セイテクエンジニアのブログかつて山市良と呼ばれたおじさんのブログ vol.102　Intuneで管理可能な更新プログラムと配信の最適化｜はじめてのIntune（13）

vol.102　Intuneで管理可能な更新プログラムと配信の最適化｜はじめてのIntune（13）

2025年04月21日配信
2025年04月23日更新
執筆者：山内和朗

　前回（vol.101）までに、「Windows 10以降向けの更新リング」（旧Windows Update for Business《WUfB》）を使用したWindowsの更新プログラムの展開について一通り紹介しました。次の目標である「Windows Autopilot（Windows自動パッチ）」や「ホットパッチ」に進む前に、ここまでにまだ説明していない重要な点をいくつか説明しておきます。

Intuneで管理できる更新プログラム

　Intuneで管理されるWindowsデバイスは、Windows Updateと同じMicrosoftのCDNから更新プログラムをダウンロードしてインストールします。Intuneで管理可能な更新プログラムは、具体的には次のようなものです。なお、Intuneにアップロードして配布するアプリ（Intune Win32アプリ）については、デバイスはIntuneのCDN（*-mscdn.manage.microsoft.com、実体はAzureのストレージ）からダウンロードすることになります。

Windows 10/11向け品質（累積）更新プログラム（Bリリース）、Windows 11 Enterprise 24H2向けホットパッチ（2025年4月から一般提供開始）
.NET Framework向け品質（累積）更新プログラム（Bリリース）
Windows 10/11向け機能更新プログラム（バージョンアップグレード）
Windows Defender Antivirusプラットフォームおよび定義の更新プログラム
Microsoft製品の更新プログラム
ドライバーとファームウェアの更新プログラム（ドライバーの更新ポリシーを使用した、承認または自動承認による展開）

　「Windows Server Update Services（WSUS）」の場合、Bリリースの翌週（C週）または翌々週（D週）にリリースされるオプションの累積更新プログラム（累積更新プログラムのプレビュー、C/Dリリース）の品質更新プログラムは自動では同期されませんが、Microsoft Updateカタログから手動でWSUSにインポートすることで、WSUSを使用して展開することができます。

メモ.　WSUSに更新プログラムをインポートできない｜Windowsトラブル解決

　Intuneの更新リングでは、C/Dリリース（最近はCとDを区別せずに、単にDリリースと呼ぶようです）の品質更新プログラムを展開することはできません。これは、Windows 10/11の旧Windows Update for Business（WUfB）をグループポリシーやローカルポリシーで管理する場合と同じです。Intuneで管理されているデバイスに対してC/Dリリースをインストールするには、旧WUfBの場合と同様に、Windows 10/11に追加された「利用可能になったらすぐに最新の更新プログラムを入手する」スイッチ、および関連する企業向けの「オプションの更新プログラムを有効にする」ポリシー（グループポリシーまたはMDMポリシー）を使用できます。このMDMポリシーは、「Windows 10以降」向けの「設定カタログ」で、「Windows Update for Business > オプションのコンテンツを許可する」を構成することで、デバイスに適用することができます（画面1）。このMDMポリシーを有効にすると、「利用可能になったらすぐに最新の更新プログラムを入手する」スイッチをオンにしたり、ユーザーに選択を許可したり、「設定｜Windows Update｜詳細オプション｜オプションの更新プログラム」から、C/Dリリースなどのオプションの更新プログラムをユーザーに手動で選択的にインストールさせることができます。

画面1　C/Dリリースを含むオプションの更新プログラムを利用可能にするためのデバイスに対する「構成」プロファイルポリシー

画面2　オプションの更新プログラムを許可していないデバイス（画面右、Intuneの標準）と、許可したデバイス。許可したデバイスには3月のDリリース（26100.3624）を手動でインストール済み

　Microsoft 365 Apps（サブスクリプション）、Microsoft Office（永続ライセンス）は、WSUSと同様にIntuneのWindows更新管理機能では管理できません。Microsoft 365 Appsのクライアントデバイスへのインストールやカスタマイズ（インストールするアプリの選択、更新チャネルの選択など）はIntuneを使用して行うことができますが、アプリの更新については、クイック実行（Click to Run《C2R》）テクノロジに基づいて、アプリ組み込みの更新機能により新しいバージョン/ビルド実行イメージがOffice CDNから提供されます。Intuneは、ストアアプリのインストールやMicrosoft Edgeのポリシー管理にも対応していますが、これらの更新についても、Windows組み込みのMicrosoft StoreやMicrosoft Edge組み込みのMicrosoft Edge Update機能により、Windows UpdateやOfficeとはまた別のMicrosoftのCDN経由で更新されます。

Microsoft Intune を使用して Windows 10/11 デバイスに Microsoft 365 アプリを追加する｜Microsoft Intune（Microsoft Learn）
Microsoft Intune を使って Microsoft Edge ポリシー設定を構成する｜Microsoft Edge（Microsoft Learn）

　なお、次回から評価していくIntuneのWindows Autopatchは、Microsoft 365 Apps、Microsoft Edge、Microsoft Teamsの更新に対応しています。ただし、これらのアプリの更新管理には、Windowsの更新プログラムとは別の仕組み（設定カタログの展開による更新チャネルやインストール期限の設定）が使用されます。

Intuneを使用したドライバーとファームウェアの展開

　これまでハードウェアベンダーは、WSUSの「ドライバー」および「ドライバーセット」（Windows Server 2016以降のWSUS）の分類を使用して、WSUSを通じてドライバーを提供することができました。しかし、Microsoftは2025年4月18日をもって今後（時期は未定）、WSUSのドライバー同期は終了する予定です。Microsoft Updateカタログでは引き続きドライバーは利用可能ですが、WSUSへのインポートはできなくなります。

Deprecation of WSUS driver synchronization｜Windows IT Pro Blog（Tech Community）
更新情報:
2025/04/08　2025年4月のドライバー同期終了は延期されました。 Continuing WSUS support for driver synchronization｜Windows IT Pro Blog（Tech Commmunity）

　Intuneでは、「ドライバー更新プロファイル」ポリシーおよび「Windows Autopatch」の一部としてドライバーとファームウェアの更新プログラムを同期することができ、管理者による承認または自動承認でデバイスに展開することができます（画面3）。なお、ドライバーとファームウェアの更新プログラムを展開するには、Microsoft 365 Business PremiumまたはA3以上、またはWindows 10/11 Enterprise E3以上のライセンスが必要です。

画面3　Intuneの手動承認によるドライバーの展開を可能にする「ドライバー更新プロファイル」ポリシー

配信の最適化

　WSUSは、アップストリームサーバーやダウンストリームサーバーを設置することで、インターネットおよびイントラネットのネットワークトラフィックを最適化できます。また、クライアントはWSUSサーバーにアクセスできればよいため、インターネットへのアクセスが遮断されたデバイスにも更新プログラムを展開することができます。

　これに対して、Intuneの管理対象のデバイスは、各デバイスがWindows Update/Microsoft Updateにアクセスできることが必須です。インターネットへのアクセスが遮断されたデバイスを管理対象にすることはできません。Microsoft Edge、Microsoft Store、およびMicrosoft 365 Appsについても、アプリや更新プログラムを取得するには、それぞれのMicrosoft CDNにアクセスできる必要があります。

　Microsoftは、Windows Update、Microsoft Edge、Microsoft Store、Microsoft 365 Apps、およびIntune Win32アプリ用のすべてのMicrosoft CDNに対するネットワーク最適化のためのキャッシュ専用サーバーとして、現在、「Microsoft Connected Cache for Enterprise（&Education）」をプレビュー提供中です。プレビューの制限はありますが、導入方法など詳しくは、以下の連載記事を参照してください。

vol.76　オンプレミスWSUSの代替になるか？ Microsoft Connected Cache for Enterprise（Preview）をプレビュー｜Windows Server 2025大特集（13）

　Intuneでは、「構成」プロファイルポリシーとして、Microsoft Connected Cache for Enterpriseのサーバーをデバイスに設定することができます（画面4）。実は、今回のIntuneの評価環境には、Microsoft Connected Cache for Enterpriseが構成済みであり、機能更新プログラムおよび品質更新プログラムには、そこに蓄積されたキャッシュが有効に利用されています（画面5）。なお、Microsoft Connected Cache for Enterpriseを使用するには、Windows 10/11 Enterprise E3以上のライセンスが必要です。

画面4　Microsoft Connected Cache for Enterpriseのキャッシュサーバーの指定には、「Windows 10以降」の「配信の最適化」テンプレートまたは「設定カタログ」を使用して構成できる

画面5　2025年3月のキャッシュサーバーの使用状況。上旬のトラフィックはWindows 11バージョン24H2の機能更新プログラム由来、その後、2つの更新リングにより3月11日と14日に使用率が上昇しているのがわかる

その後、Intuneの環境でMicrosoft 365 Appsの展開やWin32アプリの展開などを行ったところ、これらのトラフィックについてもMicrosoft Connected Cache for Enterpriseのキャッシュ対象になっていることを確認できました（画面5）。

画面6　Microsoft 365 Appsのインストールや更新（緑色のバー）、IntuneによるWin32アプリの配布（Intuneのクラウドストレージから配信、ピンク色のバー）にもキャッシュサーバーが使用されている

重要: IntuneでWindows Serverの更新プログラムは管理できない

　Intuneの更新リングを使用した更新プログラムの管理機能は、Windows 10/11^*1を前提としたものであり、IntuneだけでWindows Serverを管理することはできません（Microsoft Configuration Managerとの共同管理では可能）。これは、Windows ServerとWindowsの両方の更新プログラムを管理できる、オンプレミスのWSUSとの大きな違いです。

更新リングのトラブルシューティング > 前提条件｜Microsoft Intune（Microsoft Learn）
*1　2022年10月22日、Intune は Windows 8.1を実行しているデバイスのサポートを終了しました。これらのデバイスでは技術サポートや自動更新は利用できません。
IntuneのWindows 8.1のデバイスコンプライアンス設定｜Microsoft Intune（Microsoft Learn）

　Windows Serverの更新プログラム管理ついては、Microsoftは「Azure Update Manager」を提供しています（画面7）。Azure VMでは無料で利用でき、Azure以外のWindows Serverについては有料のAzure Arc対応サーバー（Arc-Enabled Server）を介して利用可能です。Intuneでは、Windows 11のホットパッチ（2025年4月から一般提供開始）機能を利用できますが、Windows ServerのホットパッチはAzure Update Managerで提供されます（一部プレビュー）。なお、ホットパッチについては、前提条件や設定方法をこの連載で取り上げる予定です。また、Azure Update Managerについては、また別の機会に取り上げる予定です。

画面7　AzureおよびAzure以外のWindows Server、Linuxの更新管理に対応したAzure Update Manager