Intune 中Windows 10和更高版本策略的功能更新

借助 Intune 中Windows 10和更高版本的功能更新,可以选择 Windows 功能更新设备要保留的版本,如 Windows 10 版本 1909 或 Windows 11 版本。 Intune 支持将功能级别设置为在创建策略时仍受支持的任何版本。

还可以使用功能更新策略 将运行Windows 10的设备升级到 Windows 11

Windows 功能更新策略适用于Windows 10和更高版本的 更新通道 策略,以防止设备接收高于功能更新策略中指定值的 Windows 功能版本。

当设备收到功能更新的策略时:

  • 设备将更新到策略中指定的 Windows 版本。 已运行更高版本 Windows 的设备将保持其当前版本。 通过冻结版本,设备功能集在策略持续时间内保持稳定。

    注意

    设备在具有该 Windows 版本的 保护保留 时不会安装更新。 当设备评估某个更新版本的适用性时,如果存在无法解决的已知问题,则 Windows 将创建临时安全保留。 问题解决后,保留会被删除,然后设备才可以更新。

    • 若要详细了解安全保留,请参阅 Windows 文档中的“功能更新状态”

    • 若要了解可能导致安全保留的已知问题,请参阅适用的 Windows 版本信息,然后从该页面的目录中引用相关的 Windows 版本:

      例如,对于 Windows 11 版本 21H2,请转到 Windows 11 版本信息,然后从左侧窗格中选择版本 21H2,然后已知问题和通知生成页包含该 Windows 版本的已知问题的详细信息,这些问题可能会导致安全保留。

  • 与使用 使用更新通道暂停 (35 天后过期)不同,功能更新策略将保持有效。 在修改或删除功能更新策略之前,设备不会安装新的 Windows 版本。 如果你编辑该策略以指定较新的版本,则设备可以从该 Windows 版本安装相应功能。

  • 卸载 功能更新的功能仍然受到更新通道的接受。

  • 可以将策略配置为管理Windows 更新向设备提供产品/服务的计划。 有关详细信息,请参阅 windows 更新的推出选项

先决条件

重要

GCC 和 GCC High/DoD 云环境中不支持此功能。

使用现有 EA 启用订阅激活 不适用于适用于 WuFB-DS 功能的 GCC 和 GCC High/DoD 云环境。

以下是 Intune 针对Windows 10及更高版本的功能更新的先决条件:

  • 创建和定位功能更新的核心功能只需要Intune许可证。 核心功能包括创建策略,选择功能更新以更新设备,使用“ 尽快提供更新 ”选项或指定开始日期,以及报告。 专业 SKU 设备上客户端策略支持的功能不需要许可证。

  • 其他基于云的功能需要额外的许可证。 若要使用基于云的功能,除了Intune许可证外,你的组织还必须具有以下订阅之一,其中包含用于 Windows 更新 for Business 部署服务的许可证:

    • Windows 10/11 企业版 E3 或 E5(包含在 Microsoft 365 F3、E3 或 E5 中)

    • Windows 10/11 教育版 A3 或 A5(包含在 Microsoft 365 A3 或 A5 中)

    • Windows 虚拟桌面访问 E3 或 E5

    • Microsoft 365 商业高级版

    从 2022 年 11 月开始,将检查并强制执行 Windows 更新 for Business 部署服务 (WUfB ds) 许可证。

    创建功能更新部署 或策略创建”页中指明了需要附加许可证的基于云的功能,包括以下项和可能的新功能:

    • 逐步推出: 逐步推出 功能是仅限云的功能,包括用于部署指定功能更新以及何时开始向设备提供更新的基本控制。

    • 可选功能更新

    • Windows 10 (SxS) :Windows 10 (SxS) 功能是仅限云的功能。 如果在为需要 Windows 更新 for Business 部署服务的功能创建新策略时被阻止,并且你通过企业协议 (EA) 获得使用 WUfB 的许可证,请联系许可证的来源,例如Microsoft帐户团队或销售许可证的合作伙伴。 帐户团队或合作伙伴可以确认租户许可证是否符合 WUfB ds 许可证要求。 请参阅 使用现有 EA 启用订阅激活

  • 设备必须:

    • 运行仍处于支持状态的 Windows 10/11 版本。

    • 在 MDM Intune 中注册,并且已加入混合 AD 或Microsoft Entra加入。

    • 启用遥测,并且最低设置为必需

      如果设备接收功能更新策略,并将遥测设置为未配置(关闭),则可能会安装比功能更新策略中定义的版本更新的 Windows。 需要遥测的先决条件正在审查中,因为此功能将正式发布。

      将遥测配置为 Windows 10/11 的 设备限制策略 的一部分。 在设备限制配置文件中,在报告和遥测下,将共享使用情况数据的最小值配置为必需。 同时也支持“增强(1903 及更早版本)”或“可选”值。

    • “Microsoft 帐户登录助手”(wlidsvc) 必须能够运行。 如果服务已被阻止或设置为“已禁用”,则无法接收更新。 有关详细信息,请参阅提供其他更新时未提供功能更新。 默认情况下,服务设置为“手动(触发器启动)”,即允许根据需要运行服务。

    • 有权访问终结点。 若要获取此处列出的关联服务所需的终结点的详细列表,请参阅 网络终结点

  • 为要部署功能更新的设备启用 Intune 中的数据收集

  • 以下 Windows 10/11 版本支持功能更新:

    • Pro 版
    • 企业
    • 教育
    • 教育
    • 专业工作站版

    注意

    不支持的版本
    Windows 10/11 企业版 LTSC:适用于企业的 Windows 更新 (WUfB) 不支持长期服务渠道版本。 计划使用备用修补方法,如 WSUS 或 Configuration Manager。

已加入工作区的设备的限制

Windows 10 及更高版本的功能更新Intune策略要求使用 Windows 更新 for Business (WUfB) 和 Windows 更新 for Business 部署服务 (WUfB ds) 。 在 WUfB 支持 WPJ 设备的情况下,WUfB ds 提供了 WPJ 设备不支持的更多功能。

有关Intune Windows 更新策略的 WPJ 限制的详细信息,请参阅在 Intune 中管理Windows 10和Windows 11软件更新中的加入工作区的设备的策略限制

Windows 10及更高版本策略的功能更新限制

  • 将Windows 10及更高版本的功能更新策略部署到同时接收Windows 10及更高版本策略的更新通道的设备时,请查看更新通道以了解以下配置:

    • 建议将 功能更新延迟期(天) 设置为 0。 此配置可确保功能更新不会因更新通道策略中配置的更新延迟而延迟。
    • 更新通道的功能更新必须 运行。 这些更新不能暂停。

    提示

    如果使用功能更新,建议在关联的更新通道策略中将功能更新延迟期设置为 0 。 将更新通道延迟与功能更新策略结合使用可能存在一定难度,从而延迟更新安装。

    有关详细信息,请参阅从更新通道延迟移动到功能更新策略

  • 在 Autopilot 开箱即用体验 (OOBE) 期间,无法应用Windows 10和更高版本策略的功能更新。 相反,这些策略会在设备完成预配后(通常是一天)首次进行 Windows 更新扫描时应用。

  • 如果使用 Configuration Manager 共同管理设备,则在将 Windows 更新策略工作负载新配置到 Intune 时,功能更新策略可能不会立即在设备上生效。 这种延迟是暂时的,但最初可能会导致设备更新到比策略中配置的版本更新的功能更新版本。

    若要防止此初始延迟影响共同管理的设备,请执行以下操作:

    1. 登录到 Microsoft Intune 管理中心

    2. 转到“设备>按平台>Windows>管理更新>Windows 10及更高版本的更新>功能更新”选项卡“>创建配置文件”。

    3. 对于部署设置,请为策略输入有意义的名称和说明。 然后,指定要运行设备的功能更新。

    4. 完成策略配置,包括将策略分配给设备。 策略部署到设备,但不会向任何已具有所选版本或较新版本的设备提供更新。

      监视策略的报告。 为此,请转到报表>Windows 汇报>报表选项卡>功能汇报报表。 选择创建的策略,然后生成报表。

    5. 状态为 OfferReady 或更高版本的设备将注册功能更新,并防止更新到步骤 3 中指定的更新以外的任何更新。 请参阅使用组织) 报表 (Windows 10功能更新

    6. 通过注册更新和受保护的设备,可以安全地将Windows 更新策略工作负载从配置服务器更改为 Intune。 请参阅共同管理文档中的将工作负载转移到 Intune

  • 当设备签入到 Windows 更新服务时,将根据分配到功能更新策略设置(用于任何功能更新保留)的安全组来验证设备的组成员身份。

  • 接收功能更新策略的受管理设备会自动使用适用于企业的 Windows 更新部署服务进行注册。 部署服务用于管理设备接收的更新。 Microsoft Intune使用此服务,并与 Windows 更新Intune策略配合使用,以将功能更新部署到设备。

    当设备不再分配到任何功能更新策略时,设备将保留在部署服务中注册。 此更改允许有时间将设备分配到其他策略,并确保在此期间设备不会收到不预期的功能更新。

因此,当功能更新策略不再应用于设备时,在发生以下情况之一之前,不会向该设备提供任何功能更新:

  • 该设备被分配到新的功能更新配置文件。
  • Intune 取消注册了该设备,即从功能更新管理及部署服务中取消注册了该设备。
  • 你使用适用于企业部署服务图形 API 的 Windows 更新,以从功能更新管理中删除设备

为Windows 10和更高版本策略创建和分配功能更新

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“设备>按平台>Windows>Windows 10及更高版本的更新>功能更新”选项卡“>创建配置文件”。

  3. 部署设置下

    a. 名称说明:指定名称和说明 (可选) 。

    b. 必需/可选更新:仅当目标版本Windows 11时,这些选项才可用。

    • 选择默认选项“ 作为所需更新提供给用户 ”时,设备将根据设备设置自动安装更新。
    • 当管理员选择选项“ 作为可选更新提供给用户”时,所选更新将作为可选更新提供给用户。 推出设置仍控制设备何时可以使用更新,但用户必须选择在设备上安装更新之前安装更新。

    用户在设备上看到的内容
    当管理员将更新作为 可选 更新提供时,用户必须导航到 Windows 更新设置 页才能查看并选择安装更新。 建议通过你的通信渠道向最终用户传达他们可用的可选更新。
    当用户导航到 Windows 更新设置 页时,他们可以看到并选择在愿意接受更新时安装更新。 用户必须单击“ 下载 ”才能安装更新。 否则,在管理员将其作为 必需 更新之前,不会安装它。 这是用户在其个人电脑上熟悉的相同可选更新体验。

    当管理员从 “可选” 切换到“ 必需”时,将观察到以下行为:

    • 对于在更新为可选更新时继续安装更新并选择重新安装更新的用户,不会重新安装汇报。
    • 如果设备尚未在更新中启动,则下次设备检查更新时,会将更新视为“ 必需 ”更新并自动安装。

    当管理员从 “必需” 切换到 “可选”时,将观察到以下行为:

    • 已安装更新的设备不受影响。
    • 等待重启的设备可能会继续将更新安装为 必需 更新。
    • 切换仅影响尚未启动更新或更新过程中足够早的设备,以便可以将其更改为 可选 更新。

    c. 要部署的功能更新:选择特定版本的 Windows,其中包含要在设备上部署的功能集。 只能选择仍受支持的 Windows 版本。

    d. 推出选项:配置推出选项以管理 Windows 汇报何时向接收此策略的设备提供更新。 有关使用这些选项的详细信息,请参阅 Windows 汇报的推出选项,然后选择“下一步”。

  4. 分配下,选择 + 选择要包括的组,然后将功能更新部署分配到一个或多个设备或用户组。 选择“下一步”以继续。

  5. 查看并创建中查看设置。 准备好保存功能更新策略时,选择创建

将设备升级到 Windows 11

可以将 功能更新策略用于Windows 10和更高版本 ,以将运行 Windows 10 的设备升级到 Windows 11。

使用功能更新策略部署 Windows 11 时,可以将策略定向到满足 Windows 11 最低要求的 Windows 10 设备,以将其升级到 Windows 11。 不符合Windows 11要求的设备不会安装更新,并保留其当前Windows 10版本。

另一个选项是选中复选框“当设备无法运行Windows 11时,请安装最新的Windows 10功能更新,然后不符合Windows 11要求的设备将改为获取最新的Windows 10功能更新。

但是,如果无法运行Windows 11的Windows 10设备是Windows 11更新的目标,则将来的Windows 10更新不会自动提供给该设备。 在这种情况下,请从 Windows 11 策略中删除不符合条件的设备,并将设备分配给 Windows 10 功能更新策略。 请参阅 当设备成为多个策略目标时的更新行为

准备升级到 Windows 11

准备 Windows 11 升级的第一步是确保设备满足 Windows 11的最低系统要求

可以使用 Microsoft Intune 中的终结点分析来确定哪些设备满足硬件要求。 如果某些设备不满足所有要求,则可以看到未满足的设备。 若要使用终结点分析,你的设备必须由 Intune 管理、共同管理,或者具有启用租户附加的 Configuration Manager 客户端版本 2107 或更高版本。

如果已在使用终结点分析,请导航到“随时随地工作”报表,然后选择中间的 Windows 分数类别,打开包含汇总Windows 11就绪情况信息的浮出控件。 有关更精细的详细信息,请转到报表顶部的 Windows 选项卡。 在“Windows”选项卡上,你将看到逐台设备的就绪情况信息。

Windows 11 版本的许可

Windows 11 包括新的许可协议,可在https://www.microsoft.com/useterms/查看。 提交部署 Windows 11 的策略的组织会自动接受此许可协议。

在Microsoft Intune管理中心使用配置策略来部署任何Windows 11版本时,Microsoft Intune管理中心会显示一条通知,提醒你提交策略即表示你代表设备和设备用户接受Windows 11许可协议条款。 提交功能更新策略后,最终用户将看不到或不需要接受许可协议,从而使更新过程无缝进行。

每次选择 Windows 11 版本时都会显示此许可证提醒,即使所有 Windows 设备都已运行 Windows 11 也是如此。 之所以提供此提示,是因为Intune不会跟踪哪些设备将接收策略,并且运行Windows 10的可能新设备稍后可能会注册并成为策略的目标。

有关包括常规许可详细信息的详细信息,请参阅 Windows 11 文档

为 Windows 11 创建策略

若要部署Windows 11,需要创建和部署功能更新策略,就像之前为Windows 10设备所做的那样。 这是相同的过程,但从“功能更新”下拉列表中选择Windows 11版本,而不是选择Windows 10版本。 下拉列表显示支持Windows 10和 Windows 11 版本更新。

此外,管理员可以选择将最新的Windows 10更新部署到不符合Windows 11条件的设备。 若要启用此功能,管理员必须选中复选框“如果设备无法运行Windows 11,请在部署策略中安装最新的Windows 10功能更新。 仅当从功能更新下拉列表中选择Windows 11版本来部署,并且租户满足本文档开头定义的许可要求时,此功能才可用。

使用此功能,无需创建两个不同的部署策略或两个不同的功能更新。 使用单个策略,你可以使无法转到Windows 11的Windows 10设备升级到最新的Windows 10版本,以及可以转到Windows 11升级到所选Windows 11版本的所有设备。

无法为现有策略设置复选框,因为更改复选框值将结束当前部署并启动两个新部署。 若要更改部署设置,请删除当前功能更新策略,并创建一个选中复选框的新策略。

  • 将较旧的 Windows 版本部署到设备不会降级设备。 设备仅在更新比设备当前版本更新时才安装更新。
  • 将 Windows 11 更新部署到支持 Windows 11 的 Windows 10 设备会 升级该设备

当多个策略面向设备时更新行为

当功能更新策略使用多个更新策略来更新设备,或使用 Windows 11 的更新来更新 Windows 10 设备时,请考虑以下几点:

  • 每个 Windows 功能更新策略都支持一个更新。 当某个设备成为多个策略的目标时,它可能是多个更新版本的目标。

  • Windows 更新服务一次只能为设备提供一个功能更新,并且始终提供以该设备为目标的最新更新版本。

  • 由于 Windows 11 更新被视为高于 Windows 10 的版本,因此该服务始终向 Windows 10 和 Windows 11 更新所面向的设备提供 Windows 11 更新。 这样做是因为将 Windows 11 更新部署到 Windows 10 设备是受支持的升级路径。

  • 使用复选框 当设备无法运行Windows 11时,使用多个策略时安装最新的Windows 10功能更新可避免本部分中提到的问题,并将服务配置为检测Windows 11何时不符合设备条件,而是提供最新的Windows 10功能更新。

注意

如果使用相同的设备创建两个策略,其中一个策略设置为 “必需” ,另一个策略设置为 “可选 ”,并且这两个策略都针对相同的功能更新版本,则更新将作为 “必需”提供。

管理Windows 10及更高版本策略的功能更新

在管理中心,转到“设备>按平台>Windows>管理更新>Windows 10及更高版本的更新>功能更新”选项卡以查看配置文件。

对于每个配置文件,你可以查看:

  • 功能更新版本 – 配置文件中的功能更新版本。

  • 已分配 – 如果配置文件已分配到一个或多个组。

  • 支持 – 功能更新的状态:

    • 受支持 – 功能更新版本处于受支持状态,且可部署到设备。
    • 支持结束 - 功能更新版本距支持结束日期还剩两个月。
    • 不支持 – 功能更新支持已过期,且不再部署到设备。
  • 支持结束日期 – 功能更新版本的支持结束日期。

注意

提供的日期适用于 Windows 企业版和教育版。 若要查找 Windows 更新 for Business 部署服务支持的其他版本的支持日期,请参阅Microsoft产品生命周期站点

从列表中选择配置文件会打开配置文件“概述”窗格,你可以在其中执行以下操作:

  • 选择 删除 以从 Intune 中删除策略并将其从设备中删除。
  • 选择“属性”以修改部署。 在“属性”窗格中,选择“编辑”以打开“部署设置或分配”,然后你可以在其中修改部署。

注意

“最终用户更新状态上次扫描时间”值将返回“尚未扫描”,直到初始用户登录并启动 USO) 扫描 (会话业务流程协调程序。 有关统一更新平台 (UUP) 体系结构和相关组件的详细信息,请参阅Windows 更新入门

验证和报表

有多个选项可用于使用 Intune 获取Windows 10/11 更新的深入报告。 Windows 更新报表在同一报表中并行显示有关Windows 10和 Windows 11 设备的详细信息。

若要了解详细信息,请参阅 Intune 合规性报表

后续步骤