共用方式為

更新合規性、活動和使用者體驗的原則

保持設備最新是保持設備平穩、安全地運行的最佳方式。

更新合規性的期限

您可以使用更新期限原則來控制裝置必須可靠地遵守所需更新排程的嚴格程度。 Windows 元件會根據這些期限進行調整。 此外,他們可以在用戶體驗和速度之間進行權衡,以滿足您想要的更新期限。 例如,他們可以在截止日期臨近之前優先考慮用戶體驗,然後在截止日期臨近時優先考慮速度,同時仍為用戶提供一些控制權。

截止日期

從 Windows 10 版本 1903 開始,以及 2019 年 8 月的 Windows 10 版 1709 和更新版本 ((包括 Windows 11) ) 的安全性更新,引進了新的原則來取代舊的類似期限的原則:指定自動更新和重新啟動的期限

較舊的政策在裝置達到 restart pending 更新狀態後開始強制執行期限。 新原則會從發佈更新加上任何延遲時開始更新安裝期限的倒數計時。 此外,此政策還包括可設定的寬限期,以及選擇退出自動重新啟動的選項,直到達到期限為止 (儘管我們建議一律允許自動重新啟動,以獲得最大更新速度) 。

我們建議您設定如下截止日期:

  • 品質更新截止日期,以天為單位:2
  • 功能更新期限(以天為單位):2

通知會在適當的時間自動呈現給使用者,使用者可以選擇稍後收到提醒、重新排程或立即重新啟動,視截止日期的接近程度而定。 建議您 不要 設定任何通知原則,因為它們會自動設定適當的預設值。 如果您有自助服務亭或數位看板,則為例外。

雖然我們的建議是品質更新的三天和功能更新的七天,但您可能會根據您的組織及其需求決定想要更多或更少,而且此原則可設定為至少兩天。

重要

如果裝置無法連線到因特網,則無法判斷 Microsoft 何時發佈更新,因此無法強制執行期限。 進一步瞭解 低活動裝置

寬限期

您可以設定 Windows 的天數,以便在強制重新啟動之前找到中斷最小的自動重新啟動時間。 這在使用者離開多天的情況下特別有用 (例如,在度假) ,這樣當使用者返回時,裝置就不會被迫立即更新。

建議您設定下列項目:

  • 寬限期(以天為單位):5

一旦過了期限和寬限期,就會自動套用更新,並且無論 使用時數如何,都會重新啟動。

讓 Windows 選擇何時重新啟動

Windows 可以使用使用者互動來動態識別自動重新啟動的中斷最少時間。 若要利用此功能,請確定 ConfigureDeadlineNoAutoReboot 設定為 Disabled

裝置活動原則

Windows 通常要求裝置處於作用中狀態並連線到網際網路至少六個小時,並且至少有兩個連續活動,才能成功完成系統更新。 裝置可能有其他物理情況,會阻止成功安裝更新,例如,如果膝上型電腦的電池電量不足,或使用者在使用時數結束之前關閉裝置,且裝置無法符合期限。

您可以使用本節中的設定來確保裝置在更新合規性期間可用來安裝更新。

活動時間

「活動時間」表示裝置預計使用的時間段。 通常,重新啟動會在這些時間之外發生。 Windows 10 版本 1903 引進了「智慧型使用時數」,可讓系統根據使用者的活動來瞭解使用時數,而您身為系統管理員必須為組織做出決策,或允許使用者選擇使用時數,以將系統可以安裝更新的期間降到最低。

重要

如果您在舊版 Windows 10 中使用 [設定使用時數] 設定,則必須停用這些選項,才能利用智慧型使用時數。

如果您設定了使用時數,建議您將下列原則設定為 [已停用] ,以提高更新速度:

  • 延遲自動重啟。 雖然可以將系統設定為延遲登入使用者重新啟動,但如果使用者一律登入或關閉,此設定可能會無限期延遲更新。 相反地,建議您將下列原則設定為 [已停用]

    • 在活動時間關閉自動重新啟動
    • 登錄用戶無需自動重新啟動以進行計劃的自動更新

    注意

    從未建立為 CSP 的 [ 不使用登入使用者自動重新啟動] 安裝 原則。 在群組原則中,此原則不會完全符合描述。 此原則可能會導致沒有品質更新重新啟動期間,因為許多使用者從未登出。 取代此設定的建議是利用合規性期限,然後設定無自動重新啟動,以防止在達到期限之前進行非使用者感知的重新啟動。 對於伺服器裝置,請利用「設定自動匯報」選項 7 - 通知安裝和通知重新啟動。

  • 限制重新啟動延遲。 藉由使用合規性期限,您的使用者會收到將發生更新的通知,因此建議您將此原則設定為 [已停用],以允許合規性期限,以消除使用者在合規性期限設定之外延遲重新啟動的能力。

  • 不允許使用者核准更新和重新開機。 讓使用者在期限原則之外核准或參與更新程式會降低更新速度並增加風險。 這些原則應該設定為 [已停用]

  • 設定自動更新。 藉由正確設定原則來設定自動更新,您可以讓用戶端連絡Windows Server Update Services (WSUS) 伺服器,以便管理它們,以增加更新速度。 建議您將此原則設定為 [已停用]。 不過,如果您需要提供值,請確定將群組原則設定為 4,以將下載設定為自動安裝。 如果您使用 Microsoft Intune,請將值設定為 [重設為預設]。

  • 允許自動 Windows Update 透過計量付費網路下載。 由於越來越多的裝置主要使用行動數據,而且沒有 Wi-Fi 存取,因此請考慮允許使用者從計量網路自動下載更新。 雖然預設設定不允許透過計量網路下載,但將此值設定為 1 可讓使用者取得更新,無論他們是否連線到網際網路,只要他們有行動通訊服務,就能提高速度。

重要

舊版 Windows 不支援智慧型使用時數。 如果您的裝置執行 Windows 10 1903 版之前的 Windows 版本,建議您設定下列原則:

  • 設定使用時數。 從 Windows 10 版本 1703 開始,您可以指定從使用時數開始時間開始時間計算的最大使用時數範圍。 建議將此值設定為 10
  • 排程更新安裝。 在「設定自動匯報」設定中,有兩種方法可以控制在指定安裝時間後強制重新啟動。 如果您使用 排程更新安裝,請勿啟用這兩個設定,因為它們很可能會衝突。
    • 指定自動維護時間。 此設定可讓您設定更廣泛的更新維護時段,並確保此排程不會與使用時數衝突。 建議將此值設定為 3 (,對應於凌晨 3 點) 。 如果凌晨 3:00 是工作班次的中間,請選擇另一個時間,至少在排定的工作時間開始前幾個小時。
    • 排程安裝時間。 此設定可讓您排程重新啟動的安裝時間。 我們 建議您將此設定為 [已停用] ,因為它可能與使用時數衝突。

電源原則

裝置必須在非作用中時段實際可用,才能進行更新。 如果權力政策阻止他們醒來,他們就無法做到這一點。 在我們的組織中,我們努力在安全性和環保配置之間取得平衡。 我們建議使用下列設定,以達到我們認為適當的取捨:

對使用者來說,裝置會開啟或關閉,但針對 Windows,有些狀態會允許 (作用中) 進行更新,以及不會 (非作用中) 的狀態。 某些狀態被視為處於活動狀態 (睡眠) ,但使用者可能會認為裝置已關閉。 此外,Windows 在開始更新之前會檢查電源狀態 (已插入/電池) 。

您可以覆寫預設設定,並防止使用者變更這些設定,以確保裝置在非作用中時段可供更新。

注意

確保裝置可以在您需要時安裝更新的其中一種方法是教育使用者在非作用中時段保持裝置插入電源。 即使使用最佳原則,即使處於睡眠模式,未插入的裝置也不會更新。

我們建議以下電源管理設定:

  • 睡眠模式 (S1 或 S0 低功耗閒置或 新式待命) 。 當裝置處於睡眠模式時,系統似乎已關閉,但如果有可用的更新,它可以喚醒裝置以進行更新。 睡眠模式下的功耗介於工作 (系統完全可用) 和休眠 (S4 之間 - 關機) 前的最低功率水平。 當裝置未使用時,系統通常會在進入休眠狀態之前移至睡眠模式。 當睡眠和休眠之間的時間太短且 Windows 沒有時間完成更新時,就會出現速度問題。 睡眠模式是一個重要的設置,因為只要有足夠的電量,系統就可以將系統從睡眠中喚醒以啟動更新過程。

