Windows 自动修补组
重要提示
本文或部分中的信息仅适用于 (Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 企业版 E3+ 或 F3 许可证,并且已激活 Windows 自动修补功能。
如果 Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 10/11 企业版 E3 或 E5 (,则功能激活是可选的,无需额外付费。
有关详细信息,请参阅 许可证和权利。 如果你选择不进行功能激活,你仍然可以将 Windows 自动修补服务用于 商业高级版和 A3+ 许可证中包含的功能。
随着组织转向托管服务模型,其中Microsoft代表他们管理更新流程,他们面临着一个挑战,即拥有正确的组织结构表示形式,然后是自己的部署节奏。 Windows 自动修补组可帮助组织以对业务有意义的方式管理更新,而无需产生额外费用或计划外中断。
什么是 Windows 自动修补组?
自动修补组是一个逻辑容器或单元,将多个Microsoft Entra组和软件更新策略分组,例如用于Windows 10和更高版本的更新通道策略,以及Windows 10及更高版本的策略的功能更新。
自动修补组旨在帮助需要更精确地表示其组织的结构以及服务中自己的更新部署节奏的组织。
默认情况下,自动修补组会自动显示“测试”和“上次部署”环。 有关详细信息,请参阅 测试和上次部署圈。
主要优势
自动修补组可帮助Microsoft Cloud-Managed服务满足组织在更新管理过程中所处的位置。 主要优势包括:
| 好处 | 说明 |
|---|---|
| 复制组织结构 | 可以设置自动修补组,以复制现有基于设备的Microsoft Entra组目标逻辑所表示的组织结构。 |
| 具有灵活数量的部署 | 通过自动修补组,可以灵活地在组织中使用适当数量的部署圈。 每个自动修补组最多可以设置 15 个部署圈。 |
| 确定哪些设备属于部署圈 | 除了使用现有的基于设备的Microsoft Entra组并选择部署环的数量之外,还可以在设置自动修补组时确定哪些设备在设备分发过程中属于部署圈。 |
| 选择部署节奏 | 为企业选择合适的软件更新部署节奏。 |
必备条件
在开始管理自动修补组之前,请确保满足以下先决条件:
| 先决条件 | 详细信息 |
|---|---|
| 查看 Windows 自动修补组概述文档 | 了解在组织中使用自动修补组的主要优势和常见方法。 |
| 请确保已在 Windows 自动修补租户中启用仅限应用的身份验证。 否则,自动修补组功能将无法正常工作。 自动修补使用仅限应用的身份验证来: |
|
| 在使用该功能之前,请确保已创建所有打算用于自动修补组的基于设备的Microsoft Entra组。 | 查看现有Microsoft Entra组动态查询,并将设备成员身份定向到:
|
| 确保与现有Microsoft Entra组一起使用的设备在向服务注册时满足设备注册先决条件检查 | 自动修补组代表你注册设备,设备就绪状态根据注册状态以及是否有任何适用的警报针对设备来确定。 有关详细信息,请参阅 设备报告。 |
提示
可以使用策略运行状况功能还原由 Windows 自动修补创建和管理的Windows 10及更高版本的策略的更新通道和功能更新。 有关修正操作的详细信息,请参阅 还原 Windows 更新策略。
将设备注册到自动修补组
创建或编辑自动修补组时,自动修补组会将设备注册到 Windows 自动修补服务。 有关详细信息,请参阅 将设备注册到自动修补组。
高级体系结构关系图概述
自动修补组是 Windows 自动修补服务中的设备注册微服务的一部分的函数应用。 下表对高级工作流进行说明:
| 步骤 | 描述 |
|---|---|
| 步骤 1:创建自动修补组 | 创建自动修补组。 创建或编辑自动修补组时,自动修补组会将设备注册到 Windows 自动修补服务。 |
| 步骤 2:Windows 自动修补使用 Microsoft Graph 创建Microsoft Entra ID和策略分配 | Windows 自动修补服务使用 Microsoft Graph 来协调以下项的创建: |
