Windows 自動修補群組概觀
當組織移至Microsoft代表其管理更新程式的受控服務模型時,會因為組織結構的正確表示法,以及自己的部署步調而面臨挑戰。 Windows 自動修補群組可協助組織以對企業有意義的方式管理更新,而不需要額外成本或非計劃性中斷。
什麼是 Windows 自動修補群組?
自動修補群組是一個邏輯容器或單位,可將數個 Microsoft Entra 群組和軟體更新原則分組,例如 Windows 10 和更新版本的更新通道原則 ,以及 Windows 10 和更新版本原則的功能更新。
主要優點
自動修補群組可協助Microsoft Cloud-Managed服务符合其更新管理旅程中的组织。 主要優點包括:
| 效益 | 描述 |
|---|---|
| 複寫您的組織結構 | 您可以設定自動修補群組,以復寫現有裝置型Microsoft Entra 群組目標邏輯所代表的組織結構。 |
| 具有彈性的部署數目 | 自動修補群組可讓您彈性地擁有在組織內運作的適當部署更新步調數目。 每個自動修補群組最多可以設定15個部署更新步調。 |
| 決定哪個裝置 () 屬於部署更新步調 | 除了使用現有的裝置型Microsoft Entra 群組並選擇部署更新步調的數目,您也可以在設定自動修補群組時,於裝置註冊程式期間決定哪些裝置屬於部署更新步調。 |
| 選擇部署頻率 | 您可以為您的企業選擇正確的軟體更新部署步調。 |
高階架構圖表概觀
自動修補群組是一種函式應用程式,屬於 Windows Autopatch 服務內裝置註冊微服務的一部分。 下表說明高階工作流程:
| 步驟 | 描述 |
|---|---|
| 步驟 1:建立自動修補群組 | 建立自動修補群組。 |
| 步驟 2:Windows Autopatch 使用 Microsoft Graph 來建立Microsoft編碼標識符和原則指派 | Windows Autopatch 服務會使用 Microsoft Graph 來協調下列專案的建立:
|
| 步驟 3:Intune 指派軟體更新原則 | 在 Microsoft Entra 服務中建立 Microsoft Entra 群組之後,Intune 會用來將軟體更新原則指派給這些群組,並將需要軟體更新原則的裝置數目提供給商務用 Windows Update (WUfB) 服務。 |
| 步驟 4:商務用 Windows Update 責任 | 商務用 Windows Update (WUfB) 是負責:
|
重要概念
使用自動修補群組之前,有一些要熟悉的重要概念。
關於預設自動修補群組
注意
如果組織可以使用預先設定的五個部署通道組合來符合其商務需求,建議使用默認自動修補群組。
默認自動修補群組會使用 Windows Autopatch 的預設更新管理程序建議。 預設自動修補群組包含:
- 一組 五個部署通道
- Windows 品質和功能更新的預設更新部署步調。
預設自動修補群組旨在為想要:
- 註冊至服務
- 對齊 Windows Autopatch 的預設更新管理程式,而不需要更多自定義專案。
無法刪除或重新命名預設自動修 補群組 。 不過,您可以自定義其部署通道組合來新增和/或移除部署更新步調,也可以自定義其中每個部署通道的更新部署步調。
默認部署通道組合
根據預設,會使用下列 以軟體更新為基礎的部署更新步調,以Microsoft指派的群組表示:
- Windows 自動修補 - 測試
- Windows 自動修補 - Ring1
- Windows 自動修補 - Ring2
- Windows 自動修補 - Ring3
- Windows 自動修補 - 上次
Windows 自動修補 - 測試 和 上次 只能作為 指派 的裝置散發套件。 Windows 自動修補 - Ring1、 Ring2 和 Ring3 可以搭配 指派 或 動態 裝置發行版使用,或是兩種裝置發佈類型的組合。
提示
如需 受指派 和 動態 部署通道散發類型之間差異的詳細資訊,請參閱 關於部署更新步調。 只有位於 [測試 ] 和 [ 最後 一個部署通道] 之間的部署更新步調可以與 動態 部署通道散發搭配使用。
