セイテクエンジニアのブログかつて山市良と呼ばれたおじさんのブログ vol.99　更新リングを使用した機能更新プログラムの展開｜はじめてのIntune（10）

vol.99　更新リングを使用した機能更新プログラムの展開｜はじめてのIntune（10）

2025年04月10日配信
2025年04月23日更新
執筆者：山内和朗

　Intuneを導入してからこれまでに、「Entra参加（Entra Join）」（旧称、Azure AD Join）と、オンプレミスのActive Directoryドメイン参加デバイスの「Entraハイブリッド参加（Entra Hybrid Join）」（旧称、Hybrid Azure AD Join）の2つの方法でWindowsデバイスをIntuneに登録し、管理できるようにしました。今回から、毎月の品質更新プログラムと年次の機能更新プログラムの管理について検証していきます。最終的には、Windows Autopatchを導入する予定ですが、その前に、従来の「Windows 10以降向け更新リング」を使用する方法を見てみましょう。

WSUSからIntuneへの更新管理基盤の移行

　この連載の「はじめてのIntune」シリーズでは、オンプレミスの更新管理基盤である「Windows Server Update Services（WSUS）」を、クラウドベースのIntuneに移行することを想定した検証を行っています。前回、オンプレミスのActive DirectoryドメインのクライアントをEntraハイブリッド参加の方法でIntuneの管理下に置きましたが、それ以前はWindows Server 2025で構築したWSUSサーバーの管理下にありました（画面1、画面2）。

画面1　オンプレミスのWSUSで管理されていた時の3台のWindows 10/11クライアント

画面2　WSUSの管理下にあった1台のOS情報と、Windows Update関連のポリシー（グループポリシー）設定

　オンプレミスのクライアント「INTULECL02」「INTUNECL03」「INTULECL04」（コンピューター名はIntuneへの移行を考慮して付けた名前）は、それぞれWindows 11 Proバージョン23H2（OSビルド22631.48990）、Windows 10 Proバージョン22H2（OSビルド19045.5487）、Windows 11 Proバージョン24H2（OSビルド26100.3194）を実行するデバイス（VM）です。WSUSクライアントとしての設定を削除（グループポリシーのGPOリンクを解除）し、Entraハイブリッド参加でIntuneに自動登録すると、各OSは同一バージョンのEnterpriseエディション（Windows 10/11 Enterprise E3ライセンスにより）に切り替わり（※アップグレードインストールが行われるわけではありません）、モバイルデバイス管理（MDM）でポリシー管理されるように変更されました（画面3、画面4）。

　ちなみに、WSUSにはWindows 11のOSをWindows 10と誤表示する問題（仕様）がありますが（画面1の「オペレーティングシステム」列を参照）、Intuneは詳細なデバイス情報を取得できます。なお、Intuneでデバイスの詳細な情報を取得する（Intuneの構成管理機能）には、「デバイスの管理 > 構成」でプラットフォーム「Windows 10以降」の「プロパティカタログ」を作成しておく必要があります。

画面3　Entraハイブリッド参加によりIntuneに自動登録された「INTULECL02」「INTUNECL03」「INTULECL04」デバイス

画面4　Entraハイブリッド参加後のWindows Update関連のポリシー（MDMポリシー）設定

Windows 10以降向け更新リングを使用した更新管理の基本

　WSUSによる更新管理では、WSUSに同期された更新プログラムを管理者が手動または自動で承認し、すべてのコンピューターまたは特定のコンピューターグループに展開するスタイルで行います。以前（Windows 7以前）は、インストールが必要な更新プログラムを管理者が判断し、問題のある更新プログラムや不要な更新プログラムをクライアントに展開しないという使い方もできました。しかし、現在のWindowsでは、品質更新プログラムや機能更新プログラムの提供時期を一時停止する、あるいは遅らせるために、この承認に基づいた展開を利用していると思います。

