Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Att hålla Windows-enheter säkra och uppdaterade är ett av de viktigaste ansvarsområdena för alla organisationer. Microsoft Intune tillhandahåller en molnbaserad metod för hantering av Windows-uppdateringar, vilket ger dig kontroll, förutsägbarhet och minimala störningar för användarna.
Den här översikten beskriver hur Intune hanterar Windows-uppdateringar, vilka principtyper som är tillgängliga och hur dessa delar passar ihop i en fullständig uppdateringsstrategi.
Vad du kan göra med Intune
- Konfigurera uppdateringsinställningar på enheter utan att hantera enskilda korrigeringar.
- Definiera uppdateringsringar för att kontrollera tidpunkten för distributionen och minska risken.
- Förhindra att enheter installerar nya funktionsversioner tills du är redo, samtidigt som du tillämpar säkerhets- och kvalitetsuppdateringar.
Intune lagrar endast principtilldelningarna, inte själva uppdateringarna. När du sparar en princip skickar Intune konfigurationsinformation till Windows Autopatch, som avgör vilka uppdateringar som har godkänts för distribution. Enheter laddar ned godkända uppdateringar direkt från Windows Update, installerar och tillämpar dessa ändringar i enlighet med Windows Update klientprinciper.
Hanteringsfunktioner för Windows-uppdateringar
Följande principtyper hjälper dig att hantera Windows-uppdateringar i Intune:
Windows Update klientprincip
Konfigurerar den underliggande CSP:en för uppdateringsprincipen. Intune visar dessa inställningar via uppdateringsringar och inställningskatalogen, vilket ger administratörer flexibilitet att tillämpa detaljerade uppdateringsbeteenden på enhetsnivå.
Uppdatera ringprincip
Gäller Windows Update klientprinciper för grupper av enheter. Uppdateringsringar styr uppskjutningsperioder, tidsgränser, omstartsbeteende och inställningar för användarupplevelse, vilket aktiverar stegvis distribution i din miljö.
Princip för funktionsuppdatering
Låser enheter till en specifik Windows-version (till exempel Windows 11 24H2). Dessa principer förhindrar att enheter uppgraderas bortom den riktade versionen, vilket säkerställer konsekvens och kontroll över större OS-uppgraderingar.
Princip för kvalitetsuppdatering
Levererar månatliga kumulativa uppdateringar för säkerhet och tillförlitlighet. Stöder:
- Hotpatch: Kontrollera om berättigade enheter får säkerhetskorrigeringar utan omstart.
- Påskynda principer: Skicka kritiska säkerhetsuppdateringar omedelbart genom att åsidosätta inställningarna för uppskjutning.
Hotpatch-säkerhetsuppdateringar
Skyddar enheter snabbare genom att leverera berättigade säkerhetskorrigeringar utan omstart. Omstartslösa uppdateringar är standardsättet för månatliga Windows-säkerhetsuppdateringar.
Princip för drivrutinsuppdatering
Hanterar leverans av uppdateringar av maskinvarudrivrutiner från Windows Update. Principer för drivrutinsuppdatering bidrar till att säkerställa enhetens kompatibilitet och stabilitet genom att styra när och hur drivrutiner installeras.
Windows Autokorrigering
Windows Autopatch styr vilka Windows Update innehåll som har godkänts för distribution till Windows-enheter, vilket håller dem uppdaterade och säkra. Om en enhet inte är mål för en autopatchprincip för en viss innehållstyp distribueras allt det senaste innehållet från Windows Update.
Microsoft Intune använder Windows Autopatch för att möjliggöra hantering av funktionsuppdateringar, kvalitetsuppdateringar och drivrutinsuppdateringar. För att aktivera dessa arbetsflöden finns det en princip för var och en av dessa innehållstyper.
När en enhet tilldelas till en princip registreras den i Autopatch för den innehållstypen och endast godkänt innehåll distribueras till den enheten. Administratörer kan godkänna uppdateringar i en princip antingen automatiskt eller manuellt, beroende på vad som fungerar bäst för deras organisation.
Utöver policyn finns det flera andra kraftfulla Intune funktioner som drivs av Autopatch:
- Autopatchgrupper möjliggör dynamisk enhetsgruppering, gradvis distribution av uppdateringar samt skapande och redigering av flöden för flera principer.
- Autopatch-rapporter ger djupgående inblick i uppdateringsberedskap, efterlevnad och aviseringar.
- För berättigade Windows-utgåvor möjliggör den även molnbaserade uppdateringsscenarier som snabbkorrigering och snabba uppdateringar med minimal manuell konfiguration.
I följande tabell jämförs hur uppdateringshanteringen skiljer sig åt när du använder manuell autopatchkonfiguration med principer och med hjälp av autopatchgrupper:
| Funktion | När du använder principer för automatisk mönstret | När du använder autopatchgrupper |
|---|---|---|
| Uppdateringssamordning | Distribuera enheter till Entra grupper manuellt för att tilldela uppdateringsprinciper. | Automatisera distributionen av enheter till flera Entra grupper baserat på dina inställningar. Fäst specifika grupper i början eller slutet av en distribution. |
| Uppdatera ringprincip | Du konfigurerar principer för uppdateringsring i Intune för att kontrollera uppskjutningar, tidsgränser och omstartsbeteende. | Du konfigurerar flera uppdateringsringar samtidigt för att få en fullständig bild av fördröjningar, tidsgränser och omstartsbeteende i hela versionen. Autopatchgrupper har valfria förinställningar som tillhandahåller rekommenderade inställningar för vanliga användningsfall. |
| Princip för funktionsuppdatering | Du använder principer för funktionsuppdatering för att låsa eller schemalägga os-versioner. | Du anger den lägsta funktionsuppdateringsversionen för alla enheter i en autopatchgrupp. Du schemalägger gradvisa funktionsuppdateringsdistributioner när du vill uppgradera. |
| Princip för kvalitetsuppdatering | Du konfigurerar kvalitetsuppdateringsprinciper, snabba uppdateringar och snabbkorrigeringsinställningar manuellt. | Du konfigurerar kvalitetsuppdateringsprinciper, snabba uppdateringar och snabbkorrigeringsinställningar manuellt. |
| Princip för drivrutinsuppdatering | Du använder principer för drivrutinsuppdatering för att granska och godkänna drivrutiner antingen manuellt eller automatiskt för alla tilldelade enheter. | Granska och godkänn drivrutiner antingen manuellt eller automatiskt, vilket startar en gradvis distribution till alla enheter i Autopatch-gruppen. |
Standardinställningar för tjänsten
Windows Autopatch gör att hotpatch-säkerhetsuppdateringar som standard kan hjälpa till att skydda enheter snabbare. Det här standardbeteendet gäller för alla berättigade enheter i Microsoft Intune. Om du tillämpar säkerhetskorrigeringar utan att vänta på en omstart kan organisationer få 90 % efterlevnad på halva tiden.
Du kan när som helst välja bort hotpatch-säkerhetsuppdateringar för antingen hela klientorganisationen eller gruppera enheter med kvalitetsuppdateringsprinciper.
Förhandskrav
Varje principtyp har specifika krav som beskrivs i respektive dokumentation. I allmänhet:
- Enheter måste registreras i Intune.
- Enheterna måste vara Microsoft Entra anslutna eller hybridanslutningar.
Microsoft Entra registrerade enheter stöds inte för någon principtyp som använder samma serverdelstjänst som Windows Autopatch, inklusive funktionsuppdateringar, kvalitetsuppdateringar och drivrutinsuppdateringar.
För Entra registrerade enheter är uppdateringshanteringen fortfarande begränsad till Windows Update klientprinciper och uppdateringsringsprinciper. - Enheter måste ha åtkomst till Microsofts uppdateringsslutpunkter.
Principer för funktionsuppdatering, kvalitetsuppdateringsprinciper och principer för drivrutinsuppdatering samordnas av Windows Autopatch. Förutsättningarna är desamma för dessa tre principtyper:
Licensiering: En Windows-licens som innehåller autopatch-berättigandet.
Om du blockeras när du skapar nya principer för funktioner som kräver Windows Autopatch och du får dina licenser att använda Windows Update klientprinciper via en Enterprise-avtal (EA), kontaktar du källan för dina licenser, till exempel ditt Microsoft-kontoteam eller den partner som sålde licenserna till dig. Kontoteamet eller partnern kan bekräfta att klienternas licenser uppfyller licenskraven för Windows Autopatch. Se Aktivera prenumerationsaktivering med ett befintligt EA.
Viktigt
Aktivera prenumerationsaktivering med ett befintligt EA gäller inte för GCC- och GCC High/DoD-molnmiljöer för Windows Autopatch-funktioner.
Telemetri: Diagnostikdata har angetts till obligatorisk nivå.
Tjänster: Microsoft Account Sign-In Assistant aktiverat.
Om tjänsten är blockerad eller inställd på Inaktiverad kan den inte ta emot uppdateringen. Mer information finns i Funktionsuppdateringar erbjuds inte medan andra uppdateringar är det. Som standard är tjänsten inställd på Manuell (utlösarstart), vilket gör att den kan köras när det behövs.