定义 Windows 更新托管设备

• 适用于:

  ✅ Windows 11, ✅ Windows 10

作为 IT 管理员，了解托管和非托管设备之间的差异对于有效的 Windows 更新管理至关重要。 本文阐明了管理这两种类型的设备的 Windows 更新所涉及的术语和做法。

什么是更新管理的 Windows 设备？

更新管理的设备是 IT 管理员或组织通过管理工具（如Microsoft Intune）或直接设置策略来控制 Windows 更新的设备。 可以使用组策略对象直接设置策略， (GPO) 、配置服务提供程序 (CSP) 策略或 Microsoft Graph。

注意

即使直接设置注册表项，此定义也为 true。 但是，我们不建议执行此操作，因为注册表项很容易被覆盖。

托管设备可以包括台式机、笔记本电脑、平板电脑、服务器和制造设备。 根据组织的标准和策略对这些设备进行保护并配置。

IT 托管：Windows 更新产品/服务

如果你通过以下方式管理更新产品/服务，则设备被视为 Windows 更新托管：

• 配置策略以管理向特定设备提供哪些更新。
• 设置组织何时应接收功能、质量和驱动程序更新等。
• 可以使用 组策略对象 (GPO) 、 配置服务提供程序 (CSP) 或 Microsoft Graph 来配置这些产品/服务。

IT 托管：Windows 更新体验

如果使用策略 (GPO、CSP 或 Microsoft Graph) 来管理设备行为，则设备被视为 Windows 更新托管。

可控制设备行为的示例包括活动时段、更新宽限期和截止时间、更新通知、更新计划等。 请参阅 更新策略 CSP 中的完整列表。

更新管理的 Windows 设备示例

下面是更新管理的设备的一些示例：

• 公司拥有的设备： IT 部门使用公司凭据、配置和策略预配的设备。
• BYOD 程序中员工拥有的设备： 在公司设备管理系统中注册的个人拥有的设备，用于安全访问公司资源。
• 通过 Windows Autopilot 预配的设备： 设置和预配置以立即准备好业务的设备。
• 强制安全设置： 具有运行状况要求（例如设备加密、PIN 或强密码、特定非活动超时期限和最新操作系统）的设备。
• Intune注册的设备：在Microsoft Intune中注册的设备，以便进行网络访问并强制实施安全策略。
• 第三方托管设备： 通过 GPO、CSP 或注册表项在具有已配置 Windows 更新策略的非Microsoft管理工具中注册的设备。

什么是更新非托管 Windows 设备？

与更新管理的设备不同，非托管设备不通过策略、管理工具或软件进行控制。 这些设备未在Microsoft Intune或Configuration Manager等工具中注册。 如果仅将“设置”页配置为在进行更新时控制整体设备行为，则被视为非托管设备。

注意

术语“Microsoft托管设备”用于指我们现在所说的“更新非托管 Windows 设备”。根据反馈，我们更新了术语，以明确起见。

更新非托管 Windows 设备的示例

更新非托管设备的示例包括：

• 个人设备： 组织中未在任何公司管理系统中注册的个人拥有的设备。
• 未在管理计划中注册的 BYOD 设备： 用于工作但不是组织一部分的设备将自带设备 (BYOD) 计划。
• 外围设备： 打印机、IP 电话和不间断电源等设备 (UPS) 无法接受集中管理的管理凭据。

有关托管和非托管设备的详细信息，请参阅 保护托管和非托管设备。