更新合規性、活動和用戶體驗的原則

• 適用於:

  ✅ Windows 11, ✅ Windows 10

將裝置保持在最新狀態是讓裝置順暢且安全地運作的最佳方式。

更新合規性的期限

您可以使用更新期限原則，控制裝置必須可靠地保持您所需更新排程的嚴格程度。 Windows 元件會根據這些期限進行調整。 此外，他們可以在用戶體驗和速度之間做出取捨，以符合您想要的更新期限。 例如，他們可以在期限臨近之前排定用戶體驗的優先順序，然後在期限接近時排定速度的優先順序，同時仍為使用者提供一些控制。

最後期限

從 Windows 10 版本 1903 開始，以及 2019 年 8 月 Windows 10 版的安全性更新，版本 1709 和更新版本 (包括 Windows 11) ，已引進新的原則來取代較舊的期限式原則：指定自動更新和重新啟動的期限。

當裝置達到 restart pending 更新狀態之後，較舊的原則就會開始強制執行期限。 新原則會從發佈更新加上任何延遲開始，開始更新安裝期限的倒數計時。 此外，此原則包含可設定的寬限期，以及選擇在達到期限之前退出自動重新啟動 (雖然我們建議一律允許自動重新啟動，以達到更新速度) 上限。

建議您設定期限，如下所示：

• 品質更新期限，以天為單位：2
• 功能更新期限，以天為單位：2

通知會在適當時間自動呈現給使用者，而且使用者可以選擇稍後再收到通知、重新排程，或視期限的接近程度而立即重新啟動。 我們建議您 不要 設定任何通知原則，因為它們會自動設定適當的預設值。 例外狀況是您是否有 kiosk 或數位告示。

雖然我們建議使用三天的品質更新和七天的功能更新，但您可能會決定要更多或更少，視您的組織及其需求而定，且此原則至少可設定兩天。

重要

如果裝置無法連線到因特網，則無法判斷 Microsoft 何時發佈更新，因此將無法強制執行期限。 深入瞭解 低活動裝置。

寬限期

您可以設定一段天，讓 Windows 在強制執行重新啟動之前，找到最低限度的干擾性自動重新啟動時間。 這在使用者離開許多天的情況下特別有用 (例如休假) ，如此一來，當使用者返回時，就不會強制裝置立即更新。

建議您設定下列專案：

• 寬限期，以天為單位：5

一旦期限和寬限期過後，就會自動套用更新，而且不論 使用時間為何，都會重新啟動。

讓 Windows 選擇何時重新啟動

Windows 可以使用用戶互動，以動態方式識別自動重新啟動的最低干擾時間。 若要利用這項功能，請確定 ConfigureDeadlineNoAutoReboot 已 設定為 Disabled。

裝置活動原則

Windows 通常會要求裝置處於作用中狀態並連線到因特網至少六小時，且至少有兩個連續活動，才能順利完成系統更新。 裝置可能會有其他實體情況導致無法成功安裝更新，例如，如果膝上型計算機的電池電力不足，或使用者在使用時間結束之前已關閉裝置，且裝置無法符合期限。

您可以使用本節中的設定，確保裝置可在更新合規性期間安裝更新。

使用時間

「使用時間」可識別預期裝置正在使用的時間週期。 一般而言，重新啟動會在這些時間以外發生。 Windows 10 1903 版導入了「智慧型手機使用時間」，可讓系統根據使用者的活動來學習使用時間，而非您身為系統管理員，必須為您的組織做出決策，或允許使用者選擇最小化系統安裝更新期間的使用時間。

重要

如果您在舊版 Windows 10 中使用 [設定使用時間] 設定，這些選項必須是 [停用] 才能利用智慧型使用時間。

如果您確實設定使用時間，建議您將下列原則設定為 [ 已停用 ]，以提高更新速度：

• 延遲自動重新啟動。 雖然可以將系統設定為延遲登入使用者的重新啟動，但如果使用者一律登入或關閉，此設定可能會無限期延遲更新。 相反地，建議您將下列原則 設定為 Disabled：

  • 在使用時間關閉自動重新啟動

  • 沒有自動重新啟動，且登入的用戶可進行排程的自動更新

  • 限制重新啟動延遲。 藉由使用合規性期限，您的使用者會收到將發生更新的通知，因此建議您將此原則設定為 [已 停用]，以允許合規性期限消除使用者在合規性期限設定之外延遲重新啟動的能力。

