设备注册概述
重要提示
本文或部分中的信息仅适用于 (Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 企业版 E3+ 或 F3 许可证,并且已激活 Windows 自动修补功能。
如果 Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 10/11 企业版 E3 或 E5 (,则功能激活是可选的,无需额外付费。
有关详细信息,请参阅 许可证和权利。 如果你选择不进行功能激活,你仍然可以将 Windows 自动修补服务用于 商业高级版和 A3+ 许可证中包含的功能。
Windows 自动修补必须将 现有设备注册 到其服务中,才能代表你管理更新部署。
设备注册的先决条件
设备注册所需的内置角色
角色定义授予分配给该角色的用户的权限集。 可以使用 Intune 服务管理员角色来注册设备。 有关详细信息,请参阅所需的Intune权限。
软件先决条件
若要符合 Windows 自动修补管理的条件,设备必须满足一组基于软件的最低要求。 有关详细信息,请参阅 Windows 自动修补先决条件。
重要提示
Windows 自动修补支持) 当前由 Windows 10 LTSC 或 Windows 11 LTSC 提供服务的设备注册Windows 10和Windows 11 Long-Term服务通道 (LTSC。 该服务仅支持管理当前由 LTSC 提供服务的设备的 Windows 质量更新 工作负载。 Windows 更新 for Business 服务和 Windows 自动修补不为属于 LTSC 的设备提供 Windows 功能更新。 必须使用 LTSC 媒体或Configuration Manager操作系统部署功能为属于 LTSC 的 Windows 设备执行就地升级。
Windows 自动修补设备注册过程对最终用户是透明的,因为它不需要重置设备。
整个设备注册过程如下:
- 在 向 Windows 自动修补注册设备 之前,IT 管理员查看 Windows 自动修补设备注册先决条件。
- 在创建自动修补组、编辑自动修补组或导入 Windows 更新 for Business (WUfB) 策略时,IT 管理员标识和添加设备,或嵌套其他Microsoft Entra设备组。
- 然后,Windows 自动修补:
- 在注册前执行设备就绪情况 (先决条件检查) 。
- 计算部署环分布。
- 根据前面的计算将设备分配到其中一个部署圈。
- 将设备分配给管理所需的其他Microsoft Entra组。
- 将设备标记为活动进行管理,以便它可以应用其更新部署策略。
- 然后,IT 管理员监视设备注册趋势和更新部署报告。
有关设备注册工作流的详细信息,请参阅 详细的设备注册工作流图 部分,了解有关 Windows 自动修补设备注册过程背后的更多技术详细信息。
Windows 自动修补部署圈
注意
请勿 (分配和动态) 修改Microsoft Entra组成员身份类型。 否则,Windows 自动修补服务将无法从这些组读取设备组成员身份,并导致自动修补组功能和其他与服务相关的操作无法正常工作。
此外,不支持将Configuration Manager集合直接同步到自动修补组创建的任何Microsoft Entra组。
开始使用自动修补时,Windows 自动修补会创建以下部署圈来组织设备。
| 部署圈 | 描述 |
|---|---|
| 新式工作区 Devices-Windows Autopatch-Test | 部署圈,用于测试基于服务的配置,在生产推出之前应用部署 |
| 新式工作区 Devices-Windows Autopatch-First | 面向早期采用者的首个生产部署圈。 |
| 新式工作区 Devices-Windows Autopatch-Fast | 用于快速推出和采用的快速部署圈 |
| 新式工作区 Devices-Windows Autopatch-Broad | 在组织中广泛推广的最终部署圈 |
注意
不支持直接将设备添加或导入其中任何组。 这样做可能会影响 Windows 自动修补服务。 若要在这些组之间移动设备,请参阅 在部署圈之间移动设备。
重要提示
Windows 自动修补设备注册不会将设备分配给基于服务的 (Modern Workplace Devices-Windows Autopatch-Test) 或自动修补组的测试部署圈。 这是为了防止对企业至关重要的设备受到影响,或者高管使用的设备接收早期软件更新部署。
在设备注册过程中,Windows 自动修补会将每个设备分配给部署圈,以便服务在整个组织中具有适当的设备多样性表示形式。 部署环分发旨在将软件更新部署发布到尽可能少的设备,以获取对给定更新部署进行质量评估所需的信号。
设备记录和部署环分配
注册设备时,Windows 自动修补:
- 记录服务中的设备。
- 将设备分配到 部署圈集 和软件更新管理所需的其他组。
默认部署环计算逻辑
Windows 自动修补部署环计算在设备注册过程中发生:
- 如果 Windows 自动修补租户的现有托管设备大小 为 200 ≤,则部署环分配为“第一 (5%) ”,“快速 (15%) ”,其余设备将 ( 80%) 转到 Broad Ring。
- 如果 Windows 自动修补租户的现有托管设备大小为 >200,则部署环分配为 First (1%) ,Fast (9%) ,其余设备 ( 90%) 。
注意
可以通过 编辑自动修补组来自定义部署环计算逻辑。
| 部署圈 | 默认设备均衡百分比 | 描述 |
|---|---|---|
| 测试 | 零 | Windows 自动修补不会自动将设备添加到此部署圈。 必须按照所需的过程手动将设备添加到测试通道。 有关这些过程的详细信息,请参阅 在部署圈之间移动设备。 根据环境大小,此圈中建议的设备数如下所示:
|
| 第一个 | 1% | First Ring 是接收更改的第一组生产用户。 此组是第一组向 Windows 自动修补发送数据的设备,用于生成所有最终用户的健康信号。 例如,Windows 自动修补可能会生成一个统计显著信号,指示所有最终用户在特定版本中出现严重错误,但不能确信它在组织中这样做。 由于 Windows 自动修补尚没有足够的数据来通知发布决策,因此,如果测试圈的早期测试期间未涵盖某些方案,则此部署圈中的设备可能会遇到中断。 |
| 迅速 | 9% | Fast Ring 是接收更改的第二组生产用户。 来自第一个环的信号被视为向 Broad 环发布过程的一部分。 此部署圈的目标是超过在租户级别生成统计显著性分析所需的 500 设备阈值。 这些额外的设备允许 Windows 自动修补考虑发布对其余设备的影响,并评估是否需要对租户执行有针对性的操作。 |
| 广泛 | 80% 或 90% | Broad 圈是接收软件更新部署的最后一组用户。 由于它包含注册到 Windows Autopatch 的大多数设备,因此在软件更新部署中,它有利于稳定性,胜过速度。 |
| 不适用 | 零 | Last ring 旨在用于专用设备或属于组织中的 VIP/高管的设备。 Windows 自动修补不会自动将设备添加到此部署圈。 |
自动部署环修正函数
Windows 自动修补在其部署圈中监视设备成员身份,新 式工作区 Devices-Windows 自动修补测试、 Windows 自动修补 - 测试和Windows 自动修补 - 最后 一个圈除外,以提供自动部署环修正功能,以降低其托管设备不将其托管设备作为其部署圈一部分的风险。 这些自动化功能有助于降低设备可能处于易受攻击状态并暴露在安全威胁的风险,以防它们由于以下任一原因而未收到更新部署:
- IT 管理员对 Windows 自动修补租户注册过程创建的对象执行的更改,或者
- 出现了一个问题,该问题阻止了设备在设备注册过程中获得分配的部署环。
有两个自动部署环修正函数:
| 函数 | 描述 |
|---|---|
| 检查设备部署圈成员身份 | Windows 自动修补每隔一小时检查一次,以查看其任何托管设备是否不属于其中一个部署圈。 如果设备不是部署圈的一部分,Windows 自动修补会将设备随机分配到其部署圈之一, (新式工作区 Devices-Windows 自动修补测试、 Windows 自动修补 - 测试和 Windows 自动修补 - 最后 一个圈) 。 |
| 多部署环设备修正程序 | Windows 自动修补每小时检查一次,以查看其任何托管设备是否属于多个部署圈 (新 式工作区 Devices-Windows 自动修补测试、 Windows 自动修补 - 测试和Windows 自动修补 - 最后 一个圈) 。 如果设备是多个部署圈的一部分,则 Windows 自动修补会随机删除设备,直到设备只是一个部署圈的一部分。 |
重要提示
Windows 自动修补自动部署圈功能不会向以下部署圈分配设备或从中删除设备: