共用方式為

向自動修補群組註冊裝置

重要

如果您是自動修補的新手,裝置最多可能需要 48 小時才能在 自動修補群組成員資格報告中顯示為 [已註冊]。 在這 48 小時內,裝置會經過必要的上線程式,然後才顯示為已註冊

自動修補群組是邏輯容器或單位,可將數個 Microsoft Entra 群組和軟體更新原則分組。 如需詳細資訊,請參閱 Windows 自動修補群組

當您建立自動修補群組編輯自動修補群組時,系統會持續掃描您使用的裝置型 Microsoft Entra 群組,以查看是否需要將新裝置新增至自動修補群組。

詳細的裝置註冊工作流程圖

請參閱下列詳細工作流程圖。 此圖涵蓋 Windows 自動修補裝置註冊程式:

裝置註冊工作流程的圖表。

步驟 描述
步驟 1:指派 Entra 群組 IT 系統管理員會在建立自動修補群組編輯自動修補群組時識別他們想要指派的 Microsoft Entra 群組。
步驟 2:探索裝置 Windows 自動修補探索裝置功能會探索 IT 系統管理員先前從步驟 #1 中與自動修補群組搭配使用的Microsoft Entra群組新增的裝置 (每小時) 。 Windows 自動修補使用 Microsoft Entra 裝置識別碼,在將裝置註冊到其服務時,查詢 Microsoft Intune 和 Microsoft Entra ID 中的裝置屬性。
  1. 從 Microsoft Entra 群組探索到裝置之後,相同的函式會收集其他裝置屬性,並在探索作業期間將它儲存到其記憶體中。 在此步驟中,會從 Microsoft Entra ID 收集下列裝置屬性:
    1. AzureADDeviceID
    2. 作業系統
    3. DisplayName (裝置名稱)
    4. 已啟用帳戶
    5. 註冊日期時間
    6. 近似 LastSignInDateTime
  2. 在相同的步驟中,Windows 自動修補探索裝置函式會呼叫另一個函式,即裝置必要條件檢查函式。 裝置必要條件檢查函式會評估軟體型裝置層級必要條件,以符合註冊前的 Windows 自動修補裝置整備需求。
步驟 3:檢查必要條件 Windows 自動修補必要條件函式會進行 Intune 圖形 API 呼叫,以循序驗證註冊程式所需的裝置整備屬性。 如需詳細資訊,請參閱 詳細的先決條件檢查工作流程圖 一節。 服務會檢查下列裝置整備性屬性和/或必要條件:
  1. 裝置是否受 Intune 管理。
    1. Windows 自動修補會查看 Microsoft Entra 裝置標識碼是否有相關聯的 Intune 裝置標識碼
      1. 如果 ,則表示此裝置已註冊至 Intune。
      2. 如果 沒有,則表示裝置未註冊到 Intune,因此無法由 Windows 自動修補服務管理。
    2. 如果裝置未由 Intune 管理,Windows 自動修補服務就無法收集裝置屬性,例如作業系統版本、Intune 註冊日期、裝置名稱和其他屬性。 發生這種情況時,Windows 自動修補服務會使用在步驟 3a 中收集並儲存至其記憶體的 Microsoft Entra 裝置屬性。
      1. 一旦在步驟 3a 中從 Microsoft Entra ID 收集裝置屬性,裝置就會標示為 [必要條件失敗] 狀態,而裝置的 [自動修補整備狀態] 會在 [自動修補群組成員資格報表] 中顯示為 [未註冊]。 IT 系統管理員可以檢閱裝置未註冊到 Windows 自動修補的原因。 IT 系統管理員會補救這些裝置。 在此情況下,IT 系統管理員應該檢查裝置未註冊到 Intune 的原因。
      2. 常見的原因是當 Microsoft Entra 裝置標識碼過時時,它不再有相關聯的 Intune 裝置標識碼。 若要補救,請清除租使用者中任何過時的 Microsoft Entra 裝置記錄
    3. 如果裝置是由 Intune 管理,Windows 自動修補必要條件檢查函式會繼續進行下一個必要條件檢查,以評估裝置是否在過去 28 天內簽入 Intune。
  2. 裝置是否為 Windows 裝置。
    1. Windows 自動修補會查看裝置是否為 Windows 和公司擁有的裝置。
      1. 如果是,則表示此裝置可以向服務註冊,因為它是 Windows 公司擁有的裝置。
      2. 如果沒有,則表示裝置是非 Windows 裝置,或是 Windows 裝置,但卻是個人裝置。
  3. Windows 自動修補會檢查 Windows SKU 系列。 SKU 必須是:
    1. 企業
    2. 專業版
    3. 專業工作站
    4. 教育版
    5. 專業教育版
  4. 如果裝置符合作業系統需求,Windows 自動修補會檢查裝置是否為:
    1. 僅由 Intune 管理。
      1. 如果裝置僅由 Intune 管理,則裝置會標示為 [已傳遞所有必要條件]。
    2. 由 Configuration Manager 和 Intune 共同管理。
      1. 如果裝置是由 Configuration Manager 和 Intune 共同管理,則會評估額外的必要條件檢查,以判斷裝置是否滿足 Windows 自動修補管理處於共同管理狀態的裝置所需的已啟用共同管理工作負載。 此步驟中評估的必要共同管理工作負載如下:
        1. Windows 匯報原則
        2. 裝置設定
        3. Office 點擊運行
      2. 如果 Windows 自動修補判斷裝置上未啟用其中一個工作負載,服務會將裝置標示為 [必要條件失敗],而裝置的 [自動修補整備狀態] 會在 [自動修補群組成員資格] 報告中顯示為 [未註冊]。
步驟 4:計算動態分佈並分配設備 直接指派給部署通道的 Microsoft Entra 群組會將這些裝置新增至自動修補為該部署通道建立的 Microsoft Entra 群組。

