(公共预览版) 管理 Windows 自动修补组

本文内容

重要提示

Windows 自动修补组以 公共预览版提供。 此功能正在积极开发中，可能尚未完成。 可以在生产环境中测试和使用这些功能，并提供反馈。

仅当你选择使用 Windows 自动修补组时，Windows 自动修补组体验才适用。

若要选择加入以使用 Windows 自动修补组，请：转到Microsoft Intune管理中心，然后从左侧导航菜单中选择“设备”。在“Windows 自动修补”下，选择“Release Management”，然后选择“自动修补组” (预览) 。查看 Microsoft 隐私声明 和 Autopatch 组公共预览版附录。 如果同意，请选中“ 我已查看并同意自动修补组公共预览版附录 ”复选框。 然后，选择“ 使用预览 ”测试 Windows 自动修补组及其捆绑的功能集。 如果 “使用预览 ”选项灰显，请确保满足所有 。

自动修补组可帮助 Microsoft Cloud-Managed服务满足组织在更新管理过程中所处的位置。

自动修补组是一个逻辑容器或单元，用于对多个 Azure AD 组和软件更新策略进行分组，例如用于Windows 10及更高版本的更新通道策略，以及用于Windows 10及更高版本的策略的功能更新策略。

自动修补组先决条件

在开始管理自动修补组之前，请确保满足以下先决条件：

确保在租户中创建Intune中Windows 10和更高版本的策略的以下功能更新：使用自动修补组之前，请确保租户中存在以下 Azure AD 分配的组。 请勿 修改 Azure AD 组成员身份类型 (分配或动态) 。 否则，Windows 自动修补服务将无法从这些组读取设备组成员身份，并导致自动修补组功能和其他服务相关操作无法正常工作。此外， 请勿 修改上述任何组的 Azure AD 组所有权，否则，自动修补组设备注册过程将无法将设备添加到这些组中。 如果修改了所有权，则必须将 新式工作区管理服务 主体添加为这些组的所有者。请确保已在 。 否则，自动修补组功能将无法正常工作。 自动修补使用仅限应用的身份验证来：在使用该功能之前，请确保已创建要用于自动修补组的所有基于设备的 Azure AD 组。确保与现有 Azure AD 组一起使用的设备在向服务注册时满足 。 自动修补组代表你注册设备，设备可以相应地移动到“设备”边栏选项卡中的“ 已注册 ”或“ 未注册 ”选项卡。

提示

可以使用策略运行状况功能还原由 Windows 自动修补创建和管理的Windows 10及更高版本的策略的更新通道和功能更新。 有关修正操作的详细信息，请参阅 。

注意

在公共预览版期间，自动修补组选择加入页面将显示一个横幅，以便在一个或多个先决条件失败时通知你。 修正问题以满足先决条件后，租户可能需要长达一小时才能提供“使用预览版”按钮。

创建自定义自动修补组

注意

对于可以使用预配置的五个部署环组合来满足其业务需求的组织，建议使用默认自动修补组。

若要创建自定义自动修补组，请执行以下操作：

转到Microsoft Intune管理中心。从左侧导航菜单中选择“ 设备 ”。在 “Windows 自动修补 ”部分下，选择“ 发布管理”。在 “发布管理 ”边栏选项卡中，选择“ 自动修补组” (预览) 。仅在公共预览版期间：查看 Microsoft 隐私声明 和 Autopatch 组公共预览版附录。选中“ 我已审阅并同意自动修补组公共预览版附录 ”复选框。 然后，选择“ 使用预览 ”测试自动修补组。 如果 “使用预览 ”选项灰显，请确保满足所有 。在 “自动修补组 ”边栏选项卡中，选择“ 创建”。在“基本信息”页中，输入名称和说明，然后选择“下一步：部署圈”。为自动修补组名称输入最多 64 个字符，为说明输入最多 150 个字符。 自动修补组名称将追加到更新通道和 DSS 策略名称，这些名称在创建自定义自动修补组后创建。在 “部署圈 ”页中，选择“ 添加部署圈 ”，将部署圈数添加到“自定义自动修补”组。添加的每个新部署圈都必须分配有一个 Azure AD 设备组，或者一个使用定义的百分比在部署圈之间动态分布的 Azure AD 组。在 “动态组 ”区域中，选择“ 添加组 ”，选择一个或多个用于动态组分发的现有基于设备的 Azure AD 组。在 “动态组通讯组” 列中，选中所需的部署圈复选框。 然后，任一：输入应从步骤 9 中选择的 Azure AD 组中添加的设备百分比。 设备的百分比计算必须等于 100%，或者选择“ 应用默认动态组分发 ”以使用默认值。在 “分配的组 ”列中，选择“ 将组添加到圈 ”，将现有 Azure AD 组添加到任何定义的部署圈。 “测试和上次部署”圈仅支持“已分配的组分发”。 这些部署圈不支持动态分发。选择“下一步： Windows 更新设置”。选择 水平省略号 (...) >管理部署节奏 ， 自定义 Windows 质量和功能更新的逐步推出。 选择保存。选择 水平省略号 (...) >“管理通知 ”，以自定义接收 Windows 更新时的最终用户体验。 选择保存。选择“ 查看 + 创建 ”以查看所做的所有更改。评审完成后，选择“ 创建 ”以保存自定义“自动修补”组。

注意

基于设备的 Azure AD 组一次只能与自动修补组中的一个部署环一起使用。 这适用于同一自动修补组中的部署圈，以及跨不同自动修补组的不同部署圈。 如果尝试创建或编辑自动修补组以使用已使用的基于设备的 Azure AD 组，将收到一个错误，阻止你完成创建或编辑自动修补组 (默认或自定义) 。

重要提示

Windows 自动修补基于设备的 Azure AD 分配组基于部署环组合页中的选择。 此外，该服务根据在“自动修补组引导式最终用户体验”的“Windows 更新设置”页中所做的选择，为在自动修补组中创建的每个部署圈分配更新通道策略。

编辑默认或自定义自动修补组

编辑“默认”或“自定义自动修补”组：

选择要编辑的自动修补组的水平省略号 (...) >编辑。只能修改“默认”或“自定义自动修补”组 的说明 。 无法修改名称。 修改说明后，选择“ 下一步：部署圈”。在“部署通道”页中进行必要的更改，然后选择“下一步：Windows 更新设置”。在“Windows 更新设置”页中进行必要的更改，然后选择“下一步：查看 + 保存”。选择“ 查看 + 创建 ”以查看所做的所有更改。评审完成后，选择“ 保存” 以完成“自动修补”组的编辑。

重要提示

Windows 自动修补基于设备的 Azure AD 分配组基于部署环组合页中的选择。 此外自定义设备后请选择，该服务根据在“自动修补组引导式最终用户体验”的“Windows 更新设置”页中所做的选择，为在自动修补组中创建的每个部署圈分配更新通道策略。

删除自定义自动修补组

无法删除默认自动修补组。 但是，可以删除自定义自动修补组。

删除自定义自动修补组：

选择要删除的自定义自动修补组的水平省略号 (...) > Delete。选择“ 是 ”以确认要删除“自定义自动修补”组。

注意

当自定义自动修补组用作一个或多个活动或已暂停的功能更新版本的一部分时，无法将其删除。 但是，如果 Windows 质量或功能更新的发布状态为 “已计划” 或“ 已暂停 ”，则可以删除自定义自动修补组。

使用自动修补组时管理设备冲突方案

重要提示

Windows 自动修补组功能为 公共预览版。 此功能正在积极开发中，并非所有设备冲突检测和解决方案都按预期工作。有关公共预览版期间此方案的预期内容的详细信息，请参阅 。

使用基于设备的 Azure AD 组时，设备成员身份重叠是一种常见方案，因为有时动态查询的范围可能很大，或者同一分配的设备成员身份可以跨不同的 Azure AD 组使用。

由于自动修补组允许使用现有的 Azure AD 组来创建自己的部署环组合，因此该服务负责监视和自动解决可能发生的某些设备冲突方案。

注意

基于设备的 Azure AD 组一次只能与自动修补组中的一个部署环一起使用。 这适用于同一自动修补组中的部署圈，以及跨不同自动修补组的不同部署圈。 如果尝试创建或编辑自动修补组以使用已使用的基于设备的 Azure AD 组，将收到一个错误自定义设备后请选择，阻止你 (默认或自定义) 创建或编辑自动修补组。

