Windows 自动修补部署指南
随着组织转向支持混合和远程员工队伍,并继续通过Intune等服务采用基于云的终结点管理,管理更新至关重要。
Windows Autopatch 是一项云服务,可自动执行 Windows、Microsoft 365 企业应用、Microsoft Edge 和 Microsoft Teams 更新,以提高整个组织的安全性和工作效率。
成功的 Windows 自动修补部署从规划和确定目标开始。 使用此部署指南来规划移动到 Windows 自动修补或迁移。
本指南:
- 帮助你规划部署并采用 Windows 自动修补
- Lists和描述一些常见目标
- 提供建议的部署计划
- 提供 Windows 更新 for Business (WUfB) 和Microsoft Configuration Manager的迁移注意事项
- Lists部署 Windows 自动修补时的一些常见注意事项
- 提供建议的业务案例权益和沟通指南
- 提供其他指导以及如何加入 Autopatch 社区
确定目标
本部分详细介绍了使用 Windows 自动修补时的一些常见目标。
加入组织后,Windows Autopatch 会自动创建多个渐进式部署圈,并根据 Windows 自动修补建议的做法和组织自定义配置应用最新的更新。 虽然有一些选项可以调整配置,例如质量更新节奏,但该服务提供了一个基线来开始建立更新目标。
使用 Windows 自动修补解决以下难题:
- 难以开发和防御更新节奏和一般最佳做法
- 提高可见性并改进问题报告
- 实现一致的更新成功率
- 在整个环境中标准化和优化设备、策略、工具和版本的配置
- 通过配置适用于企业的Intune和Windows 更新,过渡到新式更新管理
- 提高更新过程的效率,减少对 IT 管理员资源的依赖
- 尽快解决漏洞和 Windows 质量更新以提高安全性
- 协助符合行业标准
- 在增值 IT 项目上投入更多时间,而不是每月更新
- 规划和管理 Windows 功能更新
- 过渡到Windows 11
建议的部署步骤
以下部署步骤可用作指南,帮助你创建组织的特定部署计划以采用和部署 Windows Autopatch。
步骤 1:准备
查看先决条件 ,并将 租户注册 到 Windows 自动修补服务中。 在此阶段,你的设备不受影响。 在注册设备之前,可以注册租户并查看服务选项。
| 步骤 | 描述 |
|---|---|
| 1A:设置服务 |
|
| 1B:确认更新服务需求并配置工作负荷 |
|
| 1C:考虑自动修补组分发 | 组织拥有一系列 Windows 设备,包括台式计算机、笔记本电脑和平板电脑,这些设备可能跨多个逻辑或物理位置进行分组。 规划自动修补组策略时,请考虑最适合组织需求的自动修补组结构。 建议尽可能多地利用服务默认值。 但是,如有必要,可以使用其他部署圈自定义 默认自动修补组 和/或 创建自己的自定义自动修补组 () 。 |
| 1D:查看网络优化 | 请务必 准备网络 ,以确保设备能够以最有效的方式访问更新,而不会影响基础结构。 管理带宽消耗的建议方法是利用 传递优化。 可以通过在部署中的多个设备之间共享下载这些包的工作,使用传递优化来减少带宽消耗。 |
步骤 2:评估
使用大约 50 台设备评估 Windows 自动修补,以确保服务满足你的需求。 可以根据组织构成调整此数字。 建议在此评估步骤期间监视一个更新周期。
| 步骤 | 描述 |
|---|---|
| 2A:查看报告功能 | Windows 自动修补质量和功能更新报告提供有关设备最新更新周期的进度视图。 应经常查看这些报告,以确保了解 Windows 自动修补设备的更新状态。 有时,使用 Windows 自动修补进行更新部署时,查看适用于企业的 Windows 更新 (WUfB) 报告会很有帮助。 例如,在准备部署Windows 11时,你可能会发现使用Intune中的 Windows 功能更新设备就绪情况和 Windows 功能更新兼容性风险报告评估设备很有用。 |
| 2B:查看操作更改 | 作为 Windows 自动修补引入的一部分,应考虑该服务如何与现有操作流程集成。
|
| 2C:培训最终用户和关键利益干系人 | 通过创建 Windows 自动修补最终用户体验指南来教育最终用户。 在 Windows 自动修补部署和规划过程的早期阶段包括你的 IT 支持和支持人员。 早期参与使支持人员能够:
