Windows 自動修補群組
重要
本文或章節中的資訊僅適用於您在 Microsoft 365 F3、E3 或 E5) 授權中包含 Windows 企業版 E3+ 或 F3 授權,且已啟用 Windows 自動修補功能時 (。
如果您在 Microsoft 365 F3、E3 或 E5) 授權中包含 Windows 10/11 企業版 E3 或 E5 (,則功能啟用是選擇性的,而且不需要額外費用。
如需詳細資訊,請參閱 授權和權利。 如果您選擇不進行功能啟用,您仍然可以針對 商務進階版和 A3+ 授權中包含的功能使用 Windows 自動修補服務。
當組織移至Microsoft代表其管理更新程式的受控服務模型時,會因為組織結構的正確表示法,以及自己的部署步調而面臨挑戰。 Windows 自動修補群組可協助組織以對企業有意義的方式管理更新,而不需要額外成本或非計劃性中斷。
什麼是 Windows 自動修補群組?
自動修補群組是一個邏輯容器或單位,可將數個 Microsoft Entra 群組和軟體更新原則分組,例如 Windows 10 和更新版本的更新通道原則,以及 Windows 10 和更新版本原則的功能更新。
自動修補群組旨在協助需要更精確地表示其組織結構的組織,以及其在服務中自己的更新部署步調。
根據預設,自動修補群組會自動出現 [測試] 和 [上次部署] 更新步調。 如需詳細資訊,請 參閱測試和上次部署更新步調。
主要優點
自動修補群組可協助Microsoft Cloud-Managed服务符合其更新管理旅程中的组织。 主要優點包括:
| 效益 | 描述 |
|---|---|
| 複寫您的組織結構 | 您可以設定自動修補群組,以復寫現有裝置型 Microsoft Entra 群組目標邏輯所代表的組織結構。 |
| 具有彈性的部署數目 | 自動修補群組可讓您彈性地擁有在組織內運作的適當部署更新步調數目。 每個自動修補群組最多可以設定15個部署更新步調。 |
| 決定哪些裝置屬於部署更新步調 | 除了使用現有的裝置型 Microsoft Entra 群組並選擇部署更新步調的數目,您也可以在設定自動修補群組時,決定哪些裝置在裝置發佈程式期間屬於部署更新步調。 |
| 選擇部署頻率 | 您可以為您的企業選擇正確的軟體更新部署步調。 |
必要條件
開始管理自動修補群組之前,請確定您符合下列必要條件:
| 先決條件 | 詳細資料 |
|---|---|
| 檢閱 Windows 自動修補群組概觀檔 | 瞭解在組織內使用自動修補群組的主要優點和常見方式。 |
| 請確定 您的 Windows 自動修補租使用者中已開啟僅限應用程式的驗證。 否則,自動修補群組功能無法正常運作。 自動修補會使用僅限應用程式的驗證來執行下列作業: |
|
| 使用此功能之前,請確定您想要搭配自動修補群組使用的所有裝置型 Microsoft Entra 群組都已建立。 | 檢閱您現有的 Microsoft Entra 群組動態查詢,並將裝置成員資格導向:
|
| 確定與現有 Microsoft Entra 群組搭配使用的裝置在向服務註冊時符合裝置註冊必要條件檢查 | 自動修補群組會代表您註冊裝置,而裝置整備狀態會根據註冊狀態以及是否有任何適用的警示以裝置為目標來決定。 如需詳細資訊,請參閱 裝置報告。 |
提示
Windows 自動修補所建立及管理之 Windows 10 和更新版本原則的更新通道和功能更新,可以使用原則健康情況功能來還原。 如需補救動作的詳細資訊,請參閱 還原 Windows 更新原則。
將裝置註冊到自動修補群組
當您 建立 或編輯自動修補群組時,自動修補 群組會向Windows 自動修補服務註冊裝置。 如需詳細資訊,請 參閱將裝置註冊到自動修補群組。
高階架構圖表概觀
自動修補群組是一種函式應用程式,屬於 Windows Autopatch 服務內裝置註冊微服務的一部分。 下表說明高階工作流程:
| 步驟 | 描述 |
|---|---|
| 步驟 1:建立自動修補群組 | 建立自動修補群組。 當您 建立 或編輯自動修補群組時,自動修補 群組會向Windows 自動修補服務註冊裝置。 |
| 步驟 2:Windows 自動修補使用 Microsoft Graph 來建立 Microsoft Entra ID 和原則指派 | Windows Autopatch 服務會使用 Microsoft Graph 來協調下列專案的建立: |
