トレーニング
認定資格
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
最新の管理、共同管理のアプローチ、Microsoft Intune 統合の基本的な要素を使用して、エンドポイント展開戦略を計画して実行します。
このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
次の表は、パッチ オペレーティング システムに関連する ISM コントロールの概要を示しています。
ISM コントロール 2024 年 9 月 | 成熟度レベル | コントロール | メジャー |
---|---|---|---|
ISM-1694 | 1, 2, 3 | インターネットに接続するサーバーとインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 2 週間以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 | Windows Update for Business と定義済みの更新リングを使用して、パッチは 2 週間のリリースでインストールされます。 |
ISM-1695 | 1、2 | ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に適用されます。 | IT 管理者は、必要な日付の期限構成を使用して更新プログラムをデプロイMicrosoft Configuration Manager |
ISM-1696 | 3 | ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または脆弱性が存在する場合、リリースから 48 時間以内に適用されます。 | IT 管理者は、期限をできるだけ早く構成して更新プログラムをデプロイMicrosoft Configuration Manager |
ISM-1701 | 1, 2, 3 | 脆弱性スキャナーは、少なくとも毎日使用され、インターネットに接続するサーバーやインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラムまたは更新プログラムが見つからないかどうかを特定します。 | Defender for Endpoint にオンボードされているデバイス。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。 |
ISM-1702 | 1, 2, 3 | 脆弱性スキャナーは、ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラムまたは更新プログラムが不足している場合を特定するために、少なくとも 22 日間使用されます。 | IT 管理者は、少なくとも 14 日に 1 回、システムで不足しているパッチのスキャンを実行するように、Configuration Managerのソフトウェア更新機能を構成します。 |
ISM-1877 | 1, 2, 3 | 脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、インターネットに接続するサーバーやインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 48 時間以内に適用されます。 | Windows Update for Business の迅速なパッチ展開方法を使用して、パッチは 48 時間以内にインストールされます。 |
ISM-1501 | 1, 2, 3 | ベンダーによってサポートされなくなったオペレーティング システムが置き換えられます。 | 定義されたリングを使用して、WUfB はデバイスを最新の機能更新プログラムに自動的に更新します。 |
ISM-1879 | 3 | ドライバーの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、リリースから 48 時間以内に適用されます。 | 定義されたリングを使用して、WUfB はデバイスを最新の機能更新プログラムに自動的に更新します。 |
ISM-1900 | 3 | 脆弱性スキャナーは、ファームウェアの脆弱性に関する不足しているパッチまたは更新プログラムを特定するために、少なくとも 22 日間使用されます。 | デバイスは Defender for Endpoint にオンボードされます。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。 |
ISM-1902 | 3 | ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合、リリースから 1 か月以内に適用されます。 | IT 管理者は、少なくとも 14 日に 1 回、システムで不足しているパッチのスキャンを実行するように、Configuration Managerのソフトウェア更新機能を構成します。 |
ISM-1903 | 3 | ファームウェアの脆弱性に対するパッチ、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、リリースから 48 時間以内に適用されます。 | Intuneのドライバーとファームウェアの展開方法は、最新のセキュリティで保護されたドライバーとファームウェアのバージョンを展開します。 |
