これまでに、「Windows 10以降向けの更新リング」(旧Windows Update for Business《WUfB》)を使用したWindowsの更新プログラムの展開について一通り紹介しました。いよいよ、最初から目標にしていた「Windows Autopatch(Windows自動パッチ)」の評価に進みます。
Windows Autopatchとは
これまで説明してきた「Windows 10以降向け更新リング」を使用した、Windows 10/11デバイスの品質更新プログラムおよび機能更新プログラムの更新管理機能は、Windows 10の「Windows Update for Business(WUfB)」のポリシーを、IntuneのMDMポリシーで管理するものでした。更新リングを使用した段階的な更新プログラムの展開は、Windowsデバイスのグループ化と、管理者が作成した各グループ用の更新リングの延期設定の違いによって実装するものでした。Intuneのドキュメントや更新プログラムのサポート情報では、“Windows 10以降向け更新リングの更新機能=Windows Update for Business(WUfB)”と表現している場合があります。
Intuneには、Windows 11の登場に併せて、Windows 10/11 Enterprise E3以上向けにプレビュー機能として追加された「WUfB展開サービス(WUfB Deployment Service)」がありました。この機能は、機械学習に基づいて機能更新プログラムを徐々に組織全体にロールアウトする機能であり、クラウドで監視され、セーフガードホールドによる安全、確実な展開を行うものです。2024年9月以降、このWUfB展開サービスは、2022年7月(Windows Autopatch has arrived!|Windows IT Pro Blog)から既に一般提供されていたWindows Autopatchに統合されて(WUfB展開サービスの機能が)一般提供されました。しかし、これの機能の統合は段階的に行われており、Microsoft Intune管理センターのエクスペリエンスと公式ドキュメント、および日本語公式ドキュメントには用語が混在しているところがあります。その点には注意してください。“Windows Update for Business(WUfB)展開サービス⊂Windows Autopatch”(Windows Autopatchの一部)と考えても問題ないでしょう。また、IntuneとWindows Autopatchが異なるものである印象を受けるかもしれませんが、Windows AutopatchはIntuneで使用することがWindows 10/11更新管理機能の1つであることも付け加えておきます。
Windows 自動パッチとは?|Windows(Microsoft Learn)
新しいWindows Autopatchは、基本的にIntuneの更新リングと共通の技術(旧WUfBのMDMポリシー)に基づいていますが、これまでの管理者主導とは異なり、Microsoft主導でWindowsデバイスの更新プログラムを管理します。当初は、組織のデバイスを「テスト(Test)」「第一(First)」「高速(Fast)」「広範(Broad)」の更新リングにMicrosoftがランダムに割り当て、段階的に展開範囲を広げて更新プログラムの展開を完了するというものでした。現在は、最小で「テスト(Test)」と「最終(Last)」の2つの更新リングで使用することができ、対象のデバイスをグループで割り当てることができます。なお、「テスト(Test)」と「最終(Last)」の間には複数の動的リングを追加することができ、その場合、各動的リングへのデバイスの割当ては、管理者指定のパーセンテージに基づいてMicrosoftがランダムに行うようになっています。
また、Windows Autpatchは組織全体のセキュリティと生産性を向上させるため、Windowsだけでなく、Microsoft 365 Apps for Enterprise、Microsoft Edge、Microsoft Teamsの更新プログラムの自動化にも対応しています。しかし、Windowsの更新プログラムもそうなのですが、Intuneが更新プログラムを配布するわけではない(デバイスがIntuneから更新プログラムをダウンロードすることはない)ことに注意してください。
Windows Autopatchの前提条件
Windows Autopatchは、Windows Autopatchに登録されたWindows 10/11 Pro以上のエディションを実行するデバイスを管理することができます。ただし、Windows Autopatchを利用するには、以下のいずれかのライセンスが必要です。
- Microsoft 365 Business PremiumまたはA3以上のライセンス
- Windows 10/11 Enterprise E3以上のライセンス
2025年3月以前は、これらのライセンスによって使用できるWindows Autopatchの機能が異なりました。例えば、Windows Autopatchグループによる更新プログラムとドライバーの展開の管理、Microsoft 365 Apps for Enterpriseの更新プログラム、Microsoft Edgeの更新プログラム、Microsoft Teamsの更新プログラム、高度なレポートなどを利用するには、Windows 10/11 Enterprise E3以上のライセンスが必要でした。2025年4月からはこれらの機能差は削除され、サポートリクエストが利用できる(Enterprise E3以上)かできないか(Business Premium/A3以上)の違いになりました。
Windows 自動パッチ > 前提条件|Windows(Microsoft Learn)
関連:
ITニュース. Windows 11ホットパッチ正式提供開始で、最大3か月間、セキュリティ更新のための再起動が不要に(2025年4月4日)
機能のアクティブ化(2025年4月からは不要)
2025年3月まででは、Windows Autopatchを利用するために、IntuneでWindows Autopatch機能をアクティブ化して機能を利用可能にする必要がありました。Windows 10/11 Enterprise E3以上のライセンスを持っている場合、Microsoft Intune管理センターの「テナント管理|Windows Autopatch > 機能のアクティブ化」から、「自動パッチグループ」の「テナントでこれらの変更に同意する」をチェックし、「ライセンス認証する」ボタンをクリックします(画面1)。この手順は、2025年4月からは不要になったはずですが、既にこの方法でアクティブ化した後なので、私にそれを確認することはできません。
画面1 前提条件のライセンスを持っていれば、「テナント管理|Windows Autopatch」からWindows Autopatch機能をアクティブ化できる(2025年3月まで、4月以降はこの手順は不要)
Windows Autopatchが利用可能な場合、「テナント管理|Windows Autopatch」の下にいくつかのページが表示されるようになります。まず、「テナント管理|管理者の連絡先」を開き、「+追加」をクリックして、テナント管理者の電子メールアドレスや電話番号、優先言語(現在、日本語は利用できません)などを設定します(画面2)。
画面2 Windows Autopatch機能が利用可能な場合、「テナント管理|Windows Autopatch」の下に複数のページが表示されるされるようになる。まず、「テナント管理|管理者の連絡先」で管理者の受信可能な電子メールアドレスなどを設定する
続いて、「Autopatchグループ」を開きます。(Windows 10/11 Enterprise E3の)Windows Autopatchは、ここで「+追加」をクリックして、Autopatchグループを作成するところからスタートします(画面3)。
画面3 「テナント管理|Autopatchグループ」からAutopatchグループを作成して、作業を開始する
先に指摘しておきますが、Microsoft Intune管理センターのGUIは予告なく変更されることがあります。また、公式ドキュメントの説明との一致しない部分も多く出てきて混乱することがあります。自動パッチ/Autopach、解放/リリース、デプロイ/展開などのローカライズ表記のゆれも気になります。Windows Autopatchに必要なライセンスに関する最近の変更(機能差の削除)もそうで、どのライセンスがあればどの機能が使えるのか、あるいは使えないのか、断言できません。ただ言えるのは、Intune P1とEntra P1のライセンスだけでは、Windowsデバイスの更新管理には制約が大きいだろうということです。この連載ではWindows 10/11 Enterprise E3ライセンスを使用しているので、それを前提に実際に使用しながら評価していきます。
次回(中編)へ続く...
はじめてのIntune(1)|...|(16)前編|(17)中編|(18)後編
