通过

Microsoft Intune中的 Windows 驱动程序更新管理

借助 Microsoft Intune 中的 Windows 驱动程序更新管理,你可以查看、批准部署和暂停托管Windows 10和Windows 11设备的驱动程序更新部署。 Intune和 Windows 自动修补处理繁重的工作,以确定分配有驱动程序更新策略的设备适用的驱动程序更新。 Intune和 Windows 自动修补按类别对更新进行排序,这些类别可帮助你轻松识别所有设备的建议驱动程序更新,或者可能被视为可选的更新,但用途更有限。

使用 Windows 驱动程序更新策略,你可以控制哪些驱动程序更新可以在设备上安装。 可以执行下列操作:

  • 启用自动批准建议的驱动程序更新。 为自动审批设置的策略会自动批准和部署每个新驱动程序更新版本,这些版本被视为分配给策略的设备 的建议驱动程序 。 建议的驱动程序通常是驱动程序发布者发布的最新驱动程序更新,发布者已将其标记为 必需。 未标识为当前推荐驱动程序的驱动程序也作为 其他驱动程序提供,可将其视为可选的驱动程序更新。

    稍后,当发布来自 OEM 的较新驱动程序更新并将其标识为当前推荐的驱动程序更新时,Intune自动将其添加到策略,并将以前建议的驱动程序移动到其他驱动程序列表。

    提示

    由于较新的推荐驱动程序更新可用,已批准的推荐驱动程序更新将移到 其他驱动程序 列表,该更新仍为已批准。 当有较新的推荐和批准的驱动程序更新可用时,Windows 自动修补将仅安装最新批准的版本。 如果暂停了最新批准的更新版本,自动修补会自动提供下一个最新且已批准的更新版本,该版本现在位于 其他驱动程序 列表中。 此行为可确保已批准的上一个已知良好的驱动程序更新版本可以继续安装在设备上,而较新的建议版本将保持暂停状态。

    使用此策略配置,还可以选择查看可用更新,以便有选择地批准、暂停 或拒绝任何 仍可用于具有策略的设备更新。

  • 将策略配置为要求手动批准所有更新。 此策略可确保管理员必须先批准驱动程序更新,然后才能部署它。 具有此策略的设备驱动程序更新的较新版本会自动添加到策略,但在获得批准之前保持非活动状态。

稍后,当建议为策略中的设备提供来自 OEM 的较新驱动程序更新时,策略状态会更新,以指示存在等待评审的驱动程序。 此状态将成为一种行动号召,用于查看策略并决定是否要批准将最新的驱动程序部署到设备。

  • 管理已批准部署的驱动程序。 可以编辑任何驱动程序更新策略,以修改已批准部署的驱动程序。 可以暂停部署任何单个驱动程序更新以停止部署到新设备,然后重新提供暂停的更新,使Windows 更新能够继续在适用的设备上安装它。

无论包含何种策略配置和驱动程序,都只能在设备上安装已批准的驱动程序。 此外,Windows 更新仅当版本比设备上当前安装的版本更新时,才会安装最新的可用和已批准的更新。

Windows 驱动程序更新管理适用于:

  • Windows 10
  • Windows 11

先决条件

重要

GCC 云环境不支持此功能。

使用现有 EA 启用订阅激活 不适用于适用于 Windows 自动修补功能的 GCC 和 GCC High/DoD 云环境。

若要使用 Windows 驱动程序更新管理,你的组织必须具有以下许可证、订阅和网络配置:

订阅

  • Intune:租户需要Microsoft Intune 计划 1订阅。

  • Microsoft Entra IDMicrosoft Entra ID免费 (或更高版本的) 订阅。

Windows 订阅和许可证

你的组织必须具有以下订阅之一,其中包含 Windows 自动修补许可证:

  • Windows 10/11 企业版 E3 或 E5(包含在 Microsoft 365 F3、E3 或 E5 中)
  • Windows 10/11 教育版 A3 或 A5(包含在 Microsoft 365 A3 或 A5 中)
  • Windows 虚拟桌面访问 E3 或 E5
  • Microsoft 365 商业高级版

查看订阅详细信息,了解Windows 11的适用性

如果在为需要 Windows 自动修补的功能创建新策略时被阻止,并且你通过企业协议 (EA) 获得使用Windows 更新客户端策略的许可证,请联系许可证的来源,例如Microsoft帐户团队或销售许可证的合作伙伴。 帐户团队或合作伙伴可以确认租户的许可证是否满足 Windows 自动修补许可证要求。 请参阅 使用现有 EA 启用订阅激活

设备 & 版本要求

Windows 版本

以下 Windows 10/11 版本支持驱动程序更新:

  • Pro 版
  • 企业
  • 教育
  • 专业工作站版

注意

不支持的版本和版本Windows 10/11 企业 LTSC:功能更新、驱动程序更新和加速质量更新策略位于“质量更新”下,Windows 10 及更高版本下提供,不支持长期服务通道 (LTSC) 版本。 计划在 Intune 中使用更新通道策略。

设备必须满足以下条件

  • 运行仍处于支持状态的 Windows 10/11 版本。

  • 在 MDM Intune 中注册,并且已加入混合 AD 或Microsoft Entra加入。

  • 启用遥测并将其配置为报告 Windows 文档中对 Windows 诊断数据收集的更改中定义的基本最低数据级别。

    可以使用以下Intune设备配置文件路径之一为Windows 10或Windows 11设备配置遥测:

    • 设备限制模板:使用此配置文件,将 “共享使用情况数据” 设置为 “必需”。 也支持可选
    • 设置目录:从“设置”目录中,添加“允许系统”类别中的“遥测”,并将其设置为“基本”。 还支持 Full

    有关 Windows 遥测设置的详细信息(包括 Windows 中的当前和过去的设置选项),请参阅 Windows 文档中对 Windows 诊断数据收集的更改

  • “Microsoft 帐户登录助手”(wlidsvc) 必须能够运行。 如果服务已被阻止或设置为“已禁用”,则无法接收更新。 有关详细信息,请参阅提供其他更新时未提供功能更新。 默认情况下,服务设置为“手动(触发器启动)”,即允许根据需要运行服务。

  • 有权访问Intune托管设备所需的网络终结点。 请参阅 网络终结点

为报表启用数据收集

若要支持 Windows 驱动程序更新报告,必须在 Intune 中启用 Windows 诊断数据的使用。 可能已为其他报表启用了诊断数据,例如 Windows 功能更新和加速质量更新报告。 若要启用 Windows 诊断数据的使用,请执行以下作:

  1. 登录到Microsoft Intune管理中心,然后转到租户管理>连接器和令牌>Windows 数据

  2. 展开 “Windows 数据 ”,并确保“ 启用需要处理器配置中 Windows 诊断数据的功能 ”设置已切换为 “开”。

有关详细信息,请参阅启用通过Intune使用 Windows 诊断数据

GCC 高支持

Intune驱动程序汇报策略目前不支持 GCC High 环境。

RBAC 要求

若要管理 Windows 驱动程序更新,必须为你的帐户分配Intune基于角色的访问控制 (RBAC) 角色,该角色包含以下权限:

  • 设备配置
    • Assign
    • 创建
    • 删除
    • 查看报表
    • 更新
    • 阅读

可以将具有一个或多个权限 的设备配置 权限添加到自己的自定义 RBAC 角色,或使用内置 策略和配置文件管理员 角色,其中包括这些权限。

有关详细信息,请参阅Microsoft Intune的基于角色的访问控制

已加入工作区的设备的限制

Windows 10驱动程序更新的Intune策略和更高版本需要使用Windows 更新客户端策略和 Windows 自动修补。 如果Windows 更新客户端策略支持 WPJ 设备,则 Windows 自动修补提供 WPJ 设备不支持的其他功能。

有关Intune Windows 更新策略的 WPJ 限制的详细信息,请参阅在 Intune 中管理Windows 10和Windows 11软件更新中的加入工作区的设备的策略限制

体系结构

Windows 驱动程序更新管理的概念图。

Windows 驱动程序更新管理体系结构

  1. Microsoft Intune为 Windows 自动修补的设备提供Microsoft Entra ID 和Intune策略设置。 Intune还提供了 Windows 自动修补的驱动程序审批和暂停命令列表。
  2. Windows 自动修补基于Intune提供的信息配置 Windows 汇报。 Windows 汇报为每个设备 ID 提供适用的驱动程序更新清单。
  3. 设备将数据发送到Microsoft,以便Windows 更新可以在设备定期Windows 更新扫描更新期间识别设备的适用驱动程序更新。 设备上安装任何已批准的更新。
  4. Windows 自动修补将 Windows 诊断数据报告回Intune报表。

规划驱动程序更新

在创建策略和管理策略中的驱动程序审批之前,我们建议构建一个驱动程序更新部署计划,其中包括可以批准驱动程序和固件更新的团队成员。 要考虑的主题包括:

  • 何时使用 自动 驱动程序审批与 手动 驱动程序审批。

  • 使用驱动程序更新策略的部署圈来限制新驱动程序更新的安装,以测试设备组,然后再在所有设备上广泛安装这些更新。 使用此方法,团队可以在广泛部署更新之前在早期圈中识别潜在问题。 使用环可以让你有时间在后续通道中暂停麻烦的更新,以延迟或阻止其部署。 环的组织方法示例包括:

    • 为不同的设备和硬件模型构建驱动程序更新策略,使其与组织单位保持一致,或者二者兼而有之。

    • 使用自动更新的策略延迟期和手动批准的更新 的可用日期 ,以与质量和功能更新计划保持一致。

    还可以设置手动批准的更新的更新可用性,以匹配常见的更新周期,例如Microsoft的补丁星期二版本。 计划一致有助于减少某些驱动程序更新所需的额外系统重启。

  • 仅将设备分配给一个驱动程序更新策略,以帮助防止设备通过多个策略管理其驱动程序。 这可以帮助避免在以前在单独的策略中拒绝或暂停同一更新时由一个策略安装驱动程序。 有关规划部署的详细信息,请参阅 Windows 部署文档中的 创建部署计划

常见问题

驱动程序更新策略是否支持分配筛选器?

  • 不正确。 分配筛选器当前不支持驱动程序汇报。

是否可以在 Windows Autopilot 期间应用驱动程序更新策略?

  • 不正确。 目前,autopilot 期间不支持驱动程序汇报。

注意

Windows 在 Windows Autopilot 期间应用关键更新。 这些更新可能包括尚未获得管理员批准的关键驱动程序更新。

是否可以使用策略回滚驱动程序更新?

  • 不正确。 Windows 更新客户端策略当前不支持驱动程序回滚。 虽然回滚可以编写脚本,但潜在变量太多,无法提供一个有用的示例脚本来执行此作。 如果必须删除驱动程序,请考虑使用 PowerShell 等手动方法。

为了帮助避免需要从大量设备回滚驱动程序的问题,请使用 部署环 将驱动程序安装限制为小型初始设备组。 此方法允许在组织中广泛部署驱动程序之前,有时间评估驱动程序的成功或兼容性。

  • 对于具有手动批准的策略,必须先查看并手动批准每个驱动程序,然后才能将其部署到设备。 虽然比使用自动审批的策略工作更多,但手动审批可以帮助避免自动批准的驱动程序出现问题。
  • 如果使用具有自动审批的策略,请计划监视策略是否存在问题的早期迹象。 如果在早期部署圈中发现了驱动程序更新问题,则可以在其他策略中暂停相同的更新。

是否可以通过多个驱动程序更新策略管理设备?

  • 虽然支持为每个设备使用多个策略,但我们不建议这样做。 相反,我们建议将设备添加到单个策略,以避免混淆设备的驱动程序是否获得批准。

    请考虑从两个策略接收驱动程序更新的设备。 在一个策略中,特定更新得到批准,而另一个策略中,该更新将暂停。 由于 “已批准 ”状态始终获胜,因此驱动程序会在设备上安装,尽管该更新的任何其他状态是在任何其他策略中设置的。

如何在接收驱动程序更新的设备上减少重启?

  • 由于 OEM 何时发布新更新或该更新需要重新启动,因此并不总是提前明确,因此请考虑定期更新评审模式。

    • 对于手动批准的策略,当你批准驱动程序并设置 审批可用日期时,可以将该日期设置为事件,例如每月补丁星期二或你选择的任何其他时间。
    • 对于具有自动审批功能的策略,可以暂停新添加的策略,然后返回批准它。 重新提供任何暂停的更新时,可以设置 批准可用日期

    为了帮助缓解此类重复挑战,我们评估了一些更改,这些更改可以缓解使用 补丁星期二 更新手动协调驱动程序更新的需要。

为什么某个驱动程序从策略中的可用驱动程序列表中消失?

  • 当 OEM 将驱动程序替换为新的推荐驱动程序时,旧驱动程序可以移动到 “其他驱动程序 ”类别。 但是,如果旧版驱动程序与所有设备使用的驱动程序版本相同或更早,则会从策略中完全删除该驱动程序,因为没有设备可以通过驱动程序更新策略安装它。

如何实现从策略的驱动程序列表中删除较旧的驱动程序?

  • 为确保可用驱动程序列表是最新的,在策略目标的所有设备上,版本早于已安装版本的驱动程序不再适用。 这些较旧的驱动程序将从以前部署的和活动的策略的驱动程序列表中删除。 只有可以更新当前安装在策略目标设备上的驱动程序版本的驱动程序保留在策略中。

    无法通过驱动程序更新管理安装比设备上已有的版本更旧版本的驱动程序。

Windows 自动修补同步频率是多少?

  • Intune到 Windows 自动修补同步每天运行,你可以使用“同步”选项按需运行同步。 完成同步的时间取决于所涉及的设备信息,但通常只需几分钟即可完成。

    设备每天在运行Windows 更新扫描时与 Windows 自动修补服务同步。

哪些驱动程序可供管理?

  • 当前发布到Windows 更新且适用于策略中的一个或多个设备的任何驱动程序更新都可以通过驱动程序更新策略获得。

更新密码锁定的 BIOS 的驱动程序呢? 这是如何工作的?

  • 发布到 Windows 更新 汇报要求使用 Windows 机制,该机制允许安全地更新固件或驱动程序,而无需解锁 BIOS/UEFI。

如果供应商有自己的应用用于扫描和安装驱动程序和固件更新,则其应用与 Windows 自动修补之间是否有更新可用性延迟?

  • 延迟的可能性取决于确定其更新可用性的供应商或 OEM。 由于驱动程序更新在发布到 Windows 汇报之前由同一门户进行数字签名,因此驱动程序更新可能先通过Windows 更新获得,然后再通过供应商工具提供。

为什么我的设备安装了未通过更新策略的驱动程序更新?

  • 这些可能是扩展驱动程序,它们是main驱动程序在安装或更新main驱动程序时可以引用安装的“子驱动程序”。 扩展驱动程序显示在设备上已安装的驱动程序或更新历史记录中,但无法直接管理。 由于扩展驱动程序在没有基本驱动程序的情况下无法正常运行,因此可以安全地允许它们进行安装。
  • 即插即用还可以自动安装驱动程序。 当 Windows 检测到新的硬件或软件 ((例如鼠标、键盘或网络摄像头) 没有现有驱动程序)时,它会安装最新的驱动程序以确保组件立即正常运行。 初始安装后,这些驱动程序的任何将来更新都需要批准。

暂停的更新实际暂停的速度有多快?

  • 暂停是尽力而为,当暂停更新时,Windows 自动修补会删除审批。 但是,在下次扫描更新之前,设备不会知道更新已暂停。
    • 如果设备尚未扫描更新,则不会提供暂停的更新,并且 “暂停” 按预期工作。
    • 如果设备扫描更新并发现更新已暂停,并且设备正在下载、安装或等待重启,则设备上的Windows 更新将尝试“尽最大努力”删除安装该驱动程序更新。 如果无法停止安装,更新将完成安装。
    • 如果更新在下次扫描更新之前完成安装,则不会发生任何作,并且更新仍会保持安装状态。

在哪里可以了解有关可用驱动程序的详细信息?

  • 可以通过复制名称并搜索 catalog.update.microsoft.com 网站来获取有关驱动程序的详细信息。

驱动程序更新策略是否更新插件设备的驱动程序?

  • 是,如果驱动程序更新由 OEM 供应商发布到Windows 更新。

我的设备用户可以看到哪些驱动程序更新?

  • 将设备分配到驱动程序更新策略后,不会向最终用户显示可选驱动程序。 当管理员批准驱动程序更新时,它会有效地成为“必需”,并在设备下次扫描更新时安装。

如果我当前使用Configuration Manager进行更新,如何实现使用驱动程序管理?