• 不允許使用者核准更新和重新啟動。 讓使用者在期限原則之外核准或參與更新程式，可降低更新速度並增加風險。 這些原則應設定為 [已 停用]：

  • Update/RequireUpdateApproval
  • Update/EngagedRestartDeadline
  • Update/EngagedRestartDeadlineForFeatureUpdates
  • Update/EngagedRestartSnoozeSchedule
  • Update/EngagedRestartSnoozeScheduleForFeatureUpdates
  • Update/EngagedRestartTransitionSchedule

• 設定自動更新。 藉由正確設定原則來設定自動更新，您可以讓用戶端連絡 Windows Server Update Services (WSUS) 伺服器來提高更新速度，以便管理它們。 建議您將此原則設定為 [ 已停用]。 不過，如果您需要提供值，請確定您將下載設定為自動安裝，方法是將 群組原則 設為 4。 如果您使用 Microsoft Intune，請將值設定為 [重設為預設值]。

• 允許自動 Windows Update 透過計量付費網路下載。 由於更多裝置主要使用行動數據，而且沒有Wi-fi存取權，因此請考慮允許使用者從計量付費網路自動下載更新。 雖然預設設定不允許透過計量付費網路下載，但將此值設定為 1 可讓使用者取得更新，無論他們是否連線到因特網，只要他們擁有行動電話服務即可。

重要

舊版 Windows 不支援智慧型手機使用時間。 如果您的裝置在 Windows 10 1903 版之前執行 Windows 版本，建議您設定下列原則：

• 設定使用時間。 從 Windows 10 1703 版開始，您可以指定從使用時間開始時間算起的最大使用時數範圍。 建議您將此值設定為 10。
• 排程更新安裝。 在 [設定自動 匯報] 設定中，有兩種方式可控制在指定的安裝時間之後強制重新啟動。 如果您使用 排程更新安裝，請勿啟用這兩個設定，因為它們最有可能發生衝突。
  • 指定自動維護時間。 此設定可讓您為更新設定更廣泛的維護時段，並確保此排程不會與使用時間發生衝突。 建議您將此值設定為 3 (對應到上午 3 點) 。 如果上午 3：00 在輪班期間，請挑選至少在排程工作時間開始前幾個小時的另一個時間。
  • 排程安裝時間。 這個設定可讓您排程重新啟動的安裝時間。 我們不建議您將此設定為 [已停用]，因為它可能會與使用時間發生衝突。

電源原則

裝置必須在非使用中時段內實際可用，才能更新。 如果電源原則阻止他們喚醒，他們就無法執行此動作。 在我們的組織中，我們致力於在安全性與易於生態系統的設定之間設定平衡。 我們建議使用下列設定來達成我們覺得適當的取捨：

對使用者而言，裝置是開啟或關閉，但是對於 Windows，有些狀態允許 (作用中) 和狀態進行更新，而這些狀態不會 (非作用中) 。 某些狀態會被視為作用中 (睡眠) ，但使用者可能會認為裝置已關閉。 此外，在啟動更新之前，Windows 會先檢查 (外掛程式/電池) 電源狀態。

您可以覆寫預設設定，並防止使用者變更它們，以確保裝置可在非使用中時段進行更新。

注意

確保裝置可以在需要時安裝更新的其中一種方式，就是教育使用者讓裝置在非使用中時段保持插入。 即使使用最佳原則，即使處於睡眠模式，也不會更新未插入的裝置。

我們建議使用下列電源管理設定：

• 睡眠模式 (S1 或 S0 低電源閑置或 新式待命) 。 當裝置處於睡眠模式時，系統會顯示為關閉狀態，但如果有可用的更新，則可以喚醒裝置以進行更新。 睡眠模式中的耗電量介於 (系統完全可用的) ，以及休眠 (S4 - 關機前的最低電源層級) 。 未使用裝置時，系統通常會在進入休眠狀態之前移至睡眠模式。 當睡眠和休眠之間的時間太短，而 Windows 沒有時間完成更新時，就會發生速度問題。 睡眠模式是很重要的設定，因為只要有足夠的電源，系統就可以從睡眠喚醒系統，以啟動更新程式。

將下列原則設定為 [啟用 ] 或 [ 不 設定] 以允許裝置使用睡眠模式：

• Power/AllowStandbyStatesWhenSleepingOnBattery
• Power/AllowStandbyWhenSleepingPluggedIn

