下表概述與修補程式作業系統相關的 ISM 控制項。
| ISM 控制 2025 年 3 月 | 成熟度 | 控制項 | 測量 |
|---|---|---|---|
| ISM-1694 號 | 1, 2, 3 | 當供應商將漏洞評估為非關鍵且不存在有效的漏洞時,會在發布後兩週內應用針對面向互聯網的服務器和面向互聯網的網絡設備的操作系統中的漏洞的補丁、更新或其他供應商緩解措施。 | 使用商務用 Windows Update 和定義的更新通道,修補程式會在 2 週的發行後安裝。 |
| ISM-1695 號 | 1, 2 | 針對工作站、非互聯網伺服器和非互聯網網絡設備的操作系統漏洞的補丁、更新或其他供應商緩解措施將在發布後一個月內應用。 | IT 系統管理員會在 Microsoft Configuration Manager 中部署具有所需日期的期限設定的更新 |
| ISM-1696 號 | 3 | 當供應商評估漏洞為嚴重或存在有效漏洞時,將在發布後 48 小時內針對工作站、非互聯網伺服器和非互聯網網絡設備的操作系統漏洞實施補丁、更新或其他緩解措施。 | IT 系統管理員會在 Microsoft Configuration Manager 中部署期限設定為 [儘快] 的更新 |
| ISM-1701 號 | 1, 2, 3 | 漏洞掃描器至少每天使用一次,以識別面向互聯網的伺服器和面向互聯網的網絡設備的操作系統中缺少的漏洞補丁或更新。 | 上線至適用於端點的 Defender 的裝置。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| ISM-1702 號 | 1, 2, 3 | 漏洞掃描器至少每兩週使用一次,以識別工作站、非互聯網伺服器和非互聯網網絡設備的操作系統中缺失的漏洞修補程式或更新。 | IT 系統管理員會設定 Configuration Manager 的軟體更新功能,以至少每 14 天執行一次系統上遺失的修補程式掃描。 |
| ISM-1877 號 | 1, 2, 3 | 當供應商評估漏洞為嚴重或存在有效的漏洞時,會在發布後 48 小時內套用針對面向互聯網的伺服器和面向互聯網的網絡設備操作系統漏洞的補丁、更新或其他緩解措施。 | 使用商務用 Windows Update 加急修補程式部署方法,修補程式會在 48 小時內安裝。 |
| ISM-1501 號 | 1, 2, 3 | 廠商不再支援的作業系統會被取代。 | 使用定義的環,WUfB 會自動將裝置更新為最新的功能更新。 |
| ISM-1879 號 | 3 | 當供應商將漏洞評估為嚴重或存在有效的漏洞時,會在發布後 48 小時內應用驅動程序漏洞的補丁、更新或其他供應商緩解措施。 | 使用定義的環,WUfB 會自動將裝置更新為最新的功能更新。 |
| ISM-1900號 | 3 | 漏洞掃描程序至少每兩週使用一次,以識別韌體漏洞的缺失修補程式或更新。 | 裝置將會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| ISM-1902 號 | 3 | 當供應商評估漏洞為非嚴重且不存在有效漏洞時,應在發布後一個月內針對工作站、非互聯網伺服器和非互聯網網絡設備的操作系統中的漏洞實施補丁、更新或其他緩解措施。 | IT 系統管理員會設定 Configuration Manager 的軟體更新功能,以至少每 14 天執行一次系統上遺失的修補程式掃描。 |
| ISM-1903 號 | 3 | 當供應商將漏洞評估為嚴重或存在有效漏洞時,會在發布後 48 小時內應用固件漏洞的補丁、更新或其他供應商緩解措施。 | Intune 的驅動程式和韌體部署方法會部署最新的安全驅動程式和韌體版本。 |
| ISM-1904 號 | 3 | 當供應商將漏洞評估為非關鍵且不存在有效漏洞時,會在發布後一個月內應用韌體漏洞的修補程式、更新或其他供應商緩解措施。 | Intune 的驅動程式和韌體部署方法將用於部署最新的安全驅動程式和韌體版本。 |
| ISM-1697 號 | 3 | 當供應商將漏洞評估為非嚴重且不存在有效的漏洞時,會在發布後一個月內套用驅動程式漏洞的修補程式、更新或其他供應商緩解措施。 | Intune 驅動程式和韌體部署方法將會用於修補驅動程式和韌體中的弱點 |
| ISM-1703 號 | 3 | 漏洞掃描程序至少每兩週使用一次,以識別驅動程序中漏洞的缺失補丁或更新。 | 裝置將會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| ISM-17041 | 1, 2, 3 | 已移除廠商不再支援的辦公室生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體、Adobe Flash Player 以及安全性產品。 | Intune 應用程式部署方法可用來移除不支援的應用程式和延伸模組2. |
