Windows Update for Business 展開サービスを使用して迅速なセキュリティ更新プログラムを展開する
Windows Update for Business デプロイ サービスを使用すると、Azure AD テナント内のデバイスに Windows 更新プログラムをデプロイできます。 現在、デプロイ サービスでは、Windows 10/11 機能更新プログラム、迅速なセキュリティ更新プログラム、ドライバー更新プログラムの展開がサポートされています。 このトピックでは、迅速なセキュリティ更新プログラムのデプロイに焦点を当てます。 機能更新プログラムの展開の詳細については、「機能更新 プログラムのデプロイ」を参照してください。 ドライバーの更新プログラムの展開の詳細については、「 ドライバーの更新プログラムの管理」を参照してください。
セキュリティ更新プログラムを迅速化すると、ビジネスの遅延ポリシーのWindows Updateがオーバーライドされ、更新プログラムができるだけ迅速にインストールされます。 重要なセキュリティ イベントが発生し、最新の更新プログラムを通常よりも迅速に展開する必要がある場合に便利です。 ただし、特定のセキュリティ更新プログラムに対するコンプライアンス目標を達成するのに役立ちますが、毎月使用するようには設計されていません。 代わりに、 更新プログラムのコンプライアンス期限を使用することを検討してください。
迅速なセキュリティ更新プログラムをデバイスに展開する場合、Windows Updateは、指定されたリリース日の更新プログラムをまだ受信していない場合に、デバイスに適用できる最新の更新プログラムを提供します。 たとえば、2021 年 4 月 13 日にリリースされたWindows 10セキュリティ更新プログラムを、現在更新プログラムを持っていないデバイスに展開した場合、デバイスは迅速な更新プログラムを受け取ります。 デバイスに指定された更新プログラムまたはそれ以降が既にある場合、迅速な更新プログラムは受信されません。
セキュリティ更新プログラムの迅速な更新には、次の特徴があります:
- 更新プログラムは、既定では 22 時間に 1 回発生する次の定期的な更新スキャンを待たずに、すぐ開始されます。
- 更新プログラムは、可能な限り迅速にダウンロードおよびインストールされます。
- 更新プロセスは、デバイスが強制的に再起動されるまでの日数など、構成済みのデバイス ポリシー設定をオーバーライドします。 優先更新プログラムがインストールされた後、デバイスは現在のポリシー設定に戻されます。
前提条件
- デバイスは 、展開サービスの前提条件を満たしています。
- KB4023057 - Update for Windows 10 Update Service コンポーネント (またはそれ以降) に記載されている更新プログラムがデバイスにインストールされました。
手順 1: (省略可能) 迅速な更新プログラムの一覧を取得する
展開サービス カタログにクエリを実行して、展開のコンテンツとしてデバイスに迅速化できる更新プログラムの一覧を取得できます。
セキュリティ更新プログラムは qualityUpdateCatalogEntry 型で表され、 qualityUpdateClassification は securityです。 セキュリティ更新プログラムとして分類されたすべてのWindows 10品質更新プログラムは迅速化でき、isExpeditable プロパティをに設定してtrueタグ付けして識別できます。
デプロイ サービスによって迅速な更新プログラムとして展開できるすべてのWindows 10セキュリティ更新プログラムのクエリの例を次に示します。 Microsoft では、最新の 3 つの更新プログラムのみを表示することをお勧めします。そのため、この例には が含まれています $top=3。
要求
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=3&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true&$orderby=releaseDateTime desc
応答
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "bd9554dc-2737-4e3c-b794-fa2b8b3f4a30",
"displayName": "MM/DD/YYYY - YYYY.MM B Security Updates for Windows 10",
"releaseDateTime": "String (timestamp)",
"deployableUntilDateTime": null,
"isExpeditable": true,
"qualityUpdateClassification": "security"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "68860630-c2d0-4dd2-8c4b-9b9737ee5081",
"displayName": "MM/DD/YYYY - YYYY.MM B Security Updates for Windows 10",
"releaseDateTime": "String (timestamp)",
"deployableUntilDateTime": null,
"isExpeditable": true,
"qualityUpdateClassification": "security"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "aa336b13-db33-4d94-89ea-90e43e4ad30b",
"displayName": "MM/DD/YYYY - YYYY.MM B Security Updates for Windows 10",
"releaseDateTime": "String (timestamp)",
"deployableUntilDateTime": null,
"isExpeditable": true,
"qualityUpdateClassification": "security"
}
]
}
手順 2: デプロイを作成する
展開では、 展開 するコンテンツ、コンテンツを展開する方法とタイミング、ターゲット デバイスを指定します。 品質更新プログラムの場合、コンテンツはターゲット コンプライアンスの日付を使用して指定されます。 デプロイが作成されると、デプロイ対象ユーザーがリレーションシップとして自動的に作成されます。
迅速なセキュリティ更新プログラムをデバイスに展開すると、Windows Updateは、デバイスが指定された最小コンプライアンス レベルを超える更新プログラムを提供します。 各デバイスのスキャンと更新のタイミングによっては、一部のデバイスで新しい更新プログラムが受信される場合があります (たとえば、目的の最小コンプライアンス レベルに対応するセキュリティ更新プログラムよりも新しいセキュリティ更新プログラムがある場合など)、すべてのデバイスが指定されたセキュリティ更新プログラムのコンプライアンス標準を満たしています。 プロパティ equivalentContent によって示される最新の適用可能な更新プログラムを提供 latestSecurityするこの動作は、デバイスを可能な限りセキュリティで保護し、デバイスが迅速な更新プログラムを受信し、数日後に別の定期的な更新を受け取るのを防ぐのに役立ちます。
デバイスの再起動猶予期間は、デプロイのユーザー エクスペリエンス設定でプロパティ daysUntilForcedReboot を使用して構成できます。 猶予期間は、ユーザーがデバイスを再起動するタイミングを制御できるインストール後の時間を設定します。 猶予期間の有効期限が切れるまでにデバイスが再起動されていない場合は、自動的に再起動されます。
次に、迅速な品質更新プログラムのデプロイを作成する例を示します。 ターゲット デバイスは、次の手順で指定します。
要求
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.deployment",
"content": {
"@odata.type": "#microsoft.graph.windowsUpdates.catalogContent",
"catalogEntry": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "catalog/entries/1"
}
},
"settings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"expedite": {
"isExpedited": true
},
"userExperience": {
"daysUntilForcedReboot": 2
}
}
}
応答
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.deployment,
"id": "b5171742-1742-b517-4217-17b5421717b5",
"createdDateTime": "String (timestamp)",
"lastModifiedDateTime": "String (timestamp)",
"state": {
"effectiveValue": "offering",
"requestedValue": "none",
"reasons": []
},
"content": {
"@odata.type": "#microsoft.graph.windowsUpdates.catalogContent"
},
"settings": {
"schedule": null,
"monitoring": null,
"contentApplicability": null,
"userExperience": {
"daysUntilForcedReboot": 2
},
"expedite": {
"isExpedited": true
}
}
}
手順 3: 展開対象ユーザーにデバイスを割り当てる
デプロイが作成されたら、 展開対象ユーザーにデバイスを割り当てることができます。 展開対象ユーザーが正常に更新されると、Windows Update展開設定に従って関連するデバイスへの更新プログラムの提供が開始されます。
デバイスは、デプロイ対象ユーザーのメンバーまたは除外コレクションに追加されると、サービスに自動的に登録されます (つまり、 azureADDevice オブジェクトがまだ存在しない場合は自動的に作成されます)。
次の例は、デプロイ対象ユーザーのメンバーとして Azure AD デバイスを追加する方法を示しています。
要求
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments/{deploymentId}/audience/updateAudience
Content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "String (identifier)"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "String (identifier)"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "String (identifier)"
}
]
}
応答
HTTP/1.1 202 Accepted
デプロイ中
デプロイの進行中は、その 状態を更新し、対象ユーザーのメンバーと除外を更新することで、デプロイを一時停止できます。
デプロイ後
展開対象ユーザーに割り当てられたすべてのデバイスが最初に更新プログラムを提供された後、デバイスの接続などの要因により、すべてのデバイスが更新プログラムを開始または完了していない可能性があります。 デプロイがまだ存在する限り、Windows Updateが再接続するたびに割り当てられたデバイスに更新プログラムを提供していることを確認し続けます。