使用 Intune 管理 Windows 驱动程序更新：完整指南

在本文中，我们将探讨如何使用 Intune 管理 Windows 驱动程序更新。 Microsoft Intune 可以帮助你创建、部署和管理 Windows 10 和 Windows 11 设备的 Windows 驱动程序更新策略。

到目前为止，大多数组织都必须依赖第三方工具在 Intune 中分发 Windows 设备的驱动程序更新。微软终于提出了一个解决方案，通过正确的程序使用 Intune 部署 Windows 驱动程序更新和固件更新。

Intune 中的 Windows 驱动程序更新策略允许你查看适用于策略目标设备的可用驱动程序更新列表、批准部署更新或暂停单个更新的部署。驱动程序更新获得批准后，Intune 会将分配发送到 Windows Update，后者根据策略配置管理设备上的更新安装。

Microsoft 已推出用于管理 Microsoft Intune 中的 Windows 驱动程序和固件更新的策略和报告。这一新的 Intune 功能通过两种方式让 Windows 设备上的驱动程序保持最新状态变得更加容易。首先，您将不再需要使用通用工具执行下载、重新打包和部署驱动程序的手动任务。相反，你可以使用 Windows Update for Business 部署服务的驱动程序更新管理设置和报告。

本分步指南旨在帮助您完成使用 Intune 为您的组织管理驱动程序更新所需的所有步骤。如果您计划使用 Intune 部署固件更新和驱动程序更新，本企业部署指南适合您。

• 使用 Intune 部署 Windows 驱动程序更新的好处
• Windows 驱动程序更新管理架构
• • 订阅
• Windows 设备和版本要求
• RBAC 要求
• 在 Intune 中为报告启用 Windows 数据收集

使用 Intune 部署 Windows 驱动程序更新的好处

根据 Microsoft 的公告，这些新功能是 Intune Windows Enterprise 产品的一部分。以下是使用 Intune 部署 Windows 驱动程序更新的优点：

• 智能服务有助于识别策略中的设备可使用哪些驱动程序更新。
• 用于选择是要自动部署驱动程序更新还是手动批准更新，然后将其定位到 Windows 设备的选项。
• 得益于众多设备制造商的事先认证和验证，您可以信赖值得信赖的质量。
• Intune 提供更精细的控制，允许你暂停特定驱动程序的部署。您还可以根据需要恢复驱动程序更新部署。
• 除了推荐的更新之外，还提供可选的驱动程序和固件。
• Intune 中内置了详细报告，可帮助您监控设备状态、警报和修复建议。
• Windows Autopatch 自动创建驱动程序策略，允许您在整个部署环中部署驱动程序和固件（除非您选择退出该服务），并在今年晚些时候推出更精细的控制。目前自动驾驶期间不支持驱动程序更新。

另请参阅：Windows Autopilot 分步设置指南

Windows 驱动程序更新管理架构

Microsoft 的以下架构图将帮助计划利用 Intune 管理其设备的 Windows 驱动程序更新的组织。

以下是关于上图所示的 Windows 驱动程序更新管理架构图的一些要点：

• Microsoft Intune (MDM) 向 WUfB-DS 提供设备的 Azure Active Directory ID 和 Intune 策略设置。 Intune 还向 WUfB-DS 提供驱动程序批准列表和暂停命令。
• WUfB-DS 根据 Intune 提供的数据配置 Windows 更新。 Windows 更新为每个设备 ID 提供适用的驱动程序更新清单。
• WU 中发布的固件更新不需要解锁 BIOS/UEFI。
• 设备将数据发送到 Microsoft，以便 Windows Update 可以在定期 Windows Update 扫描更新期间识别设备的适用驱动程序更新。任何批准的更新都会安装在设备上。
• WUfB-DS 将 Windows 诊断数据报告回 Intune 进行报告。

另请阅读：下载最新的 Microsoft Intune 架构图

通过 Intune 使用 Windows 驱动程序更新管理的先决条件

要在 Intune 中使用 Windows 驱动程序更新管理，必须首先确保满足所有先决条件。要有效管理 Windows 设备的驱动程序更新，您的组织必须拥有以下许可证、订阅和网络配置。

订阅

对于使用 Intune 进行 Windows 驱动程序更新管理，必须订阅以下订阅。

• Intune：您的租户需要 Microsoft Intune 计划 1 订阅。
• Azure Active Directory (Azure AD)：Azure AD 免费（或更高版本）订阅。

Windows 设备和版本要求

设备和版本要求确保你的设备能够在 Intune 中管理 Windows 驱动程序更新。您的组织必须拥有以下订阅之一，其中包含 Windows Update for Business 部署服务的许可证：

设备订阅

• Windows 10/11 企业版 E3 或 E5（包含在 Microsoft 365 F3、E3 或 E5 中）
• Windows 10/11 教育版 A3 或 A5（包含在 Microsoft 365 A3 或 A5 中）
• Windows 虚拟桌面访问 E3 或 E5
• Microsoft 365 商业高级版

Windows 版本

对于 Windows 版本，以下 Windows 10/11 版本支持驱动程序更新：

• 专业版
• 企业
• 教育
• 工作站专业版

Windows 设备要求

除了上面列出的先决条件之外，以下 Windows 设备要求也很重要。

• Intune 中的 Windows 驱动程序更新管理适用于 Windows 10 和 Windows 11。您必须运行仍受支持的 Windows 10 或 11 版本。
• Windows 设备应在 Intune MDM 中注册并加入混合 AD 或 Azure AD。了解如何在 Intune 中注册 Windows 11 设备。
• 打开遥测，最低设置为必需。您可以将遥测配置为Windows 10/11 设备限制策略的一部分。在设备限制配置文件中的“报告和遥测”下，将共享使用数据配置为使用最小值必需。
• Microsoft 帐户登录助手 (wlidsvc) 服务应该能够在 Windows 设备上运行。此服务允许用户通过 Microsoft 帐户身份服务登录。如果服务被阻止或设置为禁用，则无法接收更新。默认情况下，该服务设置为“手动”（触发启动），这允许它在需要时运行。
• Windows 终结点应有权访问 Intune 所需的网络终结点。若要管理防火墙和代理服务器后面的设备，必须启用 Intune 通信。

RBAC 要求

要使用 Intune 管理 Windows 驱动程序更新，必须为您的帐户分配包含以下权限的 Intune 基于角色的访问控制 (RBAC) 角色：

设备配置

• 分配
• 创造
• 删除
• 查看报告
• 更新
• 读

在 Intune 中为报告启用 Windows 数据收集

某些 Intune 功能（包括 Windows 更新报告）需要与 Intune 共享 Windows 诊断数据。您必须在 Intune 中启用 Windows 诊断数据，以支持 Windows 驱动程序更新报告。诊断数据可能已启用用于其他报告，例如 Windows 功能更新和加速质量更新报告。

使用以下步骤启用 Windows 诊断数据：

• 登录 Microsoft Intune 管理中心，然后转到租户管理 > 连接器和令牌 > Windows 数据。
• 展开 Windows 数据并确保将处理器配置中启用需要 Windows 诊断数据的功能设置切换为打开。

在 Intune 中准备驱动程序部署计划

Microsoft 建议创建一个部署驱动程序更新的计划，其中包括可以验证驱动程序和固件更改的团队成员。拥有一支忠诚的 Intune 管理员团队是非常有益的，他们熟悉 Windows 驱动程序以及与之相关的概念。这些只是 Microsoft 在准备 Windows 驱动程序部署计划时建议的建议。

1. 决定 Windows 驱动程序的批准方法：您必须根据您希望如何批准和部署驱动程序，在自动批准和手动批准方法之间进行选择。
2. 使用驱动程序更新策略的部署环：企业管理员可以通过使用驱动程序更新策略的部署环在所有设备上广泛安装这些更新之前，将新驱动程序更新的安装限制为测试设备组。通过使用此策略，您的团队可以在广泛分发更新之前发现潜在问题。使用环可以给您足够的时间来推迟或停止在以后的环中部署有问题的更新。
3. 配置 Windows 设备的驱动程序可用性：如果您希望在使用 Intune 部署驱动程序时减少终端计算机上的重新启动次数，那么这是一个实用的选项。您可以设置手动批准的更新的更新可用性，以匹配常见的更新周期，例如 Microsoft 的补丁星期二版本。调整计划有助于减少某些驱动程序更新所需的额外系统重新启动。
4. 防止驱动程序更新策略冲突：管理驱动程序更新的 Intune 管理员必须将设备仅分配给一项驱动程序更新策略，以帮助防止一台设备通过多个策略管理其驱动程序。这有助于避免在您之前在单独的策略中拒绝或暂停同一更新时在一项策略中安装驱动程序。
5. 使用 Intune 回滚驱动程序更新：使用 Intune 为 Windows 设备部署驱动程序更新很容易，但回滚更新却很困难。 WUfB 目前不支持驱动程序回滚，因此您必须仔细批准驱动程序更新。如果必须从远程 Windows 设备删除驱动程序更新，请考虑使用 PowerShell 脚本等手动方法。

实用文章：如何在 Intune 中配置多个管理员批准

Windows 驱动程序更新批准方法：自动与手动

在 Intune 中创建 Windows 驱动程序更新策略时，有时您需要指定驱动程序更新的批准方法。对于策略批准和部署设置，有两个选项可供选择：自动和手动。让我们了解一下每个选项的含义。

• 手动批准和部署驱动程序更新：使用此选项，添加到策略中的每个新驱动程序更新的状态都会设置为“需要审核”。每个更新的状态必须在策略中更改为“已批准”，然后才能推送到支持的设备。当您手动批准更新时，您可以指定 Windows 更新可以在适用的设备上安装该更新的日期。此日期不同于使用自动批准的策略中自动批准更新所需的延迟期。
• 自动批准所有推荐的驱动程序更新：使用此选项，添加到策略中的所有新推荐的驱动程序更新都会添加状态为“已批准”。一旦更新设置为批准，它们就会开始安装在适用的设备上，而无需经过管理员的审核或批准。当您想要确保设备上的驱动程序保持 OEM 最新建议更新的最新状态时，请使用自动批准策略。

注意：如果您是首次将 Windows 驱动程序更新部署到 Intune 管理的 Windows 设备，我们建议您采用手动批准方法。通过选择此方法，您可以批准 OEM 发布的驱动程序并仅部署您需要的驱动程序。

使用 Intune 管理 Windows 驱动程序更新：高级步骤

Microsoft 建议采用系统方法在 Intune 中创建和管理驱动程序更新策略。以下是 Microsoft 建议使用 Intune 管理 Windows 驱动程序和固件升级的高级过程。

1. 在 Intune 中创建驱动程序更新配置文件和部署环。
2. 查看可用的驱动程序。
3. 手动批准 Windows 驱动程序。
4. 暂停 Windows 驱动程序。
5. 使用内置报告监控驱动程序和固件更新。

步骤 1：在 Intune 中创建 Windows 驱动程序更新策略

使用以下过程创建策略来管理 Intune 中的 Windows 驱动程序更新：

• 登录 Microsoft Intune 管理中心。
• 转至设备 > Windows > Windows 10 及更高版本的驱动程序更新。
• 选择创建配置文件以创建驱动程序更新策略。

在驱动程序更新配置文件的基本选项卡上，指定名称和说明。在下面的屏幕截图中，指定了以下详细信息。

• 名称：Windows 驱动程序更新策略
• 描述：使用 Intune 管理 Windows 10 和 Windows 11 设备的 Windows 驱动程序更新。

单击下一步。

在设置选项卡上，配置此策略中驱动程序更新的批准方法。我们在前面的部分讨论了自动驱动程序审批和手动审批方法之间的差异。但是，为了您的理解，有两个选项，并且您必须选择以下批准方法选项之一：

• 手动批准和部署驱动程序更新：在将更新部署到适用的设备之前，管理员必须编辑策略并将每个更新的状态更改为“已批准”
• 自动批准所有推荐的驱动程序更新：使用此选项，添加到策略中的所有新推荐的驱动程序更新都会添加状态为“已批准”并开始安装适用的设备，无需经过管理员审核或批准。

对于当前的驱动程序更新策略，我们选择了“手动批准和部署驱动程序更新”选项。

自动驱动程序更新批准方法选项

当您设置自动批准策略时，您必须配置以下设置，为自动批准的更新创建延迟期：

在（天）后提供更新：此设置是一个延迟期，会延迟 Windows 更新开始部署和安装自动添加到策略中且状态为“已批准”的新推荐更新的时间。延迟支持 0 到 30 天，并且从更新添加到策略之日开始，而不是从 OEM 提供或发布更新之日开始。推迟的目的是让您有时间识别并在必要时暂停部署新推荐的更新。

例如，考虑使用自动批准并延迟三天的驱动程序更新策略。 6 月 1 日，WUfB-DS 确定了一个新的推荐驱动程序更新，该更新适用于具有此策略的设备，并将更新添加到批准的策略中。由于三天的延迟期，Windows Update 会等到 6 月 4 日（即添加到策略中三天后）才向任何设备提供此更新。如果延迟设置为零天，Windows Update 将立即开始在设备上安装更新。

选择驱动程序更新配置文件的范围标签。这是一个可选步骤，如果您不想分配范围标签，请单击下一步。

在分配选项卡上，单击添加组，然后选择要向其分配驱动程序更新策略的 Azure AD 组。单击下一步。

对于查看 + 创建，查看策略配置，然后选择创建。当您选择“创建”时，您的更改将被保存并分配配置文件。很快，您将在创建 Windows 驱动程序更新策略时收到两个单独的通知。

• 已成功创建 Windows 驱动程序更新部署
• Windows 驱动程序更新部署已成功分配

选择您的策略批准和部署设置。选择设置策略以自动或手动批准和部署更新。创建策略后，批准方法将无法更改，但一旦为分配的设备构建了清单，就可以更改单个驱动程序批准和部署详细信息。

步骤 2：在 Intune 中查看可用的 Windows 驱动程序更新

创建策略后，让设备扫描更新大约一天左右。在 Windows 驱动程序更新策略页面上，您可以使用“同步”选项来手动启动最新驱动程序的同步。此选项主要检查 OEM 为您的设备发布的最新驱动程序。当您启动驱动程序同步时，您将看到状态为上次同步：等待初始库存收集。返回驱动程序更新清单最多可能需要 24 小时。

注意：Intune 与 WUfB-DS 同步每天运行，您可以使用“同步”选项按需运行同步。完成同步的时间取决于所涉及的设备信息，但通常只需几分钟即可完成。

驱动程序更新同步完成后，“要审核的驱动程序”列将包含准备审核以供手动批准的新推荐驱动程序更新的计数。在自动策略中，要审查的驱动程序将保持为 0，因为推荐的驱动程序会自动获得批准。这是一个很好的指标，表明新的驱动程序已被发现，正在等待决定是否批准或拒绝部署这些驱动程序。

在下面的屏幕截图中，我们看到有 3 个驱动程序更新被标记为待审核。

若要查看 Intune 中填充的驱动程序，请选择“要查看的驱动程序”列下的驱动程序详细信息。 推荐的驱动程序和其他驱动程序选项卡显示根据您的策略填充的所有 Windows 驱动程序更新。每个驱动程序的状态都设置为需要审核。这是因为您已将 Windows 驱动程序批准方法设置为手动，因此它们必须由管理员手动批准。

步骤 3：在 Intune 中批准 Windows 驱动程序

当您打开该策略时，您可以看到“推荐的驱动程序”和“其他驱动程序”。要批准驱动程序，请按照下列步骤操作：

• 从驱动程序名称列中选择驱动程序。
• 在“管理驱动程序”弹出窗口中的操作下选择批准选项。
• 指定设备在扫描 Windows 更新时可以使用驱动程序的日期。
• 驱动程序现在标记为“已批准”，如“状态”列中所示。

您手动批准的每个驱动程序都会将其状态从“需要审核”更改为“已批准”。

第 4 步：可选择暂停驱动程序更新

在 Intune 中手动批准驱动程序更新后，您可以“暂停”更新，以防止向任何尚未收到更新的设备提供该更新。当您暂停更新时，WUfB-DS 会删除批准。如果您错误地批准了驱动程序更新或确定不需要您批准的驱动程序，您可以暂停更新。不用说，要暂停更新，更新必须已获得批准。

您可以通过以下步骤在 Intune 中暂停驱动程序更新

• 转至驱动程序更新策略并从驱动程序名称列中选择驱动程序。
• 在管理驱动程序弹出按钮上的操作下，单击下拉菜单并选择暂停。

驱动程序更新的状态现已从已批准更改为已暂停。

注意：如果在您暂停 Windows 驱动程序更新时设备尚未扫描更新，则不会提供暂停的更新，并且“暂停”功能将按预期运行。当设备检查更新并发现驱动程序更新已暂停并且当前正在下载、安装或等待重新启动时，Windows Update 会“尽力”阻止安装驱动程序更新。

结论

我们希望本文能帮助您使用 Intune 管理 Windows 驱动程序更新，并且所有屏幕截图都会有所帮助。通过 Intune 中的驱动程序更新策略，你可以查看、批准部署和暂停托管 Windows 10 和 Windows 11 设备的驱动程序更新的部署。目前不支持 Windows Autopilot 中的驱动程序更新。不过，好消息是 Microsoft 正在努力提供部署可选驱动程序、在环级别维护对驱动程序审批的手动控制以及将这些功能用于自定义 Autopatch 组的能力。