使用 Windows 自动修补部署热补丁质量更新

使用 Windows 自动修补,可以将 Windows 更新部署到Microsoft Entra租户中的设备。 目前,Windows Autopatch 支持部署 Windows 10/11 功能更新、热补丁质量更新、加速质量更新和驱动程序更新。 本主题重点介绍热补丁质量更新的部署。 有关如何部署功能更新的信息,请参阅 部署功能更新。 有关如何部署加速质量更新的信息,请参阅 部署加速质量更新。 有关如何部署驱动程序更新的信息,请参阅 管理驱动程序更新

热补丁更新是每月发布的安全更新,无需重启设备即可安装。 它旨在减少停机时间和中断。 通过最大程度地减少重启需求,这些更新有助于更快地保护设备,使组织更容易维护安全性,同时保持工作流不间断。

无需对现有更新通道配置进行更改。 现有环配置与热补丁策略一起使用。

先决条件

  • 设备满足 Windows 自动修补的先决条件
  • 操作系统:设备必须运行Windows 11 24H2 或更高版本。
  • VBS (基于虚拟化的安全) :必须启用 VBS 以确保热补丁更新的安全安装。

步骤 1: (可选) 获取热补丁更新列表

可以查询 Windows 自动修补目录 API 以获取可热修补更新的列表,这些更新可以作为部署中的内容部署到设备。

qualityUpdateCatalogEntry 类型表示质量更新。

所有质量更新都引用 产品修订列表。 将 添加到 $expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions 请求 URL,以确定哪个操作系统生成每个质量更新都会受到影响。

属性 "isHotpatchUpdate": "true" 标识热补丁更新(如果可用)。

以下示例演示如何查询缩短的所有 Windows 质量更新以显示热补丁更新。

请求

以下示例显示了一个请求。

GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=1&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions/any(p:p/isHotpatchUpdate eq true)&$expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions&$orderby=releaseDateTime desc

响应

以下示例显示了相应的响应。

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries(microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves(),microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions(knowledgeBaseArticle()))",
  "value": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
      "id": "894b1ab760d378438d23b4992466c716627f4dfcff64b31ccb311861ed081f24",
      "displayName": "09/10/2024 - 2024.09 B SecurityUpdate for Windows 10 and later",
      "releaseDate": "2024-09-10T00:00:00Z",
      "deployableUntilDateTime": null,
      "releaseDateTime": "2024-09-10T00:00:00Z",
      "isExpeditable": true,
      "qualityUpdateClassification": "security",
      "catalogName": "2024-09 Cumulative Update for Windows 10 and later",
      "shortName": "2024.09 B",
      "qualityUpdateCadence": "monthly",
      "cveSeverityInformation": {
        "maxSeverity": "critical",
        "maxBaseScore": 10,
        "exploitedCves": [
          {
            "number": "CVE-2024-38014",
            "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014"
          },
          {
            "number": "CVE-2024-38217",
            "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38217"
          },
          {
            "number": "CVE-2024-38226",
            "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38226"
          },
          {
            "number": "CVE-2024-43461",
            "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461"
          },
          {
            "number": "CVE-2024-43491",
            "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491"
          }
        ]
      },
      "productRevisions": [
        {
          "id": "10.0.22000.3197",
          "displayName": "Windows 11, version 21H2, build 22000.3197",
          "releaseDateTime": "2024-09-10T00:00:00Z",
          "isHotpatchUpdate": false,
          "version": "21H2",
          "product": "Windows 11",
          "osBuild": {
            "majorVersion": 10,
            "minorVersion": 0,
            "buildNumber": 22000,
            "updateBuildRevision": 3197
          },
          "knowledgeBaseArticle": {
            "id": "KB5043067",
            "url": "https://support.microsoft.com/help/5043067"
          }
        },
        {
          "id": "10.0.19044.4894",
          "displayName": "Windows 10, version 21H2, build 19044.4894",
          "releaseDateTime": "2024-09-10T00:00:00Z",
          "isHotpatchUpdate": false,
          "version": "21H2",
          "product": "Windows 10",
          "osBuild": {
            "majorVersion": 10,
            "minorVersion": 0,
            "buildNumber": 19044,
            "updateBuildRevision": 4894
          },
          "knowledgeBaseArticle": {
            "id": "KB5043064",
            "url": "https://support.microsoft.com/help/5043064"
          }
        },
        {
          "id": "10.0.19045.4894",
          "displayName": "Windows 10, version 22H2, build 19045.4894",
          "releaseDateTime": "2024-09-10T00:00:00Z",
          "isHotpatchUpdate": false,
          "version": "22H2",
          "product": "Windows 10",
          "osBuild": {
            "majorVersion": 10,
            "minorVersion": 0,
            "buildNumber": 19045,
            "updateBuildRevision": 4894
          },
          "knowledgeBaseArticle": {
            "id": "KB5043064",
            "url": "https://support.microsoft.com/help/5043064"
          }
        },
        {
          "id": "10.0.22631.4169",
          "displayName": "Windows 11, version 23H2, build 22631.4169",
          "releaseDateTime": "2024-09-10T00:00:00Z",
          "isHotpatchUpdate": false,
          "version": "23H2",
          "product": "Windows 11",
          "osBuild": {
            "majorVersion": 10,
            "minorVersion": 0,
            "buildNumber": 22631,
            "updateBuildRevision": 4169
          },
          "knowledgeBaseArticle": {
            "id": "KB5043076",
            "url": "https://support.microsoft.com/help/5043076"
          }
        },
        {
          "id": "10.0.22621.4169",
          "displayName": "Windows 11, version 22H2, build 22621.4169",
          "releaseDateTime": "2024-09-10T00:00:00Z",
          "isHotpatchUpdate": false,
          "version": "22H2",
          "product": "Windows 11",
          "osBuild": {
            "majorVersion": 10,
            "minorVersion": 0,
            "buildNumber": 22621,
            "updateBuildRevision": 4169
          },
          "knowledgeBaseArticle": {
            "id": "KB5043076",
            "url": "https://support.microsoft.com/help/5043076"
          }
        },
        {
          "id": "10.0.26100.1656",
          "displayName": "Windows 11, version Win 11 24H2, build 26100.1656",
          "releaseDateTime": "2024-09-10T00:00:00Z",
          "isHotpatchUpdate": true,
          "version": "Win 11 24H2",
          "product": "Windows 11",
          "osBuild": {
            "majorVersion": 10,
            "minorVersion": 0,
            "buildNumber": 26100,
            "updateBuildRevision": 1656
          },
          "knowledgeBaseArticle": {
            "id": "KB5043088",
            "url": "https://support.microsoft.com/help/5043088"
          }
        },
        {
          "id": "10.0.26100.1742",
          "displayName": "Windows 11, version Win 11 24H2, build 26100.1742",
          "releaseDateTime": "2024-09-10T00:00:00Z",
          "isHotpatchUpdate": false,
          "version": "Win 11 24H2",
          "product": "Windows 11",
          "osBuild": {
            "majorVersion": 10,
            "minorVersion": 0,
            "buildNumber": 26100,
            "updateBuildRevision": 1742
          },
          "knowledgeBaseArticle": {
            "id": "KB5043080",
            "url": "https://support.microsoft.com/help/5043080"
          }
        }
      ]
    }
  ]
}