　この連載で何度か説明しましたが「Windows 10以降向け更新リング（Windowsの更新プログラムの更新リング）」による更新管理は、管理者（Intune管理者）が、1つ以上の更新リングを作成して、段階的にクライアントデバイスを更新していくスタイルになります。小規模なデバイスを含む更新リングと、それ以外のより多くのデバイスを含む更新リングを作成し、小規模な更新リングには迅速に品質更新プログラムや機能更新プログラムを展開し、残りの更新リングへの更新プログラムの提供はある程度の期間をおいてから開始するように構成します。もし、先行の更新リングで更新プロラムの問題が確認された場合は、後続の更新リングを一時停止することで、問題の影響を回避することができます。この連載のvol.95では、クライアントデバイスの対象化のために、Entra参加デバイスとEntraハイブリッド参加デバイスを動的グループでグループ化する方法を紹介しました。

vol.95　基本のIntuneタスクを学ぶ－Entra参加デバイスの管理（後編）｜はじめてのIntune（6）

　現在、Entra参加デバイス1台（INTUNECL01）とEntraハイブリッド参加デバイス3台（INTUNECL02、INTUNECL03、INTUNECL04）がIntuneに登録済みとなっています（前出の画面3）。更新リングの作成の一例として、Entra参加デバイス向け更新リング（UpdateRingforEntraJoinDevices）と、Entraハイブリッド参加デバイス向けの更新リング（UpdateRingForEntraHybridJoinDevives）を作成し、動的グループを使用して該当するデバイスに割り当てました。Entra参加デバイス向け更新リングは、延期なしで品質更新プログラムと機能更新プログラムを展開する先行（パイロット）展開用の更新リングとして、Entraハイブリッド参加デバイスには品質更新プログラムをリリースから2日延期、機能更新プログラムをリリースから30日延期して展開するブロード（全社）展開用の更新リングとして構成しました（画面5、画面6）。

画面5　Entra参加デバイス向けの更新リング（UpdateRingforEntraJoinDevices）と、Entraハイブリッド参加デバイス向けの更新リング（UpdateRingForEntraHybridJoinDevives）（※UpdateRingForBroadは未使用のため後で削除）

画面6　Entraハイブリッド参加デバイス向けの更新リング（UpdateRingForEntraHybridJoinDevives）に構成されたポリシー

　Entraハイブリッド参加デバイスは、参加時点で最新の品質更新プログラムがインストール済みの状態でした。Windows 11バージョン24H2はリリースから既に30日以上経過しているため、Entraハイブリッド参加デバイス向けの更新リングの設定に従って、まだWindows 11バージョン24H2にアップグレードされていないデバイス（INTUNECL02、INTUNECL03）がアクティブ時間外に自動的にアップグレードされるはずです。更新リングを2025年3月7日に作成し、VMを稼働中のまま放置しておいたところ、週明けの3月10日にWindows 11バージョン24H2にアップグレード（Windows 10デバイスは再起動待ちの状態）されていることを確認できました（画面7）。品質更新プログラムや機能更新プログラムの展開状況（成功、失敗）については、Intuneの「レポート｜Windowsの更新プログラム」で生成できる各種レポート（Windows機能更新プログラムのレポート、Windows Update配布レポートなど）を使用して確認することもできます（画面8）。

E3
画面7　更新リングのポリシー設定に従い、Windows 10バージョン22H2とWindows 11バージョン23H2がWindows 11バージョン24H2に自動アップグレードされた

画面8　Windows Update配布レポート

機能更新プログラムポリシー、優先ポリシー、ドライバー更新ポリシーの用途

　Intuneの「デバイス｜Windowsの更新プログラム」には、「更新リング」タブの他に、「機能更新プログラム」「品質更新プログラム」「ドライバー更新プログラム」タブが存在します。「機能更新プログラム」で作成できる「機能更新プログラムポリシー」や、「品質更新プログラム」で作成できる「優先ポリシー」を使用しても、機能更新プログラムや品質更新プログラムを管理できそうに見えます。

