英語で読む

次の方法で共有


Essential8 パッチ オペレーティング システム

次の表は、パッチ オペレーティング システムに関連する ISM コントロールの概要を示しています。

ISM コントロール 2024 年 9 月 成熟度レベル コントロール メジャー
ISM-1694 1, 2, 3 インターネットに接続するサーバーとインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 2 週間以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 Windows Update for Business と定義済みの更新リングを使用して、パッチは 2 週間のリリースでインストールされます。
ISM-1695 1、2 ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に適用されます。 IT 管理者は、必要な日付の期限構成を使用して更新プログラムをデプロイMicrosoft Configuration Manager
ISM-1696 3 ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または脆弱性が存在する場合、リリースから 48 時間以内に適用されます。 IT 管理者は、期限をできるだけ早く構成して更新プログラムをデプロイMicrosoft Configuration Manager
ISM-1701 1, 2, 3 脆弱性スキャナーは、少なくとも毎日使用され、インターネットに接続するサーバーやインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラムまたは更新プログラムが見つからないかどうかを特定します。 Defender for Endpoint にオンボードされているデバイス。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。
ISM-1702 1, 2, 3 脆弱性スキャナーは、ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラムまたは更新プログラムが不足している場合を特定するために、少なくとも 22 日間使用されます。 IT 管理者は、少なくとも 14 日に 1 回、システムで不足しているパッチのスキャンを実行するように、Configuration Managerのソフトウェア更新機能を構成します。
ISM-1877 1, 2, 3 脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、インターネットに接続するサーバーやインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 48 時間以内に適用されます。 Windows Update for Business の迅速なパッチ展開方法を使用して、パッチは 48 時間以内にインストールされます。
ISM-1501 1, 2, 3 ベンダーによってサポートされなくなったオペレーティング システムが置き換えられます。 定義されたリングを使用して、WUfB はデバイスを最新の機能更新プログラムに自動的に更新します。
ISM-1879 3 ドライバーの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、リリースから 48 時間以内に適用されます。 定義されたリングを使用して、WUfB はデバイスを最新の機能更新プログラムに自動的に更新します。
ISM-1900 3 脆弱性スキャナーは、ファームウェアの脆弱性に関する不足しているパッチまたは更新プログラムを特定するために、少なくとも 22 日間使用されます。 デバイスは Defender for Endpoint にオンボードされます。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。
ISM-1902 3 ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合、リリースから 1 か月以内に適用されます。 IT 管理者は、少なくとも 14 日に 1 回、システムで不足しているパッチのスキャンを実行するように、Configuration Managerのソフトウェア更新機能を構成します。
ISM-1903 3 ファームウェアの脆弱性に対するパッチ、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、リリースから 48 時間以内に適用されます。 Intuneのドライバーとファームウェアの展開方法は、最新のセキュリティで保護されたドライバーとファームウェアのバージョンを展開します。
ISM-1904 3 ファームウェアの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 Intuneのドライバーとファームウェアの展開方法は、最新のセキュリティで保護されたドライバーとファームウェアのバージョンを展開するために使用されます。
ISM-1697 3 ドライバーの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 Intuneドライバーとファームウェアの展開方法が使用され、ドライバーとファームウェアの脆弱性にパッチが適用されます
ISM-1703 3 脆弱性スキャナーは、ドライバーの脆弱性に対する不足しているパッチまたは更新プログラムを特定するために、少なくとも 2020 年に使用されます。 デバイスは Defender for Endpoint にオンボードされます。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。
ISM-17041 1, 2, 3 Office 生産性スイート、Web ブラウザーとその拡張機能、電子メール クライアント、PDF ソフトウェア、Adobe Flash Player、およびベンダーによってサポートされなくなったセキュリティ製品は削除されます。 Intuneアプリケーションのデプロイ方法は、サポートされていないアプリケーションと拡張機能を削除するために使用されます 2
ISM-18071 1, 2, 3 資産検出の自動化された方法は、その後の脆弱性スキャン アクティビティの資産の検出をサポートするために、少なくとも 2 日間使用されます。 スキャナーを使用して資産の検出を実行し、資産インベントリ2 を維持します。
ISM-18081 1, 2, 3 脆弱性スキャンアクティビティには、最新の脆弱性データベースを備えた脆弱性スキャナーが使用されます。 DVM の脆弱性データベースは、Microsoft や他のユーザーがネットワーク2 にインストールされているソフトウェアの脆弱性を検出すると、継続的に更新されます。

注意

1 これらのコントロールは、Essential 8 内のパッチ アプリケーションとパッチ OS の両方をカバーします。

2 これらのコントロールを実装する方法の詳細については、「 パッチ アプリケーション」セクションを参照してください。

ビジネス向け更新プログラム

Windows Update for Business (WUfB) を使用すると、IT 管理者は、これらのエンドポイントをWindows Updateに直接接続することで、organizationの Windows デバイスを最新のセキュリティと品質の更新プログラムと Windows 機能で最新の状態に保つことができます。 IT 管理者は、Microsoft Intuneと WUfB の統合を使用して、デバイスの更新設定を構成し、更新プログラムのインストールの延期を構成できます。

Windows Update for Business では、いくつかの種類の更新プログラムの管理ポリシーが提供されます。

  • 機能更新プログラム: これらの更新プログラムには、セキュリティと品質のリビジョンだけでなく、重要な機能の追加と変更も含まれています。 Windows 10 21H2 以降、機能更新プログラムは暦年の後半に毎年リリースされます。 機能更新プログラムのリリース情報については、Windows 10 - リリース情報 |Microsoft Docs
  • 品質更新プログラム: 通常は毎月第 2 火曜日にリリースされる従来のオペレーティング システムの更新プログラム (ただし、これらの更新プログラムはいつでもリリースできます)。 これらには、セキュリティ、重大事項、およびドライバーの更新が含まれます。 品質更新プログラムは累積的です。
  • Windows ドライバー: マネージド デバイスに適用されるデバイス ドライバー。
  • Microsoft 製品の更新プログラム: MSI バージョンの Microsoft 365 アプリや .NET (Dot Net) Framework など、他の Microsoft 製品のUpdates。 これらの更新プログラムは、Windows Update for Business ポリシーを使用して有効または無効にすることができます。

ビジネス リングのWindows Update

WUfB はリングの概念を持っています。 リングは、特定のデバイス グループを対象とする WUfB 設定とポリシーのコレクションです。 組織は必要な数のリングを使用できますが、ほとんどの組織は、以前に Microsoft Endpoint Configuration Manager などの他の修正プログラムを適用するツールで使用していたよりも少ないリングに落ち着いています。 最初に推奨されるリングの数は、3 ~ 5 リングです。

ビジネス設定と用語の重要なWindows Update

WUfB には、管理者が慣れていない可能性がある新しい概念と用語がいくつか導入されています。

  • 検出: デバイスは定期的にWindows Update サービスにチェックして、更新プログラムが提供されている場合にチェックします。 このチェックと、デバイスで更新プログラムを使用できるという判断は、検出と呼ばれます。
  • 遅延: Windows Update for Business では、指定した日数の間、更新プログラムがデバイスに提供されるのを延期できます。
  • 期限: 期限設定を使用すると、管理者は品質更新プログラムがデバイスにインストールされるまでの日数を指定できます。 指定した日数が経過すると、更新プログラムが自動的にインストールされます。 期限のカウントダウンは、更新プログラムが提供された時刻 (つまり、遅延オプションで指定された更新プログラムが検出された場合) からデバイスに開始されます。
  • 猶予期間: 猶予期間設定を使用すると、管理者は再起動が発生するまでの日数を指定して、更新プログラムを適用およびインストールできます。 指定した日数が経過すると、再起動が自動的に実行されます。 再起動のカウントダウンは、更新プログラムが正常にインストールされた時点から開始されます。

ビジネス設定のWindows Updateタイムライン例

期限の値 猶予期間の値 強制更新のインストール時間 強制再起動
0 0 検出直後 インストール直後
2 2 検出から 2 日後 更新プログラムのインストールから 2 日後

ビジネス リング構成のWindows Update

次に示すのは、合計 5 つのリングを含む WUfB リング構成の例です。 リングごとに、推奨される遅延、期限、猶予期間が一覧表示されます。 各リングの 完全な構成 は参照の容易さのために提供された。

  • リング 0 – テスト デバイス: 専用のテスト デバイス (重要なアプリ & 初期スモークスクリーン)
  • リング 1 – パイロット デバイス: IT 管理者、早期導入者 (デバイス全体の 1% で構成)
  • リング 2 – 高速デバイス: デバイスのランダムな品揃え (デバイス全体の 9% で構成)
  • リング 3 – 広範なデバイス: 広範な展開 (デバイス全体の 90% で構成)
  • リング 4 – 重要なデバイス: エグゼクティブ スタッフ、ビジネス クリティカルなデバイスなど。

WUfB 5 リング構成。

リング 0: テスト デバイス

  • リリースから 0 日後に更新プログラムをインストールします。

組織は、専用のテスト デバイスで構成される "リング 0" を構成する必要があります。 リング 0、テスト デバイス。

これらのデバイスは、遅延なしで更新プログラムを受信します。 管理者は、これらのデバイスを最新の更新プログラムと共に使用して、重要なアプリケーションと機能の初期検証を引き続き期待どおりに動作させることができます。

品質更新プログラムの遅延 機能更新プログラムの延期 期限の値 猶予期間の値 強制品質更新プログラムのインストール時間 強制再起動
0 0 0 0 リリースと検出の直後 強制更新プログラムのインストール直後

このリングの完全な構成については、「ビジネス リング構成のWindows Update」を参照してください。

リング 1: パイロット

  • リリースから 2 日後に更新プログラムをインストールする (デバイスの 1%)

IT スタッフと選択された早期導入者は Ring 1 を構成し、通常は管理対象デバイス全体の約 1% を占める。 リング 1、パイロット デバイス。

リング 0 での最初のテストとは別に、このリングは、デバイスの数が増える前に問題を明らかにするために日々の作業を実行するユーザーによるテストの最初の行を提供します。

品質更新プログラムの遅延 機能更新プログラムの延期 期限の値 猶予期間の値 強制品質更新プログラムのインストール時間 強制再起動
2 10 2 2 品質更新プログラムのリリースと検出から 4 日後 強制更新プログラムのインストールから 2 日後

このリングの完全な構成については、「ビジネス リング構成のWindows Update」を参照してください。

注意

このリングから問題が発生した場合のトラブルシューティングと解決に使用される特権アクセス ワークステーションを除外します。 幅広リングは、これらのデバイスに適したリングになります。

リング 2: 高速

  • リリースから 4 日後に更新プログラムをインストールする (デバイスの 9%)

組織エンドポイントの 9% で構成されるランダムな品揃えは、Ring 2 に追加する必要があります。 リング2、高速リング。

これらのデバイスは、リリースから 4 日後に更新プログラムを受信するように構成されているため、organizationの残りの部分への広範な展開の前に、ユーザーの数が増えることでより多くのテストが可能になります。

品質更新プログラムの遅延 機能更新プログラムの延期 期限の値 猶予期間の値 強制品質更新プログラムのインストール時間 強制再起動
4 30 2 2 品質更新プログラムのリリースと検出から 6 日後 強制更新プログラムのインストールから 2 日後