如果您選擇使用動態分發,自動修補服務會分發您選取的裝置。 此服務會採用動態集區中裝置的百分比,並將它們新增至相關的 Microsoft Entra 群組。 屬於直接指派之 Microsoft Entra 群組成員的裝置不會包含在動態集區中。

如果您的自動修補群組中的裝置少於 100 個,則分發可能與您的選擇不符。
步驟 5:裝置後註冊 如果您部署了 Windows 自動修補用戶端代理程式,則會發生裝置註冊後動作。 如需詳細資訊,請參閱 裝置註冊後整備檢查Windows 自動修補用戶端代理程式
步驟 6:檢閱裝置註冊狀態 IT 系統管理員檢閱裝置的自動修補整備狀態。 裝置在自動修補群組成員資格報告中已註冊未註冊
  1. 如果裝置已成功註冊,裝置的自動修補整備狀態會在自動修補群組成員資格報告中顯示為已註冊
  2. 如果沒有,裝置的自動修補整備狀態會在自動修補群組成員資格報告中顯示為未註冊
步驟 7:註冊工作流程結束 這是 Windows 自動修補裝置註冊工作流程的結束。

詳細的先決條件檢查工作流程圖

如上一個詳細裝置註冊工作流程圖中的步驟 #3 所述,下圖是 Windows 自動修補裝置註冊程式必要條件建構的視覺化表示法。 先決條件檢查會依序執行。

先決條件檢查工作流程的圖表。

自動修補群組成員資格報告

Windows 自動修補具有自動修補群組成員資格報告,提供下列資訊:

  • 只有在裝置新增至自動修補群組) 時,才 (自動修補群組成員資格
  • 更新狀態
  • 以每個裝置為目標的原則

注意

您可以設定自訂角色以存取自動修補群組成員資格報告,包括各種裝置動作。

若要 指派通道 ,使用者至少需要 Windows 自動修補群組/讀取權限。 使用下拉式功能表選取要將裝置移至的部署通道,功能表只會顯示使用者範圍內的部署通道。

若要檢視裝置的屬性,所需的最低權限是 「管理裝置/讀取」。

範圍管理員只能在相同自動修補群組中的部署通道之間移動裝置,並具有相同的範圍標籤。

如需詳細資訊,請參閱 Windows 自動修補角色型存取控制

檢視自動修補群組成員資格報告

若要檢視自動修補群組成員資格報告:

  1. Intune 系統管理中心中,選取左窗格中的 [裝置]。
  2. [管理更新] 底下,選取 [Windows 更新]。
  3. 選取 [監視] 索引標籤,然後選取 [ 自動修補裝置]。

將裝置新增至自動修補群組之後,會顯示整備狀態。 每個整備狀態都可協助您判斷是否有任何動作要採取,或裝置是否已準備好使用服務。

整備狀態

自動修補群組成員資格報告中的自動修補整備狀態 子狀態說明
已註冊
  • 就緒:裝置已成功通過所有必要條件檢查,並成功註冊至 Windows 自動修補。 此外,就緒裝置已成功通過所有 裝置註冊後整備檢查 ,而且沒有任何針對它們的作用中警示。
  • 未就緒:這些裝置已成功向 Windows 自動修補註冊。 但是,這些設備:
    • 無法通過一或多個 裝置註冊後整備檢查
    • 尚未準備好讓服務管理一或多個軟體更新工作負載。
    • 裝置在過去 28 天內未與 Microsoft Intune 通訊
    • 裝置與原則或自動修補群組成員資格發生衝突
未註冊
  • 自動修補群組衝突:裝置與自動修補群組成員資格發生衝突
  • 必要條件失敗:裝置無法通過一或多個 裝置註冊後整備檢查
  • 排除:只有此狀態的裝置會從 Windows 自動修補服務中移除。 Microsoft 假設您以某種方式自行管理這些裝置。

巢狀其他 Microsoft Entra 群組時支援的案例

Windows 自動修補也支援下列 Microsoft Entra 巢狀群組案例:

Microsoft Entra 群組從下列位置同步處理:

Windows 365 企業版工作負載上的 Windows 自動修補

Windows 365 企業版可讓 IT 系統管理員選擇向 Windows 自動修補服務註冊裝置,作為 Windows 365 布建原則建立的一部分。 此選項為系統管理員和使用者提供順暢的體驗,以確保您的雲端電腦始終保持最新狀態。 當 IT 系統管理員決定使用 Windows 自動修補來管理其 Windows 365 雲端電腦時,Windows 365 布建原則建立程式會呼叫 Windows 自動修補裝置註冊 API,以代表 IT 系統管理員註冊裝置。

若要從 Windows 365 佈建原則向 Windows 自動修補註冊新的Windows 365 雲端電腦裝置:

  1. 移至 Intune 系統管理中心
  2. 在左窗格中,選取 [裝置]。
  3. 流覽至 [布建 >Windows 365]。
  4. 選取 [佈建原則>] [建立原則]。
  5. 提供原則名稱,然後選取 [聯結類型]。 如需詳細資訊,請參閱 裝置聯結類型
  6. 選取 [下一步]
  7. 選擇所需的圖像並選擇 下一步
  8. [Microsoft 受控服務 ] 區段下,確定已選取 [Windows 自動修補 ]。
  9. 據以指派您的原則,然後選取 [ 下一步]。
  10. 選取 [建立]。 現在,您新佈建的 Windows 365 企業版雲端電腦會自動註冊並由 Windows 自動修補管理。

如需詳細資訊,請參閱 建立 Windows 365 布建原則

Azure 虛擬桌面工作負載上的 Windows 自動修補

Windows 自動修補適用於您的 Azure 虛擬桌面工作負載。 企業系統管理員可以使用現有的裝置註冊程式,佈建其 Azure 虛擬桌面工作負載,以由 Windows 自動修補管理。

Windows 自動修補會為虛擬機器提供與 實體裝置相同的服務範圍。 不過,除非另有指定,否則 Windows 自動修補會將任何 Azure 虛擬桌面特定支援延遲至 Azure 支援

必要條件

適用於 Azure 虛擬桌面的 Windows 自動修補遵循與 Windows 自動修補相同的 必要條件 ,以及 Azure 虛擬桌面必要條件

該服務支援:

  • 個人持續性虛擬機器

不支援下列 Azure 虛擬桌面功能:

  • 多工作階段主機
  • 集區的非持續性虛擬機器
  • 遠端應用程式串流

在 Azure 虛擬桌面上部署自動修補

Azure 虛擬桌面工作負載可以使用與實體裝置相同的方法註冊至 Windows 自動修補。

為了方便部署,建議您在自動修補裝置註冊群組中巢狀動態裝置群組。 動態裝置群組會以工作階段主機中定義的 名稱 前置詞為目標,但 排除 任何多階段作業工作階段主機。 例如:

群組名稱 動態成員資格名稱
Windows 自動修補 - 主機集區會話主機
  • (device.displayName -contains "AP")
  • (device.deviceOSType -ne "Windows 10 Enterprise for Virtual Desktops")

清除 Microsoft Entra 租用戶中Microsoft Entra混合式聯結裝置和 Azure 註冊裝置的雙重狀態

當裝置最初連線到 Microsoft Entra ID 作為 Microsoft Entra 註冊裝置時,就會發生 Microsoft Entra 雙重狀態。 不過,當您啟用 Microsoft Entra 混合式聯結時,相同的裝置會連線到 Microsoft Entra ID 兩次,但會作為混合式 Microsoft Entra 裝置

在雙重狀態下,您最終會針對相同裝置擁有兩個具有不同聯結類型的 Microsoft Entra 裝置記錄。 在此情況下,混合式 Microsoft Entra 裝置記錄優先於 Microsoft Entra ID 中任何類型的驗證的 Microsoft Entra 註冊裝置記錄,這會讓 Microsoft Entra 註冊的裝置記錄過時。

建議先偵測並清除 Microsoft Entra ID 中的過時裝置,再向 Windows 自動修補註冊裝置,請參閱 如何:在 Microsoft Entra ID 中管理過時的裝置

警告

如果您在向 Windows 自動修補註冊裝置之前,未清除 Microsoft Entra ID 中的過時裝置,您最終可能會看到裝置無法符合 Intune 或 Cloud-Attached (裝置必須是 Intune 管理或共同管理) [未就緒] 索引標籤中的必要條件檢查,因為它預期這些過時的Microsoft Entra裝置不再註冊到 Intune 服務中。

支援可透過 Windows 365 或 Windows 自動修補服務工程小組取得,以取得裝置註冊相關事件。

  • 如需 Windows 365 支援,請參閱 取得支援
  • 如需 Azure 虛擬桌面支援,請參閱 取得支援
  • 如需 Windows 自動修補支援,請參閱 提交支援要求。 只有當您擁有 E3+ 或 F3 授權時,才能提交支援要求。 如需詳細資訊,請參閱 特性和功能

裝置管理生命週期案例

規劃在自動修補群組中註冊裝置時,還有一些裝置管理生命週期案例需要考慮。

裝置重新整理

如果裝置先前已註冊至自動修補群組,但需要重新安裝映像,您必須執行 Microsoft Intune 中可用的其中一個裝置布建程式,以重新安裝裝置映像。

裝置會重新加入Microsoft Entra ID (混合式或僅限Microsoft Entra) 。 然後,也重新註冊 Intune。 您或 Windows 自動修補服務不需要採取進一步動作,因為該裝置的 Microsoft Entra 裝置識別碼記錄會保持不變。

設備維修和硬體更換

如果您需要藉由更換主機板、非卸除式網路介面卡 (NIC) 或硬碟來修復先前已註冊至 Windows 自動修補服務的裝置,您必須將裝置重新註冊至 Windows 自動修補服務,因為當有重大硬體變更時會產生新的硬體識別碼,例如:

  • SMBIOS UUID (主機板)
  • 不可移動 NIC (MAC 地址)
  • 作業系統硬碟的型號、型號、製造商資訊

當其中一個硬體變更發生時,Microsoft Entra ID 會為該裝置建立新的裝置識別碼記錄,即使它在技術上是相同的裝置也一樣。

重要

如果為先前註冊至 Windows 自動修補服務的裝置產生新的 Microsoft Entra 裝置識別碼,即使它在技術上是相同的裝置,也必須透過裝置直接成員資格或透過 Windows 自動修補群組體驗中的巢狀 Microsoft Entra 動態/指派群組來新增新的 Microsoft Entra 裝置識別碼。 此程式可確保新產生的 Microsoft Entra 裝置識別碼已向 Windows 自動修補註冊,而且裝置會繼續由服務管理其軟體更新。

  • Last updated on