使用 Intune 禁用暂停更新 |组策略 (GPO)

在本文中，我们将向您展示如何使用 Intune 和组策略禁用暂停更新。您可以使用 GPO 或 Intune 策略阻止 Windows 10 和 Windows 11 设备上的“暂停更新”功能，以防止用户暂停更新。

有时 Windows 更新会导致很多问题，您只想将其关闭。尽管 Microsoft 更新对于 Windows PC 至关重要，但并非所有用户都会定期安装它们。您可以禁用 Windows PC 上的暂停更新功能，以防止用户延迟更新。

Windows 10 和 11 家庭版和专业版用户可以通过 Windows 更新设置自行暂停电脑上的次要更新。在 Windows PC 上，您可以暂停更新总共五次，将更新延迟 35 天。您可以将质量更新一次延迟一周，最长可达 35 天。

使用 WSUS、Configuration Manager 或 Intune 管理 Windows 更新的组织可以使用本文中描述的方法来限制对 Windows 设备上的暂停更新功能的访问。

另请阅读：使用 Intune 管理 Windows 驱动程序更新：完整指南

Windows 10 和 Windows 11 中的暂停更新功能是什么？

您可以使用暂停更新功能在 Windows 11 和 Windows 10 上禁用自动更新安装。激活“暂停更新”功能后，您的电脑将不会检查新更新，也不会安装它们，直到您手动恢复安装更新。

更新会在 Windows 10 和 Windows 11 上自动下载和安装，以帮助确保您的设备和数据安全，并确保您拥有最新的改进和错误修复。然而，发布的更新通常会存在缺陷，从而降低用户体验。

暂停更新和永久禁用自动更新是完全不同的两件事。暂停更新允许您暂时停止自动更新的安装（1 周到 5 周）。禁用自动更新可确保您的 Windows PC 上不会下载并安装任何更新，从而使 PC 面临安全漏洞的风险。您可以通过组策略配置自动更新策略来永久禁用更新。

虽然微软不允许你完全禁用 Windows 上的自动更新，但你可以暂时暂停更新一周。任何人都可以在 Windows 更新设置下单击几下即可快速暂停更新。需要注意的是，这不会完全禁用更新，而只是推迟更新。

相关：使用 Intune 关闭 Windows 演示设置 |政府采购办公室

在 Windows PC 上暂停更新的方法

Windows 10 和 Windows 11 用户均可使用暂停更新功能。有多种方法可以在 Windows PC 上禁用“暂停更新”功能，下面列出了这些方法。

1. 通过 Windows 更新设置手动暂停 PC 上的更新。
2. 使用 Intune 策略禁用暂停更新功能。
3. 可用于阻止用户暂停更新功能的组策略 (GPO)。
4. 使用本地组策略编辑器限制暂停更新能力。
5. 注册表调整将删除用户对暂停更新按钮的访问。

我们将演示除注册表方法之外的所有上述阻止暂停更新功能的方法。我们个人不推荐注册表方式，因为这种方式不安全，而且对于家庭用户来说使用起来比较困难。

相关：在 Windows 11 中禁用驱动程序签名强制的 4 种方法

如何在 Windows PC 上暂停更新？

任何想要推迟在 Windows 10/11 电脑上安装更新的人都可以按照以下步骤进行操作。

1. 打开电脑上的“设置”应用。
2. 从侧边栏中选择Windows 更新。
3. 在暂停更新旁边，点击暂停 1 周或打开下拉菜单以暂停更新最多五周。您可以以一周为增量增加时间。

当您在 Windows PC 上暂停更新时，检查更新按钮不可用。您只会看到恢复更新按钮。在更新恢复之前，您的设备不会是最新的。

方法 1：使用组策略禁用暂停更新

在 Windows 设备上，您可以部署组策略来阻止暂停更新功能。当您的组织不使用 Microsoft Intune 并且计算机已加入 Active Directory 域时，首选此方法。

如果您计划在某些 Windows 设备上手动阻止暂停更新功能，则可以使用本地组策略编辑器。要在加入 AD 域的多个 Windows 设备上执行相同的配置更改，您必须创建 GPO 并将其部署到端点。

请注意，本地组策略编辑器仅在 Windows 专业版和企业版上可用。 Windows 10 家庭版用户无法访问计算机上的 GP 编辑器。了解如何将 Windows 11 家庭版升级到 Windows 11 专业版。

使用本地组策略编辑器关闭对暂停更新功能的访问

如果您运行的是 Windows 10 /11 专业版、企业版，删除对“暂停更新”功能的访问的最简单方法是使用本地组策略编辑器，步骤如下：

• 右键单击开始并选择运行。
• 在“运行”框中，输入命令gpedit.msc，然后单击确定打开本地组策略编辑器。
• 转到以下路径：计算机配置 > 管理模板 > Windows 组件 > Windows 更新。
• 在右侧，双击策略设置删除对“暂停更新”功能的访问权限，然后选择启用。

