商務用 Windows Update 部署服務必要條件

開始使用商務用 Windows Update 部署服務來部署更新的程式之前,請確定您符合必要條件。

Azure 和 Microsoft Entra ID

授權

Windows Update 商務用部署服務需要裝置的用戶擁有下列其中一個授權:

  • Microsoft 365 F3、E3 或 E5 (中包含的 Windows 10/11 企業版 E3 或 E5)
  • Windows 10/11 教育版 A3 或 A5 (包含在 Microsoft 365 A3 或 A5)
  • Windows 虛擬桌面存取 E3 或 E5
  • Microsoft 365 商務進階版

操作系統和版本

  • Windows 11 專業版、教育版、企業版、專業教育版或工作站專業版
  • Windows 10 專業版、教育版、企業版、專業教育版或工作站專業版

Windows Update 商務用部署服務支援一般可用性通道上的 Windows 用戶端裝置。

Windows 作業系統更新

  • 加速更新需要用戶端上的 更新健全狀況工具 。 從KB4023057開始安裝工具。 若要確認裝置上是否有更新健全狀況工具:

    • 尋找 C:\Program Files\Microsoft Update Health Tools 資料夾,或檢閱新增 Microsoft Update Health Tools移除程式
    • 作為 管理員,請執行下列 PowerShell 腳本:Get-CimInstance -ClassName Win32_Product | Where-Object {$_.Name -match "Microsoft Update Health Tools"}

  • 針對 Windows 診斷數據收集的變更,建議您安裝 2023 年 1 月版本預覽累積更新或更新的對等更新

診斷數據需求

部署排程控件一律可供使用。 不過,若要利用專為您的母體擴展量身打造的唯一部署保護,並 部署驅動程式更新,裝置必須與 Microsoft 共用診斷數據。 針對這些功能,部署服務至少需要裝置在必要層級傳診斷數據, (先前針對這些功能稱為基本) 。

當您搭配部署服務使用 Windows Update for Business 報告時,在下列層級使用診斷數據可讓裝置名稱出現在報表中:

  • 選擇性層級 (先前 Windows 11 裝置的完整)
  • Windows 10 裝置的增強層級

權限

注意

利用 圖形 API 的其他部分可能需要額外的許可權。 例如,若要顯示 裝置 資訊,至少需要 Device.Read.All 權 限。

必要的端點

  • 可存取下列端點:

  • Windows Update 端點

    • *.prod.do.dsp.mp.microsoft.com
    • *.windowsupdate.com
    • *.dl.delivery.mp.microsoft.com
    • *.update.microsoft.com
    • *.delivery.mp.microsoft.com
    • tsfe.trafficshaping.dsp.mp.microsoft.com

  • Windows Update 商務用部署服務端點

    • devicelistenerprod.microsoft.com
    • login.windows.net
    • payloadprod*.blob.core.windows.net

  • Windows 推播通知服務 (建議,但並非必要。若沒有此存取權,裝置在下次每日檢查更新之前,可能不會加速更新。)

    • *.notify.windows.com

限制

Windows Update 商務用部署服務是裝載於 Azure 中的 Windows 服務,使用 Windows 診斷數據。 您應該注意,Windows Update 商務用部署服務不符合美國政府社群合規性 (GCC) 需求。 如需 Microsoft 產品和服務的 GCC 供應專案清單,請參閱 Microsoft 信任中心。 Windows Update 商務用部署服務可在 Azure 商業雲端中使用,但不適用於 GCC High 或 美國 美國國防部客戶。

驅動程序的原則考慮

服務可能會收到內容核准,但因為裝置上有 群組原則、CSP 或登錄設定,所以不會在裝置上安裝內容。 在某些情況下,組織會特別設定這些原則,以符合其目前或未來的需求。 例如,組織可能想要透過部署服務檢閱適用的驅動程序內容,但不允許安裝。 設定這種行為可能很有用,特別是在因組織需求變更而轉換驅動程式更新管理時。 下列清單描述可透過部署服務影響部署的驅動程序相關更新原則:

排除裝置 Windows Update 驅動程序的原則

下列原則會排除裝置 Windows Update 的驅動程式:

  • 排除驅動程序的原則位置
    • 群組原則\Windows Components\Windows Update\Do not include drivers with Windows Updates設定為enabled
    • CSPExcludeWUDriversInQualityUpdate 設定為 1
    • 登錄HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversFromQualityUpdates 設定為 1
    • Intune:將更新通道設定為 的 Windows 驅動程式更新設定Block

部署服務的行為:具有驅動程式排除原則的裝置,已註冊 驅動程式 ,並透過部署服務新增至物件:

  • 將會在部署服務中顯示適用的驅動程序內容
  • 不會安裝從部署服務核准的驅動程式
    • 如果驅動程式部署到封鎖驅動程式的裝置,部署服務會顯示提供驅動程式,並報告顯示安裝擱置中。

定義驅動程式更新來源的原則

下列原則會將驅動程式更新的來源定義為 Windows Update 或 Windows Server Update Service (WSUS) :

  • 定義更新來源的原則位置
    • 群組原則\Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\Specify source service for specific classes of Windows Updates將 設為 enabledDriver Updates並將 選項設為Windows Update
    • CSPSetPolicyDrivenUpdateSourceForDriverUpdates 設定0為 ,以作為來源 Windows Update
    • 登入HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\SetPolicyDrivenUpdateSourceForDriverUpdates 設定為 0。 在下 \AUUseUpdateClassPolicySource 也必須設定為 1
    • Intune:不適用。 Intune 使用商務用 Windows Update 部署更新。 來自 Configuration Manager 的共同管理客戶端,以及設定為 Intune 的 Windows Update 原則工作負載,也會使用商務用 Windows Update。

部署服務的行為:具有這些更新來源原則的裝置已註冊 驅動程式 ,並透過部署服務新增至物件:

  • 將會在部署服務中顯示適用的驅動程序內容
  • 將會安裝從部署服務核准的驅動程式

注意

當驅動程式的掃描來源設定為 WSUS 時,部署服務不會從裝置取得清查事件。 這表示部署服務將無法報告裝置的驅動程式適用性。

部署服務的一般秘訣

請遵循下列建議,以獲得服務的最佳結果:

  • 等候裝置完成布建,再使用服務進行管理。 如果裝置正由 Autopilot 布建,則只有在完成布建之後,部署服務才能加以管理 (通常) 一天。

  • 使用部署服務進行功能更新管理,而不需要功能更新延遲原則。 如果您想要使用部署服務來管理先前使用功能更新延遲原則之裝置上的功能更新,最好將功能更新延遲原則設定為 0 天,以避免有多個條件管理功能更新。 您應該只在確認裝置已在服務中註冊且沒有錯誤之後,將功能更新延遲原則值變更為 0 天。

  • 避免使用不同的通道來管理相同的資源。 如果您搭配 Microsoft Graph API 或 PowerShell 使用 Microsoft Intune,則如果您使用這兩個通道來管理相同的資源,可能會覆寫裝置、部署、可更新資產群組等資源 (層面) 。 相反地,請只透過建立資源的通道來管理每個資源。