通过

注册设备

  • 项目

重要提示

本文或部分中的信息仅适用于 (Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 企业版 E3+ 或 F3 许可证,并且已激活 Windows 自动修补功能

如果 Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 10/11 企业版 E3 或 E5 (,则功能激活是可选的,无需额外付费。

有关详细信息,请参阅 许可证和权利。 如果你选择不进行功能激活,你仍然可以将 Windows 自动修补服务用于 商业高级版和 A3+ 许可证中包含的功能。

Microsoft必须在服务中注册设备,然后才能在 Windows 自动修补中管理设备。 确保设备满足 设备注册先决条件

详细的设备注册工作流图

请参阅以下详细工作流图。 此图介绍了 Windows 自动修补设备注册过程:

设备注册工作流示意图。

步骤 描述
步骤 1:标识设备 IT 管理员标识要由 Windows 自动修补服务管理的设备。
步骤 2:添加设备 创建 Microsoft Entra自动修补组或编辑自动修补组或导入 (WUfB) 策略时,IT 管理员标识设备并将其添加或嵌套到任何Microsoft Entra组中
步骤 3:发现设备 Windows 自动修补发现设备功能可发现 (小时) 的设备,这些设备以前由 IT 管理员从步骤 2 中用于自动修补组的Microsoft Entra组中添加。 将设备注册到其服务时,Windows 自动修补使用Microsoft Entra设备 ID 来查询Microsoft Intune和Microsoft Entra ID中的设备属性。
  1. 从Microsoft Entra组发现设备后,同一函数会在发现操作期间收集其他设备属性并将其保存到其内存中。 在此步骤中,从Microsoft Entra ID收集以下设备属性:
    1. AzureADDeviceID
    2. OperatingSystem
    3. DisplayName (设备名称)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. 在同一步骤中,Windows 自动修补发现设备函数调用另一个函数,即设备先决条件检查函数。 设备先决条件检查功能评估基于软件的设备级先决条件,以符合注册前的 Windows 自动修补设备就绪要求。
步骤 4:检查先决条件 Windows 自动修补先决条件函数发出Intune 图形 API调用,以按顺序验证注册过程所需的设备就绪情况属性。 有关详细信息,请参阅详细先决条件检查工作流关系图部分。 该服务检查以下设备就绪情况属性和/或先决条件:
  1. 设备是否Intune管理。
    1. Windows 自动修补可查看Microsoft Entra设备 ID 是否具有与之关联的Intune设备 ID
      1. 如果是,则表示此设备已注册到Intune。
      2. 如果没有,则表示设备未注册到Intune,因此它不能由 Windows 自动修补服务管理。
    2. 如果设备不是由Intune管理,则 Windows 自动修补服务无法收集设备属性,例如操作系统版本、Intune注册日期、设备名称和其他属性。 发生这种情况时,Windows 自动修补服务将使用在步骤 3a 中收集并保存到其内存中的Microsoft Entra设备属性。
      1. 步骤 3a 中的Microsoft Entra ID收集设备属性后,设备将标记为“先决条件失败”状态,并且设备的“自动修补就绪状态”在“设备”报告中显示为“未注册”。 IT 管理员可以查看设备未注册到 Windows 自动修补中的原因。 IT 管理员修正这些设备。 在这种情况下,IT 管理员应检查设备未注册到Intune的原因。
      2. 一个常见原因是,当Microsoft Entra设备 ID 已过时时,它不再具有与其关联的Intune设备 ID。 若要进行修正,请清理租户中所有过时Microsoft Entra设备记录
    3. 如果设备由 Intune 管理,则 Windows 自动修补必备组件检查功能将继续执行下一个先决条件检查,该检查评估设备是否在过去 28 天内签入了Intune。
  2. 如果设备是否为 Windows 设备。
    1. Windows 自动修补将查看设备是否为 Windows 和公司拥有的设备。
