作为 IT 管理员,了解托管和非托管设备之间的差异对于有效的 Windows 更新管理至关重要。 本文阐明了管理这两种类型的设备的 Windows 更新所涉及的术语和做法。
什么是更新管理的 Windows 设备?
更新管理的设备是 IT 管理员或组织通过管理工具(如Microsoft Intune)或直接设置策略来控制 Windows 更新的设备。 可以使用组策略对象直接设置策略, (GPO) 、配置服务提供程序 (CSP) 策略或 Microsoft Graph。
注意
即使直接设置注册表项,此定义也为 true。 但是,我们不建议执行此操作,因为注册表项很容易被覆盖。
托管设备可以包括台式机、笔记本电脑、平板电脑、服务器和制造设备。 根据组织的标准和策略对这些设备进行保护并配置。
IT 托管:Windows 更新产品/服务
如果你通过以下方式管理更新产品/服务,则设备被视为 Windows 更新托管:
- 配置策略以管理向特定设备提供哪些更新。
- 设置组织何时应接收功能、质量和驱动程序更新等。
- 可以使用 组策略对象 (GPO) 、 配置服务提供程序 (CSP) 或 Microsoft Graph 来配置这些产品/服务。
IT 托管:Windows 更新体验
如果使用策略 (GPO、CSP 或 Microsoft Graph) 来管理设备行为,则设备被视为 Windows 更新托管。
可控制设备行为的示例包括活动时段、更新宽限期和截止时间、更新通知、更新计划等。 请参阅 更新策略 CSP 中的完整列表。
更新管理的 Windows 设备示例
下面是更新管理的设备的一些示例:
- 公司拥有的设备: IT 部门使用公司凭据、配置和策略预配的设备。
- BYOD 程序中员工拥有的设备: 在公司设备管理系统中注册的个人拥有的设备,用于安全访问公司资源。
- 通过 Windows Autopilot 预配的设备: 设置和预配置以立即准备好业务的设备。
- 强制安全设置: 具有运行状况要求(例如设备加密、PIN 或强密码、特定非活动超时期限和最新操作系统)的设备。
- Intune注册的设备:在Microsoft Intune中注册的设备,以便进行网络访问并强制实施安全策略。
- 第三方托管设备: 通过 GPO、CSP 或注册表项在具有已配置 Windows 更新策略的非Microsoft管理工具中注册的设备。
什么是更新非托管 Windows 设备?
与更新管理的设备不同,非托管设备不通过策略、管理工具或软件进行控制。 这些设备未在Microsoft Intune或Configuration Manager等工具中注册。 如果仅将“设置”页配置为在进行更新时控制整体设备行为,则被视为非托管设备。
注意
术语“Microsoft托管设备”用于指我们现在所说的“更新非托管 Windows 设备”。根据反馈,我们更新了术语,以明确起见。
更新非托管 Windows 设备的示例
更新非托管设备的示例包括:
- 个人设备: 组织中未在任何公司管理系统中注册的个人拥有的设备。
- 未在管理计划中注册的 BYOD 设备: 用于工作但不是组织一部分的设备将自带设备 (BYOD) 计划。
- 外围设备: 打印机、IP 电话和不间断电源等设备 (UPS) 无法接受集中管理的管理凭据。
有关托管和非托管设备的详细信息,请参阅 保护托管和非托管设备。