透過 Windows 10 及以後版本的品質更新政策,您可以加速在使用 Microsoft Intune 管理的裝置上安裝最新的 Windows 安全更新。 部署加速更新無需暫停或修改現有的每月更新政策。 例如,當你的正常更新流程一段時間內無法部署該更新時,你可能會加速執行特定更新以減輕安全威脅。
並非所有更新都能加速。 目前,只有可加速執行的 Windows 安全更新可用品質更新政策部署。 要管理每月的品質更新,請使用 Windows 10 及更新政策的更新環。
加速更新的運作方式
透過加速更新,你可以加速安裝高品質更新,例如最新的 星期二更新 ,或是針對零時差漏洞的帶外安全更新。
加速更新政策會暫時覆蓋延遲和其他設定,以便盡快安裝更新。 此流程讓裝置能開始下載與安裝加速更新,而無需等待裝置進行更新檢查。
裝置啟動更新所需的實際時間取決於裝置的網路連線、掃描時序、與裝置的通訊通道是否正常,以及其他因素,例如雲端處理時間。
對於每個加速更新政策,你根據發布日期選擇單一更新來部署。 利用發佈日期,你不必另外建立策略來部署不同版本的更新到不同版本的裝置。
Windows Update 會評估每個裝置的建置與架構,然後提供適用的更新版本。
只有需要更新的裝置才能獲得加速更新:
- Windows Update 不會嘗試加速已經有等同或高於更新版本的裝置的更新。
- 對於版本低於更新版本的裝置,Windows Update 會確認該裝置在安裝前仍需更新。
重要事項
在某些情況下,Windows Update 可以安裝比你在加速更新政策中指定的更新還要更新的更新。 欲了解更多此情境資訊,請參閱本文後面的 「安裝最新適用更新」。
加速更新政策會忽略並覆蓋你部署版本的品質 延遲期 。 你可以透過 Intune 的 Windows 更新環和設定「品質延遲期間」來設定品質更新延遲。
當需要重新啟動以完成更新安裝時,該政策會協助管理重新啟動。 在政策中,你可以設定使用者必須重新啟動裝置一段時間,政策才會強制自動重啟。 使用者也可以選擇排程重啟,或讓裝置嘗試尋找裝置活動 時間外的最佳時間。 在重啟截止日前,裝置會顯示通知以提醒使用者截止日期,並包含排程重啟的選項。
如果裝置在截止日前沒有重新啟動,重啟可能會在工作時間中段發生。 欲了解更多關於重新啟動行為的資訊,請參閱強制 合規截止日期的最新資訊。
不建議在正常的每月品質更新維護中使用加速更新。 建議考慮使用更新環(Update ring for Windows 10)及更新政策中的截止日期設定。 詳情請參閱 Windows 更新設定中使用者體驗設定中的「使用截止日期設定」。
必要條件
以下為使用 Intune 安裝加速品質更新的資格條件:
授權:
除了 Intune 授權外,您的組織還必須擁有以下其中一項包含 Windows 自動補丁授權的訂閱:
- Windows Enterprise E3 或 E5 (包含在 Microsoft 365 F3、E3 或 E5)
- Windows Education A3 或 A5 (包含在 Microsoft 365 A3 或 A5)
- Windows 虛擬桌面存取 E3 或 E5
- Microsoft 365 商務進階版
從 2022 年 11 月開始,Windows 自動補丁授權將被檢查並執行。
如果你在建立需要 Windows 自動補丁的功能新政策時被阻擋,且你透過Enterprise 合約 (EA) 取得使用Windows Update客戶政策的授權,請聯絡授權來源,例如你的Microsoft帳戶團隊或賣給你的合作夥伴。 帳戶團隊或合作夥伴可以確認您的租戶授權符合 Windows 自動補丁授權要求。 請參見 「啟用現有EA的訂閱啟用」。
支援的 Windows 版本:
- 仍支援服務的 Windows 版本,適用於 x86 或 x64 架構
只支援一般可用的更新版本。 預覽版版本,包括 Beta 和開發者頻道,都不支援加速更新。
支援的 Windows 10/11 版本:
- Professional
- 企業
- 教育
- 專業教育版
- 工作站專業版。
裝置必須:
註冊 Intune MDM。
Be Microsoft Entra joined,或者 Microsoft Entra hybrid joined. 職場加入不被支援。
能存取端點。 欲取得此處相關服務所需端點的詳細清單,請參見 網路端點。
- Windows Update
- Windows 自動修補
- Windows 推播通知服務: (推薦,但非必需。若沒有此權限,裝置可能要等到下一次每日更新檢查時才會加速更新 )
設定為直接從 Windows Update 服務取得品質匯報。
安裝 更新健康工具 ,這些工具可以用 知識庫4023057 安裝,或是從 Microsoft下載的更新健康工具手動安裝。
注意事項
Windows 11,24H2 及以上版本無法套用 KB 4023057,這僅適用於 Windows 11、23H2 及以下版本。 升級到 24H2 會移除 KB 4023057,因此不再需要檢查 KB 安裝。
要確認裝置上有更新健康工具:
- 請尋找資料夾 C:\Program Files\Microsoft Update Health Tools ,或檢視 服務 ,或 新增 移除Microsoft Update Health Tools 的程式。
- 作為管理員 (或Intune) ,執行以下 PowerShell 腳本:
### Check for the Microsoft Update Health Service; if found, no remediation is needed.
if (Get-Service -Name "Microsoft Update Health Service" -ErrorAction SilentlyContinue) {
Write-Host "Microsoft Update Health Service is present."
Exit 0
} else {
Write-Host "Microsoft Update Health Service is missing."
Exit 1
}
如果腳本回傳 1,表示該裝置有 UHS 用戶端。 如果腳本回傳 0,代表裝置沒有 UHS 用戶端。
裝置設定:
為避免衝突或設定阻礙加速更新的安裝,請依下列方式配置裝置。 你可以使用 Intune Update Rings for Windows 10 及更新政策來管理這些設定。
| 更新環狀設定 | 建議價值 |
|---|---|
| 啟用預發布版本 | 這個設定應該設為 「未設定」。 預覽版版本,包括 Beta 和開發者頻道,都不支援加速更新。 |
| 自動更新行為 |
重置為預設值 其他數值可能導致使用者體驗變差,並拖慢更新速度。 |
| 變更通知更新等級 | 請使用除「關閉所有通知,包括重新啟動警告」以外的任何數值 |
欲了解更多相關設定資訊,請參閱 政策CSP – 更新。
群組原則設定會覆蓋行動裝置管理政策,以下群組原則設定清單可能會干擾加速政策。 對於這些設定由 群組原則 管理的裝置,請將它們恢復為裝置預設值 (未設定) :
- CorpWuURL - 指定內聯網 Microsoft 更新服務位置。
- AutoUpdateCfg - 設定自動匯報。
- 延遲功能更新 - 選擇預覽版本與功能匯報何時接收。
- 關閉雙重掃描 - 不要允許更新延遲政策來觸發對 Windows Update 的掃描。
監控與報告:
在您能監控結果並更新狀態以加快更新之前,您的 Intune 租戶必須啟用資料收集。
職場連接裝置的限制
Intune 針對 Windows 10 及以後版本的品質更新政策要求使用 Windows Update 用戶端政策與 Windows 自動補丁。 Windows Update 用戶端政策支援 WPJ 裝置,而 Windows 自動修補則提供 WPJ 裝置不支援的額外功能。
欲了解更多關於 WPJ 對Intune Windows Update政策限制的資訊,請參閱「管理 Windows 軟體更新」中的「工作場所已加入裝置的政策限制」Intune。
建立並指派加速品質更新
選擇裝置>管理更新>Windows 10 及後續更新>品質更新>建立設定檔。
在 設定中輸入以下屬性以識別此設定檔:
名稱:輸入設定檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。
描述:輸入設定檔的描述。 此設定為可選,但建議使用。
在 設定中設定若 裝置作業系統版本低於,則設定「加速安裝高品質更新」。 從下拉選單中選擇你想加速的更新。 清單僅包含您能加速的更新。
提示
可選的 Windows 品質更新無法加速,也無法選擇。
選擇更新時:
匯報會依發布日期標示,且每個政策只能選擇一個更新。
匯報名稱中包含字母 B 的更新,代表作為補丁週二活動一部分釋出的更新。 字母 B 表示該更新於每月第二個星期二發布。
從 週二補丁 中出階釋出的 Windows 安全更新可以被加速。 頻 帶 外的音色版本會用不同的識別碼,取代字母 B。
當更新部署時,Windows Update 會確保每個收到該政策的裝置都安裝一個適用於該裝置架構及其當前 Windows 版本(如 1809、2004 等)的更新版本。
非安全加速匯報:包含前一版 B / 安全釋出後的品質修正。 管理員可以加速裝置安裝最新的適用品質更新,無需等待延期。
匯報中沒有「SecurityUpdate」一詞的,表示這不是安全更新。 包含字母 D 的匯報,指的是自最新補丁 Tuesday 安全週以來發布的更新。 你也可能看到 2024.01 OOB 更新 (頻 外 補丁) 。 Windows 每月更新說明
非安全更新僅在最新版本時顯示。 下拉選單會更新顯示最近兩次安全更新,包括其中一次是否為帶外更新。 如果最近的非安全更新比最新的安全更新還要新,那麼該非安全更新也會包含在下拉選單中。 因此,有時會顯示兩個更新,有時則顯示三個更新。
提示
欲了解更多資訊,請參閱部落格 Windows 更新服務節奏 - Microsoft Tech Community。
非安全加速更新適用於 Windows 11 裝置。 如果 Windows 10 裝置被指派到 Expedite 政策並設定 D 版本,則這些裝置不會被加速,會在以下報告中顯示警示。
- 報告>Windows 匯報>報告標籤 >Windows 加速更新報告
- 裝置>管理更新>Windows 10 及更新版本的更新 > 監控標籤 >加速品質更新政策(附警示磁貼),然後點擊標題。
在 設定中,設定強制 重啟前等待的天數。 在此設定中,選擇裝置安裝後自動重啟的時間,以完成更新安裝。 你可以選擇零天或兩天。 如果裝置在截止日前手動重新啟動,自動重新啟動會被取消。 如果更新不需要重新啟動,這個設定就不會強制執行。
設定 為 0 天 數意味著裝置安裝更新後,使用者會立即收到重新啟動通知,且有有限時間來儲存工作。
重要事項
這種體驗會影響使用者的生產力。 考慮用它來處理那些必須盡快完成並重新啟動裝置的裝置或更新。
設定 為 1 天 或 2 天 ,讓裝置使用者有彈性在強制重啟前管理重啟。 這些設定對應於裝置安裝更新後 24 或 48 小時的自動重啟延遲。
在 「指派」中,選擇 「新增群組 」,然後選擇裝置或使用者群組來指派該政策。
在 Review + 創建中,選擇 「建立」。 政策建立後,會部署到指定的群組。
識別最新的適用更新
有些情況是,加速更新的政策會導致安裝比政策中指定的更新更新。 當較新的更新包含並超過指定的更新,且該更新在裝置簽入安裝加速更新政策中指定的更新之前,就會發生此結果。 本文後面會提供此情境的詳細 範例 。
安裝最新的品質更新,能減少對裝置和使用者的干擾,同時享受預期更新的好處。 這樣可以避免安裝多個更新,因為每個更新都可能需要分別重開機。
當符合以下條件時,會部署較新的更新:
裝置並不會被針對延遲政策來阻止安裝較新的更新。 在這種情況下,最近一次可用的且未被延後的更新就是可能安裝的那個。
在加速更新的過程中,裝置會執行新的掃描來偵測到更新。 這可能因以下時間點而發生:
- 裝置重新啟動後完成安裝
- 當裝置執行每日掃描時
- 當新更新推出時
當掃描偵測到更新更新時,Windows Update 會嘗試停止安裝原始更新,取消重新啟動,然後開始下載與安裝較新的更新。
雖然加速更新政策會覆蓋政策中指定的版本的延遲更新,但不會覆蓋其他版本的延遲。
安裝加速更新的範例
以下事件序列提供了一個範例,說明兩個裝置 Test-1 和 Test-2 如何根據裝置所設定的 Windows 10 及以後品質更新政策安裝更新。
每月,Intune 管理員會在每月的第四個星期二部署最新的 Windows 品質更新。 這段期間給他們兩週時間,在補丁星期二事件後驗證環境中的更新,然後強制安裝更新。
1 月 19 日, 測試 1 與 Test-2 裝置安裝了更新,該補丁於 1 月 12 日星期二發布。 隔天,兩台裝置都被各自的用戶關掉,因為他們各自要去度假。
2 月 9 日,Intune 管理員制定政策,加速安裝 2025/09/02 的補丁 2025.02 B 安全匯報,協助公司裝置防範更新解決的關鍵威脅。 加速政策會分配給包含 Test-1 和 Test-2 的裝置群組。 該群組中所有活躍的裝置都會收到並安裝加速更新政策。
