共用方式為

註冊您的裝置

  • 發行項

重要

本文或章節中的資訊僅適用於您在 Microsoft 365 F3、E3 或 E5) 授權中 (Windows 企業版 E3+ 或 F3 授權,並已啟用 Windows 自動修補功能時。

如果您在 Microsoft 365 F3、E3 或 E5) 授權中包含 Windows 10/11 企業版 E3 或 E5 (,則功能啟用是選擇性的,而且不需額外費用。

如需詳細資訊,請參閱 授權和權利。 如果您選擇不進行功能啟用,您仍然可以針對 商務進階版和 A3+ 授權中包含的功能使用 Windows 自動修補服務。

您必須先向服務註冊裝置,Microsoft才能在 Windows 自動修補中管理您的裝置。 請確定您的裝置符合 裝置註冊必要條件

詳細的裝置註冊工作流程圖表

請參閱下列詳細的工作流程圖表。 此圖表涵蓋 Windows 自動修補裝置註冊程式:

裝置註冊工作流程的圖表。

步驟 描述
步驟 1:識別裝置 IT 系統管理員會識別要由 Windows 自動修補服務管理的裝置。
步驟 2:新增裝置 當您建立自動修補群組或編輯自動修補群組或匯入 (WUfB) 原則時,IT 系統管理員會識別裝置,或將其他 Microsoft Entra 裝置群組巢狀化至任何 Microsoft Entra 群組。
步驟 3:探索裝置 Windows Autopatch Discover Devices 函式會探索先前由 IT 系統管理員從步驟 #2 中搭配自動修補群組使用的 Microsoft Entra 群組,每小時 () 新增的裝置。 Windows 自動修補會使用 Microsoft Entra 裝置識別符,在將裝置註冊到其服務時,查詢 Microsoft Intune 和 Microsoft Entra ID 中的裝置屬性。
  1. 從 Microsoft Entra 群組探索裝置之後,相同的函式會收集額外的裝置屬性,並在探索作業期間將它儲存到其記憶體中。 在此步驟中,會從 Microsoft Entra ID 收集下列裝置屬性:
    1. AzureADDeviceID
    2. OperatingSystem
    3. DisplayName (裝置名稱)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. 在此相同的步驟中,Windows Autopatch discover devices 函式會呼叫另一個函式,即裝置必要條件檢查函式。 裝置必要條件檢查函式會評估以軟體為基礎的裝置層級必要條件,以在註冊之前符合 Windows 自動修補裝置整備需求。
步驟 4:檢查必要條件 Windows Autopatch 必要條件函式會發出 Intune 圖形 API 呼叫,以循序驗證註冊程式所需的裝置整備屬性。 如需詳細資訊,請參閱 詳細的必要條件檢查工作流程圖一 節。 服務會檢查下列裝置整備屬性和/或必要條件:
  1. 如果裝置 Intune管理。
    1. Windows Autopatch 會查看 Microsoft Entra 裝置識別碼是否有相關聯的 Intune 裝置標識符
      1. 如果,表示此裝置已註冊到 Intune。
      2. 如果不是,表示裝置未註冊到 Intune,因此無法由 Windows 自動修補服務管理。
    2. 如果裝置不是由 Intune 管理,Windows 自動修補服務就無法收集裝置屬性,例如作業系統版本、Intune 註冊日期、裝置名稱和其他屬性。 發生這種情況時,Windows 自動修補服務會使用在步驟 3a 中收集並儲存到其記憶體的 Microsoft Entra 裝置屬性。
      1. 一旦裝置屬性從步驟 3a 的 Microsoft Entra ID 收集,裝置就會標示為必要條件失敗狀態,且裝置的自動修補整備狀態會在 [裝置] 報告中顯示為 [未註冊]。 IT 系統管理員可以檢閱裝置未註冊到 Windows 自動修補的原因。 IT 系統管理員會補救這些裝置。 在此情況下,IT 系統管理員應該檢查裝置未註冊到 Intune 的原因。
      2. 常見的原因是當 Microsoft Entra 裝置標識碼過時時,它不再具有與其相關聯的 Intune 裝置標識符。 若要補救,請清除租使用者中任何過時 Microsoft Entra 裝置記錄
    3. 如果裝置是由 Intune 所管理,Windows 自動修補必要條件檢查函式會繼續進行下一個必要條件檢查,以評估裝置是否在過去 28 天記憶體回 Intune。
  2. 如果裝置是否為 Windows 裝置。
    1. Windows 自動修補會查看裝置是否為 Windows 和公司擁有的裝置。
