Windows 驱动程序更新策略常见问题解答

当前发布到Windows 更新且适用于策略中的一个或多个设备的任何驱动程序更新都可通过驱动程序更新策略获得。

可以通过复制名称并搜索 Microsoft更新目录 网站来获取有关驱动程序的详细信息。

是，如果驱动程序更新由 OEM 供应商发布到Windows 更新。

将设备分配到驱动程序更新策略后，不会向用户显示可选驱动程序。 当管理员批准驱动程序更新时，它实际上 是必需的，并在 设备下次扫描更新时安装。

不正确。 分配筛选器当前不支持驱动程序汇报。

虽然支持为每个设备使用多个策略，但我们不建议这样做。 相反，我们建议将设备添加到单个策略，以避免混淆设备的驱动程序是否获得批准。

请考虑从两个策略接收驱动程序更新的设备。 在一个策略中，特定更新得到批准，而另一个策略中，该更新将暂停。 由于 “已批准 ”状态始终获胜，因此驱动程序会在设备上安装，尽管该更新的任何其他状态是在任何其他策略中设置的。

质量更新截止时间和宽限期设置适用于驱动程序。

以下是有关何时对司机应用截止时间的更多详细信息：

• 驱动程序被批准 (手动或自动) 日期可用。 这显示为“第一个部署”。
• 首次或初始扫描时，会向设备提供已批准的驱动程序。 客户端的更新扫描最初发现更新的日期也是截止时间的开始日期和时间。
• 质量和功能更新的截止时间计算基于客户端的更新扫描最初发现更新的时间。 请参阅 强制实施更新的合规性截止时间

更新通道策略中为质量汇报设置的延迟期限不适用于使用驱动程序更新策略批准的驱动程序。 请改用驱动程序策略中的延迟设置来设置延迟。 事实上，强烈建议使用具有不同延迟设置的多个驱动程序策略来创建驱动程序部署圈。 请记住，仅将设备分配给一个驱动程序策略。

是的，用户体验设置（如自动更新行为、活动时间、通知等）也适用于驱动程序更新。

不正确。 在 Windows Autopilot 期间，目前不支持驱动程序更新。

可以继续对驱动程序以外的更新使用Configuration Manager，或者开始将其他更新类型一次Intune一个移动到云管理。 为此，请先在Configuration Manager层次结构中启用云附加或共同管理，以在 Intune 中注册托管设备。

采用基于云的更新的建议和首选路径是将Windows 更新工作负载移动到Intune。 如果组织尚未为此做好准备，可以通过完成以下步骤，在 Intune 中使用驱动程序和固件管理功能，而无需移动工作负载：

1. 将Windows 更新工作负荷设置为“Configuration Manager”。

2. 在 Intune 中配置驱动程序策略，以注册设备并准备好进行管理，详见使用 Microsoft Intune 管理 Windows 驱动程序更新策略。

3. 使用指定 Windows 汇报特定类的源策略，配置基于域的组策略，以将Windows 更新配置为驱动程序汇报的源。

   注意

   由于Configuration Manager使用本地组策略来配置更新源策略，因此使用 Intune 或 CSP 尝试配置这些相同的设置会导致设备状态未定义且不可预知。

4. 在 Intune 中为要向其部署驱动程序和固件的设备启用数据收集。

5. [可选]强制允许使用策略提交诊断数据。 将诊断数据提交到Microsoft允许对Microsoft Intune使用Windows 更新报告。

   注意

   默认情况下，Windows 设备上允许向Microsoft提交诊断数据。 禁用诊断数据收集可防止Microsoft Intune使用Windows 更新报表来报告托管设备的任何更新信息。

   使用基于域的组策略或Intune将“允许诊断数据”设置配置为“可选”或“必需”。 有关如何完成此任务的详细信息，请转到：

   • 使用组策略管理诊断数据收集

   • 使用 MDM 管理诊断数据收集

6. [可选]在诊断数据中启用设备名称收集。 有关使用基于域的组策略或Intune进行配置的详细信息，请参阅诊断数据要求。

   注意

   使用 Intune 配置前面提到的任何诊断数据设置都需要将设备配置共同管理工作负荷移动到Intune。

可以通过在 Intune 中配置功能更新策略并将功能汇报设置设置为Windows 更新使用指定特定 Windows 汇报 类的源策略组策略，将功能更新管理移动到 Intune 中的云。

在 Intune for Quality 或 Feature 汇报 中使用更新通道策略需要将Windows 更新工作负荷移动到Intune。

Intune到 Windows 自动修补同步每天运行，你可以使用“同步”选项按需运行同步。 完成同步的时间取决于所涉及的设备信息，但通常只需几分钟即可完成。

设备每天在运行Windows 更新扫描时与 Windows 自动修补服务同步。

由于 OEM 何时发布新更新或该更新需要重新启动，因此并不总是提前明确，因此请考虑定期更新评审模式。

• 对于手动批准的策略，当你批准驱动程序并设置 审批可用日期时，可以将该日期设置为事件，例如每月补丁星期二或你选择的任何其他时间。
• 对于具有自动审批功能的策略，可以暂停新添加的策略，然后返回批准它。 重新提供任何暂停的更新时，可以设置 批准可用日期。

为了帮助缓解此类重复挑战，我们评估了一些更改，这些更改可以缓解使用 补丁星期二 更新手动协调驱动程序更新的需要。

• 当 OEM 将驱动程序替换为新的推荐驱动程序时，旧驱动程序可以移动到 “其他驱动程序 ”类别。 但是，如果旧版驱动程序与所有设备使用的驱动程序版本相同或更早，则会从策略中完全删除该驱动程序，因为没有设备可以通过驱动程序更新策略安装该驱动程序。

为确保可用驱动程序列表是最新的，在策略目标的所有设备上，版本早于已安装版本的驱动程序不再适用。 这些较旧的驱动程序将从以前部署的和活动的策略的驱动程序列表中删除。 只有可以更新当前安装在策略目标设备上的驱动程序版本的驱动程序保留在策略中。

无法通过驱动程序更新管理安装比设备上已有的版本更旧版本的驱动程序。

若要使驱动程序清单可用，必须完成几个步骤。 最重要的是，提交策略并注册设备进行管理后，Windows 汇报必须等待每台设备执行每日更新扫描。 此过程每天发生，因此所有正常设备最多可能需要 24 小时才能检查。 在此之后，Intune需要处理扫描结果，以提供可用驱动程序更新的清单。

暂停是尽力而为，当暂停更新时，Windows 自动修补会删除审批。 但是，在下次扫描更新之前，设备不会知道更新已暂停。

• 如果设备尚未扫描更新，则不会提供暂停的更新，并且 “暂停” 按预期工作。
• 如果设备扫描更新并发现更新已暂停，并且设备正在下载、安装或等待重启，则设备上的Windows 更新将尝试“尽最大努力”删除安装该驱动程序更新。 如果无法停止安装，更新将完成安装。
• 如果更新在下次扫描更新之前完成安装，则不会发生任何操作，并且更新仍会保持安装状态。

这些可能是 扩展 驱动程序，它们是主驱动程序安装或更新主驱动程序时可以引用安装的“子驱动程序”。 扩展驱动程序显示在设备上已安装的驱动程序或更新历史记录中，但无法直接管理。 由于扩展驱动程序在没有基本驱动程序的情况下无法正常运行，因此可以安全地允许它们进行安装。

即插即用还可以自动安装驱动程序。 当 Windows 检测到新的硬件或软件 (（例如鼠标、键盘或网络摄像头) 没有现有驱动程序）时，它会安装最新的驱动程序以确保组件立即正常运行。 初始安装后，这些驱动程序的任何将来更新都需要批准。

• 不正确。 Windows 更新客户端策略当前不支持驱动程序回滚。 虽然回滚可以编写脚本，但潜在变量太多，无法提供一个有用的示例脚本来执行此操作。 如果必须删除驱动程序，请考虑使用 PowerShell 等手动方法。 为了帮助避免需要从大量设备回滚驱动程序的问题，请使用 部署环 将驱动程序安装限制为小型初始设备组。 此方法允许在组织中广泛部署驱动程序之前，有时间评估驱动程序的成功或兼容性。
• 对于具有手动批准的策略，必须先查看并手动批准每个驱动程序，然后才能将其部署到设备。 虽然比使用自动审批的策略工作更多，但手动审批可以帮助避免自动批准的驱动程序出现问题。
• 如果使用具有自动审批的策略，请计划监视策略是否存在问题的早期迹象。 如果在早期部署圈中发现了驱动程序更新问题，则可以在其他策略中暂停相同的更新。

发布到 Windows 更新 汇报要求使用 Windows 机制，该机制允许安全地更新固件或驱动程序，而无需解锁 BIOS/UEFI。

延迟的可能性取决于确定其更新可用性的供应商或 OEM。 由于驱动程序更新在发布到 Windows 汇报之前由同一门户进行数字签名，因此驱动程序更新可能先通过Windows 更新获得，然后再通过供应商工具提供。