| 步骤 3:Intune分配软件更新策略 | 在 Microsoft Entra 服务中创建Microsoft Entra组后,Intune将软件更新策略分配给这些组,并将需要软件更新策略的设备数提供给 Windows 更新 for Business (WUfB) 服务。 |
| 步骤 4:业务责任Windows 更新 | Windows 更新 for Business (WUfB) 负责:
|
自动修补组部署圈
通过部署圈,自动修补组可以按顺序在自动修补组中逐步推出软件更新部署。
Windows 自动修补符合设备组管理的Microsoft Entra ID和Intune术语。 自动修补组中有两种类型的部署环组分发:
| 部署环分布 | 说明 |
|---|---|
| 动态 | 可以使用一个或多个基于设备的Microsoft Entra组(基于动态查询或分配用于部署圈组合)。 Microsoft Entra与动态分发类型一起使用的组可用于根据可自定义的百分比值跨多个部署圈分配设备。 |
| 已分配 | 可以使用一个基于设备的Microsoft Entra组(基于动态查询或分配用于部署圈组合)。 |
| 动态和已分配的组合 | 若要在处理部署环组合时提供更大的灵活性,可以在“自动修补”组中组合这两种设备分发类型。 自动修补组中的“测试和上次部署”圈 不支持 动态和已分配设备分发的组合。 |
测试和最后一个部署圈
测试和最后一个部署圈都是自动存在于自动修补组中的默认部署圈。 这些默认部署圈提供自动修补组应具有的最小部署圈数。
如果在创建自动修补组时未添加更多部署圈,可将测试部署圈用作试点部署圈,而 Last 可用作生产部署圈。
重要提示
无法从“自动修补”组中删除或重命名“测试”和“最后一个部署”圈。 自动修补组不支持使用单个部署圈作为其部署环构成的一部分,因为需要 至少两个部署圈 才能逐步推出。 如果必须使用单个部署环实现特定方案,并且不需要逐步推出,请考虑在 Autopatch 组外部管理这些设备。
提示
测试和上次部署环一次仅支持一个Microsoft Entra组分配。 如果需要分配多个Microsoft Entra组,可以将其他Microsoft Entra组嵌套在计划用于测试和上次部署圈的组下。 仅支持一级Microsoft Entra组嵌套。
使用自动修补组的常见方法
下面是使用自动修补组的三个常见用途。
用例 #1
| 方案 | 解决方案 |
|---|---|
| 你是 Contoso Ltd 的 IT 管理员。组织需要计划在特定关键业务部门或部门内逐步推出软件更新,以帮助降低最终用户中断的风险。 | 可以为每个业务部门创建一个自动修补组。 例如,可以为财务部门创建一个自动修补组,并根据不同用户角色或特定用户组对部门和业务的关键程度细分部署环构成。 下面是 Contoso 财务部门逐步推出的直观表示形式。 |
重要提示
设置自动修补组后,将通过其部署圈按顺序部署 Windows 质量或功能更新的发布。
用例 #2
| 方案 | 解决方案 |
|---|---|
| 你是 Contoso Ltd 的 IT 管理员。位于芝加哥的分支机构需要计划在特定部门内逐步推出软件更新,以确保芝加哥办事处的运营不会遇到中断。 | 可以为芝加哥的分支位置创建一个自动修补组,并按分支位置内的部门细分部署环构成。 下面是 Contoso Chicago 分支位置逐步推出的直观表示形式。 |
重要提示
设置自动修补组后,将通过其部署圈按顺序部署 Windows 质量或功能更新的发布。
支持的配置
使用自动修补组时,支持以下配置。
软件更新工作负载
自动修补组处理以下软件更新工作负载:
自动修补组的最大数目
Windows 自动修补最多支持租户中的 50 个自动修补组。 每个自动修补组最多支持 15 个部署圈。
注意
如果达到 50) 支持的最大自动修补组数 (,并尝试创建更多自动修补组,则“自动修补组”边栏选项卡中的“创建”选项将灰显。
若要管理自动修补组,请参阅 管理 Windows 自动修补组。