管理其他 Windows 更新设置

查找使用者信息? 请参阅 Windows 更新:常见问题

可以使用组策略设置或移动设备管理 (MDM) 在你的 Windows 10 设备上配置 Windows 更新行为。 你可以配置更新检测频率、选择何时接收更新、指定更新服务位置等。

Windows 更新设置摘要

组策略设置 MDM 设置 支持的最低版本
指定 Intranet Microsoft 更新服务位置 UpdateServiceUrlUpdateServiceUrlAlternate 全部
自动更新检测频率 DetectionFrequency 1703
删除使用所有 Windows 更新功能的访问权限 Update/SetDisableUXWUAccess 全部
不要连接任何 Windows 更新 Internet 位置 全部
启用客户端定位 全部
允许使用来自 Intranet Microsoft 更新服务位置的签名更新 AllowNonMicrosoftSignedUpdate 全部
不要在 Windows 更新中包含驱动程序 ExcludeWUDriversInQualityUpdate 1607
配置自动更新 AllowAutoUpdate 全部
Windows 更新通知显示组织名称

*默认情况下显示组织名称。 注册表值可以禁用此行为。
已加入或注册Microsoft Entra Windows 11设备
仅允许在初始用户登录之前安装 Windows 更新 (注册表) Windows 11版本 22H2 和 2023-04 累积更新预览版或更高版本的累积更新

重要提示

有关管理设备重启的设置和更新的重启通知的其他信息,请参阅 更新后管理设备重启

配置 Windows 更新 for Business 中详细介绍了在收到功能和质量更新时配置的其他设置。

扫描更新

管理员可以灵活地配置设备扫描和接收更新的方式。

指定Intranet Microsoft更新服务位置允许管理员将设备指向内部 Microsoft 更新服务位置,而"不连接到任何 Windows 更新 Internet 位置"则允许他们选择将设备限制为仅该内部更新服务。 自动更新检测频率控制设备扫描更新的频率。

可以使用 “启用客户端目标”创建与内部Microsoft更新服务配合使用的自定义设备组。 还可以确保设备通过允许从 Intranet Microsoft更新服务位置的签名更新,从内部Microsoft更新服务接收未Microsoft 签名的更新

最后,若要确保更新体验完全受管理员控制,可以删除访问权限以使用用户的所有Windows 更新功能

有关在收到功能和质量更新时配置的其他设置,请参阅配置 Windows 更新 for Business

指定 Intranet Microsoft 更新服务位置

指定用于托管来自 Microsoft 更新的更新的 Intranet 服务器。 然后,你可以使用此更新服务自动更新你的网络上的计算机。 此设置可让你指定网络上的服务器用作内部更新服务。 自动汇报客户端在此服务中搜索适用于网络上计算机的更新。

若要在组策略中使用此设置,转到计算机配置\管理模板\Windows 组件\Windows 更新\指定 Intranet Microsoft 更新服务位置。 必须设置两个服务器名称值:

  • 自动汇报客户端从中检测和下载更新的服务器
  • 更新的工作站上传统计信息的服务器 可以将这两个值设置为同一服务器。 可以指定可选服务器名称值将 Windows 更新代理配置为从备用下载服务器而不是 Intranet 更新服务下载更新。

如果此设置设置为启用,自动更新客户端将连接到指定的 Intranet Microsoft 更新服务(或备用下载服务器)而不是 Windows 更新来搜索并下载更新。 启用此设置意味着你组织中的最终用户不必穿过防火墙才能够获取更新,而且它为你提供了在部署更新后测试这些更新的机会。 如果将设置设置为“已禁用”或“未配置”,并且自动汇报未按策略或用户首选项禁用,则自动汇报客户端将直接连接到 Internet 上的Windows 更新站点。

备用下载服务器将 Windows 更新代理配置为从备用下载服务器而不是 Intranet 更新服务下载文件。 当更新元数据中没有文件的下载 URL 时,下载缺少 URL 的文件的选项允许从备用下载服务器下载内容。 仅当 Intranet 更新服务未在更新元数据中为备用下载服务器上存在的文件提供下载 URL 时,才应使用此选项。

