已知問題復原 (KIR) 是一種強大的緩解技術,內建於 Windows 更新中,可協助您保護更新的個別部分並進行疑難排解。 此功能是 Microsoft 不斷努力改善 Windows 更新體驗並使其對組織更加可靠的一部分。
風險降低機制能快速復原 Windows 更新問題,只針對導致問題的目標變更、修正、功能或特性進行影響。 KIR 將回滾至先前的行為模式。 該更新中的所有其他變更都保持不變。
這項技術適用於在所有企業管理和零售或取用者裝置上,針對支援的 Windows 版本套用為 Windows 更新的一部分的變更。
KIR 背後的動機
為了幫助客戶保持保護和生產力,Microsoft 每月發布多個 Windows 更新。 從歷史上看,如果 Windows 更新遇到問題,Windows 使用者或組織 IT 系統管理員有下列選項:
- 解除安裝整個更新。 此選項可防止組織取得最新的安全性更新。 結果,組織變得不合規且安全性降低。
- 略過整個更新。 此選項可防止組織取得最新的安全性更新。 結果,組織變得不合規且安全性降低。
- 部署更新並等待修正程式可供使用。 視問題而定,此選項可能會妨礙生產力。
為了解決安全性和生產力問題,Microsoft 創建了 KIR。 KIR 是一種技術解決方案,可讓使用者提高工作效率,同時將對安全性或合規性的影響降至最低。
KIR 自 Windows 10 版本 2004 開始,形成一個完整功能的系統。 從那時起,Microsoft每月更新中的大部分程式碼變更都支援KIR功能。
KIR 在程式碼層級的運作方式
Windows 更新實作的變更具有內建的執行階段功能旗標。 在執行階段,KIR 基礎結構會使用裝置上的原則 (由群組原則設定和服務傳遞的中繼資料決定) 來判斷是否要執行新程式碼或先前的程式碼。 此方法表示,如果原則或中繼資料指出特定變更中有問題,則該變更會還原為較舊的程式碼行為。
KIR 支援的案例
Windows 從 Windows Server 2008 SP2 開始,在所有支援的 Windows Server 和 用戶端 平臺版本上提供 KIR 功能。 Windows 上的大部分服務修正程式都會使用 KIR 功能作為風險降低策略。
這很重要
KIR 只會影響非安全性更新和修正程式。 安全性更新和修正程式不會使用 KIR。
如果您在環境中部署 Windows 更新之後看到問題或迴歸,請參閱 如何瞭解和存取 KIR 群組原則範本。
KIR是如何被激活的
為了啟用 KIR,Windows 裝置屬於兩個不同的類別。 每個類別都有自己的啟動 KIR 流程。
- 企業管理的裝置: 企業管理的裝置是 更新管理的 Windows 裝置。 Microsoft 為組織的 IT 系統管理員提供群組原則範本。 若要啟用 KIR,IT 系統管理員會將範本套用至組織的群組原則基礎結構。
- 零售和消費性設備: 零售和消費性裝置是不被視為更新管理 Windows 裝置的裝置。 一般而言,這些裝置不是由 IT 系統管理員管理。這些裝置會接收原則變更,以透過 Microsoft 管理的 Windows Update 雲端服務來啟用 KIR。
適用於企業管理裝置的 KIR
身為這些裝置的企業 IT 系統管理員,您可以掌控一切。 根據 Microsoft 原則,針對企業管理的裝置,Microsoft 會在下載中心發佈特定的群組原則範本。 您可以下載此群組原則範本,然後設定並套用範本以啟用 KIR。
備註
群組原則 是 Microsoft Windows 中的一項功能,可讓 IT 管理員在 Active Directory 環境中跨裝置集中管理和配置作業系統設定、應用程式和使用者設定。
如果您遇到與功能更新相關的問題,請檢查下載中心是否有相關的 KIR 原則範本。 如果您找不到,請依照下列步驟為您的組織申請 KIR 啟用。
- 向 Microsoft 支援服務 (Microsoft 的客戶面向部門) 回報問題或迴歸,並要求群組原則啟用 KIR。
- Microsoft 支援服務會與產品小組合作,以識別適用的群組原則設定、將適當的群組原則範本上傳至下載中心,然後提供您下載範本的連結。
下載範本,然後遵循 如何使用群組原則來部署已知問題復原中的步驟。
對於已加入網域的企業管理裝置,群組原則重新整理會以特定定期間隔進行。 若要確保群組原則設定生效,請採取下列其中一個動作:
- 等待群組原則在背景中更新完畢後,重新啟動受影響的裝置。
- 若要強制單一裝置更新其群組原則設定,請在裝置上開啟命令提示字元視窗,然後執行
gpupdate /force。 命令執行之後,請重新啟動裝置。