ISM-1904 | 3 | ファームウェアの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 | Intuneのドライバーとファームウェアの展開方法は、最新のセキュリティで保護されたドライバーとファームウェアのバージョンを展開するために使用されます。 |
ISM-1697 | 3 | ドライバーの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 | Intuneドライバーとファームウェアの展開方法が使用され、ドライバーとファームウェアの脆弱性にパッチが適用されます |
ISM-1703 | 3 | 脆弱性スキャナーは、ドライバーの脆弱性に対する不足しているパッチまたは更新プログラムを特定するために、少なくとも 2020 年に使用されます。 | デバイスは Defender for Endpoint にオンボードされます。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。 |
ISM-17041 | 1, 2, 3 | Office 生産性スイート、Web ブラウザーとその拡張機能、電子メール クライアント、PDF ソフトウェア、Adobe Flash Player、およびベンダーによってサポートされなくなったセキュリティ製品は削除されます。 | Intuneアプリケーションのデプロイ方法は、サポートされていないアプリケーションと拡張機能を削除するために使用されます 2。 |
ISM-18071 | 1, 2, 3 | 資産検出の自動化された方法は、その後の脆弱性スキャン アクティビティの資産の検出をサポートするために、少なくとも 2 日間使用されます。 | スキャナーを使用して資産の検出を実行し、資産インベントリ2 を維持します。 |
ISM-18081 | 1, 2, 3 | 脆弱性スキャンアクティビティには、最新の脆弱性データベースを備えた脆弱性スキャナーが使用されます。 | DVM の脆弱性データベースは、Microsoft や他のユーザーがネットワーク2 にインストールされているソフトウェアの脆弱性を検出すると、継続的に更新されます。 |
注意
1 これらのコントロールは、Essential 8 内のパッチ アプリケーションとパッチ OS の両方をカバーします。
2 これらのコントロールを実装する方法の詳細については、「 パッチ アプリケーション」セクションを参照してください。
Windows Update for Business (WUfB) を使用すると、IT 管理者は、これらのエンドポイントをWindows Updateに直接接続することで、organizationの Windows デバイスを最新のセキュリティと品質の更新プログラムと Windows 機能で最新の状態に保つことができます。 IT 管理者は、Microsoft Intuneと WUfB の統合を使用して、デバイスの更新設定を構成し、更新プログラムのインストールの延期を構成できます。
Windows Update for Business では、いくつかの種類の更新プログラムの管理ポリシーが提供されます。
WUfB はリングの概念を持っています。 リングは、特定のデバイス グループを対象とする WUfB 設定とポリシーのコレクションです。 組織は必要な数のリングを使用できますが、ほとんどの組織は、以前に Microsoft Endpoint Configuration Manager などの他の修正プログラムを適用するツールで使用していたよりも少ないリングに落ち着いています。 最初に推奨されるリングの数は、3 ~ 5 リングです。
WUfB には、管理者が慣れていない可能性がある新しい概念と用語がいくつか導入されています。
期限の値 | 猶予期間の値 | 強制更新のインストール時間 | 強制再起動 |
---|---|---|---|
0 | 0 | 検出直後 | インストール直後 |
2 | 2 | 検出から 2 日後 | 更新プログラムのインストールから 2 日後 |
次に示すのは、合計 5 つのリングを含む WUfB リング構成の例です。 リングごとに、推奨される遅延、期限、猶予期間が一覧表示されます。 各リングの 完全な構成 は参照の容易さのために提供された。
組織は、専用のテスト デバイスで構成される "リング 0" を構成する必要があります。
これらのデバイスは、遅延なしで更新プログラムを受信します。 管理者は、これらのデバイスを最新の更新プログラムと共に使用して、重要なアプリケーションと機能の初期検証を引き続き期待どおりに動作させることができます。
品質更新プログラムの遅延 | 機能更新プログラムの延期 | 期限の値 | 猶予期間の値 | 強制品質更新プログラムのインストール時間 | 強制再起動 |
---|---|---|---|---|---|
0 | 0 | 0 | 0 | リリースと検出の直後 | 強制更新プログラムのインストール直後 |
このリングの完全な構成については、「ビジネス リング構成のWindows Update」を参照してください。
IT スタッフと選択された早期導入者は Ring 1 を構成し、通常は管理対象デバイス全体の約 1% を占める。
リング 0 での最初のテストとは別に、このリングは、デバイスの数が増える前に問題を明らかにするために日々の作業を実行するユーザーによるテストの最初の行を提供します。
品質更新プログラムの遅延 | 機能更新プログラムの延期 | 期限の値 | 猶予期間の値 | 強制品質更新プログラムのインストール時間 | 強制再起動 |
---|---|---|---|---|---|
2 | 10 | 2 | 2 | 品質更新プログラムのリリースと検出から 4 日後 | 強制更新プログラムのインストールから 2 日後 |
このリングの完全な構成については、「ビジネス リング構成のWindows Update」を参照してください。
注意
このリングから問題が発生した場合のトラブルシューティングと解決に使用される特権アクセス ワークステーションを除外します。 幅広リングは、これらのデバイスに適したリングになります。
組織エンドポイントの 9% で構成されるランダムな品揃えは、Ring 2 に追加する必要があります。
これらのデバイスは、リリースから 4 日後に更新プログラムを受信するように構成されているため、organizationの残りの部分への広範な展開の前に、ユーザーの数が増えることでより多くのテストが可能になります。
品質更新プログラムの遅延 | 機能更新プログラムの延期 | 期限の値 | 猶予期間の値 | 強制品質更新プログラムのインストール時間 | 強制再起動 |
---|---|---|---|---|---|
4 | 30 | 2 | 2 | 品質更新プログラムのリリースと検出から 6 日後 | 強制更新プログラムのインストールから 2 日後 |
このリングの完全な構成については、「ビジネス リング構成のWindows Update」を参照してください。
残りのデバイスはすべて、リング 3 の一部として構成する必要があります。
この段階では、組織は、更新プログラムをデバイス全体に広くインストールできる自信を持っています。 Ring 3 では、自動的にインストールされる前に、リリースから 7 日間延期されるように更新プログラムが構成されます。
品質更新プログラムの遅延 | 機能更新プログラムの延期 | 期限の値 | 猶予期間の値 | 強制品質更新プログラムのインストール時間 | 強制再起動 |
---|---|---|---|---|---|
7 | 60 | 2 | 2 | 品質更新プログラムのリリースと検出から 9 日後 | 強制更新プログラムのインストールから 2 日後 |
このリングの完全な構成については、「ビジネス リング構成のWindows Update」を参照してください。
一部の組織には、エグゼクティブ スタッフが使用するデバイスなど、少数の重要なデバイスがあります。
このような種類のデバイスの場合、組織は、中断の可能性を最小限に抑えるために、品質と機能の両方の更新プログラムのインストールをさらに延期したい場合があります。 これらのデバイスは、特にこれらの重要なデバイス用のリング 4 の一部になります。
品質更新プログラムの遅延 | 機能更新プログラムの延期 | 猶予期間の値 | 期限の値 | インストール時間の更新 | 強制再起動 |
---|---|---|---|---|---|
10 | 90 | 2 | 2 | 品質更新プログラムのリリースと検出から 12 日後 | 強制更新プログラムのインストールから 2 日後 |
このリングの完全な構成については、付録の「ビジネス リング構成のWindows Update」を参照してください。
ISM コントロール 2024 年 9 月 | 成熟度レベル | Control | Measure |
---|---|---|---|
1694 | 1, 2, 3 | インターネットに接続するサーバーとインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 2 週間以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 | Windows Update for Business と定義済みの更新リングを使用して、パッチは 2 週間のリリースでインストールされます。 |
1501 | 1, 2, 3 | ベンダーによってサポートされなくなったオペレーティング システムが置き換えられます。 | 定義されたリングを使用して、WUfB はデバイスを最新の機能更新プログラムに自動的に更新します。 |
Intuneでは、品質更新プログラムを迅速化し、最新のパッチ火曜日のリリースや、0 日間の欠陥に対する帯域外のセキュリティ更新プログラムなど、品質更新プログラムのインストールを高速化する機能が提供されます。 インストールを高速化するために、更新プログラムを迅速化するには、Windows プッシュ通知サービス (WNS) やプッシュ通知チャネルなどの利用可能なサービスを使用して、インストールする迅速な更新プログラムがあることを示すメッセージをデバイスに配信します。 このプロセスにより、デバイスが更新プログラムをチェックするまで待たずに、できるだけ早く迅速な更新プログラムのダウンロードとインストールを開始できます。
品質更新プログラムを迅速化するには:
注意
再起動が適用されるまでに待機する日数が 0 に設定されている場合、デバイスは更新プログラムを受信するとすぐに再起動されます。 ユーザーは再起動を遅らせるオプションを受け取りません。
ISM コントロール 2024 年 9 月 | 成熟度レベル | Control | Measure |
---|---|---|---|
1877 | 1, 2, 3 | 脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、インターネットに接続するサーバーやインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 48 時間以内に適用されます。 | Windows Update for Business の迅速なパッチ展開方法を使用して、パッチは 48 時間以内にインストールされます。 |
1879 | 3 | ドライバーの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、リリースから 48 時間以内に適用されます。 | 定義されたリングを使用して、WUfB はデバイスを最新の機能更新プログラムに自動的に更新します。 |
注意
最終的には、迅速な品質更新ポリシーを削除することをお勧めします。通常は、パッチがすべてのデバイスに正常にデプロイされたことが確認された場合、または翌月の更新プログラムに置き換えられます。
配信の最適化は、従来のインターネット ベースのサーバーに加えて、クライアントが代替ソース (ネットワーク上の他のピアなど) から更新プログラムをダウンロードできるようにするクラウド管理ソリューションです。 Intuneを使用して構成すると、Windows デバイスの配信の最適化設定を構成して、更新プログラム バイナリのダウンロード時のインターネット帯域幅の消費を減らすことができます。
Microsoft Intuneの Windows ドライバー更新プログラム管理を使用すると、管理対象のWindows 10とWindows 11 デバイス全体でドライバー更新プログラムの展開を監視、承認、一時的に停止する機能が得られます。 Intune、Windows Update for Business (WUfB) Deployment Service (DS) と共に、ドライバー更新プログラム ポリシーの下でデバイスに関連するドライバーの更新プログラムを識別する複雑なプロセスを処理します。 これらの更新プログラムは、Intuneと WUfB-DS によって分類され、すべてのデバイスに適した推奨更新プログラムと、特定のニーズに合わせたオプションの更新プログラムを区別するプロセスが合理化されます。 Windows ドライバー更新ポリシーを使用すると、デバイスへのドライバー更新プログラムのインストールを完全に制御できます。
次のことが可能になります。
ドライバー ポリシーの更新ポリシーが作成されると、IT 管理者は自動更新と手動更新のどちらかを選択できます。
ポリシーが作成されたら、デバイスが約 1 日ほど更新プログラムをスキャンできるようにします。 [ レビューするドライバー ] 列には、手動承認を確認する準備ができている新しい推奨ドライバー更新プログラムの数が含まれています。 自動ポリシーでは、推奨されるドライバーが自動的に承認されるため、0 での滞在を確認するドライバー。 これは、新しいドライバーが検出され、それらのドライバーの展開を承認または拒否するかどうかの決定を待っていることを示す優れた指標です。
IT 管理者がドライバーを承認すると、さらに将来の承認日を指定できます。 ドライバーが承認されると、Intuneマネージド Windows デバイスは、次のポリシー同期サイクル (通常は 8 時間ごと) でそれらを受け取ります。
ISM コントロール 2024 年 9 月 | 成熟度レベル | Control | Measure |
---|---|---|---|
ISM-1697 | 3 | ドライバーの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 | Intuneのドライバーとファームウェアの展開方法を使用して、脆弱性を軽減する最新バージョンのドライバーを承認および展開します |
ISM-1903 | 3 | ファームウェアの脆弱性に対するパッチ、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、リリースから 48 時間以内に適用されます。 | IT 管理者は、ファームウェアの脆弱性がベンダーによって重要と評価された場合に、Intune コンソールで新しいバージョンのファームウェアを承認します |
ISM-1904 | 3 | ファームウェアの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 | Intuneのドライバーとファームウェアの展開方法は、最新のセキュリティで保護されたドライバーとファームウェアのバージョンを展開します。 |
注意
更新プログラムのコンプライアンスは、2023 年 3 月から非推奨になりました。
更新プログラムのコンプライアンスにより、Windows 10またはWindows 11 Professional、Education、Enterprise エディションの品質と機能の更新プログラムを監視できます。 Update Compliance は、Windows クライアント診断データを照合して、Windows デバイスの更新プログラムの状態を Log Analytics ワークスペースに報告します。 Update Compliance は、サービスにオンボードされているすべてのデバイスの情報を表示し、次の情報が最新かどうかを判断するのに役立ちます。
Update Compliance の Log Analytics ワークスペースをプロビジョニングするための前提条件の詳細については、「Update Compliance の概要 - Windows 展開」を参照してください。
統合された診断データは、Update Compliance ですぐに利用できるさまざまなレポート セクションに表示されます。 収集されたデータは、Update Compliance 内で 28 日間保存されます。
このセクションでは、すべての Windows クライアント デバイスの詳細と、Update Compliance によって検出された更新プログラムの問題について説明します。 このセクションの概要タイルでは、問題があるデバイスの数がカウントされますが、セクション内のブレードでは、サポートされていないオペレーティング システムのバージョンを持つデバイスやセキュリティ更新プログラムが見つからないなど、発生した問題が内訳されます。 これらのレポートに表示されるデバイスには、管理者による修復が必要です。 また、値を提供するが、再起動が保留中のデバイス、構成が一時停止されているデバイスなど、他のメイン セクションには収まらないクエリの定義済みの一覧もあります。
このセクションでは、デバイスが実行されている Windows のバージョンでリリースされた最新のセキュリティ更新プログラムに含まれるデバイスの割合を示します。 このセクションを選択すると、すべてのデバイスのセキュリティ更新プログラムの全体的な状態と、最新の 2 つのセキュリティ更新プログラムに対する展開の進行状況の概要を示すブレードが提供されます。
このセクションでは、特定のデバイスに適用できる最新の機能更新プログラムに含まれるデバイスの割合を示します。 このセクションを選択すると、すべてのデバイスの全体的な機能更新プログラムの状態と、環境内のさまざまなバージョンの Windows クライアントの展開状態の概要をまとめたブレードが提供されます。
このセクションでは、環境内で配信の最適化を利用することで発生する帯域幅の節約について説明します。 これは、デバイス間の配信の最適化構成の内訳を提供し、複数のコンテンツ タイプ間での帯域幅の節約と使用率をまとめたものです。
ソフトウェア更新プログラム管理プロセスの最もコストの高い側面の 1 つは、ソフトウェア更新プログラムのリリース サイクルごとにソフトウェア更新プログラムを受け取って報告するために、デバイス (物理および仮想) が常に正常であることを確認することです。 進行中の変更管理プロセスに問題が発生したときに、測定、迅速に検出、修復する方法を用意することが重要です。これは、ヘルプデスクチケットの量が多いを軽減し、コストを削減し、全体的な更新管理結果を改善するのに役立ちます。
Windows Autopatch は、Windows、Microsoft 365 Apps for Enterprise、Microsoft Edge、Microsoft Teams、Surface Driver/Firmware、Published Drivers/Firmware のパッチ適用を自動化するクラウド サービスであり、Windows Update ストア、Windows 365、Azure Virtual Desktop (AVD) で必須としてマークされていますorganization。 Windows Autopatch には、Windows Updatesの展開時の問題を軽減するために、organization用の追加レイヤーが用意されています。 Windows Autopatch 展開リングはデバイス レベルで分離されています。つまり、Windows Autopatch デバイス登録プロセス中に、デバイスをいずれかの展開リング (テスト、最初、高速、または広範) に割り当てます。
Windows Autopatch は、Windows 10/11 Enterprise E3 以降に含まれています。 ロールアウトの一部と見なす必要がある一部のネットワーク構成など、Autopatch を使用するための追加の前提条件があります。
準備評価ツールは、Microsoft IntuneとMicrosoft Entra IDの設定をチェックして、テナントの登録の一環として Windows Autopatch と連携していることを確認します。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。
準備状況評価を有効にするには:
準備評価ツールは、Intune設定をチェックして、Windows 10以降および最小管理者要件とライセンスのない管理者の展開リングを確認します。 また、共同管理やライセンスなど、Microsoft Entra設定も確認します。
準備状況評価ツールは、解決する必要がある問題と、準備完了状態に到達 するために実行する必要がある手順 についてレポートとアドバイスを提供します。 問題が解決したら、次の手順に進むことができます。
