配置适用于企业的 Windows 更新

适用范围

  • Windows10
  • Windows 10 移动版
  • Windows Server 2016
  • Windows Server 2019

查找使用者信息? 请参阅 Windows 更新:常见问题

可以使用组策略或移动设备管理 (MDM) 服务为设备配置适用于企业的 Windows 更新。 本主题中的各节提供适用于 Windows 10 版本 1511 及以上版本的组策略和 MDM 策略。 MDM 策略使用策略 CSP 中的 OMA-URI 设置。

重要

要使业务策略生效, 必须将设备的诊断数据级别设置为1 (基本) 或更高版本。 如果设置为 0 (安全),适用于企业的 Windows 更新策略将失效。 请参阅配置操作系统诊断数据级别了解相关说明。

对于运行 Windows 10 移动企业版的设备,某些适用于企业的 Windows 更新策略不适用,所具有的行为也不同。 具体来说,与功能更新相关的策略不适用于 Windows 10 移动企业版。 所有 Windows 10 移动版更新都识别为质量更新,并且仅可使用质量更新策略设置延迟或暂停。 本主题和部署 Windows 10 移动企业版和 Windows 10 IoT Mobile 的更新中提供了其他信息。

从设备分组开始

通过按照相似的延迟期限对设备进行分组,管理员可以将设备群集到在 Windows 10 中部署更新时可用作质量控制措施的部署或验证组中。 借助延迟窗口和暂停更新功能,管理员可以有效地控制和度量更新部署,方法是先更新一小部分设备以进行质量验证,然后再向组织进行广泛推广。 有关详细信息,请参阅生成 Windows 10 更新的部署圈

提示

除了设置多个更新部署圈,还要将在 Windows 预览体验计划中注册的设备合并为部署策略的一部分。 这不仅让你有机会在新功能向公众广泛推出之前评估它们,还能够增加前期准备时间,以便你提供反馈,从而影响 Microsoft 对产品功能方面的设计工作。 有关 Windows 预览体验计划的详细信息, https://insider.windows.com/请参阅。

为相应的服务通道配置设备

使用 Windows 更新 for Business, 你可以将设备设置为适用于 Windows 预览体验计划或半年度频道服务分支。 有关此维护服务模型的详细信息,请参阅 Windows 10 维护服务选项

发布分支策略

策略 设置 HKLM\软件下的注册表项
适用于 Windows 10 版本1607或更高版本的 GPO:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 延迟 Windows 更新 > 选择何时接收功能更新
\Policies\Microsoft\Windows\WindowsUpdate\BranchReadinessLevel
适用于 Windows 10 版本1511的 GPO:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 延迟升级和更新
\Policies\Microsoft\Windows\WindowsUpdate\DeferUpgrade
适用于 Windows 10 版本1607或更高版本的 MDM:
../Vendor/MSFT/Policy/Config/Update/
BranchReadinessLevel
\Microsoft\PolicyManager\default\Update\BranchReadinessLevel
适用于 Windows 10 版本1511的 MDM:
../Vendor/MSFT/Policy/Config/Update/
RequireDeferUpgrade
\Microsoft\PolicyManager\default\Update\RequireDeferUpgrade

从 Windows 10 版本1703开始, 用户可以通过使用 "设置" > 更新 & 安全 > "Windows 更新" > "高级选项" 来为其设备配置分支准备情况级别。

分支就绪级别设置

备注

如果未根据策略配置此设置,用户将无法对其进行更改。

配置设备何时接收功能更新

在配置维护分支 (Windows 预览体验计划或半年度频道) 后, 你可以定义是否希望在 Windows 更新后延迟接收功能更新的时间。 可以通过设置 DeferFeatureUpdatesPeriodinDays 值延迟接收功能更新,延迟期限最多为自功能更新发布之日起 365 天。

例如, 半年频道中的设备DeferFeatureUpdatesPeriodinDays=30将不会安装第9月之前在 Windows 更新上推出的功能更新, 即10月后的30天。


