Поделиться через

Управление обновлениями драйверов Windows в Microsoft Intune

  • Статья

С помощью управления обновлениями драйверов Windows в Microsoft Intune можно просматривать, утверждать и приостанавливать развертывание обновлений драйверов для управляемых устройств с Windows 10 и Windows 11. Intune и служба развертывания Центра обновления Windows для бизнеса (WUfB) (DS) выполняют тяжелую работу, чтобы определить применимые обновления драйверов для устройств, которым назначена политика обновлений драйверов. Intune и WUfB-DS сортируют обновления по категориям, которые помогают легко определить рекомендуемые обновления драйверов для всех устройств или обновления, которые могут считаться необязательными для более ограниченного использования.

Используя политики обновления драйверов Windows, вы можете контролировать, какие обновления драйверов можно установить на ваших устройствах. Варианты действий:

  • Включите автоматическое утверждение рекомендуемых обновлений драйверов. Политики, заданные для автоматического утверждения, автоматически утверждают и развертывают каждую новую версию обновления драйверов, которая считается рекомендуемой драйвером для устройств, назначенных политике. Рекомендуемые драйверы обычно представляют собой последнее обновление драйвера, опубликованное издателем драйвера, которое издатель помечает как обязательное. Драйверы, которые не определены как текущий рекомендуемый драйвер, также доступны в качестве других драйверов, которые можно считать необязательными обновлениями драйверов.

    Позже, когда будет выпущено новое обновление драйвера от изготовителя оборудования и будет определено как текущее рекомендуемое обновление драйвера, Intune автоматически добавляет его в политику и перемещает ранее рекомендуемый драйвер в список других драйверов.

    Совет

    Утвержденное рекомендуемое обновление драйверов, которое перемещается в список других драйверов из-за того, что доступно новое рекомендуемое обновление драйверов, остается утвержденным. Если доступно новое рекомендуемое и утвержденное обновление драйвера, WUfB-DS установит только последнюю утвержденную версию. Если последняя утвержденная версия обновления приостановлена, служба развертывания автоматически предложит следующую последнюю и утвержденную версию обновления, которая теперь находится в списке других драйверов . Это гарантирует, что последняя утвержденная версия обновления драйвера может продолжать устанавливаться на устройствах, в то время как более поздняя рекомендуемая версия остается приостановленной.

    С помощью этой конфигурации политики можно также просмотреть доступные обновления, чтобы выборочно утверждать, приостанавливать или отклонять любые обновления, которые остаются доступными для устройств с политикой.

  • Настройте политику так, чтобы требовать утверждения всех обновлений вручную. Эта политика гарантирует, что администраторы должны утвердить обновление драйвера перед его развертыванием. Новые версии обновлений драйверов для устройств с этой политикой автоматически добавляются в политику, но остаются неактивными до утверждения.

Позже, когда для устройства в политике будет рекомендовано новое обновление драйвера от изготовителя оборудования, состояние политики обновится, чтобы указать, что есть драйверы, ожидающие проверки. Это состояние становится призывом к действию, чтобы проверить политику и решить, хотите ли вы утвердить развертывание новейших драйверов на устройствах.

  • Управление драйверами, утвержденными для развертывания. Вы можете изменить любую политику обновления драйверов, чтобы изменить, какие драйверы утверждены для развертывания. Вы можете приостановить развертывание любого отдельного обновления драйвера, чтобы остановить его развертывание на новых устройствах, а затем повторно применить приостановленное обновление, чтобы центр обновления Windows возобновил его установку на соответствующих устройствах.

Независимо от конфигурации политики и включенных драйверов на устройства могут устанавливаться только утвержденные драйверы. Кроме того, Центр обновления Windows устанавливает последнее доступное и утвержденное обновление только в том случае, если версия более поздняя, чем установленная в данный момент на устройстве.

Управление обновлениями драйверов Windows применяется к:

  • Windows 10
  • Windows 11

Предварительные требования

Важно!

Эта функция не поддерживается в облачной среде GCC.

Включение активации подписки с помощью существующего ea не применимо к облачным средам GCC и GCC High/DoD для возможностей WuFB-DS.

Чтобы использовать управление обновлениями драйверов Windows, ваша организация должна иметь следующие лицензии, подписки и конфигурации сети:

Подписки

  • Intune. Вашему клиенту требуется подписка Microsoft Intune плана 1 .

  • Microsoft Entra ID: бесплатная подписка Microsoft Entra ID (или более поздней версии).

Подписки и лицензии Windows:

У вашей организации должна быть одна из следующих подписок, включающих лицензию на службу развертывания Центра обновления Windows для бизнеса:

  • Windows 10/11 Корпоративная E3 или E5 (включено в Microsoft 365 F3, E3 или E5)
  • Windows 10/11 для образовательных учреждений A3 или A5 (включено в Microsoft 365 A3 или A5)
  • Доступ к виртуальному рабочему столу Windows E3 или E5
  • Microsoft 365 бизнес премиум

Проверьте сведения о подписке на применимость к Windows 11.

Если вы заблокированы при создании новых политик для возможностей, для которых требуется WUfB-DS, и вы получаете лицензии на использование WUfB через Соглашение Enterprise (EA), обратитесь к источнику ваших лицензий, например к группе учетных записей Майкрософт или к партнеру, который продал вам лицензии. Команда по учетным записям или партнер могут подтвердить, что лицензии ваших клиентов соответствуют требованиям к лицензии WUfB-DS. См . раздел Включение активации подписки с помощью существующего ea.

Требования к выпуску & устройства

Выпуски Windows:

Обновления драйверов поддерживаются для следующих выпусков Windows 10/11:

  • Pro
  • Корпоративный
  • Для образования
  • Pro для рабочих станций

Примечание.

Неподдерживаемые версии и выпуски:
Windows 10/11 Корпоративная LTSC: обновления компонентов, обновления драйверов и политики ускоренного обновления качества в разделе Обновления качества, доступные в колонке Windows 10 и более поздних версий , не поддерживают выпуск Long Term Service Channel (LTSC). Запланируйте использование политик кругов обновления в Intune.

Устройства должны:

  • запустить версию Windows 10/11, которая поддерживается;

  • Зарегистрируйтесь в Intune MDM и присоединитесь к Гибридной службе AD или Присоединение к Microsoft Entra.

  • Включите и настроите телеметрия для отчета о минимальном уровне данных уровня "Базовый" , как определено в разделе Изменения в сборе диагностических данных Windows в документации по Windows.

    Для настройки телеметрии для устройств с Windows 10 или Windows 11 можно использовать один из следующих путей к профилям конфигурации устройств Intune:

    • Шаблон ограничения устройства. В этом профиле задайте для параметра Общий доступ к данным об использовании значение Обязательно. Также поддерживается необязательный параметр.
    • Каталог параметров. В каталоге параметров добавьте разрешить телеметрия из категории Система и задайте для него значение Basic. Также поддерживается полная версия.

    Дополнительные сведения о параметрах телеметрии Windows, включая текущие и прошлые параметры из Windows, см. в разделе Изменения в сборе диагностических данных Windows в документации по Windows.

  • Должен быть запущен Помощник по входу в учетную запись Microsoft (wlidsvc). Если служба заблокирована или отключена, получить обновление не удастся. Дополнительные сведения см. в разделе Обновления компонентов не предлагаются в отличие от других обновлений. По умолчанию для службы задано значение Вручную (запуск по триггеру). Это позволит запустить его при необходимости.

  • Иметь доступ к конечным точкам сети, необходимым для управляемых устройств Intune. См . раздел Сетевые конечные точки.

Включение сбора данных для отчетов

Для поддержки отчетов об обновлениях драйверов Windows необходимо включить использование диагностических данных Windows в Intune. Возможно, диагностические данные уже включены для других отчетов, таких как обновления компонентов Windows и отчеты о ускоренном обновлении качества. Чтобы включить использование диагностических данных Windows, выполните следующие действия:

  1. Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Администрирование> клиентовСоединители и токены>данных Windows.

  2. Разверните данные Windows и убедитесь , что параметр Включить функции, для которых требуются диагностические данные Windows в конфигурации процессора , установлен в значение Включено.

Дополнительные сведения см. в статье Включение использования диагностических данных Windows в Intune.

Поддержка GCC High

Политика Intune для обновлений драйверов в настоящее время не поддерживается в средах GCC High.

Требования RBAC

Чтобы управлять обновлениями драйверов Windows, вашей учетной записи должна быть назначена роль управления доступом на основе ролей Intune (RBAC), которая включает следующие разрешения:

  • Конфигурации устройств:
    • Назначение
    • Создание
    • Удалить
    • Просмотр отчетов
    • Обновление
    • Чтение

Вы можете добавить разрешение "Конфигурация устройств" с одним или несколькими правами для собственных пользовательских ролей RBAC или использовать встроенную роль диспетчера политик и профилей , которая включает эти права.

Дополнительные сведения см. в статье Управление доступом на основе ролей для Microsoft Intune.

Ограничения для устройств, присоединенных к рабочему месту

Политики Intune для обновлений драйверов для Windows 10 и более поздних версий требуют использования Центра обновления Windows для бизнеса (WUfB) и службы развертывания Центра обновления Windows для бизнеса (WUfB ds). Там, где WUfB поддерживает устройства WPJ, WUfB ds предоставляет другие возможности, которые не поддерживаются для устройств WPJ.

Дополнительные сведения об ограничениях WPJ для политик Центра обновления Windows Intune см. в статье Ограничения политик для устройств, присоединенных к рабочей области, в статье Управление обновлениями программного обеспечения Windows 10 и Windows 11 в Intune.

Архитектура

Концептуальная схема управления обновлениями драйверов Windows.

Архитектура управления обновлениями драйверов Windows:

  1. Microsoft Intune предоставляет идентификаторы Microsoft Entra и параметры политики Intune для устройств в WUfB-DS. Intune также предоставляет список утверждений драйверов и команд приостановки для WUfB-DS.
  2. WUfB-DS настраивает обновления Windows на основе информации, предоставляемой Intune. Обновления Windows предоставляют применимый список обновлений драйверов для каждого идентификатора устройства.
  3. Устройства отправляют данные в корпорацию Майкрософт, чтобы Центр обновления Windows смог определить применимые обновления драйверов для устройства во время регулярной проверки Обновлений Windows на наличие обновлений. Все утвержденные обновления устанавливаются на устройство.
  4. WUfB-DS передает диагностические данные Windows обратно в Intune для отчетов.

Планирование обновлений драйверов

Прежде чем создавать политики и управлять утверждением драйверов в политиках, рекомендуется создать план развертывания обновлений драйверов, включающий участников команды, которые могут утверждать обновления драйверов и встроенного ПО. К темам, которые следует рассмотреть, относятся:

  • Когда следует использовать автоматическое утверждение драйверов и утверждение драйверов вручную .

  • Использование кругов развертывания для политик обновления драйверов, чтобы ограничить установку новых обновлений драйверов тестовых групп устройств перед широкой установкой этих обновлений на всех устройствах. При таком подходе ваша команда может выявить потенциальные проблемы на ранних этапах перед развертыванием обновлений в широком смысле. Использование кругов может дать вам время на приостановку сложного обновления в последующих кругах, чтобы отложить или предотвратить его развертывание. Ниже приведены примеры организационных подходов к кругу.

    • Структурирование политик обновления драйверов для различных моделей устройств и оборудования в соответствии с подразделениями или сочетанием обоих моделей.

    • Использование периодов отсрочки политики для автоматических обновлений и даты доступности для обновлений, утвержденных вручную, чтобы согласовать круги обновлений для расписания обновлений качества и компонентов.

    Вы также можете настроить доступность обновлений для обновлений, утвержденных вручную, в соответствии с распространенными циклами обновления, такими как выпуск Исправлений Майкрософт во вторник. Выравнивание расписаний может помочь сократить количество дополнительных перезапусков системы, которые требуются некоторым обновлениям драйверов.

  • Назначьте устройствам только одну политику обновления драйверов, чтобы предотвратить управление драйверами устройства с помощью нескольких политик. Это поможет избежать установки драйвера одной политикой, когда вы ранее отклонили или приостановили это же обновление в отдельной политике. Дополнительные сведения о планировании развертываний см. в статье Создание плана развертывания документации по развертыванию Windows.

Вопросы и ответы

Поддерживают ли политики для обновлений драйверов фильтры назначений?

  • Нет. Обновления драйверов в настоящее время не поддерживаются фильтрами назначений.

Можно ли применить политику обновлений драйверов во время Autopilot?

  • Нет. Обновления драйверов в настоящее время не поддерживаются во время autopilot.

Можно ли использовать политику для отката обновления драйвера?

  • Нет. В настоящее время WUfB не поддерживает откат драйвера. Хотя можно создать скрипт отката, существует слишком много потенциальных переменных, чтобы предоставить полезный пример скрипта для этого. Если необходимо удалить драйвер, рассмотрите возможность ручных методов, таких как PowerShell.

Чтобы избежать проблем, требующих отката драйвера с большого количества устройств, используйте круги развертывания , чтобы ограничить установку драйвера небольшими начальными группами устройств. Такой подход позволяет оценить успешность или совместимость драйвера, прежде чем развертывать его в организации.

  • Для политик с утверждениями вручную необходимо проверить и вручную утвердить каждый драйвер, прежде чем он сможет развернуться на устройствах. Несмотря на большую работу, чем политики с автоматическим утверждением, утверждение вручную помогает избежать проблем с автоматически утвержденными драйверами.
  • Если вы используете политики с автоматическим утверждением, запланируйте мониторинг политики на наличие ранних признаков проблем. Если проблема с обновлением драйвера обнаружена в круге раннего развертывания, вы можете приостановить это обновление в других политиках.

Можно ли управлять устройством с помощью нескольких политик обновления драйверов?

  • Хотя поддерживается использование нескольких политик для каждого устройства, мы не рекомендуем это делать. Вместо этого рекомендуется добавлять устройства в одну политику, чтобы избежать путаницы по поводу того, является ли драйвер для устройства утвержденным или не утвержден.

    Рассмотрим устройство, которое получает обновления драйверов из двух политик. В одной политике определенное обновление утверждается, а в другой политике это обновление приостанавливается. Так как состояние утверждено всегда побеждает, драйвер устанавливается на устройстве, несмотря на любое другое состояние для этого обновления, установленное в любой другой политике.

Как уменьшить количество перезагрузок на устройствах, получающих обновления драйверов?

  • Так как не всегда ясно заранее, когда изготовитель оборудования выпускает новое обновление или если это обновление требует перезагрузки, рассмотрите регулярный шаблон проверок обновлений.

    • Для политик с утверждением вручную при утверждении драйверов и установке доступной даты утверждения можно задать для этой даты событие, например ежемесячный вторник исправлений, или любое другое время по вашему выбору.
    • Для политик с автоматическим утверждением можно приостановить добавленный объект, а затем вернуться, чтобы утвердить его. При повторном утверждении любого приостановленного обновления можно задать доступную дату утверждения.

    Чтобы устранить эту повторяющуюся проблему, мы оцениваем изменения, которые могут устранить необходимость вручную координировать обновления драйверов с обновлениями вторника исправлений .

Почему драйвер исчез из списка доступных драйверов в моей политике?

  • Когда OEM заменяет драйвер новым рекомендуемым драйвером, старый драйвер можно переместить в категорию Другие драйверы . Однако если этот старый драйвер имеет ту же или старую версию, что и драйверы, используемые всеми устройствами, этот драйвер полностью удаляется из политики, так как нет устройств, которые могли бы установить его с помощью политик обновлений драйверов.

Как удалить старые драйверы из списка драйверов политик?

  • Чтобы обеспечить актуальность списка доступных драйверов, драйверы с более старыми версиями, чем те, которые уже установлены на всех устройствах, на которые нацелена политика, больше не применяются. Эти старые драйверы удаляются из списка драйверов ранее развернутых и активных политик. В политике доступны только драйверы, которые могут обновить версию драйвера, установленную на устройстве, на которое нацелена политика.

    Установка драйверов с более старыми версиями, чем те, которые уже присутствуют на устройстве, невозможна с помощью управления обновлениями драйверов.

Какова частота синхронизации WUfB-DS?

  • Синхронизации Intune с WUfB-DS выполняются каждый день, и вы можете использовать параметр Синхронизация для выполнения синхронизации по запросу. Время завершения синхронизации зависит от сведений об устройстве, но обычно это занимает всего несколько минут.

    Устройства синхронизируются со службой WUfB-DS каждый день, когда устройство выполняет проверку Центра обновления Windows.

Какими драйверами можно управлять?

  • Все обновления драйверов, которые в настоящее время опубликованы в Центре обновления Windows и применимы к одному или нескольким устройствам в политике, доступны через политики обновлений драйверов.

Что насчет драйверов, которые обновляют BIOS с заблокированным паролем. Как это работает?

  • Обновления, опубликованные в Центре обновления Windows, требуют использования механизма Windows, который позволяет безопасно обновлять встроенное ПО или драйвер без необходимости разблокировки BIOS или UEFI.

Если у поставщика есть собственное приложение для проверки и установки обновлений драйверов и встроенного ПО, существует ли задержка в доступности обновлений между его приложением и WUfB-DS?

  • Возможность задержки зависит от поставщика или изготовителя оборудования, который определяет доступность своих обновлений. Так как обновления драйверов подписываются на том же портале в цифровом виде перед публикацией в Обновлениях Windows, обновления драйверов могут стать доступными через Центр обновления Windows, прежде чем они станут доступны через средства поставщиков.

Почему на моих устройствах установлены обновления драйверов, которые не прошли через политику обновлений?

  • Это, скорее всего, драйверы расширений , которые являются "вложенными драйверами", на которые может ссылаться основной драйвер для установки или обновления основного драйвера. Драйверы расширений отображаются в установленных драйверах или журнале обновлений на устройстве, но не управляются напрямую. Так как драйверы расширений не работают без базовых драйверов, их установку безопасно разрешить.

Как быстро на самом деле приостановлены обновления?

  • Приостановка — это лучше всего, и при приостановке обновления WUfB-DS удаляет утверждение. Однако устройства не будут знать, что обновление приостановлено до следующей проверки на наличие обновлений.
    • Если устройство еще не проверило наличие обновления, приостановленное обновление не предлагается, и приостановка работает должным образом.
    • Если устройство проверяет наличие обновлений и обнаруживает, что обновление приостановлено и устройство находится в процессе скачивания, установки или ожидания перезагрузки, центр обновления Windows на устройстве пытается удалить это обновление драйвера. Если не удается остановить установку, обновление завершает установку.
    • Если обновление завершает установку до следующей проверки на наличие обновлений, ничего не происходит, и обновление остается установленным.

Где можно узнать больше о доступных драйверах?

  • Дополнительные сведения о драйверах можно получить, скопировав имя и выполнив поиск на веб-сайте catalog.update.microsoft.com.

Обновляют ли политики обновления драйверов драйверы для подключаемых устройств?

  • Да, если обновления драйверов публикуются в Центре обновления Windows поставщиком oem.

Какие обновления драйверов могут просматривать пользователи устройств?

  • После назначения устройства политике обновления драйверов необязательные драйверы не отображаются для конечного пользователя. Когда администратор утверждает обновление драйвера, оно фактически становится обязательным и устанавливается при следующем сканировании устройства на наличие обновлений.

Как использовать управление драйверами, если в настоящее время я использую Configuration Manager для обновлений?

Вы можете продолжать использовать Configuration Manager для обновлений, отличных от драйверов, или начать переносить другие типы обновлений в управление облаком в Intune по одному. Для этого сначала включите подключение к облаку или совместное управление в иерархии Configuration Manager для регистрации управляемых устройств в Intune.

Рекомендуемый и предпочтительный способ внедрения облачных обновлений — перемещение рабочей нагрузки Центра обновления Windows в Intune. Если ваша организация не готова к этому, вы можете использовать возможность управления драйверами и встроенным ПО в Intune, не перемещая рабочую нагрузку, выполнив следующие действия.

Примечание.

Следующая процедура работает и поддерживается только для управляемых устройств с Windows 11. Для устройств Windows 10 рекомендуется переместить рабочую нагрузку Центра обновления Windows в параметрах совместного управления Configuration Manager в Intune. Кроме того, можно настроить рабочую нагрузку Центра обновления Windows в качестве пилотного параметра и указать коллекцию, содержащую управляемые устройства Windows 10 в области.

  1. Оставьте для рабочей нагрузки Центра обновления Windows значение Configuration Manager.

