裝置登錄概觀
重要
本文或章節中的資訊僅適用於您在 Microsoft 365 F3、E3 或 E5) 授權中 (Windows 企業版 E3+ 或 F3 授權,並已啟用 Windows 自動修補功能時。
如果您在 Microsoft 365 F3、E3 或 E5) 授權中包含 Windows 10/11 企業版 E3 或 E5 (,則功能啟用是選擇性的,而且不需額外費用。
如需詳細資訊,請參閱 授權和權利。 如果您選擇不進行功能啟用,您仍然可以針對 商務進階版和 A3+ 授權中包含的功能使用 Windows 自動修補服務。
Windows Autopatch 必須將 現有的裝置註冊 到其服務,以代表您管理更新部署。
裝置註冊的必要條件
裝置註冊所需的內建角色
角色會定義授與指派給該角色之用戶的許可權集合。 您可以使用 Intune 服務管理員角色來註冊裝置。 如需詳細資訊,請參閱必要 Intune許可權。
軟體必要條件
若要符合 Windows 自動修補管理的資格,裝置必須符合最低一組必要的軟體型必要條件。 如需詳細資訊,請參閱 Windows 自動修補必要條件。
重要
Windows Autopatch 支援註冊 Windows 10 和 Windows 11 Long-Term 服務通道 (LTSC) 目前由 Windows 10 LTSC 或 Windows 11 LTSC 服務的裝置。 此服務僅支持針對目前由 LTSC 服務的裝置管理 Windows 品質更新 工作負載。 Windows Update 商務用服務和 Windows 自動修補不會針對屬於 LTSC 的裝置提供 Windows 功能更新。 您必須使用 LTSC 媒體或 Configuration Manager 操作系統部署功能,為屬於 LTSC 的 Windows 裝置執行就地升級。
Windows 自動修補裝置註冊程式對使用者而言是透明的,因為它不需要重設裝置。
整體裝置註冊程式如下所示:
- IT 系統管理員在向 Windows Autopatch 註冊裝置 之前,先檢閱 Windows 自動修補裝置註冊必要條件。
- 當您建立自動修補群組、編輯自動修補群組,或匯入商務用 Windows Update (WUfB) 原則時,IT 系統管理員會識別並新增裝置,或巢狀化其他 Microsoft Entra 裝置群組。
- Windows Autopatch then:
- 在註冊前執行裝置整備 (必要條件檢查) 。
- 計算部署通道分佈。
- 根據先前的計算,將裝置指派給其中一個部署通道。
- 將裝置指派給管理所需的其他 Microsoft Entra 群組。
- 將裝置標示為主動進行管理,以便套用其更新部署原則。
- IT 系統管理員接著會監視裝置註冊趨勢和更新部署報告。
如需裝置註冊工作流程的詳細資訊,請參閱 詳細的裝置註冊工作流程圖 一節,以取得 Windows 自動修補裝置註冊程式背後的技術詳細數據。
Windows 自動修補部署更新步調
注意
請勿 (指派和動態) 修改 Microsoft Entra 群組成員資格類型。 否則,Windows Autopatch 服務將無法從這些群組讀取裝置群組成員資格,並導致自動修補群組功能和其他服務相關作業無法正常運作。
此外,不支援將 Configuration Manager 集合直接同步至自動修補群組所建立的任何 Microsoft Entra 群組。
當您 開始使用自動修補時,Windows Autopatch 會建立下列部署通道集來組織裝置。
| 部署更新步調 | 描述 |
|---|---|
| 新式工作場所 Devices-Windows Autopatch-Test | 部署通道,用於測試以服務為基礎的設定、在生產環境推出前的應用程式部署 |
| 新式工作場所 Devices-Windows Autopatch-First | 適用於早期採用者的第一個生產環境部署通道。 |
| 新式工作場所 Devices-Windows Autopatch-Fast | 快速部署更新步調以快速推出和採用 |
| 新式工作場所 Devices-Windows Autopatch-Broad | 組織廣泛推出的最後部署通道 |
注意
不支援將裝置直接新增或匯入這些群組中的任何一個。 這樣做可能會影響 Windows 自動修補服務。 若要在這些群組之間行動裝置,請參閱 在部署更新步調之間行動裝置。
重要
Windows 自動修補裝置註冊不會將裝置指派給服務型 (Modern Workplace Devices-Windows Autopatch-Test) 或自動修補群組的測試部署更新步調。 這是為了防止企業不可或缺的裝置受到影響,或由主管使用的裝置接收早期軟體更新部署。
在裝置註冊程式期間,Windows 自動修補會將每個裝置指派給一個部署通道,讓服務能夠正確表示整個組織的裝置多樣性。 部署通道發佈旨在盡可能將軟體更新部署發行至最少的裝置,以取得對指定更新部署進行質量評估所需的訊號。
裝置記錄和部署通道指派
當您註冊裝置時,Windows 自動修補:
- 在服務中建立裝置的記錄。
- 將裝置指派給 部署通道集 ,以及軟體更新管理所需的其他群組。
預設部署通道計算邏輯
Windows 自動修補部署通道計算會在裝置註冊程式期間進行:
- 如果 Windows Autopatch 租使用者的現有受控裝置大小 ≤ 200,則部署通道指派為第一 個 (5%) 、快速 (15%) ,其餘裝置會移至 Broad ring (80%) 。
- 如果 Windows Autopatch 租使用者的現有受控裝置大小為 >200,則部署通道指派為第一 個 (1%) 、快速 (9%) ,其餘裝置會移至 Broad ring (90%) 。
注意
您可以 編輯自動修補群組來自定義部署通道計算邏輯。
| 部署更新步調 | 默認裝置平衡百分比 | 描述 |
|---|---|---|
| 測試 | 零 | Windows 自動修補不會自動將裝置新增至此部署通道。 您必須遵循必要的程式,手動將裝置新增至測試通道。 如需這些程式的詳細資訊,請 參閱在部署通道之間移動裝置。 根據您的環境大小,此通道中建議的裝置數目如下:
|
| 第一 | 1% | 第一個通道是第一個接收變更的生產使用者群組。 此群組是第一組將數據傳送至 Windows Autopatch 的裝置,並用來產生所有使用者的健康情況訊號。 例如,Windows 自動修補可能會產生統計上顯著的訊號,指出所有使用者在特定版本中都有重大錯誤的趨勢,但無法確信其在您的組織中會這麼做。 由於 Windows 自動修補尚未有足夠的數據來通知發行決策,因此,如果測試通道中有在早期測試期間未涵蓋的案例,此部署通道中的裝置可能會發生中斷。 |
| 快速 | 9% | 快速通道是接收變更的第二個生產使用者群組。 來自第一個通道的訊號會被視為 Broad 通道發行程式的一部分。 此部署通道的目標是要跨越在租用戶層級產生統計顯著分析所需的 500裝置閾值。 這些額外的裝置可讓 Windows Autopatch 考慮發行對其餘裝置的影響,並評估是否需要租用戶的目標動作。 |
| 廣泛 | 80% 或 90% | Broad ring 是接收軟體更新部署的最後一個使用者群組。 因為它包含大部分已向 Windows 自動修補註冊的裝置,所以在軟體更新部署中偏好穩定性而非速度。 |
| 無 | 零 | 「最後一個通道」是要用於特定裝置或屬於組織中VIP/主管的裝置。 Windows 自動修補不會自動將裝置新增至此部署通道。 |
自動化部署通道補救功能
Windows Autopatch 會監視其部署更新步調中的裝置成員資格,但新式 工作場所 Devices-Windows 自動修補測試、 Windows 自動修補 - 測試 和 Windows 自動修補 - 最後 一個更新步調除除外,以提供自動化部署通道補救功能,以降低其受控裝置不屬於其其中一個部署更新步調的風險。 這些自動化功能有助於降低裝置可能處於易受攻擊狀態的風險,並在裝置因下列任一原因而未收到更新部署時暴露於安全性威脅的風險:
- IT 系統管理員在 Windows 自動修補租用戶註冊程式所建立的物件上執行的變更,或
- 發生問題,導致裝置無法在裝置註冊程序期間取得指派的部署通道。
有兩個自動化部署通道補救功能:
| 函式 | 描述 |
|---|---|
| 檢查裝置部署通道成員資格 | Windows 自動修補每小時都會檢查是否有任何受管理的裝置不屬於其中一個部署更新步調。 如果裝置不是部署通道的一部分,Windows Autopatch 會隨機將裝置指派給其中一個部署更新步調 (,但新式 工作場所 Devices-Windows 自動修補測試、 Windows 自動修補 - 測試和 Windows 自動修補 - 最後 一個更新步調) 除外。 |
| 多部署通道裝置修復程式 | 除了新式工作場所 Devices-Windows 自動修補測試、Windows 自動修補 - 測試和 Windows 自動修補 - 最後一個更新步調 ) 以外,Windows 自動修補每小時都會檢查是否有任何受控裝置屬於多個部署更新步調 (。 如果裝置是多個部署通道的一部分,Windows 自動修補會隨機移除裝置,直到裝置只是一個部署通道的一部分為止。 |
重要
Windows 自動修補自動化部署通道函式不會在下列部署通道中指派或移除裝置: