管理其他 Windows Update 設定
正在尋找消費者資訊嗎? 請參閱 Windows Update:常見問題集
您可以使用群組原則設定或行動裝置管理 (MDM) 來設定 Windows 10 裝置上 Windows Update 的行為。 您可以設定更新偵測頻率、選取何時接收更新、指定更新服務位置,以及更其他各種設定。
Windows Update 設定摘要
| 群組原則設定 | MDM 設定 | 開始支援的版本 |
|---|---|---|
| 指定近端內部網路 Microsoft 更新服務的位置 | UpdateServiceUrl 和 UpdateServiceUrlAlternate | 全部 |
| 自動更新偵測頻率 | DetectionFrequency | 1703 |
| 移除對使用所有 Windows Update 功能的存取 | Update/SetDisableUXWUAccess | 全部 |
| 不連接到任何 Windows Update 網際網路位置 | 全部 | |
| 啟用用戶端目標 | 全部 | |
| 允許來自近端內部網路 Microsoft 更新服務位置的已簽署更新 | AllowNonMicrosoftSignedUpdate | 全部 |
| 不包含 Windows 更新的驅動程式 | ExcludeWUDriversInQualityUpdate | 1607 |
| 設定自動更新 | AllowAutoUpdate | 全部 |
|
Windows Update 通知顯示組織名稱 *預設會顯示組織名稱。 登錄值可以停用此行為。 |
Windows 11 Microsoft Entra 加入或註冊的裝置 | |
| 只允許在初始使用者登入登錄之前安裝 Windows 更新 (登錄) | Windows 11 22H2 版與 2023-04 累積更新預覽,或更新版本的累積更新 |
掃描更新
系統管理員可彈性地設定其裝置掃描和接收更新的方式。
指定近端內部網路 Microsoft 更新服務的位置可讓系統管理員將裝置指向內部 Microsoft 更新服務的位置,而請勿連線至 Windows Update 網際網路的任何位置可讓他們選擇將裝置限於該內部更新服務。 自動更新偵測頻率負責控制裝置掃描更新的頻率。
您可以使用 啟用客戶端目標,建立可與內部Microsoft更新服務搭配運作的自定義裝置群組。 您也可以透過允許 來自內部網路Microsoft更新服務位置的已簽署更新,確定您的裝置收到未由內部Microsoft更新服務Microsoft簽署的更新。
最後,若要確定更新體驗完全由系統管理員控制,您可以移除存取權,為使用者使用所有 Windows Update 功能。
如需在收到功能和品質更新時設定的其他設定,請參閱設定商務用 Windows Update。
指定近端內部網路 Microsoft 更新服務的位置
指定託管來自 Microsoft Update 之更新的內部伺服器。 然後您可以使用此更新服務自動更新網路上的電腦。 這項設定可讓您指定網路上的伺服器做為內部更新服務。 自動 匯報 用戶端會搜尋此服務,以取得適用於您網路上計算機的更新。
若要在群組原則中使用此設定,請前往 [電腦設定\系統管理範本\Windows 元件\Windows Update\指定近端內部網路 Microsoft 更新服務的位置]。 您必須設定兩個伺服器名稱值:
- 自動 匯報客戶端偵測並下載更新的伺服器
- 更新工作站上傳統計數據的伺服器 您可以將這兩個值設定為相同的伺服器。 可以指定選用的伺服器名稱值來設定 Windows Update 代理程式,從其他下載伺服器下載更新,而非近端內部網路更新服務。
如果此設定設為 [已啟用],自動更新用戶端就會連線到指定的近端內部網路 Microsoft 更新服務 (或替代的下載伺服器),而不是 Windows Update,以搜尋並下載更新。 啟用這個設定表示組織中的使用者不必通過防火牆就能取得更新,也讓您有機會在部署之後測試更新。 如果設定設為 [已停用] 或 [未設定],而且如果原則或使用者喜好設定未停用自動 匯報,自動 匯報 用戶端會直接連線到因特網上的 Windows Update 網站。
替代下載伺服器名會設定 Windows Update 代理程式,從其他下載伺服器下載更新檔案,而非近端內部網路更新服務。 當更新元數據中沒有檔案的下載 URL 時,下載遺漏 URL 檔案的選項可讓您從替代下載伺服器下載內容。 只有在內部網路更新服務未針對替代下載伺服器上存在的檔案提供更新元數據中的下載 URL 時,才應該使用此選項。
注意
如果 [設定自動更新] 原則已停用,此原則就沒有作用。
如果未設定 [替代下載伺服器],預設將會使用近端內部網路更新服務下載更新。
[下載沒有 URL 的檔案...] 選項只有在設定了 [替代下載伺服器] 時使用。
若要使用 MDM 設定這項原則,請使用 UpdateServiceUrl 和 UpdateServiceUrlAlternate。
自動更新偵測頻率
指定 Windows 用來判斷檢查可用更新之前的等待時間,以小時為單位。 確實等待時間的決定方式,是使用這裡指定的時數減去所指定時數的 0 到 20%。 例如,如果使用這項原則指定 20 小時偵測頻率,則套用這項原則的所有用戶端都會在 16 到 20 小時之間檢查更新。
若要透過群組原則設定此設定,請瀏覽 [電腦設定\系統管理範本\Windows 元件\Windows Update\自動更新偵測頻率]。
如果設定設為 [ 已啟用],Windows 會在指定的間隔內檢查是否有可用的更新。 如果設定設為 [已停 用] 或 [ 未設定],Windows 會在預設間隔 22 小時內檢查可用的更新。
注意
「指定近端內部網路 Microsoft 更新服務的位置」設定必須啟用,此原則才能生效。
如果「設定自動更新」原則已停用,此原則就沒有作用。
若要使用 MDM 設定這項原則,請使用 DetectionFrequency。
移除對使用所有 Windows Update 功能的存取
透過啟用 \[電腦設定\系統管理範本\Windows 元件\Windows update\移除使用所有 Windows Update 功能的存取\] 下的群組原則設定,系統管理員可以停用使用者的 [檢查更新] 選項。 任何背景更新掃描、下載和安裝都會繼續依設定運作。
不連接到任何 Windows Update 網際網路位置
即使 Windows Update 設定為從近端內部網路更新服務接收更新,它仍會定期從公用 Windows Update 服務接收資訊,以便未來與 Microsoft Update 連線,以及接收其他服務 (像是 Microsoft Update 或 Microsoft Store) 的資訊。
使用 [電腦設定\系統管理範本\Windows 元件\Windows Update\請勿連接到 Windows Update 網際網路的任何位置] 啟用此原則。 啟用時,此原則會停用上述功能,並可能導致與 Microsoft Store、商務用 Windows Update 和傳遞優化等公用服務的連線停止運作。
注意
這項原則只在裝置設定為使用 [指定近端內部網路 Microsoft 更新服務的位置] 原則連線到近端內部網路更新服務時套用。
啟用用戶端目標鎖定
指定應用來從近端內部網路 Microsoft 更新服務接收更新的目標群組名稱。 這可讓系統管理員設定從 WSUS 或 Configuration Manager 等來源接收不同更新的裝置群組。
您可以在 [電腦設定\系統管理範本\Windows 元件\Windows Update\啟用用戶端目標鎖定] 底下找到此群組原則設定。 如果設定設為 [已啟用],則會將指定的目標群組資訊傳送至內部網路Microsoft更新服務,以使用它來判斷應該將哪些更新部署到這部計算機。 如果設定設為 [已停 用] 或 [ 未設定],則不會將任何目標群組資訊傳送至內部網络Microsoft更新服務。
如果近端內部網路 Microsoft 更新服務支援多個目標群組,這個原則可以指定多個群組名稱,以分號分隔。 否則必須指定單一群組。
注意
這項原則只有在裝置導向的目標近端內部網路 Microsoft 更新服務設定為支援用戶端目標鎖定時才適用。 如果「指定近端內部網路 Microsoft 更新服務的位置」原則已停用或未設定,則此原則沒有作用。
允許來自近端內部網路 Microsoft 更新服務位置的已簽署更新
這項原則設定可讓您管理自動更新是否接受 Microsoft 以外的實體簽署的更新,當近端內部網路 Microsoft 更新服務位置找到更新時。
若要在群組原則中設定此設定,請前往 [電腦設定\系統管理範本\Windows 元件\Windows Update\允許來自近端內部網路 Microsoft 更新服務位置的已簽署更新]。
如果您啟用此原則設定,自動 匯報 接受透過內部網路Microsoft更新服務位置接收的更新,如指定內部網路Microsoft更新服務位置所指定,如果這些更新是由本機計算機的「受信任的發行者」證書存儲中找到的憑證所簽署。 如果您停用或未設定此原則設定,則必須由Microsoft簽署來自內部網路Microsoft更新服務位置的更新。
注意
近端內部網路 Microsoft 更新服務以外的服務更新必須一律由 Microsoft 簽署,而且不受此原則設定影響。
若要使用 MDM 設定這項原則,請使用 AllowNonMicrosoftSignedUpdate。
安裝更新
若要讓更新程序更富彈性,有些設定可用來控制更新安裝。
設定自動 匯報 提供四種不同的自動更新安裝選項,而請勿包含具有 Windows 匯報 的驅動程式,以確保驅動程式不會與其餘已接收的更新一起安裝。
不包含 Windows 更新的驅動程式
允許系統管理員在更新期間排除 Windows Update 驅動程式。
若要在群組原則中設定此設定,請使用 [電腦設定\系統管理範本\Windows 元件\Windows Update\不包含 Windows 更新的驅動程式]。 啟用這項原則就不會在 Windows 品質更新中包含驅動程式。 如果您停用或未設定此原則,Windows Update 包含具有驅動程序分類的更新。
設定自動更新
讓 IT 系統管理員管理掃描、下載,以及安裝更新的自動更新行為。
使用群組原則設定自動更新
在 [計算機設定\系統管理範本\Windows 元件\Windows 更新\設定自動 匯報] 底下,您必須選取下列其中一個選項:
2 - 通知下載和自動安裝 - 當 Windows 找到適用於此裝置的更新時,使用者會收到更新已準備好下載的通知。 移至 [設定>更新] & 安全>性 Windows Update 之後,使用者可以下載並安裝任何可用的更新。
3 - 自動下載並通知安裝 - Windows 會尋找套用至裝置的更新,並在背景下載更新, (使用者在此程式) 期間不會收到通知或中斷。 下載完成時,使用者會收到已準備好安裝的通知。 移至 [設定>更新] & 安全>性 Windows Update 之後,使用者就可以安裝它們。
4 - 自動下載和排程安裝 - 使用群組原則設定中的選項指定排程。 如需關於此設定的詳細資訊,請參閱排程更新安裝。
5 - 允許本機系統管理員選擇設定 - 使用此選項時,本機系統管理員可以使用設定應用程式來選取其選擇的組態選項。 不允許本機系統管理員停用自動 匯報的設定。 此選項不適用於任何 Windows 10 或更新版本。
7 - 通知安裝並通知重新啟動 (Windows Server 2016 且更新版本僅) - 使用此選項時,當 Windows 找到適用於此裝置的更新時,系統會下載更新,然後通知使用者已準備好安裝更新。 安裝更新之後,系統會向用戶顯示通知以重新啟動裝置。
如果此設定設為 [已停用],則必須手動下載和安裝 Windows Update 上提供的任何更新。 若要這樣做,用戶必須移至 [設定>更新] & 安全>性 Windows Update。
如果此設定設為 [未設定],系統管理員仍然可以在 [設定更新] & [安全>性] Windows Update [進階] 選項底下>,透過設定應用程式設定自動 匯報>。
透過編輯登錄來設定自動更新
注意
如果您使用登錄編輯程式或其他方法,不正確地修改登錄,可能會發生嚴重問題。 這些問題可能需要您重新安裝作業系統。 Microsoft 不能保證這些問題可以解決。 修改登錄的風險由您自負。
在未部署 Active Directory 的環境中,您可以編輯登錄設定,以設定自動更新的組策略。
若要這樣做,請執行下列步驟:
選取 [開始],搜尋 "regedit",然後開啟 [登錄編輯程式]。
開啟下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU新增下列其中一個登錄值來設定自動更新。
NoAutoUpdate (REG_DWORD):
0:啟用自動更新(預設)。
1:自動更新已停用。
AUOptions (REG_DWORD):
1:在 [自動更新] 中停用 [讓我的電腦保持在最新狀態]。
2:通知下載和安裝。
3:自動下載並通知安裝。
4:自動下載及排程安裝。
5:允許本機系統管理員選取設定模式。 此選項不適用於 Windows 10 或更新版本。
7:通知安裝,並通知重新啟動。 (Windows Server 2016 和更新版本僅)
ScheduledInstallDay (REG_DWORD):
0:每天。
1到7:星期日 (1) 到星期六 (7) 的天數。
ScheduledInstallTime (REG_DWORD):
n,其中n等於一天的時間,格式為24小時 (0-23)。
UseWUServer (REG_DWORD)