將以下策略設定為 啟用不配置 ,以允許裝置使用睡眠模式:

將下列原則設定為 1 (睡眠) ,以便當使用者關閉裝置的蓋子時,系統會進入睡眠模式,且裝置有機會進行更新:

  • 電源/SelectLidCloseActionOnBattery

  • 電源/SelectLidCloseActionPluggedIn

  • 休眠。 當裝置處於休眠狀態時,耗電量較低,而且系統無法在沒有使用者介入的情況下喚醒,例如按下電源按鈕。 如果裝置處於此狀態,除非它支援 ACPI 時間和警示裝置 (TAD) ,否則無法更新。 也就是說,如果已插入支援傳統睡眠 (S3) 的裝置,且有可用的 Windows 更新,則休眠狀態會延遲,直到更新完成為止。

注意

這不適用於支援新式待命 (S0 低電源閒置) 的裝置。 您可以在命令提示字元下執行 powercfg /a ,檢查裝置支援的系統睡眠狀態 (S3 或 S0 低電源閒置) 。 如需詳細資訊,請參閱 Powercfg 選項

支援傳統睡眠的裝置上的預設逾時設定為三小時。 建議您不要減少這些原則,讓 Windows Update 有機會在將裝置送入休眠狀態之前重新啟動裝置:

舊的或衝突的政策

每個版本的 Windows 用戶端都可以引進新的原則,讓系統管理員及其組織的體驗更佳。 當我們發行新的用戶端原則時,我們要麼純粹針對該版本和更新版本發行它,要麼將原則向後移植以使其在舊版上可用。

重要

如果您使用群組原則,請注意,我們不會更新舊的ADMX範本,您必須使用較新的 (1903) ADMX範本才能使用較新的策略。 此外,如果您使用 MDM 工具 (Microsoft或非Microsoft) ,則在工具介面中提供新原則之前,您無法使用新原則。

身為管理員,您已設定並預期某些行為,因此我們明確不會移除較舊的原則,因為它們是針對您的特定使用案例設定的。 不過,如果您設定新原則而不停用類似的舊原則,則可能會發生衝突的行為,且更新可能無法如預期般執行。

重要

我們有時會發現系統管理員會將裝置設定為從 MDM 伺服器 (例如 Microsoft Intune) 取得群組原則設定和 MDM 設定。 原則衝突的處理方式會有所不同,具體取決於它們最終的設定方式:

  • Windows 更新:群組原則設定優先於 MDM。
  • Microsoft Intune:如果您在兩個不同的群組上為相同的原則設定不同的值,您會收到警示,而且在衝突解決之前,不會設定這兩個原則。 您必須停用衝突的原則,才能讓組織中的裝置如預期般進行更新。 例如,如果裝置未對 MDM 原則變更做出反應,請檢查是否在群組原則中設定了具有不同值的類似原則。 如果您發現更新速度沒有您預期的那麼高,或者某些裝置比其他裝置慢,則可能是時候清除所有原則和設定,並只指定建議的更新原則。 請參閱原則和設定參考,以取得建議原則的合併清單。

以下是您可能想要停用的原則,因為它們可能會降低更新速度,或有更好的原則可供使用,但可能會發生衝突:

  • 延遲功能匯報期間(以天為單位)。 若要獲得最大更新速度,最好將此設定為 0 (沒有延遲) ,以便功能更新可以完成,並再次提供每月安全性更新。 即使有必須快速部署的緊急品質更新,也最好使用 [暫停功能匯報],而不是設定延遲原則。 如果您不想及時了解最新的功能更新,可以選擇更長的時間段。
  • 延遲品質匯報期間(以天為單位)。 為了將風險降到最低並最大化更新速度,使用不同的裝置環評估更新時,您可能想要考慮的時間上限為兩到三天。
  • 暫停功能匯報開始時間。 設定為 [已停用] ,除非有需要時間解決的已知問題。
  • 暫停品質匯報開始時間。 設定為 [已停用] ,除非有已知問題需要時間才能解決。
  • 截止日期:不自動重啟。 預設值為 Disabled - 設定為 0 。 建議裝置在收到更新時自動嘗試重新啟動。 Windows 會使用使用者互動來動態識別中斷最少的重新啟動時間。

還有其他原則不再受支援或已被取代。

  • Last updated on