注意

如果“配置自动更新”策略已禁用,那么此策略将不起作用。

如果未设置“备用下载服务器”,它默认将使用 Intranet 更新服务来下载更新。

“下载没有 URL 的文件...”选项仅在设置了“备用下载服务器”时使用。

若要使用 MDM 配置此策略,使用 UpdateServiceUrlUpdateServiceUrlAlternate

自动更新检测频率

指定 Windows 将用于确定在检查可用更新前等待的时长的小时数。 使用此处指定的小时数减去指定小时数的 0% 到 20% 来确定准确的等待时间。 例如,如果此策略用于指定 20 小时检测频率,那么此策略应用到的所有客户端都将检查 16 到 20 小时之间的任意位置的更新。

若要使用组策略设定此设置,导航到计算机配置\管理模板\Windows 组件\Windows 更新\自动更新检测频率

如果设置设置为 “已启用”,则 Windows 会按指定间隔检查可用更新。 如果设置设置为 “禁用”“未配置”,则 Windows 将按默认间隔 22 小时检查可用更新。

注意

“指定 Intranet Microsoft 更新服务位置”设置必须为此策略启用才能够发挥作用。

如果“配置自动更新”策略已禁用,此策略将不起作用。

若要使用 MDM 配置此策略,使用 DetectionFrequency

删除使用所有 Windows 更新功能的访问权限

通过启用计算机配置\管理模板\Windows 组件\Windows 更新\删除使用所有 Windows 更新功能的访问权限下的组策略,管理员可以对用户禁用“检查更新”选项。 任何后台更新扫描、下载和安装将继续按配置工作。

不要连接任何 Windows 更新 Internet 位置

即使 Windows 更新被配置为从 Intranet 更新服务接收更新,它也将定期从公共的 Windows 更新服务检索信息,以支持与 Windows 更新及其他服务(如 Microsoft 更新或 Microsoft Store)的未来连接。

使用计算机配置\管理模板\Windows 组件\Windows 更新\不要连接任何 Windows 更新 Internet 位置来启用此策略。 启用后,此策略将禁用上述功能,并可能导致Microsoft Store、Windows 更新 for Business 和传递优化等公共服务的连接停止工作。

注意

仅当设备被配置为使用“指定 Intranet Microsoft 更新服务位置”连接到 Intranet 更新服务时才应用此策略。

启用客户端定位

指定应用于从 Intranet Microsoft 更新服务接收更新的目标组名称。 这允许管理员配置从 WSUS 或 Configuration Manager 等源接收不同更新的设备组。

此组策略设置可以在计算机配置\管理模板\Windows 组件\Windows 更新\启用客户端定位下找到。 如果设置设置为 “已启用”,则指定的目标组信息将发送到 Intranet Microsoft更新服务,该服务使用该信息来确定应将哪些更新部署到此计算机。 如果将设置设置为 “禁用”“未配置”,则不会将目标组信息发送到 Intranet Microsoft更新服务。

如果 Intranet Microsoft 更新服务支持多个目标组,那么此策略可以指定多个组名称(以分号分隔)。 否则,必须指定单个组。

注意

仅当设备被定向到的 Intranet Microsoft 更新服务被配置为支持客户端定位时才应用此策略。 如果“指定 Intranet Microsoft 更新服务位置”策略已禁用或未配置,此策略将不起作用。

允许使用来自 Intranet Microsoft 更新服务位置的签名更新

此策略设置允许你管理当在 Intranet Microsoft 更新服务位置发现更新时,自动更新是否接受 Microsoft 以外的实体签名的更新。

若要在组策略中配置此设置,转到计算机配置\管理模板\Windows 组件\Windows 更新\允许使用来自 Intranet Microsoft 更新服务位置的签名更新

如果启用此策略设置,则自动汇报接受通过 Intranet Microsoft更新服务位置(指定 Intranet Microsoft更新服务位置指定的)接收的更新,前提是这些更新由本地计算机的“受信任的发布者”证书存储中找到的证书签名。 如果禁用或未配置此策略设置,则必须Microsoft对来自 Intranet Microsoft更新服务位置的更新进行签名。

注意

来自 Intranet Microsoft 更新服务以外的服务的更新必须始终由 Microsoft 签名,且不受此策略设置的影响。

若要使用 MDM 配置此策略,使用 AllowNonMicrosoftSignedUpdate

安装更新

为了为更新过程增加更多灵活性,提供了各个设置来控制更新的安装。

配置自动汇报为自动更新安装提供了四个不同的选项,而“不要将驱动程序包含在 Windows 汇报可确保驱动程序不会随收到的其余更新一起安装。

不要在 Windows 更新中包含驱动程序

允许管理员在更新过程中排除 Windows 更新驱动程序。

若要在组策略中配置此设置,使用计算机配置\管理模板\Windows 组件\Windows 更新\不要在 Windows 更新中包含驱动程序. 启用此策略以不在 Windows 质量更新中包括驱动程序。 如果禁用或未配置此策略,Windows 更新包括具有驱动程序分类的更新。

配置自动更新

可让 IT 管理员管理自动更新行为以扫描、下载和安装更新。

使用组策略来配置自动更新

“计算机配置\管理模板\Windows 组件\Windows 更新\配置自动汇报”下,必须选择以下选项之一:

2 - 通知下载和自动安装 - 当 Windows 找到适用于此设备的更新时,系统会通知用户更新已准备好下载。 转到“设置>更新 & 安全>Windows 更新”后,用户可以下载并安装任何可用的更新。

3 - 自动下载并通知安装 - Windows 查找适用于设备的更新,并在后台下载更新, (在此过程中用户不会收到通知或中断) 。 下载完成后,系统会通知用户他们已准备好安装。 转到“设置>更新”& 安全>Windows 更新后,用户可以安装它们。

4 - 自动下载并计划安装 - 使用组策略设置中的选项指定计划。 有关此设置的详细信息,请参阅计划更新安装

5 - 允许本地管理员选择设置 - 使用此选项,允许本地管理员使用设置应用选择其选择的配置选项。 不允许本地管理员禁用自动汇报的配置。 此选项在任何Windows 10或更高版本中都不可用。

7 - 仅) 通知安装并通知重启 (Windows Server 2016 及更高版本 - 使用此选项时,当 Windows 找到适用于此设备的更新时,系统会下载这些更新,然后通知用户更新已准备好安装。 安装更新后,会向用户显示重启设备的通知。

如果此设置设置为禁用,Windows 更新中可用的任何更新均必须手动下载和安装。 为此,用户必须转到“设置>更新 & 安全>Windows 更新

如果此设置设置为“未配置”,则管理员仍可以通过设置应用在“设置更新 & 安全性>Windows 更新高级选项”>下配置自动汇报>

通过编辑注册表来配置自动更新

注意

如果使用注册表编辑器或使用其他方法错误地修改注册表,则可能会出现严重问题。 可能需要重新安装操作系统才能解决这些问题。 Microsoft 无法保证可以解决这些问题。 修改注册表的风险由你自己承担。

在未部署 Active Directory 的环境中,可以编辑注册表设置,为自动更新配置组策略。

为此,请执行下列步骤:

  1. 选择开始,搜索“regedit”,然后打开注册表编辑器。

  2. 打开以下注册表项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
    
  3. 添加以下某个注册表值以配置自动更新。

    • NoAutoUpdate (REG_DWORD):

      • 0:已启用自动更新(默认)。

      • 1:已禁用自动更新。

    • AUOptions (REG_DWORD):

      • 1:已在自动更新中禁用“将我的计算机保持在最新状态”。

      • 2:通知下载和安装。

      • 3:自动下载并通知安装。

      • 4:自动下载并计划安装。

      • 5:允许本地管理员选择配置模式。 此选项不适用于Windows 10或更高版本。

      • 7:通知安装并通知重启。 仅 (Windows Server 2016 及更高版本)

