前回(vol.94)は、Entra参加デバイスをIntuneに登録するところまでを、その前提から事前準備作業、デバイス参加設定までを含めて確認しました。今回は、Entra参加デバイスにWindowsの品質更新プログラムを配布する手順について説明します。
※ Windows Update for Business展開サービス=Windows Autopatchのような記述をしていましたが、誤解を与える可能性があるため表現を変更しました。
IntuneのWindows更新管理の基本は、「更新リング」ポリシーを使用した旧WUfBのIntuneによる管理
具体的な手順を説明する前に、Windows 10/11やIntuneで使用する用語について触れておきます。Windows 10では毎月1回以上の品質更新プログラムと、半年に一度(当時)の機能更新プログラム(バージョンアップグレード)が提供され、ユーザーはMicrosoftに完全に任せるか、手動でWindows Updateを実行するかのいずれかでした。企業のデバイスについては、「Windows Update for Business(WUfB)」と呼ばれるポリシー(ローカルポリシーやグループポリシー)を使用して、品質更新プログラムや機能更新プログラムを受け取るまでの遅延日数や、アップグレード対象のバージョン指定を行うことができました。
IntuneにおけるWindows 10以降の更新プログラムの管理は、このWUfBをIntuneで管理するものでした。*1 その際、「更新リング」と呼ばれるデバイスのグループを作成し、異なるポリシー設定で制御することができました。例えば、小規模なデバイス軍の更新リングに対しては品質更新プログラムや機能更新プログラムを遅延なく提供し、その結果を踏まえて、残りのデバイス群にブロード展開する、あるいは先行展開で問題が判明したらブロード展開を一時停止するといった運用ができました。
*1 Windows Intuneと呼ばれていた頃の、Windows 10登場以前のIntuneは、WSUSと似た承認ベースの更新管理だったと記憶しています。参考: 2011年頃のWindows Intuneのスクリーンショット
ここからややこしくなるのですが、Windows 11のリリースに併せて、IntuneにWindows 11向けの「Windows Update for Business展開サービス(Deployment Service)」という新しい機能更新プログラムの展開機能が提供されました。これは機械学習に基づいて、セーフガードテクノロジで保護しながら、段階的に(徐々に)組織全体に機能更新プログラムを展開する機能です。Windows 10のWUfBと同じ機能(ポリシー設定)はWindows 11にも引き継がれましたが、Windows 11ではWUfBとは呼ばれなくなりました。例えば、Windows 10のポリシーの場所「Windows Update for Business」は、Windows 11では「Windows Updateから提供される更新プログラムの管理」に表現が変更されました。
Windows 10のWUfBと、IntuneのWUfB展開サービスが同時期に存在したことがユーザーを混乱させたのでしょう。Microsoftは2024年9月、WUfB展開サービスの機能を2022年7月から一般提供されていた「Windows Autopatch(Windows自動パッチ)」に統合しました。WUfB展開サービスがWindows Autopatchという名称に変更されたというわけではなく、その一部に組み込まれました。公式ドキュメントにはまだ、旧い名称や新しい名称が混在しているところがあるため、混乱しないように、経緯を知っておくのは大事だと思い最初に触れました。以降では、Windows 10のWUfBとのことを、旧WUfBと呼ぶことにします。
Intune で Windows 10 および Windows 11 ソフトウェア更新プログラムを管理する|Microsoft Intune(Microsoft Learn)
動的グループでEntra参加デバイスを対象化する
今回は旧WUfBの機能を使用した、IntuneによるWidowsデバイスの更新管理になります。現在、デバイスは1台だけなので、1つの更新リングを作成し、旧WUfBの設定を行って、そのデバイスに割り当てれば終わりです。しかし、複数台のデバイスが存在し、今後も増えることを想定して設定してみましょう。それには、動的にメンバーシップが自動管理される「動的グループ(ダイナミックグループ)」を利用することをお勧めします。
デバイスの動的グループを作成するには、Microsoft Intune管理センター(https://intune.microsoft.com/)の「グループ」を開き、「新しいグループ」をクリックして、「メンバーシップの種類: 動的デバイス」を指定したセキュリティグループ(グループ名: GroupForEntraJoinDevices)を作成します(画面1)。また、「動的なデバイスのメンバー」の「動的クエリの編集」をクリックして、「動的メンバーシップルール」の編集画面で次のようなクエリを設定します(画面2)。このクエリは、結合の種類「Microsoft Entra Joined」の「登録済み」デバイスを識別するものです。
| (device.deviceTrustType -eq "AzureAD") and (device.profileType -eq "registeredDevice") |
画面1 Entra参加デバイス用のグループ「GroupForEntraJoinDevices」を作成する
画面2 Entra参加かつ登録済みデバイスを識別するための動的クエリ
「動的メンバーシップルール」の編集画面の「ルールの検証」タブに切り替えると、登録済みのデバイスを追加することで、この動的グループのメンバーとして評価されるか、しないかをテストすることができます(画面3)。
画面3 動的クエリのルールを検証する
今後環境を構築しておくことになりますが、Entraハイブリッド参加のデバイスのための動的グループ(グループ名: GroupForEntraHybridJoinDevices)も作成しておきました(画面4)。動的クエリは、次のようにすることで識別できるはずです。
| (device.deviceTrustType -eq "ServerAD") and (device.profileType -eq "registeredDevice") |
画面4 Entraハイブリッド参加かつ登録済みデバイスを識別するための動的クエリ
この連載では取り上げませんが、ワークプレース参加の個人所有デバイスについては、次のような動的クエリを使用して識別することができるでしょう。
| (device.deviceOwnership -eq "Personal") |
更新リングポリシーを作成する
旧WUfBを使用して、品質更新プログラムと機能更新プログラムを管理するには、「更新リングポリシー(Windowsの更新プログラムのプロファイル、Windows 10以降向け更新リング)」を作成し、対象のデバイスのグループ(先ほど作成した動的グループ)に割り当てます。
Microsoft Intune管理センターの「デバイス」の「更新プログラムの管理 > Windowsの更新プログラム」(既に更新リングがある場合は「更新リング」タブ)を開き、「+プロファイルの作成」をクリックします。「Windows 10以降向け更新リングの生成」が開くので、「基本」タブで更新リングの名前(例: UpdateRingForEntraJoinDevices)を入力し、「②更新リングの設定」タブで品質更新プログラムや機能更新プログラムの延期日数、Windows 10からWindows 11へのアップグレード許可、自動更新の動作(アクティブ時間の設定、メンテナンス時の自動インストールなど)などを設定して、「③割り当て」タブで「グループを追加」をクリックし、Entra参加デバイス用に作成した動的グループを選択します(画面5、画面6)。最後に、「④確認および作成」タブで「作成」ボタンをクリックします。
画面5 更新リングを作成し、旧WUfBの設定(延期期間やWindows 11アップグレード)を行う
画面6 更新リングに、Entra参加デバイス用に作成した動的グループを割り当てる
以上の設定により、毎月の更新プログラムのリリース(2025.02 B、2025.03 Bなど)にデプロイ状態が監視され、その結果をレポートで確認できるようになります(画面7)。
画面7 更新リングの実行状態
Entra参加デバイスを例に、従来の方法(旧WUfB)を使用したWindowsの更新プログラム管理について見てきました。運用環境では、延期期間の異なる複数の更新リングを使用して、まず小規模なデバイスグループに先行的に展開し、その結果を踏まえてより規模の大きいデバイスグループに展開するのが一般的です。更新リングを分けることで、先行の更新リングや、Microsoftの公開情報で機能更新プログラムや品質更新プログラムに重大な問題を確認したら、残りのデバイスへの展開を一時停止することができるからです(画面8)。管理者は「アンインストール」を実行して、更新リングでインストールされた更新プログラムをアンインストールしてデバイスの状態をロールバックすることもできます。なお、Windows 10/11 Enterprise E3またはE5のライセンスを持つ場合、Microsoft 365管理センター(https://admin.microsoft.
com/)の「正常性 > Windows のリリースの正常性」ページが提供され、毎月の品質更新プログラムや機能更新プログラムに関する重要な情報を得ることができます(画面9)。
画面8 先行展開した更新リングやMicrosoftの公開情報で問題を確認したら、ブロード展開を一時停止する
画面9 Windows 10/11 Enterprise E3/E5のライセンスには、Microsoft 365管理センターの「Windowsのリリースの正常性」ページへのアクセス権が含まれる → Windows 商用ライセンスの概要|Windows(Microsoft Learn)
次回からは、オンプレミスのActive Directoryドメイン参加デバイスをIntuneで管理するための環境を構築します。
はじめてのIntune(1)|...|(4)|(5)前編|(6)後編