如需重新整理群組原則的詳細資訊,請參閱 Windows 的群組原則處理。
此外,如需如何減輕 Intune 或端點管理服務受控裝置上回歸問題的影響,請參閱 使用群組原則來部署已知問題復原。
適用於零售和消費性裝置的 KIR
零售和取用者裝置包括非企業裝置,以及使用 設定>Windows Update (WU) 直接從 Windows Update 雲端服務 (WU) 取得更新的所有裝置。 針對這些裝置,Microsoft 會使用 Windows Update 來啟用 KIR。 使用者不需要採取任何動作。 在大部分情況下,由於 Microsoft 的安全部署做法,Microsoft 會在大部分的裝置下載並安裝原始更新之前,識別更新中的問題,並發佈 KIR。 在這些情況下,使用者永遠不會注意到原始問題或 KIR。
備註
任何未連線到 Windows Update 的裝置都不會取得 Windows Update 或 KIR。
當 Microsoft 識別出影響零售和取用者裝置的迴歸或其他問題時,Microsoft 產品小組會收集問題及其影響的詳細資訊、判斷問題的根本原因,並在內部報告問題。 然後,根據此分析的結果,Microsoft 決定是否要復原造成問題的變更。
如果 Microsoft 決定還原變更,它會使用 Windows Update 基礎結構來啟用 KIR。 首先,Microsoft 會將 KIR 組態變更載入為更新。 Windows Update 會通知受影響的裝置此更新。 在 24 小時內,設備下載並安裝更新。 裝置可能需要重新啟動才能完成安裝。 此過程完成後,導致問題的代碼將被禁用。
Microsoft 會傳輸有關 KIR 啟用的特定資訊。 這些數據有助於我們評估生態系統內回滾的有效性。 請參閱如何在 組織中設定 Windows 診斷資料。
如何瞭解及存取 KIR 群組原則範本
有時,Microsoft 必須針對影響多個客戶或代表常見客戶案例的問題啟用 KIR。 在這種情況下,Microsoft 會在 Windows 服務通訊通道上記錄此問題。 該文檔解釋了該問題的最常見症狀。 對於企業和商業客戶,本文件提供 .msi 檔案的連結,其中包含要用來啟用 KIR 的群組原則範本。
您可以在這裡尋找已知問題和 KIR 緩解措施:
- Windows 更新歷程記錄網站上的 Windows 版本資訊,例如 Windows 11、 Windows 10 和 Windows Server 更新歷程記錄頁面。 向下捲動至 「此更新中的已知問題 」區段。
- Windows 版本健康狀況 儀錶板。 此網站提供目前支援的 Windows 版本的所有 Windows 版本發行說明的連結。
- Microsoft 365 系統管理中心的 Windows 版本健康情況區段。 您也可以訂閱 Windows 版本發行健康情況通知。
如果您找不到所遇到問題的檔,請連絡 Microsoft 支援服務。
KIR 生命週期管理:KIR 啟動後該怎麼辦?
企業和商業客戶部署 KIR 的群組原則設定之後,他們不需要採取任何其他動作。 Microsoft 解決原始問題後,會在後續的 Windows 更新中包含新程式碼。 過時的群組原則設置變為無害且不再需要,因為它們已不再有任何功能。
常見問題 (FAQ)
針對指定的問題,相同的群組原則範本是否適用於所有受影響的裝置?
否。 針對指定問題控制 KIR 的群組原則設定通常會因不同版本和版本的 Windows 而不同。 如果您向 Microsoft 支援服務要求 KIR 群組原則範本,請提供受影響作業系統版本的完整清單。 然後,Microsoft 支援服務會為每個指定的 Windows 版本提供唯一的群組原則範本。 當您設定和部署範本時,請注意範本檔案名稱中列出的 Windows 版本。
如果在部署 KIR 群組原則範本之後仍然看到問題,該怎麼辦?
啟動 KIR 後,您可能仍會觀察到問題,原因有幾個。 在這種情況下,請按照下列步驟操作:
- 請確定您部署對應至裝置 Windows 版本的群組原則範本。
- 開啟群組原則編輯器,然後找出適當的群組原則設定。 請確定設定的狀態為 [已停用]。
- 如果您變更了群組原則設定,請重新啟動原則套用的裝置。
- 如果問題持續發生,請連絡您指派的 Microsoft 支援服務合作夥伴。
如果我需要為企業啟用 KIR,但無法使用群組原則基礎結構,該怎麼辦?
如需如何部署 KIR 的詳細資訊,包括如何為單一裝置啟用 KIR,以及如何在不使用群組原則的情況下啟用 KIR,請參閱 使用群組原則來部署已知問題復原。