设置和配置 Windows Autopatch：分步指南?

Windows Autopatch 是一项云服务，可自动更新 Windows、Microsoft 365 企业应用版、Microsoft Edge 和 Microsoft Teams，以使您的组织更安全、更高效。

本分步指南应帮助您在设置中设置和配置 Windows Autopatch，并在 Microsoft Intune 中自动分发更新。我们还将介绍 Autopatch 服务的先决条件和许可详细信息。

2022 年 5 月，Autopatch 服务首次发布公开预览版。从 2022 年 7 月 11 日开始，拥有 Windows Enterprise E3 或 E5 许可证的所有人都可以使用 Autopatch。每个月的第二个星期二，微软都会继续提供更新。随着 Windows Autopatch 的引入，更新过程现在更加高效，并且 IT 专业人员现在也有了机会。

在 Intune 中设置 Windows Autopatch 服务之前，让我们详细了解其工作原理。在为您的租户启用 Autopatch 之前，请确保您了解此服务的功能。微软已经发布了Windows Autopatch文档，您可以通过查看来了解Windows Autopatch服务的功能及其工作原理。

• 什么是 Windows 自动补丁？
• Windows 自动修补先决条件
• Windows Autopatch 许可详细信息
• 修复 Intune 门户中缺少的 Windows Autopatch
• 支持的操作系统
• 在 Windows Autopatch 中注册租户的步骤
• 步骤 1. 查看所有自动修补服务先决条件
• • 修复 Intune 门户中的未经许可的管理员错误
• Windows Autopatch 注册的准备状态列表

什么是 Windows 自动补丁？

Windows Autopatch 是一项云服务，可自动更新 Windows、适用于企业的 Microsoft 365 应用、Microsoft Edge 和 Microsoft Teams，以提高整个组织的安全性和工作效率。

Autopatch 是 Microsoft 提供的一项全新、实用的服务，可根据最佳实践更新 Windows 10、Windows 11、Microsoft Edge 和 Microsoft 365 软件。 Autopatch 服务管理 Windows 10 和 Windows 11 质量和功能更新、驱动程序、固件和 Microsoft 365 应用程序更新的部署组的各个方面。

一旦 IT 管理员决定让其租户由该服务管理，Windows Autopatch 服务就可以接管受支持设备的软件更新管理。

Windows 自动修补先决条件

下面列出了使用 Windows Autopatch 的先决条件：

• Windows Autopatch 服务需要将 Windows 10/11 Enterprise E3（或更高版本）分配给您的用户。
• 您还需要 Azure Active Directory Premium。用户帐户必须存在于 Azure Active Directory 中，或者必须使用 Azure AD connect 将帐户从本地 Active Directory 同步到 Azure AD。
• 公司网络必须连接到 Autopatch 托管设备的多个 Microsoft 服务端点。
• 所有 Windows Autopatch 设备都必须由 Microsoft Intune 管理。应将 Intune 设置为移动设备管理 (MDM) 权限，或者必须在目标设备上打开并启用共同管理。

有关 Windows Autopatch 先决条件的详细信息，请参阅以下文章。

Windows Autopatch 许可详细信息

Windows Autopatch 通常可供拥有 Windows Enterprise E3 和 E5 许可证的客户使用。 Windows Autopatch 支持以下许可证：

• 微软 365 E3
• 微软365 E5
• Windows 10/11 企业版 E3
• Windows 10/11 企业版 E5
• Windows 10/11 企业版 VDA

注意：Windows Enterprise E3 及更高版本许可证持有者无需支付额外费用即可使用 Windows Autopatch 服务。如果您拥有 Windows Enterprise E3 许可证，则 Windows Autopatch 服务是完全免费的。

修复 Intune 门户中缺少的 Windows Autopatch

Intune 门户中缺少 Windows Autopatch 租户注册边栏选项卡是有原因的。这是因为您没有为设备分配适当的许可证，或者不满足自动补丁服务先决条件。下面的屏幕截图说明了 Intune 门户中缺少 Autopatch 租户注册边栏选项卡的问题。

如果您是第一次设置 Windows Autopatch，您可能会遇到此问题。 Windows Autopatch 将需要 Windows Enterprise E3 或更高版本的许可证。因此，请确保您拥有正确的许可证，Windows Autopatch 将显示在 Intune 门户中。

满足所有必需的 Windows Autopatch 先决条件并向用户分配适当的许可证后，Windows Autopatch 租户注册选项将出现在 Endpoint Manager 门户（Intune 管理控制台）中。

支持的操作系统

Windows Autopatch 支持以下 Windows 64 位版本：

• Windows 10/11 专业版
• Windows 10/11 企业版
• 适用于工作站的 Windows 10/11 专业版

Autopatch 服务不支持 Windows 服务器、Linux 和 macOS 进行修补。

在 Windows Autopatch 中注册租户的步骤

在 Windows Autopatch 中注册租户需要执行多个步骤。执行每个步骤时，请确保您使用的帐户是全局管理员。

步骤 1. 查看所有自动修补服务先决条件

在 Windows Autopatch 中注册租户之前，您必须满足 Autopatch 服务所需的所有先决条件。有关详细信息，请参阅 Windows Autopatch 先决条件文档。

步骤 2. 运行准备情况评估工具

准备情况评估工具会检查租户是否准备好首次注册 Windows Autopatch。一旦您为 Autopatch 服务注册了租户，您就无法运行此工具。

应在 Autopatch 中注册租户之前运行此工具。它会检查 Microsoft Endpoint Manager (Microsoft Intune) 和 Azure Active Directory (Azure AD) 中的设置，以确保它们能够与 Windows Autopatch 配合使用。

如果您尚未运行 Autopatch 服务的准备情况评估工具，您将看到消息评估未开始 - 选择运行检查以开始评估。

使用以下步骤运行 Windows Autopatch 安装准备情况评估工具：

• 登录 Microsoft Endpoint Manager 管理中心。
• 选择租户管理并导航到Windows Autopatch 租户注册。
• 单击运行检查启动准备情况评估工具。

准备情况评估工具现在将在后台运行，以查看您的租户是否已准备好进行 Windows Autopatch。此工具将报告您的租户的任何问题。如果评估工具发现错误，则在修复错误之前，您无法为租户注册 Autopatch。如果您发现建议性警告，请在开始注册之前尝试修复它们。

完成所有管理设置检查后，右上角将自动显示一条通知，其中包含一条消息：“管理设置检查已完成”。

消息“您已准备好注册 Windows Autopatch”确认您的租户已准备好进行 Windows Autopatch 注册。您现在可以继续下一步。

修复 Intune 门户中的未经许可的管理员错误

在 Autopatch 租户注册期间，您可能会遇到未经许可的管理错误。由于 Intune 管理员帐户没有足够的权限与 Azure AD 组织交互，因此出现未经许可的管理员错误。按照以下指南中提供的说明修复 Windows Autopatch 未经许可的管理错误。

Windows Autopatch 注册的准备状态列表

准备情况评估工具完成操作后，它会显示状态，可以有以下选项：

1. 准备就绪：这意味着您的租户已准备好进行 Autopatch 注册。
2. 咨询：凭借咨询状态，您可以继续注册您的租户，但最好解决这些问题。如果您跳过它们，则无法再次运行准备情况评估工具。
3. 未就绪：这意味着您无法为租户注册 Autopatch。您必须修复这些阻止注册的错误。单击该错误将显示解决该错误的步骤。
4. 错误：这意味着您的租户不满足 Autopatch 注册的先决条件。您使用的 Azure Active Directory (AD) 角色没有足够的权限来运行此检查。

步骤 3：启动 Windows 自动补丁注册

一旦准备情况评估工具显示状态为“就绪”，您就可以开始 Windows 自动补丁注册。在租户注册页面上，单击注册继续将租户注册到 Windows Autopatch 服务。

您必须允许 Microsoft 具有管理员访问权限才能执行以下操作：

1. 创建帐户来管理和许可您注册的设备。
2. 使用 Intune 管理设备。
3. 收集和共享有关设备和应用程序的使用情况、状态和合规性的信息。
4. 从多重身份验证和条件访问策略中删除 Microsoft 管理员帐户。

选中该复选框以表示同意条款和条件并允许 Microsoft 管理员访问，然后单击同意。

在 Windows Autopatch 设置向导的欢迎屏幕上，提供您组织的 Windows Autopatch 管理员的联系信息。电话号码、电子邮件地址、姓名和首选语言都是必须提供的信息。点击完成。

此时，您只能添加一名管理员联系人。但是，配置自动补丁后，您可以添加其他联系人作为管理员。阅读以下指南，了解如何在 Windows Autopatch 中添加管理员联系信息。

现在我们看到设置 Windows Autopatch 消息。设置自动补丁服务需要几分钟时间。在此步骤中，将为您的租户设置和配置帐户和策略。

过了一会儿，我们发现 Windows Autopatch 设置已完成。这将验证您的租户是否已成功注册 Windows Autopatch 服务。您可以单击继续开始注册设备。

步骤 4. 将设备注册或添加到 Windows Autopatch 中

为 Intune 租户注册 Windows Autopatch 后，您需要执行的第一步是向 Windows Autopatch 服务注册您的设备。您可以通过在租户中注册少量设备来尝试 Autopatch 服务。

要注册或注册设备以进行 Windows Autopatch 管理，设备必须满足一组最低限度的基于软件的先决条件：

• Windows 10 (1809+)/11 企业版和专业版版本（仅限 x64 架构）。
• 混合 Azure AD 加入或仅限 Azure AD 加入（不支持个人设备）。
• 由 Microsoft 端点管理器管理。
• Microsoft Intune 和/或 Configuration Manager 共同管理。
• 必须将以下 Microsoft Endpoint Manager-Configuration Manager 共同管理工作负载切换到 Microsoft Endpoint Manager-Intune（设置为 Pilot Intune 或 Intune）：
• Windows 更新政策
• 设备配置
• Office 即点即用
• 上次 Intune 设备签入是在过去 28 天内完成的。
• 设备必须有序列号、型号和制造商。

一旦您注册了这些设备的 Autopatch 服务，Autopatch 将接管这些设备的软件更新的管理。对于初始测试，您可以注册一些测试设备，甚至支持 Windows 365 云电脑。

您可以使用 Windows Autopatch 中的以下内置角色之一来注册设备：

• Azure AD 全局管理员
• Intune 服务管理员
• 现代工作场所 Intune 管理员

注意：要由 Windows Autopatch 服务管理的设备必须添加到 Windows Autopatch 设备注册 Azure AD 分配组中。您可以通过直接添加设备或将设备嵌套在其他 Azure Active Directory 动态组或分配组中的方式将设备添加到 Windows Autopatch 设备注册组。

Windows 自动修补设备注册过程

将设备注册到 Windows Autopatch 的步骤如下：

• 登录 Microsoft Endpoint Manager 管理中心。
• 从左侧导航菜单中选择Windows Autopatch，然后选择设备。
• 选择就绪选项卡，然后选择Windows Autopatch 设备注册超链接。 Azure Active Directory 组边栏选项卡将打开。
• 通过直接成员身份添加设备，或者添加其他 Azure Active Directory 动态组或分配组作为 Windows Autopatch 设备注册组中的嵌套组。

将成员（设备）添加到 Windows Autopatch 后，右上角会出现一条通知，其中包含消息“已成功添加组成员”。

将设备或包含设备的 Azure AD 组添加到 Windows Autopatch 设备注册组后，Autopatch 会发现这些设备，并运行基于软件的先决条件检查以尝试将它们注册到其服务中。

Windows 自动修补设备注册下缺少设备？

使用 Windows Autopatch 服务注册设备后，您可能会注意到在Windows Autopatch 设备注册下缺少设备。发生这种情况是因为 Windows Autopatch 每小时自动运行一次以发现添加到该组的新设备。一旦发现新设备，Windows Autopatch 就会尝试注册这些设备，并且它们将在设备注册部分下可见。

因此，要回答 Autopatch 服务发现设备需要多长时间的问题，最多需要 1 小时。

步骤 5. 手动发现 Windows Autopatch 设备

最初，当您使用 Autopatch 注册设备时，注册的设备最多可能需要一个小时才会显示在控制台中。

您可以使用以下步骤在 Autopatch 中手动发现已注册的设备：转至租户管理 > Windows Autopatch - 租户注册 > 租户管理 > 设备。选择发现设备。

将出现以下消息框： 发现设备 - 扫描 Windows 自动修补设备注册组，为最近添加的成员注册设备。此过程可能长达一个小时。单击确定开始设备发现过程。

几秒钟后，您将看到已发现的 Windows 设备并列在“发现设备”下。这些设备的状态为活动状态，默认情况下它们属于快速 > 组。

步骤 6. Windows Autopatch 中的更新环概述

Windows Autopatch 中的每个更新环都有不同的用途，并分配了一组策略来控制每个管理区域中更新的推出。

将设备注册到 Windows Autopatch 服务后，您可以为该设备分配一个更新环，并根据该更新环进行更新管理。每个环都有一个描述，如下所列。

Windows Autopatch 提供了四个环，您无法为托管设备创建其他环。

• 自动：当您希望 Microsoft 托管桌面自动将设备分配到其他组之一时，请选择“自动”。
• 测试：此组中的设备适用于您的 IT 管理员和测试人员，因为更改首先在此处发布。
• 第一：第一环是第一组收到更改的生产用户。该组是第一组向 Windows Autopatch 发送数据的设备。
• 快速：快速环是第二组接收更改的生产用户。
• Broad：Broad环是最后一组接收更改的用户。

步骤 7. 在 Windows Autopatch 中添加设备以更新环

要将更新环分配给设备，请转到Windows Autopatch - 设备，然后单击设备操作。现在选择分配设备组，然后选择要分配更新环的设备。

注意：您必须使用相同的步骤更改设备的更新环。

您现在必须选择一个部署组来分配设备。可用选项有自动、测试、首先、快速和广泛。选择一个选项，您的设备将添加到该部署组。您无法将一台设备添加到多个部署组。

现在我们看到设备已添加到快速部署组中。当您认为需要将设备添加到不同的更新环时，您可以更改部署组。

在注册过程中，Windows Autopatch 会创建四个 Azure Active Directory 组，用于将设备划分为更新环：

• 现代工作场所设备 - 测试
• 现代工作场所设备 - 第一
• 现代工作场所设备 - 快速
• 现代工作场所设备 - 广泛

您可以在 Azure 门户甚至 Intune 门户中查看这些组。转到组并选择所有组。您可以搜索“现代工作场所设备 - Windows Autopatch”来查看所有 Autopatch Azure AD 组。

步骤 8. 验证客户端上的自动补丁更新部署

登录属于部署组的设备并等待同步完成。完成后，您可以看到正在应用的新 Windows 更新环策略。

设备将根据更新环设置下载并安装补丁。您将看到生成的通知，用于在为部署环之一指定的宽限期内重新启动设备。

下面的屏幕截图显示了 Autopatch 成功部署软件更新时用户看到的示例。用户可以选择在特定时间（今晚）重新启动计算机，或者使用“立即重新启动”选项立即重新启动计算机。

Windows 自动补丁发布设置

发布管理下的发布设置允许您配置 Windows Autopatch 服务为租户中的设备部署更新的方式。发布设置下有两个选项：加急质量更新和Microsoft 365 应用更新。

为了使设备有资格获得 Microsoft 365 应用程序企业更新（32 位和 64 位版本），作为 Windows Autopatch 的一部分，它们必须满足以下条件：

• Microsoft Autopatch 策略和客户策略之间不存在策略冲突。
• 该设备必须在过去五天内签入 Intune 服务。

在 Autopatch 中允许或阻止 Microsoft 365 应用程序更新

如果您的公司想要更多控制权，您可以批准或拒绝 Windows Autopatch 注册设备的 Microsoft 365 应用更新。当 Microsoft 365 应用更新设置设置为“阻止”时，Windows Autopatch 将不会为组织的 Microsoft 365 应用提供更新；相反，您的公司将完全控制这些升级。

要允许或阻止 Windows Autopatch 中的 Microsoft 365 应用更新：

• 转到 Microsoft Intune 管理中心。
• 导航至设备 > 发布管理 > 发布设置。
• 转到 Microsoft 365 应用更新部分。默认情况下，允许/阻止切换设置为“允许”。
• 关闭“允许”开关以选择退出 Microsoft 365 应用更新策略。

注意：进行更改后，您将看到通知：正在更新。在更新完成之前，此设置将不可用。更新完成后，您将收到通知：此设置已更新。

允许或阻止 Autopatch 中的快速质量更新

Windows Autopatch 将持续评估 Windows 质量更新每个新版本的威胁和漏洞信息。如果确定对安全至关重要，将加快 Windows 质量更新部署。您必须是全局管理员才能对设置进行更改。

要允许或阻止 Windows Autopatch 中的快速质量更新：

• 转到 Microsoft Intune 管理中心。
• 导航至设备 > 发布管理 > 发布设置。
• 转到加急质量更新部分。默认情况下，允许/阻止切换设置为“允许”。
• 关闭“允许”开关以选择退出加急质量更新。

Windows 自动补丁常见问题解答

以下是有关 Windows Autopatch 的一些常见问题解答

什么是 Windows 自动补丁？

Windows Autopatch 是一项云服务，可自动更新 Windows、适用于企业的 Microsoft 365 应用、Microsoft Edge 和 Microsoft Teams，以提高整个组织的安全性和工作效率。

Windows 自动修补程序的费用是多少？

Windows Autopatch 作为 Windows 10/11 Enterprise E3 的一项功能提供，无需额外付费。