可以继续对驱动程序以外的更新使用Configuration Manager,或者开始将其他更新类型一次Intune一个移动到云管理。 为此,请先在Configuration Manager层次结构中启用云附加或共同管理,以在 Intune 中注册托管设备。

采用基于云的更新的建议和首选路径是将Windows 更新工作负载移动到Intune。 如果组织尚未为此做好准备,可以通过完成以下步骤,在 Intune 中使用驱动程序和固件管理功能,而无需移动工作负载:

注意

以下过程仅适用于托管Windows 11设备,并且受支持。 对于Windows 10设备,建议将Configuration Manager共同管理设置中的Windows 更新工作负载移动到Intune。 或者,将Windows 更新工作负荷配置为“试点”设置,并指定包含作用域内Windows 10托管设备的集合。

  1. Windows 更新工作负荷设置为“Configuration Manager”。

  2. 在 Intune 中配置驱动程序策略,以注册设备并准备好进行管理,详见使用 Microsoft Intune 管理 Windows 驱动程序更新策略

  3. 使用指定 Windows 汇报特定类的源策略,配置基于域的组策略,以将Windows 更新配置为驱动程序汇报的源

    注意

    由于Configuration Manager使用本地组策略来配置更新源策略,因此使用 Intune 或 CSP 尝试配置这些相同的设置会导致设备状态未定义且不可预知。

  4. 在 Intune 中为要向其部署驱动程序和固件的设备启用数据收集

  5. [可选]强制允许使用策略提交诊断数据。 将诊断数据提交到Microsoft允许对Microsoft Intune使用Windows 更新报告

    注意

    默认情况下,Windows 设备上允许向Microsoft提交诊断数据。 禁用诊断数据收集可防止Microsoft Intune使用Windows 更新报表来报告托管设备的任何更新信息。

    使用基于域的组策略或Intune将“允许诊断数据”设置配置为“可选”或“必需”。 有关如何完成此任务的详细信息,请转到:

  6. [可选]在诊断数据中启用设备名称收集。 有关使用基于域的组策略或Intune进行配置的详细信息,请参阅诊断数据要求

    注意

    使用 Intune 配置前面提到的任何诊断数据设置都需要将设备配置共同管理工作负荷移动到Intune。

可以通过在 Intune 中配置功能更新策略并将功能汇报设置设置为Windows 更新使用指定特定 Windows 汇报 类的源策略组策略,将功能更新管理移动到 Intune 中的云。

在 Intune for Quality 或 Feature 汇报 中使用更新通道策略需要将Windows 更新工作负荷移动到Intune。

有没有办法为司机设置最后期限?

质量更新截止时间和宽限期设置适用于驱动程序。

以下是有关何时对司机应用截止时间的更多详细信息:

  • 驱动程序被批准 (手动或自动) 日期可用。 这显示为“第一个部署”。
  • 首次或初始扫描时,会向设备提供已批准的驱动程序。 客户端的更新扫描最初发现更新的日期也是截止时间的开始日期和时间。
  • 质量和功能更新的截止时间计算基于客户端的更新扫描最初发现更新的时间。 请参阅 强制实施更新的合规性截止时间

如何实现为驱动程序设置延迟?

  • 更新通道策略中为质量汇报设置的延迟期限不适用于使用驱动程序更新策略批准的驱动程序。 请改用驱动程序策略中的延迟设置来设置延迟。 事实上,强烈建议使用具有不同延迟设置的多个驱动程序策略来创建驱动程序部署圈。 请记住,仅将设备分配给一个驱动程序策略。

注意

延迟期仅适用于自动批准的驱动程序和固件更新。 管理员必须指定开始提供任何手动批准的驱动程序的日期。

更新通道策略中的用户体验设置是否应用于驱动程序更新?

  • 是的,用户体验设置(如自动更新行为、活动时间、通知等)也适用于驱动程序更新。

为什么返回驱动程序更新清单最多需要 24 小时?

  • 若要使驱动程序清单可用,必须完成几个步骤。 最重要的是,提交策略并注册设备进行管理后,Windows 汇报必须等待每台设备执行每日更新扫描。 此过程每天发生,因此所有正常设备最多可能需要 24 小时才能检查。 在此之后,Intune需要处理扫描结果,以提供可用驱动程序更新的清单。

后续步骤