在 3 月 9 日的補丁星期二活動中,將發布一個新的品質更新,日期為 2025/09/2025.03 B 級 Windows 安全匯報。 目前沒有需要加速部署此更新的關鍵問題,但管理員確實發現可能存在衝突。 為了留出時間檢視可能的問題,管理員會使用 Windows 更新環政策來建立七天延期政策。 所有受管理裝置在 3 月 14 日前無法安裝此更新。
現在考慮以下測試 1 與 測試2的結果,根據各自重新開啟的時間:
測試一 - 3 月 12 日, 測試 一重新開機,連接網路,並收到加速更新通知:
- Windows Update 依政策判斷 Test-1 仍需加速安裝更新。
- 由於 3 月 9 日的更新取代了 2 月的更新,Windows Update 可以安裝 3 月 9 日的更新。
- 三月更新有一個有效的延期,直到三月十四日才會到期。
結果:由於三月更新的延期政策仍然有效且無法安裝該更新, 裝置-1 依照政策設定安裝二月更新。
測試二 - 3 月 20 日, 測試 二重新開機,連接網路,並收到加速更新通知:
- Windows Update 判斷 Test-2 仍需依政策加速安裝更新。
- 由於 3 月 9 日的更新取代了 2 月的更新,Windows Update 可以安裝 3 月 9 日的更新。
- 三月更新不再有積極的延期。
結果:隨著三月更新的延期政策到期, Test-2 安裝了較新的三月更新,跳過二月更新,安裝了比政策中指定的更新更晚的版本。
管理政策以加速品質更新
在管理中心,請前往「依>平台>裝置」「管理Windows> 更新」>Windows 10 及後續更新>「品質更新」標籤,並選擇你想要管理的政策。 政策會打開到 概覽 視窗。
從這個窗格,你可以:
選擇刪除以從 Intune 刪除該政策。 刪除政策會從 Intune 移除,但如果已經完成安裝,更新不會被移除。 Windows Update 會嘗試取消任何正在進行中的安裝,但無法保證成功取消正在進行中的安裝。
選擇 屬性 以修改部署。 在 屬性 面板中,選擇 編輯 以開啟 設定、 範圍標籤或 指派,然後修改部署。
監控與報告
在您能監控結果並更新狀態以加快更新之前,您的 Intune 租戶必須啟用資料收集。
政策建立後,您可以從以下報告中監控結果、更新狀態及錯誤。
摘要報告
此報告顯示配置檔中所有裝置的當前狀態,並提供有多少裝置正在安裝更新、已完成安裝或有錯誤的概覽。
選擇 「舉報>」Windows更新。 在 摘要 標籤中,您可以查看 Windows 加速品質更新 表。
要深入了解,請選擇 「報告 」標籤,然後 選擇 Windows 加速更新報告。
點擊連結 選擇加速更新個人檔案。
從頁面右側顯示的個人檔案列表中,選擇一個個人檔案以查看結果。
選擇 「產生檢舉 」按鈕。
裝置報告
這份報告能幫助你找出有警報或錯誤的裝置,並協助你排查更新問題。
選擇 裝置>監控。
在監控報告清單中,捲動到軟體更新區塊,選擇 Windows 加速更新失敗。
從頁面右側顯示的個人檔案列表中,選擇一個個人檔案以查看結果。
更新內容
| 更新狀態 | 更新 SubState | 定義 |
|---|---|---|
| 擱置 | 驗證 | 該裝置已被加入服務中的政策,並開始驗證該裝置可加速處理。 |
| 擱置 | 已排程 | 裝置已通過驗證,將被加速處理。 |
| 供應項目 | OfferReady | 加速指令已經發送到裝置。 |
| 安裝 | 收到錄取通知 | 裝置已掃描 Windows Update,更新適用但尚未開始下載。 |
| 安裝 | 下載開始 | 裝置已開始下載更新。 |
| 安裝 | 下載完成 | 裝置已經下載了更新。 |
| 安裝 | 安裝開始 | 裝置已經開始安裝更新。 |
| 安裝 | 安裝完成 | 裝置已完成更新安裝。 除非更新有更新錯誤,否則裝置應該會迅速切換到 「RestartRequired 」或 「UpdateInstalled」。 |
| 安裝 | 需要重新啟動 | 安裝完成後需要重新啟動。 |
| 安裝 | 重新啟動啟動 | 裝置已開始重啟。 |
| 安裝 | 重新啟動完成 | 裝置已完成重啟。 |
| 已安裝 | 已安裝更新 | 更新已成功完成。 |