建立自訂修補程式組態

此區域可讓您設定要部署的修補程式 (部署選項)，以及目標裝置在部署過程中是否要傳送重新開機要求及何時傳送 (重新開機行為)。 可以在同一修補程式組態中，針對不同作業系統設定相應的部署行為。

啟用作業系統的部署

可以單獨啟用和停用每個作業系統的修補程式部署。 在部署行為下方，選擇所需的作業系統，然後根據需要設定部署修補程式。

若要建立僅掃描修補程式組態，請關閉所有作業系統索引標籤的部署開關。

部署選項

視不同的作業系統而定，最多會有三個可設定的部署選項:

• Windows: 按照嚴重性部署、按照修補程式群組部署/排除以及選取的廠商/產品
• Mac: 按照嚴重性部署、按照修補程式群組部署
• Linux: 部署所有缺少的修補程式、按修補程式群組部署

依預設，僅會部署 Windows 的關鍵安全性修補程式。 若您:

• 啟用及設定按照嚴重性部署，並在按照修補程式群組部署/排除中將一些修補程式群組設定為包含，則效果為累加，系統將部署每個已設定選項的所有修補程式
• 啟用及設定選取的廠商/產品，則此選項會篩選掉來自其他兩個選項的修補程式
• 在按照修補程式群組部署/排除中將修補程式群組設定為排除，則修補程式群組中設定為排除的修補程式一律會排除，即使其在其他位置設定為包含也是如此

範例 1: 若您僅想要部署包含在修補程式群組內的修補程式:

• 停用按照嚴重性部署和選取的廠商/產品選項
• 啟用按照修補程式群組部署/排除選項並將想要的修補程式群組設定為包含

範例 2: 假設您設定了下列內容:

• 按照嚴重性部署: 系統會選取「安全性關鍵」和「安全性重要」
• 按照修補程式群組部署/排除: 將一個修補程式群組設定為包含，以包含一個「安全性關鍵」修補程式、一個「安全性重要」修補程式，以及兩個「安全性中度」修補程式
• 選取的廠商/產品: 這個選項已停用

在這種情況下:

• 「安全性關鍵」和「安全性重要」修補程式將會針對所有廠商和產品進行部署
• 系統會部署修補程式群組中包含的所有四個修補程式，包括兩個「安全性中度」修補程式

範例 3: 與範例 2 相同，但您也可以:

• 使用所選廠商/產品選項指定僅部署 Adobe 修補程式

在這種情況下，僅會部署的修補程式是:

• 修補程式群組中包含的 Adobe 安全性關鍵修補程式、Adobe 安全重要修補程式以及任何 Adobe 修補程式

範例 4: 與範例 3 相同，但您也可以:

• 使用按照修補程式群組部署/排除選項，以排除包含特定 Adobe 安全性關鍵修補程式的修補程式群組

在這種情況下，僅會部署的修補程式是:

• Adobe 重大安全性修補程式 (排除之修補程式群組中的修補程式除外)
• Adobe 重要安全性修補程式
• 修補程式群組中包含的任何 Adobe 修補程式

如果將修補程式新增至設定為排除的修補程式群組，則不會部署該修補程式，即使其他設定明確建議應該對其進行部署也是如此。

範例 5 (Windows Edge 案例): 假設您在設定按照嚴重性部署時僅選取「安全性關鍵」，且也設定按照修補程式群組部署以包含 Vantosi V3。

如果隨後 Vantosi V4 是作為「安全性關鍵」發布，且在部署另一個修補程式之前，Vantosi V5 作為「安全性重要」發布，則對於 Windows 而言，Vantosi V4 和 Vantosi V5 都不會部署。 這是因為最新版本 (Vantosi V5) 不滿足部署的嚴重性要求，且 Vantosi V4 和 Vantosi V5 均未包含在修補程式群組中。 請注意，如果您為 Mac 設定了相同的修補程式組態，則會部署 Vantosi V4。

建議您定期使用合規性報告元件檢查裝置的合規性狀態，並將任何新的「安全性關鍵」修補程式加入到修補程式群組中。 如需更多資訊，請參閱合規性報告和修補程式群組。

選擇部署選項

• 部署所有缺少的修補程式 / 部署選取的修補程式 (僅限 Linux): 對於 Linux，您可以選擇部署所有缺少的修補程式。 或者，選取部署選取的修補程式來啟用進一步的控制功能，讓您可以限制部署哪些修補程式。