推迟功能更新的策略设置

策略 设置 HKLM\软件下的注册表项
适用于 Windows 10 版本1607的 GPO, 稍后:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 延迟 Windows 更新 > 选择何时接收功能更新
\Policies\Microsoft\Windows\WindowsUpdate\DeferFeatureUpdates
\Policies\Microsoft\Windows\WindowsUpdate\DeferFeatureUpdatesPeriodInDays
适用于 Windows 10 版本1511的 GPO:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 延迟升级和更新
\Policies\Microsoft\Windows\WindowsUpdate\DeferUpgradePeriod
适用于 Windows 10 版本1607和更高版本的 MDM:
../Vendor/MSFT/Policy/Config/Update/
DeferFeatureUpdatesPeriodInDays
\Microsoft\PolicyManager\default\Update\DeferFeatureUpdatesPeriodInDays
适用于 Windows 10 版本1511的 MDM:
../Vendor/MSFT/Policy/Config/Update/
DeferUpgrade
\Microsoft\PolicyManager\default\Update\RequireDeferUpgrade

备注

如果未通过策略配置, 单个用户可以使用 "设置" > 更新 & 安全 > "Windows 更新" > "高级选项" 来推迟功能更新。

暂停功能更新

还可以使设备暂停接收功能更新,最长期限为设置该值后 35 天。 超过35天后, "暂停" 设置将自动过期, 并且设备将扫描 Windows 更新以获取适用的功能更新。 执行此扫描后, 您可以再次暂停该设备的功能更新。

从 Windows 10 版本1703开始, 使用策略配置暂停时, 必须设置暂停的开始日期。 暂停周期通过将35天添加到此开始日期来计算。

如果在配置的开始日期后首次应用 "暂停" 策略, 则可以通过配置更晚的开始日期, 延长暂停周期, 直到总35天。

重要

在 Windows 10 版本1703和更高版本中, 你可以将功能更新暂停到35天, 类似于质量更新的天数。

暂停功能更新的策略设置

策略 设置 HKLM\软件下的注册表项
适用于 Windows 10 版本1607和更高版本的 GPO:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 延迟 Windows 更新 > 选择何时接收功能更新
1607: \Policies\Microsoft\Windows\WindowsUpdate\PauseFeatureUpdates
1703 及更高版本: \Policies\Microsoft\Windows\WindowsUpdate\PauseFeatureUpdatesStartDate
适用于 Windows 10 版本1511的 GPO:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 延迟升级和更新
\Policies\Microsoft\Windows\WindowsUpdate\Pause
适用于 Windows 10 版本1607和更高版本的 MDM:
../Vendor/MSFT/Policy/Config/Update/
PauseFeatureUpdates
1607: \Microsoft\PolicyManager\default\Update\PauseFeatureUpdates
1703 及更高版本: \Microsoft\PolicyManager\default\Update\PauseFeatureUpdatesStartDate
适用于 Windows 10 版本1511的 MDM:
../Vendor/MSFT/Policy/Config/Update/
DeferUpgrade
\Microsoft\PolicyManager\default\Update\Pause

你可以通过检查HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\Settings下的注册表项PausedFeatureDate检查功能更新暂停的日期。

本地组策略编辑器 (Gpedit.msc) 将不会反映功能更新暂停期是否已过期。 尽管设备会在35天后自动恢复功能更新, 但 "暂停" 复选框将在策略编辑器中保持选中状态。 若要检查设备是否已自动恢复获取功能更新, 请检查 " HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\Settings " 下的状态注册表项PausedFeatureStatus以查看以下值:

状态
0 功能更新未暂停
raid-1 功能更新已暂停
ppls-2 功能更新在暂停后自动恢复

备注

如果未通过策略配置, 单个用户可以通过使用 "设置" > 更新 & 安全 > "Windows 更新" > "高级选项" 来暂停功能更新。

从 Windows 10 版本1703开始, 使用设置控制暂停行为可提供更一致的体验, 特别是:

  • 任何活动的重启通知都将被清除或关闭。
  • 任何待重启均被取消。
  • 已取消任何挂起的更新安装。
  • 激活暂停时运行的任何更新安装都将尝试回退。

配置设备接收质量更新的时间

质量更新通常在每月的第一个星期二发布, 尽管它们可以随时发布。 可以定义是否在质量更新发布之后延迟接收这些更新,并定义延迟期限。 可以通过设置 DeferQualityUpdatesPeriodinDays 值,延迟接收质量更新,延迟期限最长为自质量更新发布之日起 35 天。

可以通过设置 AllowMUUpdateService 策略,将系统设置为接收其他 Microsoft 产品的更新(称为 Microsoft 更新,例如 Microsoft Office、Visual Studio),以及 Windows 更新。 执行此操作时, 这些 Microsoft 更新将遵循与所有其他质量更新相同的延期和暂停规则。

重要

此策略延迟 Windows 10 移动企业版上的功能更新和质量更新。

推迟质量更新的策略设置

策略 设置 HKLM\软件下的注册表项
适用于 Windows 10 版本1607和更高版本的 GPO:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 延迟 Windows 更新 > 选择何时接收质量更新
\Policies\Microsoft\Windows\WindowsUpdate\DeferQualityUpdates
\Policies\Microsoft\Windows\WindowsUpdate\DeferQualityUpdatesPeriodInDays
适用于 Windows 10 版本1511的 GPO:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 延迟升级和更新
\Policies\Microsoft\Windows\WindowsUpdate\DeferUpdatePeriod
适用于 Windows 10 版本1607和更高版本的 MDM:
../Vendor/MSFT/Policy/Config/Update/
DeferQualityUpdatesPeriodInDays
\Microsoft\PolicyManager\default\Update\DeferQualityUpdatesPeriodInDays
适用于 Windows 10 版本1511的 MDM:
../Vendor/MSFT/Policy/Config/Update/
DeferUpgrade
\Microsoft\PolicyManager\default\Update\RequireDeferUpdate

备注

如果未通过策略配置, 单个用户可以使用 "设置" > 更新 & 安全 > "Windows 更新" > "高级选项" 来推迟质量更新。

暂停质量更新

还可以使设备暂停接收质量更新,最长期限为设置该值后 35 天。 超过35天后, "暂停" 设置将自动过期, 并且设备将扫描 Windows 更新以获取适用的质量更新。 执行此扫描后, 您可以再次暂停设备的质量更新。

从 Windows 10 版本1703开始, 使用策略配置暂停时, 必须设置暂停的开始日期。 暂停周期通过将35天添加到此开始日期来计算。

如果在配置的开始日期后首次应用 "暂停" 策略, 则可以通过配置更晚的开始日期, 延长暂停周期, 直到总35天。

备注

从 Windows 10 版本1809开始, IT 管理员可以防止单个用户暂停更新。

暂停质量更新的策略设置

策略 设置 HKLM\软件下的注册表项
适用于 Windows 10 版本1607和更高版本的 GPO:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 延迟 Windows 更新 > 选择何时接收质量更新
1607: \Policies\Microsoft\Windows\WindowsUpdate\PauseQualityUpdates
1703: \Policies\Microsoft\Windows\WindowsUpdate\PauseQualityUpdatesStartTime
适用于 Windows 10 版本1511的 GPO:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 延迟升级和更新
\Policies\Microsoft\Windows\WindowsUpdate\Pause
适用于 Windows 10 版本1607和更高版本的 MDM:
../Vendor/MSFT/Policy/Config/Update/
PauseQualityUpdates
1607: \Microsoft\PolicyManager\default\Update\PauseQualityUpdates
1703: \Microsoft\PolicyManager\default\Update\PauseQualityUpdatesStartTime
适用于 Windows 10 版本1511的 MDM:
../Vendor/MSFT/Policy/Config/Update/
DeferUpgrade
\Microsoft\PolicyManager\default\Update\Pause

通过检查HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\Settings下的注册表项PausedQualityDate , 可以检查质量更新暂停的日期。

