操作系统更新设备策略

通过“操作系统更新”设备策略,可以:

  • 将最新的操作系统更新部署到受监督的 iOS 设备。

    “操作系统更新” 设备策略不支持同时受监督和 DEP 注册的设备。

  • 将最新的操作系统和应用程序更新部署到注册了 DEP 并且运行 macOS 10.11.5 及更高版本的 macOS 设备。

  • 将最新的操作系统更新部署到受监督的 Samsung SAFE 设备。

    对于 Samsung SAFE 设备,Endpoint Management 会将“操作系统更新”策略发送到 Secure Hub,后者随后会将该策略应用到设备。Endpoint Management 发送策略时以及设备接收策略时,都会显示管理 > 设备页面。

  • 将最新的操作系统更新部署到受监督的 Windows 10 Desktop 和 Tablet 设备。

    还可以使用“操作系统更新”策略管理运行 Windows 10 版本 1607 的台式机和便携式计算机的传递优化设置。传递优化是 Microsoft 为 Windows 10 更新提供的对等客户端更新服务。传递优化的目标是减少更新过程中出现的带宽问题。带宽降低是通过在多个设备和自建共享下载任务实现的。有关详细信息,请参阅 Microsoft 文章 为 Windows 10 更新配置传递优化

  • 托管 Android Enterprise 设备 (Android 7.0 及更高版本) 的最新操作系统更新。
  • 将最新的操作系统更新部署到受监督的 Chrome OS 设备。
  • 指定的操作系统更新文件, 用于 Citrix Ready workspace hub 设备。

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

iOS 设置

“设备策略”配置屏幕图

以下设置适用于受监督的 iOS 设备。

  • 操作系统更新选项: 这两个选项都将根据操作系统更新频率将最新的操作系统更新下载到受监督的设备。设备将提示用户安装更新。提示在用户解锁设备后可见。
  • 操作系统更新频率: 确定 Endpoint Management 检查和更新设备操作系统的频率。默认值为 7 天。
  • 操作系统更新版本:指定用来更新受监督的 iOS 设备的版本。默认值为最新版本
    • 最新版本:选择以更新到最新的操作系统版本。
    • 仅限特定版本:选择更新到特定的操作系统版本, 然后键入版本号。

macOS 设置

“设备策略”配置屏幕图

  • 操作系统更新选项: 这两个选项都将根据操作系统更新频率下载最新的 macOS 更新。可以选择通过提供更新的 App Store 来安装更新或通知用户。
  • 操作系统更新频率: 确定 Endpoint Management 检查和更新设备操作系统的频率。默认值为 7 天。

获取 iOS 和 macOS 更新操作的状态

对于 iOS 和 macOS,Endpoint Management 不向设备部署“操作系统更新”策略。相反,Endpoint Management 将使用该策略向设备发送以下 MDM 命令:

  • 安排操作系统更新扫描:请求设备在后台扫描操作系统更新。(对 iOS 是可选的)
  • 可用的操作系统更新:查询设备中的可用操作系统更新列表。
  • 安排操作系统更新:请求设备执行 macOS 更新、应用程序更新或两者。因此,设备操作系统负责确定何时应下载或安装操作系统和应用程序更新。

管理 > 设备 > 设备详细信息(常规) 页面显示安排的和可用的操作系统更新扫描以及安排的 macOS 和应用程序更新的状态。

“设备详细信息”屏幕图

有关更新操作的状态的更多详细信息,请转至管理 > 设备 > 设备详细信息(交付组) 页面。

“设备详细信息”屏幕图

有关可用的操作系统更新和最后一次安装尝试等详细信息,请转至管理 > 设备 > 设备详细信息(属性) 页面。

“设备详细信息”屏幕图

“设备详细信息”屏幕图

Samsung SAFE 设置

Samsung Enterprise FOTA(也称为 E-FOTA)允许您确定设备更新的时间以及要使用的固件版本。要使用 E-FOTA,请执行以下操作:

  1. 使用您从 Samsung 接收的密钥和许可证信息创建 Samsung MDM 许可证密钥设备策略。有关详细信息,请参阅Samsung MDM 许可证密钥设备策略
  2. 创建“操作系统更新”设备策略以启用 Enterprise FOTA。

    “设备策略”配置屏幕图

    • 启用 Enterprise FOTA: 设置为
    • Enterprise FOTA 许可证密钥: 选择 Samsung MDM 许可证密钥设备策略名称。

Windows Desktop 和 Tablet 设置

“设备策略”配置屏幕图

  • 选择使用时段模式: 选择用于配置执行操作系统更新的使用时段。您可以指定一系列小时或一个开始和结束时间。选择一种模式后,将显示更多设置:指定使用时段的最大范围使用时段开始时间使用时段结束时间未配置允许 Windows 随时执行操作系统更新。默认值为未配置
  • 自动更新行为: 配置用户设备上的 Windows 更新服务的下载、安装和重新启动行为。默认值为自动安装并重新启动
    • 下载更新前通知用户: Windows 在更新可用时通知用户。Windows 不自动下载和安装更新。用户必须启动下载和安装操作。
    • 自动安装并通知以安排设备重新启动: Windows 在不按流量计费的网络中自动下载更新。设备未在使用中以及不依赖电池电源运行时,Windows 将在自动维护期间安装更新。如果自动维护在两天内无法安装更新,Windows Update 将立即安装更新。如果安装需要重新启动,Windows 将提示用户安排重新启动时间。用户最长有 7 天时间来安排重新启动。7 天后,Windows 将强制设备重新启动。允许用户控制开始时间可降低在重新启动时未正确关闭的应用程序导致的意外数据丢失的风险。
    • 自动安装并重新启动: 默认设置。Windows 在不按流量计费的网络中自动下载更新。设备未在使用中以及不依赖电池电源运行时,Windows 将在自动维护期间安装更新。如果自动维护在两天内无法安装更新,Windows Update 将立即安装更新。如果安装要求重新启动,Windows 将在设备不活动时重新启动设备。
    • 在指定时间自动安装并重新启动: 选择此选项时,将显示更多设置,以便您可以指定日期和时间。默认值为每天凌晨 3 点。自动安装操作在指定时间发生,设备重新启动操作在 15 分钟倒计时后发生。Windows 准备重新启动时,已登录的用户可以中断 15 分钟倒计时以延迟重新启动。
    • 自动安装并重新启动,无需最终用户控制: Windows 在不按流量计费的网络中自动下载更新。设备未在使用中以及不依赖电池电源运行时,Windows 将在自动维护期间安装更新。如果自动维护在两天内无法安装更新,Windows Update 将立即安装更新。如果安装要求重新启动,Windows 将在设备不活动时重新启动设备。此选项还会将用户控制面板设置为只读。
    • 关闭自动更新: 在设备上禁用 Windows 自动更新。
  • 扫描 Microsoft 更新中的应用程序更新: 指定 Windows 是否接受来自 Microsoft 更新服务的面向其他 Microsoft 应用程序的更新。默认值为未配置
    • 未配置: 如果不希望配置该行为,请使用此设置。Windows 不更改用户设备上的相关 UI。用户可以接受或拒绝面向其他 Microsoft 应用程序的更新。
    • 是: Windows 允许从 Windows 更新服务安装应用程序更新。用户设备上的相关设置不活动,因此,用户无法修改该设置。
    • 否: Windows 不允许从 Windows 更新服务安装应用程序更新。用户设备上的相关设置不活动,因此,用户无法修改该设置。
  • 指定更新分支: 指定要用于更新的 Windows 更新服务分支。默认值为未配置
    • 未配置: 如果不希望配置该行为,请使用此设置。Windows 不更改用户设备上的相关 UI。用户可以选择 Windows 更新服务分支。
    • Current Branch: Windows 接收来自 Current Branch 的更新。用户设备上的相关设置不活动,因此,用户无法修改该设置。
    • Current Branch for Business: Windows 接收来自 Current Branch for Business 的更新。用户设备上的相关设置不活动,因此,用户无法修改该设置。
  • 配置推迟功能更新的天数: 如果设置为,Windows 将推迟功能更新指定的天数,并且用户无法更改此设置。如果设置为,用户可以更改推迟功能更新的天数。默认值为
  • 配置推迟质量更新的天数: 如果设置为,Windows 将推迟质量更新指定的天数,并且用户无法更改此设置。如果设置为,用户可以更改推迟质量更新的天数。默认值为
  • 暂停质量更新: 指定是否暂停质量更新 35 天。默认值为未配置
