共用方式為

Microsoft Intune 中的 Windows 驅動程式更新管理

透過 Microsoft Intune 的 Windows 驅動程式更新管理,您可以審查、核准部署及暫停驅動程式更新的部署,適用於您的受管理 Windows 裝置。 Intune 和 Windows 自動補丁負責辨識分配驅動程式更新政策裝置適用的驅動程式更新。 Intune 和 Windows 自動修補更新依類別排序,幫助你輕鬆辨識所有裝置的推薦驅動更新,或是那些可能被視為可選但使用較有限的更新。

透過 Windows 驅動程式更新政策,你可以掌控哪些驅動程式更新可以安裝在你的裝置上。 您可以:

  • 啟用自動批准推薦驅動程式更新。 設定為自動核准的政策會自動批准並部署每個被視為 該政策裝置推薦驅動的新 驅動更新版本。 推薦驅動程式通常是驅動程式發行商已標記 為必需的最新驅動更新。 未被標示為目前推薦驅動的驅動程式,也可作為 其他驅動程式使用,這些可視為可選的驅動更新。

    之後,當 OEM 發布更新並被確認為目前推薦的驅動程式更新時,Intune 會自動將其加入政策,並將先前推薦的驅動程式移至其他驅動程式清單中。

    提示

    若有經批准的推薦驅動更新,因新推薦驅動更新可用而移至 其他驅動 程式清單,仍維持核准。 當有更新的推薦且核准的驅動程式更新可用時,Windows 自動補丁只會安裝該最新核准版本。 如果最新核准的更新版本暫停,Autopatch 會自動提供下一個最新且核准的更新版本,該版本現在已在 其他驅動程式 清單中。 此行為確保最後被核准的已知良好驅動更新版本能繼續安裝於裝置上,而較新的推薦版本則會暫停。

    透過此政策設定,您也可以選擇檢視可用更新,以選擇性批准、暫停或拒絕任何仍可用於該政策裝置的更新。

  • 設定政策要求所有更新都需人工核准。 此政策確保管理員必須先批准驅動程式更新後才能部署。 對於帶有此政策的裝置,驅動程式更新會自動加入政策,但在核准前會保持不活躍狀態。

之後,當 OEM 建議對保單中的裝置更新新驅動程式時,保單狀態會更新,顯示有驅動程式待審核。 此狀態成為行動呼籲,檢視政策並決定是否批准部署最新驅動程式至裝置。

  • 管理哪些驅動程式已獲批准部署。 你可以編輯任何驅動更新政策,修改哪些驅動程式被批准部署。 你可以暫停任何單一驅動程式更新的部署,以停止其部署到新裝置,然後再重新核准暫停的更新,讓 Windows Update 能繼續在適用裝置上安裝。

不論政策設定和驅動程式為何,只有核准的驅動程式才能安裝在裝置上。 此外,Windows Update 只會安裝最新且核准更新的版本,該更新版本比目前裝置上安裝的更新還要更新。

Windows 驅動程式更新管理適用於:

  • Windows

必要條件

重要事項

此功能在 GCC 雲端環境下不被支援。

啟用現有 EA 的訂閱啟用 不適用於 GCC 及 GCC 高階/DoD 雲端環境,因為 Windows 自動補丁功能。

要使用 Windows 驅動程式更新管理,您的組織必須擁有以下授權、訂閱及網路設定:

訂閱

  • Intune:您的租戶需要 Microsoft Intune 方案 1 訂閱。

  • Microsoft Entra IDMicrosoft Entra ID免費 (或更高) 訂閱。

Windows 訂閱與授權

您的組織必須擁有以下其中一項包含 Windows 自動補丁授權的訂閱服務:

  • Windows Enterprise E3 或 E5 (包含在 Microsoft 365 F3、E3 或 E5)
  • Windows Education A3 或 A5 (包含在 Microsoft 365 A3 或 A5)
  • Windows 虛擬桌面存取 E3 或 E5
  • Microsoft 365 商務進階版

請檢視您的訂閱資訊,看看是否適用於 Windows 11

如果你在建立需要 Windows 自動補丁的功能新政策時被阻擋,且你透過Enterprise 合約 (EA) 取得使用Windows Update客戶政策的授權,請聯絡授權來源,例如你的Microsoft帳戶團隊或賣給你的合作夥伴。 帳戶團隊或合作夥伴可以確認您的租戶執照是否符合 Windows 自動補丁的授權要求。 請參見 「啟用現有EA的訂閱啟用」。

裝置 & 版需求

Windows 版本

以下 Windows 版本支援驅動程式更新:

  • 專業版
  • 企業
  • 教育
  • 工作站專業版。

注意事項

不支援的版本與版本Windows Enterprise LTSC 功能更新、驅動程式更新及 Accelerateed Quality Update 政策,在品質更新中,Windows 10 及後續刀片下不支援 LTSC) 版本 (長期服務頻道。 計畫在 Intune 中使用更新 Rings 政策。

裝置必須

  • 使用仍支援的 Windows 版本。

  • 註冊在 Intune MDM,並加入 Hybrid AD 或 Microsoft Entra。

  • 是否開啟遙測系統,並設定為報告最低資料等級為 Basic 格式,依照 Windows 文件中「 變更 Windows 診斷資料收集 」所定義。

    您可以使用以下 Intune 裝置設定檔路徑之一來設定 Windows 裝置的遙測:

    • 裝置限制範本:使用此設定檔,將 「分享使用資料 」設為 「必要」。 同時也支援選擇性功能。
    • 設定目錄:從設定目錄中,從系統類別新增允許遙測,並設為基本。 同時也支援全套

    欲了解更多關於 Windows 遙測設定的資訊,包括目前與過去的 Windows 設定選項,請參閱 Windows 文件中的 「Windows 診斷資料收集變更 」。

  • Microsoft帳戶 Sign-In 助理 (wlidsvc) 必須能夠執行。 如果服務被封鎖或設為 停用,則無法接收更新。 更多資訊請參閱 「功能更新未提供,但其他更新則有提供」。 預設情況下,服務設定為 手動 (觸發啟動) ,允許在需要時執行。

  • 能夠存取 Intune 管理裝置所需的網路端點。 請參見 網路端點

啟用報告資料收集

若要支援 Windows 驅動程式更新的報告,您必須在 Intune 中啟用 Windows 診斷資料的使用。 診斷資料可能已經被啟用用於其他報告,例如 Windows 功能更新和加速品質更新報告。 為了啟用 Windows 診斷資料:

  1. 登入 Microsoft Intune 管理中心,前往租戶管理>連接器與 Windows 資料標記>。

  2. 展開 Windows 資料 ,並確保「 啟用需要 Windows 診斷資料的功能 」設定已切換為 開啟

欲了解更多資訊,請參閱啟用 Intune 使用視窗診斷資料

GCC 高支援

Intune 的驅動匯報政策目前不支援 GCC High 環境。

RBAC 要求

要管理 Windows 驅動程式更新,您的帳號必須被指派一個Intune基於角色的存取控制 (RBAC) 角色,該權限包含以下權限:

  • 裝置配置:
    • Assign
    • 建立
    • Delete
    • 查看報告
    • 更新
    • 讀取

你可以將裝置 配置 權限加上一個或多個權限,或使用內建的 政策與設定管理員 角色,該角色包含這些權限。

欲了解更多資訊,請參閱 Microsoft Intune 的角色基礎存取控制

職場連接裝置的限制

Intune 針對 Windows 10 及以後版本的驅動程式更新政策要求使用 Windows Update 用戶端政策及 Windows 自動修補程式。 Windows Update 用戶端政策支援 WPJ 裝置,而 Windows Autopatch 則提供其他 WPJ 裝置不支援的功能。

欲了解更多關於 WPJ 對 Intune Windows Update 政策限制的資訊,請參見「工作場所加入裝置的政策限制」。

架構

Windows 驅動程式更新管理的概念圖。

Windows 驅動程式更新管理架構

  1. Microsoft Intune 提供裝置自動補丁的Microsoft Entra ID 與Intune政策設定。 Intune 也會提供驅動程式核准與暫停指令清單,供 Windows 自動補丁使用。
  2. Windows Autopatch 根據 Intune 提供的資訊來配置 Windows 匯報。 Windows 匯報會依裝置 ID 提供適用的驅動程式更新清單。
  3. 裝置會傳送資料給Microsoft,讓Windows Update在定期Windows Update掃描更新時,辨識該裝置適用的驅動程式更新。 任何核准的更新都會安裝在裝置上。
  4. Windows 自動修補會將 Windows 診斷資料回報給 Intune 以取得回報。

規劃驅動程式更新

在您建立政策並管理政策中驅動程式的核准之前,我們建議先建立一份包含團隊成員的驅動程式更新部署計畫,讓他們能核准驅動程式與韌體更新。 可考慮的科目包括:

  • 何時使用 自動 駕駛核准,何時使用 手動 駕駛核準。

  • 使用部署環作為驅動更新政策,限制新驅動程式更新的安裝僅限於測試裝置群組,然後再廣泛安裝於所有裝置上。 透過這種方法,你的團隊能在早期階段識別潛在問題,然後再廣泛部署更新。 使用環可以讓你有時間暫停後續環路中麻煩的更新,以延緩或阻止其部署。 環的組織方法範例包括:

    • 針對不同裝置與硬體型號設計驅動程式更新政策,依照你的組織單位,或兩者結合。

    • 利用政策延期期來進行自動更新,並設定手動核准更新的 開放日期 ,以配合您的更新環,以調整品質與功能更新時程。

    你也可以設定手動核准更新的更新可用性,使其與常見的更新週期相符,例如 Microsoft 的 Patch Tuesday 版本。 排程的對齊有助於減少某些驅動程式更新時所需的額外系統重啟。

  • 將裝置只分配到一個驅動更新政策,以幫助防止裝置的驅動程式被多重政策管理。 這能幫助避免在先前拒絕或暫停同一份保單更新時,被同一份保單安裝驅動程式。 欲了解更多部署規劃資訊,請參閱 Windows 部署文件中的 「建立部署計畫 」。

常見問題集

驅動程式更新政策是否支援指派篩選器?

  • 不能。 驅動匯報目前不支援指派篩選器。

我可以在 Windows Autopilot 期間套用驅動程式更新政策嗎?

  • 不能。 目前 Windows Autopilot 不支援驅動匯報。

注意事項

Windows 在 Windows Autopilot 期間會套用關鍵更新。 這些更新可能包含尚未經管理員批准的關鍵驅動程式更新。

我可以用政策來回滾驅動更新嗎?

  • 不能。 Windows Update 用戶端政策目前不支援驅動程式回滾。 雖然回滾可以用腳本化,但潛在變數太多,無法提供有用的範例腳本。 如果必須移除驅動程式,可以考慮像 PowerShell 這類手動方法。

為避免需要從大量裝置回滾驅動程式的問題,使用 部署環 限制驅動程式安裝時僅有少量初始裝置群組。 這種做法讓你有時間評估驅動程式的成功或相容性,然後再廣泛部署到整個組織。

  • 對於手動核准的政策,您必須先審查並手動核准每個驅動程式,才能部署到裝置上。 雖然比起自動核准的保單,工作量更大,但手動核准能避免自動核准駕駛人的問題。
  • 如果您使用自動核准的保單,請計劃監控保單是否有早期問題徵兆。 如果早期部署環中發現驅動程式更新問題,你可以在其他政策中暫停該更新。

我可以透過多個驅動程式更新政策來管理同一裝置嗎?

  • 雖然支援每台裝置使用多重政策,但我們不建議這麼做。 相反地,我們建議將裝置加入單一政策,以避免對某個裝置驅動程式是否被核准產生混淆。

    考慮一台裝置會從兩個政策中接收驅動程式更新。 在一個政策中,特定更新被核准,而在另一個政策中,該更新會被暫停。 因為「 已批准 」狀態總是勝出,驅動程式會安裝在裝置上,儘管該更新在其他政策中設定了其他狀態。

我該如何減少接收驅動程式更新的裝置重啟?

  • 因為 OEM 何時發布新更新,或是否需要重啟,事先並不總是清楚,建議定期進行更新審查。

    • 對於手動核准的保單,當你核准駕駛並設定核 准可用日期時,可以將日期設定在像每月的補丁星期二這類事件,或任何你選擇的時間。
    • 如果是有自動核准的保單,你可以暫停新加入的保單,然後再回去核准。 當你重新核准任何暫停更新時,可以設定 一個可批准的日期

    為了減輕這類反覆出現的挑戰,我們正在評估能減少手動協調駕駛更新與 補丁 星期二更新的需求。

為什麼有一位駕駛人從我的保單可用駕駛人列表中消失了?

  • 當原廠以新的推薦驅動取代某個驅動程式時,舊驅動程式可以被移至 其他驅動 程式類別。 然而,如果該舊驅動程式版本與所有裝置使用的驅動程式相同或更舊,該驅動程式將完全從政策中移除,因為沒有任何裝置能透過驅動程式更新政策安裝該驅動程式。

如何?將較舊的駕駛人從保單的駕駛人名單中移除?

  • 為確保可用驅動程式清單為最新,所有受政策目標裝置中版本較舊的驅動程式不再適用。 這些舊驅動程式會從先前部署且有效的保單中移除。 只有能更新目前安裝在該裝置上驅動程式版本的驅動程式,仍保留在政策中。

    透過驅動程式更新管理,無法安裝比裝置上已有版本更舊的驅動程式。

Windows 自動補丁同步頻率是多少?

  • Intune 與 Windows 的自動修補每天都會同步,你可以使用同步選項隨時執行同步。 完成同步所需的時間取決於所涉及的裝置資訊,但通常只需幾分鐘即可完成。

    裝置每天執行 Windows Update 掃描時,會與 Windows 自動修補服務同步。

有哪些驅動程式可以管理?

  • 目前發佈在 Windows Update 上且適用於政策中一個或多個裝置的驅動程式更新,皆可透過驅動程式更新政策取得。

那更新密碼鎖定 BIOS 的驅動程式呢? 這是怎麼運作的?

  • 發佈給 Windows Update 的匯報必須使用 Windows 機制,能安全更新韌體或驅動程式,且不需解鎖 BIOS/UEFI。

如果廠商有自己的應用程式來掃描並安裝驅動程式和韌體更新,他們的應用程式和 Windows 自動修補之間的更新可用性會有延遲嗎?

  • 延遲的可能性取決於廠商或原廠,他們決定更新的可用性。 由於驅動程式更新會在發佈到 Windows 匯報前由同一入口網站數位簽署,驅動程式更新可能會先透過 Windows Update 先透過廠商工具取得。

為什麼我的裝置安裝了驅動程式更新,卻沒有通過更新政策?

  • 這些很可能是 擴充套件 驅動程式,也就是「子驅動程式」,主驅動程式可以在安裝或更新主驅動程式時參考安裝。 擴充套件驅動程式會出現在已安裝的驅動程式或裝置的更新歷史中,但無法直接管理。 因為擴充功能驅動程式沒有基本驅動程式就無法運作,所以允許安裝是安全的。
  • 隨插即用也能自動安裝驅動程式。 當 Windows 偵測到沒有現有驅動程式的新硬體或軟體 (,例如滑鼠、鍵盤或網路攝影機) 時,會安裝最新的驅動程式以確保元件能立即運作。 安裝完成後,未來任何驅動程式的更新都需要核准。

暫停更新實際上會被多快暫停?

  • 暫停是最好的做法,當更新暫停時,Windows 自動補丁會移除批准。 不過,裝置直到下一次更新掃描時才會知道更新暫停了。
    • 如果裝置還沒掃描更新,暫停更新就不會提供,暫停功能會正常運作。
    • 如果裝置掃描更新時發現更新暫停,且正在下載、安裝或等待重新啟動,裝置上的 Windows Update 會嘗試「盡最大努力」移除該驅動程式更新。 如果無法停止安裝,更新就會完成安裝。
    • 如果更新在下一次更新掃描前完成安裝,則不會發生任何事,更新仍維持安裝狀態。

我在哪裡可以了解更多關於可用驅動程式的資訊?

  • 你可以複製駕駛人名稱並搜尋 catalog.update.microsoft.com 官網,獲得更多相關資訊。

驅動程式更新政策會更新外掛裝置的驅動程式嗎?

  • 是的,如果驅動程式更新是由 OEM 廠商發佈到 Windows Update。

我的裝置使用者可以看到哪些驅動程式更新?

  • 裝置被分配到驅動更新政策後,最終使用者不會顯示可選驅動程式。 當管理員批准驅動更新時,該更新實際上變成「必須」,並在下次裝置掃描更新時安裝。

如果我目前正在使用 Configuration Manager 來更新,如何?

你可以繼續使用 Configuration Manager 來處理驅動程式以外的更新,或是開始在 Intune 中逐一將其他更新類型移到雲端管理。 首先,在你的 Configuration Manager 階層中啟用雲端附加或共管理功能,將你的管理裝置註冊到 Intune。

採用雲端更新的建議且首選方式是將 Windows Update 工作負載移至 Intune。 如果您的組織尚未準備好,您可以透過以下步驟使用Intune的驅動程式與韌體管理功能,而無需移動工作負載:

注意事項

以下程序僅適用於受管理型 Windows 11 裝置,並支援此程序。 對於 Windows 10 裝置,我們建議將 Configuration Manager 共同管理設定中的 Windows Update 工作負載移至 Intune。 或者,將 Windows Update 工作負載設定為 Pilot 設定,並指定包含範圍內 Windows 10 受管理裝置的集合。

  1. Windows Update 工作負載設定設為 Configuration Manager。

  2. 在 Intune 中設定驅動程式政策,以註冊裝置並準備管理,詳見「管理 Windows 驅動程式更新政策」,詳見 Microsoft Intune。

  3. 設定一個基於網域的群組政策,將 Windows Update 設定為驅動程式匯報的來源,並使用指定特定類別的 Windows 匯報政策來源。

    注意事項

    由於 Configuration Manager 使用本地群組政策來設定更新來源政策,使用 Intune 或 CSP 嘗試設定相同設定,會導致裝置狀態無法定義且不可預測。

  4. 在 Intune 中啟用你想部署驅動程式和韌體的裝置的資料收集功能。

  5. [可選]強制允許使用政策提交診斷資料。 提交給 Microsoft 的診斷資料可啟用 Microsoft Intune 的 Windows Update 報告

    注意事項

    預設情況下,Windows 裝置允許向 Microsoft 提交診斷資料。 停用診斷資料收集可防止Windows Update報告用於Microsoft Intune報告您受管理裝置的任何更新資訊。

    使用基於網域的群組政策或 Intune,將允許診斷資料設定設定為可選必需。 欲了解更多完成此任務的資訊,請前往:

  6. [可選]啟用診斷資料中的裝置名稱收集。 欲了解更多使用基於網域的群組政策或 Intune 設定的資訊,請參閱診斷資料需求

    注意事項

    使用 Intune 來設定上述任何診斷資料設定,都需要將裝置配置共同管理工作負載移至 Intune。

你可以在 Intune 將功能更新管理移至雲端,方法是在 Intune 設定功能更新政策,並將功能 匯報 設定為Windows Update,使用特定 Windows 匯報 政策類別的指定來源

在 Intune 中使用 Update Ring 政策來進行品質或功能匯報,需要你將 Windows Update 的工作負載移到 Intune。

有沒有辦法為司機設定截止日期?

品質更新的截止日期和寬限期設定會適用於驅動程式。

以下是關於司機何時適用截止日期的更多細節:

  • 司機可 (手動或自動) 指定日期。 這被稱為第一次部署。
  • 在第一次或初次掃描時,核准的驅動程式會被提供給裝置。 客戶更新掃描最初發現更新的日期,同時也是截止日期的開始日期和時間。
  • 品質與功能更新的截止日期計算,都是根據客戶端更新掃描首次發現該更新的時間來計算。 請參閱 執行合規截止日期以獲取最新資訊

如何?為司機設定延期?

  • 更新環政策中設定的品質匯報延期不適用於使用驅動更新政策核准的驅動程式。 相反地,請使用駕駛政策中的延期設定來設定延後。 事實上,強烈建議使用多個驅動策略並設定不同的延遲設定來建立驅動部署環。 記得只把裝置分配給一個驅動程式的政策。

注意事項

延後期只適用於自動核准的驅動程式和韌體更新。 管理員必須指定開始提供駕駛的日期,並需手動核准。

Update Ring 政策中的使用者體驗設定會套用到驅動程式更新時嗎?

  • 是的,使用者體驗設定如自動更新行為、啟用時段、通知等,也會套用在驅動程式更新上。

為什麼司機更新的庫存要等到24小時才會退回?

  • 要讓駕駛人庫存可用,必須完成幾個步驟。 最重要的是,在政策提交並裝置註冊管理後,Windows 匯報必須等待每台裝置每日掃描更新。 這個過程每天都會發生,因此所有健康裝置可能需要長達24小時才能完成檢查。 之後,Intune 需要處理掃描結果,以提供可用的駕駛人更新清單。

後續步驟

  • Last updated on