かつて山市良と呼ばれたおじさんのブログ

セイテクエンジニアのブログ  かつて山市良と呼ばれたおじさんのブログ  vol.106 Windows Autopatch(中編)|はじめてのIntune(17)

 

 

vol.106 Windows Autopatch(中編)|はじめてのIntune(17)

2025年05月15日配信
2025年05月15日更新
執筆者:山内 和朗

 前回(vol.105)は、Windows 10/11 Enterprise E3以上向けの「Windows Autopatch」の機能をIntuneでアクティブ化しました(2025年4月以降はアクティブ化手順は不要)。今回はその続きです。

 

更新リングのクリーンアップ(ある場合)

 

 これまで2つのWindows 10以降向け更新リングを使用して、4台のWindowsデバイス(Windows 11 Enterpriseバージョン24H2)の更新を管理してきましたが、同じWindowsデバイスをWindows Autopatchによる管理に切り替えたいと思います。そのために、既に作成、運用中の更新リングや機能更新プログラムのポリシー、品質更新プログラムのポリシー、ドライバー更新プロファイルをすべて削除し、4台のデバイスを一旦、更新管理の対象から外しました(画面1)。


画面1 更新リングや更新プログラムのポリシーを削除し、Windowsデバイスが更新管理の対象から外れたことを各デバイスで確認する
画面1 更新リングや更新プログラムのポリシーを削除し、Windowsデバイスが更新管理の対象から外れたことを各デバイスで確認する

 

自動パッチ(Autopatch)グループの作成

 

 Windows Autopatch機能のアクティブ化(2025年4月以降は不要)と連絡先メールアドレスの設定(必須)は前回済ませてあります。次の作業としては、Microsoft Intune管理センターの「テナント管理 > Windows Autopatch|Autopatchグループ」を開き、「+作成」をクリックして自動パッチ(Autopatch)グループを作成します(画面2)。

 

画面2 自動パッチグループを作成する。最初の「① 基本情報」ページでは分かりやすい名前を入力する
画面2 自動パッチグループを作成する。最初の「① 基本情報」ページでは分かりやすい名前を入力する

 「自動パッチグループの追加」の「② デプロイリング」ページでは、既定で「グループ名 - Test」と「グループ名 - Last」という名前で2つの展開(デプロイ)リングが用意されます。TestとLast展開リングには、通常、それぞれデバイスを含むEntraグループを静的に割り当てます。これらの展開リングを使用しない選択もできるようです。

 

 「+展開リングの追加」をクリックすると、この2つの展開リングの間に“割り当て済み”または“動的な”展開リング(グループ名 - Ring#)を1つ以上、追加することができます(画面3)。割り当て済み展開リングの場合は、デバイスを含むEntraグループを静的に割り当てます。動的な展開リングにする場合は、ダイナミックグループ配布の横にある「グループの追加」をクリックして、デバイスを含む1つ以上のEntraグループを選択して1つのデバイス群に結合し、追加した1つ以上の展開リングの「ダイナミックグループ配布」列の合計が100%になるように設定します(画面3の右)。これにより、ダイナミックグループ配布の対象デバイスが各展開リングにMicrosoft(Intune)によりランダムに割り当てられます。

 

 つまり、すべてを割り当て済み展開リングにして完全に対象をコントロールすることもできれば、大部分をMicrosoft(Intune)にお任せすることもでるのです。例えば、小規模なTest展開リングだけ指定し、残りはランダムな割り当てにするなどです。ちなみに、前回紹介したように、サービス開始当初は、Test展開リングだけを管理者が指定でき、あとは1%(First)、9%(Fast)、残りの90%(Broad)とランダムに展開リングが割り当てられる仕様でした。

 

画面3 既定の2つの展開リング(TestとLast)の間に1つ以上の展開リングを追加可能
画面3 既定の2つの展開リング(TestとLast)の間に1つ以上の展開リングを追加可能

 

 最小構成は、既定の2つの展開リングだけで、展開リングを追加しない構成であり、その場合、Test展開リングを先行(パイロット)展開用、Last展開リングを運用(全社、ブロード)展開用として使用できます。今回は4台という小規模な環境であるため、既定の2つの展開リングだけを使用し、Test展開リングに1台のデバイスを含むグループ(GroupForEntraJoinDevices)、Last展開リングに残り3台のデバイスを含むグループ(GroupForEntraHybridJoinDevices)を割り当て、Windows 10以降向け更新リングのときと同じようにしました(画面4)。大規模な環境であれば、複数の展開リングを追加して、段階的に対象範囲を広げていくことで、ネットワークトラフィックへの影響を最適化できるでしょう。それがダイナミックグループ配布対応の展開リングの重要な役割だと思います。

 

画面4 既定の2つの展開リングのそれぞれに、Windowsデバイスを含むグループを割り当てた。1台のデバイスを含む展開リング/グループは先行展開用、残り3台のデバイスを含む展開リング/グループは運用展開用
画面4 既定の2つの展開リングのそれぞれに、Windowsデバイスを含むグループを割り当てた。1台のデバイスを含む展開リング/グループは先行展開用、残り3台のデバイスを含む展開リング/グループは運用展開用

 次の「③ Windows Update設定」ページでは、各展開リングについて、更新プログラムが利用可能になってからの延期期間や、インストールの期限またはスケジュール、ユーザーへの通知(Windows Updateの既定、または通知抑制など)を設定します。更新プログラムは、期限主導(指定した期限内の任意の時点でインストール)でインストールさせることもできますし、アクティブ時間外にインストールさせたり、曜日や開始時間など詳細にスケジュール設定することもできます(画面5)。詳細なスケジュール設定ができることは、従来の更新リングによる展開との大きな違いだと思います。今回は毎週水曜日のAM 5:00(デバイスのローカル時間)にインストールするように構成しました。米国時間であれば第二火曜日を基準に1か月に1度のスケジュールで設定することができますが、日本時間だとそれができないので毎週設定にしました。利用可能な更新プログラムがなければ何も行われないので、それで問題ないはずです。

 

 なお、Windows 10のWindows Update for Business(WUfB、以下、旧WUfB)や旧WUfBに対応したWindows 10以降向け更新リングでは、品質更新プログラムと機能更新プログラムのそれぞれ別の延期設定を行えましたが、Windows Autopatchの延期設定は品質更新プログラムと機能更新プログラムの両方に適用されます。

 

画面5 各展開リングについて、延期期間と展開スケジュールを設定する
画面5 各展開リングについて、延期期間と展開スケジュールを設定する

 次の「④ドライバー更新プログラムの設定」ページでは、ドライバー更新プログラムの承認方法(手動または自動)と延期期間を設定します(画面6)。このように、Windows Autopatchはドライバーとファームウェアの展開を管理することができます。今回の検証環境は、すべてのWindows 11デバイスがHyper-V仮想マシン(VM)で動作しているため、利用可能なドライバーやファームウェアはおそらくありません。

 

画面6 ドライバーの更新プログラムの承認方法(自動または手動)と延期期間を設定する
画面6 ドライバーの更新プログラムの承認方法(自動または手動)と延期期間を設定する

 最後の「確認して作成」ページで「作成」ボタンをクリックし、自動パッチグループの作成を完了します。

 

Microsoft 365 AppsとEdgeのIntuneによる更新の許可

 

 Windows 10/11 Enterprise E3以上向けのWindows Autopatchでは、Microsoft 365 Apps for Enterprise、Microsoft Edge、およびMicrosoft TeamsのIntuneによる管理にも対応しています。Microsoft 365 Apps for EnterpriseとMicrosoft Edgeについては、「テナント管理|Autopatchグループ」の「設定の更新」タブで、Intuneによる管理を許可するかどうかを選択できます(画面7)。なお、Microsoft Teamsはインストール済みであり、組織のアカウントでサインインされていれば、既定で自動更新されます。なお、Microsoft 365 Appsの更新チャネルなどの設定は、(Intuneで管理せずに)Microsoft 365管理センターで行うことも可能です。

 

画面7 Microsoft 365 Apps for EnterpriseとMicrosoft Edgeの更新(更新チャネルなど)をIntuneで管理する
画面7 Microsoft 365 Apps for EnterpriseとMicrosoft Edgeの更新(更新チャネルなど)をIntuneで管理する

 

Windows Autopatchの準備完了

 

 以上でWindows Autopatchの準備が整いました。しばらくすると、Windows Autopatchの対象となるデバイスが検出され、「デバイス|Windowsの更新プログラム」の「監視」タブの「自動パッチデバイス」から確認できるようになります(画面8)。

 

画面8 Windows Autopatchの対象デバイス
画面8 Windows Autopatchの対象デバイス

 自動パッチグループを作成すると、展開リングごとに更新リング(Windows更新プログラムの更新リング、※Windows 10以降向け更新リングとは違うものです)やドライバー更新プロファイルが自動的に用意され、自動パッチグループの設定に基づいて更新プログラムやドライバーの展開が行われます(画面9)。

 

画面9 自動パッチグループの設定に基づいて自動作成された更新リング
画面9 自動パッチグループの設定に基づいて自動作成された更新リング


 Microsoft 365 Apps for EnterpriseとMicrosoft Edgeについては、更新チャネルや更新設定を含む構成ポリシーが自動作成されます(画面10)。Microsoft 365 Apps for Enterpriseは、以下の構成ポリシーによって、すべての展開リングで「Monthly Enterprise Channel(月次エンタープライズチャネル)」が選択され、自動更新されるように構成されます。

 

  • Windows Autopatch - Office Configuration

 

 各デバイスには、Windowsの更新プログラムと同じ延期設定が適用されます。TestとLastの2つの展開リングの場合、これらの設定は以下の構成ポリシーで行われます。

 

  • Windows Autopatch - Office Update Configuration [Test]
  • Windows Autopatch - Office Update Configuration [Broad]

 

 Microsoft Edgeについては、以下の構成ポリシーによりTest展開リングに対して「Beta」チャネル、Lastを含むTest以外の展開リングに対して「Stable」チャネルが設定され、Microsoft Edgeの自動更新機能により更新されます。管理者は、StableチャネルがLast展開リングに展開される前に、小規模なTest展開リングでMicrosoft EdgeのBetaチャネルのアプリケーションへの影響を調査することができるというわけです。

 

  • Windows Autopatch - Edge Update Channel Beta
  • Windows Autopatch - Edge Update Channel Stable


画面10 Microsoft 365 Apps for EnterpriseとMicrosoft Edgeの構成ポリシー
画面10 Microsoft 365 Apps for EnterpriseとMicrosoft Edgeの構成ポリシー

 あとは、毎月の更新プログラムのリリースを待つだけです。次回は、2025年4月の更新プログラム(米国時間4月8日リリース)のWindows Autopatchによる展開を追跡する予定です。さっそく4月1日に、Windows Autopatchの管理者の連絡先(前回設定)あてに、今月のスケジュールを知らせるメールが送られてきました(画面11)。

 

画面11 2025年4月のWindows Autopatchの展開スケジュール
画面11 2025年4月のWindows Autopatchの展開スケジュール

 

Windows Autopatchと機能更新プログラム

 

 今回の評価環境は、すべてのWindowsデバイスがWindows 11 Enterpriseバージョン24H2にアップグレード済みであり、当面(2025年後半まで)、機能更新プログラムを展開する予定はありませんが、Windows Autopatchは毎月の品質更新プログラムだけでなく、機能更新プログラムの柔軟な展開にも対応しています。

 

 既定では、Windows 10バージョン22H2以前のデバイスに対して、Windows 10バージョン22H2機能更新プログラムを直ちに展開する機能更新プログラムポリシー「Windows Autopatch - Global DSS Policy」が作成されます。また、管理者は、Windows 10/11 Enterprise E3以上のライセンスがある場合に利用できる、Intuneの「Windows の機能更新プログラムのデバイス準備レポート」や「Windowsの機能更新プログラムの互換性リスクレポート」を使用して、Windows 10の2025年10月14日のサポート終了に向けて、安全で確実なWindows 11へのアップグレードを実施したり、サポート終了後も重大(Critical)または重要(Important)と評価されるセキュリティ問題に対する更新プログラムを受け取ることができる「拡張セキュリティ更新プログラム(ESU)」*1の購入計画を立てることができます。

*1 Windows 10の拡張セキュリティ更新プログラム (ESU) プログラム|Windows(Microsoft Learn)

 

 管理者は、「自動パッチの複数フェーズリリース」を作成することで、特定バージョンのWindows 11機能更新プログラムを必要な機能更新プログラムまたはオプションの(ユーザーの指示で利用可能な)機能更新プログラムとして段階的にAutopatchグループに展開するように構成できます(画面12)。

 

画面12 Windows 10の最新の機能更新プログラムをすぐに提供する既定の機能更新プログラムポリシーと、Windows 11の機能更新プログラムの展開を柔軟に管理するための「自動パッチの複数フェーズリリース」

画面12 Windows 10の最新の機能更新プログラムをすぐに提供する既定の機能更新プログラムポリシーと、Windows 11の機能更新プログラムの展開を柔軟に管理するための「自動パッチの複数フェーズリリース」

 

 機能更新プログラムの段階的な展開は、「自動パッチの複数フェーズリリース」ではなく、「機能更新プログラムポリシー」で行うこともできます。その場合、必要な更新プログラムとするか、オプションの更新プログラムとするかに加えて、ロールアウトオプションとして次のいずれかを選択できます。

 

  • 更新プログラムをできるだけ早く利用可能にする
  • 特定の日に更新プログラムを利用可能にする
  • 更新プログラムを徐々に利用可能にする

 

 そして、3つ目の“徐々に”を選択する場合は、以前WUfB展開サービスと呼ばれていた機能であり、インテリジェントロールアウト(WUfBクラウド処理を許可する)を構成して、段階的なロールアウトを強化(デバイスから収集したデータに基づいたデバイスメンバーの最適化やセーフガードホールド*2の使用)することができます。詳しくは、以下のドキュメントを参照してください。

 

Microsoft Intune での Windows の更新プログラムのロールアウト オプション|Microsoft Intune(Microsoft Learn)

*2 KB5006965: デバイスに影響を与える保護ホールドに関する情報を確認する方法|Microsoft Support(Microsoft)

次回(後編)に続く...

はじめてのIntune(1)|...|(16)前編(17)中編|(18)後編 

 

blog_yamanxworld_subscribe

blog_yamanxworld_comment

blog_yamanxworld_WP_ws2025

戻る  

最新記事