是时候开始向云更新工具过渡 - WSUS 不再主动开发
是时候开始向云更新工具过渡 – WSUS 不再主动开发
搜索了一下,写的第一篇关于 WSUS 的 Blog 还是在 2007年 - “一步一步体验 WSUS 3.0”,一晃10多年过去了。最近的一篇也是在2019年底写的“HOWTO: 通过 WSUS 推送 Surface 驱动程序”。感觉都是很遥远的事情!就在今年9月下旬微软在“Windows Server 2025 已删除或不再开发的功能”文档中提及了 WSUS,文中描述其不再主动开发,但所有现有功能和内容仍可用于部署。
这一信息意味着微软不再为 WSUS 投资新功能,也不再接受 WSUS 的新功能请求。但企业 IT 暂时无需担忧,因为微软仍将继续确保现有的 WSUS 功能正常工作,并继续通过 WSUS 渠道发布更新。从现有的信息看,这一支持计划起码维持到 Windows Server 2025 结束。(PS:目前 Windows Server 2025 仍处于预览阶段)
是时候开始向云更新工具过度了!
微软基于云的更新工具很成熟,方案也很完整,提供以下选择:
Microsoft Intune 相信大家再熟悉不过,非常强大的 MDM。其中所提供的 Windows Update for Business (以下简称 WUfB)可方便的管理 Windows 客户端的多个类型的更新。
- 功能更新,即我们以前说的升级,不仅包含安全和质量补丁,还包含重要的功能添加和更改。例如:Windows 11 24H2 便是一个功能更新。
- 质量更新,即我们所说的传统的操作系统补丁更新,通常每月的第二个星期二发布,这些更新包含了安全更新、关键更新和驱动程序更新。
- 驱动程序更新,即非微软驱动程序,可通过 Windows Update 获取 Windows OEM 设备的组件驱动更新。
- Microsoft 产品更新,即那些基于 MSI 安装的 Office。
WUfB 基于 WaaS 服务模型,还支持三个预发布频道:Release Preview,Beta,Dev。
PS:本文发布时已经留意到 WUfB将作为单个解决方案集成到 Windows Autopatch 以实现统一管理。
Windows Autopatch 隶属于 Intune,是一项云服务,使组织无需规划和操作更新过程。可自动执行 Windows,Microsoft 365 Apps for enterprise,Microsoft Edge 和 Microsoft Teams 更新。旨在解决以下挑战:
- 缩小安全差距,Windows Autopatch使软件保持最新状态,减少设备的漏洞和威胁。
- 缩小工作效率差距,Windows Autopath 确保最终用户可以获得最新的工具和功能,以增强他们的协作能力。
- 优化 IT 管理员资源,Windows Autopatch可自动执行例行客户端更新,为 IT 管理员节省了时间用于其他更有价值的工作。
- 本地基础结构,基于 SaaS 环境,最大程度减少对本地硬件的投资。
- 载入新服务,Windows Autopatch可轻松注册,最大程度减少 IT 管理员入门所需的时间。
- 最大程度减少最终用户中断,Windows Autopatch在顺序部署中发布更新,并响应可靠性和兼容性信号,最大程度减少因更新而导致的用户中断。
对于需要管理的云中还是本地的 Windows Server,微软提供了名为 Azure Update Manager 的云服务,它可用于跨 Azure,本地和多云环境管理和治理 Windows 和 Linux 计算机的软件更新。
- 立即检查更新或部署安全或关键更新以帮助保护计算机。
- 支持定期评估,每24小时检查一次更新。
- 支持灵活的修补选项。如:客户定义的维护计划;Azure VM的自动VM来宾修补和热修补。
- 构建用于报告更新状态的自定义报告仪表板并根据某些条件配置提醒。
- 通过单一窗格监视 Azure 和本地/其他云环境中由 Azure Arc 连接的整个计算机舰队的更新合规性。可以管理Azure Arc 计算机、VMWare 计算机、SCVMM 计算机,Azure Stack HCI VM。
Azure Update Manager 的工作原理:
HOWTO: 使用 WinGet 从 Microsoft Store Apps 下载 Windows App 进行脱机分发
HOWTO: 使用 WinGet 从 Microsoft Store Apps 下载 Windows App 进行脱机分发
WinGet 即 Windows Package Manager(Windows程序包管理器),一款微软原生的以命令行方式运行的应用程序包管理,它还提供了 open source client,可用于应用程序的云安装。WinGet 发布于 2020 年的 Microsoft Build 大会上,当时 gOxiA 还写了一篇介绍的日志“体验新的 Windows 程序包管理器”。过去 WinGet 由于处于预览阶段,其 WinGet-cli 当时未内置于系统中,所以还曾写过一篇日志来讲解如何通过 Intune 分发 WinGet-cli “HOWTO: 通过 Intune 分发 WinGet 测试版”。在经过了几年的演进后,WinGet-cli 已经内置于系统,且不断在更新完善!就在前不久发布的 v1.8 版本开始还提供了对下载 Microsoft Store apps 的支持。这是一个令人兴奋的消息,它将提高企业 IT 在动态和现代部署方面的灵活性。此外,专注于 Intune 和 MSStore Apps 部署的朋友也许已经注意到 Microsoft Store for Business 已经退役下线,WinGet v1.8 就像及时雨一般,解决了当前下载 MSStore Apps 的问题。
今天 gOxiA 将与大家分享的是如何使用 WinGet 下载微软应用商店中的应用安装包。以 “Windows App”为例,首先我们可以使用 WinGet Search 进行应用的搜索。从下图我们获得了一个搜索结果列表,位于第一行的便是要下载的“Windows App”,包含了它的 ID 信息,可能包含的版本信息,以及源于 MSStore。
然后,我们可以使用 WinGet Show 显示应用的详细信息,其中我们可以检索该应用是否支持脱机分发,如下图所示 “Windows App” 的 “支持脱机分发” 状态为 “true”。
接下来,我们可以使用 WinGet Download 进行下载。注意,虽然 WinGet 支持从 MSStore 下载应用安装包,但需要进行身份验证。
只有完成身份验证后才能进行应用安装包的下载。在下载的过程除了会下载应用安装包,还会下载其依赖包以及应用许可证。注意,应用许可证会再进行一次身份验证。
成功下载所有文件后,我们可以在“下载”目录看到它,WinGet 会以应用 ID 新生成一个目录,其中包含了所有相关的文件。
最后,企业 IT 便可以通过 PPKG 或 Intune 的 Windows 业务线应用进行部署。
PPKG -
Intune -
推荐官方文档:
Use the WinGet Tool to install and manage applications | Microsoft Learn
Intune - 通过Windows公司标识符阻止非公司设备注册
Intune - 通过Windows公司标识符阻止非公司设备注册
之前 gOxiA 分享了“Intune - Windows 公司设备标识符”,通过收集 Windows 设备的制造商(Manufacturer)、型号(Model)和序列号(SerialNumber),可将其添加至 Windows 公司标识符,以标注该设备属于公司拥有的。
当我们完成 Windows 公司标识符的添加后,可以配置“设备 - 注册 - 设备平台限制”策略,将 “Windows (MDM)” 的 “个人拥有” 改为 “阻止”,这样一来当用户使用非公司拥有的设备或个人设备在 OOBE 阶段通过公司账号(M365)登录和配置时将提示“80180014”错误,从而有效的阻止了非授权或不合规的设备加入到公司环境,避免了组织资源和数据的泄露风险。
需要注意的是 Windows 公司标识符仅受 Windows 10 的2024年6月累计更新及以上版本,或 Windows 11 的204年3月累计更新及以上版本支持。
如果当前组织无法为设备进行 Windows Autopilot 设备注册,那么可以考虑利用 Windows 公司标识符和 Windows Autopilot device preparation 方案来实现,尤其是在使用 21v 租户和使用 Windows 11 的组织。Windows Autopilot device preparation 的过程可参考下面的 Demo 视频。
https://weibo.com/tv/show/1034:5056036852138048
https://www.youtube.com/watch?v=73vOVzd-bhg
推荐官方文档:
Understand Intune and Microsoft Entra device limit restrictions | Microsoft Learn
