演练:使用 CSP 和 MM 配置适用于企业的 Windows 更新

查找使用者信息? 请参阅 Windows 更新:常见问题

概述

可以使用配置服务提供程序 (CSP) 策略,通过移动设备管理 (MDM) 工具控制 Windows 更新 for Business 的工作方式。 在更改 Windows 更新 for Business 设置之前,应考虑并设计更新部署策略。

IT 管理员可以使用 Microsoft Intune 或非 Microsoft MDM 工具为 Windows 更新 for Business 设置策略。

若要使用 Windows 更新 for Business 管理更新,应准备以下步骤(如果尚未):

管理Windows 更新产品/服务

可以控制何时应用更新,例如,在设备上安装更新时延迟更新或暂停更新一段时间。

确定要向设备提供哪些更新

功能和质量更新都将自动提供给使用 Windows 更新 for Business 策略连接到Windows 更新的设备。 但是,你可以选择是希望设备额外接收适用于该设备的其他 Microsoft 汇报还是驱动程序。

若要启用 Microsoft 汇报,请使用 Update/AllowMUUpdateService

驱动程序会自动启用,因为它们对设备系统有利。 建议允许驱动程序策略在默认) (设备上更新驱动程序,但如果希望手动管理驱动程序,可以关闭此设置。 如果出于某种原因想要禁用驱动程序更新,请使用 Update/ExcludeWUDriversInQualityUpdate

我们还建议允许 Microsoft 产品更新,如前所述。

设置设备接收功能和质量更新的时间

我想接收下一个功能更新的预发行版

  1. 确保已注册适用于企业的 Windows 预览体验计划。 Windows 预览体验成员是一个免费计划,可供商业客户在发布功能更新之前帮助他们验证功能更新。 加入该计划可让你在发布更新之前接收更新,以及接收与后续更新中的内容相关的电子邮件和内容。

  2. 对于要安装预发行版的任何测试设备,请使用 Update/ManagePreviewBuilds。 将选项设置为 “启用预览版本”。

  3. 使用 Update/BranchReadinessLevel 并选择其中一个预览版本。 Windows 预览体验计划慢速是使用预发行版进行验证的商业客户的建议渠道。

  4. 此外,可以通过使用 Update/DeferFeatureUpdatesPeriodInDays 将延迟期限设置为最多 14 天,以与发布更新相同的方式延迟预发布功能更新。 如果你使用 Windows 预览体验计划慢速版本进行测试,我们建议你在发布更新的第 0 天收到 IT 部门的预览版更新,然后在推出测试人员组之前延迟 7-10 天。 此计划有助于确保在发现问题时,可以在预览更新到达测试之前暂停推出预览更新。

我想管理我的设备接收的已发布功能更新

适用于企业的Windows 更新管理员可以延迟或暂停更新。 最多可以将功能更新延迟 365 天,将质量更新延迟长达 30 天。 延迟只是意味着,在至少指定的延迟天数 (产品/服务日期 = 发布日期 + 延迟日期) 之前,你不会收到更新。 从指定的给定开始日期起,最多可以暂停功能或质量更新 35 天。

示例

在此示例中,有三个用于质量更新的环。 第一环 (“试点”) 的延迟期为 0 天。 第二环 (“快”) 延迟五天。 第三环 (“慢”) 延迟十天。

将设备划分为三个环的插图。

发布质量更新后,会在设备下次扫描更新时将其提供给试点圈中的设备。

五天后

快速环中的设备在下次扫描更新时会获得质量更新。

部署了快速环的设备插图。

十天后

质量更新发布十天后,会在设备下次扫描更新时将其提供给慢圈中的设备。

部署了慢圈的设备插图。

如果没有出现问题,则扫描更新的所有设备将在发布后的十天内以三个波次提供质量更新。

如果更新出现问题,该怎么办?