このリングの完全な構成については、「ビジネス リング構成のWindows Update」を参照してください。

リング 3: 広い

  • リリースから 7 日後に更新プログラムをインストールする (デバイスの 90%)

残りのデバイスはすべて、リング 3 の一部として構成する必要があります。 リング3、広いリング。

この段階では、組織は、更新プログラムをデバイス全体に広くインストールできる自信を持っています。 Ring 3 では、自動的にインストールされる前に、リリースから 7 日間延期されるように更新プログラムが構成されます。

品質更新プログラムの遅延 機能更新プログラムの延期 期限の値 猶予期間の値 強制品質更新プログラムのインストール時間 強制再起動
7 60 2 2 品質更新プログラムのリリースと検出から 9 日後 強制更新プログラムのインストールから 2 日後

このリングの完全な構成については、「ビジネス リング構成のWindows Update」を参照してください。

リング 4: 重要なシステム

  • リリースから 14 日後に更新プログラムをインストールする

一部の組織には、エグゼクティブ スタッフが使用するデバイスなど、少数の重要なデバイスがあります。 リング 4、クリティカル リング。

このような種類のデバイスの場合、組織は、中断の可能性を最小限に抑えるために、品質と機能の両方の更新プログラムのインストールをさらに延期したい場合があります。 これらのデバイスは、特にこれらの重要なデバイス用のリング 4 の一部になります。

品質更新プログラムの遅延 機能更新プログラムの延期 猶予期間の値 期限の値 インストール時間の更新 強制再起動
10 90 2 2 品質更新プログラムのリリースと検出から 12 日後 強制更新プログラムのインストールから 2 日後

このリングの完全な構成については、付録の「ビジネス リング構成のWindows Update」を参照してください。

ISM コントロール 2024 年 9 月 成熟度レベル Control Measure
1694 1, 2, 3 インターネットに接続するサーバーとインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 2 週間以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 Windows Update for Business と定義済みの更新リングを使用して、パッチは 2 週間のリリースでインストールされます。
1501 1, 2, 3 ベンダーによってサポートされなくなったオペレーティング システムが置き換えられます。 定義されたリングを使用して、WUfB はデバイスを最新の機能更新プログラムに自動的に更新します。

品質更新プログラムの迅速化

Intuneでは、品質更新プログラムを迅速化し、最新のパッチ火曜日のリリースや、0 日間の欠陥に対する帯域外のセキュリティ更新プログラムなど、品質更新プログラムのインストールを高速化する機能が提供されます。 インストールを高速化するために、更新プログラムを迅速化するには、Windows プッシュ通知サービス (WNS) やプッシュ通知チャネルなどの利用可能なサービスを使用して、インストールする迅速な更新プログラムがあることを示すメッセージをデバイスに配信します。 このプロセスにより、デバイスが更新プログラムをチェックするまで待たずに、できるだけ早く迅速な更新プログラムのダウンロードとインストールを開始できます。

実装の詳細 – 品質更新プログラムの迅速化

品質更新プログラムを迅速化するには:

  1. Windows 10以降のプロファイルの品質更新プログラムを [デバイス>Windows>Windows 10 以降の品質更新プログラム (プレビュー) で作成する
  2. 名前を指定します。 ポリシーの名前は、参照しやすくするために、品質更新プログラムのバージョンに合わせて調整することをお勧めします。
  3. デバイスのオペレーティング システムのバージョンがより小さい場合に、Business Windows Updateがのインストールを迅速化する品質更新プログラムを定義します。
  4. デバイスの再起動が適用されるまでの日数を定義する
  5. 該当するすべての Windows デバイスを含むグループにプロファイルを割り当てる

注意

再起動が適用されるまでに待機する日数が 0 に設定されている場合、デバイスは更新プログラムを受信するとすぐに再起動されます。 ユーザーは再起動を遅らせるオプションを受け取りません。

ISM コントロール 2024 年 9 月 成熟度レベル Control Measure
1877 1, 2, 3 脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、インターネットに接続するサーバーやインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 48 時間以内に適用されます。 Windows Update for Business の迅速なパッチ展開方法を使用して、パッチは 48 時間以内にインストールされます。
1879 3 ドライバーの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、リリースから 48 時間以内に適用されます。 定義されたリングを使用して、WUfB はデバイスを最新の機能更新プログラムに自動的に更新します。

注意

最終的には、迅速な品質更新ポリシーを削除することをお勧めします。通常は、パッチがすべてのデバイスに正常にデプロイされたことが確認された場合、または翌月の更新プログラムに置き換えられます。

配信の最適化

配信の最適化は、従来のインターネット ベースのサーバーに加えて、クライアントが代替ソース (ネットワーク上の他のピアなど) から更新プログラムをダウンロードできるようにするクラウド管理ソリューションです。 Intuneを使用して構成すると、Windows デバイスの配信の最適化設定を構成して、更新プログラム バイナリのダウンロード時のインターネット帯域幅の消費を減らすことができます。

実装の詳細 – 配信の最適化ポリシー

  1. 配信の最適化ポリシーを作成します。[デバイス>Windows>Configuration Profile>Create profile>Platform>Windows 10 以降>Profile 型テンプレート>配信の最適化
  2. ポリシーの名前を指定する
  3. [ 構成設定] ページで、付録の配信最適化ポリシー設定に従って値を使用し、ポリシーを作成します。
  4. 該当するすべての Windows デバイスを含むグループにプロファイルを割り当てます。

