通过

向自动修补组注册设备

  • 项目

重要提示

如果你不熟悉自动修补,设备可能需要长达 48 小时才能在 自动修补组成员身份报告中显示为“已注册”。 在这 48 小时内,设备在显示为已注册之前会经历必要的载入过程

自动修补组是将多个Microsoft Entra组和软件更新策略分组的逻辑容器或单元。 有关详细信息,请参阅 Windows 自动修补组

创建自动修补组编辑自动修补组时,将持续扫描你使用的基于设备的Microsoft Entra组,以查看是否需要将新设备添加到自动修补组。

详细的设备注册工作流图

请参阅以下详细工作流图。 此图介绍了 Windows 自动修补设备注册过程:

设备注册工作流示意图。

步骤 描述
步骤 1:分配 Entra 组 IT 管理员在创建自动修补组或编辑自动修补组时标识要分配的Microsoft Entra
步骤 2:发现设备 Windows 自动修补发现设备功能可发现 (小时) 的设备,这些设备以前由 IT 管理员从步骤 1 中用于自动修补组的Microsoft Entra组中添加。 将设备注册到其服务时,Windows 自动修补使用Microsoft Entra设备 ID 来查询Microsoft Intune和Microsoft Entra ID中的设备属性。
  1. 从Microsoft Entra组发现设备后,同一函数会在发现作期间收集其他设备属性并将其保存到其内存中。 在此步骤中,从Microsoft Entra ID收集以下设备属性:
    1. AzureADDeviceID
    2. OperatingSystem
    3. DisplayName (设备名称)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. 在同一步骤中,Windows 自动修补发现设备函数调用另一个函数,即设备先决条件检查函数。 设备先决条件检查功能评估基于软件的设备级先决条件,以符合注册前的 Windows 自动修补设备就绪要求。
步骤 3:检查先决条件 Windows 自动修补先决条件函数发出Intune 图形 API调用,以按顺序验证注册过程所需的设备就绪情况属性。 有关详细信息,请参阅详细先决条件检查工作流关系图部分。 该服务检查以下设备就绪情况属性和/或先决条件:
  1. 设备是否Intune管理。
    1. Windows 自动修补可查看Microsoft Entra设备 ID 是否具有与之关联的Intune设备 ID
      1. 如果是,则表示此设备已注册到Intune。
      2. 如果没有,则表示设备未注册到Intune,因此它不能由 Windows 自动修补服务管理。
    2. 如果设备不是由Intune管理,则 Windows 自动修补服务无法收集设备属性,例如作系统版本、Intune注册日期、设备名称和其他属性。 发生这种情况时,Windows 自动修补服务将使用在步骤 3a 中收集并保存到其内存中的Microsoft Entra设备属性。
      1. 步骤 3a 中的Microsoft Entra ID收集设备属性后,设备将标记为“先决条件失败”状态,并且设备的自动修补就绪状态在“自动修补组成员身份”报告中显示为“未注册”。 IT 管理员可以查看设备未注册到 Windows 自动修补中的原因。 IT 管理员修正这些设备。 在这种情况下,IT 管理员应检查设备未注册到Intune的原因。
      2. 一个常见原因是,当Microsoft Entra设备 ID 已过时时,它不再具有与其关联的Intune设备 ID。 若要进行修正,请清理租户中所有过时Microsoft Entra设备记录
    3. 如果设备由 Intune 管理,则 Windows 自动修补必备组件检查功能将继续执行下一个先决条件检查,该检查评估设备是否在过去 28 天内签入了Intune。
  2. 如果设备是否为 Windows 设备。
    1. Windows 自动修补将查看设备是否为 Windows 和公司拥有的设备。
      1. 如果是,则意味着此设备可以注册到服务,因为它是 Windows 公司拥有的设备。
      2. 如果不是,则表示设备是非 Windows 设备,或者它是 Windows 设备,但它是个人设备。
  3. Windows 自动修补检查 Windows SKU 系列。 SKU 必须是:
    1. 企业
    2. 专业版
    3. Pro 工作站
    4. 教育
    5. 专业教育版
  4. 如果设备满足作系统要求,Windows 自动修补将检查设备是否为:
    1. 仅由 Intune 管理。
      1. 如果设备仅由 Intune 管理,则设备标记为“已通过所有先决条件”。
    2. 由 Configuration Manager 和 Intune 共同管理。
      1. 如果设备由Configuration Manager和Intune共同管理,则会评估其他先决条件检查,以确定设备是否满足 Windows Autopatch 在共同管理状态下管理设备所需的启用共同管理的工作负载。 此步骤中评估的必需共同管理工作负载包括:
        1. Windows 汇报策略
        2. 设备配置
        3. Office 单击运行
      2. 如果 Windows 自动修补确定设备上未启用其中一个工作负载,则服务会将设备标记为“先决条件”失败,并且设备的“自动修补准备状态”在“自动修补组成员身份”报告中显示为“未注册”。
步骤 4:计算动态分布和分配设备 Microsoft Entra组(直接分配给部署圈)将这些设备添加到自动修补为该部署环创建的Microsoft Entra组。

如果选择使用动态分发,则自动修补服务将分发所选设备。 该服务采用动态池中一定百分比的设备,并将其添加到相关的Microsoft Entra组。 属于直接分配的Microsoft Entra组成员的设备不包括在动态池中。

如果自动修补组中的设备少于 100 个,则分发可能与所选内容不匹配。
步骤 5:设备后注册 如果部署了 Windows 自动修补客户端代理,则会发生设备后注册作。 有关详细信息,请参阅 设备注册后就绪情况检查
步骤 6:查看设备注册状态 IT 管理员查看设备的自动修补就绪状态。 设备在自动修补组成员身份报告中“已注册”或“未注册”。
  1. 如果设备已成功注册,则设备的自动修补就绪状态在“自动修补组成员身份”报告中显示为“已注册”。
  2. 否则,设备的自动修补就绪状态在“自动修补组成员身份”报告中显示为“未注册”。
步骤 7:注册工作流结束 这是 Windows 自动修补设备注册工作流的结束。

详细先决条件检查工作流图

如前面的详细设备注册工作流图中的步骤 3 中所述,下图是 Windows 自动修补设备注册过程的先决条件构造的直观表示形式。 先决条件检查按顺序执行。

先决条件检查工作流的示意图。

自动修补组成员身份报告

Windows 自动修补具有自动修补组成员身份报告提供以下信息:

  • 仅当设备添加到自动修补组时,自动修补组成员身份 ()
  • 更新状态
  • 面向每个设备的策略

查看自动修补组成员身份报告

查看自动修补组成员身份报告:

  1. Intune管理中心的左窗格中,选择“设备”。
  2. “管理更新”下,选择“ Windows 更新”。
  3. 选择“ 监视 ”选项卡,然后选择“ 自动修补设备”。

将设备添加到自动修补组后,将显示就绪状态。 每个就绪状态都有助于确定是否要执行任何作,或者设备是否已准备好使用服务。

就绪状态

自动修补组成员身份报告中的自动修补就绪状态 子状态说明
注册
  • 就绪:设备已成功通过所有先决条件检查,并已成功注册到 Windows 自动修补。 此外,就绪设备已成功通过所有 设备注册后就绪情况检查 ,并且没有任何针对它们的活动警报。
  • 未就绪:这些设备已成功注册到 Windows 自动修补。 但是,这些设备:
    • 未能通过一个或多个 设备后注册就绪情况检查
    • 尚未准备好让一个或多个软件更新工作负载由服务管理。
    • 设备在过去 28 天内未与Microsoft Intune通信
    • 设备与策略或自动修补组成员身份冲突
未注册
  • 自动修补组冲突:设备与自动修补组成员身份冲突
  • 先决条件失败:设备未能通过一个或多个 设备注册后就绪情况检查
  • 排除:仅从 Windows 自动修补服务中删除具有此状态的设备。 Microsoft假设你自己在某些容量中管理这些设备。

嵌套其他Microsoft Entra组时支持的方案

Windows 自动修补还支持以下Microsoft Entra嵌套组方案:

Microsoft Entra组从中同步:

Windows 365 企业版工作负载上的 Windows 自动修补

Windows 365 企业版为 IT 管理员提供了在Windows 365预配策略创建过程中向 Windows 自动修补服务注册设备的选项。 此选项为管理员和用户提供无缝体验,以确保云电脑始终处于最新状态。 当 IT 管理员决定使用 Windows 自动修补管理其Windows 365云电脑时,Windows 365预配策略创建过程会调用 Windows 自动修补设备注册 API 以代表 IT 管理员注册设备。

若要从Windows 365预配策略向 Windows 自动修补注册新的Windows 365 云电脑设备,请执行以下作:

  1. 转到Intune管理中心
  2. 在左窗格中,选择“ 设备”。
  3. 导航到“预配>Windows 365”。
  4. 选择“预配策略 >”“创建策略”。
  5. 提供策略名称,然后选择“ 联接类型”。 有关详细信息,请参阅 设备联接类型
  6. 选择下一步
  7. 选择所需的图像,然后选择“ 下一步”。
  8. “Microsoft托管服务 ”部分下,确保选择了 “Windows 自动修补 ”。
  9. 相应地分配策略,然后选择“ 下一步”。
  10. 选择创建。 现在,Windows 自动修补会自动注册和管理新预配Windows 365 企业版云电脑。