將下列原則設定為 1 (睡眠) 讓使用者關閉裝置的蓋子時，系統會進入睡眠模式，且裝置有機會進行更新：

• Power/SelectLidCloseActionOnBattery

• Power/SelectLidCloseActionPluggedIn

• 休眠。 當裝置休眠時，耗電量很低，而且系統無法在沒有使用者介入的情況下喚醒，例如按下電源按鈕。 如果裝置處於此狀態，除非它支援 ACPI 時間和警示裝置 (TAD) ，否則無法更新。 也就是說，如果插入支援傳統睡眠 (S3) 的裝置，而且有 Windows 更新可用，則會延遲休眠狀態，直到更新完成為止。

注意

這不適用於支援新式待命 (S0 低電源閑置) 的裝置。 您可以在命令提示字元中執行 ，以檢查裝置 (S3 或 S0 低電源閒置) 支援的 powercfg /a 系統睡眠狀態。 如需詳細資訊，請 參閱 Powercfg 選項。

支援傳統睡眠之裝置上的預設逾時設定為三小時。 建議您不要減少這些原則，以允許 Windows Update 機會在裝置進入休眠狀態之前重新啟動裝置：

• Power/HibernateTimeoutOnBattery
• Power/HibernateTimeoutPluggedIn

舊的原則或衝突的原則

每個版本的 Windows 用戶端都可以引進新的原則，讓系統管理員及其組織都能獲得更好的體驗。 當我們發行新的客戶端原則時，我們只會針對該版本和更新版本發行它，或是回傳原則，使其可在舊版上使用。

重要

如果您使用 群組原則，請注意，我們不會更新舊的 ADMX 範本，而且您必須使用較新的 (1903) ADMX 範本，才能使用較新的原則。 此外，如果您使用 MDM 工具 (Microsoft 或非 Microsoft) ，則在工具介面中提供新原則之前，您無法使用新原則。

身為系統管理員，您已設定並預期特定行為，因此我們明確不會移除較舊的原則，因為這些原則是針對您的特定使用案例所設定。 不過，如果您在未停用類似較舊原則的情況下設定新原則，則可能會有衝突的行為，且更新可能不會如預期般執行。

重要

我們有時會發現系統管理員會將裝置設定為從 MDM 伺服器取得 群組原則 設定和 MDM 設定，例如 Microsoft Intune。 原則衝突的處理方式不同，視最終設定的方式而定：

• Windows 更新：群組原則 設定優先於 MDM。
• Microsoft Intune：如果您在兩個不同的群組上設定相同原則的不同值，您將會收到警示，而且在衝突解決之前，不會設定任何原則。 請務必停用衝突的原則，讓組織中的裝置如預期般進行更新。 例如，如果裝置未回應您的 MDM 原則變更，請檢查是否在具有不同值的 群組原則 中設定類似的原則。 如果您發現更新速度不如預期高，或某些裝置比其他裝置慢，則可能可以清除所有原則和設定，並只指定建議的更新原則。 如需建議原則的合併清單，請參閱原則和設定參考。

以下是您可能想要停用的原則，因為這些原則可能會降低更新速度，或有更好的原則可使用，而可能會發生衝突：

• 延遲功能 匯報 天期間。 若要達到更新速度上限，最好將此值設定為 0 (不延遲) 讓功能更新可以完成，並再次提供每月安全性更新。 即使有必須快速部署的緊急品質更新，最好是使用暫停功能 匯報，而不是設定延遲原則。 如果您不想隨時掌握最新的功能更新，您可以選擇較長的期間。
• 延遲品質 匯報 天期間。 若要將風險降至最低並最大化更新速度，您在使用不同裝置通道評估更新時，可能要考慮的最長時間是兩到三天。
• 暫停功能 匯報 開始時間。 設定為 [ 停用 ]，除非有已知問題需要一些時間才能解決。
• 暫停品質 匯報 開始時間。 設定為 [ 已停用 ]，除非有已知問題需要一些時間才能解決。
• 期限 無自動重新啟動。 預設值為 Disabled - 設定為 0 。 建議裝置在收到更新時自動嘗試重新啟動。 Windows 會使用用戶互動，以動態方式識別最少的重新啟動干擾時間。

另外還有不再支援或已取代的其他原則。