セイテクエンジニアのブログかつて山市良と呼ばれたおじさんのブログ vol.100　更新リングを使用した品質更新プログラムの展開（前編）｜はじめてのIntune（11）

vol.100　更新リングを使用した品質更新プログラムの展開（前編）｜はじめてのIntune（11）

2025年04月14日配信
2025年04月23日更新
執筆者：山内和朗

　前回（vol.99）は、「Windows 10以降向け更新リング」を使用して、古いOSバージョンを実行しているWindowsデバイスにWindows 11バージョン24H2の機能更新プログラムを自動展開してアップグレードし、Intuneの管理対象のすべてのWindowsデバイスを最新バージョンに揃えました。今回は、その後の2025年3月11日（米国時間）リリースの月例の品質更新プログラムの展開です。つまり、先月の更新プログラムの展開を、展開完了までをレポートするために、1か月遅れでお送りします。

2つの更新リングを使用した段階的な品質更新プログラムの展開

　現在、Intuneの評価環境には、WindowsデバイスとしてWindows 11 Enterpriseを実行する4台のデバイスが登録済みになっています（画面1）。これらのデバイスは、Entra参加デバイスが1台とEntraハイブリッド参加（旧称、Hybrid Azure AD Join）デバイスが3台で、Intuneの動的グループを使用してグループ化しました。また、Windows 10以降向け更新リングとして、「UpdateRingForEntraJoinDevices」と「UpdateRingForEntraHybridJoinDevices」の2つを作成してあります（画面2）。

画面1　Intuneに登録されたWindowsデバイス。「INTUNECL01」はEntra参加デバイス、残りの3台はEntraハイブリッド参加デバイス。前回までに、OSバージョンはWindows 11 Enterpriseバージョン24H2（2025年2月のOSビルド21600.3194）に揃った

画面2　各更新リングの設定。「UpdateRingForEntraJoinDevices」は先行展開のため延期期間なし（0日）で品質更新プログラムを展開、「UpdateRingForEntraHybridJoinDevices」はブロード展開用に品質更新プログラムを2日間遅延させている（検証のため期間は短め）

　Intuneへの参加方法でグループ分けしましたが、ここでは規模は小さいながらも、「UpdateRingForEntraJoinDevices」を先行（パイロット）展開用（1台）、「UpdateRingForEntraHybridJoinDevices」をブロード（全社）展開用（3台）として利用します。今回は検証のため延期期間は短めに2日間としていますが、通常なら7日間や14日間など、先行展開の評価期間を見込んで設定してください。前回までに、Windows 10 ProやWindows 11 Proを実行していたオンプレミスのActive Directory参加デバイスは、後者の更新リングによりWindows 11 Enterpriseバージョン24H2にアップグレードされました。

毎月第2火曜日に品質更新プログラムのリリースのデプロイ始まる

　Microsoftは毎月第2火曜日にセキュリティ修正を含む品質更新プログラムをリリースします。時差の関係で日本では翌水曜日の早朝に更新プログラムが利用可能になります。しかし、3月11日（日本時間の第2火曜日）にMicrosoft Intune管理センターの「デバイス｜Windowsの更新プログラム」の「リリース」タブは、2月の品質更新プログラムを示す「2025.02 B」から「2025.03 B」に切り替わりました。もちろん、まだ3月の品質更新プログラムは利用可能になっていません（画面3）。

画面3　ローカル時間の第2火曜日にその月の品質更新プログラムのリリースサイクルが始まる、日本ではまだその日に品質更新プログラムは利用可能になっていない

　3月のリリースをさらに展開すると、各更新リングの開始状態を確認できます。2日の遅延設定を含む更新リング「UpdateRingForEntraJoinDevices」のデプロイ開始は3月13日となっています（画面4）。旧Windows Update for Business（WUfB）の延期設定はMDMポリシー設定（グループポリシーの「品質更新プログラムをいつ受信するかを選択してください: 受信を延期する日数」と同等の設定）としてデバイスに適用されるため、実際に更新プログラムのデプロイが始まるのは日本時間3月14日からです。これらの日数のずれにはご注意ください。Microsoft Intune管理センターではデプロイ開始が1日早く表示されますが、エンドポイントでは期待通りに動作するはずです。

画面4　2日の延期設定を行った更新リングのデプロイ開始は3月13日になっているが、実際には14日から（エンドポイントでは更新プログラムが利用可能になってから＋延期期間に開始）

先行展開の結果をレポートで確認し、必要に応じて対応する

　Intuneの管理対象のWindowsデバイスには、デバイス登録時（最初の15分は3分毎、その後の2時間は15分毎）、スケジュールされたチェックイン（8時間毎）、ユーザー主導（Windowsへのサインインなど）/管理者主導（Microsoft Intune管理センターからデバイスの「同期」を実行）のチェックイン^*1でポリシー（プロファイル設定）が更新され、デバイス情報が同期されます。プロファイル設定が正しく設定されているかどうかは、Microsoft Intune管理センターの「デバイス｜Windowsの更新プログラム > 監視（更新プログラムごとのリングの展開の状態）」から確認できます。

　更新リングの設定に基づいた更新プログラムのインストールは、アクティブ時間外（既定のアクティブ時間は午前8:00～午後5:00）に自動的に行われ、自動的に再起動されるかユーザーに再起動が通知されます。なお、更新プログラムの期限を設定することで、再起動の猶予や期限前の再起動を制御することができます。今回、検証のためデバイスをオンラインのままにしておいたところ、3月12日2:45に更新プログラムのダウンロードとインストールが始まり、3:00時に再起動が行われ、3:02にインストールが終了していました（画面5）。ユーザーはアクティブ時間内であっても、手動でWindows Updateを実行すれば、デバイスが含まれる更新リングで利用可能になっている品質更新プログラムのインストールを開始することができます。

*1　Microsoft Intune のポリシーとプロファイルに関する一般的な質問、回答、シナリオ。｜Microsoft Intune（Microsoft Learn）

画面5　3月の品質更新プログラムのインストール履歴とWindows Updateと再起動に関連するイベントログ（ソース「WindowsUpdateClient」のイベントID「43」「19」、ソース「Kernel-General」のイベントID「12」「13」）

画面5　3月の品質更新プログラムのインストール履歴とWindows Updateと再起動に関連するイベントログ（ソース「WindowsUpdateClient」のイベントID「43」「19」、ソース「Kernel-General」のイベントID「12」「13」）

　更新リングに対する更新プログラムのインストール状況は、Intuneのレポート機能を使用して確認することもできます。それには、「レポート｜Windowsの更新プログラム > Windows Update配布レポート（Windows品質更新プログラムの配布）」を開き、スコープ（Defaultなど）を選択して、「再生成」ボタンをクリックします。すると、各月のリリースのデプロイ状況が表示されます。日本時間3月12日の時点では対象のデバイスは25％（4台中1台）で（画面6）、レポートをさらに進めていくと、どのデバイスが更新されているか、確認することができます（画面7）。

画面6　日本時間3月12日（3月の品質更新プログラムが利用可能になった日）時点では、先行更新リングに含まれる1デバイス（25％）へのデプロイが開始