自动修补组中部署圈中的设备冲突

自动修补组使用以下逻辑来代表你在自动修补组中解决设备冲突：

步骤描述

步骤 1：检查设备所属的部署圈分发类型 (分配 或 动态) 。

例如，如果一个设备是一个部署圈的一部分，其 动态 分发 (Ring3) ，而一个部署圈具有 分配 的分发 (测试，) 在同一自动修补组中，则具有 分配 分发 (测试) 的部署圈优先于具有 动态 分发类型 (Ring3) 的部署圈。

步骤 2：当设备属于具有相同分发类型的一个或多个部署圈时，检查部署环排序 (分配 或 动态)

例如，如果设备是一个部署圈的一部分，其分配的分发 (测试) ，而在同一个自动修补组中具有分配分发 (Ring3) 的另一个部署圈中，则稍后 (Ring3) 的部署圈优先于部署环顺序中之前 (测试) 的部署环。

重要提示

如果设备属于具有 (已 分配 和 动态) 组合分发类型的部署圈，以及仅具有 动态 分发类型的部署圈，则具有组合分发类型的部署圈优先于只有 动态 分发类型的部署圈。 如果设备属于两个部署圈，这些部署圈 (分配 和 动态) 的组合分发类型，则稍后的部署环优先于部署环顺序中之前出现的部署环。

跨不同自动修补组的设备冲突

在不同 Autopatch 组中的不同部署圈之间可能发生设备冲突，请查看有关 Windows 自动修补服务如何处理以下方案的示例：

默认为自定义自动修补组设备冲突冲突方案冲突解决

Contoso Ltd.的 IT 管理员开始仅使用默认自动修补组，但后来决定创建名为“Marketing”的自动修补组。

但是，你注意到，属于默认自动修补组中部署圈的相同设备现在也是“市场营销自动修补”组中新部署圈的一部分。

自动修补组会自动代表你解决此冲突。

在此示例中，属于部署圈（作为“市场营销”自动修补组一部分）的设备优先于默认自动修补组中属于部署圈的设备，因为 IT 管理员演示了使用默认自动修补组外部的自定义自动修补组管理部署圈的明确意图。

自定义到自定义自动修补组设备冲突冲突方案冲突解决

Contoso Ltd.的 IT 管理员正在使用多个自定义自动修补组。 在“Windows 自动修补设备”边栏选项卡中浏览设备 (“未就绪 ”选项卡) 时，你注意到同一设备是跨多个不同自定义自动修补组的不同部署圈的一部分。

必须解决此冲突。

自动修补组会在“设备未就绪”选项卡中通知你有关设备>冲突的信息。需要手动指示设备应独占属于哪个现有自定义自动修补组。

设备注册前的设备冲突

创建或编辑“自定义”或“默认自动修补”组时，Windows“自动修补”检查是否向服务注册了属于 Azure AD 组的一部分的设备（在自动修补组的部署圈中使用）。

冲突方案冲突解决

设备处于自定义到自定义自动修补组设备冲突方案中

必须解决此冲突。

设备将无法向服务注册，并会发送到“ 未注册 ”选项卡。需要确保与自定义自动修补组一起使用的 Azure AD 组没有设备成员身份重叠。

设备注册后的设备冲突

即使设备成功注册到服务后，自动修补组也会持续监视 部分中列出的所有设备冲突方案。

已知问题

本部分列出了自动修补组在其公共预览版期间出现的已知问题。

使用自动修补组时的设备冲突方案

Windows 自动修补团队知道，下面列出的所有设备冲突方案当前都在设备注册过程中进行评估，以确保设备已正确注册到服务，而不是评估设备注册后的情况。 Windows 自动修补团队目前正在针对以下设备冲突方案开发检测和解决方案，并计划在公共预览版期间提供它们。

自动修补组 Azure AD 组修正程序

Windows 自动修补团队知道，Windows 自动修补服务不会自动还原在自动修补组创建/编辑过程中创建的 Azure AD 组。 如果以下 Azure AD 组（属于默认自动修补组）以及使用自定义自动修补组创建的其他 Azure AD 组被删除或重命名，则它们不会代表你自动修正：

Windows 自动修补团队目前正在开发自动修补组 Azure AD 组修正程序功能，并计划在公共预览版期间提供该功能。

注意

自动修补组修正程序不会修正基于服务的部署圈：

如果需要，请使用 策略运行状况功能 还原这些组。 有关详细信息，请参阅 。