”。
請遵循下列指示,為您的 KIR 啟用設定正確的適用性規則:
在 [適用性規則] 中,在頁面上的空白規則上輸入下列屬性,以建立適用性規則:
- 規則:從下拉式清單中選取 [ 指派配置檔 ]。
- 屬性:從下拉式清單中選取 [OS 版本 ]。
- 值:輸入格式化為 「10.0.MMMMM」 的最小和最大 OS 版本號碼。
選取 [下一步]。
注意
您可以從 [開始] 功能表 執行 winver
命令來找到裝置的 OS 版本。 它會顯示以 「.」 分隔的兩部分版本號碼。 例如,“22000.613”。 您可以針對最小 OS 版本將左邊的數位附加至 「10.0」。。 將 1 新增至最小 OS 版本號碼的最後一位數,以取得最大 OS 版本號碼。 在這裡範例中,您可以使用下列值:
最小 OS 版本:“10.0.22000”
最大OS版本:“10.0.22001”
F. 檢閱並建立 KIR 啟用自訂組態配置檔
檢閱自定義組態配置檔的設定,然後選取 [ 建立]。
3. 監視 KIR 啟用
您的 KIR 啟用現在應該正在進行中。 請遵循下列步驟來監視組態設定檔進度:
移至 [ 裝置>組態配置檔],然後選取現有的配置檔。 例如,選取 macOS 設定檔。
選取 [概觀] 索引標籤。在此檢視中,配置檔指派狀態包含下列狀態:
- 成功:已成功套用原則。
- 錯誤:原則無法套用。 訊息通常會顯示連結到說明的錯誤碼。
- 衝突:兩個設定會套用至相同的裝置,而 Intune 無法排序衝突。 系統管理員應該檢閱衝突。
- 擱置中:裝置尚未簽入 Intune 以接收原則。
- 不適用:裝置無法接收原則。 例如,原則會更新 iOS 11.1 特定的設定,但裝置使用 iOS 10。
如需詳細資訊,請參閱 在 Microsoft Intune 中監視裝置組態配置檔。