この手順の目的は、Windows Autopatch Service Engineering Team が今後サポートリクエストに関してorganizationの管理者に連絡し、登録プロセス中に最小管理者セットを拡張できるように、organizationにフォーカス領域ごとに管理者が存在することを確認することです。
フォーカス領域 | 説明 |
---|---|
デバイス | デバイスの登録 |
デバイスの正常性 | |
更新プログラム | Windows 品質更新プログラム |
Microsoft 365 Apps for enterprise の更新プログラム | |
Microsoft Edge の更新プログラム | |
Microsoft Teams の更新プログラム |
管理者の連絡先を追加するには、次の手順を実行します。
注意
管理者は、特に小規模な組織では、複数のフォーカス領域を持つことができます。
Windows Autopatch デバイス登録プロセスは、エンド ユーザーにとって透過的です。
Windows Autopatch は、お客様の代わりに更新プログラムの展開を管理するために、既存のデバイスをサービスに登録する必要があります。 デバイス登録を実行するには:
Microsoft Entra デバイス ID を含むデバイス (物理または仮想) は、Windows Autopatch デバイス登録Microsoft Entraグループに追加できます。 直接メンバーシップを使用するか、このグループに入れ子になっている別のMicrosoft Entra グループ (動的または割り当て済み) の一部を使用して、Windows Autopatch に登録できます。 唯一の例外はクラウド PC Windows 365です。これらの仮想デバイスは、Windows 365 プロビジョニング ポリシーから Windows Autopatch に登録する必要があります。
Windows 365 Enterpriseを使用すると、IT 管理者は、Windows 365 プロビジョニング ポリシーの作成の一環として、デバイスを Windows Autopatch サービスに登録できます。 このオプションは、管理者とユーザーがクラウド PC を常に最新の状態に保つシームレスなエクスペリエンスを提供します。 IT 管理者が Windows Autopatch を使用してWindows 365クラウド PC を管理することにした場合、Windows 365 プロビジョニング ポリシー作成プロセスでは、Windows Autopatch デバイス登録 API が呼び出され、IT 管理者に代わってデバイスが登録されます。Windows 365 プロビジョニング ポリシーから Windows Autopatch に新しいWindows 365 クラウド PC デバイスを登録するには:
これで、新しくプロビジョニングされたWindows 365 Enterpriseクラウド PC が自動的に登録され、Windows Autopatch によって管理されます。
Windows Autopatch は Azure Virtual Desktop で使用できます。 エンタープライズ管理者は、物理マシンごとに既存のデバイス登録プロセスを使用して、Windows Autopatch によって管理される Azure Virtual Desktop ワークロードをプロビジョニングできます。 Windows Autopatch は、 物理デバイスと同じサービス スコープを仮想マシンに提供します。 ただし、Windows Autopatch は、特に指定がない限り、Azure Virtual Desktop 固有のサポートをAzure サポートに延期します。
Autopatch には、Autopatch に登録されているすべてのデバイスの現在の状態と履歴 (縦) レポート (最大 90 日) のさまざまなレポートが表示され、必要に応じて CSV ファイルにエクスポートできます。 登録されているすべてのデバイスの現在の更新プログラムの状態を表示するには:
[すべてのデバイス] レポートには、次のものが含まれます。
情報 | 説明 |
---|---|
デバイス名 | デバイスの名前。 |
デバイス ID のMicrosoft Entra | 現在のMicrosoft Entra IDデバイスの記録されたデバイス ID。 |
シリアル番号 | 現在のIntuneデバイスのシリアル番号が記録されています。 |
展開リング | デバイスに現在割り当てられている Windows Autopatch 展開リング。 |
更新の状態 | デバイスの現在の更新状態 |
サブ状態を更新する | デバイスの現在の更新サブ状態 |
OS のバージョン | デバイスにインストールされている Windows の現在のバージョン。 |
OS リビジョン | デバイスにインストールされている Windows の現在のリビジョン。 |
最後のチェック時刻をIntuneする | デバイスが最後にIntuneにチェックインした時刻。 |
ISM コントロール 2024 年 9 月 | 成熟度レベル | Control | Measure |
---|---|---|---|
1694 | 1, 2, 3 | インターネットに接続するサーバーとインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 2 週間以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 | Windows Autopatch に登録されているデバイスの場合、更新プログラムは 2 週間以内にインストールされます。 |
1877 | 1, 2, 3 | 脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、インターネットに接続するサーバーやインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 48 時間以内に適用されます。 | 自動パッチ グループを使用すると、organizationは、必要に応じて 48 時間以内に期限を取り込む柔軟性を提供します。 |
1879 | 3 | ドライバーの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、リリースから 48 時間以内に適用されます。 | 自動パッチ グループを使用すると、organizationは、必要に応じて 48 時間以内に期限を取り込む柔軟性を提供します。 |
Microsoft Defender 脆弱性の管理 (DVM) は、Windows、macOS、Linux、Android、iOS、ネットワーク デバイス用の資産の可視性、インテリジェントな評価、組み込みの修復ツールを提供します。
前提条件として、エンドポイントをMicrosoft Defender for Endpointにオンボードする必要があります。 DVM を使用するための その他の前提条件 があります。 オンボードされると、DVM は脆弱性が個々のデバイスに適用されるかどうかを評価し、推奨されるアクションを提供できます。
デバイスが Defender for Endpoint にオンボードされると、DVM は、脆弱性にさらされる可能性のあるデバイスがあるかどうかを判断し、特定された脆弱性ごとにセキュリティに関する推奨事項を提供できます。
Microsoft セキュリティ ポータルの [脆弱性管理>インベントリ] の下に、Defender for Endpoint にオンボードされているエンドポイント間で識別されたソフトウェア製品 (ベンダー名、見つかった弱点、それらに関連付けられている脅威、公開されているデバイスなど) が表示されます。
[デバイス インベントリ] ページに移動して、特定のデバイスのソフトウェア インベントリを確認することもできます。 デバイスの名前を選択してデバイス ページ (Computer1 など) を開き、[ソフトウェア インベントリ] タブを選択して、デバイスに存在するすべての既知のソフトウェアの一覧を表示します。 特定のソフトウェア エントリを選択して、詳細情報を含むポップアップを開きます。
次のスクリーンショットに示すように、特定のソフトウェア ページを開くと、アプリケーションの詳細が表示されます。 表示される詳細は次のとおりです。
DVM 機能は、修復要求ワークフローを通じてセキュリティと IT 管理者の間のギャップを埋めるために設計されています。 DVM 修復アクションでは、ネイティブ統合を使用して、Intuneで修復タスクを生成できます。 さらに、DVM API を使用して、必要に応じてサード パーティのツールを使用して修復プロセスとアクションを調整できます。 次の手順では、DVM とIntuneを使用した修復ワークフローについて説明します。
この機能を使用するには、Microsoft Intune接続を有効にします。
注意
DVM で修復要求を作成するときに、対応するIntuneセキュリティ タスクを作成するには、Microsoft Intuneへの接続を有効にする必要があります。 接続が有効になっていない場合、Intuneセキュリティ タスクを作成するオプションは表示されません。
修復要求を送信すると、DVM 内に修復アクティビティ項目が作成されます。これは、修復の進行状況を監視するために使用できます。 管理者が [セキュリティの推奨事項] ページから修復要求を送信すると、[修復] ページで追跡できるセキュリティ タスクが作成され、修復チケットがMicrosoft Intuneで作成されます。 これにより、修復がトリガーされたり、デバイスに変更が適用されたりすることはありません。
次の図は、Intuneで作成されたセキュリティ タスクを示しています。
Intune管理者は、提供されたガイダンスに基づいてタスクを修復します。 ガイダンスは、必要な修復の種類によって異なります。 利用できる場合、修復ガイダンスには、Intune で構成に関連するウィンドウを開くリンクが含まれます。
DVM の詳細については、「 パッチ アプリケーション」セクションを参照してください。
ISM コントロール 2024 年 9 月 | 成熟度レベル | Control | Measure |
---|---|---|---|
1701 | 1, 2, 3 | 脆弱性スキャナーは、少なくとも毎日使用され、インターネットに接続するサーバーやインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラムまたは更新プログラムが見つからないかどうかを特定します。 | デバイスは Defender for Endpoint にオンボードされます。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。 |