將此值設定為1 ,將 [自動更新] 設定為使用執行軟體更新服務的伺服器,而不是 Windows Update。
RescheduleWaitTime (REG_DWORD)
m,其中m等於自動更新開始時,以及它在排程時間已過的時間開始安裝之間所要等待的時間週期。 時間設定為從1到60的分鐘數,表示1分鐘到60分鐘)
注意
這個設定只會影響用戶端更新為 SUS SP1 用戶端版本或更新版本之後的用戶端行為。
NoAutoRebootWithLoggedOnUsers (REG_DWORD):
0 (false) 或 1 (true)。 如果設定為 1,自動 匯報 不會在使用者登入時自動重新啟動電腦。
注意
在用戶端更新為 SUS SP1 用戶端版本或更新版本之後,此設定會影響用戶端行為。
若要搭配執行 Windows 軟體更新服務 (WSUS) 的伺服器使用自動 匯報,請參閱部署Microsoft Windows Server Update Services指引。
當您使用原則登錄機碼直接設定自動更新時,原則會覆寫本機系統管理使用者所設定的喜好設定,以設定用戶端。 如果系統管理員在日後移除登錄機碼,則會再次使用本機系統管理使用者所設定的喜好設定。
若要判斷用戶端電腦和伺服器連線到哪個 WSUS 伺服器以取得更新,請將下列登錄值新增到登錄:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
WUServer (REG_SZ)
此值會依 HTTP 名稱設定 WSUS 伺服器 (例如, http://IntranetSUS).
WUStatusServer (REG_SZ)
此值會依 HTTP 名稱設定 SUS 統計資料伺服器 (例如, http://IntranetSUS).
在 Windows Update 通知中顯示組織名稱
當 Windows 11 用戶端與 Microsoft Entra 租使用者相關聯時,組織名稱會出現在 Windows Update 通知中。 例如,當您為商務用 Windows Update 設定合規性期限時,使用者通知會顯示類似 Contoso 需要安裝重要更新的訊息。 組織名稱也會顯示在 [設定] Windows 11 中的 [Windows Update] 頁面上。
組織名稱會自動針對與 Microsoft Entra ID 相關聯的 Windows 11 用戶端,以下列任何一種方式顯示:
若要停用在 Windows Update 通知中顯示組織名稱,請在登錄中新增或修改下列值:
-
登入機碼:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations - DWORD 值名稱:UsoDisableAADJAttribution
- 值數據: 1
下列 PowerShell 腳本會作為範例提供給您:
$registryPath = "HKLM:\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations"
$Name = "UsoDisableAADJAttribution"
$value = "1"
if (!(Test-Path $registryPath))
{
New-Item -Path $registryPath -Force | Out-Null
}
New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null
允許在初始使用者登入之前安裝 Windows 更新
(從 Windows 11 開始,使用 2023-04 累積更新預覽版本 22H2,或更新版本的累積更新)
在新裝置上,Windows Update 不會開始安裝背景更新,直到使用者完成全新體驗 (OOBE) 並第一次登入。 在許多情況下,使用者會在完成 OOBE 之後立即登入。 不過,某些以 VM 為基礎的解決方案會布建裝置,並將第一個用戶體驗自動化。 這些 VM 可能不會立即指派給使用者,因此在數天後才會看到初始登入。
在初始登入延遲的情況下,設定下列登錄值可讓裝置在使用者第一次登入之前開始背景更新工作:
- 登錄機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator
- DWORD 值名稱:ScanBeforeInitialLogonAllowed
- 值數據:1
警告
此值的設計僅適用於具有延遲初始使用者登入的案例。 在未延遲初始使用者登入的裝置上設定此值可能會對效能造成負面影響,因為當使用者第一次登入時,可能會導致更新工作發生。