セイテクエンジニアのブログかつて山市良と呼ばれたおじさんのブログ vol.108　Windows 11のホットパッチ（前編）｜はじめてのIntune（19）

vol.108　Windows 11のホットパッチ（前編）｜はじめてのIntune（19）

2025年05月29日配信
2025年06月02日更新
執筆者：山内和朗

　Intuneでは、Windows 10/11 Enterprise E3以上のライセンスが利用可能である場合、Windows 11 Enterprise バージョン24H2（Multi-Sessionを含む）を実行するWindowsデバイスやWindows 365 EnterpriseクラウドPC、Azure Virtual Desktop（AVD）で「ホットパッチ（Hotpatch）」がサポートされます。ホットパッチはWindows Updateの拡張機能ですが、利用するにはIntuneの管理環境が必要であり、Windows Autopatchと併用できます。なお、ホットパッチは2025年4月2日（米国時間）に一般提供されました。

ITニュース.　Windows 11ホットパッチ正式提供開始で、最大3か月間、セキュリティ更新のための再起動が不要に（2025年4月4日）

ホットパッチとは

　ホットパッチは毎月のセキュリティ更新プログラム（Bリリース）で利用可能な、再起動不要のセキュリティ更新プログラムです。ホットパッチを利用すると、3か月ごとにリリースされるベースライン更新プログラム（同月の通常のBリリースの更新プログラムと同じもの）とその間の2か月に提供される再起動不要なホットパッチと組み合わせることで、最大3か月間、OSの再起動なしでデバイスを使用できます。2025年は1月、4月、7月、10月にベースライン更新プログラムが提供され、それ以外の月はホットパッチが提供されることになります。

　ホットパッチには、セキュリティ以外の品質の更新は含まれません。ホットパッチはセキュリティ問題のあるバイナリファイルを置き換えるのではなく、メモリ内（インメモリ）のコードを修正することで実現されるもので、Windows、Windows Server、その上で動作するプロセスやアプリケーションを再起動する必要がありません。ただし、アプリケーション自身が要求する再起動（アプリケーションのインストールや更新後の再起動）を不要にするわけではありません。つまり、Windowsの更新プログラムとは別の理由で再起動が必要になることがあります。

ホットパッチ更新プログラム｜Windows（Microsoft Learn）
Windows 11 バージョン 24H2 Enterprise クライアントでのホットパッチのリリースノート｜Microsoft Support（Microsoft）

　ホットパッチは、Azureで実行されるWindows Server 2022以降のDatacenter: Azure Edition、およびAzure以外のWindows Server 2025でも利用できます。Windows Serverのホットパッチには、Azure Update Managerを使用します。詳しくは、以下の記事をご覧ください。

vol.71　Azureだけだったホットパッチ機能、オンプレやAzure以外でも利用可能に（体感ビデオ付）｜Windows Server 2025大特集（8）

　Windows 11のホットパッチについては、2025年1月からパブリックプレビューが提供され、2025年4月から一般提供されました。4月はベースラインの更新であるため、4月の品質更新プログラムをインストールすれば、5月に一般提供後初めてのホットパッチを受け取ることができます。

Windows 11 Enterprise のクライアント用ホットパッチが登場（2025年1月14日）｜Windows Blog（Microsoft）

Hotpatch for Windows client now available｜Windows IT Pro Blog（Tech Community）

ホットパッチのシステム要件

　Intuneを使用して、Intel/AMD CPUのWindowsデバイスの更新にホットパッチを利用するには、Windows 10/11 Enterprise E3以上（Microsoft 365 E3以上/F3以上およびWindows 365 Enterpriseにも含まれます）およびWindows 10/11 Education A3以上のライセンス要件に加えて、以下のソフトウェア要件を満たす必要があります。なお、Arm 64 CPUデバイス向けのホットパッチはパブリックプレビュー継続中であり、追加の要件（CHPE無効化のためのレジストリ設定）があります。

Windows 11 Enterpriseバージョン24H2以降
仮想化ベースのセキュリティ（Virtualization-Based Security、VBS）が有効、実行中であり、メモリ整合性（ハイパーバイザーによるコードの整合性の強制《HVCI^*1》）が構成済みであること

　　*1　Hypervisor-protected Code Integrity（HVCI）

　VBSは、「Windowsセキュリティ」の「デバイスセキュリティ｜コア分離」で「メモリ整合性」をオンにすることで有効化できます（画面1）。「Device Guard」ポリシーやレジストリ設定、Intuneの構成ポリシーを使用して、VBSの有効化を行うこともできます（画面2）。 ^*2 VBSが有効になっているかどうかは、Intuneのコンプライアンスポリシー（Windows 10/11コンプライアンスポリシー）を使用して、「コードの整合性（Code Integrity）」が構成されいるかどうかで確認することができます。また、この連載の以下の回で紹介したように、Intuneの修復機能を利用してPowerShellスクリプトを実行し、VBSが有効になっているかどうかを確認することもできます。
*2　コードの整合性に対する仮想化ベースの保護を有効にする｜Windows（Microsoft Learn）

vol.103　スクリプトをWindowsデバイスで実行できる「修復」の活用ヒント > 使用例: 仮想化ベースのセキュリティ（VBS）の状態をチェックする｜はじめてのIntune（14）

　なお、入れ子になった仮想化（Nested Virtualization）が有効なHyper-V仮想マシン（VM）において、Windows Server 2022以降やWindows 11でVBSを有効化、構成しても、その状態が「有効（停止中）」になるケースを確認しています。その場合、Hyper-Vの役割やWindows Subsystem for Linux（WSL） 2を無効化することで回避することができますが、その場合、当然のことながらHyper-VやWSL 2の機能を利用できなくなります。

メモ.　仮想化ベースのセキュリティ（VBS）の有効化方法（最新版）と最近気づいた問題、疑わしい犯人｜Windowsトラブル解決

画面1　Windows 11の「Windowsセキュリティ」を使用してVBS（メモリ整合性、コードの整合性とも呼ばれる）を有効化する

画面2　Intuneの構成ポリシーを使用して、VBS（コードの整合性）を有効化する。有効になっているかどうかは、Intuneのコンプライアンスポリシーを作成することで確認できる

Windows品質更新プログラムポリシーを作成する

　ホットパッチを有効にするには、Microsoft Intune管理センターで「デバイス｜Windowsの更新プログラム」の「品質更新プログラム」タブを開き、「＋作成 > Windows品質更新プログラムポリシー」を選択して、「Windows品質更新プログラムポリシー」を作成します（画面3）。なお、「（プレビュー）」表記は一般提供後もまだ残っていましたが（2025年4月30日現在）、現在は削除されています。

画面3　「Windows品質更新プログラムポリシー」を作成する

　「Windows品質更新プログラムポリシーを作成する」の「② 設定」ページで、「可能な場合は、デバイスを再起動せずに適用します（"ホットパッチ"）」のスイッチを「許可」に切り替え、このポリシーを割り当てるグループを指定して、最後に「作成」ボタンをクリックします。

画面4　「可能な場合は、デバイスを再起動せずに適用します（"ホットパッチ"）」のスイッチを「許可」に切り替える

　今回は、4台あるデバイスの2台（INTUNECL01とINTUNECL04）でホットパッチを有効にするために、「GroupforHopatch」グループを作成して割り当て、このグループにデバイスを直接メンバーとして登録しました（画面5、画面6）。1台はWindows Autopatchの先行（Test）展開リング、もう1台は運用（Last）展開リングのデバイスです。このように、ホットパッチはWindows Autopatchと共存することができ、各展開リングの延期設定が変更されることはありません。なお、このポリシーが割り当てられたデバイスが、ホットパッチの要件を満たさない（Windows 10デバイスである、Windows 11バージョン24H2でない、Enterpriseエディションでない、VBSが有効になっていないなど）場合、ホットパッチではなく、通常の品質更新プログラムが引き続き提供されることになります。

画面5　グループのメンバーのデバイスでホットパッチを有効にした

画面6　ホットパッチ対象デバイスにMDMポリシーが適用され、ホットパッチが有効になった

　前回までの3回は、2025年4月の品質更新プログラム（2025.04 B）リリースのWindows Autopatchによる展開を追跡しましたが、ホットパッチ対応の設定は実は既に2025.04 Bリリースの展開開始時点までに済ませてあります。ただし、2025年4月はホットパッチの前提となるベースラインの更新月であるため、4月は通常の品質更新プログラムが展開、インストールされ、4月中に同じOSビルド（26100.3775）に更新されている状態です（画面7）。そして、いよいよ5月は（一般提供後）初めてのホットパッチ更新プログラムのリリース月です。

画面７　Windows Autopatchで管理中のデバイス2台は、2025.04 Bリリースの展開時点でホットパッチ対応に。この月はベースラインの更新であるため、他の2台と同じ品質更新プログラムで同じ更新ビルド（26100.3775）に更新された