• 按照嚴重性部署 (Windows 與 Mac): 若啟用，則允許您指定應該包含在部署中的修補程式類型和嚴重性層級。 依預設，僅會選取關鍵安全性修補程式。
  • 安全性修補程式: 安全佈告相關修補程式。 您可以選擇部署一或多個特定安全性層級。
    • 重大: 可能遭到未經驗證的遠端攻擊者入侵的弱點，或是會破壞客體/主機作業系統獨立的弱點。 這種入侵會在沒有使用者互動的情況下，導致使用者資料或處理資源之機密性、完整性、可用性受損。 這種入侵可能遭到利用，用來傳播網際網路蠕蟲，或在虛擬機器與主機之間執行任意程式碼。
    • 重要: 這些弱點若遭到入侵，會導致使用者資料和處理資源的機密性、完整性或可用性受損。 這類瑕疵會讓本機使用者取得權限，允許未經驗證的遠端使用者執行任意程式碼，或者允許本機或遠端使用者輕易造成拒絕服務。
    • 中等: 可透過設定適當的組態或提高入侵難度大幅減輕這類弱點的遭入侵情況，但是在某些部署情況中，其仍可能造成使用者資料和處理資源的機密性、完整性或可用性受到一些損害。 有一些類型的弱點本來可以產生重大影響或重要影響，但是根據對瑕疵的技術評估，它們不太容易遭到入侵，或者不太可能對組態造成影響。
    • 低: 所有其他具有安全性影響的問題。 這些弱點被認為極難遭到入侵，或者即使被成功入侵，造成的影響也很小。
    • 未指派: 尚未指派嚴重性層級的安全性修補程式。
  • 非安全性修補程式: 廠商修補程式，用於修正並不會產生安全性問題的已知軟體問題。 對於 Windows，您可以選擇針對一或多個特定廠商嚴重性層級進行部署。 請參閱安全性修補程式，瞭解可用安全性層級的說明。
• 按照修補程式群組部署/排除 (Windows) 或按照修補程式群組部署 (Mac 與 Linux): 若啟用，則允許您指定含有想要包含在部署中或 (僅限 Windows) 想要從部署中排除之修補程式的一或多個修補程式群組。 這是一個確保只部署獲核准修補程式的好方法。 除非符合在按照嚴重性部署選項中指定的需求，否則不會部署未包含在設定為包含之修補程式群組中缺少的修補程式。 不會部署設定為排除之修補程式群組中的修補程式，即使其他設定明確建議應該對其進行部署也是如此。 您可以使用修補程式設定頁面內的修補程式群組索引標籤來檢視關於可用修補程式群組的詳細資訊。修補程式群組的管理是從 Patch Intelligence 內進行。

  Linux 裝置的慣例是始終更新到存放庫中可用的最新套件，即使將舊版新增到修補程式群組時也是如此。 此外，不僅會安裝與修補程式群組中諮詢關聯的套件，也會安裝與相依諮詢關聯的套件。

  在啟用按照修補程式群組部署/排除後，會顯示包含所有修補程式群組的網格，其中顯示每個作業系統的修補程式數量，以及每個修補程式群組中的修補程式總數。 選取修補程式群組旁的核取方塊，然後視適當情況按一下包含或排除。 按一下清除，取消選取修補程式群組。

  未設定之作業系統的修補程式計數旁的 或 ，分別表示此組態已包含或排除這些修補程式。

  您可能會想要快速提醒自己哪個修補程式包含在群組中，然後再予以選取。 若要這麼做，請按一下網格中的數值連結，以在「修補程式群組」網格下方顯示相應的修補程式。 使用平台欄可確定作業系統，使用狀態欄可確定個別修補程式的狀態。

  顯示的狀態實際上是約略的狀態，此狀態根據的是此修補程式群組搭配目前修補程式組態的使用情況。 有多項因素可能會影響修補程式狀態。 例如，若您使用選取的廠商/產品搭配修補程式群組，則可能會從群組中篩選掉一或多個修補程式。

  • 作用中: 此修補程式群組已由此組態用來將修補程式提供給一般使用者裝置。 裝置是此修補程式組態相關聯原則的一部分。
  • 非作用中: 變成此修補程式狀態的可能原因有兩種。 (1) 此修補程式群組並未用來將修補程式提供給任何裝置。 (2) 指派至此修補程式群組的修補程式組態並未針對裝置設為作用中。
    可能發生的情況是，列出為非作用中的修補程式可能實際上為作用中。 若修補程式位於一個以上的修補程式群組，則其他修補程式群組中的一個群組可能已用來將此修補程式提供給裝置。
• 選取的廠商/產品 (僅 Windows): 若停用，則會依照按照嚴重性部署和按照修補程式群組部署選項所定義，部署中將會包含所有可用廠商和產品的修補程式。 當有新產品及修補程式變為可用時，它們會新增至部署。

若啟用，則會允許您指定可部署至端點的廠商、產品系列和產品版本。 未選取的廠商和產品將會從部署中排除。 這些項目存在於階層清單中。 如果勾選其中一個層級的核取方塊，則較低層級的所有核取方塊也會勾選。

• 全選: 勾選此核取方塊會選取清單中所有廠商和產品的所有目前可用修補程式。 日後才變成可用的新廠商及產品修補程式將會新增至部署中。

如果要排除少數項目，可以啟用全選，然後清除您要排除之項目的核取方塊。

• 選取個別廠商和產品: 僅會部署所選廠商、產品系列和/或產品版本的修補程式。 部署中會篩選掉未選取的廠商和產品。
  

重新開機行為

此區域可讓您設定是否可以在部署過程中要求重新開機目標裝置以及何時重新開機。 Ivanti Neurons 平台會集中處理重新開機要求，以防不同的 Ivanti Neurons 功能發生衝突。 這表示，可能不會在提出重新開機要求時立即執行。

macOS 在提示使用者部署作業系統更新後，會一律在作業系統修補程式部署後重新開機。 也可以為 Mac 組態選擇一律在更新後重新開機 (即使沒有套用作業系統修補程式)。

• 部署前重新開機 (僅限 Windows): 如果啟用，則會指定目標裝置在部署修補程式之前重新開機。 在安裝重要的新軟體之前讓裝置重新開機，是公認的最佳做法，尤其對於作業系統產品級別等大型軟體變更來說更是如此。 如果選取裝置重新開機，則可以指定登入使用者將收到的警告數量，而且可以選擇使用者對重新開機程序的控制程度。 您可以:
  • 選擇在數分鐘後強制重新開機
  • 警示使用者在他們登出後將會重新開機
  • 選擇當起始關機順序時，顯示倒數訊息的持續時間。 若要預覽使用者會看到的對話方塊，請按一下倒數範例。
  • 允許使用者將逾時倒數延長至指定的上限值。
  • 允許使用者取消逾時。 如果取消逾時，則在使用者登出或手動執行裝置重新開機之前，不會部署修補程式。
  • 允許使用者取消重新開機。 重新開機裝置之後，才會安裝修補程式。
• 部署後重新開機 (Windows 與 Linux): 如果啟用，則會指定在部署修補程式之後是否要求目標裝置重新開機。 有兩個選項:
  • 一律: 指定每一部裝置都要在部署修補程式之後重新開機。 這是部署修補程式時最安全的選項，因為大多數修補程式都需要重新開機才能完成，但有時可能會沒有執行裝置重新開機的必要。
  • 必要時: 指定將由 Ivanti Neurons 代理程式根據部署中包含的修補程式決定每一部裝置是否要重新開機。

  對於 Linux，如果您選取了部署選項部署選取的修補程式，則不僅會安裝與所選修補程式群組中諮詢關聯的套件，也會安裝與相依諮詢關聯的套件。 如果您之後將重新開機選項設定為需要時，這些相依項目也可能會導致重新開機。

如果您選取將裝置重新開機，則可以指定更多其他選項，例如登入使用者將收到的警告數量，以及使用者使用相關聯的原則對重新開機程序進行控制的程度。 如需詳細資訊，請參閱代理程式原則重新開機體驗。

此區域可讓您設定週期性排程執行的部署。

設定週期性索引標籤可讓您使用指定的週期性模式，定期排程在特定時間執行的部署作業。例如，可在每晚午夜、或每週六晚上 9 點、每個工作日晚上 11 點，或者使用者選取的任何其他時間和間隔執行部署。

• 如果錯過排程，則在重新開機時執行: 如果由於裝置關閉電源而錯過排程的部署，則會在重新開啟裝置電源後的一小時內執行部署。
• 部署修補程式: 您可以使用下列選項來排程修補程式部署:
  • 每日: 部署將在每週每一天，於您選擇的時間執行。
  • 每週: 部署將在一週中的指定日子，於您選擇的時間執行。
  • 每月: 部署將在每月的指定日期或固定星期幾，於您選擇的時間執行。 您也可以使用此選項，搭配 Microsoft 的週二修補程式日來排程部署。 例如，您可以將每月修補程式部署排程在週二修補程式日隔天執行，方法是勾選也在週二修補程式日後部署核取方塊，然後將週二修補程式日後延遲部署的天數指定為 1。
    新增延遲選項可讓您在每月排程中新增數天的延遲，以進一步提升排程的靈活度。例如，如果您的變更諮詢委員會固定在每個月的第一個星期三開會決定，要在接下來的星期六部署哪些修補程式，您可以選擇在第一個星期三部署並延遲 3 天。 這樣就能處理第一個星期三之後的星期六可能是當月的第一個或第二個星期六的情況。
  • 週二修補程式日: 將部署排程為與 Microsoft 每月定期修補活動 (稱為週二修補程式日) 同一天執行。