本地组策略编辑器 (Gpedit.msc) 将不会反映质量更新暂停期是否已过期。 尽管设备会在35天后自动恢复质量更新, 但 "暂停" 复选框将在策略编辑器中保持选中状态。 若要检查设备是否已自动恢复获取质量更新, 请检查 " HKLM\SOFTWARE\Microsoft\WindowsUpdate\UpdatePolicy\Settings " 下的状态注册表项PausedQualityStatus以查看以下值:

状态
0 质量更新未暂停
raid-1 质量更新已暂停
ppls-2 质量更新在暂停后自动恢复

备注

如果未通过策略配置, 单个用户可以使用 "设置" > 更新 & 安全 > "Windows 更新" > "高级选项" 来暂停质量更新。

从 Windows 10 版本1703开始, 使用设置控制暂停行为可提供更一致的体验, 特别是:

  • 清除或关闭任何活动的重启通知
  • 已取消所有等待的重启
  • 已取消所有等待的更新安装
  • 暂停激活时,所有正在进行的更新安装都将尝试回退

配置设备何时接收 Windows 预览体验计划预览版

从 Windows 10 版本 1709 开始,你可以选择管理预览版本及其交付时间的策略:

管理预览版本设置使管理员可以控制在设备上启用或禁用预览版本安装。 你还可以决定在版本公布后停止接收预览版本。

  • 组策略:计算机配置/管理模板/Windows 组件/Windows 更新/适用于企业的 Windows 更新 - 管理预览版本
  • MDM:Update/ManagePreviewBuilds
  • System Center Configuration Manager:启用双重扫描, 通过 Windows Update For Business 策略进行管理

重要

此策略替代“切换对会员版本的用户控制”策略,后者仅在早于 Windows 10 版本 1703 上受支持。 你可以在此处找到旧版策略:

  • 组策略:计算机配置/管理模板/Windows 组件/数据收集和预览版本/切换对会员版本的用户控制
  • MDM:System/AllowBuildPreview

选择何时接收功能更新的策略设置使你能够选择预览外部测试版圈,并且使你能够延迟或暂停其交付。

  • 组策略:计算机配置/管理模板/Windows 组件/Windows 更新/适用于企业的 Windows 更新 - 选择何时接收预览版本和功能更新
  • MDM:Update/BranchReadinessLevel

将驱动程序从质量更新中排除

从 Windows 10 版本1607开始, 您可以有选择地选择退出作为正常质量更新周期的一部分接收驱动程序更新程序包。 此策略不适用于操作系统附带的驱动程序的更新 (将在安全或关键更新中打包) 或功能更新 (驱动程序可能会动态安装) 以确保功能更新过程可以完成。

排除驱动程序的策略设置

策略 设置 HKLM\软件下的注册表项
适用于 Windows 10 版本1607和更高版本的 GPO:
计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 不要在 Windows 更新中包含驱动程序
\Policies\Microsoft\Windows\WindowsUpdate\ExcludeWUDriversInQualityUpdate
适用于 Windows 10 版本1607和更高版本的 MDM:
../Vendor/MSFT/Policy/Config/Update/
ExcludeWUDriversInQualityUpdate
\Microsoft\PolicyManager\default\Update\ExcludeWUDriversInQualityUpdate

