Microsoft 365 Apps のサービス プロファイルの導入

  • [アーティクル]

サービス プロファイルを使用すると、自動化を使用して、Office Content Delivery Network (CDN) から直接Microsoft 365 Apps for enterpriseに毎月の更新プログラムを配信できます。 グローバル企業との 1 対 1 の広範なエンゲージメントを通じて、この記事を作成し、環境内でサービス プロファイルを有効にするベスト プラクティスについて説明し、ユーザーとorganizationの利点について説明しました。

注:

サービス プロファイルは非推奨となり、 クラウド更新プログラムに置き換えられます。 Microsoft 365 Apps管理センターでクラウド更新プログラムをまだ利用できない場合は、センターにサインインし、右上の [フィードバックの送信] ボタンを選択してください。 いずれかのオプションを選択し、クラウド更新プログラムとEmailに切り替えたいコメントを入力します。 [送信] を選択します。 私たちはすぐにあなたに手を差し伸べていきます。

この記事の内容:

  • サービス プロファイルを使用する利点
  • サービス プロファイルを採用する 2 つの方法に関する詳細なガイダンス
  • デバイスの選択基準のしくみの詳細
  • サービス プロファイルが有効になると、デバイスはどうなりますか

注:

上記および以下はすべて、Microsoft 365 Apps更新プログラムにのみ適用されます。 この機能は、Windows 更新プログラムなど、他の更新プログラムを展開するための既存のソリューションを置き換えたり、変更したり、影響を与えたりすることはありません。

ヒント

テキストよりもビデオを使用する場合は、 サービス プロファイルの概要 ビデオと サービス プロファイルの詳細なビデオを 利用できます。

サービス プロファイルを使用する利点

サービス プロファイルを使用する利点は、一般的な更新プログラム管理ツールよりも複数あります。

  • セキュリティ通貨の改善: エンタープライズ環境の場合、通常は約 66% のセキュリティ通貨が表示されます。 つまり、毎月の "パッチ火曜日" の後、テナント内のデバイスのMicrosoft 365 Appsの約 66% が最新のセキュリティ更新プログラムにパッチが適用されていることを意味します。 サービス プロファイルでは、この通貨が 90% を超えて上昇します。 つまり、新しいサービスは、環境内の既知の脅威をより迅速かつ広範に削減するのに役立ちます。

  • リーチの増加: 一般的な更新管理ツールは、多くの場合、ディレクトリ サービスの境界によって制限されます。 たとえば、特定のソリューションで管理するには、デバイスを Active Directory に参加させる必要があります。 サービス プロファイルを使用すると、このバリアを解除し、テナントによってアクティブ化され、テナントからMicrosoft EntraユーザーがサインインしたすべてのMicrosoft 365 Apps インスタンスを管理できます。 デバイスが Active Directory に参加しているか、Microsoft Entra IDされているか、Microsoft Entra IDに登録されているか、ワークグループ モードのままであるかは関係ありません。

  • クラウドの活用: 真のクラウドベースのサービスとして、サービス プロファイルはオンプレミスのインフラストラクチャに依存しません。 デバイスがどこにあっても、クラウドに接続できる場合は、サービスを受けることができます。

  • 簡単なオンボード: デバイスがサービス プロファイルのスコープに該当する場合 (この記事の後半で詳しく説明します)、その他の Office 更新プログラム管理メカニズムが自動的にオーバーライドされます。 最初に他の管理ソリューションからMicrosoft 365 Appsをデタッチする必要はありません。 デバイスがサービス プロファイルのスコープ外になった場合、以前の更新管理コントロールが復元されます。 サービス プロファイルでは、Office の更新プログラムの処理方法のみが変更され、それ以外 (Windows または Edge の更新プログラムの管理方法など) はすべて変わりません。 要約すると、1 つのデバイスを 2 つのソリューションで同時に管理でき、競合は発生しません。

更新チャネルまたはMicrosoft Entra グループを使用してサービス プロファイルを採用するかどうかを決定する

一部の管理者は、すべてのデバイスに対してサービス プロファイルを同時に有効にする代わりに、段階的に導入し、すべてがスムーズに実行されるかどうかを監視したいと考えています。 この機能を段階的に採用するには、次の 2 つの一般的な方法があります。

  • 更新チャネル別: この方法では、サービス プロファイルは、最初に少数の更新チャネルを対象とします。 他のチャネル上のすべてのデバイスは無視されます。 これにより、一度に 1 つのチャネルを 月次エンタープライズ チャネル の両方に移行し、サービス プロファイルを使用して管理できます。 時間の経過とともに、すべてのチャネルがカバーされ、すべてのデバイスが移動されるまで、チャネルの選択を拡張します。

  • グループMicrosoft Entra: 別の方法として、Microsoft Entra グループを使用して、指定したデバイスまたはユーザーにのみ適用するようにサービス プロファイルを制限します。 これにより、より詳細なレベルでデバイスをスコープに追加できます。

最適な方法を決定するには、更新プログラム チャネルごとにインストールするMicrosoft 365 Appsの数を確認します。

  • Microsoft 365 Apps管理センターのインベントリが有効になっていて、少なくとも 1 週間実行されていることを確認します。そのため、ほとんどのデバイスが登録されています。
  • Microsoft 365 Apps管理センターの [セキュリティ更新プログラムの状態] ページに移動し、下にスクロールして、チャネルあたりのデバイス数を確認します。

チャネル上のすべてのデバイスを一度に移行することに慣れている場合は、これが適切なアプローチです。 より小さなバッチでデバイスを移行する場合は、グループMicrosoft Entra進む必要があります。 たとえば、特定のチャネルに数千台のデバイスがあり、変更を制限するために 3 つのバッチを移行する場合などです。

"更新チャネル別" アプローチを使用してサービス プロファイルを設定する方法

サービス プロファイルを段階的に採用する場合は、最初に 1 つの更新チャネルをターゲットにすることで、これを行うことができます。 これらのデバイスのMicrosoft 365 Appsは、月次エンタープライズ チャネルに移行され、自動的に更新されます。 ポータルで進行状況を監視し、時間の経過に伴って更新チャネルを追加して、カバレッジを増やすことができます。

  1. Microsoft 365 Apps管理センターにサインインします。 サービス プロファイルを使用するための 要件 が環境内で満たされていることを確認します。
  2. [サービス月間エンタープライズ] > に移動し、[作業の開始] を選択してウィザードを起動します。 [ 次へ ] をもう一度選択して、[ デバイスの選択基準] ページに移動します。
  3. サービス プロファイルを有効にすると、月次エンタープライズ チャネル上のデバイスが自動的に対象になります。 右上のグラフには、現在の選択を対象とするデバイスの数の概要が表示されます。
  4. 最初のバッチで対象とするすべての更新チャネルのチェックボックスを選択します。 多くの場合、最初に月次エンタープライズ チャネルとベータ チャネルと現在のチャネル (プレビュー) をターゲットに設定します。 一括更新後、現在のチャネルに拡張し、プレビューを含むエンタープライズ チャネルを Semi-Annual します。
  5. 他の選択条件を確認して調整します。
  6. [ 次へ ] を選択して、[ 除外日の更新 ] ページに移動します。 必要に応じて除外日を入力します。
  7. [ 次へ ] を選択して、[ 更新期限 ] ページに移動します。 既定の設定を使用して、ユーザー エクスペリエンスのバランスを取り、セキュリティ コンプライアンスにすばやく到達することをお勧めします。 期限のしくみについて詳しくは、こちらをご覧ください
  8. [ 次へ ] を選択して構成を確認し、[ プロファイルの作成 ] を選択して作業を進めます。

作成後、サービス プロファイルは、選択した条件に該当するデバイスの計算を開始します。 これが完了すると、オンラインのデバイスに、最新の月次エンタープライズ チャネル リリースに更新するように指示し始めます。 [ デバイス ] タブで進行状況を確認します。デバイスの移動の最初の波が表示されるまでに数時間かかる場合があるため、ダッシュボードを定期的に確認してください。 特定のデバイスで更新が失敗した場合は、[ 問題 ] タブの詳細を参照してください。

数日後に、対象となるデバイスの大部分が最新のMicrosoft 365 Appsリリースに更新されているはずです。 すべてがスムーズに進んだ場合は、[ 設定] タブに移動し、追加の更新チャネルを追加して、より多くのデバイスをサービス プロファイルに移行します。

"by Microsoft Entra group" アプローチを使用してサービス プロファイルを設定する方法

より詳細な手順でサービス プロファイルを採用する場合は、Microsoft Entra グループを使用してターゲット設定を特定のデバイス セットに制限します。 これらのデバイスのMicrosoft 365 Appsは、月次エンタープライズ チャネルに移行され、自動的に更新されます。 ポータルの進行状況を監視し、時間の経過に伴って既存のグループに追加のMicrosoft Entra グループまたはデバイスを追加して、カバレッジを増やすことができます。

  1. ターゲット設定に使用する 1 つまたは複数のMicrosoft Entra グループを作成します。 3 種類の項目をグループに追加し、それらを混在させることが可能です。
    • デバイス: これらのデバイスは、Microsoft 365 Apps管理センターのインベントリにMicrosoft Entra参加するか、ハイブリッドに参加Microsoft Entraする必要があります。
    • ユーザー: ライセンス認証データに基づいて、サービス プロファイルは、指定されたユーザー アカウントによってアクティブ化されたMicrosoft 365 Appsインストールがあるインベントリ内のデバイスを識別します。 これは、指定したユーザーがログオンしてMicrosoft 365 Appsを使用している共有コンピューターのアクティブ化モードで実行されているデバイスについても説明します。
    • Microsoft Entra グループ: 入れ子になったグループを使用します。たとえば、グループの管理を部署に委任します。 入れ子は、最大 3 つのレベルでサポートされています。
  2. Microsoft 365 Apps管理センターにサインインします。 サービス プロファイルを使用するための 要件 が環境内で満たされていることを確認します。
  3. [サービス月間エンタープライズ] > に移動し、[作業の開始] を選択してウィザードを起動します。 [ 次へ ] をもう一度選択して、[ デバイスの選択基準] ページに移動します。
  4. 上部の [グループの選択] を選択して含め、ターゲットにするMicrosoft Entraグループを追加します。 これにより、残りの選択基準を適用した後に対象となるデバイスの最大セットが定義されます。
    • 例: 2 つのデバイスを持つMicrosoft Entra グループを指定します。1 つは現在のチャネルで実行され、もう 1 つは月次エンタープライズ チャネルで実行されます。 [ チャネル ] セクションで [毎月のエンタープライズ チャネル] のみを選択した場合、サービス プロファイルのスコープに追加されるデバイスは 1 つだけです。もう 1 つのデバイスはすべての選択条件に一致しません。 インベントリ内のそのチャネルにさらにデバイスがある場合、ターゲット設定は引き続きMicrosoft Entra グループの 1 つのデバイスに制限されます。
  5. サービス プロファイルを有効にすると、月次エンタープライズ チャネル上のデバイスが自動的に対象になります。 右上のグラフには、現在の選択を対象にできるデバイスの数の概要が表示されます。
  6. 他の選択条件を確認して調整します。
  7. [ 次へ ] を選択して、[ 除外日の更新 ] ページに移動します。 必要に応じて除外日を入力します。
  8. [ 次へ ] を選択して、[ 更新期限 ] ページに移動します。 既定の設定を使用して、ユーザー エクスペリエンスのバランスを取り、セキュリティ コンプライアンスにすばやく到達することをお勧めします。 期限のしくみについて詳しくは、こちらをご覧ください
  9. [ 次へ ] を選択して構成を確認し、[ プロファイルの作成 ] を選択して作業を進めます。