支持人员可以通过 Windows 自动修补 演示站点体验 Windows 自动修补管理员体验。 |
| 2D:试点规划 | 确定最多 500 台设备的目标试点组 () 。 建议包括组织构成的跨部门,以确保试点结果代表组织环境。 |
步骤 3:试点
计划使用大约 500 台设备对服务进行试点,以提供足够的试点覆盖范围,以便为部署做好准备。 可以根据组织构成调整此数字。 建议在试点步骤期间监视一到两个更新周期。
| 步骤 | 描述 |
|---|---|
| 3A:注册设备 | 注册试点设备组 () |
| 3B:监视更新过程是否成功 |
|
| 3C:查看报告 |
|
| 3D:实现操作更改 |
|
| 3E:与利益干系人沟通 | 查看并操作利益干系人沟通计划。 |
| 3F:部署规划 | 为 Windows 自动修补分阶段部署准备目标部署组。 |
步骤 4:部署
成功试点后,可以开始部署到更广泛的组织。 部署的速度取决于自己的要求;例如,在每周 500 到 5000 个组中进行部署是完成 Windows 自动修补部署的常用方法。
| 步骤 | 描述 |
|---|---|
| 4A:查看报告 |
|
| 4B:与利益干系人沟通 | 查看并操作利益干系人沟通计划 |
| 4C:完成操作更改 |
|
迁移注意事项
如果你是现有的商业Windows 更新 (WUfB) 或Configuration Manager客户,有几个注意事项可以加快部署速度。
为什么从 Windows 更新 for Business 或 Configuration Manager 迁移到 Windows 自动修补?
使用 Windows 更新 for Business (WUfB) 或Configuration Manager的客户可以快速采用 Windows 自动修补并利用 Windows 自动修补提供的主要优势。
从 Windows 更新 for Business (WUfB) 或Configuration Manager迁移到 Windows 自动修补时,可以增强和优化已熟悉的更新体验。
迁移后,不再需要执行多个配置任务:
| 自动修补权益 | 配置管理器 | 适用于企业的 Windows 更新 (WUfB) |
|---|---|---|
| 自动设置和持续配置Windows 更新策略 | 管理和执行定期任务,例如:
|
管理“静态”部署圈策略 |
| 自动管理部署圈成员身份 | 手动检查集合成员身份和目标 | 管理“静态”部署圈成员身份 |
| 维护最低 Windows 功能版本并在服务版本之间逐步移动 | 花时间开发、测试和推出任务序列 | 设置和部署 Windows 功能更新策略 |
| 服务提供发布管理、信号监视、测试和Windows 更新部署 | 设置、定位和监视更新测试集合 | 管理测试部署通道并手动监视更新信号 |
| 在Windows 365预配策略中启用服务的简单集成过程 | 手动面向设备集合中的云电脑 | 手动定位Microsoft Entra组中的云电脑 |
除了报告,其他优势包括:
| 自动修补权益 | Configuration Manager和Windows 更新商业 (WUfB) |
|---|---|
| 具有集成警报、深度筛选和状态概览的 Windows 质量和功能更新报告 | 要求手动导航并搜寻状态和警报 |
| 使用集成解决方案文档按所需操作进行筛选 | 要求你研究并发现与更新问题相关的可能操作 |
| 提高 IT 管理员的可见性、安全合规性和监管机构的证明 | 要求跨多个管理门户汇集不同的报表和视图 |
服务管理优势包括:
| 自动修补权益 | Configuration Manager和Windows 更新商业 (WUfB) |
|---|---|
| Windows 自动化和Microsoft见解 | 在内部支持和管理更新所需的第一方或第三方资源 |
| Microsoft研究和见解确定更新部署的“go/no-go” | 来自组织的有限信号和见解来确定更新部署的“go/no-go” |
| Windows 自动修补可能会暂停或回滚更新。 暂停或回滚取决于影响范围和防止最终用户中断 | 需要手动干预,扩大任何更新问题的潜在影响 |
从 Windows 更新 for Business (WUfB) 迁移到 Windows Autopatch
评估从 Windows 更新 for Business (WUfB) 迁移到 Windows Autopatch 的准备情况