1703 | 3 | 脆弱性スキャナーは、ドライバーの脆弱性に対する不足しているパッチまたは更新プログラムを特定するために、少なくとも 2020 年に使用されます。 | デバイスは Defender for Endpoint にオンボードされます。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。 |
1900 | 3 | 脆弱性スキャナーは、ファームウェアの脆弱性に関する不足しているパッチまたは更新プログラムを特定するために、少なくとも 22 日間使用されます。 | デバイスは Defender for Endpoint にオンボードされます。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。 |
Intuneのコンプライアンス ポリシーは、デバイスが 1 つ以上の構成済み要件を満たすことができるかどうかに基づいて、デバイスが準拠しているか非準拠であるかを判断する機能を提供します。 このデバイスのコンプライアンス状態は、条件付きアクセスによって保護されている企業リソースにアクセスして、リソースへのアクセスを許可または拒否するときに評価されます。
Intuneは、デバイスの現在のオペレーティング システムバージョンに基づいて、デバイスが準拠しているか非準拠かを判断できます。 条件付きアクセスでデバイス コンプライアンス許可制御を使用すると、ユーザーはオペレーティング システムの最小バージョンを満たす、または超えるデバイス上の企業リソースにのみアクセスできます。
オペレーティング システムの値に基づいてデバイスを評価する一般的なコンプライアンス ポリシーが提供されています。
注意
Windows 11とWindows 10の両方の最小 OS バージョンに指定される値は、時間の経過と共にインクリメントする必要があります。
ISM コントロール 2024 年 9 月 | 成熟度レベル | Control | Measure |
---|---|---|---|
1407 | 3 | オペレーティング システムの最新リリース (以前のリリース) が使用されます。 | 割り当てられたコンプライアンス ポリシーで定義されている OS バージョンを満たしていないデバイスを使用しているユーザーは、条件付きアクセスと組み合わせて使用すると、企業リソースにアクセスできません。 |
Microsoft では、Microsoft IntuneやAzure Update Managerなどのクラウド サービスを使用して、システムの OS バージョンを維持し、脆弱性に修正プログラムを適用することを提案しています。
ただし、オフラインのシステムとサーバーについては、Microsoft Configuration Managerのパッチ管理機能を使用することをお勧めします。 詳細については、「Microsoft Configuration Manager」を参照してください。
ISM コントロール 2024 年 9 月 | 成熟度レベル | Control | Measure |
---|---|---|---|
ISM-1695 | 1、2 | ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に適用されます。 | IT 管理者は、必要な日付の期限構成を使用して更新プログラムをデプロイMicrosoft Configuration Manager |
ISM-1696 | 3 | ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または脆弱性が存在する場合、リリースから 48 時間以内に適用されます。 | IT 管理者は、期限をできるだけ早く構成して更新プログラムをデプロイMicrosoft Configuration Manager |
ISM-1702 | 1, 2, 3 | 脆弱性スキャナーは、ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラムまたは更新プログラムが不足している場合を特定するために、少なくとも 22 日間使用されます。 | IT 管理者は、少なくとも 14 日に 1 回、システムで不足しているパッチのスキャンを実行するように、Configuration Managerのソフトウェア更新機能を構成します。 |
ISM-1902 | 3 | ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合、リリースから 1 か月以内に適用されます。 | IT 管理者は、Microsoft Configuration Managerで目的の日付の期限構成を使用して更新プログラムをデプロイします。 |
トレーニング
認定資格
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
最新の管理、共同管理のアプローチ、Microsoft Intune 統合の基本的な要素を使用して、エンドポイント展開戦略を計画して実行します。