　しかしながら、基本は「更新リング」タブで作成する「Windows 10以降向けの更新リング」による更新管理です。または、必要なライセンス（Microsoft 365 Business Premium/A3以上、Windows 10/11 Enterprise E3以上）を持っているのであれば、より新しい「Windows Autopatch（Windows自動パッチ）」を利用できます。

　「機能更新プログラム」タブに作成できる「機能更新プログラムポリシー」は、特定のWindows 10/11バージョンの機能更新プログラムをすぐに、または段階的に、またはオプションとして展開するのに使用できるほか、「Windows 10以降向けの更新リング」組み合わせて使用することで、機能更新プログラムポリシーで指定されている値よりも新しいWindowsバージョンをデバイスが受け取ることを禁止することができるようです。この連載では最初に更新リングを使用してWindows 10デバイスをWindows 11バージョン24H2にアップグレードしましたが、Windows 10からWindows 11へのアップグレードには機能更新プログラムポリシーを使用することもできます。

　「品質更新プログラム」タブに作成できる「優先ポリシー（迅速なプロシー、Expedited Policy）」は、その月の品質更新プログラムに極めて重要度の高いセキュリティ修正が含まれる場合など、「Windows 10以降向けの更新リング」の現在の設定を変更せずに、品質更新プログラムを迅速に展開するために使用します。また、「Windows品質更新プログラムポリシー（プレビュー）/Windows quality update policy」は、2025年4月から一般提供されたWindows 11バージョン24H2向け「ホットパッチ」に対応するものです（ホットパッチについては、この連載で取り上げる予定です）。この記事の執筆時点では一般提供後も一部に「（プレビュー）」表記が残っていました。

ITニュース.　Windows 11ホットパッチ正式提供開始で、最大3か月間、セキュリティ更新のための再起動が不要に（2025年4月4日）

　「ドライバー更新プログラム」タブで作成できる「ドライバー更新ポリシー」は、ドライバーやファームウェアを管理者の手動または自動承認に基づいてクライアントデバイスに展開する機能です。なお、ドライバーの更新はWSUSでもサポートされていましたが、Microsoftは2025年4月18日をもって今後（時期は未定）、WSUSのドライバー同期を終了する予定です。^*1
*1　Deprecation of WSUS driver synchronization｜Windows IT Pro Blog（Tech Community）

更新情報:
2025/04/08　2025年4月のドライバー同期終了は延期されました。 Continuing WSUS support for driver synchronization｜Windows IT Pro Blog（Tech Commmunity）

一部のレポートおよびWindows AutopatchのためのEnterprise E3/E5ライセンスの検証

　一部のレポート（機能更新プログラムのデバイス準備レポートや互換性リスクレポート、画面9）、Windows Autopatch、Windows 11のホットパッチ、ドライバーとファームウェアの更新など、Intuneの一部の機能を利用するには、Windows診断データの有効化と、Windows 10/11 Enterprise E3以上（E3またはE5）ライセンスが必要になります。Microsoft 365 Business Premium/A3以上でも利用できる機能もありますが、ホットパッチのためにはWindows 10/11 Enterprise E3以上が必要です。

　Windows 10/11 Enterprise E3以上のライセンスをお持ちの場合は、Intune管理センター（https://intune.microsoft.com/）で「テナント管理｜コネクタとトークン｜Windowsデータ」を開き、「Windowsデータ」と「Windowsライセンスの検証」にある2つのスイッチをオンにします（画面9）。

画面9　機能更新プログラム展開前の機能更新プログラムのデバイス準備レポート（展開後はすべて“アップグレード済み”に）。このレポートなど、Intuneの一部の機能には、Windows診断データの有効化と、Windows 10/11 Enterprise E3以上のライセンスが必要