    • 未配置: 如果不希望配置该行为,请使用此设置。Windows 不更改用户设备上的相关 UI。用户可以选择暂停质量更新 35 天。
    • 是: Windows 暂停来自 Windows 更新服务的质量更新的安装 35 天。用户设备上的相关设置不活动,因此,用户无法修改该设置。
    • 否: Windows 不暂停来自 Windows 更新服务的质量更新的安装。用户设备上的相关设置不活动,因此,用户无法修改该设置。
  • 仅允许安装审批列表中的更新: 指定是否仅安装 MDM 服务器审批的更新。Endpoint Management 当前不支持配置更新的审批列表。默认值为未配置
    • 未配置: 如果不希望配置该行为,请使用此设置。Windows 不更改用户设备上的相关 UI。用户可以选择允许安装的更新。
    • 是,仅安装审批的更新: 仅允许安装审批的更新。
    • 否,安装所有适用的更新: 允许在设备上安装所有适用的更新。
  • 使用内部更新服务器: 指定是从 Windows 更新服务获取更新还是通过 Windows Server Update Services (WSUS) 从内部更新服务器获取。如果设置为,设备将使用 Windows 更新服务。如果设置为,设备将连接到指定的 WSUS 服务器以获取更新。默认值为
    • 接受除 Microsoft 以外的其他实体签名的更新: 指定是否接受除 Microsoft 以外的第三方实体签名的更新。此功能要求设备信任第三方供应商证书。默认值为
    • 允许连接到 Microsoft 更新服务: 允许设备上的 Windows 更新定期连接到 Microsoft 更新服务,即使设备配置为从 WSUS 服务器获取更新亦如此。默认值为
    • WSUS 服务器: 指定 WSUS 服务器的服务器 URL。
    • 托管更新的备用 Intranet 服务器: 指定托管更新和接收报告信息的备用 Intranet 服务器 URL。
  • 配置传递优化: 是否对 Windows 10 更新使用传递优化。默认值为
  • 缓存大小: 传递优化缓存的最大大小。值 0 表示缓存大小无限制。默认值为 10 GB。
  • 允许 VPN 对等缓存: 是否允许设备在通过 VPN 连接到域网络时参与对等缓存。设置为时,设备可以从其他域网络设备进行下载或上载到其他域网络设备,在 VPN 上或企业域网络中皆可。默认值为
  • 下载方法: 传递优化的下载方法可以用于下载 Windows 更新、应用程序和应用程序更新。默认值为 HTTP 与对等在同一 NAT 后面混合。选项包括:
    • 仅限 HTTP,无对等: 禁用对等缓存,但允许传递优化从 Windows Update 服务器或 Windows Server Update Services (WSUS) 服务器下载内容。
    • HTTP 与对等在同一 NAT 后面混合: 在同一网络中启用对等共享。传递优化云服务使用与目标客户端相同的公用 IP 查找连接到 Internet 的其他客户端。这些客户端随后将尝试使用其 专用子网 IP 连接到同一网络红的其他对等体。
    • HTTP 与对等跨专用组混合: 根据设备 Active Directory 域服务 (AD DS) 或设备进行身份验证的域自动选择组。基于 AD DS 的选择适用于 Windows 10 版本 1607。基于域的选择适用于 Windows 10 版本 1511。对等跨内部子网在属于相同组的设备之间发生,包括远程办公室内的设备。
    • HTTP 与 Internet 对等混合: 为传递优化启用 Internet 对等源。
    • 简单下载模式,无对等: 禁用传递优化云服务。传递优化在以下情况下自动切换到此模式:传递优化云服务不可用时、无法访问时或内容文件大小小于 10 MB 时。在此模式下,传递优化提供可靠的下载体验,无对等缓存。
    • 不使用传递优化,改为使用 BITS: 允许客户端使用 BranchCache。有关详细信息,请参阅 Microsoft 文章 缓存
  • 最大下载带宽: 最大下载带宽,单位为 KBs/秒。默认值为 0,表示动态带宽调整。
  • 最大下载带宽的百分比: 传递优化可以跨所有并发下载活动使用的最大下载带宽。值为可用下载带宽的百分比。默认值为 0,表示动态调整。
  • 最大上载带宽: 最大上载带宽,单位为 KBs/秒。默认值为 0。值 0 表示带宽无限制。
  • 每月上载数据上限: 传递优化在每个日历月可以上载到 Internet 对等方的最大大小,单位为 GB。默认值为 20 GB。值 0 表示每月上载无限制。

