通过

管理 Windows 自动更新组

  • 项目

自动修补组可帮助Microsoft Cloud-Managed 服务满足其更新管理过程中的组织需求。

自动修补组是一个逻辑容器或单元,可对多个Microsoft Entra组和软件更新策略进行分组,例如Windows 10及更高版本的更新圈策略Windows 10及更高版本的策略的功能更新驱动程序更新策略Microsoft 365 应用更新策略Microsoft Edge 更新策略

在开始管理自动修补组之前,请确保满足 Windows 自动修补组先决条件

注意

如果达到 300) 支持的最大自动修补组数 (,并尝试创建更多自动修补组,则“自动修补组”边栏选项卡中的“创建”选项将灰显。

创建自动修补组

重要提示

Windows 自动修补基于设备的Microsoft Entra ID基于部署环组合页中的选择分配的组。 此外,该服务根据在“自动修补组引导式最终用户体验”的“Windows 更新设置”页中所做的选择,为在自动修补组中创建的每个部署圈分配更新通道策略。

提示

有关 Windows 自动修补组支持的工作负载的详细信息,请参阅 支持的软件工作负载

创建自动修补组:

  1. 转到Microsoft Intune管理中心
  2. 从左侧导航菜单中选择“ 租户管理 ”。
  3. “Windows 自动修补 ”部分下,选择“ 自动修补组”。
  4. “自动修补组 ”边栏选项卡中,选择“ 创建”。
  5. “基本信息”页中,输入名称和说明,然后选择“下一步:部署圈”。
    1. 为自动修补组名称输入最多 64 个字符,为说明输入最多 150 个字符。 自动修补组名称将追加到创建自动修补组后创建的更新通道和 DSS 策略名称。
  6. “部署圈 ”页中,选择“ 添加部署圈 ”,将部署圈数添加到“自动修补”组。 自动修补分配默认推出计划,以确保逐步部署,延迟和截止时间从 1 天到 20 天不等。 添加新环时,其默认延迟和截止时间与现有环相隔,以保持延迟和截止时间的符合性。 因此,新环的延迟和截止时间可能在上一个环之前或之后。 添加新环不会修改已存在环的延迟或截止时间。 自动修补不设置周日的最后期限。 截止时间定于下一个星期一。
  7. 添加的每个新部署圈都必须分配一个Microsoft Entra设备组,或者一个使用定义的百分比在部署环之间动态分布的Microsoft Entra组。
    1. “动态组”区域中,选择“添加组”,选择一个或多个用于动态组分发的现有基于设备的Microsoft Entra组。
    2. “动态组通讯组” 列中,选中所需的部署圈复选框。 然后,任一:
      1. 输入应从步骤 9 中选择的Microsoft Entra组中添加的设备百分比。 设备的百分比计算必须等于 100%,或者
      2. 选择“ 应用默认动态组分发 ”以使用默认值。
  8. “分配的组”列中,选择“将组添加到圈”,将现有Microsoft Entra组添加到任何定义的部署圈。 “测试和上次部署”圈仅支持“已分配的组分发”。 这些部署圈不支持动态分发。
  9. 选择“ 下一步:更新类型”。 选择希望 Windows 自动修补为其创建策略的更新类型。 可以选择:
    1. 质量更新
    2. 功能更新
    3. 驱动程序更新
    4. Microsoft 365 应用更新
    5. Microsoft Edge 更新
  10. 选择“ 下一步:部署设置”。 如果在步骤 9 中选择了质量更新并Microsoft 365 应用更新,则会自动部署这些更新。 使用下拉菜单选择:
    1. 功能更新的目标版本
    2. 驱动程序更新的审批方法
    3. Microsoft Edge 更新的通道
  11. 选择“ 下一步:发布计划”。 在此页中,从“选择发布计划预设”下拉菜单中选择以下 发布计划预设之一
    1. 信息工作者:大多数工作场所中使用的单用户设备
    2. 共享设备:多个用户在一段时间内使用的设备
    3. 展台和广告牌:用于完成隐藏通知并在特定时间重启的特定任务的高运行时间设备
    4. 重新启动敏感设备:无法在任务中中断且仅在计划时间更新的设备
  12. Windows 更新安装、重新启动和通知行为设置基于步骤 11) 中的所选发布计划预设 (。 设置确定在步骤 9 中选择的所有更新类型的Windows 更新客户端的行为方式。 您可以:
    1. 根据需要编辑延迟、截止时间和宽限期
    2. 根据需要编辑部署圈
    3. 如果进行了更改,但想要重新开始,请选择“ 重置为预设值[发布计划预设]”。 重置取决于在步骤 12 中选择的发布计划预设。
  13. 选择“ 查看 + 创建 ”以查看所做的所有更改。
  14. 评审完成后,选择“ 创建 ”以保存自动修补组。

注意

请勿 (分配和动态) 修改Microsoft Entra组成员身份类型。 否则,Windows 自动修补服务无法从这些组读取设备组成员身份,并导致自动修补组功能和其他服务相关作无法正常工作。

此外,不支持将Configuration Manager集合直接同步到自动修补组创建的任何Microsoft Entra组。

注意

基于设备的Microsoft Entra组一次只能与自动修补组中的一个部署环一起使用。 这适用于同一自动修补组中的部署圈,以及跨不同自动修补组的不同部署圈。 如果尝试创建或编辑自动修补组以使用已使用的基于设备的Microsoft Entra组,将发生错误,阻止创建或编辑自动修补组。

编辑自动修补组

提示

当有一个或多个针对该组的 Windows 功能更新版本时,你无法编辑自动修补组。 如果尝试使用一个或多个针对该自动修补组的持续 Windows 功能更新版本编辑自动修补组,则会收到以下信息性横幅消息:“不允许修改某些设置,因为有一个或多个针对此自动修补组的持续 Windows 功能更新版本。有关版本和阶段状态的详细信息,请参阅 Windows 功能更新

编辑自动修补组:

  1. 选择要编辑的自动修补组的水平省略号 (...) > 编辑。
  2. “基本信息 ”页中,只能修改自动修补组 的说明无法修改名称。 修改说明后,或者如果不需要编辑说明,请选择“ 下一步:部署圈”。 若要重命名自动修补组,请参阅 重命名自动修补组
  3. “部署圈 ”页中,根据需要编辑部署圈,或选择“ 下一步:更新类型”。
  4. “更新类型 ”页中,根据需要添加或删除更新类型,或选择“ 下一步:部署设置”。
  5. “部署设置” 页中,根据需要编辑部署设置,或选择“ 下一步:发布计划”。
  6. “发布计划 ”页中,根据需要编辑延迟和/或截止时间。 如果需要更改发布计划预设,则必须创建新的“自动修补”组。
  7. 选择“ 查看 + 创建 ”以查看所做的所有更改。
  8. 评审完成后,选择“ 保存” 以完成“自动修补”组的编辑。

重要提示

Windows 自动修补基于设备的Microsoft Entra ID基于部署环组合页中的选择分配的组。 此外,该服务根据在“自动修补组引导式最终用户体验”的“Windows 更新设置”页中所做的选择,为在自动修补组中创建的每个部署圈分配更新通道策略。

注意

如果以前添加到自动修补组的设备使用通过分配组或动态分发方法 (Microsoft Entra组,) 从Microsoft Entra组中删除,则设备将从自动修补服务中删除并注销。 已删除的设备不再应用任何自动修补服务创建的策略,并且该设备不会出现在 自动修补组成员身份报告中

重命名自动修补组

重命名自动修补组:

  1. 选择要重命名的自动修补组的水平省略号 (...) > 重命名。 此时会打开 “重命名自动修补”组 飞入。
  2. “新建自动修补组名称”中,输入所选的新自动修补组名称,然后选择“ 重命名组”。

重要提示

自动修补组名称最多支持 64 个字符。 此外,重命名自动修补组时,Intune中Windows 10及更高版本的策略的所有更新圈以及与自动修补组关联的Intune中Windows 10及更高版本的策略的功能更新将重命名为在其名称字符串中定义的新自动修补组名称。 此外,在重命名自动修补组时,将重命名代表自动修补组部署圈的所有Microsoft Entra组,以包括在其名称字符串中定义的新 Autopatch 组名称。

删除自动修补组

删除自动修补组:

  1. 选择要删除的自动修补组 的水平省略号 (...) >Delete
  2. 选择“ ”以确认要删除“自动修补”组。

注意

当自动修补组用作一个或多个活动或已暂停的功能更新版本的一部分时,无法将其删除。 但是,当 Windows 质量或功能更新的版本具有 “计划” 或“ 已暂停 ”状态时,可以删除自动修补组。

使用自动修补组时管理设备冲突方案

使用基于设备的Microsoft Entra组时,设备成员身份重叠是一种常见方案。 有时,动态查询的范围可能很大,或者同一分配的设备成员身份可以跨不同的Microsoft Entra组使用。

由于自动修补组使用现有的Microsoft Entra组来创建自己的部署环组合,因此该服务负责监视和自动解决可能发生的某些设备冲突方案。

注意

基于设备的Microsoft Entra组一次只能与自动修补组中的一个部署环一起使用。 这适用于同一自动修补组中的部署圈,以及跨不同自动修补组的不同部署圈。 如果尝试创建或编辑自动修补组以使用已使用的基于设备的Microsoft Entra组,将发生错误,阻止创建或编辑自动修补组。

自动修补组中部署圈中的设备冲突

自动修补组使用以下逻辑来代表你在自动修补组中解决设备冲突:

步骤 描述
步骤 1:检查设备所属的部署圈分发类型 (分配动态) 。 例如,如果设备是一个部署圈的一部分,其中 动态 分发 (Ring3) ,而一个部署圈在同一自动修补组中具有 分配 分发 (测试) ,则具有 分配 分发 (测试) 的部署圈优先于具有 动态 分发类型 (Ring3) 的部署圈。
步骤 2:当设备属于具有相同分发类型的一个或多个部署圈时,检查部署环排序 (分配动态) 例如,如果设备是一个部署圈的一部分,其分配的分发 (测试) ,而在同一个自动修补组中具有分配分发 (Ring3) 的另一个部署圈中,则稍后 (Ring3) 的部署圈优先于部署环顺序中之前 (测试) 的部署环。

重要提示

当设备属于包含组合分发类型的部署圈 (分配动态) ,以及只有 动态 分发类型的部署圈时,具有组合分发类型的部署圈优先于只有 动态 分发类型的部署圈。 如果设备属于两个部署圈,其中包含 (分配动态) 的组合分发类型,则稍后的部署圈优先于部署环顺序中之前出现的部署环。

跨不同自动修补组的设备冲突

在不同 Autopatch 组中的不同部署圈之间可能发生设备冲突,请查看有关 Windows 自动修补服务如何处理以下方案的示例:

不同自动修补组的不同部署圈中的同一设备

冲突方案 冲突解决
Contoso Ltd.的 IT 管理员正在使用多个自动修补组。 在“Windows 自动修补设备”边栏选项卡中浏览设备时,你注意到同一设备是跨多个不同自动修补组的不同部署圈的一部分。 此设备显示为 “未就绪”。 必须解决此冲突。

自动修补组在“ 自动修补组成员身份”报告中通知你有关设备冲突的信息。 为要寻址的设备选择“ 未就绪 ”状态。 需要手动指示设备应独占所属的现有自动修补组。

设备注册前的设备冲突

创建或编辑自动修补组时,Windows 自动修补会检查作为Microsoft Entra组一部分(在自动修补组的部署圈中使用的)的设备是否已注册到该服务。

冲突方案 冲突解决
由于设备成员身份重叠,设备注册前的设备冲突 必须解决此冲突。

设备无法向服务注册,并标记为 “未注册 ”状态。 你需要确保自动修补组中使用的Microsoft Entra组没有设备成员身份重叠。