使用 Windows 自动修补部署热补丁质量更新
使用 Windows 自动修补,可以将 Windows 更新部署到Microsoft Entra租户中的设备。 目前,Windows Autopatch 支持部署 Windows 10/11 功能更新、热补丁质量更新、加速质量更新和驱动程序更新。 本主题重点介绍热补丁质量更新的部署。 有关如何部署功能更新的信息,请参阅 部署功能更新。 有关如何部署加速质量更新的信息,请参阅 部署加速质量更新。 有关如何部署驱动程序更新的信息,请参阅 管理驱动程序更新。
热补丁更新是每月发布的安全更新,无需重启设备即可安装。 它旨在减少停机时间和中断。 通过最大程度地减少重启需求,这些更新有助于更快地保护设备,使组织更容易维护安全性,同时保持工作流不间断。
无需对现有更新通道配置进行更改。 现有环配置与热补丁策略一起使用。
先决条件
- 设备满足 Windows 自动修补的先决条件。
- 操作系统:设备必须运行Windows 11 24H2 或更高版本。
- VBS (基于虚拟化的安全) :必须启用 VBS 以确保热补丁更新的安全安装。
步骤 1: (可选) 获取热补丁更新列表
可以查询 Windows 自动修补目录 API 以获取可热修补更新的列表,这些更新可以作为部署中的内容部署到设备。
qualityUpdateCatalogEntry 类型表示质量更新。
所有质量更新都引用 产品修订列表。 将 添加到 $expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions
请求 URL,以确定哪个操作系统生成每个质量更新都会受到影响。
属性 "isHotpatchUpdate": "true"
标识热补丁更新(如果可用)。
以下示例演示如何查询缩短的所有 Windows 质量更新以显示热补丁更新。
请求
以下示例显示了一个请求。
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=1&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions/any(p:p/isHotpatchUpdate eq true)&$expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions&$orderby=releaseDateTime desc
响应
以下示例显示了相应的响应。
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries(microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves(),microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions(knowledgeBaseArticle()))",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "894b1ab760d378438d23b4992466c716627f4dfcff64b31ccb311861ed081f24",
"displayName": "09/10/2024 - 2024.09 B SecurityUpdate for Windows 10 and later",
"releaseDate": "2024-09-10T00:00:00Z",
"deployableUntilDateTime": null,
"releaseDateTime": "2024-09-10T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2024-09 Cumulative Update for Windows 10 and later",
"shortName": "2024.09 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 10,
"exploitedCves": [
{
"number": "CVE-2024-38014",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014"
},
{
"number": "CVE-2024-38217",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38217"
},
{
"number": "CVE-2024-38226",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38226"
},
{
"number": "CVE-2024-43461",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461"
},
{
"number": "CVE-2024-43491",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491"
}
]
},
"productRevisions": [
{
"id": "10.0.22000.3197",
"displayName": "Windows 11, version 21H2, build 22000.3197",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22000,
"updateBuildRevision": 3197
},
"knowledgeBaseArticle": {
"id": "KB5043067",
"url": "https://support.microsoft.com/help/5043067"
}
},
{
"id": "10.0.19044.4894",
"displayName": "Windows 10, version 21H2, build 19044.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19044,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.19045.4894",
"displayName": "Windows 10, version 22H2, build 19045.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19045,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.22631.4169",
"displayName": "Windows 11, version 23H2, build 22631.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "23H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22631,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.22621.4169",
"displayName": "Windows 11, version 22H2, build 22621.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22621,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.26100.1656",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1656",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": true,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1656
},
"knowledgeBaseArticle": {
"id": "KB5043088",
"url": "https://support.microsoft.com/help/5043088"
}
},
{
"id": "10.0.26100.1742",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1742",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1742
},
"knowledgeBaseArticle": {
"id": "KB5043080",
"url": "https://support.microsoft.com/help/5043080"
}
}
]
}
]
}
步骤 2:创建部署受众
部署访问群体指定要部署的内容、部署内容的方式和时间,以及目标设备。 以下示例演示如何创建部署访问群体。
请求
以下示例显示了一个请求。
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences
Content-Type: application/json
{
}
响应
以下示例显示了相应的响应。
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deploymentAudiences/$entity",
"id": "f660d844-30b7-46e4-a6cf-47e36164d3cb",
"applicableContent": []
}
步骤 3:将设备分配给部署受众
创建部署后,可以将设备分配给 部署受众。 成功更新部署受众后,Windows 更新根据部署设置向相关设备提供更新。
将设备添加到部署访问群体的成员或排除集合时,系统会通过创建 azureADDevice 对象(如果尚不存在)来自动注册它们。
以下示例演示如何将Microsoft Entra设备添加为部署访问群体的成员。
请求
以下示例显示了一个请求。
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/f660d844-30b7-46e4-a6cf-47e36164d3cb/updateAudience
Content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b1"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b2"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b3"
}
]
}
响应
以下示例显示了相应的响应。
HTTP/1.1 202 Accepted
步骤 4:创建部署
部署指定要部署的内容、部署内容的方式和时间,以及目标设备。 对于热补丁质量更新,该过程优先考虑向受众部署最新的安全更新。 如果最新的热补丁安全更新不可用或设备不符合条件,部署会自动提供最新的累积更新,确保设备获得最新的安全或质量改进。 遵循设备上延迟的客户端策略。
此步骤需要步骤 2 中创建的部署访问群体 ID。
属性 "isHotpatchEnabled": "true"
选择受众接收热补丁更新(如果适用)。
请求
以下示例显示了一个请求。
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.updatePolicy",
"audience": {
"id": " f660d844-30b7-46e4-a6cf-47e36164d3cb "
},
"autoEnrollmentUpdateCategories": [
"quality"
],
"complianceChangeRules": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.contentApprovalRule",
"contentFilter": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateFilter",
"classification": "security",
"cadence": "monthly"
},
"durationBeforeDeploymentStart": "P7D"
}
],
"deploymentSettings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"userExperience": {
"isHotpatchEnabled": true
}
}
}
响应
以下示例显示了相应的响应。
HTTP/1.1 201 Created
部署后
在分配给部署受众的所有设备最初都已提供更新后,由于设备连接等因素,并非所有设备都可能已启动或完成更新。 只要部署仍然存在,就可确保Windows 更新在分配的设备重新连接时提供更新。