Intune ドライバーとファームウェア更新プログラムの管理

Microsoft Intuneの Windows ドライバー更新プログラム管理を使用すると、管理対象のWindows 10とWindows 11 デバイス全体でドライバー更新プログラムの展開を監視、承認、一時的に停止する機能が得られます。 Intune、Windows Update for Business (WUfB) Deployment Service (DS) と共に、ドライバー更新プログラム ポリシーの下でデバイスに関連するドライバーの更新プログラムを識別する複雑なプロセスを処理します。 これらの更新プログラムは、Intuneと WUfB-DS によって分類され、すべてのデバイスに適した推奨更新プログラムと、特定のニーズに合わせたオプションの更新プログラムを区別するプロセスが合理化されます。 Windows ドライバー更新ポリシーを使用すると、デバイスへのドライバー更新プログラムのインストールを完全に制御できます。

次のことが可能になります。

  • 推奨ドライバー Updatesの自動承認を有効にする: 自動承認用に構成されたポリシーは、すぐに緑色に点灯し、新しい推奨ドライバー更新プログラムのバージョンをポリシーに割り当てられたデバイスに展開します。 推奨されるドライバーは、通常、ドライバーの発行元によって必須としてフラグが設定された最新の更新プログラムを表します。 さらに、現在の推奨バージョンとして指定されていないドライバーは、他のドライバーとしてカタログ化され、オプションの更新プログラムが提供されます。 その後、OEM からの新しいドライバー更新プログラムがリリースされ、現在の推奨ドライバー更新プログラムとして識別されると、Intune自動的にポリシーに追加され、以前に推奨されたドライバーが他のドライバーの一覧に移動されます。
  • すべての更新プログラムの手動承認を必要とするようにポリシーを構成する: このポリシーを使用すると、ドライバー更新プログラムを展開する前に管理者が承認する必要があります。 このポリシーを使用したデバイスのドライバー更新プログラムの新しいバージョンは自動的にポリシーに追加されますが、承認されるまで非アクティブなままになります。
  • 展開が承認されるドライバーを管理する: 任意のドライバー更新ポリシーを編集して、展開が承認されているドライバーを変更できます。 個々のドライバー更新プログラムの展開を一時停止して新しいデバイスへの展開を停止し、後で一時停止した更新プログラムを再度実行して、Windows Updateが該当するデバイスへのインストールを再開できるようにします。

ドライバーとファームウェアの管理機能を使用してドライバーとファームウェアの更新プログラムIntune展開する手順

手順 1: ドライバー更新プロファイルと展開リングを作成する

ドライバー ポリシーの更新ポリシーが作成されると、IT 管理者は自動更新と手動更新のどちらかを選択できます。

  • 自動: 推奨されるすべてのドライバーを自動的に承認し、検出後に提供を開始する期間を設定します。
  • 手動: ドライバーを手動で承認し、承認時に更新プログラムの提供を開始する日を選択します。 このオプションでは、手動で承認されるまでドライバーは提供されません。 デプロイ リングのセットを作成するには、次の設定の組み合わせを使用することをお勧めします。
    • 承認方法: 推奨されるすべてのドライバー更新プログラムを自動的に承認する
    • 更新プログラムを (日数) 後に使用できるようにする

手順 2: 使用可能なドライバーを確認する

ポリシーが作成されたら、デバイスが約 1 日ほど更新プログラムをスキャンできるようにします。 [ レビューするドライバー ] 列には、手動承認を確認する準備ができている新しい推奨ドライバー更新プログラムの数が含まれています。 自動ポリシーでは、推奨されるドライバーが自動的に承認されるため、0 での滞在を確認するドライバー。 これは、新しいドライバーが検出され、それらのドライバーの展開を承認または拒否するかどうかの決定を待っていることを示す優れた指標です。

手順 3: ドライバーを承認する

IT 管理者がドライバーを承認すると、さらに将来の承認日を指定できます。 ドライバーが承認されると、Intuneマネージド Windows デバイスは、次のポリシー同期サイクル (通常は 8 時間ごと) でそれらを受け取ります。

ISM コントロール 2024 年 9 月 成熟度レベル Control Measure
ISM-1697 3 ドライバーの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 Intuneのドライバーとファームウェアの展開方法を使用して、脆弱性を軽減する最新バージョンのドライバーを承認および展開します
ISM-1903 3 ファームウェアの脆弱性に対するパッチ、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、リリースから 48 時間以内に適用されます。 IT 管理者は、ファームウェアの脆弱性がベンダーによって重要と評価された場合に、Intune コンソールで新しいバージョンのファームウェアを承認します
ISM-1904 3 ファームウェアの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 Intuneのドライバーとファームウェアの展開方法は、最新のセキュリティで保護されたドライバーとファームウェアのバージョンを展開します。

更新プログラムのインストールの監視

注意

更新プログラムのコンプライアンスは、2023 年 3 月から非推奨になりました。

Update Compliance (Log Analytics) を使用したコンプライアンスに関するレポート

更新プログラムのコンプライアンスにより、Windows 10またはWindows 11 Professional、Education、Enterprise エディションの品質と機能の更新プログラムを監視できます。 Update Compliance は、Windows クライアント診断データを照合して、Windows デバイスの更新プログラムの状態を Log Analytics ワークスペースに報告します。 Update Compliance は、サービスにオンボードされているすべてのデバイスの情報を表示し、次の情報が最新かどうかを判断するのに役立ちます。

  • セキュリティ更新プログラム: デバイスは、適用可能な最新の品質更新プログラムがインストールされるたびに、品質更新プログラムの最新の状態になります。 品質更新プログラムは、Windows クライアントのバージョンに固有の毎月の累積的な更新プログラムです。
  • 機能更新プログラム: デバイスは、該当する最新の機能更新プログラムがインストールされるたびに、機能更新プログラムで最新の状態になります。 更新プログラムコンプライアンスは、更新プログラムの適用性を判断するときにサービス チャネルを考慮します。

Update Compliance の Log Analytics ワークスペースをプロビジョニングするための前提条件の詳細については、「Update Compliance の概要 - Windows 展開」を参照してください。

コンプライアンスを更新するためのデバイスのオンボード

  1. Update Compliance ソリューションが作成されたら、Log Analytics ワークスペースの [ソリューション] タブに移動して商用 ID を取得し、WaaSUpdateInsights ソリューションを選択します。 CommercialID は、特定の Log Analytics ワークスペースに割り当てられたグローバルに一意の識別子です。
  2. 更新プログラムコンプライアンス ポリシーに一致するようにポリシーを構成する
  3. コンソールから、CommercialID の値を一意の CommercialID に変更します (手順 1 の間に収集されます)
  4. 該当するすべての Windows デバイスを含むグループにプロファイルを割り当てます。

コンプライアンス レポートの更新の使用

統合された診断データは、Update Compliance ですぐに利用できるさまざまなレポート セクションに表示されます。 収集されたデータは、Update Compliance 内で 28 日間保存されます。

[注意が必要なコンプライアンス レポート] セクション

このセクションでは、すべての Windows クライアント デバイスの詳細と、Update Compliance によって検出された更新プログラムの問題について説明します。 このセクションの概要タイルでは、問題があるデバイスの数がカウントされますが、セクション内のブレードでは、サポートされていないオペレーティング システムのバージョンを持つデバイスやセキュリティ更新プログラムが見つからないなど、発生した問題が内訳されます。 これらのレポートに表示されるデバイスには、管理者による修復が必要です。 また、値を提供するが、再起動が保留中のデバイス、構成が一時停止されているデバイスなど、他のメイン セクションには収まらないクエリの定義済みの一覧もあります。

[注意が必要] セクション。

[セキュリティ更新プログラムの状態コンプライアンス レポート] セクション

このセクションでは、デバイスが実行されている Windows のバージョンでリリースされた最新のセキュリティ更新プログラムに含まれるデバイスの割合を示します。 このセクションを選択すると、すべてのデバイスのセキュリティ更新プログラムの全体的な状態と、最新の 2 つのセキュリティ更新プログラムに対する展開の進行状況の概要を示すブレードが提供されます。

セキュリティ更新プログラムの状態。

[機能更新の状態コンプライアンス レポート] セクション

このセクションでは、特定のデバイスに適用できる最新の機能更新プログラムに含まれるデバイスの割合を示します。 このセクションを選択すると、すべてのデバイスの全体的な機能更新プログラムの状態と、環境内のさまざまなバージョンの Windows クライアントの展開状態の概要をまとめたブレードが提供されます。

機能更新プログラムの状態。

配信の最適化の状態コンプライアンス レポート セクション

このセクションでは、環境内で配信の最適化を利用することで発生する帯域幅の節約について説明します。 これは、デバイス間の配信の最適化構成の内訳を提供し、複数のコンテンツ タイプ間での帯域幅の節約と使用率をまとめたものです。

配信の最適化の状態。

Windows 自動パッチ

ソフトウェア更新プログラム管理プロセスの最もコストの高い側面の 1 つは、ソフトウェア更新プログラムのリリース サイクルごとにソフトウェア更新プログラムを受け取って報告するために、デバイス (物理および仮想) が常に正常であることを確認することです。 進行中の変更管理プロセスに問題が発生したときに、測定、迅速に検出、修復する方法を用意することが重要です。これは、ヘルプデスクチケットの量が多いを軽減し、コストを削減し、全体的な更新管理結果を改善するのに役立ちます。

Windows Autopatch は、Windows、Microsoft 365 Apps for Enterprise、Microsoft Edge、Microsoft Teams、Surface Driver/Firmware、Published Drivers/Firmware のパッチ適用を自動化するクラウド サービスであり、Windows Update ストア、Windows 365、Azure Virtual Desktop (AVD) で必須としてマークされていますorganization。 Windows Autopatch には、Windows Updatesの展開時の問題を軽減するために、organization用の追加レイヤーが用意されています。 Windows Autopatch 展開リングはデバイス レベルで分離されています。つまり、Windows Autopatch デバイス登録プロセス中に、デバイスをいずれかの展開リング (テスト、最初、高速、または広範) に割り当てます。

Windows Autopatch は、Windows 10/11 Enterprise E3 以降に含まれています。 ロールアウトの一部と見なす必要がある一部のネットワーク構成など、Autopatch を使用するための追加の前提条件があります。

自動パッチ登録手順

手順 1: 準備状況の評価

準備評価ツールは、Microsoft IntuneとMicrosoft Entra IDの設定をチェックして、テナントの登録の一環として Windows Autopatch と連携していることを確認します。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。

準備状況評価を有効にするには:

  1. グローバル管理者として、[Intune] に移動します
  2. 左側のウィンドウで、[ テナント管理 ] を選択し、[ Windows Autopatch>Tenant 登録] に移動します。

準備評価ツールは、Intune設定をチェックして、Windows 10以降および最小管理者要件とライセンスのない管理者の展開リングを確認します。 また、共同管理やライセンスなど、Microsoft Entra設定も確認します。

準備状況評価ツールは、解決する必要がある問題と、準備完了状態に到達 するために実行する必要がある手順 についてレポートとアドバイスを提供します。 問題が解決したら、次の手順に進むことができます。

手順 2: 管理者の連絡先を確認する

この手順の目的は、Windows Autopatch Service Engineering Team が今後サポートリクエストに関してorganizationの管理者に連絡し、登録プロセス中に最小管理者セットを拡張できるように、organizationにフォーカス領域ごとに管理者が存在することを確認することです。

