近期,微软发布了一系列月度动态更新,但主要面向 Windows 10 系统,包括 KB5065918、KB5065307 和 KB5065845。而 Windows 11 用户并未收到新的功能或稳定性补丁,原因在于上个月刚刚部署了最新的 开箱体验(OOBE)更新,编号为 KB5065848 和 KB5065847。
这类 OOBE 更新不常出现,通常用于优化设备首次启动时的设置流程,尤其是在企业部署和批量配置场景中具有重要意义。
然而,在此次更新之后,微软发现部分旧设备在通过移动设备管理(MDM)系统注册时可能出现异常。为此,微软专门发布了支持文档 KB5065083,解释问题成因并提出应对策略——这已是当天发布的第二份相关技术说明。
问题背景:MDM 注册中的版本错位
该问题主要影响运行较早版本 Windows 11 的设备,尤其是那些依赖 MDM 平台(如 Intune、VMware Workspace ONE 或其他第三方控制器)进行自动注册的企业设备。
核心问题是:
在安装特定 OOBE 更新后,设备发送给 MDM 服务的“应用程序版本号”会自动增加 1。
例如:
- 原始系统构建版本:
26100.4770 - 安装 OOBE 更新(KB5065848 / KB5065813)后,注册请求中的应用版本变为:
26100.4771
虽然仅差一个数字,但这可能导致 MDM 控制器误判设备状态,进而影响策略推送和注册流程。
为何要修改应用程序版本?
微软进一步说明,这一变化并非错误,而是有意为之的设计调整,目的是解决一个更深层的问题:恢复体验(Recovery Experience)的识别缺失。
具体来说:
- 某些 OOBE 更新包含了启用设备恢复功能所需的 CSP(Configuration Service Provider)策略。
- 如果这些更新安装失败,相关策略未正确部署,设备将无法显示恢复界面。
- 更严重的是,当前大多数 MDM 控制器无法主动判断设备是否具备恢复能力。
这就导致了一个风险:设备卡在初始设置界面,无法继续完成注册或进入桌面。
解决方案:用版本号作为“能力信号”
为了弥补这一检测空白,微软引入了一项新机制:
在设备注册请求中,人为将应用程序版本加 1,以此作为“该设备已具备恢复能力”的标志。
换句话说:
- 版本号未变 → 可能未成功安装 OOBE 更新,不具备恢复功能
- 版本号 +1 → 表明系统已准备就绪,可安全执行后续配置
企业 IT 管理员和 MDM 提供商应将此字段作为判断依据,动态决定是否推送恢复相关的 CSP 策略。
潜在风险与建议措施
微软警告,若忽略此变更,可能会引发以下问题:
- 设备反复尝试注册失败
- 用户被困在 OOBE 设置界面
- 恢复策略错误推送,造成配置冲突
为此,微软建议:
- MDM 解决方案提供商 更新其注册逻辑,支持基于“应用版本 +1”来识别恢复能力。
- 企业 IT 部门 在部署新版 OOBE 更新前,验证现有策略是否兼容此行为变更。
- 查阅官方支持文章 KB5065083 获取完整技术参数和示例数据包格式。
评论