在此示例中,在将更新部署到“试点”环的过程中发现了一些问题。

使用试点环遇到问题的设备的插图。

此时,IT 管理员可以设置策略来暂停更新。 在此示例中,管理员选择“暂停质量更新检查”框。

已选中暂停质量更新检查框的环图。

现在,所有设备都暂停更新 35 天。 删除暂停后,将为它们提供 下一个 质量更新,理想情况下不会有相同的问题。 如果仍然存在问题,IT 管理员可以再次暂停更新。

我想继续使用特定版本

如果需要设备保留的版本超过下一个版本的延迟时间,或者需要跳过版本 (例如,更新下降版本) 使用 Update/TargetReleaseVersion (或部署功能汇报预览版在 Intune) 而不是使用功能更新延迟。 使用此策略时,请指定希望设备 () 移动到或保留在 (的版本,例如“1909”) 。 可以在Windows 10版本信息页中找到版本信息。

管理用户体验更新的方式

我想管理更新后设备下载、安装和重启的时间

建议允许自动更新,这是默认行为。 如果未设置自动更新策略,设备会尝试使用内置智能(例如智能工作时间)在用户的最佳时间下载、安装和重启。

若要进行更精细的控制,可以设置用户可以使用 Update/ActiveHoursMaxRange 设置的最大活动小时数。 还可以使用 Update/ActiveHoursEnd 和 Update/ActiveHoursStart 为活动设置特定的开始和结束时间。

最好不要设置使用时段策略,因为默认情况下,当自动更新未禁用时,会启用该策略,并在用户可以设置自己的使用时段时提供更好的体验。

若要在活动时间之外更新,请将 Update/AllowAutoUpdate 与选项 2 (这是默认设置) 。 若要进行更精细的控制,请考虑使用自动更新来计划安装时间、日期或周。 若要使用计划,请使用选项 3,然后根据计划设置以下策略:

设置这些策略时,安装将在指定时间自动进行,设备将在安装完成后 15 分钟重启, (除非用户) 中断。

如果不希望在截止时间之前允许任何自动更新,请将 Update/AllowAutoUpdate 设置为选项 5,这会关闭自动更新。

我想确保设备安全并符合更新截止时间

建议使用设置功能和质量更新的特定截止时间,以确保设备在Windows 10版本 1709 及更高版本上保持安全。 截止时间的工作原理是,你可以指定在向设备提供更新后,在必须安装设备之前可以经过的天数。 此外,还可以设置在强制用户重启之前挂起的重启之后可以经过的天数。 使用这些设置:

这些策略还提供了选择退出自动重启的选项,方法是提供“参与重启体验”,直到截止时间实际过期为止。 此时,无论使用时间如何,设备都会自动计划重启。

这些通知是用户看到的内容,具体取决于你选择的设置:

(为 Windows 10、版本 1709 及更高版本) 设置指定自动更新和重启的截止时间时:

  • 在等待重启时,在截止时间之前:

    • 在前几天,用户会收到 Toast 通知

    • 在此时间段过后,用户会收到以下对话框:

      用户在截止时间之前收到即将重启的通知。

    • 如果用户计划了重启,或者如果计划了自动重启,则会在计划时间之前 15 分钟收到此通知,告知重启即将发生:

      用户将在重启前 15 分钟收到即将重启的通知。

  • 如果在截止时间过后重启仍挂起:

    • 在截止时间过去前 12 小时内,用户会收到此通知,指出截止时间即将到来:

      用户将在即将结束的重启截止时间时收到通知。

    • 截止时间过后,用户将被迫重启以使其设备保持合规性,并收到以下通知:

      用户在截止时间后收到即将重启的通知。

通知的最终用户设置

适用于:

  • Windows 11版本 23H2,具有KB5037771或更高版本
  • Windows 11版本 22H2,KB5037771 或更高版本

用户可以在“设置”>下设置有关更新挂起重启的通知的首选项Windows 更新>“当>需要重启才能完成更新时通知我”。 此设置由最终用户控制,不由 IT 管理员控制或配置。

对于 需要重启才能完成更新设置, 用户具有以下选项:

  • 关闭 (默认) :一旦设备进入挂起的重新启动状态进行更新,重启通知将禁止显示 24 小时。 在前 24 小时内,自动重启仍可在活动时段外进行。 通常,在截止时间即将到来时,用户收到的有关即将重启的通知更少。