フォーカス領域 説明
デバイス デバイスの登録
デバイスの正常性
更新プログラム Windows 品質更新プログラム
Microsoft 365 Apps for enterprise の更新プログラム
Microsoft Edge の更新プログラム
Microsoft Teams の更新プログラム

管理者の連絡先を追加するには、次の手順を実行します。

  1. Intuneにサインインします。
  2. [Windows Autopatch] セクションの [テナント管理] で、[連絡先の管理] を選択します。
  3. [追加] を選択します。
  4. 名前、電子メール、電話番号、優先言語などの連絡先の詳細を入力します。 サポート チケットの場合、チケットの主要連絡先の優先言語によって、メール通信に使用される言語が決まります。
  5. フォーカス領域を選択し、指定したフォーカス領域で連絡先の知識と権限の詳細を入力します。
  6. [ 保存] を選択 して連絡先を追加します。
  7. フォーカス領域ごとに繰り返します。

注意

管理者は、特に小規模な組織では、複数のフォーカス領域を持つことができます。

手順 3: デバイスの登録

Windows Autopatch デバイス登録プロセスは、エンド ユーザーにとって透過的です。

Windows Autopatch でのデバイス登録。

Windows Autopatch は、お客様の代わりに更新プログラムの展開を管理するために、既存のデバイスをサービスに登録する必要があります。 デバイス登録を実行するには:

  • IT 管理者は、 Windows Autopatch にデバイスを登録する 前に、Windows Autopatch デバイスの登録の前提条件を確認します
  • IT 管理者は、Windows Autopatch によって管理されるデバイスを識別し、Windows Autopatch Device Registration Microsoft Entra グループに追加します
  • 次に、Windows Autopatch:
    • デバイスの準備の事前登録を実行します (前提条件のチェック)
    • デプロイ リングの分布を計算します
    • 前の計算に基づいて、デバイスを展開リングに割り当てます
    • 管理に必要な他のMicrosoft Entra グループにデバイスを割り当てます
    • 更新プログラムの展開ポリシーを適用できるように、デバイスを管理用にアクティブとしてマークします
  • IT 管理者はデバイス登録の傾向を監視し、更新プログラムの展開レポート詳細なデバイス登録のワークフローについては、 こちらを参照してください

Windows Autopatch デバイスの種類

Microsoft Entra デバイス ID を含むデバイス (物理または仮想) は、Windows Autopatch デバイス登録Microsoft Entraグループに追加できます。 直接メンバーシップを使用するか、このグループに入れ子になっている別のMicrosoft Entra グループ (動的または割り当て済み) の一部を使用して、Windows Autopatch に登録できます。 唯一の例外はクラウド PC Windows 365です。これらの仮想デバイスは、Windows 365 プロビジョニング ポリシーから Windows Autopatch に登録する必要があります。

Windows 365の自動パッチ

Windows 365 Enterpriseを使用すると、IT 管理者は、Windows 365 プロビジョニング ポリシーの作成の一環として、デバイスを Windows Autopatch サービスに登録できます。 このオプションは、管理者とユーザーがクラウド PC を常に最新の状態に保つシームレスなエクスペリエンスを提供します。 IT 管理者が Windows Autopatch を使用してWindows 365クラウド PC を管理することにした場合、Windows 365 プロビジョニング ポリシー作成プロセスでは、Windows Autopatch デバイス登録 API が呼び出され、IT 管理者に代わってデバイスが登録されます。Windows 365 プロビジョニング ポリシーから Windows Autopatch に新しいWindows 365 クラウド PC デバイスを登録するには:

  1. [Intune] に移動します。
  2. 左側のウィンドウで、[デバイス] を選択 します
  3. [プロビジョニング>Windows 365] に移動します。
  4. [ プロビジョニング ポリシー>ポリシーの作成] を選択します。
  5. ポリシー名を指定し、[ Join Type]\(参加の種類\) を選択します。
  6. [次へ] を選択します。
  7. 目的のイメージを選択し、[ 次へ] を選択します。
  8. [ Microsoft マネージド サービス ] セクションで、[ Windows Autopatch] を選択します。 さらに [次へ] を選択します。
  9. それに応じてポリシーを割り当て、[ 次へ] を選択します。
  10. [作成] を選択します。

これで、新しくプロビジョニングされたWindows 365 Enterpriseクラウド PC が自動的に登録され、Windows Autopatch によって管理されます。

Azure Virtual Desktop 上の Windows Autopatch

Windows Autopatch は Azure Virtual Desktop で使用できます。 エンタープライズ管理者は、物理マシンごとに既存のデバイス登録プロセスを使用して、Windows Autopatch によって管理される Azure Virtual Desktop ワークロードをプロビジョニングできます。 Windows Autopatch は、 物理デバイスと同じサービス スコープを仮想マシンに提供します。 ただし、Windows Autopatch は、特に指定がない限り、Azure Virtual Desktop 固有のサポートをAzure サポートに延期します。

自動パッチ ダッシュボードとレポート

Autopatch には、Autopatch に登録されているすべてのデバイスの現在の状態と履歴 (縦) レポート (最大 90 日) のさまざまなレポートが表示され、必要に応じて CSV ファイルにエクスポートできます。 登録されているすべてのデバイスの現在の更新プログラムの状態を表示するには:

  1. Intuneにサインインします。
  2. [レポート>Windows Autopatch>Windows Quality Updates に移動します。

[すべてのデバイス] レポートには、次のものが含まれます。

情報 説明
デバイス名 デバイスの名前。
デバイス ID のMicrosoft Entra 現在のMicrosoft Entra IDデバイスの記録されたデバイス ID。
シリアル番号 現在のIntuneデバイスのシリアル番号が記録されています。
展開リング デバイスに現在割り当てられている Windows Autopatch 展開リング。
更新の状態 デバイスの現在の更新状態
サブ状態を更新する デバイスの現在の更新サブ状態
OS のバージョン デバイスにインストールされている Windows の現在のバージョン。
OS リビジョン デバイスにインストールされている Windows の現在のリビジョン。
最後のチェック時刻をIntuneする デバイスが最後にIntuneにチェックインした時刻。
ISM コントロール 2024 年 9 月 成熟度レベル Control Measure
1694 1, 2, 3 インターネットに接続するサーバーとインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 2 週間以内に、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合に適用されます。 Windows Autopatch に登録されているデバイスの場合、更新プログラムは 2 週間以内にインストールされます。
1877 1, 2, 3 脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、インターネットに接続するサーバーやインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 48 時間以内に適用されます。 自動パッチ グループを使用すると、organizationは、必要に応じて 48 時間以内に期限を取り込む柔軟性を提供します。
1879 3 ドライバーの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または作業の悪用が存在する場合、リリースから 48 時間以内に適用されます。 自動パッチ グループを使用すると、organizationは、必要に応じて 48 時間以内に期限を取り込む柔軟性を提供します。

Microsoft Defender 脆弱性の管理を使用して脆弱性を特定する

Microsoft Defender 脆弱性の管理 (DVM) は、Windows、macOS、Linux、Android、iOS、ネットワーク デバイス用の資産の可視性、インテリジェントな評価、組み込みの修復ツールを提供します。

前提条件として、エンドポイントをMicrosoft Defender for Endpointにオンボードする必要があります。 DVM を使用するための その他の前提条件 があります。 オンボードされると、DVM は脆弱性が個々のデバイスに適用されるかどうかを評価し、推奨されるアクションを提供できます。

実装の詳細 – エンドポイントをMicrosoft Defender for Endpointにオンボードする

  1. テンプレート>Microsoft Defender for Endpoint (Windows 10 以降を実行しているデスクトップ デバイス) の種類を使用して、新しい Windows 構成プロファイルを作成します。
  2. [迅速なテレメトリ レポートの頻度] を [有効] に設定します。
  3. 該当するすべての Windows デバイスを含むグループにプロファイルを割り当てます。

Microsoft Defender 脆弱性の管理を使用した脆弱性の検出

デバイスが Defender for Endpoint にオンボードされると、DVM は、脆弱性にさらされる可能性のあるデバイスがあるかどうかを判断し、特定された脆弱性ごとにセキュリティに関する推奨事項を提供できます。

Microsoft セキュリティ ポータルの [脆弱性管理>インベントリ] の下に、Defender for Endpoint にオンボードされているエンドポイント間で識別されたソフトウェア製品 (ベンダー名、見つかった弱点、それらに関連付けられている脅威、公開されているデバイスなど) が表示されます。

ソフトウェア インベントリ。

[デバイス インベントリ] ページに移動して、特定のデバイスのソフトウェア インベントリを確認することもできます。 デバイスの名前を選択してデバイス ページ (Computer1 など) を開き、[ソフトウェア インベントリ] タブを選択して、デバイスに存在するすべての既知のソフトウェアの一覧を表示します。 特定のソフトウェア エントリを選択して、詳細情報を含むポップアップを開きます。

ソフトウェアの詳細。

次のスクリーンショットに示すように、特定のソフトウェア ページを開くと、アプリケーションの詳細が表示されます。 表示される詳細は次のとおりです。

  • 特定された脆弱性と脆弱性に対応するセキュリティに関する推奨事項。
  • 検出された脆弱性の名前付き CVEs。
  • ソフトウェアがインストールされているデバイス (デバイス名、ドメイン、OS など)。
  • ソフトウェアバージョンの一覧 (バージョンがインストールされているデバイスの数、検出された脆弱性の数、インストールされているデバイスの名前を含む)。

選択した脆弱性の修復を要求する画面 1。

Microsoft Intuneを使用した脆弱性の修復

DVM 機能は、修復要求ワークフローを通じてセキュリティと IT 管理者の間のギャップを埋めるために設計されています。 DVM 修復アクションでは、ネイティブ統合を使用して、Intuneで修復タスクを生成できます。 さらに、DVM API を使用して、必要に応じてサード パーティのツールを使用して修復プロセスとアクションを調整できます。 次の手順では、DVM とIntuneを使用した修復ワークフローについて説明します。

この機能を使用するには、Microsoft Intune接続を有効にします。

  1. Microsoft Defender ポータルで。
  2. [設定>Endpoints>General>Advanced 機能に移動します。
  3. 下にスクロールし、Microsoft Intune接続を探します。
  4. 既定では、トグルはオフになっています。 [Microsoft Intune接続] トグルを [オン] に切り替えます。

注意

DVM で修復要求を作成するときに、対応するIntuneセキュリティ タスクを作成するには、Microsoft Intuneへの接続を有効にする必要があります。 接続が有効になっていない場合、Intuneセキュリティ タスクを作成するオプションは表示されません。

  1. Microsoft Defender ポータルの [脆弱性管理] ナビゲーション メニューに移動し、[推奨事項] を選択します
  2. 修復を要求するセキュリティの推奨事項を選択し、[ 修復 オプション] を選択します。
  3. 修復を要求するもの、該当するデバイス グループ、優先順位、期限、オプションのメモなど、フォームに入力します。

選択した脆弱性の修復を要求する画面 2。 選択した脆弱性の修復を要求する画面 3.