Endpoint Management 如何处理 Windows 桌面和平板电脑设备的已批准更新

您可以指定是否仅安装审批的更新。Endpoint Management 按如下所示处理更新:

  • 对于安全更新,例如 Windows Defender 定义,Endpoint Management 将在下次同步过程中自动审批更新并向设备发送女装命令。
  • 对于所有其他更新类型,Endpoint Management 将等待您审批后再向设备发送安装命令。

必备条件

仅安装审批的更新

  1. 转至配置 > 设备策略并打开“操作系统更新”设备策略。
  2. 仅允许安装审批列表中的更新设置更改为是,仅安装审批的更新

审批更新

  1. 在“操作系统更新”设备策略中,向下滚动到待定更新表。Endpoint Management 从设备中获取表中列出的更新。

  2. 搜索审批状态待定的更新。

  3. 单击要审批的更新对应的行,然后单击该行对应的编辑图标(在添加列中)。

    “设备策略”配置屏幕图

  4. 要审批更新,请单击已审批,然后单击保存

    “设备策略”配置屏幕图

注意: 虽然“待定更新”表包含添加和删除命令,但这些命令不会导致 Endpoint Management 数据库发生任何更改。编辑审批状态是唯一可用于待定更新的操作。

要查看设备的 Windows 更新状态,请转至管理 > 设备 > 属性

“设备”配置屏幕示意图

发布了某个更新时,更新 ID 将在第一列中显示,状态为(成功或失败)。可以为更新失败的设备创建报告或自动化操作。发布的日期和时间也将显示。

更新如何用于首次部署和后续部署

设备上的“操作系统更新”设备策略的对首次部署产生的影响与对设备更新后的部署产生的影响有所差别。

  • 必须至少配置一个“操作系统更新”设备策略并将其分配给交付组,Endpoint Management 才能查询设备更新。

    Endpoint Management 在设备 MDM 同步期间查询设备的可安装更新。

  • 第一个“操作系统更新”设备策略部署后,Windows 更新的列表为空,因为尚未报告任何设备。
  • 当已分配的交付组报告中的设备更新时,Endpoint Management 会将这些更新保存在其数据库中。要审批任何报告的更新,请再次编辑该策略。

    更新批准仅适用于正在编辑的策略。在一个策略中审批的更新在另一个策略中不显示为已审批。下次设备同步时,Endpoint Management 会向设备发送一条命令以指示更新已审批。

  • 对于第二个“操作系统更新”设备策略,更新列表包含 Endpoint Management 数据库中存储的更新。必须为每条策略审批更新。

    每次设备同步过程中,Endpoint Management 都会查询设备的已审批的更新状态,直至设备报告某个更新已安装。对于要求在安装更新后重新启动的更新,Endpoint Management 将查询更新的状态,直至设备报告更新已安装。

  • Endpoint Management 不按交付组或设备限制策略配置页面中显示的更新。设备报告的所有更新都在列表中显示。

Android Enterprise 设置

“设备策略”配置屏幕图

  • 系统更新策略。确定系统更新的发生时间。自动将在可用时安装更新。窗口化将在开始时间结束时间中指定的日常维护时段自动安装更新。推迟允许用户最长推迟更新 30 天。
    • 开始时间。维护时段的开始时间,测量方式为在设备本地时间从午夜开始的分钟数 (0 - 1440)。默认值为 0
    • 结束时间。维护时段的结束时间,测量方式为在设备本地时间从午夜开始的分钟数 (0 - 1440)。默认值为 120
  • 控制 Enterprise FOTA。允许您控制使用 Samsung Enterprise (FOTA) service 的 Samsung 设备的更新。对于运行 Samsung Knox 3.0 或更高版本的 Android Enterprise 设备。默认值为
  • Enterprise FOTA 许可证密钥。当控制企业 FOTA 时, Enterprise FOTA 许可证密钥允许您指定用于 Samsung FOTA 更新的许可证密钥。对于运行 Samsung Knox 3.0 或更高版本的 Android Enterprise 设备。限None (无)。此密钥可以使用 Samsung MDM 许可证密钥设备策略进行设置。请参阅Samsung MDM 许可证密钥设备策略

Chrome OS 设置

“设备策略”配置屏幕图

  • 已启用更新: 指定是否将 Chrome OS 设备自动更新到新发布的 Chrome OS 版本 。默认值为
  • 更新后重新启动: 指定下次用户在成功自动更新后注销时是否重新启动 Chrome OS 设备。默认值为
  • 目标平台版本前缀: 如果设备位于较旧的版本中,此设置将指定要更新到的目标版本的前缀。对于 Chrome 平台版本,请参阅 https://chromereleases.googleblog.com/。如果设备已在具有指定前缀的版本中,则不进行更新。如果设备在较高的版本中,则仍将在较高的版本中。不支持回滚。默认值为空。

    请使用以下版本格式之一:

    • ”“ 或未设置: 更新到可用的最新版本。
    • 10323.: 更新到 10323 的任何次要版本(例如,10323.58.0)。
    • 10323.58.: 更新到 10323.58 的任何次要版本(例如 10323.58.0)。
    • 10323.58.0: 仅更新到此特定版本。
  • 延迟更新持续时间: 指定设备在下载更新之前可以等待的时间。延迟时间自更新首次部署到服务器的时间开始计算。设备可能会等待其中的一部分时间(时钟时间)以及剩余时间,具体取决于更新检查次数。最长持续时间值为 14 天。默认值为 0

  • 版本通道:指定用于交付 Chrome OS 更新的 Google 版本通道。需要 G Suite Chrome 配置。
    • 委派:意味着用户可以在其设备上选择版本通道。
    • 稳定:稳定通道经过全面测试。默认情况下, Chrome OS 更新通过稳定通道分发。
    • Beta:Beta 通道包含即将发生的更改和低风险的改进功能。
    • Dev:Dev 通道包含最新功能, 并且可能不稳定。

Workspace Hub 设置

可以使用操作系统更新设备策略为 Citrix Ready workspace hub 设备指定更新文件。当 workspace hub 设备使用 Endpoint Management 服务器检入时, 设备将下载更新文件并自动安装。

“设备策略”配置屏幕图

  • URL:上载了操作系统更新文件的 URL。首先, 从操作系统供应商处下载操作系统更新文件, 并将其上载到可通过 HTTP 或 HTTPS 访问的共享。请勿使用任何凭据保护共享。类的更新文件仅适用于同一类的设备。

    该 URL 还必须以格式VERSION-CLASS-KERNEL-ARCHITECTURE-BUILDNUM.lfi的操作系统更新文件中使用的命名结尾。

    当 Citrix Ready workspace hub 设备使用 Endpoint Management 服务器进行检入时, 设备将下载更新文件并自动安装。无论设备上是否安装了较低版本或更高版本的操作系统, 都会发生安装。

    此策略仅适用于与在策略中配置的更新文件相同的类设备。例如, 如果策略有 NComputing 设备 (NC 类) 的更新文件, 则只有在 NComputing 设备签入才会接收更新。如果 ViewSonic 设备 (VS 类) 检入, Endpoint Management 将不应用此更新。

  • 操作系统版本:操作系统版本, 格式VERSION-CLASS-KERNEL-ARCHITECTURE-BUILDNUM为或。 VERSION-CLASS-KERNEL-BUILDNUM