隨著組織轉向由 Microsoft 代為管理更新流程的管理式服務模式,他們面臨著如何正確呈現組織架構,並配合自身部署節奏的挑戰。 Windows 自動補丁團隊協助組織以符合企業需求的方式管理更新,避免額外成本或意外中斷。
什麼是 Windows 自動補丁群組?
自動補丁群組是一個邏輯容器或單元,將多個 Microsoft Entra 群組及軟體更新政策分組,例如 Windows 10 及以後版本的更新環政策、Windows 10 及更新版本的功能更新政策、驅動程式更新政策、Microsoft 365 應用程式更新政策,以及 Microsoft Edge 更新政策。
自動補丁群組旨在協助需要更精確表示組織結構及自身更新部署節奏的組織。
預設情況下,Autopatch 群組會自動顯示測試與最後部署環。 欲了解更多資訊,請參閱 測試與最後部署環。
主要優點
自動修補團隊協助Microsoft Cloud-Managed 服務與組織在更新管理旅程中所處的位置相遇。 主要好處包括:
| 效益 | 描述 |
|---|---|
| 複製你的組織結構 | 你可以設置自動補丁群組,以複製你現有的裝置型 Microsoft Entra 群組目標邏輯所代表的組織結構。 |
| 擁有彈性的部署數量 | 自動修補群組讓你有彈性,能在組織內擁有適當數量的部署環。 每個自動補丁群組最多可以設置 15 個部署環。 |
| 決定哪些裝置屬於部署環 | 除了使用現有的 Microsoft Entra 群組並選擇部署環數量外,您也可以在裝置分配過程中設定自動補丁群組時,決定哪些裝置屬於部署環。 |
| 選擇部署節奏 | 您可以為您的企業選擇合適的軟體更新部署節奏。 |
必要條件
在開始管理自動補丁群組之前,請確保你符合以下先決條件:
| 前置條件 | 詳細資料 |
|---|---|
| 請參閱 Windows 自動補丁群組總覽文件 | 了解組織內使用自動補丁群組的主要優勢與常見方式。 |
| 確保你的 Windows Autopatch 租戶啟用了僅限應用程式的認證。 否則,自動修補群組的功能就無法正常運作。 自動修補程式僅使用應用程式認證來: |
|
| 請確保你打算用自動修補群組時,所有裝置端的 Microsoft Entra 群組都已建立,才能使用此功能。 | 檢視您現有的 Microsoft Entra 群組動態查詢,並直接將裝置成員資格設定為:
|
| 在註冊服務時,確保與現有 Microsoft Entra 群組使用的裝置符合裝置註冊的先決條件檢查 | 自動修補會幫你註冊裝置,裝置準備狀態會根據註冊狀態及是否有相關警報針對該裝置來判斷。 更多資訊請參閱 自動補丁群組會員報告。 |
將裝置註冊到自動補丁群組
自動修補群組會在你 建立 或 編輯自動修補群組時,透過 Windows 自動修補服務註冊裝置。 欲了解更多資訊,請參閱 「將裝置註冊到自動修補群組」。
高階架構圖概述
自動補丁群組是 Windows 自動補丁服務中裝置註冊微服務的一部分的功能應用程式。 下表說明了高階工作流程:
| 步驟 | 描述 |
|---|---|
| 步驟 1:建立自動補丁群組 | 建立一個自動修補群組。 自動修補群組會在你 建立 或 編輯自動修補群組時,透過 Windows 自動修補服務註冊裝置。 |
| 步驟 2:Windows 自動修補使用 Microsoft Graph 建立 Microsoft Entra ID 及政策指派 | Windows 自動修補服務使用 Microsoft Graph 來協調建立: |
| 步驟 3:Intune 指派軟體更新政策 | 一旦在 Microsoft Entra 服務中建立 Microsoft Entra 群組,Intune 會被用來指派軟體更新政策給這些群組,並提供需要這些更新政策的裝置數量。 |
| 步驟 4:Windows 自動修補的職責 | Windows 自動修補服務負責:
|
自動補丁群組部署環
部署環使自動補丁群組能在自動補丁群組內逐步推送軟體更新部署。
Windows 自動修補與 Microsoft Entra ID 及 Intune 的裝置群組管理術語相符。 自動補丁群組中部署環群組分布有兩種類型:
| 部署環分布 | 描述 |
|---|---|
| 動態 | 你可以使用一個或多個基於裝置的 Microsoft Entra 群組,無論是動態查詢型,或是指派用於部署環組。 與動態分發類型搭配使用的 Microsoft Entra 群組,可以用來根據可自訂的百分比值,將裝置分配到多個部署環。 |
| 已指派 | 你可以使用單一裝置型的 Microsoft Entra 群組,無論是動態查詢式,或是指派用於部署環的組合。 |
| 動態與指派的結合 | 為了在部署環組合時提供更大的彈性,你可以在自動補丁群組中結合兩種裝置分布類型。 在自動修補群組中的測試環與最後部署環 中,不 支援動態與指派裝置分發的組合。 |
測試環與最後部署環
測試環與最後部署環皆為預設部署環,會自動存在於自動補丁群組中。 這些預設部署環提供自動補丁群組應有的建議最低部署環數。
如果你在建立自動補丁群組時沒有新增部署環,測試部署環可以用作試點部署環,而 Last 則可用作生產部署環。
重要
測試和最後部署環都無法從自動補丁群組中移除或重新命名。 自動補丁群組不支援只使用單一部署環作為部署環組成的一部分,因為逐步部署時至少需要 兩個部署環 。 如果你必須用單一部署環實作特定情境,且不需要逐步部署,請考慮將這些裝置管理在自動補丁群組之外。
提示
測試與最後部署環同時只支援一個 Microsoft Entra 群組指派。 如果你需要指派多個 Microsoft Entra 群組,可以將其他 Microsoft Entra 群組置在你打算搭配測試和最後部署環一起使用的群組下。 目前僅支援一層 Microsoft Entra 群組巢狀結構。
使用自動補丁群組的常見方法
以下是使用自動修補群組的三種常見用途。
使用案例 #1
| 案例 | 解決方案 |
|---|---|
| 你目前在Contoso有限公司擔任IT管理員。您的組織需要規劃在特定關鍵事業單位或部門逐步推出軟體更新,以降低終端用戶中斷的風險。 | 你可以為每個事業單位建立一個自動修補群組。 例如,你可以為財務部門建立一個自動修補群組,並根據不同使用者角色或根據某些使用者群組對部門及業務的重要性,細分部署環的組成。 以下是Contoso財務部門逐步部署的視覺呈現。 |
重要
一旦自動補丁群組建立,Windows 品質或功能更新的發布會依序透過其部署環部署。
使用情境 #2
| 案例 | 解決方案 |
|---|---|
| 你目前在Contoso有限公司擔任IT管理員。您在芝加哥的分公司需要規劃在特定部門內逐步推出軟體更新,以確保芝加哥辦公室的營運不會中斷。 | 你可以為芝加哥分行建立一個自動補丁群組,並根據分行所在地的各部門拆解部署環的組成。 以下是 Contoso 芝加哥分行逐步推出的視覺呈現。 |
重要
一旦自動補丁群組建立,Windows 品質或功能更新的發布會依序透過其部署環部署。
支援的設定
使用自動修補群組時,支援以下設定。
軟體更新工作負載
自動修補群組可處理以下軟體更新工作負載:
自動補丁群組的最大數量
Windows 自動修補程式支援租戶最多 300 個自動修補群組。 每個自動補丁群組最多支援 15 個部署環。
注意
如果你達到 300) (支援的自動修補群組數量上限,並嘗試建立更多自動修補群組,自動修補群組刀片中的「建立」選項會變成灰色。
要管理你的自動補丁群組,請參見 管理 Windows 自動補丁群組。