摘要: Windows 10 版本1703和更高版本的 MDM 和组策略设置

以下是 Windows 10 版本1607及更高版本中 Windows 更新的受支持策略值的快速参考表。

GPO:HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

GPO 项 项类型
BranchReadinessLevel REG_DWORD 2: 系统获取 Windows 预览体验成员的功能更新-快 (在 Windows 10 版本1709中添加)
4: 系统为 Windows 预览体验成员版本执行功能更新-慢 (在 Windows 10 版本1709中添加)
8: 系统为发布 Windows 预览体验成员版本 (在 Windows 10 版本1709中添加) 获取功能更新
16: 对于 Windows 10 版本 1703: 系统将获取当前分支 (CB) 的功能更新;对于 Windows 10 版本1709、1803和 1809: 系统通过半年频道 (定向) (SAC) 获取功能更新;对于 Windows 10 版本1903或更高版本: 系统从半年频道获取功能更新
32: 系统从半年频道获取功能更新
注意: 其他值或不存在: 接收所有适用的更新
DeferQualityUpdates REG_DWORD 1:延迟质量更新
其他值或不存在:不延迟质量更新
DeferQualityUpdatesPeriodinDays REG_DWORD 0-35:按给定时间延迟质量更新
PauseQualityUpdatesStartDate REG_DWORD 1:暂停质量更新
其他值或不存在:不暂停质量更新
DeferFeatureUpdates REG_DWORD 1:延迟功能更新
其他值或不存在:不延迟功能更新
DeferFeatureUpdatesPeriodinDays REG_DWORD 0-365:按给定时间延迟功能更新
PauseFeatureUpdatesStartDate REG_DWORD 1:暂停功能更新
其他值或不存在:不暂停功能更新
ExcludeWUDriversInQualityUpdate REG_DWORD 1:排除 Windows 更新驱动程序
其他值或不存在:提供 Windows 更新驱动程序

MDM:HKEY_LOCAL_MACHINE\Software\Microsoft\PolicyManager\default\Update

MDM 项 项类型
BranchReadinessLevel REG_DWORD 2: 系统获取 Windows 预览体验成员的功能更新-快 (在 Windows 10 版本1709中添加)
4: 系统为 Windows 预览体验成员版本执行功能更新-慢 (在 Windows 10 版本1709中添加)
8: 系统为发布 Windows 预览体验成员版本 (在 Windows 10 版本1709中添加) 获取功能更新
16: 对于 Windows 10 版本 1703: 系统将获取当前分支 (CB) 的功能更新;对于 Windows 10 版本1709、1803和 1809: 系统通过半年频道 (定向) (SAC) 获取功能更新;对于 Windows 10 版本1903或更高版本: 系统从半年频道获取功能更新
32: 系统从半年频道获取功能更新
注意: 其他值或不存在: 接收所有适用的更新
DeferQualityUpdatesPeriodinDays REG_DWORD 0-35:按给定时间延迟质量更新
PauseQualityUpdatesStartDate REG_DWORD 1:暂停质量更新
其他值或不存在:不暂停质量更新
DeferFeatureUpdatesPeriodinDays REG_DWORD 0-365:按给定时间延迟功能更新
PauseFeatureUpdatesStartDate REG_DWORD 1:暂停功能更新
其他值或不存在:不暂停功能更新
ExcludeWUDriversinQualityUpdate REG_DWORD 1:排除 Windows 更新驱动程序
其他值或不存在:提供 Windows 更新驱动程序

将设备更新到较新版本

由于 Windows 更新 for Business 中的更改, Windows 10 版本1607使用的 GPO 和 MDM 密钥与版本1511中提供的密钥不同。 Windows 10 版本1703还使用不同于版本1607中可用的一些 GPO 和 MDM 密钥。 但是, 运行旧版本的企业版设备的 Windows 更新在更新到较新版本后仍会看到其策略已生效。旧策略键将继续存在, 并且其值将在更新期间向前移植。 更新到较新版本后, 将仅填充旧密钥, 而不是新的版本密钥, 直到管理员在设备上明确定义了较新的密钥。

如何在较新版本上遵循较旧版本策略

当运行较新版本的设备看到 Windows 更新中提供的更新时, 设备首先计算并执行适用于其当前 (较新版本) 版本的企业策略密钥的 Windows 更新。 如果这些不存在, 则它会检查是否已设置了任何较旧的版本键, 并相应地推迟。 较新版本的更新项将始终取代较旧等效项。

将 Windows 10 版本1607中的密钥与 Windows 10 版本1703进行比较

版本 1607 项 版本 1703 项
PauseFeatureUpdates PauseFeatureUpdatesStartTime
PauseQualityUpdates PauseQualityUpdatesStartTime

相关主题