  2. Настройте политики драйверов в Intune, чтобы зарегистрировать устройства и подготовить их к управлению, как описано в разделе Управление политикой для обновлений драйверов Windows с помощью Microsoft Intune.

  3. Настройте групповую политику на основе домена, чтобы настроить Центр обновления Windows в качестве источника обновлений драйверов с помощью политики Укажите источник для определенных классов Обновлений Windows.

    Примечание.

    Так как Configuration Manager использует локальную групповую политику для настройки политики источника обновлений, использование Intune или CSP для настройки этих параметров приводит к неопределенному и непредсказуемому состоянию устройства.

  4. Включите сбор данных в Intune для устройств, на которые необходимо развернуть драйверы и встроенное ПО.

  5. [Необязательно] Принудительное разрешение отправки диагностических данных с помощью политики. Отправка диагностических данных в корпорацию Майкрософт позволяет использовать отчеты Центра обновления Windows для Microsoft Intune.

    Примечание.

    По умолчанию отправка диагностических данных в Корпорацию Майкрософт разрешена на устройствах Windows. Отключение сбора диагностических данных не позволяет использовать отчеты Центра обновления Windows для Microsoft Intune для предоставления сведений об обновлениях для управляемых устройств.

    Настройте для параметра Разрешить диагностические данныезначение Необязательный или Обязательный с помощью групповой политики на основе домена или Intune. Дополнительные сведения о том, как выполнить эту задачу, см. по следующим причинам:

  6. [Необязательно] Включите сбор имен устройств в диагностических данных. Дополнительные сведения о настройке с помощью групповой политики на основе домена или Intune см. в разделе Требования к диагностическим данным.

    Примечание.

    Использование Intune для настройки любых параметров диагностических данных, упомянутых ранее, требует перемещения рабочей нагрузки совместного управления "Конфигурация устройств" в Intune.

Вы можете переместить управление обновлениями компонентов в облако в Intune, настроив политику обновления компонентов в Intune и задав для параметра Обновления компонентовзначение Центра обновления Windows с помощью групповой политики Укажите источник для определенных классов политики Обновления Windows .

Использование политик круга обновлений в Intune для обновления качества или компонентов требует перемещения рабочей нагрузки Центра обновления Windows в Intune.

Есть ли способ установить крайний срок для водителей?

К драйверам применяются параметры крайний срок обновления качества и льготный период.

Ниже приведены дополнительные сведения о том, когда применяются крайние сроки для водителей:

  • Драйвер должен быть доступен (вручную или автоматически) в дату. Это отображается как первое развертывание.
  • При первом или первоначальном сканировании утвержденный драйвер предлагается устройству. Дата первоначального обнаружения обновления клиентом — это дата начала и время крайнего срока.
  • Расчет крайнего срока для обновлений качества и компонентов основан на том времени, когда проверка обновлений клиента первоначально обнаружила обновление. См . раздел Применение крайних сроков соответствия для обновлений

Как настроить отсрочки для водителей?

  • Период отсрочки, установленный для обновлений качества в политике "Круги обновлений", не применяется к драйверам, утвержденным с помощью политики обновления драйверов. Вместо этого используйте параметр отсрочки в политике драйвера, чтобы задать отсрочку. На самом деле настоятельно рекомендуется использовать несколько политик драйверов с разными параметрами отсрочки для создания кругов развертывания драйверов. Не забудьте назначить устройство только одной политике драйвера.

Применяются ли параметры взаимодействия с пользователем из политики круга обновлений для обновлений драйверов?

  • Да, параметры взаимодействия с пользователем, такие как поведение автоматического обновления, часы активности, уведомления и т. д., также применяются для обновлений драйверов.

Почему для возврата инвентаризации обновлений драйверов требуется до 24 часов?

  • Чтобы сделать инвентаризацию драйверов доступной, необходимо выполнить несколько шагов. Самое главное, что после отправки политики и регистрации устройств для управления Обновления Windows должны ждать, пока каждое устройство будет ежедневно проверять наличие обновлений. Этот процесс выполняется ежедневно, поэтому регистрация всех работоспособных устройств может занять до 24 часов. После этого Intune необходимо обработать результаты проверки, чтобы предоставить список доступных обновлений драйверов.

Дальнейшие действия