修復要求を送信すると、DVM 内に修復アクティビティ項目が作成されます。これは、修復の進行状況を監視するために使用できます。 管理者が [セキュリティの推奨事項] ページから修復要求を送信すると、[修復] ページで追跡できるセキュリティ タスクが作成され、修復チケットがMicrosoft Intuneで作成されます。 これにより、修復がトリガーされたり、デバイスに変更が適用されたりすることはありません。

次の図は、Intuneで作成されたセキュリティ タスクを示しています。

Intuneのセキュリティ タスク。

  1. Intune管理者がセキュリティ タスクを選択して、タスクの詳細を表示します。 次に、管理者は [同意] を選択します。これにより、Intuneと Defender for Endpoint の両方の状態が [Accepted] に更新されます。

Intune管理者は、提供されたガイダンスに基づいてタスクを修復します。 ガイダンスは、必要な修復の種類によって異なります。 利用できる場合、修復ガイダンスには、Intune で構成に関連するウィンドウを開くリンクが含まれます。

DVM の詳細については、「 パッチ アプリケーション」セクションを参照してください。

ISM コントロール 2024 年 9 月 成熟度レベル Control Measure
1701 1, 2, 3 脆弱性スキャナーは、少なくとも毎日使用され、インターネットに接続するサーバーやインターネットに接続するネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラムまたは更新プログラムが見つからないかどうかを特定します。 デバイスは Defender for Endpoint にオンボードされます。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。
1703 3 脆弱性スキャナーは、ドライバーの脆弱性に対する不足しているパッチまたは更新プログラムを特定するために、少なくとも 2020 年に使用されます。 デバイスは Defender for Endpoint にオンボードされます。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。
1900 3 脆弱性スキャナーは、ファームウェアの脆弱性に関する不足しているパッチまたは更新プログラムを特定するために、少なくとも 22 日間使用されます。 デバイスは Defender for Endpoint にオンボードされます。 Microsoft Defender 脆弱性の管理は、organizationのデバイス全体でリスクを継続的に監視および検出します。

デバイスのオペレーティング システムのバージョンに基づくコンプライアンス

Intuneのコンプライアンス ポリシーは、デバイスが 1 つ以上の構成済み要件を満たすことができるかどうかに基づいて、デバイスが準拠しているか非準拠であるかを判断する機能を提供します。 このデバイスのコンプライアンス状態は、条件付きアクセスによって保護されている企業リソースにアクセスして、リソースへのアクセスを許可または拒否するときに評価されます。

Intuneは、デバイスの現在のオペレーティング システムバージョンに基づいて、デバイスが準拠しているか非準拠かを判断できます。 条件付きアクセスでデバイス コンプライアンス許可制御を使用すると、ユーザーはオペレーティング システムの最小バージョンを満たす、または超えるデバイス上の企業リソースにのみアクセスできます。

実装の詳細: Windows Updateコンプライアンス ポリシー

  1. Windows コンプライアンス ポリシーを作成します。[デバイス] > [Windows > コンプライアンス ポリシー] > [ポリシーの作成] > [プラットフォーム > Windows 10以降] の順に選択します。
  2. ポリシーの名前を指定します。
  3. [ デバイスのプロパティ] を選択し、最小 OS バージョンで準拠していると見なされるオペレーティング システムの最小バージョンを入力します。
  4. 該当するすべての Windows デバイスを含むグループにプロファイルを割り当てます。

オペレーティング システムの値に基づいてデバイスを評価する一般的なコンプライアンス ポリシーが提供されています。

注意

Windows 11Windows 10の両方の最小 OS バージョンに指定される値は、時間の経過と共にインクリメントする必要があります。

ISM コントロール 2024 年 9 月 成熟度レベル Control Measure
1407 3 オペレーティング システムの最新リリース (以前のリリース) が使用されます。 割り当てられたコンプライアンス ポリシーで定義されている OS バージョンを満たしていないデバイスを使用しているユーザーは、条件付きアクセスと組み合わせて使用すると、企業リソースにアクセスできません。

インターネットに接続していないシステムにパッチを適用する

Microsoft では、Microsoft IntuneAzure Update Managerなどのクラウド サービスを使用して、システムの OS バージョンを維持し、脆弱性に修正プログラムを適用することを提案しています。

ただし、オフラインのシステムとサーバーについては、Microsoft Configuration Managerのパッチ管理機能を使用することをお勧めします。 詳細については、「Microsoft Configuration Manager」を参照してください。

ISM コントロール 2024 年 9 月 成熟度レベル Control Measure
ISM-1695 1、2 ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、リリースから 1 か月以内に適用されます。 IT 管理者は、必要な日付の期限構成を使用して更新プログラムをデプロイMicrosoft Configuration Manager
ISM-1696 3 ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって重要と評価された場合、または脆弱性が存在する場合、リリースから 48 時間以内に適用されます。 IT 管理者は、期限をできるだけ早く構成して更新プログラムをデプロイMicrosoft Configuration Manager
ISM-1702 1, 2, 3 脆弱性スキャナーは、ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラムまたは更新プログラムが不足している場合を特定するために、少なくとも 22 日間使用されます。 IT 管理者は、少なくとも 14 日に 1 回、システムで不足しているパッチのスキャンを実行するように、Configuration Managerのソフトウェア更新機能を構成します。
ISM-1902 3 ワークステーション、インターネットに接続していないサーバー、およびインターネットに接続していないネットワーク デバイスのオペレーティング システムの脆弱性に対する修正プログラム、更新プログラム、またはその他のベンダーの軽減策は、脆弱性がベンダーによって非クリティカルと評価され、動作中の悪用が存在しない場合、リリースから 1 か月以内に適用されます。 IT 管理者は、Microsoft Configuration Managerで目的の日付の期限構成を使用して更新プログラムをデプロイします。