| ISM-18071 號 | 1, 2, 3 | 至少每兩週使用一次自動化的資產探索方法,以支援後續漏洞掃描活動的資產偵測。 | 使用掃描器執行資產探索並維護資產庫存2. |
| ISM-18081 號 | 1, 2, 3 | 具有最新漏洞資料庫的漏洞掃描器用於漏洞掃描活動。 | DVM 的漏洞資料庫會隨著 Microsoft 和其他公司發現您網路上安裝的軟體中的漏洞而不斷更新2. |
商務用 Windows Update
商務用 Windows Update (WUfB) 可讓 IT 系統管理員透過將這些端點直接連線到 Windows Update,讓組織的 Windows 裝置保持最新的安全性和品質更新以及 Windows 功能。 IT 系統管理員可以使用 Microsoft Intune 與 WUfB 之間的整合,在裝置上設定更新設定,並設定更新安裝的延遲。
商務用 Windows Update 提供數種更新類型的管理原則:
- 功能更新:這些更新不僅包含安全性和品質修訂,還包含重要的功能添加和變更。 從 Windows 10 21H2 開始,功能更新每年都會在日曆年的下半年發布。 功能更新的發行資訊記載在這裡:Windows 10 - 發行資訊 |Microsoft Docs
- 品質更新:傳統作業系統更新,通常在每個月的第二個星期二發布, (這些更新可以隨時) 發布。 其中包括安全性、重要和驅動程式更新。 品質更新可累計。
- Windows 驅動程式:適用於受管理裝置的裝置驅動程式。
- Microsoft產品更新:匯報其他Microsoft產品,例如 MSI 版本的 Microsoft 365 應用程式和 .NET (Dot Net) Framework。 您可以使用商務用 Windows Update 原則來啟用或停用這些更新。
商務通道的 Windows Update
WUfB 有環的概念。 環是以特定裝置群組為目標的 WUfB 設定和原則的集合。 組織可以視需要使用任意數量的通道,不過大部分的組織所確定的通道比之前與其他修補工具 (例如 Microsoft Endpoint Configuration Manager) 搭配使用的通道要少。 建議開始的戒指數量在 3 到 5 個戒指之間。
重要的商務用 Windows Update 設定和術語
WUfB 引進了一些系統管理員可能不熟悉的新概念和術語:
- 偵測:裝置會定期簽入 Windows Update 服務,以檢查是否提供任何更新。 此簽入和判斷裝置有可用的更新稱為偵測。
- 延遲:商務用 Windows Update 可讓您將更新延遲提供給裝置指定的天數。
- 期限:期限設定可讓系統管理員指定在裝置上安裝品質更新之前的天數。 經過指定的天數後,將自動安裝更新。 期限倒數計時會從提供更新的時間開始 (也就是透過) 裝置的延遲選項偵測到指定的更新。
- 寬限期:寬限期設定可讓管理員指定重新開機前的天數,以套用和安裝更新。 經過指定的天數後,將自動重新啟動。 重新啟動倒數計時從成功安裝更新開始。
商務用 Windows Update 設定時間表範例
| 截止日期值 | 寬限期值 | 強制更新安裝時間 | 強制重啟 |
|---|---|---|---|
| 0 | 0 | 檢測後立即 | 安裝後立即 |
| 2 | 2 | 檢測後2天 | 更新安裝後 2 天 |
商務用 Windows Update 通道設定
以下是 WUfB 環配置示例,總共有 5 個環。 對於每個 Ring,會列出建議的延遲、截止日期和寬限期。 已提供每個環的完整 配置 ,以便於參考。
- 環 0 – 測試設備: (關鍵應用程式的專用測試設備 & 初始煙幕)
- 環 1 – 試驗裝置:IT 管理員、早期採用者 (佔裝置總數的 1%)
- 環 2 – 快速設備:隨機分類的設備 (佔設備總數的 9%)
- 環 3 – 廣泛的裝置:廣泛的部署 (佔裝置總數的 90%)
- 環 4 – 關鍵設備:高管人員、關鍵業務設備等。
環 0:測試裝置
- 在發布後 0 天安裝更新。
組織應配置由專用測試設備組成的“環 0”。
這些設備會立即接收更新。 管理員可以使用這些裝置搭配最新更新來執行關鍵應用程式的初始驗證,且功能仍可如預期般運作。
| 品質更新延遲 | 功能更新延遲 | 截止日期值 | 寬限期值 | 強制品質更新安裝時間 | 強制重啟 |
|---|---|---|---|---|---|
| 0 | 0 | 0 | 0 | 釋放和檢測後立即 | 強制更新安裝後立即 |
如需此通道的完整設定,請參閱商務用 Windows Update 通道設定。
環 1:飛行員
- 在發布後 2 天安裝更新 (1% 的設備)
IT 人員和選定的早期採用者構成了 Ring 1,通常約佔受管理設備總數的 1%。
除了使用 Ring 0 進行初始測試外,此 Ring 還由執行日常工作的用戶提供第一線測試,以在更多設備收到更新之前發現任何問題。
| 品質更新延遲 | 功能更新延遲 | 截止日期值 | 寬限期值 | 強制品質更新安裝時間 | 強制重啟 |
|---|---|---|---|---|---|
