Windows デバイスをセキュリティで保護し、最新の状態に保つことは、organizationにとって最も重要な責任の 1 つです。 Microsoft Intuneは、Windows 更新プログラム管理にクラウドベースのアプローチを提供し、ユーザーの制御、予測可能性、中断を最小限に抑えます。
この概要では、Intuneが Windows 更新プログラムを管理する方法、使用可能なポリシーの種類、およびこれらの部分が完全な更新戦略にどのように適合するかを説明します。
Intuneでできること
- 個々のパッチを管理せずに、デバイスの更新設定を構成します。
- ロールアウトのタイミングを制御し、リスクを軽減するための更新リングを定義します。
- 準備が整うまでデバイスが新しい機能バージョンをインストールできないようにし、セキュリティと品質の更新プログラムを適用します。
Intuneは、更新プログラム自体ではなく、ポリシーの割り当てのみを格納します。 ポリシーを保存すると、Intuneは、提供する更新プログラムを決定する構成の詳細をWindows Updateに送信します。 デバイスは、Windows Updateから直接更新プログラムをダウンロードします。
Windows Update 管理機能
次のポリシーの種類は、Intuneでの Windows 更新プログラムの管理に役立ちます。
クライアント ポリシーのWindows Update
基になる 更新ポリシー CSP を構成します。 Intuneは、更新リングと設定カタログを通じてこれらの設定を表示するため、管理者はデバイス レベルできめ細かい更新動作を柔軟に適用できます。
リング ポリシーを更新する
Windows Updateクライアント ポリシーをデバイスのグループに適用します。 リングを更新すると、遅延期間、期限、再起動動作、ユーザー エクスペリエンスの設定が制御され、環境全体で段階的なロールアウトが可能になります。
機能更新ポリシー
デバイスを特定の Windows バージョンにロックします (たとえば、Windows 11 24H2)。 これらのポリシーにより、デバイスがターゲット リリースを超えてアップグレードされるのを防ぎ、一貫性を確保し、主要な OS のアップグレードを制御できます。
品質更新ポリシー
セキュリティと信頼性のための毎月の累積的な更新プログラムを提供します。 サポート:
- ホットパッチ: 再起動なしで適格なセキュリティ パッチを適用し、ダウンタイムを短縮します。
- 迅速なポリシー: 遅延設定をオーバーライドすることで、重要なセキュリティ更新プログラムをすぐにプッシュします。
ドライバー更新ポリシー
Windows Updateからのハードウェア ドライバー更新プログラムの配信を管理します。 ドライバー更新ポリシーは、ドライバーのインストールタイミングと方法を制御することで、デバイスの互換性と安定性を確保するのに役立ちます。
Windows 自動パッチ
Windows Autopatch は、Windows デバイスを最新の状態に保ち、保護するのに役立つ、Microsoft Intuneと統合されたマネージド クラウド サービスです。
Autopatch では、機能更新ポリシー、品質更新ポリシー、ドライバー更新ポリシーがポリシーサーフェイスとして使用されます。 これらのポリシーの種類は、Windows Autopatch を実行するのと同じクラウド オーケストレーション サービスに基づいて構築されており、自動パッチにデバイスを登録せずに更新プログラムを管理する管理者向けのIntuneでも使用できます。
Autopatch では、動的デバイスグループ化、段階的ロールアウト、正常性監視、レポートなどのサービス管理機能が追加されます。 対象となる Windows エディションの場合、ホットパッチや迅速な更新プログラムなどのクラウドを利用した更新シナリオも、最小限の手動構成で可能になります。
更新リング ポリシーは、遅延、期限、再起動設定などのWindows Update動作を構成するために、Intuneで使用されます。 Autopatch 登録済みデバイスの場合、更新リングは、ロールアウトの間隔を実装するためにサービスによって作成および管理される場合があります。
次の表では、Autopatch と手動のIntune構成を使用する場合の更新管理の違いを比較します。
| 機能 | 自動パッチを使用しない場合 | Autopatch を使用する場合 |
|---|---|---|
| 調整の更新 | スケジュール、遅延、ロールアウトは、Intune ポリシーを使用して手動で制御します。 | 自動パッチは、サービス管理ポリシーとロールアウト ロジックを使用して更新プログラムを調整します。 |
| リング ポリシーを更新する | 遅延、期限、再起動の動作を制御するには、Intuneで更新リング ポリシーを構成します。 | Autopatch では、更新リング ポリシーを作成および管理して、ロールアウトの間隔と再起動の動作を制御できます。 管理者は、自動パッチで管理されるデバイスにカスタム更新リング ポリシーを割り当ててはいけません。 |
| 機能更新ポリシー | 機能更新ポリシーを使用して、OS バージョンをロックまたはスケジュールします。 | 自動パッチは、バージョンのターゲット設定とロールアウトを自動的に管理します。 |
| 品質更新ポリシー | 品質更新ポリシー、迅速更新プログラム、ホットパッチ設定を手動で構成します。 | Autopatch は、毎月のパッチを管理し、重要な更新プログラムを迅速化し、対象となるデバイスに自動的にホットパッチを適用します。 |
| ドライバー更新ポリシー | ドライバー更新ポリシーを使用して、ドライバーを手動で確認および承認します。 | Autopatch は、ドライバーの承認とスケジュールを自動的に管理します。 |
前提条件
各ポリシーの種類には、それぞれのドキュメントで詳しく説明されている特定の前提条件があります。 一般に、以下のことが行われます。
- デバイスはIntuneに登録する必要があります。
- デバイスは、Microsoft Entra参加済みまたはハイブリッド参加済みである必要があります。
Microsoft Entra登録されたデバイスは、Windows Autopatch と同じバックエンド サービスを使用するポリシーの種類 (機能更新プログラム、品質更新プログラム、ドライバーの更新プログラムなど) ではサポートされていません。
Entra 登録済みデバイスの場合、更新管理はクライアント ポリシーと更新リング ポリシー Windows Updateに制限されたままです。 - デバイスは、Microsoft 更新エンドポイントにアクセスできる必要があります。
機能更新ポリシー、品質更新ポリシー、ドライバー更新ポリシーでは、Windows Autopatch と同じクラウド オーケストレーション レイヤーが使用されます。 Autopatch はこれらのポリシーを自動化しますが、Intuneで手動で構成しても、引き続き同じバックエンド サービスを呼び出すので、要件は変わりません。 このサービスを共有するため、前提条件は次の 3 つのポリシーの種類で同じです。
ライセンス: Autopatch エンタイトルメントを含む Windows ライセンス。
Windows Autopatch を必要とする機能の新しいポリシーを作成するときにブロックされ、Enterprise Agreement (EA) を介してWindows Updateクライアント ポリシーを使用するライセンスを取得する場合は、Microsoft アカウント チームやライセンスを販売したパートナーなどのライセンスのソースに問い合わせてください。 アカウント チームまたはパートナーは、テナントのライセンスが Windows Autopatch ライセンス要件を満たしていることを確認できます。 「既存の EA でサブスクリプションのアクティブ化を有効にする」を参照してください。
重要
既存の EA でサブスクリプションのアクティブ化を有効に することは、Windows Autopatch 機能の GCC および GCC High/DoD クラウド環境には適用されません。
テレメトリ: 診断データ セットを [必須レベル] に設定します。
サービス: Microsoft アカウント Sign-In アシスタントが有効になっています。
このサービスがブロックされているか [無効] に設定されている場合、更新プログラムの受信に失敗します。 詳細については、「他の更新プログラムは提供されるが、機能更新プログラムは提供されない」を参照してください。 既定では、サービスは [手動 (トリガー開始)] に設定されており、必要なときに実行できます。