настройка политики обновления windows 10
Политика кругов обновления для Windows 10 и более поздней версии в Intune
Создайте круги обновления, указывающие, как и когда Windows как услуга обновляет устройства Windows 10/11 с помощью обновлений компонентов и исправлений. Начиная с Windows 10/11 новые компоненты и исправления включают в себя содержимое всех предыдущих обновлений. Если у вас установлено последнее обновление, то устройства с Windows обновлены. В отличие от предыдущих версий Windows, теперь необходимо устанавливать не отдельную часть обновления, а полное обновление.
Круги обновлений Windows поддерживают теги области. Теги области можно использовать с кругами обновлений для фильтрации применяемых наборов конфигураций и управления ими.
Предварительные требования
Для использования обновлений Windows на устройствах Windows 10/11 в Intune необходимо выполнить следующие предварительные требования.
работать под управлением Windows 10 версии 1607 или более поздней либо под управлением Windows 11;
иметь включенную функцию сбора данных телеметрии с минимальным значением Обязательные.
Настройте телеметрию в рамках политики ограниченного использования устройств для Windows 10 или более поздней версии. В профиле ограничения устройства в разделе Отчеты и телеметрия присвойте параметру Общий доступ к данным об использовании минимальное значение Обязательные. Также поддерживаются значения Расширенные (1903 и более ранние версии) или Необязательные.
Хотя настраивать Центр обновления Windows для бизнеса не нужно, если служба Помощника по входу в учетную запись Майкрософт (wlidsvc) отключена, Центр обновления Windows не будет предоставлять обновления компонентов для устройств под управлением Windows 10 версии 1709 или более поздней либо под управлением Windows 11. Дополнительные сведения см. в разделе Обновления компонентов не предлагаются в отличие от других обновлений.
Круги обновления поддерживаются для следующих выпусков Windows.
Windows 10/11 Корпоративная
Windows 10/11 для совместной работы (для устройств Surface Hub)
Windows Holographic for Business
Windows Holographic for Business поддерживает подмножество параметров для обновлений Windows, включая следующие:
Неподдерживаемые версии и выпуски:
Windows 10/11 Корпоративная LTSC. Центр обновления Windows для бизнеса (WUfB) не поддерживает выпуск Long Term Service Channel. Запланируйте использование альтернативных методов исправления, таких как WSUS или Configuration Manager.
Создание и назначение кругов обновления
Выберите Устройства > Windows > Круги обновления для Windows 10 и более поздних версий > Создать профиль.
В разделе Основные укажите имя, описание (необязательно), а затем выберите Далее. 
На вкладке Параметры круга обновления настройте параметры в соответствии со своими бизнес-потребностями. Дополнительные сведения о доступных параметрах см. в статье Параметры Центра обновления Windows. После настройки параметров Обновление и взаимодействие с пользователем выберите Далее.
На вкладке Теги области щелкните + Выбрать теги области, чтобы открыть панель Выбранные теги, в которой можно назначить теги области для круга обновления. Выберите теги, а затем нажмите кнопку Выбрать, чтобы добавить их в круг обновления и вернуться к панели Теги области.
Когда все будет готово, выберите Далее, чтобы перейти к назначениям.
На вкладке Назначения щелкните + Выберите группы для включения и назначьте круг обновления группам. Используйте функцию + Выберите группы для исключения для точной настройки назначения. Нажмите кнопку Далее, чтобы продолжить.
Хотя круги обновления можно развернуть как для устройств, так и для групп пользователей, рассмотрите возможность использования только групп устройств, если используются обновления компонентов.
На вкладке Проверка и создание просмотрите параметры, а затем выберите Создать при готовности к сохранению круга обновления для Windows. Новый круг обновления отображается в списке кругов обновления.
Управление кругами обновлений Windows
На портале перейдите в раздел Устройства > Windows > Круги обновления для Windows 10 и более поздних версий и выберите политику, которую нужно изменить. Политика откроется на странице Обзор.
На этой странице можно просмотреть состояние назначения кругов и выбрать следующие действия в верхней части панели «Обзор» для управления кругом обновления:
Удалить
Выберите Удалить, чтобы остановить применение параметров выбранного круга обновления Windows. При удалении круга из Intune удаляется его конфигурация, поэтому Intune больше не применяет эти параметры.
При удалении круга из Intune его параметры на устройствах, которым назначен круг обновления, не изменяются. Вместо этого устройство сохраняет текущие настройки. Устройства не сохраняют запись журнала о параметрах, которые они удерживали ранее. Устройства могут также принимать параметры из дополнительных кругов обновлений, которые остаются активными.
Удаление круга
Пауза
Выберите Приостановить, чтобы предотвратить получение исправлений или обновлений компонентов на соответствующем устройстве на срок до 35 дней с момента приостановки круга. По истечении максимального числа дней функция приостановки автоматически отключается, и устройство может проверить наличие обновлений в Центре обновления Windows. После этой проверки вы можете снова приостановить обновления. Если возобновить приостановленный круг обновления, а затем снова приостановить его, период приостановки будет сброшен до 35 дней.
Приостановка круга
Когда тип обновления приостановлен, в области «Обзор» для этого круга отображается количество оставшихся дней до возобновления типа обновления.
После подачи команды приостановки устройства получат эту команду при следующей регистрации в службе. Не исключено, что перед регистрацией они могут установить запланированное обновление. Кроме того, если в момент подачи команды приостановки целевое устройство выключено, при включении оно может скачать и установить запланированное обновление до регистрации в Intune.
Resume
Пока круг обновления приостановлен, можно выбрать Восстановить, чтобы восстановить обновления компонентов и исправления для этого круга до активной операции. После возобновления круга обновления можно снова приостановить круг.
Возобновление круга
Расширение
Пока круг обновления приостановлен, можно выбрать Продлить, чтобы сбросить период приостановки для исправлений и обновлений компонентов для этого круга обновления до 35 дней.
Продление периода приостановки для круга
Удалить
Администратор службы Intune может нажать кнопку Удалить, чтобы удалить (откатить) последнюю версию обновления компонента или последнюю версию исправления для активного или приостановленного круга обновления. После удаления одного типа можно удалить другой тип. Intune не поддерживает и не управляет возможностью пользователей удалять обновления.
Когда вы используете опцию Unininstall (Удалить), Intune немедленно передает запрос на удаление устройствам.
Для успешного удаления:
На устройстве необходимо установить последнее обновление. Так как обновления являются накопительными, устройства, на которых установлено последнее обновление, будут иметь самое последнее обновление компонентов и самые последние исправления. Примером использования этого параметра является откат последнего обновления при обнаружении критической проблемы на компьютерах с Windows.
При удалении учитывайте следующее:
Удаление обновления компонентов или исправления доступно только для канала обслуживания устройства.
В результате удаления исправлений и обновлений компонентов политика восстанавливает предыдущее обновление на компьютерах с Windows.
На устройствах с Windows 10/11 после успешного отката исправления пользователи по-прежнему видят это обновление в списке Параметры Windows > Обновления > Журнал обновлений.
Если вы удаляете обновления компонентов или исправления в круге обновления, Intune приостанавливает обновления такого же типа в этом круге обновления.
Когда приостановка обновления компонента или исправления в круге обновления истечет, устройства переустановят удаленные ранее обновления компонентов или исправления, если они еще применимы.
В частности, для обновления компонентов время, в течение которого можно удалить обновление, ограничено сроком от 2 до 60 дней. Этот период настраивается параметром обновления кругов Установка периода удаления обновления компонентов (2–60 дней). Невозможно выполнить откат обновления компонента, установленного на устройстве, после того как обновление было установлено на период, превышающий настроенный период удаления.
Например, рассмотрим круг обновлений с периодом удаления обновлений 20 дней. По истечении 25 дней вы решаете откатить последнее обновление компонентов и используете опцию удаления. Устройства, которые установили обновление компонентов более 20 дней назад, не могут выполнить откат, так как они удалили необходимые биты в рамках обслуживания. Однако устройства, которые установили обновление только 19 дней назад, могут удалить его, если они зарегистрированы для получения команды удаления до истечения 20-дневного периода удаления.
Дополнительные сведения о политиках Центра обновления Windows см. в статье Обновление CSP в документации по управлению клиентом Windows.
Удаление последнего обновления Windows
Проверка и создание отчетов
Существует несколько вариантов получения подробных отчетов о обновлениях Windows 10/11 с помощью Intune. Дополнительные сведения см. в разделе Отчеты о соответствии Intune.
Политика обновления компонентов для Windows 10 и более поздней версии в Intune
Этот компонент находится в состоянии общедоступной предварительной версии.
С помощью обновления компонентов для Windows 10 и более поздних версий в Intune можно выбрать версию обновления компонентов Windows, которая должна остаться на устройствах, например Windows 10 версии 1909 или версию Windows 11. Intune поддерживает установку уровня компонента для любой версии, которая поддерживается на момент создания политики.
Вы также можете использовать политику обновления компонентов для обновления устройств под управлением Windows 10 до Windows 11.
Политики обновлений компонентов Windows работают с политиками кругов обновления Windows 10 и более поздних версий, чтобы предотвратить получение устройством версии компонента Windows, превышающей значение, указанное в политике обновления компонентов.
Когда устройство получает политику для обновлений компонентов.
Устройство обновляется до версии Windows, указанной в политике. Устройство, которое уже работает под управлением более поздней версии Windows, остается в текущей версии. При замораживании версии набор компонентов устройств остается стабильным в течение всего срока действия политики.
Обновление не будет установлено на устройстве, если на нем установлена защитная блокировка для этой версии Windows. Когда устройство оценивает применимость обновления, Windows устанавливает временную защитную блокировку при наличии известной неразрешенной проблемы. После устранения проблемы блокировка снимается, после чего устройство можно обновить.
Дополнительные сведения о защитных блокировках см. в документации Windows о состоянии обновления компонентов.
Сведения об известных проблемах, которые могут привести к защитной блокировке, см. на странице Сведения о выпуске Windows (выберите в содержании ссылку для соответствующей версии Windows).
Например, для Windows версии 2004 откройте сведения о выпуске Windows, на панели слева выберите Версия 2004, а затем выберите Известные проблемы и уведомления. На открывшейся странице приводятся сведения об известных проблемах в этой версии Windows, которые могут привести к защитной блокировке.
В отличие от использования Паузы с кругом обновления, срок действия которого истекает через 35 дней, политика обновления компонентов остается в силе. Устройства не устанавливают новую версию Windows, пока не будет изменена или удалена политика обновления компонентов. Если изменить политику, указав более новую версию, то устройства смогут устанавливать компоненты из этой версии Windows.
Предварительные требования
Ниже перечислены предварительные требования обновления компонентов Windows для Windows 10 и более поздних версий в Intune.
Кроме лицензии для Intune, ваша организация должна иметь одну из следующих подписок:
Просмотрите подробности подписки, чтобы узнать о применимости к Windows 11.
запустить версию Windows 10/11, которая поддерживается;
быть зарегистрированы в Intune MDM, а также быть присоединены к Azure AD или присоединены к Azure AD гибридным образом;
иметь включенную функцию сбора данных телеметрии с минимальным значением Обязательные.
Устройства, которые получают политику обновления компонентов и для которых телеметрия не настроена, могут установить более позднюю версию Windows, чем определено в политике обновления компонентов. Предварительные требования передачи данных телеметрии переданы на рассмотрение, так как эта функция будет реализована в общедоступной версии.
Настройте телеметрию в рамках политики ограниченного использования устройств для Windows 10/11. В профиле ограничения устройства в разделе Отчеты и телеметрия присвойте параметру Общий доступ к данным об использовании минимальное значение Обязательные. Также поддерживаются значения Расширенный (1903 и более ранние версии) или Необязательно.
Должен быть запущен Помощник по входу в учетную запись Microsoft (wlidsvc). Если служба заблокирована или отключена, получить обновление не удастся. Дополнительные сведения см. в разделе Обновления компонентов не предлагаются в отличие от других обновлений. По умолчанию для службы задано значение Вручную (запуск по триггеру). Это позволит запустить его при необходимости.
Обновления компонентов поддерживаются для следующих выпусков Windows 10/11:
Неподдерживаемые версии и выпуски:
Windows 10/11 Корпоративная LTSC. Центр обновления Windows для бизнеса (WUfB) не поддерживает выпуск Long Term Service Channel. Запланируйте использование альтернативных методов исправления, таких как WSUS или Configuration Manager.