    • ScheduledInstallDay (REG_DWORD):

      • 0:每天。

      • 17:星期几,从星期日 (1) 到星期六 (7)。

    • ScheduledInstallTime (REG_DWORD):

      n,其中 n 等于一天中以 24 小时格式 (0-23) 表示的时间。

    • UseWUServer (REG_DWORD)

      将此值设置为 1 可将自动更新配置为使用运行软件更新服务而不是 Windows 更新的服务器。

    • RescheduleWaitTime (REG_DWORD)

      m,其中 m 等于自动更新开始到计划时间到达后开始安装时所等待的时间段。 此时间设置为分钟,从 1 到 60,表示 1 分钟到 60 分钟

      注意

      此设置仅影响客户端在更新到 SUS SP1 客户端版本或更高版本之后的客户端行为。

    • NoAutoRebootWithLoggedOnUsers (REG_DWORD):

      0 (false) 或 1 (true)。 如果设置为 1,则当用户登录时,自动汇报不会自动重新启动计算机。

      注意

      此设置会影响客户端在更新到 SUS SP1 客户端版本或更高版本之后的客户端行为。

若要将自动汇报用于运行 Windows 软件更新服务 (WSUS) 的服务器,请参阅部署Microsoft Windows Server Update Services指南。

使用策略注册表项直接配置自动更新时,策略将覆盖由本地管理用户设置的首选项以配置客户端。 如果管理员日后删除注册表项,则会再次使用由本地管理用户设置的首选项。

若要确定客户端计算机和服务器为了执行更新所连接到的 WSUS 服务器,请将以下注册表值添加到注册表中:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
  • WUServer (REG_SZ)

    此值按 HTTP 名称 (设置 WSUS 服务器,例如, http://IntranetSUS).

  • WUStatusServer (REG_SZ)

    此值按 HTTP 名称 (设置 SUS 统计信息服务器,例如, http://IntranetSUS).

在Windows 更新通知中显示组织名称

Windows 11客户端与Microsoft Entra租户关联时,组织名称将显示在Windows 更新通知中。 例如,当你为 Windows 更新 for Business 配置符合性截止时间时,用户通知会显示类似于 Contoso 要求安装重要更新的消息。 组织名称也会显示在“Windows 11设置”中的“Windows 更新”页上。

对于以以下任一方式与Microsoft Entra ID关联的Windows 11客户端,组织名称都会自动显示:

若要禁用在Windows 更新通知中显示组织名称,请在注册表中添加或修改以下值:

  • 注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations
  • DWORD 值名称:UsoDisableAADJAttribution
  • 值数据: 1

以下 PowerShell 脚本作为示例提供:

$registryPath = "HKLM:\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations"
$Name = "UsoDisableAADJAttribution"
$value = "1" 

if (!(Test-Path $registryPath)) 
{
  New-Item -Path $registryPath -Force | Out-Null
}

New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null

允许在用户初始登录之前安装 Windows 更新

(从 Windows 11 开始,版本 22H2 和 2023-04 累积更新预览版或更高版本的累积更新)

在新设备上,Windows 更新在用户完成全新体验 (OOBE) 并首次登录之前,不会开始安装后台更新。 在许多情况下,用户在完成 OOBE 后立即登录。 但是,某些基于 VM 的解决方案会预配设备并自动执行第一次用户体验。 这些 VM 可能不会立即分配给用户,因此在几天后他们才会看到初始登录。

在初始登录延迟的情况下,设置以下注册表值允许设备在用户首次登录之前开始后台更新工作:

  • 注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator
  • DWORD 值名称:ScanBeforeInitialLogonAllowed
  • 值数据:1

警告

此值仅用于延迟初始用户登录的方案。 在未延迟初始用户登录的设备上设置此值可能会对性能产生不利影响,因为当用户首次登录时,可能会允许更新工作发生。