管理 Windows 自动更新组

重要提示

本文或部分中的信息仅适用于 (Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 企业版 E3+ 或 F3 许可证，并且已激活 Windows 自动修补功能。

如果 Microsoft 365 F3、E3 或 E5) 许可证中包含 Windows 10/11 企业版 E3 或 E5 (，则功能激活是可选的，无需额外付费。

有关详细信息，请参阅 许可证和权利。 如果你选择不进行功能激活，你仍然可以将 Windows 自动修补服务用于 商业高级版和 A3+ 许可证中包含的功能。

自动修补组可帮助Microsoft Cloud-Managed服务满足组织在更新管理过程中所处的位置。

自动修补组是一个逻辑容器或单元，将多个Microsoft Entra组和软件更新策略分组，例如用于Windows 10和更高版本的更新圈策略，以及用于Windows 10和更高版本的策略的功能更新策略。

在开始管理自动修补组之前，请确保满足 Windows 自动修补组先决条件。

创建自动修补组

重要提示

Windows 自动修补基于设备的Microsoft Entra ID基于部署环组合页中的选择分配的组。 此外，该服务根据在“自动修补组引导式最终用户体验”的“Windows 更新设置”页中所做的选择，为在自动修补组中创建的每个部署圈分配更新通道策略。

提示

有关 Windows 自动修补组支持的工作负载的详细信息，请参阅 支持的软件工作负载。

• 若要管理Microsoft 365 企业应用版，必须先创建自动修补组，并将 Microsoft 365 应用更新设置设置为“允许”。
• 若要管理Microsoft Edge 更新，必须先创建自动修补组 ，并将 Edge 更新设置设置为“允许”。

创建自动修补组：

1. 转到Microsoft Intune管理中心。
2. 从左侧导航菜单中选择“ 租户管理 ”。
3. 在 “Windows 自动修补 ”部分下，选择“ 自动修补组”。
4. 在 “自动修补组 ”边栏选项卡中，选择“ 创建”。
5. 在“基本信息”页中，输入名称和说明，然后选择“下一步：部署圈”。
   1. 为自动修补组名称输入最多 64 个字符，为说明输入最多 150 个字符。 自动修补组名称将追加到创建自动修补组后创建的更新通道和 DSS 策略名称。
6. 在 “部署圈 ”页中，选择“ 添加部署圈 ”，将部署圈数添加到“自动修补”组。
7. 添加的每个新部署圈都必须分配一个Microsoft Entra设备组，或者一个使用定义的百分比在部署环之间动态分布的Microsoft Entra组。
   1. 在“动态组”区域中，选择“添加组”，选择一个或多个用于动态组分发的现有基于设备的Microsoft Entra组。
   2. 在 “动态组通讯组” 列中，选中所需的部署圈复选框。 然后，任一：
      1. 输入应从步骤 9 中选择的Microsoft Entra组中添加的设备百分比。 设备的百分比计算必须等于 100%，或者
      2. 选择“ 应用默认动态组分发 ”以使用默认值。
8. 在“分配的组”列中，选择“将组添加到圈”，将现有Microsoft Entra组添加到任何定义的部署圈。 “测试和上次部署”圈仅支持“已分配的组分发”。 这些部署圈不支持动态分发。
9. 选择“下一步： Windows 更新设置”。
10. 选择 水平省略号 (...) >管理部署节奏 ， 自定义 Windows 质量和功能更新的逐步推出。 选择保存。
11. 选择 水平省略号 (...) >“管理通知 ”，以自定义接收 Windows 更新时的最终用户体验。 选择保存。
12. 选择“ 查看 + 创建 ”以查看所做的所有更改。
13. 评审完成后，选择“ 创建 ”以保存自动修补组。

注意

请勿 (分配和动态) 修改Microsoft Entra组成员身份类型。 否则，Windows 自动修补服务将无法从这些组读取设备组成员身份，并导致自动修补组功能和其他与服务相关的操作无法正常工作。

此外，不支持将Configuration Manager集合直接同步到自动修补组创建的任何Microsoft Entra组。

注意

基于设备的Microsoft Entra组一次只能与自动修补组中的一个部署环一起使用。 这适用于同一自动修补组中的部署圈，以及跨不同自动修补组的不同部署圈。 如果尝试创建或编辑自动修补组以使用已使用的基于设备的Microsoft Entra组，将收到一个错误，导致无法创建或编辑自动修补组。

编辑自动修补组

提示

当有一个或多个针对该组的 Windows 功能更新版本时，你无法编辑自动修补组。 如果尝试使用一个或多个针对该自动修补组的持续 Windows 功能更新版本编辑自动修补组，则会收到以下信息性横幅消息：“不允许修改某些设置，因为有一个或多个针对此自动修补组的正在进行的 Windows 功能更新版本。有关版本和阶段状态的详细信息，请参阅 Windows 功能更新。

编辑自动修补组：

1. 选择要编辑的自动修补组的水平省略号 (...) > 编辑。
2. 只能修改自动修补组 的说明 。 无法修改名称。 修改说明后，选择“ 下一步：部署圈”。 若要重命名自动修补组，请参阅 重命名自动修补组。
3. 在“部署通道”页中进行必要的更改，然后选择“下一步：Windows 更新设置”。
4. 在“Windows 更新设置”页中进行必要的更改，然后选择“下一步：查看 + 保存”。
5. 选择“ 查看 + 创建 ”以查看所做的所有更改。
6. 评审完成后，选择“ 保存” 以完成“自动修补”组的编辑。

重要提示

Windows 自动修补基于设备的Microsoft Entra ID基于部署环组合页中的选择分配的组。 此外，该服务根据在“自动修补组引导式最终用户体验”的“Windows 更新设置”页中所做的选择，为在自动修补组中创建的每个部署圈分配更新通道策略。

重命名自动修补组

重命名自动修补组：

1. 选择要重命名的自动修补组的水平省略号 (...) > 重命名。 此时会打开 “重命名自动修补”组 飞入。
2. 在 “新建自动修补组名称”中，输入所选的新自动修补组名称，然后选择“ 重命名组”。

重要提示

自动修补组名称最多支持 64 个字符。 此外，重命名自动修补组时，Intune中Windows 10及更高版本的策略的所有更新圈以及与自动修补组关联的Intune Windows 10及更高版本的策略的功能更新将重命名为在其名称字符串中定义的新自动修补组名称。 此外，在重命名自动修补组时，将重命名代表自动修补组部署圈的所有Microsoft Entra组，以包括在其名称字符串中定义的新 Autopatch 组名称。

删除自动修补组

删除自动修补组：

1. 选择要删除的自动修补组 的水平省略号 (...) >Delete 。
2. 选择“ 是 ”以确认要删除“自动修补”组。

注意

当自动修补组用作一个或多个活动或已暂停的功能更新版本的一部分时，无法将其删除。 但是，当 Windows 质量或功能更新的版本具有 “计划” 或“ 已暂停 ”状态时，可以删除自动修补组。

使用自动修补组时管理设备冲突方案

使用基于设备的Microsoft Entra组时，设备成员身份重叠是一种常见方案。 有时，动态查询的范围可能很大，或者同一分配的设备成员身份可以跨不同的Microsoft Entra组使用。

由于自动修补组允许使用现有的Microsoft Entra组来创建自己的部署环组合，因此该服务负责监视和自动解决可能发生的某些设备冲突方案。

注意

基于设备的Microsoft Entra组一次只能与自动修补组中的一个部署环一起使用。 这适用于同一自动修补组中的部署圈，以及跨不同自动修补组的不同部署圈。 如果尝试创建或编辑自动修补组以使用已使用的基于设备的Microsoft Entra组，将收到一个错误，导致无法创建或编辑自动修补组。

自动修补组中部署圈中的设备冲突

自动修补组使用以下逻辑来代表你在自动修补组中解决设备冲突：

步骤	描述
步骤 1：检查设备所属的部署圈分发类型 (分配 或 动态) 。	例如，如果设备是一个部署圈的一部分，其中 动态 分发 (Ring3) ，而一个部署圈在同一自动修补组中具有 分配 分发 (测试) ，则具有 分配 分发 (测试) 的部署圈优先于具有 动态 分发类型 (Ring3) 的部署圈。
步骤 2：当设备属于具有相同分发类型的一个或多个部署圈时，检查部署环排序 (分配 或 动态)	例如，如果设备是一个部署圈的一部分，其分配的分发 (测试) ，而在同一个自动修补组中具有分配分发 (Ring3) 的另一个部署圈中，则稍后 (Ring3) 的部署圈优先于部署环顺序中之前 (测试) 的部署环。

重要提示

如果设备属于具有 (已 分配 和 动态) 组合分发类型的部署圈，以及仅具有 动态 分发类型的部署圈，则具有组合分发类型的部署圈优先于只有 动态 分发类型的部署圈。 如果设备属于两个部署圈，这些部署圈 (分配 和 动态) 的组合分发类型，则稍后的部署环优先于部署环顺序中之前出现的部署环。

跨不同自动修补组的设备冲突

在不同 Autopatch 组中的不同部署圈之间可能发生设备冲突，请查看有关 Windows 自动修补服务如何处理以下方案的示例：

不同自动修补组的不同部署圈中的同一设备

冲突方案	冲突解决
Contoso Ltd.的 IT 管理员正在使用多个自动修补组。 在“Windows 自动修补设备”边栏选项卡中浏览设备时，你注意到同一设备是跨多个不同自动修补组的不同部署圈的一部分。 此设备显示为 “未就绪”。	必须解决此冲突。 自动修补组会在“ 设备”报告中通知你有关设备冲突的信息。 为要寻址的设备选择“ 未就绪 ”状态。 需要手动指示设备应独占所属的现有自动修补组。

设备注册前的设备冲突

创建或编辑自动修补组时，Windows 自动修补会检查作为Microsoft Entra组一部分（在自动修补组的部署圈中使用的）的设备是否已注册到该服务。

冲突方案	冲突解决
由于设备成员身份重叠，设备注册前的设备冲突	必须解决此冲突。 设备无法向服务注册，并标记为 “未注册 ”状态。 你需要确保自动修补组中使用的Microsoft Entra组没有设备成员身份重叠。