此设置允许您删除对“暂停更新”功能的访问权限。启用后，用户暂停更新的权限将被删除。单击应用和确定。

创建 GPO 以禁用暂停更新功能

要创建新的 GPO，您可以登录到域控制器或安装有 GPMC 的成员服务器。您还可以在 Windows 11 上安装 GPMC 并配置组策略。

• 从“开始”菜单启动服务器管理器，然后选择“工具”>“组策略管理控制台”。
• 在组策略管理控制台中，展开域，右键单击组策略对象或OU，然后选择新建。
• 输入组策略的名称，例如“禁用暂停更新功能”，然后点击确定。

右键点击您刚刚创建的 GPO，然后选择编辑。在组策略管理编辑器中，导航至计算机配置\管理模板\Windows 组件\Windows 更新。在这里，查找策略设置“删除对暂停更新功能的访问权限”，右键点击该策略设置并选择编辑。

从策略描述中，我们看到此策略设置删除了对暂停更新功能的访问。通过选择选项“启用”并单击“应用”和“确定”来启用此策略设置。

配置组策略对象后，如果尚未将 GPO 链接到 OU，则需要将其链接到 OU。您还可以将其链接到域，但这样做会使 GPO 适用于域中的每台计算机，因此不建议这样做。最好的方法是选择一个测试 OU、连接您的 GPO 并测试策略设置。

是时候更新客户端计算机上的组策略并检查暂停更新功能的访问是否已删除。您可以使用多种方法在远程计算机上执行组策略更新。在测试客户端计算机上，您可以通过运行 gpupdate /force 命令手动执行组策略更新。

刷新组策略后，转到 Windows 设备上的设置 > Windows 更新，现在您会看到用户无法暂停更新，因为它呈灰色。这证实我们部署的 GPO 已成功禁用暂停更新功能。

方法 2：使用 Intune 策略禁用暂停更新功能

执行以下步骤在 Microsoft Intune 中创建新的配置文件，以限制 Windows 设备的暂停更新功能。首先登录 Microsoft Intune 管理中心。选择设备 > 策略 > 配置配置文件 > 创建配置文件。

在创建配置文件窗口中，配置以下设置并选择创建。

• 平台：Windows 10 及更高版本
• 配置文件类型：设置目录

在基本标签中，输入以下属性。

• 名称：输入配置文件的描述性名称，以便您以后可以轻松识别它们。例如，一个好的个人资料名称是禁用暂停更新功能。
• 描述：输入配置文件的简短描述。此设置是可选的，但建议使用。例如，您可以为配置文件“阻止或限制访问 Windows 10 和 Windows 11 设备上的暂停更新功能”输入以下说明。

点击下一步。

在配置设置部分的设置目录下，点击添加设置。 Intune 中的设置目录允许管理 Windows Update for Business 设置。您可以选择允许或阻止访问暂停更新功能并将策略部署到设备或用户。

在设置选择器窗口的搜索框中输入“暂停更新”，然后点击搜索。从搜索结果中，单击Windows Update For Business类别，然后选择设置阻止“暂停更新”功能。关闭设置选择器面板。

Intune 中的阻止“暂停更新”功能策略允许 IT 管理员禁用暂停更新功能。启用此策略后，用户无法访问暂停更新功能。值类型是整数。默认值为 0。支持的值 0、1。

由于我们希望用户防止在计算机上暂停更新，因此对于阻止“暂停更新”功能设置，请将滑块转到阻止。单击下一步。

在 Intune 中，范围标签决定管理员可以查看哪些对象。在范围标签部分中，您可以指定范围标签。指定范围标签是可选的，您可以跳过此步骤。点击下一步。

在分配窗口中，指定您要应用此政策的组。我建议首先为几个测试组部署配置文件，如果测试成功，然后将其推广到更多组。选择下一步。

在查看 + 创建页面上，查看您定义的用于阻止通过 Intune 暂停更新功能的所有设置，然后选择创建。

在 Intune 中创建配置策略后，会显示一条通知：“策略创建成功”。这确认策略已创建并且正在应用于我们选择的组。我们创建的用于禁止访问暂停更新功能的新配置文件显示在 Intune 中的配置配置文件列表下。

您必须等待策略应用到目标组，一旦设备签入 Intune 服务，它们将收到您的配置文件设置。您还可以在计算机上强制同步 Intune 策略。

要监控部署，请选择政策并查看设备和用户签入状态。从下面的屏幕截图中，我们看到我们应用于禁用 Windows 设备上的暂停更新功能的策略已被设备成功接收。

限制访问暂停更新功能后的最终用户体验

让我们检查是否使用应用于我们设备的 Intune 策略禁用了暂停更新功能，以及用户在启动 Windows 更新时看到的内容。从下面的截图中，我们看到“暂停更新”选项已经变灰，用户无法再使用它来延迟安装更新。它表明由于您的组织政策，此设置不可用。

推荐阅读

• 如何使用 GPO（组策略）重命名管理员帐户
• 使用组策略隐藏任务视图按钮
• 防止使用 GPO 更改任务栏和开始菜单设置
• 如何使用组策略 (GPO) 启用远程桌面
• 使用 Intune 或 GPO 关闭 Windows 移动中心