與商務用 Windows Update整合
適用於:Configuration Manager (目前的分支)
Windows Update 商務用 (WUfB) 可讓您在這些裝置直接連線到 Windows Update (WU) 服務時,讓組織中的 Windows 10 或更新版本裝置一律保持最新安全性防禦和 Windows 功能。 Configuration Manager 可以區分使用 WUfB 和 WSUS 取得軟體更新的 Windows 電腦。
警告
如果您為裝置使用共同管理,且已將 Windows Update 原則移至 Intune,則您的裝置會從 Intune 取得其商務用 Windows Update 原則。
- 如果 Configuration Manager 用戶端仍安裝在共同管理的裝置上,則累積 匯報 和功能 匯報 的設定會由 Intune 管理。 不過,如果在 [用戶端設定] 中啟用第三方修補,則仍由 Configuration Manager 管理。
當 Configuration Manager 客戶端設定為從 WU 接收更新時,某些 Configuration Manager 功能已無法再使用,其中包括 WUfB 或 Windows 測試人員:
Windows Update 合規性報告:
Configuration Manager 不會察覺發行至 WU 的更新。 設定為從 WU 接收更新的 Configuration Manager 用戶端會在 Configuration Manager 控制台中顯示這些更新的未知。
針對整體合規性狀態進行疑難解答十分困難,因為 未知 狀態僅適用於未從WSUS回報掃描狀態的用戶端。 現在它也包含 Configuration Manager 接收 WU 更新的用戶端。
定義 匯報 合規性是整體更新合規性報告的一部分,而且也不會如預期般運作。
基於更新合規性狀態的 Defender 整體 Endpoint Protection 報告不會傳回精確的結果,因為遺漏掃描數據。
Configuration Manager 將無法針對設定為使用 WUfB 來接收更新的用戶端,部署或報告Microsoft應用程式更新的合規性。 這包括 Microsoft 365 Apps、Internet Explorer、Edge 和 Visual Studio 的更新。
Configuration Manager 仍然可以將發行至 WSUS 並透過 Configuration Manager 管理的第三方更新部署到連線至 WUfB 以接收更新的用戶端。 如果您不想在連線到 WUfB 的用戶端上安裝任何第三方更新,請停用名為 [在用戶端上啟用軟體更新] 的客戶端設定。
Configuration Manager 使用軟體更新基礎結構的完整用戶端部署將無法讓連線到WUfB的用戶端接收更新。
識別使用 WUfB 進行 Windows 更新的用戶端
使用下列程式來識別使用 WUfB 取得 Windows 更新和升級的用戶端。 然後將這些客戶端設定為停止使用 WSUS 來取得更新,並部署用戶端代理程式設定,以停用這些客戶端的軟體更新工作流程。
WUfB 的必要條件
執行 Windows 10 Desktop Pro 或 Windows 10 企業版 版本 1511 或更新版本的用戶端
已部署商務用 Windows Update,且用戶端會使用 WUfB 來取得 Windows 更新和升級。
識別使用 WUfB 的用戶端
如果先前已啟用 Windows Update 代理程式,請確定代理程式不會掃描 WSUS。 下列登錄機碼可用來指出計算機是掃描 WSUS 還是 Windows Update。 如果登錄機碼不存在,則不會掃描 WSUS。
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer
Configuration Manager 資源總管中 Windows Update 節點下有一個新的屬性UseWUServer。
針對透過 WUfB 連線以進行更新和升級的所有電腦,根據 UseWUServer 屬性建立集合。 您可以根據類似下列查詢的查詢來建立集合:
Select sr.* from SMS_R_System as sr join SMS_G_System_WINDOWSUPDATE as su on sr.ResourceID=su.ResourceID where su.UseWUServer is null
建立用戶端代理程式設定以停用軟體更新工作流程。 將設定部署至直接連線到 WUfB 的電腦集合。