从 Windows 更新 for Business (WUfB) 迁移到 Windows Autopatch 时,可以通过考虑可能影响部署的关键差异来评估快速迁移到 Windows 自动修补服务的准备情况,从而加速和简化采用:
| 步骤 | 评估步骤 | 建议 |
|---|---|---|
| 1 | “基于用户”与“基于设备”的目标 | Windows 自动修补不支持“基于用户”的目标。 如果Windows 更新部署是“基于用户”的,则必须计划通过向 Windows 自动修补添加和注册设备来迁移到基于设备的目标模型。 使用 考虑自动修补组指南 |
| 2 | Microsoft Edge 频道 | Windows 自动修补将Microsoft Edge 稳定通道部署到除测试部署圈以外的所有部署圈中的设备。 为Microsoft Edge Beta 渠道配置了测试部署圈。 如果你当前使用不同的通道,你的团队应了解你的 Windows 自动修补设备使用这些通道。 有关详细信息,请参阅 确认更新服务需求和配置工作负荷。 |
| 3 | Microsoft 365 企业应用版 | Windows 自动修补将每月企业频道部署到所有Microsoft 365 企业应用版客户端。 如果你的组织使用的是其他频道,而你不希望采用每月企业频道,则可以选择退出Microsoft 365 企业应用版更新。 有关详细信息,请参阅 确认更新服务需求和配置工作负荷 |
| 4 | 准备策略 | 应考虑Windows 更新 for Business (WUfB) 、Intune或本地环境中任何可能影响 Windows 自动修补部署的现有策略配置。 有关详细信息,请查看 一般注意事项 |
| 5 | 网络优化技术 | 建议将网络优化技术视为 Windows 自动修补部署的一部分。 但是,如果你已在使用 Windows 更新 for Business (WUfB) 则可能已经准备好了网络优化解决方案。 有关详细信息,请参阅 查看网络优化 |
优化的部署路径:Windows 更新 for Business (WUfB) 到 Windows 自动修补
评估就绪状态以确保与 Windows 自动修补就绪情况保持一致后,可以优化 Windows 自动修补部署,以快速迁移到服务。 以下步骤演示了建议的优化部署路径:
| 步骤 | 示例时间线 | 任务 |
|---|---|---|
| 步骤 1:准备 > 设置服务 | 第一周 | 按照我们的标准指南打开 Windows 自动修补服务
|
| 步骤 1:准备 > 根据迁移就绪情况调整服务配置 | 第一周 | |
| 步骤 2:评估 | 第一周到第二个月 | 使用大约 50 台设备评估一个更新周期,以确认正确的服务配置到位 |
| 步骤 3:试点 | 第二个月到第三个月 | 在一个更新周期内试运行大约 500 - 5000 台设备,以确保可以向关键利益干系人和 Service Desk 团队进一步验证 |
| 步骤 4:部署 | 第三到第六个月 | 迁移资产所需的阶段部署。 你可以快速移动,因为感觉舒适 |
从Configuration Manager迁移到 Windows 自动修补
无论你是从Configuration Manager迁移到Microsoft Intune,还是继续使用Configuration Manager,如果当前正在使用Configuration Manager若要管理更新,可以将更新工作负载迁移到 Windows 自动修补,并利用Configuration Manager环境的主要优势。
评估从Configuration Manager迁移到 Windows 自动修补的准备情况
从 Configuration Manager 迁移到 Windows Autopatch 时,从 Windows Autopatch 快速获得价值的最快速途径是已进行共同管理,并将必要的工作负载转移到Intune。
| 步骤 | 评估步骤 | 建议 |
|---|---|---|
| 1 | 启用共同管理 | 如果跨Configuration Manager和托管设备使用共同管理,则满足使用 Windows 自动修补的关键要求。 如果没有共同管理,请参阅如何在 Configuration Manager中使用共同管理 |
| 2 | 使用所需的共同管理工作负载 | 使用 Windows 自动修补要求托管设备使用以下三个共同管理工作负载:
如果已配置这些工作负载,则满足使用 Windows 自动修补的关键要求。 如果未配置这些工作负载,请查看如何将Configuration Manager工作负荷切换到Intune |
| 3 | 准备策略 | 应考虑Configuration Manager (或本地) 环境中可能影响 Windows 自动修补部署的任何现有策略配置。 有关详细信息,请查看 一般注意事项 |
| 4 | 确保Configuration Manager集合或Microsoft Entra设备组就绪 | 若要将设备移动到 Windows 自动修补,必须使用 Windows 自动修补服务注册设备。 为此,请使用Microsoft Entra设备组或Configuration Manager集合。 确保Microsoft Entra设备组或Configuration Manager集合,以便评估、试点,然后迁移到 Windows 自动修补服务。 有关详细信息,请参阅 注册设备。 |
优化的部署路径:Configuration Manager到 Windows 自动修补
评估就绪状态以确保与 Windows 自动修补就绪情况保持一致后,可以优化 Windows 自动修补部署,以快速迁移到服务。 以下步骤演示了建议的优化部署路径:
| 步骤 | 示例时间线 | 任务 |
|---|---|---|
| 步骤 1:准备 > 设置服务 | 第一周 | 按照我们的标准指南打开 Windows 自动修补服务
|
| 步骤 1:准备 > 根据迁移就绪情况调整服务配置 | 第一周 | |
| 步骤 2:评估 | 第一周到第二个月 | 使用大约 50 台设备评估一个更新周期,以确认正确的服务配置到位 |
| 步骤 3:试点 | 第二个月到第三个月 | 在一个更新周期内试运行大约 500 - 5000 台设备,以确保可以向关键利益干系人和 Service Desk 团队进一步验证 |
| 步骤 4:部署 | 第三到第六个月 | 迁移资产所需的阶段部署。 你可以快速移动,因为感觉舒适 |
一般注意事项
在规划过程中,应考虑环境中可能影响 Windows 自动修补部署的任何现有企业配置。
许多组织都有现有的策略和设备管理基础结构,例如:
- 组策略 对象 (GPO)
- 注册表设置
- 配置管理器
- 现有移动设备管理 (MDM) 策略
- Microsoft 365 应用版的服务配置文件
创建策略和现有设置的基线,以映射可能影响迁移到 Windows 自动修补的配置,这是一个有用的练习。
组策略
查看现有策略及其结构。 某些策略可能全局应用,有些策略在站点级别应用,有些策略特定于设备。 目标是了解和了解全球策略的意图、本地策略的意图等。
本地 AD 组策略在 LSDOU 顺序中应用, (本地、站点、域和组织单位 (OU) ) 。 在此层次结构中,OU 策略覆盖域策略,域策略覆盖站点策略,等等。
| 领域 | 路径 | 建议 |
|---|---|---|
| Windows 更新 组策略设置 | Computer Configuration\Administrative Templates\Windows Components\Windows Updates |
可通过组策略传递的最常见Windows 更新设置位于此路径下。 这是开始审阅的好地方。 |
| 不要连接到任何Windows 更新 Internet 位置 | Computer Configuration\Administrative Templates\Windows Components\Windows update\Do not connect to any Windows Update Internet locations |
对于仅依赖于 Intranet 更新位置(如 Windows Server Update Services (WSUS) 服务器)的组织来说,这是一种常见设置,在迁移到云更新服务(如 Windows 更新 for Business (WUfB) 启用后,此策略会阻止与公共Windows 更新服务联系,并且不会与Windows 更新建立连接,并可能导致连接Windows 更新 for Business (WUfB) ,并且传递优化停止工作。 |
| 扫描源策略 | Computer Configuration\Administrative Templates\Windows Components\Windows Update\Manage updates offered from Windows Server Update Service |
可以使用 Windows 更新 扫描源策略选择要从 Windows Server Update Services (WSUS) 或 Windows 更新 for Business (WUfB) 服务获取的更新类型。 应查看任何面向设备的扫描源策略设置,以确保:
|
注册表设置
在以下注册表项中创建或编辑值的任何策略、脚本或设置都可能会干扰通过自动修补传递的 Windows 和 Office 更新设置。 请务必了解这些设置如何相互交互,以及如何与 Windows 和 Office 更新服务交互,这是自动修补规划的一部分。
| 密钥 | 说明 |
|---|---|
HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\PolicyState仅 (Intune MDM 云托管) HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate(如果部署了 GPO/WSUS/Configuration Manager) |
此密钥包含Windows 更新的常规设置,例如更新源、服务分支以及功能和质量更新的延迟期。 |
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU(如果部署了 GPO/WSUS/Configuration Manager) |
此键包含自动汇报的设置,例如计划、用户界面和检测频率。 |
HKLM\SOFTWARE\Microsoft\PolicyManager\default\Update(GPO/WSUS/Configuration Manager/Intune MDM 托管) |
此密钥包含由移动设备管理 (MDM) 或组策略管理的更新策略的设置,例如暂停更新、排除驱动程序或配置传递优化。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration(GPO/Configuration Manager/Intune MDM 托管) |
此密钥包含更新通道的注册表项。 这是一个动态密钥,根据配置的设置) 和 CDNBaseUrl (在设备上安装) Microsoft 365 时设置 (。 查看 UpdateChannel 值。 该值指示 Office 的更新频率。有关详细信息,请参阅使用Configuration Manager管理Microsoft 365 应用版以查看值及其设置的内容。 Windows 自动修补当前支持每月企业频道。 如果选择加入 Office 更新,则应将其设置为每月企业频道。 |
注意
有关组策略和移动设备管理 (MDM) Windows 更新设置的详细信息,请参阅管理其他Windows 更新设置。
配置管理器
Windows 和Microsoft 365 企业应用版更新
部署Configuration Manager时,如果配置了软件更新策略,软件更新策略可能会与适用于企业的 Windows 更新 和 Office 更新策略冲突。
Configuration Manager可能需要自定义设置来禁用软件更新,并协助排查冲突的旧版本地配置,以确保自动修补提供 Windows 和 Office 更新。 如果不从Configuration Manager管理第三方更新,则可以安全地实现此更改。
若要确保软件更新策略不会与 Windows 更新 for Business (WUfB) 和 Office 更新策略冲突,请在具有以下Configuration Manager中创建软件更新策略:
- Windows 和 Office 更新配置已禁用
- 包括注册到自动修补的设备,以删除任何现有配置 () 。
如果此策略保持活动状态,请确认自动修补设备未包含在 Configuration Manager 的实时软件更新策略中。
在自动修补中注册的所有设备都使用服务中的 Windows 和 Office 更新策略,并且可以删除通过Configuration Manager软件更新策略应用的任何配置。
例如,Configuration Manager软件更新策略设置将自动修补注册的设备排除在接收 Windows 和 Office 汇报的冲突配置中:
| 设备设置 | 推荐配置 |
|---|---|
| 启用软件更新 | 否 |
| 启用Office 365客户端代理的管理 | 否 |
注意
如果未使用策略,则无需创建Configuration Manager软件更新策略。
现有移动设备管理 (MDM) 策略
| 策略 | 描述 |
|---|---|
| MDM 赢得 GP | 作为租户注册过程的一部分,Autopatch 将部署一个设备配置文件,该配置文件适用于所有已注册的设备,以设置移动设备管理 (MDM) ,以使用“MDMWinsOverGP”CSP 赢得组策略 (GP) 。 应用后,任何已设置且具有等效 GP 策略的 MDM 策略都会导致 GP 服务阻止策略设置。 将值设置为 0 (零) 或删除策略会删除 GP 策略块并还原保存的 GP 策略。 此设置并不适用于所有方案。 此设置不适用于:
有关通过此策略应用的预期行为的详细信息和指导,请参阅 ControlPolicyConflict 策略 CSP |
| 适用于企业的 Windows 更新 (WUfB) 策略 | 如果已有适用于Windows 10及更高版本或 Windows 功能更新 DSS 策略的部署圈,请确保分配不面向 Windows 自动修补设备。 这是为了避免创建策略冲突和意外的更新行为,这可能会影响更新合规性和最终用户体验。 |
| 更新策略 CSP | 如果 更新策略 CSP 中未由 Windows 自动修补部署和管理的任何策略部署到设备,则可能会发生策略冲突和意外的更新行为,并可能影响更新合规性和最终用户体验。 |
Microsoft 365 企业应用版的服务配置文件
可以使用自动化直接从 Office 内容分发网络 (CDN) 服务配置文件向Microsoft 365 企业应用版提供每月更新。 服务配置文件优先于其他策略,例如Microsoft Intune策略或 Office 部署工具。 无论环境中是否有现有管理工具,服务配置文件都会影响满足 设备资格要求 的所有设备。
你可以考虑将服务配置文件重定向到非 Windows 自动修补设备,或者如果你打算继续使用它们,则可以阻止为注册 Windows 自动修补的设备Microsoft 365 应用更新提供的 Windows 自动修补。
业务案例
规划的一部分可能需要阐明从现有更新解决方案迁移到 Windows Autopatch 的业务优势 () 。 Windows 自动修补提供了多个资源来帮助构建业务案例。
- Windows 自动修补如何为你工作
- 什么是 Windows AutoPilot?
- Forrester - Windows 自动修补的预计总经济影响™:Windows 自动修补实现的成本节省和业务优势
- Windows 自动修补技能小吃
利益干系人通信
更改管理依赖于有关即将进行的更改的清晰且有用的沟通。 顺利部署的最佳方法是确保最终用户和利益干系人了解所有更改和中断。 推出通信计划应包括所有相关信息、通知用户的方式以及通信时间。
- 识别受自动修补部署影响的组
- 确定受影响组中的关键利益干系人
- 确定所需的通信类型
- 根据建议的部署步骤开发消息传送
- 根据建议的部署步骤创建利益干系人和通信计划计划
- 起草和审查通信,并考虑交付渠道,例如:
- 社交媒体文章
- 内部消息传送应用 (例如,Microsoft Teams)
- 内部团队网站
- 电子邮件
- 公司博客
- 预录制的点播视频
- 虚拟会议 ()
- 当面会议
- 团队研讨会
- 部署利益干系人通信计划
与利益干系人一起查看目标和商业案例
与关键利益干系人一起查看原始目标和业务案例,确保已实现预期价值。
需要其他指导?
如果需要有关 Windows 自动修补部署旅程的帮助,可以使用以下支持选项:
- Microsoft帐户团队
- Microsoft FastTrack
- Windows 自动修补服务工程团队
首先联系Microsoft帐户团队,他们可以与你合作,建立你可能需要的任何指导或支持。 如果你没有Microsoft客户团队联系人或想要浏览其他路线,Microsoft FastTrack为具有 150 个或更多合格订阅许可证的客户提供Microsoft 365 部署指南,无需额外付费。 最后,还可以向 Windows 自动修补服务工程团队记录支持请求。
Windows 商业顾问 (WCA)
开始部署后,请考虑在 Microsoft 管理客户连接计划 (MM CCP ) 中加入 Windows 商业顾问 (WCA ) 社区,以便:
- 直接与 Windows 商业工程团队和其他 Windows 商业客户Engage
- 获取对:
- 独占虚拟会议
- 焦点组
- 调查
- Teams 讨论
- 预览