    • 当截止时间设置为 1 天时,用户只会在强制重启前 15 分钟收到有关截止时间的通知和最终的不可披露通知。
  • 打开:当设备进入更新的重新启动挂起状态时,用户会立即收到 Toast 通知。 在收到初始通知后 24 小时内阻止更新的自动重启,以便这些用户有时间准备重启。 24 小时后,可能会发生自动重启。 对于希望收到即将重启的通知的用户,建议使用此设置。

    • 当截止时间设置为 1 天时,将发生初始通知,自动重启被阻止 24 小时,并且用户在截止时间之前收到另一个通知,并在强制重启前 15 分钟收到最终的不可披露通知。

当截止时间设置为 0 天时,无论选择哪个选项,用户收到的唯一通知是在强制重启前 15 分钟收到最终的不可披露通知。

在使用以下 符合性截止时间 策略时,用户对通知的首选项适用:

我想管理用户看到的通知

还有影响通知的其他设置。

建议使用默认通知,因为它们旨在提供最佳用户体验,同时根据设置的符合性策略进行调整。 如果默认通知设置无法满足其他需求,则可以使用以下值 Update/NoUpdateNotificationsDuringActiveHours 策略:

0 (默认) - 使用默认Windows 更新通知
1 - 关闭所有通知,不包括重启警告
2 - 关闭所有通知,包括重启警告

注意

选项 2 为个人设备创建较差的体验;仅建议用于已禁用自动重启的展台设备。

更新/ScheduleRestartWarning 中提供了更多选项。 此设置允许指定自动重启警告提醒通知的时间段, (2-24 小时;4 小时是更新前的默认) 。 还可以使用 Update/ScheduleImminentRestartWarning 指定自动重启迫在眉睫警告通知的时间段, (15-60 分钟是默认) 。 建议使用默认通知。

我想管理用户可以访问的更新设置

每个 Windows 设备为用户提供了可用于管理 Windows 汇报的各种控件。 他们可以通过搜索来查找 Windows 汇报或通过在“设置”中选择“汇报和安全”来访问这些控件。 我们提供了禁用用户可访问的各种这些控件的功能。

有权访问更新暂停设置的用户可以阻止功能和质量更新 7 天。 可以使用 Update/SetDisablePauseUXAccess 阻止用户通过Windows 更新设置页暂停更新。 禁用此设置时,用户会看到 某些设置由组织管理 ,更新暂停设置灰显。

如果使用 Windows Server Update Server (WSUS) ,则可以阻止用户扫描Windows 更新。 为此,请使用 Update/SetDisableUXWUAccess

我想启用通过服务引入的功能,这些功能在默认情况下处于关闭状态

(从 Windows 11 版本 22H2 或更高版本)

通过每月累积更新,会引入新功能和增强功能,为 Windows 11 提供持续创新。 为了让组织有时间进行规划和准备,默认情况下会暂时关闭其中一些新功能。 默认情况下关闭的功能在每月累积更新的知识库文章中列出。 通常,某个功能在默认情况下会选择关闭时因为它会显著影响用户体验或 IT 管理员。

在下一个年度功能更新中,将启用默认从服务更新中关闭的功能。 组织可以选择按自己的节奏部署功能更新,以延迟这些功能,直到他们准备好使用这些功能。

可以使用 AllowTemporaryEnterpriseFeatureControl 启用这些功能。 你可使用以下选项:

  • 0 (默认) :不允许。 默认关闭的功能将保持关闭状态
  • 1:允许。 已启用最新月度累积更新中的所有功能。
    • 当策略设置为 1 时,当前关闭的所有功能将在设备下次重新启动时打开。

我想启用可选更新

适用于:

  • Windows 11版本 22H2,KB5029351 及更高版本
  • Windows 10版本 22H2,安装了KB5032278或更高版本的累积更新

除了每月累积更新之外,还可以使用可选更新来提供新功能和非安全性更改。 大多数可选更新在每月的第四个星期二发布,称为可选的非安全预览版。 可选更新还可以包括逐步推出的功能,称为受控功能推出 (CFR) 。 默认情况下,不会为使用 Windows 更新 for Business 接收更新的设备启用可选更新安装。 但是,可以使用 AllowOptionalContent 为设备启用可选更新。 有关可选内容的详细信息,请参阅 启用可选更新