透過 WUfB 管理的電腦會在合規性狀態中顯示 [未知 ],且不會計算為整體合規性百分比的一部分。
設定商務用 Windows Update 延遲原則
您可以針對直接由商務用 Windows Update 管理的 Windows 裝置,設定 Windows 10 或更新版本功能 匯報 或品質 匯報 的延遲原則。 您可以在 [軟體>連結庫Windows 服務] 下的新 [商務 Windows Update 原則] 節點中管理延遲原則。
注意事項
您可以設定 Windows 測試人員的延遲原則。
如需 Windows 測試人員計劃的詳細資訊,請 參閱開始使用商務用 Windows 測試人員計劃。
延遲原則的必要條件
- Windows 10 1703 版或更新版本
- Windows 10 或更新版本,由商務用 Windows Update 管理的裝置必須具備因特網連線能力
建立商務用 Windows Update 延遲原則
- 在軟體連結庫>Windows 服務>中 Windows Update 商務原則
- 在 [首頁] 索引卷標的 [建立] 群組中,選取 [建立商務 Windows Update 原則] 以開啟 [建立商務用 Windows Update 原則精靈]。
- 在 [一 般] 頁面上,提供原則的名稱和描述。
- 在 [延遲原則] 頁面上,設定是否要延遲或暫停功能 匯報。 功能 匯報 通常是 Windows 的新功能。 設定 [分支整備等級] 設定之後,您可以定義是否要延遲接收功能 匯報 從Microsoft接收功能的時間長度。
分支整備層級:設定裝置將接收 Windows 更新的分支。 選擇 Semi-Annual 信道 (目標) 、Semi-Annual 通道或 Windows 測試人員組建。
注意事項
將半年通道的原則部署至 Windows 10 1903 版或更新版本。 將半年通道 (目標) 原則部署至 Windows 10 1809 版或更早版本。
如果您將半年通道 (目標) 原則部署至 Windows 10 1903 版或更新版本,則部署會失敗,0x8004100c錯誤。
延遲期間 (天) :指定功能 匯報 將延遲的天數。 您可以延遲接收這些功能 匯報,從其發行起最多 365 天。
暫停功能 匯報 開始:選取是否要暫停裝置接收功能 匯報 最多 35 天,從您暫停更新的時間起。 超過最多天數之後,暫停功能將會自動到期,且裝置會掃描 Windows 匯報 是否有適用的更新。 在此掃描之後,您可以再次暫停更新。 您可以清除複選框來取消暫停功能 匯報。
- 選擇要延遲或暫停品質 匯報。 品質 匯報 通常是現有 Windows 功能的修正和改善,通常會在每個月的第二個星期二發佈,不過可以隨時透過Microsoft發行。 您可以定義是否要延遲接收品質 匯報,以及延遲其可用性的時間長度。
- 延遲期間 (天) :指定品質 匯報 將延遲的天數。 您可以延遲接收這些品質 匯報,從其發行起最多 30 天。
- 暫停品質 匯報 開始:選取是否要暫停裝置接收品質 匯報 最多 35 天,從您暫停更新的時間起。 超過最多天數之後,暫停功能將會自動到期,且裝置會掃描 Windows 匯報 是否有適用的更新。 在此掃描之後,您可以再次暫停更新。 您可以清除複選框來取消暫停品質 匯報。
- 選取 [從其他Microsoft產品安裝更新],以啟用組策略設定,讓延遲設定適用於 Microsoft Update 以及 Windows 匯報。
- 選取 [包含具有 Windows Update 的驅動程式],以自動從 Windows 匯報 更新驅動程式。 如果您清除此設定,就不會從 Windows 匯報 下載驅動程式更新。
- 完成精靈以建立新的延遲原則。
部署商務用 Windows Update 延遲原則
- 在軟體連結庫>Windows 服務>中 Windows Update 商務原則
- 在 [首頁] 索引標籤的 [部署] 群組中,選取 [部署商務 Windows Update 原則]。
- 進行下列設定:
- 要部署的設定原則:選取您想要部署的商務 Windows Update 原則。
- 集合:按兩下 [瀏覽 ] 以選取您要部署原則的集合。
- 允許在維護期間以外進行補救:如果已針對您要部署原則的集合設定維護期間,請啟用此選項,讓原則設定補救維護期間外的值。 如需維護期間的詳細資訊,請參閱 如何使用維護時段。
- 排程:指定在用戶端計算機上評估已部署原則的合規性評估排程。 排程可以是簡單或自定義排程。
- 完成精靈以部署原則。