配置 Microsoft Intune 进行安全补丁和更新管理

2025年2月8日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师配置和使用 Microsoft Intune，以有效管理 Windows 设备上的安全补丁和更新。在不断发展的网络威胁环境中，保持操作系统和应用程序处于最新状态是减少漏洞和保护组织免受攻击的最关键的安全实践之一。 Microsoft Intune 作为统一端点管理 (UEM) 解决方案，提供强大的工具来自动化和控制更新过程 [1]。

简介

缺乏安全补丁和更新是安全漏洞的主要原因之一。操作系统和软件中的已知漏洞经常被攻击者利用，因此高效、自动化的补丁管理流程至关重要。在现代企业环境中，由于劳动力分散且设备多种多样，手动更新管理变得不切实际且容易出错。这就是 Microsoft Intune 的闪光点，它提供了一个集中平台来管理和部署 Windows 设备的更新，确保它们保持安全和合规性 [2]。

Microsoft Intune 允许您管理不同类型的 Windows 更新，包括提供安全和非安全修复的质量更新，以及提供新功能和改进的功能更新。通过更新环策略和功能更新配置文件，管理员可以控制更新的部署时间和方式，从而实现分阶段部署以最大程度地降低风险并确保兼容性。此外，Intune 还提供了监视更新合规性状态和解决问题的功能 [3]。

本操作指南将涵盖在 Intune 中设置更新环和功能更新配置文件、将更新部署到 Windows 设备、监控更新合规性以及使用报告来识别和解决问题。将提供分步说明、实际示例和简洁的解释，以便读者可以实现、测试和验证这些功能。此外，还将讨论安全提示、合规性检查和最佳实践，以确保有效、自主、专业和可靠的补丁和安全更新管理。

为什么 Microsoft Intune 对于补丁管理至关重要？

自动化和效率：自动交付更新，减少管理负担并确保设备始终保持最新状态。
精细控制：允许管理员设置有关何时、如何以及应用更新的设备的详细策略，支持分阶段推出。
增强安全性：确保快速应用最新的安全修复程序，减少漏洞并防范已知的漏洞。
合规性：帮助保持设备符合内部安全策略和监管要求。
可见性和报告：提供仪表板和报告来监控更新状态、识别不合规设备并解决问题。
用户体验：允许您配置活动时间窗口和重新启动截止日期，以尽量减少更新对用户工作效率的影响。

先决条件

要配置 Microsoft Intune 来管理安全补丁和更新，您将需要以下项目：

许可：Microsoft Intune 许可证（通常包含在 Microsoft 365 E3/E5、企业移动性 + 安全性 E3/E5 订阅中）[4]。
管理访问权限：在 Microsoft Intune 管理中心 (https://intune.microsoft.com) 中具有“全局管理员”或“Intune 服务管理员”角色的帐户。
注册的 Windows 设备：注册的 Windows 10/11 设备在 Microsoft Intune 中创建。设备必须配置为从 Windows 更新（适用于企业的 Windows 更新）接收更新 [5]。