作成後、サービス プロファイルは、選択した条件に該当するデバイスの計算を開始します。 これが完了すると、オンラインのデバイスに、最新の月次エンタープライズ チャネル リリースに更新するように指示し始めます。 [ デバイス ] タブで進行状況を確認します。デバイスの移動の最初の波が表示されるまでに数時間かかる場合があるため、ダッシュボードを定期的に確認してください。 特定のデバイスで更新が失敗した場合は、[ 問題 ] タブの詳細を参照してください。

数日後に、対象となるデバイスの大部分が最新のMicrosoft 365 Appsリリースに更新されているはずです。 すべてがスムーズに進んだ場合は、[設定] タブに移動し、Microsoft Entraグループを追加するか、デバイスまたはユーザーをグループに直接追加してスコープを広げるだけです。 参加 Microsoft Entraしていないデバイスにも対応するために、ある時点でMicrosoft Entra グループ フィルターを削除することを検討することをお勧めします。

サービス プロファイルの使用に関するベスト プラクティス

サービス プロファイルを使用した更新プログラムの管理に関するベスト プラクティスを次に示します。

  • 他のクラウド サービスやMicrosoft Configuration Managerと同様に、サービス プロファイルは非同期サービスです。 構成を作成または変更すると、サービスはバックグラウンドで入力を処理します。 ユーザー インターフェイス (特に [ デバイス ] タブ) には、変更がすぐに反映されません。
  • 構成 (選択条件、更新期限、顧客のロールアウトウェーブなど) を変更した後、サービスで変更を処理する時間を設けます。 この処理中に、サービスによってデバイスのスコープと状態が再計算されるため、プロファイル内のデバイスの数が減少することがあります。 その後、デバイスは数百または数千のデバイスのバッチでスコープに戻されます。 環境内のデバイスの合計数によっては、このプロセスが完了するまでに数時間かかる場合があります。
  • これは、新しい更新プログラムがリリースされたときにも適用されます。 最初に、サービス プロファイルは 0 個のデバイスにリセットされ、デバイスは時間の経過とともにサービス プロファイルに追加されます。
  • 次の変更を導入する前に、各変更が最初に計算を完了できるようにすることをお勧めします。 このプロセス中に忍耐強くしてください。
  • サービス プロファイルを一時停止または再開する場合も同様です。 サービスが変更を処理することを許可し、サービスを一時停止または再開しない。 サービス プロファイルを一時停止しても、デバイスで既に開始された更新プログラムのインストールは停止されませんが、サービスが新しい更新コマンドをデバイスに送信するのを停止します。
  • ロールバックをトリガーする場合も、同じことが適用されます。 ロールバック アクションを構成した後、サービスは変更を処理する時間を必要とし、ロールバック コマンドを送信するためにデバイスがチェックされるまで待機します。
  • デバイスを含めたり除外したり、カスタム ロールアウト ウェーブを作成したりするためにMicrosoft Entra グループを使用する場合は、グループごとにメンバーの数を 20,000 に制限することをお勧めします。 複数のグループを指定できます。 また、複数の小さいグループの処理は、1 つの大きなグループを処理するよりも高速です。 40,000 メンバーなど、1 つのMicrosoft Entra グループを使用する代わりに、それぞれ 20,000 人のメンバーを持つ 2 つのグループを使用することをお勧めします。

セレクターのしくみ

サービス プロファイルには、適切なデバイス セットをターゲットにするための複数のセレクターが用意されています。 セレクターが選択されて保存されると、サービス プロファイルは、インベントリに一覧表示されている各デバイスをそれらのデバイスと照合します。 特定のデバイスは、プロファイルに追加するために選択したすべての条件と一致する必要があります。 デバイスがチェックに合格しない場合、他のチェックに合格しても追加されません。