步骤 2:创建部署受众

部署访问群体指定要部署的内容、部署内容的方式和时间,以及目标设备。 以下示例演示如何创建部署访问群体。

请求

以下示例显示了一个请求。

POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences
Content-Type: application/json

{
}

响应

以下示例显示了相应的响应。

HTTP/1.1 201 Created
Content-Type: application/json
 
{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deploymentAudiences/$entity",
  "id": "f660d844-30b7-46e4-a6cf-47e36164d3cb",
  "applicableContent": []
}

步骤 3:将设备分配给部署受众

创建部署后,可以将设备分配给 部署受众。 成功更新部署受众后,Windows 更新根据部署设置向相关设备提供更新。

将设备添加到部署访问群体的成员或排除集合时,系统会通过创建 azureADDevice 对象(如果尚不存在)来自动注册它们。

以下示例演示如何将Microsoft Entra设备添加为部署访问群体的成员。

请求

以下示例显示了一个请求。

POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/f660d844-30b7-46e4-a6cf-47e36164d3cb/updateAudience
Content-type: application/json

{
  "addMembers": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "fb95f07d-9e73-411d-99ab-7eca3a5122b1"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "fb95f07d-9e73-411d-99ab-7eca3a5122b2"
    },
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
      "id": "fb95f07d-9e73-411d-99ab-7eca3a5122b3"
    }
  ]
}

响应

以下示例显示了相应的响应。

HTTP/1.1 202 Accepted

步骤 4:创建部署

部署指定要部署的内容、部署内容的方式和时间,以及目标设备。 对于热补丁质量更新,该过程优先考虑向受众部署最新的安全更新。 如果最新的热补丁安全更新不可用或设备不符合条件,部署会自动提供最新的累积更新,确保设备获得最新的安全或质量改进。 遵循设备上延迟的客户端策略。

此步骤需要步骤 2 中创建的部署访问群体 ID。

属性 "isHotpatchEnabled": "true" 选择受众接收热补丁更新(如果适用)。

请求

以下示例显示了一个请求。

POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json

{
  "@odata.type": "#microsoft.graph.windowsUpdates.updatePolicy",
  "audience": {
    "id": " f660d844-30b7-46e4-a6cf-47e36164d3cb "
  },
  "autoEnrollmentUpdateCategories": [
    "quality"
  ],
  "complianceChangeRules": [
    {
      "@odata.type": "#microsoft.graph.windowsUpdates.contentApprovalRule",
      "contentFilter": {
        "@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateFilter",
        "classification": "security",
        "cadence": "monthly"
      },
      "durationBeforeDeploymentStart": "P7D"
    }
  ],
  "deploymentSettings": {
    "@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
    "userExperience": {
      "isHotpatchEnabled": true
    }
  }
}

响应

以下示例显示了相应的响应。

HTTP/1.1 201 Created

部署后

在分配给部署受众的所有设备最初都已提供更新后,由于设备连接等因素,并非所有设备都可能已启动或完成更新。 只要部署仍然存在,就可确保Windows 更新在分配的设备重新连接时提供更新。