| 步驟 3:Intune 指派軟體更新原則 | 在 Microsoft Entra 服務中建立 Microsoft Entra 群組之後,Intune 會用來將軟體更新原則指派給這些群組,並將需要軟體更新原則的裝置數目提供給商務用 Windows Update (WUfB) 服務。 |
| 步驟 4:商務用 Windows Update 責任 | Windows Update 商務用 (WUfB) 是負責:
|
自動修補群組部署更新步調
部署更新步調可讓自動修補群組在自動修補群組內逐步推出時,依序傳遞軟體更新部署。
Windows 自動修補與裝置群組管理的 Microsoft Entra ID 和 Intune 術語一致。 自動修補群組中有兩種類型的部署通道群組散發:
| 部署通道散發 | 描述 |
|---|---|
| 動態 | 您可以使用一或多個以裝置為基礎的 Microsoft Entra 群組,以動態查詢為基礎,或指派給部署通道組合使用。 Microsoft Entra 搭配動態散發類型使用的群組,可以根據可自定義的百分比值,用來將裝置分散到數個部署更新步調。 |
| 已指派 | 您可以使用單一裝置型 Microsoft Entra 群組、動態查詢型或指派來用於部署通道組合。 |
| 動態和指派的組合 | 若要在處理部署通道組合時提供更高層級的彈性,您可以在自動修補群組中結合這兩種裝置發佈類型。 自動修補群組中的測試和上次部署通道 不 支援動態和指派裝置散發的組合。 |
測試和上次部署更新步調
測試和上次部署更新步調都是自動修補群組中自動出現的預設部署更新步調。 這些預設部署更新步調提供自動修補群組應該擁有的建議部署通道數目下限。
如果您在建立自動修補群組時未新增更多部署更新步調,則測試部署通道可以當做試驗部署通道使用,而 Last 可用來作為生產部署通道。
重要
無法從自動修補群組中移除或重新命名 [測試 ] 和 [ 上次 部署] 更新步調 。 自動修補群組不支援使用單一部署通道作為其部署通道組合的一部分,因為您 需要至少兩個部署通道 來逐步推出。 如果您必須使用單一部署通道實作特定案例,而且不需要逐步推出,請考慮在自動修補群組外部管理這些裝置。
提示
測試和上次部署更新步調一次只支援一個單一 Microsoft Entra 群組指派。 如果您需要指派多個 Microsoft Entra 群組,您可以將其他 Microsoft Entra 群組巢狀於您打算搭配測試和上次部署更新步調使用的群組之下。 僅支援一個層級的 Microsoft Entra 群組巢狀結構。
使用自動修補群組的常見方式
以下是使用自動修補群組的三個常見用途。
使用案例 #1
| 案例 | 解決方案 |
|---|---|
| 您是 Contoso Ltd 的 IT 系統管理員。您的組織需要規劃在特定重要業務單位或部門內逐步推出軟體更新,以協助降低用戶中斷的風險。 | 您可以為每個業務單位建立自動修補群組。 例如,您可以為財務部門建立自動修補群組,並根據不同的使用者角色細分部署通道組合,或根據特定使用者群組對於部門和商務的重要程度來細分。 以下是 Contoso 財務部門逐步推出的視覺表示法。 |
重要
設定自動修補群組之後,Windows 品質或功能更新的發行將會透過其部署更新步調循序部署。
使用案例 #2
| 案例 | 解決方案 |
|---|---|
| 您是 Contoso Ltd 的 IT 系統管理員。您在芝加哥的分公司位置需要規劃在特定部門內逐步推出軟體更新,以確保芝加哥辦公室不會遇到其作業中斷的情況。 | 您可以為芝加哥的分支位置建立自動修補群組,並針對分支位置內的每個部門細分部署通道組合。 以下是 Contoso Chicago 分支位置的漸進式推出視覺表示法。 |
重要
設定自動修補群組之後,Windows 品質或功能更新的發行將會透過其部署更新步調循序部署。
支援的設定
使用自動修補群組時,支援下列設定。
軟體更新工作負載
自動修補群組可使用下列軟體更新工作負載:
自動修補群組的數目上限
Windows Autopatch 在您的租使用者中最多支援 50 個自動修補群組。 每個自動修補群組最多支援15個部署更新步調。
注意
如果您達到支援的自動修補群組數目上限 (50) ,並嘗試建立更多自動修補群組,[自動修補群組] 刀鋒視窗中的 [建立] 選項將會呈現灰色。
若要管理您的自動修補群組,請 參閱管理 Windows 自動修補群組。