共用方式為

裝置登錄概觀

  • 發行項

Windows Autopatch 必須將 現有的裝置註冊 到其服務,以代表您管理更新部署。

Windows 自動修補裝置註冊程式對使用者而言是透明的,因為它不需要重設裝置。

整體裝置註冊程式如下所示:

裝置註冊程式概觀

  1. IT 系統管理員在向 Windows Autopatch 註冊裝置 之前,先檢閱 Windows 自動修補裝置註冊必要條件。
  2. IT 系統管理員會透過新增裝置型 Microsoft Entra 群組作為自定義自動修補群組默認自動修補群組的一部分,來識別要由Windows 自動修補管理的裝置。
  3. Windows Autopatch then:
    1. 在註冊前執行裝置整備 (必要條件檢查) 。
    2. 計算部署通道分佈。
    3. 根據先前的計算,將裝置指派給其中一個部署通道。
    4. 將裝置指派給管理所需的其他 Microsoft Entra 群組。
    5. 將裝置標示為主動進行管理,以便套用其更新部署原則。
  4. IT 系統管理員接著會監視裝置註冊趨勢和更新部署報告。

如需裝置註冊工作流程的詳細資訊,請參閱 詳細的裝置註冊工作流程圖 一節,以取得 Windows 自動修補裝置註冊程式背後的技術詳細數據。

詳細的裝置註冊工作流程圖表

請參閱下列詳細的工作流程圖表。 此圖表涵蓋 Windows 自動修補裝置註冊程式:

詳細的裝置註冊工作流程圖表

步驟 描述
步驟 1:識別裝置 IT 系統管理員會識別要由 Windows 自動修補服務管理的裝置。
步驟 2:新增裝置 IT 系統管理員在建立/編輯自定義自動修補群組時,使用新增現有的裝置型 Microsoft Entra 群組時,透過直接成員資格或巢狀其他 Microsoft Entra ID 指派或動態群組將裝置新增至 Windows 自動修補裝置註冊 Microsoft Entra ID 指派群組。或編輯預設自動修補群組
步驟 3:探索裝置 Windows Autopatch Discover Devices 函式會探索先前由 IT 系統管理員新增到 Windows 自動修補裝置註冊 Microsoft Entra ID 指派群組的裝置 (每小時) 裝置,或從步驟 2 中搭配自動修補群組使用的 Microsoft Entra 群組。 Windows 自動修補會使用 Microsoft Entra 裝置識別符,在將裝置註冊到其服務時,查詢 Microsoft Intune 和 Microsoft Entra ID 中的裝置屬性。
  1. 從 Microsoft Entra 群組探索裝置之後,相同的函式會收集額外的裝置屬性,並在探索作業期間將它儲存到其記憶體中。 在此步驟中,會從 Microsoft Entra ID 收集下列裝置屬性:
    1. AzureADDeviceID
    2. OperatingSystem
    3. DisplayName (裝置名稱)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. 在此相同的步驟中,Windows Autopatch discover devices 函式會呼叫另一個函式,即裝置必要條件檢查函式。 裝置必要條件檢查函式會評估以軟體為基礎的裝置層級必要條件,以在註冊之前符合 Windows 自動修補裝置整備需求。
步驟 4:檢查必要條件 Windows Autopatch 必要條件函式會發出 Intune 圖形 API 呼叫,以循序驗證註冊程式所需的裝置整備屬性。 如需詳細資訊,請參閱 詳細的必要條件檢查工作流程圖一 節。 服務會檢查下列裝置整備屬性和/或必要條件:
  1. 如果裝置 Intune管理。
    1. Windows Autopatch 會查看 Microsoft Entra 裝置識別碼是否有相關聯的 Intune 裝置標識符
      1. 如果,表示此裝置已註冊到 Intune。
      2. 如果不是,表示裝置未註冊到 Intune,因此無法由 Windows 自動修補服務管理。
    2. 如果裝置不是由 Intune 管理,Windows 自動修補服務就無法收集裝置屬性,例如作業系統版本、Intune 註冊日期、裝置名稱和其他屬性。 發生這種情況時,Windows 自動修補服務會使用在步驟 3a 中收集並儲存到其記憶體的 Microsoft Entra 裝置屬性。
      1. 一旦裝置屬性從步驟 3a 的 Microsoft Entra ID 收集,裝置就會標示為 [必要條件失敗] 狀態,然後新增至 [未註冊] 索引卷標,讓 IT 系統管理員可以檢閱 () 裝置未註冊到 Windows Autopatch 的原因。 IT 系統管理員將會補救這些裝置。 在此情況下,IT 系統管理員應該檢查裝置未註冊到 Intune 的原因。
      2. 常見的原因是當 Microsoft Entra 裝置標識碼過時時,它不再具有與其相關聯的 Intune 裝置標識符。 若要補救,請清除租使用者中任何過時 Microsoft Entra 裝置記錄
    3. 如果裝置是由 Intune 所管理,Windows 自動修補必要條件檢查函式會繼續進行下一個必要條件檢查,以評估裝置是否在過去 28 天記憶體回 Intune。
  2. 如果裝置是否為 Windows 裝置。
    1. Windows 自動修補會查看裝置是否為 Windows 和公司擁有的裝置。
      1. 如果是,表示此裝置可以向服務註冊,因為它是 Windows 公司擁有的裝置。
      2. 如果不是,表示裝置是非 Windows 裝置,或是 Windows 裝置,但卻是個人裝置。
  3. Windows 自動修補會檢查 Windows SKU 系列。 SKU 必須是:
    1. 企業
    2. 專業版
    3. Pro 工作站
  4. 如果裝置符合作業系統需求,Windows 自動修補會檢查裝置是否為:
    1. 僅由 Intune 管理。
      1. 如果裝置僅由 Intune 管理,裝置會標示為已通過所有必要條件。
    2. 由 Configuration Manager和 Intune 共同管理。
      1. 如果裝置是由 Configuration Manager 和 Intune 共同管理,則會評估額外的必要條件檢查,以判斷裝置是否符合 Windows 自動修補管理裝置在共同管理狀態下管理裝置所需的共同管理工作負載。 在此步驟中評估的必要共同管理工作負載如下:
        1. Windows 匯報 原則
        2. 裝置設定
        3. Office 按兩下以執行
      2. 如果 Windows 自動修補判斷裝置上未啟用其中一個工作負載,服務會將裝置標示為 必要條件失敗 ,並將裝置移至 [ 未註冊] 索引標籤。
步驟 5:計算部署通道指派 一旦裝置通過 步驟 #4 中所述的所有必要條件,Windows Autopatch 就會開始其部署通道指派計算。 下列邏輯可用來計算 Windows 自動修補部署通道指派:
  1. 如果 Windows Autopatch 租使用者的現有受控裝置大小 ≤ 200,則部署通道指派為 第一 (5%) 快速 (15%) ,其餘裝置會移至 Broad ring (80%)
  2. 如果 Windows Autopatch 租使用者現有的受控裝置大小為 >200,則部署通道指派會是 First (1%) Fast (9%) ,其餘裝置會移至 Broad ring (90%)
步驟 6:將裝置指派給部署通道群組 完成部署通道計算之後,Windows 自動修補會將裝置指派給兩個部署通道集,第一個部署通道集是以下 Microsoft Entra 群組所代表的服務型部署通道集:
  1. 新式工作場所 Devices-Windows 自動修補優先
    1. Windows 自動修補裝置註冊程式不會自動將裝置指派給新式工作場所 Devices-Windows 自動修補測試) (Microsoft Entra 群組所代表的測試通道。 請務必將裝置指派給測試通道,以在更新部署到更廣泛的裝置擴展之前驗證更新部署。
  2. Modern Workplace Devices-Windows Autopatch-Fast
  3. Modern Workplace Devices-Windows Autopatch-Broad
    4. 接著,第二個部署通道集,即下列 Microsoft Entra 群組所代表的軟體更新型部署通道集:
    • Windows 自動修補 - Ring1
      • Windows 自動修補裝置註冊程式不會自動將裝置指派給 windows 自動修補 - 測試) (Microsoft Entra 群組所代表的測試通道。 請務必將裝置指派給測試通道,以在更新部署到更廣泛的裝置擴展之前驗證更新部署。
    • Windows 自動修補 - Ring2
      • Windows 自動修補 - Ring3
步驟 7:將裝置指派給 Microsoft Entra 群組 當特定條件適用時,Windows 自動修補也會將裝置指派給下列 Microsoft Entra 群組:
  1. 新式工作場所裝置 - 全部
    1. 此群組具有 Windows 自動修補所管理的所有裝置。
  2. 新式工作場所裝置 - 虛擬機
    1. 此群組具有 Windows 自動修補所管理的所有 虛擬設備
步驟 8:裝置後註冊 在裝置后註冊中,會發生三個動作:
  1. Windows 自動修補會將裝置新增至其受控資料庫。
  2. 在 [已註冊] 索引標籤中,將裝置標示為 [作用中]。
  3. 已成功註冊裝置的 Microsoft Entra 裝置標識符會新增至 Microsoft 雲端受控桌面延伸模組的允許清單中。 Windows 自動修補會在裝置註冊后安裝 Microsoft Cloud 受控桌面延伸模組代理程式,讓代理程式可以與 Microsoft Cloud 受控桌面延伸模組服務通訊。
    1. 代理程式是在 Windows 自動修補租使用者註冊程式期間建立的新式 工作場所 - 自動修補客戶端設定 PowerShell 腳本。 腳本會在裝置成功註冊到 Windows 自動修補服務後執行。
步驟 9:檢閱裝置註冊狀態 IT 系統管理員會在 [ 註冊] 和 [ 未註冊 ] 索引卷標中檢閱裝置註冊狀態。
  1. 如果裝置 已成功註冊,裝置會顯示在 [ 已註冊] 索 引標籤中。
  2. 如果沒有,裝置會顯示在 [未註冊] 索引標籤中。
步驟 10:結束註冊工作流程 這是 Windows 自動修補裝置註冊工作流程的結尾。

