在 Microsoft Intune 中加速 Windows 品質更新
透過 Windows 10 和更新版本原則的品質更新,您可以在使用 Microsoft Intune 管理的裝置上加速安裝最新的 Windows 10/11 安全性更新。 您不需要暫停或編輯現有的每月更新原則,即可完成快速更新的部署。 例如,當您的一般更新程式有一段時間不會部署更新時,您可能會加速特定更新以降低安全性威脅。
並非所有更新都可以加速。 目前,只有 Windows 10/11 安全性更新可以使用品質更新原則來部署。 若要管理一般每月品質更新,請針對 Windows 10 和更新版本的原則使用更新通道。
加速更新的運作方式
透過加速更新,您可以加速安裝品質更新,例如最新的 修補程式星期二 版本,或零時差的頻外安全性更新。
加速更新原則會暫時覆寫延遲和其他設定,以儘快安裝更新。 此程式可讓裝置開始下載和安裝加速更新,而不需要等候裝置簽入更新。
裝置啟動更新所需的實際時間取決於裝置因特網連線能力、掃描時間、裝置的通道是否正常運作,以及其他因素,例如雲端處理時間。
針對每個加速更新原則,您會根據發行日期選取要部署的單一更新。 藉由使用發行日期,您不需要建立個別的原則,即可將該更新的不同實例部署到具有不同 Windows 版本的裝置,例如 Windows 10 1809 版、1909 版等等。
Windows Update 會評估每個裝置的組建和架構,然後傳遞套用的更新版本。
只有需要更新的裝置才會收到加速更新:
- Windows Update 不會嘗試針對已經有等於或大於更新版本之修訂的裝置加速更新。
- 對於組建版本低於更新的裝置,Windows Update 確認裝置在安裝之前仍然需要更新。
重要事項
在某些情況下,Windows Update 可以安裝比您在加速更新原則中指定更新更新的更新。 如需此案例的詳細資訊,請參閱本文稍後 的關於安裝最新適用的更新。
加速更新原則會忽略並覆寫您所部署更新版本的任何品質 更新延遲期間 。 您可以使用 Intune Windows 更新通道和品質更新延遲期間的設定,來設定品質更新延遲。
當需要重新啟動才能完成更新安裝時,原則有助於管理重新啟動。 在原則中,您可以設定使用者必須在原則強制自動重新啟動之前重新啟動裝置的期間。 使用者也可以選擇排程重新啟動,或讓裝置嘗試尋找裝置使用 時間以外的最佳時間。 到達重新啟動期限之前,裝置會顯示通知,以警示裝置用戶有關期限的相關信息,並包含排程重新啟動的選項。
如果裝置未在期限之前重新啟動,重新啟動可能會在工作日的中間發生。 如需重新啟動行為的詳細資訊,請參閱 強制執行更新的合規性期限。
不建議針對一般每月品質更新服務進行加速更新。 相反地,請考慮針對 Windows 10 和更新版本原則使用更新通道的期限設定。 如需詳細資訊, 請參閱在Windows 更新設定中的用戶體驗設定下使用期限設定。
必要條件
以下是使用 Intune 安裝加速品質更新的資格需求:
授權:
除了 Intune 的授權之外,您的組織還必須擁有下列其中一個訂用帳戶,其中包含商務用 Windows Update 部署服務的授權:
- Windows 10/11 企業版 E3 或 E5 (隨附於 Microsoft 365 F3、E3 或 E5 中)
- Windows 10/11 教育版 A3 或 A5 (隨附於 Microsoft 365 A3 或 A5 中)
- Windows 虛擬桌面存取 E3 或 E5
- Microsoft 365 商務進階版
從 2022 年 11 月開始,將會檢查並強制執行商務 Windows Update 部署服務 (WUfB ds) 授權。
如果您在為需要 WUfB ds 的功能建立新原則時遭到封鎖,而且您透過 Enterprise 合約 (EA) 取得使用 WUfB 的授權,請連絡您的授權來源,例如您的Microsoft帳戶小組或向您銷售授權的合作夥伴。 帳戶小組或合作夥伴可以確認您的租用戶授權符合 WUfB ds 授權需求。 請參閱 使用現有的EA啟用訂用帳戶啟用。
支援的 Windows 10/11 版本:
- 在 x86 或 x64 架構上仍支援維護的 Windows 10/11 版本
僅支援正式運作的更新組建。 加速更新不支援預覽組建,包括 Beta 和開發人員通道。
支援的 Windows 10/11 版本:
- Professional
- 企業
- 教育
- 專業教育版
- 工作站專業版。
裝置必須:
在 Intune MDM 中註冊。
Microsoft Entra 加入,或 Microsoft Entra 混合式聯結。 不支援加入工作場所。
可存取端點。 若要取得此處所列相關聯服務所需的詳細端點清單,請參閱 網路端點。
- Windows Update
- 商務用 Windows Update 部署服務
- Windows 推播通知服務: (建議,但並非必要。若沒有此存取權,裝置在下次每日檢查更新之前,可能不會加速更新。)
設定為直接從 Windows Update 服務取得品質 匯報。
安裝更新健全狀況工具,這些工具會與 KB 4023057 - 更新 Windows 10 更新服務元件一起安裝。 若要確認裝置上是否有更新健全狀況工具:
- 尋找 C:\Program Files\Microsoft Update Health Tools 資料夾,或檢閱新增Microsoft更新健全狀況工具的移除程式。
- 作為 管理員,請執行下列 PowerShell 腳本:
$Session = New-Object -ComObject Microsoft.Update.Session $Searcher = $Session.CreateUpdateSearcher() $historyCount = $Searcher.GetTotalHistoryCount() $list = $Searcher.QueryHistory(0, $historyCount) | Select-Object -Property "Title" foreach ($update in $list) { if ($update.Title.Contains("4023057")) { return 1 } } return 0
如果腳本傳回 1,裝置就會有 UHS 用戶端。 如果腳本傳回 0,則裝置沒有 UHS 用戶端。
裝置設定:
若要避免可能會封鎖安裝加速更新的衝突或設定,請設定裝置,如下所示。 您可以使用 Intune 更新通道 Windows 10 和更新版本的原則來管理這些設定。
更新通道設定 | 建議值 |
---|---|
啟用發行前版本組建 | 此設定應設定為 [未設定]。 加速更新不支援預覽組建,包括 Beta 和開發人員通道。 |
自動更新行為 |
重設為預設值 其他值可能會導致用戶體驗不佳,並使加速更新的程式變慢。 |
變更通知更新層級 | 使用關閉所有通知以外的任何值 ,包括重新啟動警告 |
如需這些設定的詳細資訊,請參閱 原則 CSP – 更新。
群組原則 設定會覆寫行動裝置管理原則,而下列 群組原則 設定清單可能會干擾加速原則。 在由 群組原則 管理這些設定的裝置上,將其還原為其裝置預設值 (未設定) :
- CorpWuURL - 指定內部網路Microsoft更新服務位置。
- AutoUpdateCfg - 設定自動 匯報。
- DeferFeatureUpdates - 選取接收預覽組建和功能 匯報 的時機。
- 停用雙重掃描 - 不允許更新延遲原則導致掃描 Windows Update。
監視和報告:
您的 Intune 租用戶必須啟用數據收集,才能監視結果和更新狀態以進行加速更新。
已加入工作場所裝置的限制
Intune Windows 10 及更新版本的品質更新原則需要使用商務用 Windows Update (WUfB) 和商務用 Windows Update 部署服務 (WUfB ds) 。 WUfB 支援 WPJ 裝置時,WUfB ds 提供 WPJ 裝置不支援的額外功能。
如需 Intune Windows Update 原則之 WPJ 限制的詳細資訊,請參閱管理 Windows 10 和 Intune 中 Windows 11 軟體更新中的加入工作場所裝置的原則限制。
建立並指派加速品質更新
選取 [裝置>管理更新>Windows 10 及更新版本的 [>品質更新] 索引標籤 >[建立配置檔]。
在 [ 設定] 中,輸入下列屬性來識別此設定檔:
名稱:輸入設定檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。
描述:輸入設定檔的描述。 此設定是選擇性的,但建議使用。
在 [ 設定] 中, 如果裝置 OS 版本小於 ,請設定 [加速安裝品質更新]。 從下拉式清單中選取您想要加速的更新。 此清單只包含您可以加速的更新。
提示
選用的 Windows 品質更新無法加速,也無法選取。
選取更新時:
匯報 會依其發行日期來識別,而且每個原則只能選取一個更新。
在名稱中包含字母 B 的 匯報 會識別在星期二修補程式星期二事件中發行的更新。 字母 B 會識別當月第二個星期二發行的更新。
您可以加速 Windows 10/11 的安全性更新,該更新會在星期二從修補程式發行超出範圍。 頻 外 修補程式版本不是字母 B,而是有不同的標識符。
當更新部署時,Windows Update 確保每個接收原則的裝置都會安裝適用於該裝置架構及其目前 Windows 版本的更新版本,例如 1809、2004 版等等。
非安全性加速 匯報:包含先前 B/ 安全性版本之後的品質修正。 系統管理員可以加速在裝置上安裝最新適用的品質更新,而不需要等待延遲期間。
匯報 沒有 SecurityUpdate 一詞表示它不是安全性更新。 匯報 在其名稱中包含字母 D,可識別自最新修補程式星期二安全性周后發行的更新。 您可能也會看到 2024.01 OOB 更新 (頻外 修補程式版本) 。 Windows 每月更新說明
非安全性更新只有在最新版本時才會顯示。 下拉式清單會更新以顯示最新的兩個安全性更新,包括其中一個是頻外更新。 如果最新的非安全性更新比最新的安全性更新還新,則非安全性更新也會包含在下拉式清單中。 因此,有時會顯示兩個更新,其他時候會顯示三個更新。
非安全性加速更新適用於 Windows 11 裝置。 如果 Windows 10 裝置指派給設定 D 發行版的加速原則,則不會加速這些裝置,並在下列報告中顯示警示。
- 報告>Windows 匯報>報表索引標籤>Windows 加速更新報告
- 設備>管理更新>Windows 10 和更新版本>的 [監視] 索引標籤>使用警示磚加速品質更新原則,然後按兩下標題。
在 [設定] 中,設定 強制重新啟動前的等候天數。 針對此設定,請選取安裝更新之後,裝置會自動重新啟動以完成更新安裝。 您可以從零到兩天進行選取。 如果裝置在期限之前手動重新啟動,就會取消自動重新啟動。 如果更新不需要重新啟動,則不會強制執行此設定。
在 [ 指派] 中,選取 [ 新增群組] ,然後選取要指派原則的裝置或使用者群組。
在 [ 檢閱 + 建立] 中,選取 [ 建立]。 建立原則之後,它會部署到指派的群組。
識別最新適用的更新
在某些情況下,當您的原則加速更新時,會產生比原則中指定的更新還要新的更新安裝。 當較新的更新包含並超過指定的更新,而且在裝置簽入以安裝加速更新原則中指定的更新之前,可以使用較新的更新時,就會發生此結果。 本文稍後會提供此 案例的詳細 範例。
安裝最新的品質更新可減少裝置和使用者的中斷,同時套用預期更新的優點。 這可避免安裝多個更新,每個更新都可能需要個別重新啟動。
符合下列條件時,會部署較新的更新:
裝置並非以封鎖安裝較新更新的延遲原則為目標。 在此情況下,最近可用的未延遲更新是可能安裝的更新。
在加速更新的程式中,裝置會執行新的掃描,以偵測較新的更新。 這可能是因為下列時機而發生:
- 當裝置重新啟動以完成安裝時
- 當裝置執行每日掃描時
- 當新的更新可供使用時
當掃描識別較新的更新時,Windows Update 嘗試停止安裝原始更新、取消重新啟動,然後開始下載並安裝較新的更新。
雖然加速更新原則會覆寫原則中所指定更新版本的更新延遲,但不會覆寫任何其他更新版本的已備妥延遲。
安裝加速更新的範例
下列事件序列提供兩個名為 Test-1 和 Test-2 的裝置如何根據指派給裝置之 Windows 10 和更新版本原則的品質更新來安裝更新的範例。
每個月,Intune 系統管理員都會在當月的第四個星期二部署最新的 Windows 10 品質更新。 這段期間會讓他們在星期二修補程式事件后兩周驗證其環境中的更新,然後再強制安裝更新。
在 2021 年 1 月 19 日,裝置 Test-1 和 Test-2 會從 1 月 12 日修補程式星期二版本安裝最新的品質更新。 第二天,這兩個裝置都會由每個休假的使用者關閉。
在 2 月 9 日,Intune 系統管理員會建立原則來加速安裝修補程式星期二 02/09/2021 – 2021.02 B Windows 10 的安全性 匯報,以協助保護公司裝置免受更新解決的重大威脅。 加速原則會指派給包含 Test-1 和 Test-2 的一組裝置。 該群組中所有作用中裝置都會接收並安裝加速更新原則。
在 3 月 9 日修補程式星期二事件中,新的品質更新會發行為 03/09/2021 – 2021.03 B 安全性 匯報,適用於 Windows 10。 沒有需要加速部署此更新的重大問題,但系統管理員確實發現可能的衝突。 為了提供檢閱可能問題的時間,系統管理員會使用 Windows 更新通道原則來建立七天的延遲原則。 在 3 月 14 日之前,所有受管理的裝置都無法安裝此更新。
現在,根據每次重新開啟的時機,考慮 下列Test-1 和 Test-2的結果:
Test-1 - 在 3 月 12 日, Test-1 已重新開啟電源、連線到網路,並接收加速的更新通知:
- Windows Update 判斷Test-1仍然需要根據原則加速更新安裝。
- 由於 3 月 9 日更新取代了 2 月更新,Windows Update 可以安裝 3 月 9 日更新。
- 3 月更新的作用中延遲將不會在 3 月 14 日之前過期。
結果:由於 3 月更新的延遲原則仍在作用中,且封鎖該更新的安裝, Device-1 會依照原則中的設定來安裝 2 月更新。
Test-2 - 在 3 月 20 日, Test-2 已重新開啟電源、連線到網路,並接收加速的更新通知:
- Windows Update 判斷Test-2仍然需要根據原則加速更新安裝。
- 由於 3 月 9 日更新取代了 2 月更新,Windows Update 可以安裝 3 月 9 日更新。
- 3 月更新不再有作用中的延遲。
結果:由於 3 月更新的延遲原則已過期, Test-2 會安裝較新的 3 月更新,略過 2 月的更新,並安裝比原則中指定的更新還晚的更新。
管理原則以加速品質更新
在系統管理中心,移至 [依平臺>管理裝置>][Windows>管理更新>Windows 10 及更新版本的> [品質更新] 索引標籤,然後選取您想要管理的原則。 原則會開啟至其 [ 概觀 ] 窗格。
在這裡窗格中,您可以:
選取 [刪除] 以從 Intune 刪除原則。 刪除原則會將它從 Intune 中移除,但如果已完成安裝,則不會導致更新卸載。 Windows Update 會嘗試取消任何進行中的安裝,但無法保證成功取消進行中的安裝。
選 取 [屬性 ] 以修改部署。 在 [ 屬性] 窗格上,選取 [ 編輯 ] 以開啟 [ 設定]、[ 範圍卷標] 或 [指 派],然後您可以在其中修改部署。
監視和報告
您的 Intune 租用戶必須啟用數據收集,才能監視結果和更新狀態以進行加速更新。
建立原則之後,您可以監視下列報告的結果、更新狀態和錯誤。
摘要報表
此報表顯示配置檔中所有裝置的目前狀態,並提供安裝更新、已完成安裝或發生錯誤之裝置數目的概觀。
選取 [報告>Windows 更新]。 在 [ 摘要] 索引 標籤上,您可以檢視 [Windows 加速品質更新] 資料 表。
若要深入瞭解詳細資訊,請選取 [ 報 表] 索引卷標,然後選取 [Windows 加速更新報告]。
按兩下 [ 選取加速更新設定檔] 連結。
從頁面右側顯示的設定檔清單中,選取設定檔以查看結果。
選取 [ 產生報表] 按鈕。
裝置報告
此報告可協助您尋找具有警示或錯誤的裝置,並可協助您針對更新問題進行疑難解答。
選 取 [裝置>監視器]。
在監視報告清單中,捲動至 [軟體更新] 區段,然後選取 [Windows 加速更新失敗]。
從頁面右側顯示的設定檔清單中,選取設定檔以查看結果。
更新狀態
更新狀態 | 更新 SubState | 定義 |
---|---|---|
擱置 | 驗證 | 裝置已新增至服務中的原則,且已開始驗證裝置是否可以加速。 |
擱置 | 已排程 | 裝置已通過驗證,將會加速。 |
供應項目 | OfferReady | 加速指示已傳送至裝置。 |
安裝 | OfferReceived | 針對 Windows Update 掃描裝置,且更新適用,但尚未開始下載。 |
安裝 | DownloadStart | 裝置已開始下載更新。 |
安裝 | DownloadComplete | 裝置已下載更新。 |
安裝 | InstallStart | 裝置已開始安裝更新。 |
安裝 | InstallComplete | 裝置已完成安裝更新。 除非更新發生更新錯誤,否則裝置應該會快速移至 RestartRequired 或 UpdateInstalled。 |
安裝 | RestartRequired | 安裝已完成,需要重新啟動。 |
安裝 | RestartInitiated | 裝置已開始重新啟動。 |
安裝 | RestartComplete | 裝置已完成重新啟動。 |
已安裝 | UpdateInstalled | 更新已成功完成。 |