为 Azure 更新管理器配置 Windows 更新设置

Azure 更新管理器使用本机 Windows 更新客户端来管理修补。但是，此行为因计算机是 Azure 虚拟机（VM）还是已启用 Azure Arc 的服务器而异。本指南概述了如何配置更新设置、更新管理器修改的内容以及如何避免与组策略冲突。

主要差异：Azure VM 与已启用 Azure Arc 的计算机

功能 / 特点	Azure VM	已启用 Azure Arc 的计算机
修补业务流程	Azure 业务流程协调或 OS 协调	仅限操作系统协调
由更新管理器进行的注册表更改	是（当 Azure 协调时）	否（更新管理器不修改注册表）
组策略交互	可以替代更新管理器设置	完全控制更新行为
Windows Server Update Services （WSUS）支持	已支持	已支持
预下载支持	不支持	不支持

更新管理器自动配置的内容（仅限 Azure VM）

在 Azure VM 上启用 Azure 协调修补时，更新管理器可能会配置以下注册表项：

注册表路径	Key	目的
`HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU`	`AUOptions`	设置自动更新行为
`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update`	`RebootRequired`	跟踪重新启动状态
`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services`	`ServiceID`	注册Microsoft更新服务

仅当为 Azure 协调修补配置 VM 时，才会应用这些更改。AutomaticByPlatform = Azure-Orchestrated 已启用 Azure Arc 的计算机不会受到影响。

组策略冲突

组策略可以替代或与更新管理器设置冲突。此行为对于以下事项尤其重要：

自动更新：如果组策略强制实施其他 AUOptions 值，则更新管理器可能无法控制更新计时。
重新启动行为：即使更新管理器设置为 “永不重新启动”，组策略或注册表项仍可触发重新启动。
Microsoft更新源：组策略可能会限制对 WSUS 的更新或阻止Microsoft更新，这可能会导致更新管理器部署失败。

如果使用组策略，最佳做法是确保它与更新管理器的预期行为保持一致。避免在 配置自动更新 或 不使用登录用户自动重启中设置冲突值。

如何启用Microsoft更新

若要接收 SQL Server 或 Office 等产品的更新，请使用以下说明。

Azure VM （Azure 协调修补）

运行以下 PowerShell 脚本：

$ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")

启用 Azure Arc 的计算机或由 OS 协调的虚拟机

使用组策略：

转到 计算机配置>管理模板>Windows 组件>Windows 更新>管理最终用户体验。
打开 “配置自动更新 ”设置。
将选项设置为 “已启用”，然后选择 “为其他Microsoft产品安装更新 ”复选框。

WSUS 配置

更新管理器支持 WSUS。请按以下步骤进行配置：

使用组策略设置 WSUS 服务器位置。
确保 WSUS 中已批准更新，以防止更新管理器部署失败。
若要限制 Internet 访问，请启用 “不连接到任何 Windows 更新 Internet 位置”。

验证修补程序源

检查以下注册表项以确认更新源：

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services

不支持

更新管理器不支持预下载更新。
若要更改修补程序源（例如，从 WSUS 更改为Microsoft更新），请使用 Windows 设置或组策略。不要将更新管理器用于此配置。

配置更新设置后，继续使用更新管理器部署更新。

Last updated on 2025-12-03

Compartir a través de