与 Windows 更新 客户端策略集成

适用于: Configuration Manager(current branch)

Windows 更新客户端策略允许在组织中的Windows 10或更高版本的设备在直接连接到 Windows 更新 (WU) 服务时，始终使用最新的安全防御和 Windows 功能保持最新状态。 Configuration Manager可以区分使用 Windows 更新 客户端策略和 WSUS 获取软件更新的 Windows 计算机。

当Configuration Manager客户端配置为从 WU 接收更新时，某些Configuration Manager功能不再可用，其中包括Windows 更新客户端策略或 Windows 预览体验成员：

• Windows 更新合规性报告：

  • Configuration Manager将不知道发布到 WU 的更新。 配置为从 WU 接收更新的Configuration Manager客户端将在Configuration Manager控制台中显示这些更新未知。

  • 排查总体符合性状态很困难，因为 未知 状态仅适用于未报告从 WSUS 返回的扫描状态的客户端。 现在，它还包括从 WU 接收更新的Configuration Manager客户端。

  • 定义汇报合规性是整体更新合规性报告的一部分，也不会按预期工作。

• 基于更新符合性状态的 Defender 的整体 Endpoint Protection 报告不会返回准确的结果，因为缺少扫描数据。

• Configuration Manager无法部署或报告配置为使用Windows 更新客户端策略来接收更新的客户端Microsoft应用更新的符合性。 这包括Microsoft 365 应用版、Internet Explorer、Edge 和 Visual Studio 的更新。

• Configuration Manager仍可以将发布到 WSUS 并通过Configuration Manager管理的第三方更新部署到使用Windows 更新客户端策略来接收更新的客户端。 如果不希望在连接到Windows 更新客户端策略的客户端上安装任何第三方更新，请禁用名为“在客户端上启用软件更新”的客户端设置。

• Configuration Manager使用软件更新基础结构的完整客户端部署不适用于使用Windows 更新客户端策略来接收更新的客户端。

确定对 Windows 更新使用Windows 更新客户端策略的客户端

使用以下过程确定使用Windows 更新客户端策略获取 Windows 更新和升级的客户端。 然后将这些客户端配置为停止使用 WSUS 获取更新，并部署客户端代理设置以禁用这些客户端的软件更新工作流。

Windows 更新客户端策略的先决条件

• 运行 Windows 10 Desktop Pro 或 Windows 10 企业版 Edition 版本 1511 或更高版本的客户端

• Windows 更新部署客户端策略，客户端使用Windows 更新客户端策略来获取 Windows 更新和升级。

标识使用Windows 更新客户端策略的客户端

1. 如果以前已启用，请确保 Windows 更新 代理未针对 WSUS 进行扫描。 以下注册表项可用于指示计算机是针对 WSUS 扫描还是Windows 更新。 如果注册表项不存在，则不会针对 WSUS 进行扫描。 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer

2. Configuration Manager资源资源管理器中的Windows 更新节点下有一个新属性 UseWUServer。

3. 针对使用 Windows 更新客户端策略进行更新和升级的所有计算机创建基于 UseWUServer 属性的集合。 可以基于类似于以下查询的查询创建集合：

   Select sr.* from SMS_R_System as sr join SMS_G_System_WINDOWSUPDATE as su on sr.ResourceID=su.ResourceID where su.UseWUServer is null
   

4. 创建客户端代理设置以禁用软件更新工作流。 将设置部署到直接连接到Windows 更新客户端策略的计算机集合。

5. 通过Windows 更新客户端策略管理的计算机将在符合性状态中显示“未知”，并且不会计入总体符合性百分比。

使用Windows 更新客户端策略配置延迟策略

可以为直接由Windows 更新客户端策略管理的 Windows 设备配置Windows 10或更高版本的功能汇报或质量汇报延迟策略。 可以在“软件库>”“Windows 服务”下的“业务策略新Windows 更新”节点中管理延迟策略。

延迟策略的先决条件

• Windows 10版本 1703 或更高版本
• Windows 更新客户端策略管理的Windows 10或更高版本的设备必须具有 Internet 连接

使用Windows 更新客户端策略创建延迟策略

1. 在软件库>Windows 服务中>Windows 更新业务策略
2. 在“主页”选项卡上的“创建”组中，选择“创建业务策略Windows 更新”，打开“创建业务策略Windows 更新向导”。
3. 在“ 常规 ”页上，提供策略的名称和说明。
4. 在“延迟策略”页上，配置是延迟还是暂停功能汇报。 功能汇报通常是 Windows 的新功能。 配置分支就绪级别设置后，可以定义是否以及要延迟接收功能的时间，汇报从Microsoft接收功能。

   • 分支就绪级别：设置设备将接收 Windows 更新的分支。 选择 Semi-Annual 频道 (目标) 、Semi-Annual 频道或 Windows 预览体验成员版本。

     注意

     将半年频道的策略部署到Windows 10版本 1903 或更高版本。 将半年频道 (目标) 的策略部署到Windows 10版本 1809 或更低版本。

     如果将半年频道 (目标) 策略部署到Windows 10版本 1903 或更高版本，则部署失败并出现错误0x8004100c。

   • 延迟期 (天) ：指定功能汇报延迟的天数。 可以从发布后最多 365 天内延迟接收这些功能汇报。

   • 暂停功能汇报开始：选择是否暂停设备接收功能汇报，自暂停更新起最多 35 天。 最长天数过后，暂停功能将自动过期，设备将扫描 Windows 汇报以查找适用的更新。 在此扫描之后，你可以再次暂停更新。 可以通过清除复选框来取消暂停功能汇报。

5. 选择是延迟还是暂停质量汇报。 质量汇报通常是对现有 Windows 功能的修复和改进，通常在每个月的第二个星期二发布，但可以通过Microsoft随时发布。 可以定义是否以及要延迟接收质量汇报遵循其可用性的时间。
   • 延迟期 (天) ：指定质量汇报将延迟的天数。 这些质量汇报自发布之日起最多可以推迟 30 天。
   • 暂停质量汇报开始：选择是否暂停设备接收质量汇报，自暂停更新起最多 35 天。 最长天数过后，暂停功能将自动过期，设备将扫描 Windows 汇报以查找适用的更新。 在此扫描之后，你可以再次暂停更新。 可以通过清除复选框来取消暂停质量汇报。
6. 选择“安装来自其他Microsoft产品的更新”，以启用组策略设置，使延迟设置适用于Microsoft更新以及 Windows 汇报。
7. 选择“包含具有Windows 更新的驱动程序”，以从 Windows 汇报自动更新驱动程序。 如果清除此设置，则不会从 Windows 汇报下载驱动程序更新。
8. 完成向导以创建新的延迟策略。

使用Windows 更新客户端策略部署延迟策略

1. 在软件库>Windows 服务中>Windows 更新业务策略
2. 在“主页”选项卡上的“部署”组中，选择“部署业务策略Windows 更新”。
3. 配置以下设置：
   • 要部署的配置策略：选择要部署Windows 更新客户端策略。
   • 集合：单击“ 浏览 ”以选择要在其中部署策略的集合。
   • 允许在维护时段外修正：如果已为要将策略部署到的集合配置了维护时段，请启用此选项，让策略设置在维护时段外修正值。 有关维护时段的详细信息，请参阅 如何使用维护时段。
   • 计划：指定在客户端计算机上评估部署的策略所依据的符合性评估计划。 计划可以是简单计划，也可以是自定义计划。
4. 完成向导以部署策略。