Ограничения политики обновления компонентов для Windows 10 и более поздней версии
При развертывании политики обновлений компонентов для Windows 10 и более поздних версий на устройстве, на котором также применяется политика кругов обновления для Windows 10 и более поздних версий, проверьте круг обновлений на следующие настройки:
При использовании обновлений компонентов рекомендуется отказаться от отсрочек обновления, настроенных в политике круга обновления. Объединение отсрочек круга обновления с политикой обновления компонентов может привести к задержке установки обновлений.
Политики обновления компонентов для Windows 10 и более поздних версий не могут быть применены во время работы функции Autopilot при первом включении (OOBE). Вместо этого политики применяются при первом сканировании Центром обновления Windows после завершения подготовки устройства, которое обычно длится день.
Если вы совместно управляете устройствами с Configuration Manager, политики обновления компонентов могут не сразу вступить в силу на устройствах при новой настройке рабочей нагрузки политик Центра обновления Windows для Intune. Эта задержка носит временный характер, однако может привести к обновлению устройств до более поздней версии (по сравнению с той, которая была настроена в политике) обновления компонентов.
Чтобы эта начальная задержка не повлияла на совместно управляемые устройства, настройте политику обновления компонентов для Windows 10 и более поздних версий и направьте ее на устройства, прежде чем настроить их для совместного управления или переместить рабочую нагрузку Центра обновления Windows в Intune. Вы можете проверить, зарегистрировано ли устройство для профиля обновления компонентов, проверив отчет об обновлениях компонентов Windows в узле отчетов в консоли администратора Microsoft Endpoint Management.
Когда устройство возвращается в службу Центра обновления Windows, его членство проверяется по группам безопасности, назначенным параметрам политики обновления компонентов для всех обновлений функций.
Управляемые устройства, которые получают политику обновления компонентов, автоматически регистрируются службой развертывания Центра обновления Windows для бизнеса. Служба развертывания управляет обновлениями, которые получает устройство. Эта служба используется Microsoft Endpoint Manager и работает с политиками Intune для обновлений Windows, предназначенных для развертывания обновлений компонентов на устройствах.
Если устройство больше не назначено ни одной политике обновления компонентов, Intune ждет 90 дней, чтобы отменить регистрацию этого устройства в программе управления обновлениями компонентов и отменять регистрацию этого устройства в службе развертывания. Такая задержка позволяет выделить время, чтобы назначить устройство другой политике и гарантировать, что в течение данного периода устройство не получит незапланированное обновление компонентов.
Это означает, что если политика обновления компонентов больше не применяется к устройству, то этому устройству обновления компонентов не будут предлагаться до тех пор, пока не наступит одно из следующих условий.
Чтобы сохранить на устройстве текущую версию обновления компонентов и предотвратить отмену регистрации и обновление до самой последней версии обновления компонентов, убедитесь, что устройство все еще назначенное политике обновления компонентов, которая определяет текущую версию Windows для устройств.
Создание и назначение политик обновления компонентов для Windows 10 и более поздней версии
Выберите Устройства > Windows > Обновление компонентов для Windows 10 и более поздних версий > Создать профиль.
В разделе Параметры развертывания укажите имя, описание (необязательно) и на вкладке Обновление компонентов для развертывания выберите версию Windows с требуемым набором компонентов, а затем нажмите Далее. Для выбора доступны только поддерживаемые версии Windows.
На вкладке Назначения щелкните + Выберите группы для включения и назначьте развертывание обновления функций одному или нескольким устройствам или группам устройств. Нажмите кнопку Далее, чтобы продолжить.
В окне Проверка и создание проверьте параметры. Когда все будет готово для сохранения политики обновлений компонентов, выберите Создать.
Обновление устройств до Windows 11
Вы можете использовать политику для обновления компонентов для Windows 10 и более поздних версий для обновления устройств с Windows 10 до Windows 11.
При использовании политики обновления компонентов для развертывания Windows 11 вы можете нацелить политику на любое устройство с Windows 10. Будут обновлены только устройства, которые соответствуют минимальным требованиям Windows 11. Устройства, которые не соответствуют требованиям для Windows 11, не получат обновление и останутся с текущей версией Windows 10.
Если доступно несколько версий Windows 11, вы можете выбрать развертывание последней сборки. При развертывании последней сборки на группе устройств устройства, на которых уже работает Windows 11, обновятся, а устройства с Windows 10 будут обновлены до этой версии Windows 11, если они соответствуют требованиям для обновления. Таким образом, вы всегда можете обновить поддерживаемые устройства с Windows 10 до последней версии Windows 11, даже если вы решите отложить обновление некоторых устройств на будущее.
Подготовка к обновлению до Windows 11
Первым шагом в подготовке к обновлению до Windows 11 является обеспечение соответствия устройств минимальным требованиям к системе для Windows 11.
Вы можете использовать аналитику конечных точек в Microsoft Endpoint Manager, чтобы определить, какие из ваших устройств соответствуют требованиям к оборудованию. Если некоторые из ваших устройств не соответствуют всем требованиям, вы можете увидеть, какие из них не выполнены. Для использования аналитики конечных точек ваши устройства должны управляться с помощью Intune, быть совместно управляемыми или иметь клиент Configuration Manager версии 2107 или более новой версии с включенным присоединением клиента.
Если вы уже используете аналитику конечных точек, перейдите к отчету о работе из любого места и выберите категорию оценки Windows в середине, чтобы открыть всплывающий элемент со сводными сведениями о готовности Windows 11. Для получения более подробной информации перейдите на вкладку Windows в верхней части отчета. На вкладке Windows вы увидите сведения о готовности каждого устройства.
Лицензирование для версий Windows 11
Windows 11 включает новое лицензионный соглашение, которое можно просмотреть в https://www.microsoft.com/useterms/. Данное лицензионное соглашение автоматически принимается организацией, которая отправляет политику для развертывания Windows 11.
При использовании политики в Центре администрирования Microsoft Endpoint Manager для развертывания любой версии Windows 11 в Центре администрирования Microsoft Endpoint Manager отображается уведомление с напоминанием о том, что при отправке политики вы принимаете условия лицензионного соглашения Windows 11 от имени устройств и пользователей устройств. После отправки политики обновлений компонентов конечные пользователи не увидят лицензионное соглашение или не должны принимать его, что упрощает процесс обновления.
Это напоминание о лицензии отображается при каждом выборе сборки Windows 11, даже если все ваши устройства с Windows уже работают под управлением Windows 11. Этот запрос отображается, так как Intune не отслеживает, какие устройства будут получать политику, а возможные новые устройства с Windows 10 могут быть зарегистрированы в политике и попасть под нее позднее.
Дополнительные сведения, включая общие сведения о лицензировании, см. в документации Windows 11.
Создание политики для Windows 11
Чтобы развернуть Windows 11, необходимо создать и развернуть политику обновлений компонентов так же, как и ранее для устройств с Windows 10. Это тот же процесс, но вместо выбора версии Windows 10 вы выберете версию Windows 11 из выпадающего списка Обновление компонентов для развертывания. В этом списке отображаются поддерживаемые обновления версий Windows 10 и Windows 11.
Управление политикой обновления компонентов для Windows 10 и более поздних версий
Для просмотра профилей в Центре администрирования перейдите в раздел Устройства > Windows > Обновления компонентов Windows 10 и более поздних версий.
Для каждого профиля отображаются следующие сведения:
Версия обновления компонентов — версия обновления компонентов в профиле.
Назначено — отображается, если профиль назначен одной или нескольким группам.
Поддержка — состояние обновления компонентов:
Дата окончания поддержки — дата окончания поддержки для версии обновления компонентов.
Если выбрать профиль в списке, откроется панель Обзор для профилей, где можно выполнить следующие действия:
Проверка и создание отчетов
Существует несколько вариантов получения подробных отчетов об обновлениях Windows 10/11 с помощью Intune. Отчеты об обновлении Windows показывают сведения о ваших устройствах с Windows 10 и Windows 11 бок о бок в одном отчете.
Дополнительные сведения см. в разделе Отчеты о соответствии Intune.