      1. 如果是,则意味着此设备可以注册到服务,因为它是 Windows 公司拥有的设备。
      2. 如果不是,则表示设备是非 Windows 设备,或者它是 Windows 设备,但它是个人设备。
  3. Windows 自动修补检查 Windows SKU 系列。 SKU 必须是:
    1. 企业
    2. 专业版
    3. Pro 工作站
  4. 如果设备满足操作系统要求,Windows 自动修补将检查设备是否为:
    1. 仅由 Intune 管理。
      1. 如果设备仅由 Intune 管理,则设备标记为“已通过所有先决条件”。
    2. 由 Configuration Manager 和 Intune 共同管理。
      1. 如果设备由Configuration Manager和Intune共同管理,则会评估其他先决条件检查,以确定设备是否满足 Windows Autopatch 在共同管理状态下管理设备所需的启用共同管理的工作负载。 此步骤中评估的必需共同管理工作负载包括:
        1. Windows 汇报策略
        2. 设备配置
        3. Office 单击运行
      2. 如果 Windows 自动修补确定设备上未启用其中一个工作负载,则服务会将设备标记为“先决条件”失败,并且设备的“自动修补就绪状态”在“设备”报告中显示为“未注册”。
步骤 5:计算部署环分配 设备通过 步骤 4 中所述的所有先决条件后,Windows 自动修补将开始其部署环分配计算。 以下逻辑用于计算 Windows 自动修补部署环分配:
  1. 如果 Windows 自动修补租户的现有托管设备大小为 200 ≤,则部署圈分配为 First (5%) ,Fast (15%) ,其余设备将转到 Broad Ring (80%)
  2. 如果 Windows 自动修补租户的现有托管设备大小为 >200,则部署圈分配为 First (1%) ,Fast (9%) ,其余设备将转到 90% ) 的宽圈 (
步骤 6:将设备分配到部署环组 完成部署环计算后,Windows Autopatch 会将设备分配到两个部署环集,第一个是以下Microsoft Entra组表示的基于服务的部署环集:
  1. 新式工作区 Devices-Windows 自动修补优先
    1. Windows 自动修补设备注册过程不会自动将设备分配到由新式工作区 Devices-Windows 自动修补测试) (Microsoft Entra组表示的测试圈。 在将更新部署到更广泛的设备群体之前,请务必将设备分配到测试圈以验证更新部署。
  2. 新式工作区 Devices-Windows Autopatch-Fast
  3. 新式工作区 Devices-Windows Autopatch-Broad
步骤 7:将设备分配到Microsoft Entra组 当某些条件适用时,Windows 自动修补还会将设备分配给以下Microsoft Entra组:
  1. 新式工作区设备 - 全部
    1. 此组包含由 Windows 自动修补管理的所有设备。
  2. 新式工作区设备 - 虚拟机
    1. 此组包含由 Windows 自动修补管理的所有 虚拟设备
步骤 8:设备后注册 在设备后注册中,将发生三个操作:
  1. Windows 自动修补将设备添加到其托管数据库。
  2. 将设备标记为 就绪。 设备的“自动修补就绪状态”在“设备”报告中显示为“已注册”。
  3. 成功注册设备的Microsoft Entra设备 ID 将添加到 Microsoft 云托管桌面扩展的允许列表中。 注册设备后,Windows 自动修补将安装 Microsoft 云托管桌面扩展代理,以便代理可以与 Microsoft 云托管桌面扩展服务通信。
    1. 代理是在 Windows 自动修补租户注册过程中创建的 现代工作区 - 自动修补客户端设置 PowerShell 脚本。 设备成功注册到 Windows 自动修补服务后,将执行脚本。
步骤 9:查看设备注册状态 IT 管理员查看设备的自动修补就绪状态。 设备在“设备”报表中为“已注册”或“未注册”。
  1. 如果设备已成功注册,则设备的“自动修补就绪状态”在“设备”报告中显示为“已注册”。
  2. 否则,设备的自动修补就绪状态在“设备”报告中显示为“未注册”。
步骤 10:注册工作流结束 这是 Windows 自动修补设备注册工作流的结束。

详细先决条件检查工作流图

如前面的详细设备注册工作流图中的步骤 4 中所述,下图是 Windows 自动修补设备注册过程的先决条件构造的直观表示形式。 先决条件检查按顺序执行。

先决条件检查工作流的示意图。

设备报告

Windows 自动修补有一个设备报告,允许你查看:

  • 每个已注册设备的服务就绪情况
  • 更新状态
  • 面向每个设备的策略

查看设备报告

若要查看设备报告,请执行以下操作:

  1. Intune管理中心的左窗格中,选择“设备”。
  2. 在“管理更新”下,选择“ Windows 更新”。
  3. 选择“ 监视 ”选项卡,然后选择“ 自动修补设备”。

将设备注册到服务后,将显示就绪状态。 每个就绪状态都有助于确定是否要执行任何操作,或者设备是否已准备好使用服务。

就绪状态

设备报告中的自动修补就绪状态 子状态说明
注册
  • 就绪:设备已成功通过所有先决条件检查,并已成功注册到 Windows 自动修补。 此外,就绪设备已成功通过所有 设备注册后就绪情况检查 ,并且没有任何针对它们的活动警报。
  • 未就绪:这些设备已成功注册到 Windows 自动修补。 但是,这些设备:
    • 未能通过一个或多个 设备后注册就绪情况检查
    • 尚未准备好让一个或多个软件更新工作负载由服务管理。
    • 设备在过去 28 天内未与Microsoft Intune通信
    • 设备与策略或自动修补组成员身份冲突
未注册
  • 自动修补组冲突:设备与自动修补组成员身份冲突
  • 先决条件失败:设备未能通过一个或多个 设备注册后就绪情况检查
  • 排除:仅从 Windows 自动修补服务中删除具有此状态的设备。 Microsoft假设你自己在某些容量中管理这些设备。

仅查看排除的设备

可以在“未注册”选项卡中查看排除的设备,以便更轻松地批量还原以前从 Windows 自动修补服务中排除的设备。

仅查看排除的设备:

  1. Intune管理中心中,导航到“Windows 自动修补>设备”。
  2. 在“ 未注册 ”选项卡中,从筛选器列表中选择“ 已排除 ”。 将所有其他筛选器选项保留为未选中状态。

在部署圈之间移动设备

如果要在 Windows 自动修补的部署圈分配后将设备移动到不同的部署圈,可以对一个或多个设备重复以下步骤。

重要提示

只能在同一“自动修补”组中的部署环之间移动设备。 无法跨不同自动修补组在部署圈之间移动设备。 如果尝试选择属于一个自动修补组的设备,以及另一个属于另一个自动修补组的设备,你将在Microsoft Intune门户的右上角收到以下错误消息:发生错误。请选择同一“自动修补”组中的设备

若要在部署圈之间移动设备,请执行以下操作:

注意

仅当设备的“自动修补就绪状态”显示为“ 已注册 ”且“更新”状态为 “活动”时,才能将设备移动到其他部署圈。

  1. Intune管理中心的左窗格中,选择“设备”。
  2. 导航到 “Windows 更新>”“监视>自动修补设备”。
  3. 选择要分配的一个或多个设备,然后选择“ 分配环”。
  4. 使用下拉菜单选择要将设备移动到的部署圈,然后选择“ 保存”。 所有选定的设备都分配给指定的部署圈。 将显示“计划分配的 1 台设备”通知。
  5. 分配完成后,按列分配的 Ring 将更改为管理员 (这表示你) 进行了更改,“”列显示新的部署圈分配。 按列分配的 Ring 仅在浮出菜单中可见。

警告

不支持通过直接更改Microsoft Entra组成员身份在部署圈之间移动设备,并且可能会导致 Windows 自动修补服务中的意外配置冲突。 若要避免设备服务中断,请使用前面所述的 “分配环” 操作在部署圈之间移动设备。

将设备注册到自动修补组

重要提示

本文或部分中的信息仅适用于 (Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 企业版 E3+ 或 F3 许可证,并且已激活 Windows 自动修补功能

如果 Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 10/11 企业版 E3 或 E5 (,则功能激活是可选的,无需额外付费。

有关详细信息,请参阅 许可证和权利。 如果你选择不进行功能激活,你仍然可以将 Windows 自动修补服务用于 商业高级版和 A3+ 许可证中包含的功能。

自动修补组是将多个Microsoft Entra组和软件更新策略分组的逻辑容器或单元。 有关详细信息,请参阅 Windows 自动修补组

创建自动修补组编辑自动修补组以添加或删除部署圈时,将扫描设置部署圈时使用的基于设备的Microsoft Entra组,以查看是否需要向 Windows 自动修补服务注册设备。

如果未注册设备,自动修补组将使用现有的基于设备的Microsoft Entra组启动设备注册过程。

嵌套其他Microsoft Entra组时支持的方案

Windows 自动修补还支持以下Microsoft Entra嵌套组方案:

Microsoft Entra组从中同步:

Windows 365 企业版工作负载上的 Windows 自动修补

Windows 365 企业版为 IT 管理员提供了在Windows 365预配策略创建过程中向 Windows 自动修补服务注册设备的选项。 此选项为管理员和用户提供无缝体验,以确保云电脑始终处于最新状态。 当 IT 管理员决定使用 Windows 自动修补管理其Windows 365云电脑时,Windows 365预配策略创建过程会调用 Windows 自动修补设备注册 API 以代表 IT 管理员注册设备。

若要从Windows 365预配策略向 Windows 自动修补注册新的Windows 365 云电脑设备,请执行以下操作:

  1. 转到Intune管理中心
  2. 在左窗格中,选择“ 设备”。
  3. 导航到“预配>Windows 365”。
  4. 选择“预配策略 >”“创建策略”。
  5. 提供策略名称,然后选择“ 联接类型”。 有关详细信息,请参阅 设备联接类型
  6. 选择下一步
  7. 选择所需的图像,然后选择“ 下一步”。
  8. “Microsoft托管服务 ”部分下,选择“ Windows 自动修补”。 然后选择“下一步”。 如果 Windows 自动修补 (预览版) 在全局管理员完成设置之前无法管理云电脑。将显示消息,您必须激活 Windows 自动修补功能才能继续。
  9. 相应地分配策略,然后选择“ 下一步”。
  10. 选择创建。 现在,Windows 自动修补会自动注册和管理新预配Windows 365 企业版云电脑。

有关详细信息,请参阅创建Windows 365预配策略

Azure 虚拟桌面工作负载上的 Windows 自动修补

Windows 自动修补可用于 Azure 虚拟桌面工作负载。 企业管理员可以使用现有设备注册过程预配其 Azure 虚拟桌面工作负载,以便由 Windows 自动修补进行管理。

Windows 自动修补为虚拟机提供与 物理设备相同的服务范围。 但是,除非另行指定,否则 Windows 自动修补会推迟对Azure 支持的任何 Azure 虚拟桌面特定支持。

必备条件

适用于 Azure 虚拟桌面的 Windows 自动修补遵循与 Windows 自动修补相同的 先决条件Azure 虚拟桌面先决条件

该服务支持:

  • 个人持久性虚拟机

不支持以下 Azure 虚拟桌面功能:

  • 多会话主机
  • 共用非持久性虚拟机
  • 远程应用流式处理

在 Azure 虚拟桌面上部署自动修补

可以使用与物理设备相同的方法将 Azure 虚拟桌面工作负载注册到 Windows 自动修补。

为便于部署,我们建议在自动修补设备注册组中嵌套动态设备组。 动态设备组将面向会话主机中定义的 “名称 ”前缀,但 排除 任何多会话会话主机。 例如:

组名称 动态成员身份名称
Windows 自动修补 - 主机池会话主机
  • (device.displayName -contains "AP")
  • (device.deviceOSType -ne "Windows 10 Enterprise for Virtual Desktops")

清理Microsoft Entra租户中Microsoft Entra混合联接和 Azure 注册设备的双重状态

当设备最初作为已注册Microsoft Entra设备连接到Microsoft Entra ID时,会出现Microsoft Entra双重状态。 但是,启用Microsoft Entra混合联接时,同一设备将两次连接到Microsoft Entra ID但作为混合Microsoft Entra设备连接。

在双重状态下,你最终会获得两个Microsoft Entra设备记录,这些记录针对同一设备具有不同的联接类型。 在这种情况下,混合Microsoft Entra设备记录优先于Microsoft Entra ID中任何类型的身份验证的Microsoft Entra已注册设备记录,这使得Microsoft Entra注册的设备记录过时。

在向 Windows 自动修补注册设备之前,建议在 Microsoft Entra ID 中检测和清理陈旧设备,请参阅如何:在 Microsoft Entra ID 中管理过时的设备

警告

如果在向 Windows Autopatch 注册设备之前未在 Microsoft Entra ID 中清理过时设备,则可能最终看到设备无法满足Intune或 Cloud-Attached (设备必须Intune托管或共同托管) 先决条件检查,因为预计这些过时的设备必须Intune管理或共同托管) 先决条件检查Microsoft Entra设备不再注册到Intune服务。

重要提示

本文或部分中的信息仅适用于 (Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 企业版 E3+ 或 F3 许可证,并且已激活 Windows 自动修补功能

如果 Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 10/11 企业版 E3 或 E5 (,则功能激活是可选的,无需额外付费。

有关详细信息,请参阅 许可证和权利。 如果你选择不进行功能激活,你仍然可以将 Windows 自动修补服务用于 商业高级版和 A3+ 许可证中包含的功能。

通过Windows 365或 Windows 自动修补服务工程团队提供设备注册相关事件的支持。

设备管理生命周期方案

规划在 Windows 自动修补中注册设备时,还需要考虑一些设备管理生命周期方案。

设备刷新

如果设备以前已注册到 Windows 自动修补服务,但需要重置映像,则必须运行 Microsoft Intune 中可用的设备预配过程之一来重置设备映像。

设备重新加入到Microsoft Entra ID (混合或仅Microsoft Entra) 。 然后,也重新注册到 Intune。 你或 Windows 自动修补服务无需执行进一步操作,因为该设备Microsoft Entra设备 ID 记录保持不变。

设备维修和硬件更换

如果需要修复以前注册到 Windows 自动修补服务的设备,请更换主板、不可移动的网络接口卡 (NIC) 或硬盘驱动器,则必须将设备重新注册到 Windows 自动修补服务中,因为发生重大硬件更改时会生成新的硬件 ID,例如:

  • SMBIOS UUID (主板)
  • MAC 地址 (不可移动的 NIC)
  • OS 硬盘驱动器的串行、型号、制造商信息

发生这些硬件更改之一时,Microsoft Entra ID会为该设备创建新的设备 ID 记录,即使设备在技术上是同一设备也是如此。

重要提示

如果为以前注册到 Windows 自动修补服务的设备生成了新的Microsoft Entra设备 ID,即使它是技术上相同的设备,也必须通过设备直接成员身份或通过 Windows 自动修补组体验中的嵌套Microsoft Entra动态/分配组来添加新的Microsoft Entra设备 ID。 此过程保证将新生成的Microsoft Entra设备 ID 注册到 Windows 自动修补,并且设备继续由服务管理其软件更新。