      1. 如果是,表示此裝置可以向服務註冊,因為它是 Windows 公司擁有的裝置。
      2. 如果不是,表示裝置是非 Windows 裝置,或是 Windows 裝置,但卻是個人裝置。
  3. Windows 自動修補會檢查 Windows SKU 系列。 SKU 必須是:
    1. 企業
    2. 專業版
    3. Pro 工作站
  4. 如果裝置符合作業系統需求,Windows 自動修補會檢查裝置是否為:
    1. 僅由 Intune 管理。
      1. 如果裝置僅由 Intune 管理,則裝置會標示為已通過所有必要條件。
    2. 由 Configuration Manager和 Intune 共同管理。
      1. 如果裝置是由 Configuration Manager 和 Intune 共同管理,則會評估額外的必要條件檢查,以判斷裝置是否滿足 Windows 自動修補以共同管理狀態管理裝置所需的共同管理工作負載。 在此步驟中評估的必要共同管理工作負載如下:
        1. Windows 匯報 原則
        2. 裝置設定
        3. Office 按兩下以執行
      2. 如果 Windows Autopatch 判斷其中一個工作負載未在裝置上啟用,服務會將裝置標示為必要條件失敗,且裝置的自動修補整備狀態會在 [裝置] 報告中顯示為 [未註冊]。
步驟 5:計算部署通道指派 一旦裝置通過 步驟 #4 中所述的所有必要條件,Windows Autopatch 就會開始其部署通道指派計算。 下列邏輯可用來計算 Windows 自動修補部署通道指派:
  1. 如果 Windows Autopatch 租使用者的現有受控裝置大小 ≤ 200,則部署通道指派為 第一 (5%) 快速 (15%) ,其餘裝置會移至 Broad ring (80%)
  2. 如果 Windows Autopatch 租使用者的現有受控裝置大小為 >200,則部署通道指派為 [第一次 (1%) ]、 [快速 (9%) ],其餘裝置會移至 Broad ring (90%)
步驟 6:將裝置指派給部署通道群組 完成部署通道計算之後,Windows 自動修補會將裝置指派給兩個部署通道集,第一個部署通道集是由下列 Microsoft Entra 群組所代表的服務型部署通道集:
  1. 新式工作場所 Devices-Windows 自動修補優先
    1. Windows 自動修補裝置註冊程式不會自動將裝置指派給新式工作場所 Devices-Windows 自動修補測試) (Microsoft Entra 群組所代表的測試通道。 請務必將裝置指派給測試通道,以在更新部署到更廣泛的裝置擴展之前驗證更新部署。
  2. Modern Workplace Devices-Windows Autopatch-Fast
  3. Modern Workplace Devices-Windows Autopatch-Broad
步驟 7:將裝置指派給 Microsoft Entra 群組 當特定條件適用時,Windows 自動修補也會將裝置指派給下列 Microsoft Entra 群組:
  1. 新式工作場所裝置 - 全部
    1. 此群組具有 Windows 自動修補所管理的所有裝置。
  2. 新式工作場所裝置 - 虛擬機
    1. 此群組具有 Windows 自動修補所管理的所有 虛擬設備
步驟 8:裝置後註冊 在裝置后註冊中,會發生三個動作:
  1. Windows 自動修補會將裝置新增至其受控資料庫。
  2. 將裝置標示為 [就緒]。 裝置的自動修補整備狀態會在 [裝置] 報告中顯示為 [已註冊]。
  3. 已成功註冊裝置的 Microsoft Entra 裝置標識符會新增至Microsoft雲端受控桌面延伸模組的允許清單中。 Windows Autopatch 會在裝置註冊后安裝Microsoft雲端受控桌面延伸模組代理程式,讓代理程式可以與Microsoft雲端受控桌面延伸模塊服務通訊。
    1. 代理程式是在 Windows 自動修補租使用者註冊程式期間建立的新式 工作場所 - 自動修補客戶端設定 PowerShell 腳本。 腳本會在裝置成功註冊到 Windows 自動修補服務後執行。
步驟 9:檢閱裝置註冊狀態 IT 系統管理員會檢閱裝置的自動修補整備狀態。 裝置在 [裝置] 報表中是 [已註冊] 或 [未註冊]
  1. 如果裝置已成功註冊,裝置的自動修補整備狀態會在 [裝置] 報告中顯示為 [已註冊]
  2. 如果沒有,裝置的自動修補整備狀態會在 [裝置] 報告中顯示為 [未註冊]。
步驟 10:結束註冊工作流程 這是 Windows 自動修補裝置註冊工作流程的結尾。