• 部署前暫存內容: 指定是否要在實際部署之前，先建立部署套件，並將部署套件複製到目標裝置。 您可以在部署執行前 1 - 23 小時的任何時間暫存內容。 在暫存程序開始時，代理程式會自動執行修補程式掃描，以便在部署前再次評估裝置的修補程式狀態。

  修補程式部署有一個例外，將在每月的第一天發生。 為了避免閏年問題和日曆中其他類似的例外情況，該介面會防止您在每月第一天的前一天暫存內容。 例如，如果排程在每月第一天上午 8:00 部署，則只能在部署前 1 到 8 小時暫存內容。

• 即將來臨的工作: 此表格顯示即將來臨的工作的清單。 它可讓您檢視預計在接下來 60 天內使用目前所選組態進行的所有事件。 請注意，此表中所提供的資訊只是預計將要發生的事件，有許多意外情況會使其中一或多個事件無法進行。

• 您可以為組織內 IT 支援團隊使用的所有廠商和產品建立修補程式組態。 然後，您可將此組態與涵蓋地區團隊的代理程式原則相關聯，例如 AMER IT 支援、EMEA IT 支援和 APAC IT 支援。
• 您可為週二修補程式日發佈的修補程式建立修補程式組態。 然後，您可將此組態與要用來測試修補程式部署的試驗代理程式原則相關聯。 如果部署成功，您可將該組態與主要代理程式原則相關聯，藉此實現更廣泛的發佈。
• 您可為筆記型電腦和工作站建立一個修補程式組態，並為伺服器裝置建立一個獨立的修補程式組態。 然後，您可將適當的修補程式組態與控管各個裝置類型的代理程式原則相關聯。
  

若要將目前的修補程式組態與一或多個代理程式原則相關聯:

1. 按一下選取原則。
2. 選擇所需的代理程式原則。
   為協助您選擇，有關可用原則的資訊詳列如下:
   • 原則: 代理程式原則的名稱。
   • 端點: 顯示目前使用該代理程式原則的端點數量。
   • 目前修補程式組態: 顯示目前與代理程式原則相關聯的修補程式組態的名稱。
3. 按一下確認。

關聯頁面會顯示目前與修補程式組態相關聯的所有代理程式原則的清單。

該表格會顯示所有版本的組態。 依預設，此表格包含下列欄，並按照版本欄排序。

• 版本: 版本的數字值。 第一次保存的組態將會是版本 1。 每次編輯並保存組態時，版本值將會遞增 1。 按下版本值將會開啟該特定版本的組態詳細資訊。
• 組態名稱: 修補程式組態的名稱。
• 保存日期: 保存組態編輯的日期與時間。
• 上次保存人員: 上次編輯此版本組態的團隊成員的姓名。 若您修改與修補程式組態相關聯的修補程式群組，便會將之視為修訂組態。

• 可用性: 顯示組態的目前狀態。 可能的值包括新增、擱置中、作用中、先前已啟用、草稿和失敗

• 說明: 保存組態編輯時所提供的註解。

• 還原至所選版本: 可讓您將修補程式組態還原至較舊版本。 請確保更新組態說明，然後在執行動作之後按一下保存。 還原後，與組態關聯的原則是最新原則。 修補程式群組未包含在還原動作中。 目前修補程式組態內包含的任何修補程式群組都將包含在已還原的修補程式組態中。 您無法還原到封存版本。

可讓您將表格內容匯出至 CSV 檔案。 您可以選擇匯出表格中的所有項目，或僅匯出選取的項目。

CSV 檔案是使用 ISO 標準建立的，且保存在本機「下載」資料夾中。 如果使用 Excel 檢視該檔案，可以將資料轉換成裝置的地區設定，以便以更易於閱讀的格式檢視。

任何套用至組態的排序或篩選均會保留在匯出的輸出中。 無論在「欄選擇器」中選取了哪些項目，所有欄均會包括在內。

選取您要匯出之組態的第一欄核取方塊。 或者，選取標頭保存格內的核取方塊來選取所有組態。

按一下匯出即可建立 CSV 檔案。