詳細的必要條件檢查工作流程圖表

如先前詳細裝置註冊工作流程圖中的步驟 4 所述,下圖是 Windows 自動修補裝置註冊程式必要條件建構的可視化表示法。 必要條件檢查會循序執行。

詳細的必要條件檢查工作流程圖表

Windows 自動修補部署更新步調

在租用戶註冊程序期間,Windows Autopatch 會建立兩個不同的部署通道集:

下列四 Microsoft Entra ID 指派的群組可用來組織以服務為基礎的部署通道集的裝置:

服務型部署通道 描述
新式工作場所 Devices-Windows Autopatch-Test 部署通道,用於測試以服務為基礎的設定、在生產環境推出前的應用程式部署
新式工作場所 Devices-Windows Autopatch-First 適用於早期採用者的第一個生產環境部署通道。
新式工作場所 Devices-Windows Autopatch-Fast 快速部署更新步調以快速推出和採用
新式工作場所 Devices-Windows Autopatch-Broad 組織廣泛推出的最後部署通道

五個 Microsoft Entra ID 指派的群組,用來組織默認自動修補群組內軟體更新型部署通道集的裝置:

以軟體更新為基礎的部署通道 描述
Windows 自動修補 - 測試 部署通道,用於在生產推出之前測試以軟體更新為基礎的部署。
Windows 自動修補 - Ring1 適用於早期採用者的第一個生產環境部署通道。
Windows 自動修補 - Ring2 快速部署步調以快速推出和採用。
Windows 自動修補 - Ring3 組織廣泛推出的最後部署通道。
Windows 自動修補 - 上次 特殊裝置或 VIP/主管的選擇性部署通道,在經過組織中早期和一般母體擴展的妥善測試之後,必須接收軟體更新部署。

在以軟體為基礎的部署通道集中,每個部署通道都有一組不同的更新部署原則來控制更新推出。

注意

不支援將裝置直接新增或匯入這些群組中的任何一個。 這樣做可能會影響 Windows 自動修補服務。 若要在這些群組之間行動裝置,請參閱 在部署更新步調之間行動裝置

重要

Windows 自動修補裝置註冊不會將裝置指派給服務型 (新式 工作場所 Devices-Windows 自動修補測試) 的測試部署更新步調,或以軟體更新為基礎的 (Windows 自動修補 - 測試和 Windows 自動修補 - 默 認自動修補群組中的最後一個) 。 這是為了防止企業不可或缺的裝置受到影響,或由主管使用的裝置接收早期軟體更新部署。

在裝置註冊程式期間,Windows 自動修補會將每個裝置指派給 服務型和以軟體更新為基礎的部署通道 ,讓服務在組織中具有適當的裝置多樣性表示法。

部署通道發佈旨在盡可能將軟體更新部署發行至最少的裝置,以取得對指定更新部署進行質量評估所需的訊號。

注意

您無法為 Windows 自動修補服務所管理的裝置建立其他部署通道或使用您自己的通道。

預設部署通道計算邏輯

Windows 自動修補部署通道計算會在裝置註冊程式期間進行,而且會同時套用至 服務型和軟體更新型部署通道集

  • 如果 Windows Autopatch 租使用者的現有受控裝置大小 ≤ 200,則部署通道指派為第一 個 (5%) 、快速 (15%) ,其餘裝置會移至 Broad ring (80%)
  • 如果 Windows Autopatch 租使用者的現有受控裝置大小為 >200,則部署通道指派會是 First (1%) 、Fast (9%) ,其餘裝置會移至 Broad ring (90%)

注意

您可以編輯預設自動修補群組來自定義部署通道計算邏輯。

服務型部署通道 默認自動修補群組部署通道 默認裝置平衡百分比 描述
測試 測試 Windows 自動修補不會自動將裝置新增至此部署通道。 您必須遵循必要的程式,手動將裝置新增至測試通道。 如需這些程式的詳細資訊,請 參閱在部署通道之間移動裝置。 根據您的環境大小,此通道中建議的裝置數目如下:
  • 0-500 部裝置:至少 一部 裝置。
  • 500-5000 部裝置:至少 5部 裝置。
  • 5000 部以上的 裝置:至少 50 部 裝置。
此群組中的裝置適用於您的IT系統管理員和測試人員,因為變更會先在此發行。 此發行排程可讓您的組織有機會在接觸生產使用者之前驗證更新。
第一 環形 1 1% 第一個通道是第一個接收變更的生產使用者群組。

此群組是第一組將數據傳送至 Windows Autopatch 的裝置,並用來產生所有使用者的健康情況訊號。 例如,Windows 自動修補可能會產生統計上顯著的訊號,指出所有使用者在特定版本中都有重大錯誤的趨勢,但無法確信其在您的組織中會這麼做。

由於 Windows 自動修補尚未有足夠的數據來通知發行決策,因此,如果測試通道中有在早期測試期間未涵蓋的案例,此部署通道中的裝置可能會發生中斷。
快速 環形 2 9% 快速通道是接收變更的第二個生產使用者群組。 來自第一個通道的訊號會被視為 Broad 通道發行程式的一部分。

此部署通道的目標是要跨越在租用戶層級產生統計顯著分析所需的 500裝置閾值。 這些額外的裝置可讓 Windows Autopatch 考慮發行對其餘裝置的影響,並評估是否需要租用戶的目標動作。
廣泛 環形 3 80%90% Broad ring 是接收軟體更新部署的最後一個使用者群組。 因為它包含大部分已向 Windows 自動修補註冊的裝置,所以在軟體更新部署中偏好穩定性而非速度。
最後 「最後一個通道」是要用於特定裝置或屬於組織中VIP/主管的裝置。 Windows 自動修補不會自動將裝置新增至此部署通道。

軟體更新型對服務型部署環形對應

自動修補群組所導入的服務型和軟體更新型部署通道之間有一對一的對應。 此對應旨在協助針對尚未支援自動修補群組的其他軟體更新工作負載,例如 Microsoft 365 Apps 和 Microsoft Edge,在部署通道之間行動裝置。

如果將裝置移至 裝置也會移至
Windows 自動修補 - 測試 新式工作場所 Devices-Windows Autopatch-Test
Windows 自動修補 - Ring1 新式工作場所 Devices-Windows Autopatch-First
Windows 自動修補 - Ring2 新式工作場所 Devices-Windows Autopatch-Fast
Windows 自動修補 - Ring3 新式工作場所 Devices-Windows Autopatch-Broad
Windows 自動修補 - 上次 新式工作場所 Devices-Windows Autopatch-Broad

如果您的自動修補群組有五個以上的部署更新步調,而且您必須在 Ring3 之後將裝置移至部署更新步調。 例如,<Autopatch group name - Ring4, Ring5, Ring6, etc.>。 裝置將會移至 Modern Workplace Devices-Windows Autopatch-Broad

在部署更新步調之間行動裝置

如果您想要將裝置移至服務或軟體更新型) (不同的部署更新步調,您可以在 Windows Autopatch 的部署通道指派之後,從 [ 已註冊 ] 索引卷標針對一或多個裝置重複下列步驟。

重要

您只能在 相同 自動修補群組內的部署通道之間行動裝置。 您無法跨不同的自動修補群組,在部署通道之間行動裝置。 如果您嘗試選取屬於一個自動修補群組的裝置,以及屬於不同自動修補群組的另一個裝置,您會在 Microsoft Intune 入口網站的右上角收到下列錯誤訊息:「發生錯誤。請選取相同自動修補群組內的裝置

若要在部署通道之間行動裝置:

注意

只有在裝置處於 [已 註冊 ] 索引標籤的作用中狀態時,才能將裝置移至其他部署通道。

  1. Intune 系統管理中心,選取左窗格中的 [裝置]。
  2. 在 [ Windows 自動修補 ] 區段中,選取 [ 裝置]
  3. 在 [ 已註冊] 索 引標籤中,選取您想要指派的一或多個裝置。 所有選取的裝置都會指派給您指定的部署通道。
  4. 從功能表中選取 [裝置動作 ]。
  5. 取 [指派通道]。 飛入視窗隨即開啟。
  6. 使用下拉功能表來選取要將裝置移至其中的部署通道,然後選取 [儲存]。 數據行指派的 Ring 會變更為 Pending。
  7. 當指派完成時,數據行指派的 Ring 會變更為 管理員 (表示您已變更) 且 Ring 數據行會顯示新的部署通道指派。

如果您在步驟 5 中沒有看到 [依數據行指派的通道] 變更為 [擱置],請在裝置刀鋒視窗中搜尋裝置,以查看裝置是否存在於 Microsoft Intune 中。 如需詳細資訊,請參閱 Intune 中的裝置詳細數據

警告

不支援透過直接變更 Microsoft Entra 群組成員資格在部署更新步調之間行動裝置,而且可能會在 Windows 自動修補服務內造成非預期的設定衝突。 若要避免裝置的服務中斷,請使用先前所述的 [指派裝置以響鈴 ] 動作,在部署通道之間移動裝置。

自動化部署通道補救功能

Windows Autopatch 會監視其部署更新步調中的裝置成員資格,但新式 工作場所 Devices-Windows 自動修補測試Windows 自動修補 - 測試Windows 自動修補 - 最後 一個更新步調除除外,以提供自動化部署通道補救功能,以降低其受控裝置不屬於其其中一個部署更新步調的風險。 這些自動化功能有助於降低裝置可能處於易受攻擊狀態的風險,並在裝置因下列任一原因而未收到更新部署時暴露於安全性威脅的風險:

  • IT 系統管理員在 Windows 自動修補租用戶註冊程式所建立的物件上執行的變更,或
  • 發生問題,導致裝置無法在裝置註冊程序期間取得指派的部署通道。

有兩個自動化部署通道補救功能:

函式 描述
檢查裝置部署通道成員資格 Windows 自動修補每小時都會檢查是否有任何受管理的裝置不屬於其中一個部署更新步調。 如果裝置不是部署通道的一部分,Windows Autopatch 會隨機將裝置指派給其中一個部署更新步調 (,但新式 工作場所 Devices-Windows 自動修補測試Windows 自動修補 - 測試和 Windows 自動修補 - 最後 一個更新步調) 除外。
多部署通道裝置修復程式 除了新式工作場所 Devices-Windows 自動修補測試、Windows 自動修補 - 測試Windows 自動修補 - 最後一個更新步調 ) 以外,Windows 自動修補每小時都會檢查是否有任何受控裝置屬於多個部署更新步調 (。 如果裝置是多個部署通道的一部分,Windows 自動修補會隨機移除裝置,直到裝置只是一個部署通道的一部分為止。

重要

Windows 自動修補自動化部署通道函式不會在下列部署通道中指派或移除裝置:

  • 新式工作場所 Devices-Windows 自動修補測試
  • Windows 自動修補 - 測試
  • Windows 自動修補 - 上次