詳細的必要條件檢查工作流程圖表

如先前詳細裝置註冊工作流程圖中的步驟 4 所述,下圖是 Windows 自動修補裝置註冊程式必要條件建構的可視化表示法。 必要條件檢查會循序執行。

必要條件檢查工作流程的圖表。

裝置報告

Windows Autopatch 具有可讓您查看的裝置報告:

  • 服務的每個已註冊裝置整備程度
  • 更新狀態
  • 以每個裝置為目標的原則

檢視裝置報告

若要檢視裝置報告:

  1. Intune 系統管理中心,選取左窗格中的 [裝置]。
  2. 在 [管理更新] 下,選取 [Windows 更新]
  3. 選取 [ 監視] 索引 標籤,然後選取 [自動修補裝置]

向服務註冊裝置之後,就會顯示整備狀態。 每個整備狀態可協助您判斷是否要採取任何動作,或裝置是否已準備好進行服務。

整備狀態

裝置報告中的自動修補整備狀態 子狀態描述
註冊
  • 就緒:裝置已成功通過所有必要條件檢查,並已成功向 Windows 自動修補註冊。 此外,就緒裝置已成功通過所有 裝置註冊後整備檢查 ,且沒有任何作用中警示以它們為目標。
  • 未就緒:這些裝置已成功向 Windows 自動修補註冊。 不過,這些裝置:
    • 無法通過一或多個 裝置註冊整備檢查
    • 尚未準備好由服務管理一或多個軟體更新工作負載。
    • 裝置在過去 28 天內未與 Microsoft Intune 通訊
    • 裝置與原則或自動修補群組成員資格發生衝突
未註冊
  • 自動修補群組衝突:裝置與自動修補群組成員資格發生衝突
  • 必要條件失敗:裝置無法通過一或多個 裝置註冊整備檢查
  • 排除:具有此狀態的裝置只會從 Windows 自動修補服務中移除。 Microsoft假設您在某些容量中自行管理這些裝置。

僅檢視排除的裝置

您可以在 [未註冊] 索引卷標中檢視排除的裝置,讓您更輕鬆地大量還原先前從 Windows 自動修補服務排除的裝置。

若只要檢視排除的裝置:

  1. Intune 系統管理中心,流覽至 [Windows 自動修補>裝置]
  2. 在 [ 未註冊] 索引 標籤中,從篩選清單中選取 [ 排除 ]。 讓所有其他篩選選項保持未選取。

在部署更新步調之間行動裝置

如果您想要在 Windows Autopatch 的部署通道指派之後將裝置移至不同的部署通道,您可以針對一或多個裝置重複下列步驟。

重要

您只能在相同自動修補群組內的部署通道之間行動裝置。 您無法跨不同的自動修補群組,在部署通道之間行動裝置。 如果您嘗試選取屬於一個自動修補群組的裝置,以及屬於不同自動修補群組的另一個裝置,您會在 Microsoft Intune 入口網站的右上角收到下列錯誤訊息:發生錯誤。請選取相同自動修補群組內的裝置

若要在部署通道之間行動裝置:

注意

當裝置的自動修補整備狀態顯示為 [已 註冊 ],且 [更新] 狀態為 [作用中] 時,您只能將裝置移至其他部署通道。

  1. Intune 系統管理中心,選取左窗格中的 [裝置]。
  2. 流覽至 Windows 更新>監視器>自動修補裝置
  3. 選取您要指派的一或多個裝置,然後選取 [ 指派通道]
  4. 使用下拉功能表來選取要將裝置移至其中的部署通道,然後選取 [ 儲存]。 所有選取的裝置都會指派給您指定的部署通道。 [1 部已排程指派的裝置] 通知隨即出現。
  5. 當指派完成時,數據行指派的 Ring 會變更為 管理員 (表示您) 變更,而 Ring 數據行會顯示新的部署通道指派。 數據行 指派的環 形只會顯示在飛入功能表中。

警告

不支援透過直接變更 Microsoft Entra 群組成員資格在部署更新步調之間行動裝置,而且可能會在 Windows 自動修補服務內造成非預期的設定衝突。 若要避免裝置的服務中斷,請使用先前所述的 指派通道 動作,在部署通道之間移動裝置。

