管理 Windows 自動修補群組
自動修補群組可協助Microsoft Cloud-Managed 服務符合其更新管理旅程中的組織。
自動修補群組是一個邏輯容器或單位,可將數個 Microsoft Entra 群組和軟體更新原則分組,例如 Windows 10 和更新版本的更新通道原則、Windows 10 和更新版本原則的功能更新、驅動程式更新原則、Microsoft 365 應用程式更新原則,以及Microsoft Edge 更新原則。
開始管理自動修補群組之前,請確定您符合 Windows 自動修補群組的必要條件。
注意
如果您達到支援的自動修補群組數目上限 (300) ,並嘗試建立更多自動修補群組,則 [自動修補群組] 刀鋒視窗中的 [建立] 選項會呈現灰色。
建立自動修補群組
重要
Windows Autopatch 會根據部署通道組合頁面中所做的選擇,建立裝置型 Microsoft Entra ID 指派的群組。 此外,服務會根據在 [Windows Update 設定] 頁面中所做的選擇,為自動修補群組中建立的每個部署通道指派更新通道原則,作為自動修補群組引導式用戶體驗的一部分。
提示
如需 Windows 自動修補群組所支援工作負載的詳細資訊,請參閱 支援的軟體工作負載。
若要建立自動修補群組:
- 移至 Microsoft Intune 系統管理中心。
- 從左側導覽功能表中選取 [ 租使用者管理 ]。
- 在 [Windows 自動修補 ] 區段下,選取 [自動修補群組]。
- 在 [ 自動修補群組 ] 刀鋒視窗中,選取 [ 建立]。
- 在 [ 基本概念] 頁面中,輸入 名稱 和 描述 ,然後選取 [下一步:部署更新步調]。
- 針對 [自動修補組名] 輸入最多 64 個字元,針對描述輸入最多 150 個字元。 自動修補組名會同時附加至建立自動修補群組之後所建立的更新通道和 DSS 原則名稱。
- 在 [ 部署通道 ] 頁面中,選取 [ 新增部署通道 ] 以將部署通道數目新增至 [自動修補] 群組。 自動修補會指派預設的推出排程,以確保以延遲和期限期間從 1 到 20 天的漸進式部署。 新增通道時,其默認延遲和期限會與現有的通道相隔,以維持延遲和期限期間合規性。 因此,新通道的延遲和期限期間可能是在前一個通道之前或之後。 新增通道並不會修改現有通道的延遲或期限。 自動修補不會設定星期日的期限。 期限排定在下一個星期一。
- 每個新增的部署通道都必須指派 Microsoft Entra 裝置群組,或使用已定義的百分比動態分散在部署通道上的 Microsoft Entra 群組。
- 在 [動態群組] 區域中,選取 [新增群組] 以選取要用於動態群組散發的一或多個現有裝置型 Microsoft Entra 群組。
- 在 [ 動態群組散發] 數據行 中,選取所需的部署通道複選框。 然後,可以:
- 輸入應從步驟 9 中選取的 Microsoft Entra 群組新增的裝置百分比。 裝置的百分比計算必須等於 100%,或
- 選 取 [套用預設動態群組散發 ] 以使用預設值。
- 在 [指派的群組] 數據行中,選取 [將群組新增至通道] 以將現有的 Microsoft Entra 群組新增至任何已定義的部署通道。 測試和上次部署更新步調只支援指派的群組散發。 這些部署更新步調不支援動態散發。
- 選 取 [下一步:更新類型]。 選取您要讓 Windows 自動修補建立原則的更新類型。 您可以選擇:
- 品質更新
- 功能更新
- 驅動程式更新
- Microsoft 365 應用程式更新
- Microsoft Edge 更新
- 選 取 [下一步:部署設定]。 如果您在步驟 9 中選取了品質更新和Microsoft 365 應用程式更新,則會自動部署這些更新。 使用下拉選單來選取:
- 功能更新的目標版本
- 驅動程式更新的核准方法
- Microsoft Edge 更新的通道
- 選 取 [下一步:發行排程]。 在此頁面中,從 [選取發行排程預設] 下拉功能表中選取下列其中 一個發行排程預設 :
- 資訊工作者:在大部分工作場所中使用的單一用戶裝置
- 共用裝置:多個使用者在一段時間內使用的裝置
- Kiosk 和看板:用來完成特定工作的高運行時間裝置,可隱藏通知並在特定時間重新啟動
- 重新啟動敏感裝置:無法在工作中間中斷,且只能在排程時間更新的裝置
- Windows 更新安裝、重新啟動和通知行為設定是以步驟 11) 中選取的發行排程預設 (為基礎。 此設定會決定 Windows Update 客戶端對於您在步驟 9 中選取的所有更新類型的行為。 您可以:
- 視需要編輯延遲、期限、寬限期
- 視需要編輯部署更新步調
- 如果您已進行變更,但想要重新開始,請選取 [ 重設為預設值 [發行排程預設值]。 重設取決於您在步驟 12 中選取的發行排程預設值。
- 選 取 [檢閱 + 建立] 以檢閱所有所做的變更。
- 檢閱完成後,選取 [建立] 以儲存您的自動修補群組。
注意
請勿 (指派和動態) 修改 Microsoft Entra 群組成員資格類型。 否則,Windows 自動修補服務無法從這些群組讀取裝置群組成員資格,並導致自動修補群組功能和其他服務相關作業無法正常運作。
此外,不支援將 Configuration Manager 集合直接同步至自動修補群組所建立的任何 Microsoft Entra 群組。
注意
裝置型 Microsoft Entra 群組一次只能與自動修補群組中的一個部署通道搭配使用。 這適用於相同自動修補群組內的部署更新步調,以及跨不同自動修補群組的不同部署更新步調。 如果您嘗試建立或編輯自動修補群組,以使用已使用的裝置型 Microsoft Entra 群組,則會發生錯誤,導致您無法建立或編輯自動修補群組。
編輯自動修補群組
提示
當有一或多個以其為目標的 Windows 功能更新版本時,您無法編輯自動修補群組。 如果您嘗試編輯具有一或多個以它為目標之進行中 Windows 功能更新版本的自動修補群組,您會收到下列資訊橫幅訊息:「某些設定不允許修改,因為有一或多個以此自動修補群組為目標的進行中 Windows 功能更新版本。」如需發行和階段狀態的詳細資訊,請參閱 Windows 功能更新。
若要編輯自動修補群組:
- 針對您要編輯的自動修補群組,選取水準 省略號 (...) >編輯 ]。
- 在 [ 基本] 頁面中 ,您只能修改自動修補群組的 描述 。 您 無法 修改名稱。 修改描述之後,或如果您不需要編輯描述,請選取 [ 下一步:部署更新步調]。 若要重新命名自動修補群組,請參閱 重新命名自動修補群組。
- 在 [ 部署通道 ] 頁面中,視需要編輯您的部署通道,或選取 [ 下一步:更新類型]。
- 在 [ 更新類型] 頁面中,視需要新增或移除更新類型,或選取 [ 下一步:部署設定]。
- 在 [ 部署設定] 頁面中 ,視需要編輯部署設定,或選取 [ 下一步:發行排程]。
- 在 [ 發行排程] 頁面中,視需要編輯延遲和/或期限日。 如果您需要變更發行排程預設值,則必須建立新的自動修補群組。
- 選 取 [檢閱 + 建立] 以檢閱所有所做的變更。
- 檢閱完成後,選取 [ 儲存 ] 以完成自動修補群組的編輯。
重要
Windows Autopatch 會根據部署通道組合頁面中所做的選擇,建立裝置型 Microsoft Entra ID 指派的群組。 此外,服務會根據在 [Windows Update 設定] 頁面中所做的選擇,為自動修補群組中建立的每個部署通道指派更新通道原則,作為自動修補群組引導式用戶體驗的一部分。
注意
如果先前新增至自動修補群組的裝置使用 Microsoft Entra 群組, (透過指派的群組或動態散發方法) 從 Microsoft Entra 群組中移除,則會從自動修補服務移除和取消註冊裝置。 已移除的裝置不再套用任何自動修補服務建立的原則,而且裝置不會出現在 自動修補群組成員資格報告中。
重新命名自動修補群組
若要重新命名自動修補群組:
- 針對您想要重新命名的自動修補群組,選取 水準省略號 (...) >重新 命名。 [ 重新命名自動修補] 群組 飛入視窗隨即開啟。
- 在 [ 新增自動修補組名] 中,輸入您選擇的新自動修補組名,然後選取 [ 重新命名群組]。
重要
自動修補最多可支援 64 個字元的自動修補組名。 此外,當您重新命名 Autopatch 群組時,Intune 中 Windows 10 和更新版本原則的所有更新通道,以及與自動修補群組相關聯之 Intune 中 Windows 10 和更新版本原則的功能更新,都會重新命名為包含您在其名稱字元串中定義的新自動修補組名。 此外,重新命名自動修補群組時,所有代表 Autopatch 群組部署更新步調的 Microsoft Entra 群組都會重新命名,以包含您在其名稱字串中定義的新自動修補組名。
刪除自動修補群組
若要刪除自動修補群組:
- 針對您要刪除的自動修補群組,選取水準省略號 (...) > [刪除]。
- 選取 [是 ] 以確認您想要刪除自動修補群組。
注意
當自動修補群組作為一或多個作用中或暫停功能更新版本的一部分時,您無法刪除該群組。 不過,當 Windows 品質或功能更新的版本具有 [已排程] 或 [暫停] 狀態時,您可以刪除自動修補群組。
使用自動修補群組時管理裝置衝突案例
使用裝置型 Microsoft Entra 群組時,裝置成員資格的重疊是常見的案例。 有時動態查詢的範圍可能很大,或相同的指派裝置成員資格可以跨不同的 Microsoft Entra 群組使用。
由於自動修補群組會使用您現有的 Microsoft Entra 群組來建立您自己的部署通道組合,因此服務會負責監視並自動解決某些可能發生的裝置衝突案例。
注意
裝置型 Microsoft Entra 群組一次只能與自動修補群組中的一個部署通道搭配使用。 這適用於相同自動修補群組內的部署更新步調,以及跨不同自動修補群組的不同部署更新步調。 如果您嘗試建立或編輯自動修補群組,以使用已使用的裝置型 Microsoft Entra 群組,則會發生錯誤,導致您無法建立或編輯自動修補群組。
自動修補群組內部署更新步調中的裝置衝突
自動修補群組會使用下列邏輯,代表您在自動修補群組內解決裝置衝突:
| 步驟 | 描述 |
|---|---|
| 步驟 1:檢查裝置所屬的部署通道發佈類型 (指 派 或 動態) 。 | 例如,如果裝置是一個部署通道的一部分,且 動態 散發 (Ring3) ,而一個部署通道具有指 派 的散發套件 (測試) 在同一個自動修補群組內,則具有指 派 散發套件 (測試) 的部署通道會優先於具有 Dynamic distribution type (Ring3) 的部署通道。 |
| 步驟 2:當裝置屬於一或多個發佈類型相同的部署通道時,檢查部署通道順序 (指派 或 動態) | 例如,如果裝置是一個部署通道的一部分,且指 派 的散發套件 (測試) ,而另一個部署通道的指 派 散發 (Ring3) 在同一個 Autopatch 群組內,則更新 (Ring3) 的部署通道會優先於部署通道稍早 (部署通道中的測試) 。 |
重要
當裝置屬於包含已指 派 和 動態) (合併散發類型的部署通道,以及只有 動態 散發類型的部署通道時,具有合併散發類型的部署通道會優先於只有動態散發的 部署 通道。 如果裝置屬於兩個部署更新步調,其中包含已指 派 和 動態) (合併的散發類型,則稍後的部署通道會優先於部署通道之前在部署通道順序中出現的部署通道。
不同自動修補群組之間的裝置衝突
不同自動修補群組中的不同部署更新步調可能會發生裝置衝突,請檢閱下列有關 Windows 自動修補服務如何處理下列案例的範例:
不同自動修補群組中不同部署更新步調中的相同裝置
| 衝突案例 | 衝突解決方案 |
|---|---|
| 您是 Contoso Ltd.的 IT 系統管理員,正在使用數個自動修補群組。 在 [Windows 自動修補裝置] 刀鋒視窗中瀏覽裝置時,您會注意到相同的裝置是數個不同自動修補群組中不同部署更新步調的一部分。 此裝置會顯示為 [尚未就緒]。 | 您必須解決此衝突。 自動修補群組會在 自動修補群組成員資格報告中通知您裝置衝突。 針對您要尋址的裝置,選取 [ 尚未就緒 ] 狀態。 您必須手動指出裝置應該獨佔所屬的現有自動修補群組。 |
裝置註冊前發生裝置衝突
當您建立或編輯自動修補群組時,Windows Autopatch 會檢查屬於自動修補群組部署通道中所使用 Microsoft Entra 群組的裝置是否已向服務註冊。
| 衝突案例 | 衝突解決方案 |
|---|---|
| 裝置註冊前因裝置成員資格重疊而發生衝突 | 您必須解決此衝突。 裝置無法向服務註冊,且標示為 [未註冊 ] 狀態。 您必須確定自動修補群組中使用的 Microsoft Entra 群組沒有裝置成員資格重疊。 |