| 2 | 10 | 2 | 2 | 品質更新發布和偵測後 4 天 | 強制更新安裝後 2 天 |
如需此通道的完整設定,請參閱商務用 Windows Update 通道設定。
注意事項
排除特殊許可權存取工作站,如果問題從此通道發生,將用於疑難排解和解決問題。 寬環將是這些設備的合適環。
環 2:快速
- 發布後 4 天安裝更新 (9% 的設備)
應將包含 9% 組織端點的隨機分類新增至環 2。
這些裝置設定為在發行後 4 天接收更新,允許更多使用者在廣泛部署至組織的其他部分之前進行更多測試。
| 品質更新延遲 | 功能更新延遲 | 截止日期值 | 寬限期值 | 強制品質更新安裝時間 | 強制重啟 |
|---|---|---|---|---|---|
| 4 | 30 | 2 | 2 | 品質更新發布和偵測後 6 天 | 強制更新安裝後 2 天 |
如需此通道的完整設定,請參閱商務用 Windows Update 通道設定。
環 3:寬
- 在發布後 7 天安裝更新 (90% 的設備)
所有其餘裝置都應設定為環 3 的一部分。
到了這個階段,組織有信心可以在其裝置上廣泛安裝更新。 Ring 3 將更新設定為在自動安裝之前從發布起延遲 7 天。
| 品質更新延遲 | 功能更新延遲 | 截止日期值 | 寬限期值 | 強制品質更新安裝時間 | 強制重啟 |
|---|---|---|---|---|---|
| 7 | 60 | 2 | 2 | 品質更新發布和偵測後 9 天 | 強制更新安裝後 2 天 |
如需此通道的完整設定,請參閱商務用 Windows Update 通道設定。
環 4:關鍵系統
- 在發行後 14 天安裝更新
某些組織有少量重要裝置,例如執行人員使用的裝置。
對於這些類型的設備,組織可能希望進一步推遲品質和功能更新的安裝,以盡量減少任何潛在的中斷。 這些設備將成為環 4 的一部分,專門用於這些關鍵設備。
| 品質更新延遲 | 功能更新延遲 | 寬限期值 | 截止日期值 | 更新安裝時間 | 強制重啟 |
|---|---|---|---|---|---|
| 10 | 90 | 2 | 2 | 品質更新發行和偵測後 12 天 | 強制更新安裝後 2 天 |
如需此通道的完整設定,請參閱附錄中的商務用 Windows Update 通道設定。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| 1694 | 1, 2, 3 | 當供應商將漏洞評估為非關鍵且不存在有效的漏洞時,會在發布後兩週內應用針對面向互聯網的服務器和面向互聯網的網絡設備的操作系統中的漏洞的補丁、更新或其他供應商緩解措施。 | 使用商務用 Windows Update 和定義的更新通道,修補程式會在 2 週的發行後安裝。 |
| 1501 | 1, 2, 3 | 廠商不再支援的作業系統會被取代。 | 使用定義的環,WUfB 會自動將裝置更新為最新的功能更新。 |
加快品質更新
Intune 提供 加速品質更新的功能,加速品質更新的安裝,例如最新的修補程式星期二版本或零時差缺陷的頻外安全性更新。 為了加速安裝,加速更新會使用可用的服務,例如 Windows 推播通知服務 (WNS) 和推播通知通道,將有加速更新要安裝的訊息傳遞至裝置。 此程式可讓裝置盡快開始下載和安裝加急更新,而不需要等待裝置簽入更新。
實施細節 – 加快質量更新
若要加快品質更新:
- 在 [裝置>>] 底下的 [Windows 10 Windows 10 和更新版本的品質更新] 配置檔 ([預覽])
- 提供名稱。 建議原則的名稱與加速的品質更新版本一致,以便於參考。
- 定義商務用 Windows Update 在裝置作業系統版本低於時加速安裝的品質更新。
- 定義強制重新啟動裝置之前的天數
- 將設定檔指派給包含所有適用 Windows 裝置的群組
注意事項
如果強制重新啟動之前的等待天數設定為 0,則裝置會在收到更新後立即重新啟動。 使用者不會收到延遲重新開機的選項。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| 1877 | 1, 2, 3 | 當供應商評估漏洞為嚴重或存在有效的漏洞時,會在發布後 48 小時內套用針對面向互聯網的伺服器和面向互聯網的網絡設備操作系統漏洞的補丁、更新或其他緩解措施。 | 使用商務用 Windows Update 加急修補程式部署方法,修補程式會在 48 小時內安裝。 |
| 1879 | 3 | 當供應商將漏洞評估為嚴重或存在有效的漏洞時,會在發布後 48 小時內應用驅動程序漏洞的補丁、更新或其他供應商緩解措施。 | 使用定義的環,WUfB 會自動將裝置更新為最新的功能更新。 |
注意事項
建議您最終移除加速品質更新原則,通常是在確認修補程式已成功部署至所有裝置之後,或會被下個月的更新取代。
傳遞最佳化
傳遞優化是雲端管理的解決方案,可讓用戶端從替代來源下載更新,例如傳統的因特網型伺服器之外) 網路上的其他對等 (。 透過 Intune 設定時,可以針對 Windows 裝置設定傳遞優化設定,以在下載更新二進位檔時減少因特網頻寬耗用量。
實作詳細資料 – 傳遞最佳化原則
- 在 [裝置>] 底下建立傳遞優化原則Windows>組態配置檔>建立配置檔>平臺>Windows 10 和更新版本>配置檔類型範本>傳遞優化
- 提供原則的名稱
- 在 [ 組態設定 ] 頁面中,根據附錄中的 [傳遞優化原則設定] 使用值,然後建立原則。
- 將設定檔指派給包含所有適用 Windows 裝置的群組。
Intune 驅動程式和韌體更新管理
透過 Microsoft Intune 中的 Windows 驅動程式更新管理,您可以監督、授權部署,以及暫時停止在受控 Windows 10 和 Windows 11 裝置上推出驅動程式更新。 Intune 與商務Windows Update (WUfB) 部署服務 (DS) 一起處理在驅動程式更新原則下識別裝置相關驅動程式更新的複雜程式。 這些更新依 Intune 和 WUfB-DS 分類,簡化了區分適合所有裝置的建議更新和針對特定需求量身打造的可選更新的過程。 透過 Windows 驅動程式更新原則,您可以保留對裝置上驅動程式更新安裝的完整控制權。
您可以採取下列做法:
- 啟用建議驅動程式匯報的自動核准:設定為自動核准的原則會立即亮綠燈,並將每個新的建議驅動程式更新版本部署至指派給原則的裝置。 建議的驅動程式通常代表驅動程式發行者標示為必要的最新更新。 此外,未指定為目前建議版本的驅動程式會被分類為其他驅動程式,提供可選的更新。 接著,當 OEM 發行較新的驅動程式更新,並識別為目前建議的驅動程式更新時,Intune 會自動將它新增至原則,並將先前建議的驅動程式移至其他驅動程式清單。
- 設定原則以要求手動核准所有更新:此原則可確保系統管理員必須先核准驅動程式更新,才能部署驅動程式更新。 具有此原則的裝置的較新版本驅動程式更新會自動新增至原則,但在核准之前會保持非作用中狀態。
- 管理哪些驅動程式已核准部署:您可以編輯任何驅動程式更新原則,以修改哪些驅動程式已核准部署。 您可以暫停任何個別驅動程式更新的部署,以停止其部署至新裝置,然後稍後重新核准暫停的更新,讓 Windows Update 繼續在適用的裝置上安裝它。
透過 Intune 驅動程式和韌體管理功能部署驅動程式和韌體更新的步驟
步驟 1:建立驅動程式更新配置檔和部署通道
建立驅動程式原則更新原則時,IT 系統管理員可以在自動更新和手動更新之間進行選擇。
- 自動:自動核准所有建議的驅動程式,並設定探索後多久開始提供這些驅動程式。
-
手動:手動核准驅動程式,並在核准驅動程式時選取開始提供更新的日期。 使用此選項時,在手動核准之前不會提供任何驅動程式。
若要建立一組部署通道,建議您使用下列設定組合:
- 審批方式:自動審批所有推薦的驅動程序更新
- 在 (天後提供更新)
步驟 2:查看可用的驅動程式
建立原則之後,讓裝置掃描更新大約一天左右。 [ 要檢閱的驅動程式] 資料行包含可供檢閱以供手動核准的新建議驅動程式更新計數。 在自動原則中,要檢閱的驅動程式會停留在 0,因為建議的驅動程式會自動核准。 這是一個很好的指標,表明已經發現了新的驅動程序,並且正在等待是否批准或拒絕部署這些驅動程序的決定。
步驟 3:核准驅動程式
當 IT 管理員核准驅動程式時,還可以提供未來的核准日期。 一旦驅動程式獲得核准,Intune 受控 Windows 裝置就會在下一個原則同步處理週期中接收驅動程式,通常是每 8 小時一次。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| ISM-1697 號 | 3 | 當供應商將漏洞評估為非嚴重且不存在有效的漏洞時,會在發布後一個月內套用驅動程式漏洞的修補程式、更新或其他供應商緩解措施。 | Intune 的驅動程式和韌體部署方法將用於核准和部署最新版本的驅動程式,以減輕弱點 |
| ISM-1903 號 | 3 | 當供應商將漏洞評估為嚴重或存在有效漏洞時,會在發布後 48 小時內應用固件漏洞的補丁、更新或其他供應商緩解措施。 | 當廠商將韌體弱點評定為嚴重時,IT 系統管理員會在 Intune 主控台中核准較新版本的韌體 |
| ISM-1904 號 | 3 | 當供應商將漏洞評估為非關鍵且不存在有效漏洞時,會在發布後一個月內應用韌體漏洞的修補程式、更新或其他供應商緩解措施。 | Intune 的驅動程式和韌體部署方法會部署最新的安全驅動程式和韌體版本。 |
監視更新安裝
注意事項
更新合規性已從 2023 年 3 月起被取代。
使用 Log Analytics) 更新合規性 (報告合規性
更新合規性允許監視 Windows 10 或 Windows 11 專業版、教育版和企業版的品質和功能更新。 更新合規性會整理 Windows 用戶端診斷資料,以報告 Windows 裝置上的更新狀態,以報告 Log Analytics 工作區。 更新合規性會顯示已上線至服務的所有裝置的資訊,以協助判斷它們是否為下列裝置的最新狀態:
- 安全性更新:只要裝置安裝了最新的適用品質更新,就會在品質更新上保持最新狀態。 品質更新是 Windows 用戶端版本特有的每月累積更新。
- 功能更新:只要裝置安裝了最新的適用功能更新,裝置就會在功能更新上保持最新狀態。 更新合規性會在判斷更新適用性時考慮服務通道。
如需布建 Log Analytics 工作區以進行更新合規性的必要條件的詳細資訊,請參閱開始使用 更新合規性 - Windows 部署。
將裝置上線以更新合規性
- 建立更新合規性解決方案之後,請流覽至 Log Analytics 工作區的 [解決方案] 索引標籤,然後選取 WaaSUpdateInsights 解決方案,以擷取您的商業識別碼。 CommercialID 是指派給特定 Log Analytics 工作區的全域唯一識別碼。
- 設定原則以符合更新合規性原則
- 從主控台中,將 CommercialID 的值變更為您在步驟 1) 期間收集的唯一 CommercialID (
- 將設定檔指派給包含所有適用 Windows 裝置的群組。
使用更新合規性報告
合併的診斷資料會呈現在更新合規性中隨時可用的各種報告區段中。 收集的資料會在更新合規性內儲存 28 天。
需要注意合規性報告區段
本節提供更新合規性偵測到的所有 Windows 用戶端裝置和更新問題的明細。 本節的摘要磚會計算有問題的裝置數目,而本節中的刀鋒視窗會細分遇到的問題,例如作業系統版本不受支援的裝置,以及缺少安全性更新的裝置。 這些報告中顯示的裝置需要管理員進行補救。 還有一個預先定義的查詢清單,這些查詢提供值,但不適合任何其他主要部分,例如具有擱置重新啟動、設定暫停等的裝置。
安全性更新狀態合規性報告區段
本節列出針對裝置執行的 Windows 版本發行的最新安全性更新的裝置百分比。 選取此區段會提供刀鋒視窗,摘要說明所有裝置上安全性更新的整體狀態,以及最新兩個安全性更新的部署進度摘要。
功能更新狀態合規性報告區段
本節列出適用於指定裝置的最新功能更新的裝置百分比。 選取此區段會提供刀鋒視窗,摘要說明所有裝置上的整體功能更新狀態,以及環境中不同版本 Windows 用戶端的部署狀態摘要。
傳遞優化狀態合規性報告區段
本節摘要說明在您的環境中使用傳遞最佳化所產生的頻寬節省。 它提供跨裝置傳遞優化設定的明細,並摘要說明跨多個內容類型的頻寬節省和使用率。
Windows 自動修補
軟體更新管理程式中最昂貴的層面之一是確保實體和虛擬) (裝置始終狀況良好,以接收和報告每個軟體更新發行週期的軟體更新。 當正在進行的變革管理流程出現問題時,擁有一種衡量、快速檢測和補救的方法非常重要;它有助於緩解高服務台票證量、降低成本並改善整體更新管理結果。
Windows 自動修補是一項雲端服務,可自動修補 Windows、Microsoft 365 Apps for Enterprise、Microsoft Edge、Microsoft Teams、Surface 驅動程式/韌體、已發佈的驅動程式/韌體,這些驅動程式/韌體在Windows Update市集中標示為必要、Windows 365 和 Azure 虛擬桌面 (AVD) 。 Windows 自動修補會為您的組織提供額外的層,以減輕部署 Windows 匯報時的問題。 Windows 自動修補部署通道會在裝置層級隔離,這表示在 Windows 自動修補裝置註冊程式期間,我們會將裝置指派給其中一個部署通道:測試、第一個、快速或廣泛。
Windows 自動修補隨附於 Windows 10/11 企業版 E3 或更新版本。 使用自動修補還有其他必要 條件 ,包括某些 網路設定 ,這些設定應被視為推出的一部分。
自動修補註冊步驟
步驟 1:準備評估
整備評估工具會檢查 Microsoft Intune 和 Microsoft Entra ID 中的設定,以確保它在註冊租用戶時可與 Windows 自動修補搭配使用。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。
若要啟用整備程度評估:
- 身為全域系統管理員,請移至 Intune
- 在左窗格中,選取 [租用戶管理 ],然後流覽至 [Windows 自動修補>租用戶註冊]。
整備評估工具會檢查 Intune 設定,以確認 Windows 10 或更新版本的部署通道,以及最低系統管理員需求和未授權的系統管理員。 它也會檢查您的 Microsoft Entra 設定,包括共同管理和授權。
整備評估工具會提供報告,並建議必須解決的任何問題,以及需要 執行哪些步驟 才能達到就緒狀態。 解決問題後,您可以進入下一步。
步驟 2:驗證管理員聯絡人
此步驟的目的是確認您的組織有每個重點領域的系統管理員,讓 Windows 自動修補服務工程小組可以連絡您組織的系統管理員,以處理您未來的支援要求,並在註冊程式期間擴充設定的最低系統管理員。
| 重點領域 | 描述 |
|---|---|
| 裝置 | 裝置登錄 |
| 裝置健康狀況 | |
| 更新 | Windows 品質更新 |
| Microsoft 365 Apps 企業版更新 | |
| Microsoft Edge 更新 | |
| Microsoft Teams 更新 |
完成下列步驟以新增管理員聯絡人:
- 登入 Intune。
- 在 [Windows 自動修補] 區段的 [租用戶管理] 底下,選取 [管理員連絡人]。
- 選取 新增。
- 輸入聯絡方式,包括姓名、電子郵件、電話號碼和首選語言。 對於支援票證,票證的主要聯絡人的偏好語言會決定用於電子郵件通訊的語言。
- 選取焦點 區域, 然後輸入聯絡人在指定焦點區域中的知識和權限的詳細資料。
- 選取 [儲存] 以新增連絡人。
- 每個重點領域的重複。
注意事項
管理員可能有多個重點領域,尤其是在較小的組織中。
步驟 3:裝置註冊
Windows 自動修補裝置註冊程式對使用者來說是透明的。
Windows 自動修補必須將您現有的裝置註冊到其服務中,才能代表您管理更新部署。 若要執行裝置註冊:
- IT 系統管理員在向 Windows 自動修補註冊裝置之前,先檢閱 Windows 自動修補裝置註冊必要條件
- IT 系統管理員會識別要由 Windows 自動修補管理的裝置,並將其新增至 Windows 自動修補裝置註冊 Microsoft Entra 群組
- Windows 自動修補接著:
- 執行裝置整備預先註冊 (必要條件檢查)
- 計算部署通道分佈
- 根據先前的計算,將裝置指派給部署通道
- 將裝置指派給管理所需的其他 Microsoft Entra 群組
- 將裝置標示為作用中以供管理,以便套用其更新部署原則
- 然後,IT 系統管理員會監視裝置註冊趨勢和更新部署報告詳細的裝置註冊工作流程,請參閱 這裡。
Windows 自動修補裝置類型
任何裝置 (包含Microsoft Entra裝置識別碼的實體或虛擬) ,都可以新增至 Windows 自動修補裝置註冊Microsoft Entra群組。 這可以透過直接成員資格,或成為另一個Microsoft Entra群組的一部分, (動態或巢狀至此群組的指派) ,因此可以向 Windows 自動修補註冊。 唯一的例外是 Windows 365 雲端電腦,因為這些虛擬裝置必須從 Windows 365 布建原則向 Windows 自動修補註冊。
適用於 Windows 365 的自動修補
Windows 365 企業版可讓 IT 系統管理員選擇向 Windows 自動修補服務註冊裝置,作為 Windows 365 布建原則建立的一部分。 此選項為系統管理員和使用者提供順暢的體驗,以確保您的雲端電腦始終保持最新狀態。 當 IT 系統管理員決定使用 Windows 自動修補來管理其 Windows 365 雲端電腦時,Windows 365 布建原則建立程式會呼叫 Windows 自動修補裝置註冊 API,以代表 IT 系統管理員註冊裝置。若要從 Windows 365 布建原則向 Windows 自動修補註冊新的Windows 365 雲端電腦裝置:
- 移至 Intune。
- 在左窗格中,選取 [裝置]。
- 流覽至 [布建>Windows 365]。
- 選取 [佈建原則>] [建立原則]。
- 提供原則名稱,然後選取 [聯結類型]。
- 選取 [下一步]。
- 選擇所需的圖像並選擇 下一步。
- 在 [Microsoft 受控服務 ] 區段下,選取 [Windows 自動修補]。 然後,選取 [下一步]。
- 據以指派您的原則,然後選取 [ 下一步]。
- 選取 [建立]。
現在,您新佈建的 Windows 365 企業版雲端電腦將由 Windows 自動修補自動註冊和管理。
Azure 虛擬桌面上的 Windows 自動修補
Windows 自動修補適用於 Azure 虛擬桌面。 企業系統管理員可以根據實體機器,使用現有的裝置註冊程式,佈建其 Azure 虛擬桌面工作負載,以由 Windows 自動修補管理。 Windows 自動修補會為虛擬機器提供與 實體裝置相同的服務範圍。 不過,除非另有指定,否則 Windows 自動修補會將任何 Azure 虛擬桌面特定支援延遲至 Azure 支援。
自動修補儀表板和報告
自動修補提供摘要儀表板和各種 當前 狀態報告和 歷史 ( 縱向) 報告, (註冊到自動修補的所有設備長達 90 天) ,如果需要,可以將其匯出為 CSV 檔案。 若要檢視所有已註冊裝置的目前更新狀態:
- 登入 Intune。
- 流覽至報告>Windows 自動修補>Windows 品質匯報。
「所有裝置報告」包含:
| 資訊 | 描述 |
|---|---|
| 裝置名稱 | 裝置的名稱。 |
| Microsoft Entra 裝置識別碼 | 目前的 Microsoft Entra ID 會記錄裝置的裝置識別碼。 |
| 序號 | 目前的 Intune 記錄裝置序號。 |
| 部署通道 | 目前指派的裝置 Windows 自動修補部署通道。 |
| 更新狀態 | 裝置的目前更新狀態 |
| 更新子狀態 | 裝置的目前更新子狀態 |
| 作業系統版本 | 裝置上安裝的目前 Windows 版本。 |
| 作業系統修訂 | 裝置上安裝的 Windows 目前版本。 |
| Intune 上次簽入時間 | 裝置上次簽入 Intune 的時間。 |
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| 1694 | 1, 2, 3 | 當供應商將漏洞評估為非關鍵且不存在有效的漏洞時,會在發布後兩週內應用針對面向互聯網的服務器和面向互聯網的網絡設備的操作系統中的漏洞的補丁、更新或其他供應商緩解措施。 | 對於註冊 Windows 自動修補的裝置,更新會在 2 週內安裝。 |
| 1877 | 1, 2, 3 | 當供應商評估漏洞為嚴重或存在有效的漏洞時,會在發布後 48 小時內套用針對面向互聯網的伺服器和面向互聯網的網絡設備操作系統漏洞的補丁、更新或其他緩解措施。 | 自動修補群組可讓組織靈活地在必要時將截止日期縮短至 48 小時內。 |
| 1879 | 3 | 當供應商將漏洞評估為嚴重或存在有效的漏洞時,會在發布後 48 小時內應用驅動程序漏洞的補丁、更新或其他供應商緩解措施。 | 自動修補群組可讓組織靈活地在必要時將截止日期縮短至 48 小時內。 |
使用 Microsoft Defender 弱點管理來識別弱點
Microsoft Defender 弱點管理 (DVM) 為 Windows、macOS、Linux、Android、iOS 和網路裝置提供資產可見性、智慧評估和內建修復工具。
作為必要條件,端點必須上線至適用於端點的 Microsoft Defender。 使用 DVM 還有其他 其他先決條件 。 一旦上線,DVM 就能夠評估漏洞是否適用於各個設備並提供建議的操作。
實作詳細數據 – 將端點上線至適用於端點的 Microsoft Defender
- 建立具有範本>類型的新 Windows 組態配置檔適用於端點的 Microsoft Defender (執行 Windows 10 或更新版本) 的桌面裝置。
- 將 「加速 遙測報告頻率」設定為 「啟用」。
- 將設定檔指派給包含所有適用 Windows 裝置的群組。
使用 Microsoft Defender 弱點管理探索弱點
將裝置上線至適用於端點的 Defender 之後,DVM 可以判斷是否有任何裝置可能暴露於弱點,並為每個已識別的弱點提供安全性建議。
在 [弱點管理>清查] 底下的 Microsoft 安全性入口網站中,會顯示跨上線至適用於端點的 Defender 的端點所識別的軟體產品,包括廠商名稱、找到的弱點、與其相關聯的威脅,以及公開的裝置。
您也可以導覽至「裝置清單」頁面,以檢視特定裝置上的軟體清單。 選取裝置名稱以開啟裝置頁面, (例如 Computer1) ,然後選取 [軟體清查] 索引標籤,以查看裝置上存在的所有已知軟體清單。 選取特定的軟體專案,以開啟包含詳細資訊的飛出視窗。
開啟特定軟體頁面可提供有關應用程式的更多詳細信息,如以下螢幕截圖所示。 顯示的詳細信息包括:
- 針對已識別的弱點和弱點的相應安全建議。
- 已發現漏洞的具名 CVE。
- 安裝了該軟體的裝置 (裝置名稱、網域、作業系統等) 。
- 軟體版本清單 (包括安裝該版本的裝置數量、發現的漏洞數量以及) 已安裝裝置的名稱。
使用 Microsoft Intune 補救弱點
DVM 功能旨在透過補救要求工作流程來彌合安全與 IT 管理員之間的差距。 DVM 補救動作可以使用原生整合,在 Intune 中產生補救工作。 此外,DVM API 可用於在需要時使用第三方工具協調修復程序和操作。 下列步驟描述使用 DVM 和 Intune 的補救工作流程:
若要使用這項功能,請啟用 Microsoft Intune 連線。
- 在 Microsoft Defender 入口網站中。
- 導覽至「設定」>「端點」「一般」>「>進階功能」。
- 向下捲動並尋找 Microsoft Intune 連線。
- 依預設,切換會關閉。 將 Microsoft Intune 連線 切換開關切換為 [開啟]。
注意事項
在 DVM 中建立補救要求時,必須啟用與 Microsoft Intune 的連線,才能建立對應的 Intune 安全性工作。 如果未啟用連線,則不會顯示建立 Intune 安全性工作的選項。
- 移至 Microsoft Defender 入口網站中的 [弱點管理導覽功能表],然後選取 [建議]。
- 選取您要要求補救的安全性建議,然後選取 [補救 選項]。
- 填寫表單,包括您要求補救的內容、適用的裝置群組、優先順序、到期日和選用附註。
要求所
要求所
提交補救要求會在 DVM 內建立補救活動項目,可用來監視任何補救進度。 當系統管理員從 [安全性建議] 頁面提交補救要求時,會建立可在 [補救] 頁面上追蹤的安全性工作,並在 Microsoft Intune 中建立補救票證。 這不會觸發補救或將任何變更套用至裝置。
下圖顯示在 Intune 中建立的安全性工作:
- Intune 系統管理員會選取安全性工作,以檢視工作的詳細數據。 系統管理員接著選取 [接受],這會將 Intune 和適用於端點的 Defender 中的狀態更新為 [已接受]。
然後,Intune 系統管理員會根據提供的指引補救工作。 指引會根據所需的補救類型而有所不同。 如果可用,補救指引會包含在 Intune 中開啟設定相關窗格的連結。
有關 DVM 的其他資訊,請參閱 修補程式應用程式部分。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| 1701 | 1, 2, 3 | 漏洞掃描器至少每天使用一次,以識別面向互聯網的伺服器和面向互聯網的網絡設備的操作系統中缺少的漏洞補丁或更新。 | 裝置將會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| 1703 | 3 | 漏洞掃描程序至少每兩週使用一次,以識別驅動程序中漏洞的缺失補丁或更新。 | 裝置將會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| 1900 | 3 | 漏洞掃描程序至少每兩週使用一次,以識別韌體漏洞的缺失修補程式或更新。 | 裝置將會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
依照裝置作業系統版本而定
Intune 中的合規性原則可讓您根據裝置是否可以符合一或多個設定的需求來判斷裝置是否符合規範或不符合規範。 當存取受條件式存取保護的公司資源時,會評估裝置的此合規性狀態,以允許或拒絕存取資源。
Intune 可以根據裝置的目前作業系統版本來判斷裝置是否符合規範或不符合規範。 使用條件式存取中的裝置合規性授與控制,使用者將只能在符合或超過最低作業系統版本的裝置上存取公司資源。
實作詳細資料:Windows Update 合規性原則
- 在 [裝置>] [Windows > 合規性原則] 底下,建立 [Windows 合規性原則>] [建立原則>平臺>] [Windows 10 和更新版本]。
- 提供原則的名稱。
- 選取 [裝置屬性],輸入要在最低作業系統版本中被視為符合規範的最低作業系統版本。
- 將設定檔指派給包含所有適用 Windows 裝置的群組。
已提供根據作業系統值評估裝置的一般合規性原則。
注意事項
針對 Windows 11 和 Windows 10 的最低 OS 版本提供的值必須隨著時間遞增。
| ISM 控制 2024 年 12 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| 1407 | 3 | 使用最新版本或先前版本的作業系統。 | 使用不符合指派的合規性原則中定義的 OS 版本的裝置的使用者,在與條件式存取搭配使用時,將無法存取公司資源。 |
修補非網際網路對向系統
Microsoft 建議使用 Microsoft Intune 和 Azure 更新管理員等雲端服務來維護系統的作業系統版本並修補漏洞。
不過,對於離線的系統和伺服器,Microsoft 建議使用 Microsoft Configuration Manager 的修補程式管理功能。 如需詳細資訊,請參閱 Microsoft Configuration Manager。
| ISM 控制 2025 年 3 月 | 成熟度 | Control | 測量 |
|---|---|---|---|
| ISM-1695 號 | 1, 2 | 針對工作站、非互聯網伺服器和非互聯網網絡設備的操作系統漏洞的補丁、更新或其他供應商緩解措施將在發布後一個月內應用。 | IT 系統管理員會在 Microsoft Configuration Manager 中部署具有所需日期的期限設定的更新 |
| ISM-1696 號 | 3 | 當供應商評估漏洞為嚴重或存在有效漏洞時,將在發布後 48 小時內針對工作站、非互聯網伺服器和非互聯網網絡設備的操作系統漏洞實施補丁、更新或其他緩解措施。 | IT 系統管理員會在 Microsoft Configuration Manager 中部署期限設定為 [儘快] 的更新 |
| ISM-1702 號 | 1, 2, 3 | 漏洞掃描器至少每兩週使用一次,以識別工作站、非互聯網伺服器和非互聯網網絡設備的操作系統中缺失的漏洞修補程式或更新。 | IT 系統管理員會設定 Configuration Manager 的軟體更新功能,以至少每 14 天執行一次系統上遺失的修補程式掃描。 |
| ISM-1902 號 | 3 | 當供應商評估漏洞為非嚴重且不存在有效漏洞時,應在發布後一個月內針對工作站、非互聯網伺服器和非互聯網網絡設備的操作系統中的漏洞實施補丁、更新或其他緩解措施。 | IT 系統管理員會在 Microsoft Configuration Manager 中部署具有所需日期的期限設定的更新。 |