  • グループ:このセレクターを使用すると、1 つまたは複数のMicrosoft Entra グループを指定できます。 入れ子になったグループがサポートされています。 チェックを渡すには、次の 2 つの条件のいずれかを満たす必要があります。
    • デバイスの場合: ハイブリッド参加 (ハードJ とも呼ばれます) Microsoft Entraするか、Microsoft Entra参加済み (AADJ とも呼ばれます) であり、インベントリに一覧表示されている必要があります。
    • ユーザーの場合: 指定したユーザーによってアクティブ化されたMicrosoft 365 Appsインストールがあるインベントリ内のすべてのデバイスが、チェックを渡します。 この条件では、デバイスが任意のディレクトリ サービスに参加している必要はありません。
  • チャンネル:このセレクターは、Microsoft 365 Appsの現在インストールされている更新プログラム チャネルを確認します。 チェックを渡すには、デバイスが選択されているMicrosoft 365 Apps更新チャネルを実行する必要があります。
  • ディスク領域: このセレクターは、インベントリに報告された使用可能なディスク領域を確認します。 チェックを渡すには、デバイスのディスク領域が指定よりも多い必要があります。
  • マクロ: このセレクターは、インベントリが過去 30 日間にマクロの使用状況を報告したかどうかを確認します。 インベントリには、過去 30 日間にマクロを含むファイルが少なくとも 1 つ開かれている場合、バイナリの Yes/No 情報が保持されます。
  • アドイン: このセレクターは、インベントリでデバイスにインストールされているアドインが報告されているかどうかを確認します。 インベントリには詳細なアドイン インストール データが保持されますが、これはバイナリの [はい]/[いいえ] チェックです。 これは、実際の使用状況ではなく、アドインの存在のみに基づいています。

サービス プロファイルをデバイスに適用する方法

サービス プロファイルが作成されると、サービスは対象となるデバイスの数を事前に計算します。 すべてのデバイスがMicrosoft 365 Apps管理センターに定期的に接続し、保留中のアクションをチェックするか、更新されたインベントリをアップロードします。 サービス プロファイルの対象となるデバイスには、最新の月次エンタープライズ チャネル リリースへの更新の実行を開始するためのコマンドが表示されます。 これらのデバイスは、他の管理ソリューションからのコマンドを無視するようにローカルの Office Update Engine に指示するコマンドも受け取ります。 これは、Microsoft 365 Apps更新のみを対象とします。他のすべての管理タスク (インベントリのレポート、インストールの実行、他の製品の更新) は変更されません。

デバイスは、更新を実行するコマンドを受け取ると、Office CDN、 配信の最適化、および使用可能な接続キャッシュまたはピアを使用して、更新プログラムをダウンロードして適用します。 Microsoft 365 アプリを開いているために更新プログラムを適用できない場合は、デバイスの再起動中、またはデバイスがロックされ、オペレーティング システムがアイドル状態になったときに、バックグラウンドで自動的に再試行されます。 指定した期限に達するまで更新プログラムを適用できなかった場合、ユーザーはアプリケーションを閉じて更新プログラムを適用するための複数のプロンプトを受け取ります。 約 48 時間後に、ユーザーはカウントダウンで最終的な通知を受け取ります。 この値が 0 になると、開いているドキュメントが保存され、アプリケーションが閉じて更新され、再度開き、ドキュメントが再読み込みされます。 ただし、ほとんどの場合、保留中の更新プログラムは、ユーザーにプロンプトを表示することなくバックグラウンドでサイレントに適用できます。

ポータルは、これらの手順に関する状態情報を受け取り、管理者はデバイスが [未開始] から [進行中] から [最後に 更新済 み] に切り替わります。 デバイスでエラーが発生した場合は、ポータルでそれに応じてフラグが設定され、再適用が開始されます。 ほとんどの場合、エラーは更新プログラムのダウンロードに関連します。たとえば、ダウンロードがアクティブな間にデバイスがシャットダウンされた場合などです。

デバイスが更新されると、Microsoft が次の更新プログラムを月次のエンタープライズ チャネルにリリースするまで、デバイスはこの状態のままになります。 その後、サービスはデバイスごとに必要なアクションを自動的に再計算し、デバイスへの配布を開始します。 既定では、これはネットワークへの影響を減らすために、4 日間のウェーブで発生します。 毎月の更新サイクルを開始するために手動で操作する必要はありません。