將裝置註冊到自動修補群組

重要

本文或章節中的資訊僅適用於您在 Microsoft 365 F3、E3 或 E5) 授權中包含 Windows 企業版 E3+ 或 F3 授權,且已啟用 Windows 自動修補功能時 (。

如果您在 Microsoft 365 F3、E3 或 E5) 授權中包含 Windows 10/11 企業版 E3 或 E5 (,則功能啟用是選擇性的,而且不需額外費用。

如需詳細資訊,請參閱 授權和權利。 如果您選擇不進行功能啟用,您仍然可以針對 商務進階版和 A3+ 授權中包含的功能使用 Windows 自動修補服務。

自動修補群組是一種邏輯容器或單位,可將數個 Microsoft Entra 群組和軟體更新原則分組。 如需詳細資訊,請參閱 Windows 自動修補群組

當您建立自動修補群組編輯自動修補群組以新增或移除部署更新步調時,系統會掃描您在設定部署更新步調時使用的裝置型 Microsoft Entra 群組,以查看裝置是否需要向 Windows Autopatch 服務註冊。

如果裝置未註冊,自動修補群組會使用您現有的裝置型 Microsoft Entra 群組來啟動裝置註冊程式。

巢狀化其他 Microsoft Entra 群組時支援的案例

Windows Autopatch 也支援下列 Microsoft Entra 巢狀群組案例:

Microsoft Entra 從下列專案同步的群組:

Windows 365 企業版 工作負載上的 Windows 自動修補

Windows 365 企業版 可讓IT系統管理員選擇向Windows自動修補服務註冊裝置,作為 Windows 365 布建原則建立的一部分。 此選項可為系統管理員和使用者提供順暢的體驗,以確保您的雲端電腦一律處於最新狀態。 當 IT 系統管理員決定使用 Windows 自動修補來管理其 Windows 365 雲端電腦時,Windows 365 布建原則建立程式會呼叫 Windows Autopatch 裝置註冊 API,代表 IT 系統管理員註冊裝置。

若要從 Windows 365 布建原則向 Windows 自動修補註冊新的 Windows 365 雲端電腦 裝置:

  1. 移至 Intune 系統管理中心
  2. 在左窗格中,選取 [ 裝置]
  3. 流覽至 [布建 >Windows 365]。
  4. 選取 [布建原則 >] [建立原則]
  5. 提供原則名稱,然後選取 [聯結類型]。 如需詳細資訊,請參閱 裝置聯結類型
  6. 選取 [下一步]
  7. 選擇所需的映像,然後選取 [ 下一步]
  8. 在 [ Microsoft 受控服務 ] 區段下,選取 [Windows 自動修補]。 然後選取 [下一步]。 如果 Windows 自動修補 (預覽) 在全域 管理員 完成設定後才能管理您的雲端電腦。訊息隨即出現,您必須啟用 Windows 自動修補功能才能繼續。
  9. 據以指派您的原則,然後選取 [ 下一步]
  10. 選取 [建立]。 現在您新布建的 Windows 365 企業版 雲端計算機會自動註冊並由 Windows Autopatch 管理。

如需詳細資訊,請參閱建立 Windows 365 布建原則

Azure 虛擬桌面工作負載上的 Windows 自動修補

Windows 自動修補適用於您的 Azure 虛擬桌面工作負載。 企業系統管理員可以使用現有的裝置註冊程式,布建其要由 Windows 自動修補管理的 Azure 虛擬桌面工作負載。

Windows Autopatch 提供與 實體裝置相同的虛擬機服務範圍。 不過,除非另有指定,否則 Windows 自動修補會將任何 Azure 虛擬桌面特定支援 Azure 支援

必要條件

適用於 Azure 虛擬桌面的 Windows 自動修補遵循與 Windows 自動修補相同的 必要 條件,以及 Azure 虛擬桌面必要條件

服務支援:

  • 個人持續性虛擬機

不支援下列 Azure 虛擬桌面功能:

  • 多重會話主機
  • 集區非永續性虛擬機
  • 遠端應用程式串流

在 Azure 虛擬桌面上部署自動修補

您可以使用與實體裝置相同的方法,將 Azure 虛擬桌面工作負載註冊到 Windows 自動修補。

為了方便部署,建議您在自動修補裝置註冊群組中巢狀化動態裝置群組。 動態裝置群組會以您會話主機中定義的 名稱 前置詞為目標,但 排除 任何多重會話會話主機。 例如:

群組名稱 動態成員資格名稱
Windows 自動修補 - 主機集區會話主機
  • (device.displayName -contains "AP")
  • (device.deviceOSType -ne "Windows 10 Enterprise for Virtual Desktops")

清除 Microsoft Entra 租使用者中已加入混合式 Microsoft Entra 裝置和已註冊 Azure 裝置的雙重狀態

當裝置最初以 Microsoft Entra 註冊的裝置連線到 Microsoft Entra ID 時,就會發生 Microsoft Entra雙重狀態。 不過,當您啟用 Microsoft Entra 混合式聯結時,相同的裝置會連線到 Microsoft Entra ID 兩次,但作為混合式 Microsoft Entra 裝置

在雙重狀態下,您最後會針對相同裝置擁有兩個具有不同聯結類型的 Microsoft Entra 裝置記錄。 在此情況下,混合式 Microsoft Entra 裝置記錄的優先順序高於 Microsoft Entra ID 中任何驗證類型的 Microsoft Entra 註冊裝置記錄,這會使 Microsoft Entra 註冊的裝置記錄過時。

建議您先偵測並清除 Microsoft Entra ID 中的過時裝置,再向 Windows Autopatch 註冊裝置,請參閱如何:在 Microsoft Entra ID 中管理過時的裝置

警告

如果您在向 Windows 自動修補註冊裝置之前未清除 Microsoft Entra ID 中的過時裝置,您最後可能會看到裝置無法符合 Intune 或 Cloud-Attached (裝置必須 Intune 管理或共同管理) [未就緒] 索引卷標的必要條件檢查,因為預期這些裝置已過時Microsoft Entra 裝置不再註冊到 Intune 服務。

重要

本文或章節中的資訊僅適用於您在 Microsoft 365 F3、E3 或 E5) 授權中 (包含 Windows 企業版 E3+ 或 F3 授權,並已啟用 Windows 自動修補功能時。

如果您在 Microsoft 365 F3、E3 或 E5) 授權中包含 Windows 10/11 企業版 E3 或 E5 (,則功能啟用是選擇性的,而且不需額外費用。

如需詳細資訊,請參閱 授權和權利。 如果您選擇不進行功能啟用,您仍然可以針對 商務進階版和 A3+ 授權中包含的功能使用 Windows 自動修補服務。

支援可透過 Windows 365 或 Windows Autopatch Service 工程小組取得裝置註冊相關事件。

裝置管理生命週期案例

規劃在 Windows Autopatch 中註冊裝置時,還有一些要考慮的裝置管理生命週期案例。

裝置重新整理

如果裝置先前已註冊到 Windows 自動修補服務,但需要重新安裝映像,您必須執行 Microsoft Intune 中可用的其中一個裝置佈建程式,才能重新安裝裝置的映像。

裝置會重新加入至 Microsoft Entra ID (混合式或僅限 Microsoft Entra) 。 然後,也重新註冊至 Intune。 您或 Windows 自動修補服務不需要採取任何進一步的動作,因為該裝置的 Microsoft Entra 裝置標識碼記錄保持不變。

裝置修復和硬體更換

如果您需要修復先前已註冊到 Windows 自動修補服務的裝置,請將主機板、非卸載式網路適配器 (NIC) 或硬碟取代,您必須將裝置重新註冊到 Windows 自動修補服務,因為有重大硬體變更時會產生新的硬體識別符,例如:

  • SMBIOS UUID (主機板)
  • 不可移動 NIC (MAC 位址)
  • OS 硬碟的序列、型號、製造商資訊

發生其中一個硬體變更時,Microsoft Entra ID 為該裝置建立新的裝置標識碼記錄,即使技術上是相同的裝置也一樣。

重要

如果針對先前已註冊到 Windows 自動修補服務的裝置產生新的 Microsoft Entra 裝置識別碼,即使它在技術上是相同的裝置,也必須透過裝置直接成員資格或透過巢狀 Microsoft Entra Windows 自動修補群組體驗中的動態/指派群組來新增新的 Microsoft Entra 裝置識別符。 此程式可保證新產生的 Microsoft Entra 裝置標識符會向 Windows Autopatch 註冊,而且裝置會繼續由服務管理其軟體更新。