本文内容
重要提示
Windows 自动修补组以 公共预览版提供。 此功能正在积极开发中,可能尚未完成。 可以在生产环境中测试和使用这些功能,并提供反馈。
仅当你选择使用 Windows 自动修补组时,Windows 自动修补组体验才适用。
若要选择加入以使用 Windows 自动修补组,请:转到Microsoft Intune管理中心,然后从左侧导航菜单中选择“设备”。在“Windows 自动修补”下,选择“Release Management”,然后选择“自动修补组” (预览) 。查看 Microsoft 隐私声明 和 Autopatch 组公共预览版附录。 如果同意,请选中“ 我已查看并同意自动修补组公共预览版附录 ”复选框。 然后,选择“ 使用预览 ”测试 Windows 自动修补组及其捆绑的功能集。 如果 “使用预览 ”选项灰显,请确保满足所有 。
随着组织转向 Microsoft 代表他们管理更新流程的托管服务模型,他们面临着一个挑战,即拥有正确的组织结构表示形式,然后是自己的部署节奏。 Windows 自动修补组可帮助组织以对业务有意义的方式管理更新,而无需产生额外费用或计划外中断。
什么是 Windows 自动修补组?
自动修补组是一个逻辑容器或单元,用于对多个 Azure AD 组和软件更新策略进行分组,例如用于Windows 10和更高版本的更新圈策略,以及Windows 10和更高版本的策略的功能更新。
主要优势
自动修补组可帮助 Microsoft Cloud-Managed服务满足组织在其更新管理过程中所处的位置。 主要优势包括:
好处说明
复制组织结构
可以设置自动修补组,以复制现有基于设备的 Azure AD 组目标逻辑所表示的组织结构。
具有灵活数量的部署
通过自动修补组,可以灵活地在组织中使用适当数量的部署圈。 每个自动修补组最多可以设置 15 个部署圈。
确定哪些设备 () 属于部署圈
除了使用现有的基于设备的 Azure AD 组并选择部署环的数量之外,还可以在设置自动修补组时确定哪些设备在设备注册过程中属于部署圈。
选择部署节奏
为企业选择合适的软件更新部署节奏。
高级体系结构关系图概述
自动修补组是 Windows 自动修补服务中的设备注册微服务的一部分的函数应用。 下表对高级工作流进行说明:
步骤描述
步骤 1:创建自动修补组
创建自动修补组。
步骤 2:Windows 自动修补使用 Microsoft Graph 创建 Azure AD 和策略分配
Windows 自动修补服务使用 Microsoft Graph 协调以下项的创建:
步骤 3:Intune分配软件更新策略
在 Azure AD 服务中创建 Azure AD 组后,Intune用于向这些组分配软件更新策略,并将需要软件更新策略的设备数提供给 Windows 更新 for Business (WUfB) 服务。
步骤 4:业务责任Windows 更新
Windows 更新 for Business (WUfB) 负责:
重要概念
在使用自动修补组之前,需要熟悉一些关键概念。
关于默认自动修补组
注意
对于可以使用预配置的五个部署环组合来满足其业务需求的组织,建议使用默认自动修补组。
默认自动修补组使用 Windows 自动修补的默认更新管理过程建议。 默认自动修补组包含:
默认自动修补组旨在为希望:
无法删除或重命名默认自动修补组。 但是,可以自定义其部署圈组合以添加和/或删除部署圈,还可以为其中的每个部署环自定义更新部署节奏。
默认部署环组合
默认情况下自定义设备后请选择,使用以下 (由 Azure AD 分配的组表示):
Windows 自动修补 - 测试和 最后一 个 只能用作 分配 的设备分发。 Windows 自动修补 - Ring1、 Ring2 和 Ring3 可以与 分配 或 动态 设备分发一起使用,也可以结合使用这两种设备分发类型。
提示
有关 分配 和 动态 部署圈分发类型之间的差异的详细信息,请参阅 。 只有放置在“测试和最后一个部署”部署圈之间的部署圈才能与动态部署环分发一起使用。
注意
租户中 不能 缺少由自动修补组创建的这些组和其他 Azure AD 分配的组,否则,自动修补组可能无法正常工作。
“最后一个部署圈”是“默认自动修补”组中的第五个部署圈,旨在覆盖一组专用设备和/或 VIP/Executive 用户的情况。 他们必须在组织总体之后接收软件更新部署,以减少对组织关键业务的中断。
默认更新部署节奏
默认自动修补组为其部署圈提供默认的更新部署节奏,但 “最后 (第五) ”部署圈除外。
Windows 10 及更高版本的更新通道策略
自动修补组为默认自动修补组中的每个部署圈设置Windows 10和更高版本的更新通道策略。 请参阅以下默认策略值:
策略名称Azure AD 组分配质量更新延迟(天)功能更新延迟(以天为单位)功能更新卸载窗口(以天为单位)质量更新的最后期限(以天为单位)功能更新的截止时间(以天为单位)宽 限期在截止时间之前自动重启
Windows 自动修补更新策略 - 默认值 - 测试
Windows 自动修补 - 测试
0
0
30
0
5
0
是
Windows 自动修补更新策略 - 默认值 - Ring1
Windows 自动修补 - Ring1
1
0
30
2
5
2
是
Windows 自动修补更新策略 - 默认值 - Ring2
Windows 自动修补 - Ring2
6
0
30
2
5
2
是
Windows 自动修补更新策略 - 默认值 - Ring3
Windows 自动修补 - Ring3
9
0
30
5
5
2
是
Windows 自动修补更新策略 - 默认值 - 最后一个
Windows 自动修补 - 最后一个
11
0
30
3
5
2
是
Windows 10 及更高版本的功能更新策略
自动修补组为默认自动修补组中的每个部署圈设置Windows 10和更高版本的策略的功能更新,请参阅以下默认策略值:
策略名称Azure AD 组分配功能更新版本推出选项第一个部署圈可用性最终部署圈可用性部署圈之间的一天支持结束日期
Windows 自动修补 - DSS 策略 [测试]
Windows 自动修补 - 测试
Windows 10 20H2
尽快提供更新
不适用
不适用
不适用
2023 年 5 月 8 日;晚上 7:00
Windows 自动修补 - DSS 策略 [Ring1]
Windows 自动修补 - Ring1
Windows 10 20H2
尽快提供更新
不适用
不适用
不适用
2023 年 5 月 8 日;晚上 7:00
Windows 自动修补 - DSS 策略 [Ring2]
Windows 自动修补 - Ring2
Windows 10 20H2
尽快提供更新
2022 年 12 月 14 日
2022 年 12 月 21 日
1
2023 年 5 月 8 日;晚上 7:00
Windows 自动修补 - DSS 策略 [Ring3]
Windows 自动修补 - Ring3
Windows 10 20H2
尽快提供更新
2022 年 12 月 15 日
2022 年 12 月 29 日
1
2023 年 5 月 8 日;晚上 7:00
Windows 自动修补 - DSS 策略 [上一个]
Windows 自动修补 - 最后一个
Windows 10 20H2
尽快提供更新
2022 年 12 月 15 日
2022 年 12 月 29 日
1
2023 年 5 月 8 日;晚上 7:00
关于自定义自动修补组
注意
对于可以使用预配置的五个部署环组合来满足其业务需求的组织,建议使用 。
自定义自动修补组旨在帮助需要更精确地表示其组织结构以及服务中自己的更新部署节奏的组织。
默认情况下,自定义自动修补组会自动显示“测试”和“上次部署”环。 有关详细信息,请参阅 。
关于部署圈
通过部署圈自定义设备后请选择,自动修补组可以按顺序在自动修补组中逐步推出软件更新部署。
Windows 自动修补符合 Azure AD 和Intune设备组管理的术语。 自动修补组中有两种类型的部署环组分发:
部署环分布说明
动态
可以使用一个或多个基于设备的 Azure AD 组,这些组基于动态查询或分配用于部署圈组合。
与动态分发类型一起使用的 Azure AD 组可用于根据可自定义的百分比值跨多个部署圈分配设备。
已分配
可以使用一个基于设备的 Azure AD 组(基于动态查询或分配用于部署圈组合)。
动态和已分配的组合
若要在处理部署环组合时提供更大的灵活性,可以在自动修补组中组合这两种设备分发类型。
自动修补组中的“测试和上次部署”圈 不支持 动态和已分配设备分发的组合。
关于测试和上次部署圈
“测试”和“最后一个部署”圈都是默认部署圈,自动出现在“默认自动修补”组和“自定义自动修补”组中。 这些默认部署圈提供自动修补组应具有的最小部署圈数。
如果仅在默认自动修补组中保留“测试和最后一个部署圈”,或者在创建自定义自动修补组时未添加更多部署圈,则“测试部署圈”可用作试点部署圈,而“最后”部署圈可用作生产部署圈。
重要提示
无法从“默认”或“自定义自动修补”组中删除或重命名“测试”和“上次部署”圈。 自动修补组不支持使用单个部署圈作为其部署环构成的一部分,因为需要至少两个部署圈才能逐步推出。 如果必须使用单个部署圈实现特定方案,并且不需要逐步推出,请考虑在 Windows 自动修补外部管理这些设备。
提示