有关详细信息,请参阅创建Windows 365预配策略

Azure 虚拟桌面工作负载上的 Windows 自动修补

Windows 自动修补可用于 Azure 虚拟桌面工作负载。 企业管理员可以使用现有设备注册过程预配其 Azure 虚拟桌面工作负载,以便由 Windows 自动修补进行管理。

Windows 自动修补为虚拟机提供与 物理设备相同的服务范围。 但是,除非另行指定,否则 Windows 自动修补会推迟对Azure 支持的任何 Azure 虚拟桌面特定支持。

必备条件

适用于 Azure 虚拟桌面的 Windows 自动修补遵循与 Windows 自动修补相同的 先决条件Azure 虚拟桌面先决条件

该服务支持:

  • 个人持久性虚拟机

不支持以下 Azure 虚拟桌面功能:

  • 多会话主机
  • 共用非持久性虚拟机
  • 远程应用流式处理

在 Azure 虚拟桌面上部署自动修补

可以使用与物理设备相同的方法将 Azure 虚拟桌面工作负载注册到 Windows 自动修补。

为便于部署,我们建议在自动修补设备注册组中嵌套动态设备组。 动态设备组将面向会话主机中定义的 “名称 ”前缀,但 排除 任何多会话会话主机。 例如:

组名称 动态成员身份名称
Windows 自动修补 - 主机池会话主机
  • (device.displayName -contains "AP")
  • (device.deviceOSType -ne "Windows 10 Enterprise for Virtual Desktops")

清理Microsoft Entra租户中Microsoft Entra混合联接和 Azure 注册设备的双重状态

当设备最初作为已注册Microsoft Entra设备连接到Microsoft Entra ID时,会出现Microsoft Entra双重状态。 但是,启用Microsoft Entra混合联接时,同一设备将两次连接到Microsoft Entra ID但作为混合Microsoft Entra设备连接。

在双重状态下,你最终会获得两个Microsoft Entra设备记录,这些记录针对同一设备具有不同的联接类型。 在这种情况下,混合Microsoft Entra设备记录优先于Microsoft Entra ID中任何类型的身份验证的Microsoft Entra已注册设备记录,这使得Microsoft Entra注册的设备记录过时。

在向 Windows 自动修补注册设备之前,建议在 Microsoft Entra ID 中检测和清理陈旧设备,请参阅如何:在 Microsoft Entra ID 中管理过时的设备

警告

如果在向 Windows 自动修补注册设备之前未在 Microsoft Entra ID 中清理过时设备,则可能最终看到设备无法满足Intune或 Cloud-Attached (设备必须在“未就绪”选项卡中Intune管理或共同管理的) 先决条件检查,因为它预期这些过时Microsoft Entra设备不再注册到Intune服务。

通过Windows 365或 Windows 自动修补服务工程团队提供设备注册相关事件的支持。

  • 有关Windows 365支持,请参阅获取支持
  • 有关 Azure 虚拟桌面支持,请参阅 获取支持
  • 有关 Windows 自动修补支持,请参阅 提交支持请求。 只有拥有 E3+ 或 F3 许可证时,才能提交支持请求。 有关详细信息,请参阅特性和功能

设备管理生命周期方案

在计划自动修补组中注册设备时,还需要考虑一些设备管理生命周期方案。

设备刷新

如果设备以前已注册到自动修补组,但需要重置映像,则必须运行Microsoft Intune中可用的设备预配过程之一来重置设备映像。

设备重新加入到Microsoft Entra ID (混合或仅Microsoft Entra) 。 然后,也重新注册到 Intune。 你或 Windows 自动修补服务无需执行进一步作,因为该设备Microsoft Entra设备 ID 记录保持不变。

设备维修和硬件更换

如果需要修复以前注册到 Windows 自动修补服务的设备,请更换主板、不可移动的网络接口卡 (NIC) 或硬盘驱动器,则必须将设备重新注册到 Windows 自动修补服务中,因为发生重大硬件更改时会生成新的硬件 ID,例如:

  • SMBIOS UUID (主板)
  • MAC 地址 (不可移动的 NIC)
  • OS 硬盘驱动器的串行、型号、制造商信息

发生这些硬件更改之一时,Microsoft Entra ID会为该设备创建新的设备 ID 记录,即使设备在技术上是同一设备也是如此。

重要提示

如果为以前注册到 Windows 自动修补服务的设备生成了新的Microsoft Entra设备 ID,即使它是技术上相同的设备,也必须通过设备直接成员身份或通过 Windows 自动修补组体验中的嵌套Microsoft Entra动态/分配组来添加新的Microsoft Entra设备 ID。 此过程保证将新生成的Microsoft Entra设备 ID 注册到 Windows 自动修补,并且设备继续由服务管理其软件更新。