注意
您租使用者中 不能 遺失自動修補群組所建立的這些和其他Microsoft Entra ID 指派群組,否則自動修補群組可能無法正常運作。
最後一個部署通道是預設自動修補群組中的第五個部署通道,旨在提供特殊裝置群組和/或VIP/執行使用者群組的涵蓋範圍。 他們必須在組織的一般母體擴展之後接收軟體更新部署,以減輕貴組織重要企業的中斷。
默認更新部署頻率
默認自動修補群組會為其部署更新步調提供預設的更新部署步調,但 Last (5) 部署通道除外。
Windows 10 和更新版本的更新通道原則
自動修補群組會針對其默認自動修補群組中的每個部署更新步調,設定 Windows 10 和 更新版本的更新通道原則。 請參閱下列預設原則值:
| 原則名稱 | Microsoft群組指派 | 品質更新延遲天數 | 功能更新延遲天數 | 功能更新以天為單位卸載視窗 | 品質更新天數的期限 | 以天為單位的功能更新期限 | 寬限期 | 在期限之前自動重新啟動 |
|---|---|---|---|---|---|---|---|---|
| Windows 自動修補更新原則 - 預設 - 測試 | Windows 自動修補 - 測試 | 0 | 0 | 30 | 0 | 5 | 0 | 是 |
| Windows 自動修補更新原則 - 預設 - Ring1 | Windows 自動修補 - Ring1 | 1 | 0 | 30 | 2 | 5 | 2 | 是 |
| Windows 自動修補更新原則 - 預設 - Ring2 | Windows 自動修補 - Ring2 | 6 | 0 | 30 | 2 | 5 | 2 | 是 |
| Windows 自動修補更新原則 - 預設 - Ring3 | Windows 自動修補 - Ring3 | 9 | 0 | 30 | 5 | 5 | 2 | 是 |
| Windows 自動修補更新原則 - 預設 - 上次 | Windows 自動修補 - 上次 | 11 | 0 | 30 | 3 | 5 | 2 | 是 |
Windows 10 和更新版本的功能更新原則
自動修補群組會針對預設自動修補群組中的每個部署更新步調設定 Windows 10 和 更新版本原則的功能更新,請參閱下列預設原則值:
| 原則名稱 | Microsoft群組指派 | 功能更新版本 | 推出選項 | 第一個部署通道可用性 | 最終部署通道可用性 | 部署更新步調之間的日 | 支持結束日期 |
|---|---|---|---|---|---|---|---|
| Windows 自動修補 - DSS 原則 [測試] | Windows 自動修補 - 測試 | Windows 10 21H2 | 儘快提供更新 | 無 | 無 | 無 | 2024 年 6 月 11 日;上午 1:00 |
| Windows 自動修補 - DSS 原則 [Ring1] | Windows 自動修補 - Ring1 | Windows 10 21H2 | 儘快提供更新 | 無 | 無 | 無 | 2024 年 6 月 11 日;上午 1:00 |
| Windows 自動修補 - DSS 原則 [Ring2] | Windows 自動修補 - Ring2 | Windows 10 21H2 | 儘快提供更新 | 2022年12月14日 | 2022年12月21日 | 1 | 2024 年 6 月 11 日;上午 1:00 |
| Windows 自動修補 - DSS 原則 [Ring3] | Windows 自動修補 - Ring3 | Windows 10 21H2 | 儘快提供更新 | 2022年12月15日 | 2022年12月29日 | 1 | 2024 年 6 月 11 日;上午 1:00 |
| Windows 自動修補 - DSS 原則 [上次] | Windows 自動修補 - 上次 | Windows 10 21H2 | 儘快提供更新 | 2022年12月15日 | 2022年12月29日 | 1 | 2024 年 6 月 11 日;上午 1:00 |
關於自定義自動修補群組
注意
如果組織可以使用預先設定的五個部署通道組合來符合其商務需求,建議使用 默認自動修補群組 。
自定義自動修補群組旨在協助需要更精確地表示其組織結構的組織,以及其在服務中自己的更新部署頻率。
根據預設,自定義自動修補群組會自動出現 [測試] 和 [上次部署] 更新步調。 如需詳細資訊,請 參閱測試和上次部署更新步調。
關於部署更新步調
部署更新步調可讓自動修補群組在自動修補群組內逐步推出時,依序傳遞軟體更新部署。
Windows 自動修補與裝置群組管理Microsoft Entra ID 和 Intune 術語一致。 自動修補群組中有兩種類型的部署通道群組散發:
| 部署通道散發 | 描述 |
|---|---|
| 動態 | 您可以使用一或多個裝置型Microsoft Entra 群組,以動態查詢為基礎,或指派給部署通道組合使用。 Microsoft搭配動態散發類型使用的 Entra 群組,可以根據可自定義的百分比值,用來將裝置分散到數個部署通道。 |
| 已指派 | 您可以使用單一裝置型Microsoft Entra 群組、動態查詢型或指派來用於部署通道組合。 |
| 動態和指派的組合 | 若要在處理部署通道組合時提供更高層級的彈性,您可以在自動修補群組中結合這兩種裝置發佈類型。 自動修補群組中的測試和上次部署通道 不 支援動態和指派裝置散發的組合。 |
關於測試和上次部署更新步調
[測試] 和 [上次部署] 通道都是預設部署更新步調,會自動出現在預設自動修補群組和自定義自動修補群組中。 這些預設部署更新步調提供自動修補群組應該擁有的建議部署通道數目下限。
如果您只在默認自動修補群組中保留 [測試] 和 [上次部署更新步調],或是在建立自定義自動修補群組時未新增更多部署更新步調,則測試部署通道可以作為試驗部署通道,而 Last 則可以作為生產部署通道。
重要
無法從預設或自定義自動修補群組中移除或重新命名測試和上次部署更新步調。 自動修補群組不支援使用單一部署通道作為其部署通道組合的一部分,因為您需要至少兩個部署通道來逐步推出。 如果您必須使用單一部署通道實作特定案例,而且不需要逐步推出,請考慮在 Windows 自動修補之外管理這些裝置。
提示
測試和上次部署更新步調一次只支援一個單一Microsoft Entra 群組指派。 如果您需要指派多個 Microsoft Entra 群組,您可以將另一個 Microsoft Entra 群組巢狀化為您打算搭配 測試 和 上次 部署更新步調使用的群組。 僅支援一個層級的 Microsoft Entra 群組巢狀結構。
服務型與軟體更新型部署更新步調
自動修補群組會建立兩個不同的圖層。 每一層都包含自己的部署通道集。
重要
根據預設,服務型和軟體更新型部署通道集都會指派給成功向Windows Autopatch 註冊的裝置。
服務型部署更新步調
服務型部署通道集專門用來讓 Windows 自動修補以服務和裝置層級設定原則、服務核心功能所需的應用程式和 API 進行更新。
以下是代表服務型部署更新步調的Microsoft Entra ID 指派群組。 這些群組無法刪除或重新命名:
- 新式工作場所 Devices-Windows Autopatch-Test
- 新式工作場所 Devices-Windows Autopatch-First
- 新式工作場所 Devices-Windows Autopatch-Fast
- 新式工作場所 Devices-Windows Autopatch-Broad
注意
請勿 (指派和動態) 修改 Microsoft Entra 群組成員資格類型。 否則,Windows Autopatch 服務將無法從這些群組讀取裝置群組成員資格,並導致自動修補群組功能和其他服務相關作業無法正常運作。
此外, 不 支援將 Configuration Manager 集合直接同步至 Autopatch 群組所建立的任何Microsoft Entra 群組。
軟體型部署更新步調
軟體型部署通道集專門用於預設 Windows 自動修補群組中的軟體更新管理原則,例如 Windows 更新通道和功能更新原則。
以下是Microsoft Entra ID 指派的群組,這些群組代表以軟體更新為基礎的部署更新步調。 這些群組無法刪除或重新命名:
- Windows 自動修補 - 測試
- Windows 自動修補 - Ring1
- Windows 自動修補 - Ring2
- Windows 自動修補 - Ring3
- Windows 自動修補 - 上次
重要
當您將更多部署更新步調新增至默認自動修補群組時,會建立其他Microsoft Entra ID 指派的群組並新增至清單。
注意
請勿 (指派和動態) 修改 Microsoft Entra 群組成員資格類型。 否則,Windows Autopatch 服務將無法從這些群組讀取裝置群組成員資格,並導致自動修補群組功能和其他服務相關作業無法正常運作。
此外, 不 支援將 Configuration Manager 集合直接同步至 Autopatch 群組所建立的任何Microsoft Entra 群組。
關於裝置註冊
當您 建立 或 編輯自定義自動修補群組時,自動修補群組會向 Windows 自動修補服務註冊裝置,以及/或當您 編輯預設自動修補群組 以使用現有的 Microsoft Entra 群組,而不是服務所提供的 Windows 自動修補裝置註冊群組時註冊裝置。
使用自動修補群組的常見方式
以下是使用自動修補群組的三個常見用途。
使用案例 #1
注意
如果組織可以使用預先設定的五個部署通道組合來符合其商務需求,建議使用 默認自動修補群組 。
| 案例 | 解決方案 |
|---|---|
| 您是 Contoso Ltd 的 IT 系統管理員。並管理數個Microsoft和非Microsoft雲端服務。 您沒有額外的時間來設定和管理數個自動修補群組。 您的組織目前使用五個部署更新步調來運作其更新管理,但如果預先與您的用戶溝通,則有機會有彈性的部署步調。 |
如果您沒有數以千計的裝置可管理,請使用組織的默認自動修補群組。 您可以編輯預設自動修補群組,以包含其他部署更新步調和/或稍微修改其一些預設部署步調。 默認自動修補群組已預先設定,且在向 Windows 自動修補服務註冊裝置時不需要額外的設定。 以下是 Windows 自動修補服務預先設定並完全管理之預設自動修補群組的漸進式推出視覺表示法。 |
使用案例 #2
| 案例 | 解決方案 |
|---|---|
| 您是 Contoso Ltd 的 IT 系統管理員。您的組織需要規劃在特定重要業務單位或部門內逐步推出軟體更新,以協助降低用戶中斷的風險。 | 您可以為每個業務單位建立自訂自動修補群組。 例如,您可以為財務部門建立自定義自動修補群組,並根據不同的使用者角色細分部署通道組合,或根據特定使用者群組對於部門和商務的重要程度來細分。 以下是 Contoso 財務部門逐步推出的視覺表示法。 |
重要
設定自動修補群組之後,Windows 品質或功能更新的發行將會透過其部署更新步調循序部署。
使用案例 #3
| 案例 | 解決方案 |
|---|---|
| 您是 Contoso Ltd 的 IT 系統管理員。您在芝加哥的分公司位置需要規劃在特定部門內逐步推出軟體更新,以確保芝加哥辦公室不會遇到其作業中斷的情況。 | 您可以為芝加哥的分支位置建立自定義自動修補群組,並根據分支位置內的每個部門細分部署通道組合。 以下是 Contoso Chicago 分支位置的漸進式推出視覺表示法。 |
重要
設定自動修補群組之後,Windows 品質或功能更新的發行將會透過其部署更新步調循序部署。
支援的設定
使用自動修補群組時,支援下列設定。
軟體更新工作負載
自動修補群組適用於下列軟體更新工作負載:
自動修補群組的數目上限
Windows Autopatch 在您的租使用者中最多支援 50 個自動修補群組。 除了預設 自動修補群組 之外,您最多可以建立 49 個 自定義自動修補群組。 每個自動修補群組最多支援15個部署更新步調。
提示
如果您達到支援的自動修補群組數目上限 (50) ,並嘗試建立更多自定義自動修補群組,[自動修補群組] 刀鋒視窗中的 [建立] 選項將會呈現灰色。
若要管理您的自動修補群組,請 參閱管理 Windows 自動修補群組。