测试和上次部署圈一次仅支持一个 Azure AD 组分配。 如果需要分配多个 Azure AD 组,可以在计划用于测试和上次部署圈的 Azure AD 组下嵌套其他 Azure AD 组。 仅支持一个级别的 Azure AD 组嵌套。
基于服务的部署圈与基于软件更新的部署圈
自动修补组创建两个不同的层。 每个层都包含自己的部署环集。
重要提示
默认情况下,基于服务和基于软件更新的部署环集都分配给成功注册到 Windows 自动修补的设备。
基于服务的部署圈
基于服务的部署圈集专门用于使用服务核心功能所需的服务和设备级配置策略、应用和 API 来更新 Windows 自动修补。
下面是 Azure AD 分配的组,这些组表示基于服务的部署圈。 无法删除或重命名这些组:
注意
请勿 (分配和动态) 修改 Azure AD 组成员身份类型。 否则,Windows 自动修补服务将无法从这些组读取设备组成员身份,并导致自动修补组功能和其他与服务相关的操作无法正常工作。
此外,不支持将Configuration Manager集合直接同步到由自动修补组创建的任何 Azure AD 组。
基于软件的部署圈
基于软件的部署圈集专用于默认 Windows 自动修补组中的软件更新管理策略,例如 Windows 更新通道和功能更新策略。
下面是 Azure AD 分配的组,这些组表示基于软件更新的部署圈。 无法删除或重命名这些组:
重要提示
将更多部署圈添加到默认自动修补组时,会创建其他 Azure AD 分配组并将其添加到列表。
注意
请勿 (分配和动态) 修改 Azure AD 组成员身份类型。 否则,Windows 自动修补服务将无法从这些组读取设备组成员身份,并导致自动修补组功能和其他与服务相关的操作无法正常工作。
此外,不支持将Configuration Manager集合直接同步到由自动修补组创建的任何 Azure AD 组。
关于设备注册
或自动修补组和/或自动修补组以使用现有的 Azure AD 组而不是该服务提供的 Windows 自动修补设备注册组时,自动修补组会将设备注册到 Windows 自动修补服务。
使用自动修补组的常见方法
下面是使用自动修补组的三个常见用途。
用例 #1
注意
对于可以使用预配置的五个部署环组合来满足其业务需求的组织,建议使用 。
方案解决方案
你是 Contoso Ltd 的 IT 管理员。并管理多个 Microsoft 和非 Microsoft 云服务。 没有额外的时间来设置和管理多个自动修补组。
你的组织当前使用五个部署圈来运行其更新管理,但如果已预先传达给最终用户,则有机会具有灵活的部署节奏。
如果没有数千台设备要管理,请使用组织的默认自动修补组。 可以编辑默认自动修补组以包含其他部署圈和/或略微修改其某些默认部署节奏。
默认自动修补组是预先配置的,在向 Windows 自动修补服务注册设备时不需要额外的配置。
下面是由 Windows 自动修补服务预配置和完全托管的默认自动修补组逐步推出的直观表示形式。
用例 #2方案解决方案
你是 Contoso Ltd 的 IT 管理员。组织需要计划在特定关键业务部门或部门内逐步推出软件更新,以帮助降低最终用户中断的风险。
可以为每个业务部门(例如财务部门)创建自定义自动修补组,并根据不同用户角色或根据特定用户组对部门和随后业务的重要性来细分部署环构成。
下面是 Contoso 财务部门逐步推出的直观表示形式。
重要提示
设置自动修补组后,将通过其部署圈按顺序部署 Windows 质量或功能更新的发布。
用例 #3方案解决方案
你是 Contoso Ltd 的 IT 管理员。位于芝加哥的分支机构需要计划在特定部门内逐步推出软件更新,以确保芝加哥办事处的运营不会遇到中断。
可以为芝加哥的分支位置创建自定义自动修补组,并按分支位置内的部门细分部署环构成。
下面是 Contoso Chicago 分支位置逐步推出的直观表示形式。
重要提示
设置自动修补组后,将通过其部署圈按顺序部署 Windows 质量或功能更新的发布。
支持的配置
使用自动修补组时,支持以下配置。
软件更新工作负载
自动修补组适用于以下软件更新工作负载:
重要提示
(基于服务的经典部署圈支持 Microsoft Edge 和) Microsoft 365 企业应用版。 目前不支持其他软件更新工作负载。
自动修补组的最大数目
Windows 自动修补将支持租户中最多 50 个自动修补组。 除了默认 之外,最多可以创建 49 。 每个自动修补组最多支持 15 个部署圈。
提示
如果达到 50) 支持的最大自动修补组数 (,并尝试创建更多自定义自动修补组,则“自动修补组”边栏选项卡中的“创建”选项将灰显。
若要管理自动修补组,请参阅 管理 Windows 自动修补组。
版权声明
本文仅代表作者观点。
本文系作者授权发表,未经许可,不得转载。
发表评论