商務用 Windows Update 部署服務

• 適用於:

  ✅ Windows 11, ✅ Windows 10

商務用 Windows Update 部署服務是商務用 Windows Update產品系列內的雲端服務。 其設計目的是使用現有的商務用 Windows Update 原則和商務用 Windows Update 報告。 部署服務可控制從 Windows Update 傳遞至受控裝置的核准、排程及保護更新。 此服務是以隱私權為焦點，並受到領先業界合規性認證的支援。

Windows Update 企業版產品系列有三個元素：

• 用來控管更新體驗和時間的客戶端原則，可透過 群組原則 和 CSP 取得
• Windows Update 商務用報告以監視更新部署
• 部署服務 API 可核准和排程特定的部署更新，這些更新可透過 Microsoft Graph 和相關聯的 SDK (包括 PowerShell)

部署服務可補充現有的商務用 Windows Update 功能，包括現有的裝置原則和商務用 Windows Update 報告活頁簿。

部署服務的運作方式

使用大部分的更新管理解決方案時，通常會使用登錄編輯、群組原則 或利用 CSP 的 MDM 解決方案，在用戶端本身設定更新原則。 這表示更新的用戶體驗和部署設定最終取決於個別裝置設定。 不過，使用商務用 Windows Update 部署服務，服務是更新部署行為的控制中心點。 由於部署服務會直接與 Windows Update 整合，因此一旦系統管理員定義部署行為，Windows Update 就已經知道裝置在裝置掃描時應如何導向以安裝更新。 部署服務會在管理工具 (之間建立直接通道，包括 Windows PowerShell) 等腳本工具和 Windows Update 服務，讓系統管理員可以直接控制內容的核准和供應專案。

使用部署服務通常會遵循常見模式：

1. 系統管理員會使用管理工具來選取裝置，並核准要部署的內容。 此工具可以是PowerShell、Microsoft Graph 應用程式，或更完整的管理解決方案，例如 Microsoft Intune。

2. 選擇的管理工具會將您的核准、排程和裝置選取資訊傳達給部署服務。

3. 部署服務會處理內容核准，並將其與先前核准的內容進行比較。 最終更新適用性會決定並傳達給 Windows Update，然後在裝置下次檢查更新時提供核准的內容。

   

部署服務會透過 Microsoft Graph REST API 公開這些功能。 您可以透過 Graph SDK 直接呼叫 API，或將其與管理工具整合，例如 Microsoft Intune。

商務用 Windows Update 部署服務的功能

部署服務是專為 IT 專業人員所設計，他們想要取得比透過延遲原則和部署更新步調所提供的更多控制權。 此服務提供下列更新功能：

• 核准和排程：核准和排程更新部署以在特定日期開始
  • 範例：在 2023 年 2 月 17 日將 Windows 11 22H2 功能更新部署到指定的裝置。
• 漸進式推出：藉由指定漸進式推出設定，在一天或數周內暫存部署
  • 範例：從 2023 年 2 月 17 日開始，每天將 Windows 11 22H2 功能更新部署至 500 部裝置
• 加速：略過設定的商務用 Windows Update 原則，立即在整個組織中部署安全性更新
• 保護保留：針對可能受到 Microsoft 機器學習演算法所識別之更新問題影響的裝置，自動保留部署

特定更新分類提供特定功能：

功能	品質更新	功能更新	驅動程式和韌體
核准和排程		是	是
漸進式推出		是
加快	是
保護保留		是

部署保護

部署服務會透過推出控件和機器學習演算法的組合來保護部署，這些演算法會監視部署並回應推出期間的問題。

漸進式推出

部署服務允許在數天或數周內部署任何更新。 排程更新之後，部署服務會根據排程參數和跨越所更新裝置的唯一屬性，將部署優化。 服務會遵循下列步驟：

1. 根據排程參數，決定每個部署波段中要更新的裝置數目。
2. 針對每個部署波段選取裝置，讓先前的波浪具有多樣化的硬體和軟體，以作為試驗裝置母體擴展。
3. 開始部署至先前的波，以建置母體中存在之裝置屬性的涵蓋範圍。
4. 以一致的速率繼續部署，直到所有波都完成並更新所有裝置為止。

此內建試驗功能可補充您現有的 部署通道 結構，並提供另一個支援，以在更新期間降低和管理風險。 這項功能旨在在每個環形內運作。 部署服務不會提供自行建立通道的工作流程。 繼續使用部署更新步調作為貴組織維護策略的一部分，但使用漸進式推出來新增排程便利性，以及每個通道內的其他保護。

針對可能和已知的問題保護保留

Microsoft 使用 保護保留 來防止裝置安裝更新或升級，以防止裝置遇到已知的品質或相容性問題。 針對 Windows 11 部署，部署服務也會擴充保護保留，以保護 Microsoft 認為在更新 (之後發生問題的風險較高，例如操作系統復原、應用程式損毀或圖形問題) 。 當 Microsoft 調查可能的問題時，服務會暫時保留這些裝置的部署。 保護保留預設適用於部署，但您可以退出宣告。若要確認裝置是否受到保護保留的影響，請參閱 我是否受到保護保留的影響？。

監視部署以偵測復原問題

在部署 Windows 11 或 Windows 10 功能更新期間，驅動程式組合有時會導致非預期的更新失敗，導致裝置還原為先前安裝的操作系統版本。 部署服務可以監視裝置是否有這類問題，並在發生此情況時自動暫停部署，讓您有時間偵測並減輕問題。

開始使用部署服務

若要使用部署服務，您可以使用平臺上建置的管理工具，例如 Microsoft Intune、使用 PowerShell 撰寫常見動作的腳本，或建置您自己的應用程式。

若要深入瞭解部署服務和部署程式，請參閱：

• 商務用 Windows Update 部署服務的必要條件
• 使用 Graph 總管部署功能更新
• 使用 Graph 總管部署快速更新
• 使用 Graph 總管部署驅動程式和韌體更新

使用PowerShell編寫常見動作的腳本

Microsoft Graph SDK 包含 PowerShell 擴充功能，可用來編寫腳本並自動化一般更新動作。 如需詳細資訊， 請參閱開始使用 Microsoft Graph PowerShell SDK。

建置您自己的應用程式

Microsoft Graph 可透過 提供部署服務 API。 開始使用下列資源：

• 學習路徑： Microsoft Graph 基本概念

• 學習路徑： 使用 Microsoft Graph 建置應用程式

• 在 GitHub 上 Windows Update 商務用部署服務範例驅動程式部署應用程式

• Microsoft Graph 中的 Windows 更新 API 概觀

使用 Microsoft Intune

Microsoft Intune 與部署服務整合，以提供 Windows 用戶端更新管理功能。 如需詳細資訊，請參閱：

• Intune 中 Windows 10 和更新版本原則的功能更新
• 在 Microsoft Intune 中加速 Windows 品質更新