分步：配置 Microsoft Intune 进行补丁管理

让我们为 Windows 设备配置更新策略。

1. 创建 Windows 更新环

更新环是管理质量更新和非安全更新应用到设备的方式和时间的策略。

打开浏览器并导航到 Microsoft Intune 管理中心：“https://intune.microsoft.com”。
使用具有必要权限的帐户登录。
在左侧导航窗格中，选择设备 > 按平台 > Windows。
在“管理更新”下，选择 Windows 更新环。
单击“+ 创建个人资料”。
基础知识：
- 名称：给出一个有意义的名称（例如：Anel_Atualizacao_Piloto_Windows）。
- 描述：提供清晰的描述（例如“以最小延迟更新试点组环”）。
单击“下一步”。
更新铃声设置：
- 质量更新设置：
  - 质量更新的维护级别：“通用可用性频道”。
  - 质量更新延迟期（天）：“0”（对于试点组，尽快接收更新）。对于较大的团体，您可以设置“3”至“7”天。
  - 驱动程序更新延迟期（天）：“0”（或用于测试驱动程序的更大值）。
- 功能更新设置：
  - 功能更新维护级别：“通用可用性频道”。
  - 功能更新延迟期（天）：“0”（对于试点组）。对于较大的团体，您可以设置“30”到“60”天。
- 最终用户体验设置：
  - 自动更新行为：在维护时间自动安装并重新启动。
  - 安装后重新启动：维护时自动重新启动。
  - 活跃时间：用户控制的活跃时间。
  - 重启截止日期（天）：“2”（对于试点组）。对于较大的团体，“5”至“7”天。
单击“下一步”。
范围标签：可以选择添加范围标签。单击“下一步”。
分配：将此更新环分配给 Azure AD 设备组（例如“Pilot_Device_Group”）。
单击“下一步”。
查看 + 创建：查看设置并单击创建。
- 说明：您应该创建具有不同延迟期的多个更新环（例如，试点、快速、慢速），以允许分阶段推出更新，从而最大限度地降低兼容性问题的风险。

2. 创建 Windows 功能更新配置文件（Windows 10 及更高版本的功能更新）

功能更新配置文件允许您将设备定位到特定版本的 Windows（例如 Windows 11 22H2）。

在 Microsoft Intune 管理中心的左侧导航窗格中，选择设备 > 按平台 > Windows。
在“管理更新”下，选择 Windows 10 及更高版本的功能更新。
单击“+ 创建个人资料”。
基础知识：
- 名称：给出一个有意义的名称（例如：Atualizacao_Recurso_Windows11_23H2）。
- 描述：提供清晰的描述（例如“Windows 11 23H2 部署到符合条件的设备。”）。
单击“下一步”。
功能更新设置：
- 要部署的资源版本：选择所需的版本（例如：Windows 11，版本23H2）。
- 可用日期：设置更新可用于设备的日期。
- 结束日期：（可选）设置升级优惠的结束日期。
单击“下一步”。
范围标签：可以选择添加范围标签。单击“下一步”。
分配：将此配置文件分配给 Azure AD 设备组（例如：Windows11_Device_Group）。
单击“下一步”。
审查+创建：检查设置并单击创建。
- 说明：此配置文件将确保分配组中的设备接收特定版本的 Windows 11 23H2。在广泛部署之前，在较小的组中测试功能更新非常重要。

3. 监控更新状态

Intune 提供仪表板和报告来监控更新进度和合规性。

在 Microsoft Intune 管理中心的左侧导航窗格中，选择设备 > 按平台 > Windows。
在“管理更新”下，选择“Windows 更新环”。
单击您要监控的更新环（例如：Anel_Atualizacao_Piloto_Windows）。
在更新环概览中，您可以看到“设备部署状态”和“用户更新状态”，显示有多少设备符合要求、有多少设备有错误等。
有关更详细的报告，请在 Intune 管理中心的左侧导航窗格中，选择报告 > Windows 更新。
在这里您可以找到“Windows 更新合规性报告”和“Windows 功能更新报告”等报告，以全面了解组织中的更新状态。

验证和测试

测试更新策略以确保它们按预期工作并且设备正确接收更新至关重要。

1.测试更新环（质量更新）

场景：在 Intune 中注册测试 Windows 设备并将其分配给 Pilot_Device_Group。
预期操作：设备必须根据“Anel_Atualizacao_Piloto_Windows”策略接收并安装质量更新（延迟 0 天，即快速）。
验证：
- 在测试设备上，转到“设置”>“Windows 更新”并检查更新历史记录。
- 在 Intune 管理中心中，检查“Anel_Atualizacao_Piloto_Windows”和“Windows 更新合规性报告”的“设备部署状态”，以确认设备合规。
- 设备上的命令（PowerShell 作为管理员）： powershell 获取 WindowsUpdateLog
  - 说明：此命令生成 Windows 更新活动的详细日志，对于故障排除非常有用。

2. 测试资源更新配置文件

场景：在 Intune 中注册测试 Windows 设备并将其分配到“Windows11_Device_Group”。
预期操作：设备必须接收并安装“Windows 11 功能更新，版本 23H2”。
验证：
- 在测试设备上，进入“设置”>“系统”>“关于”，查看“Windows 版本”。
- 在 Intune 管理中心中，检查“Atualizacao_Recurso_Windows11_23H2”配置文件的“设备部署状态”和“Windows 功能更新报告”。

安全提示和最佳实践

更新环策略：实施分阶段更新环策略（例如，试点、小型、中型、大型），以在广泛部署之前在部分设备上测试更新。这最大限度地减少了中断的风险。
维护时段：配置维护时段和重新启动截止日期，最大限度地减少对用户工作效率的影响，但确保及时应用更新。
持续监控：定期监控 Intune 中的更新合规性报告，并为不合规或更新错误的设备设置警报。
兼容性测试：在部署主要功能更新之前，请对环境中的关键应用程序和硬件执行兼容性测试。
交付优化：在整个组织内分发更新时，使用交付优化等功能可减少网络带宽消耗。
驱动程序管理：谨慎对待驱动程序更新。考虑延迟驱动程序更新或在广泛部署之前对其进行广泛测试，因为有问题的驱动程序可能会导致崩溃。系统中的能力。
与 Microsoft Defender for Endpoint 集成：Intune 和 Defender for Endpoint 协同工作以确保端点安全。 Defender for Endpoint 可以深入了解可通过补丁修复的漏洞。

常见故障排除

设备不接收更新：
- 验证设备是否已在 Intune 中注册，以及更新/功能环策略是否已分配给正确的设备组。
- 在您的设备上，检查与 Windows 更新的连接。从命令提示符运行“wuauclt.exe /reportnow”（对于 Windows 10）或“usoclient StartScan”（对于 Windows 11）。
- 使用 PowerShell 中的“Get-WindowsUpdateLog”检查设备上的 Windows 更新日志。
- 检查 Intune 中的“活跃时间”设置；如果设备始终处于活动时间内，则可能无法重新启动以安装更新。
更新无法安装：
- 检查设备上的 Windows 更新日志以获取特定错误代码。
- 确保您的设备有足够的磁盘空间。
- 现有软件或驱动程序的兼容性问题可能是原因。在受控环境中进行测试。
- 检查设备网络与 Windows 更新服务的连接。
设备在 Intune 报告中显示为不合规：
- 合规状态可能需要一些时间才能报告回 Intune。等几个小时。
- 确保您的设备处于活动状态并与 Intune 通信。
- 验证合规性策略是否已正确分配给设备。
误报（设备显示为不合规，但是最新的）：
- 手动检查设备上的更新状态。如果是最新的，则 Intune 报告可能会出现延迟。
- 重新启动设备上的 Intune 客户端管理服务 (net stop dmwappushservice && net start dmwappushservice)。

结论

Microsoft Intune 是在 Windows 环境中管理安全补丁和更新不可或缺的工具。通过自动部署质量和功能更新并提供对流程的精细控制，Intune 使组织能够保持其设备安全并符合针对网络威胁的最新保护措施。实施更新环策略以及持续监控和主动解决问题对于确保弹性 IT 环境至关重要。通过本实用指南，安全专业人员和 IT 管理员将能够配置、验证和管理 Microsoft Intune，从而加强其端点安全状况并保护其组织的资产。

参考资料：

[1] 微软学习。 在 Intune 中管理 Windows 软件更新。网址：https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] 微软学习。 什么是 Microsoft Intune？。网址：https://learn.microsoft.com/pt-br/intune/overview [3] 微软学习。 使用 Intune 管理 Windows 更新。位于：https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] 微软学习。 Microsoft Intune 许可。网址：https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] 微软学习。 在 Intune 中设置 Windows 更新环。网址：https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] 微软学习。 在 Intune 中配置 Windows 10 及更高版本的功能更新。网址：[https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updates](https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-upda测试） [7] 微软学习。 Intune 中的 Windows 更新报告。位于：https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports