次の方法で共有

Windows 品質更新プログラムのホットパッチ

Microsoft Intuneの Windows 品質更新プログラム ポリシーは、デバイスのダウンタイムとユーザーの中断を減らすために設計された展開機能であるホットパッチをサポートします。 ホットパッチは、デバイスの即時再起動を必要とせずに有効になるように、対象となる 月次 B のセキュリティ更新プログラム を適用します。

ホットパッチはWindows Updateの拡張機能であり、品質更新ポリシーを使用して Windows Autopatch を通じて管理されます。 有効にすると、Autopatch 品質更新ポリシーに登録されている対象デバイスへのホットパッチ更新プログラムのデプロイが調整されます。 このアプローチは、組織がセキュリティ コンプライアンスを維持しながら、ワークフローの中断を最小限に抑えるのに役立ちます。

主な利点

  • 中断の軽減: ホットパッチは、デバイスの即時再起動を必要とせずに適格なセキュリティ更新プログラムをインストールし、ユーザーの生産性を維持します。
  • 既存の更新リングに対する変更なし: 既存の更新リング構成は引き続き有効であり、ホットパッチ構成と共に適用されます。
  • ポリシー レベルの可視性: ホットパッチ品質更新プログラム レポートは、ホットパッチ更新プログラムを受信しているデバイスの更新状態のポリシー レベルのビューを提供します。

前提条件

ホットパッチには、Windows 品質更新プログラム ポリシーと同じ 前提条件 があります。 このセクションでは、ホットパッチに固有の追加の前提条件について説明します。

デバイス構成の要件

ホットパッチ更新プログラムを受信するようにデバイスを準備するには、デバイスで次のオペレーティング システム設定を構成します。 ホットパッチ更新プログラムを提供し、すべてのホットパッチ更新プログラムを適用するには、デバイスに対してこれらの設定を構成する必要があります。

仮想化ベースのセキュリティ (VBS)
デバイスでホットパッチ更新プログラムを提供するには、VBS をオンにする必要があります。 VBS が有効かどうかを設定して検出する方法については、「 仮想化ベースのセキュリティ (VBS)」を参照してください。

注:

VBS が有効になっていないか、最新のベースライン リリースに存在していないため、デバイスが一時的に不適格になる可能性があります。 すべての Windows デバイスがホットパッチ更新プログラムの対象になるように正しく構成されていることを確認するには、「 ホットパッチ更新プログラムのトラブルシューティング」を参照してください。

Arm 64 デバイスでは、コンパイル済みのハイブリッド PE 使用率 (CHPE) を無効にする必要があります (Arm 64 CPU のみ)

重要

Arm 64 デバイスのサポートはパブリック プレビュー段階です。

すべてのホットパッチ更新プログラムが確実に適用されるようにするには、 コンパイル済みハイブリッド ポータブル実行可能ファイル (CHPE) 無効化フラグを設定し、デバイスを再起動して CHPE の使用を無効にする必要があります。 このフラグは 1 回だけ設定する必要があります。 レジストリ設定は、更新プログラムによって適用されたままです。

この要件は、ホットパッチ更新プログラムを使用する場合にのみ Arm 64 CPU デバイスに適用されます。 ホットパッチ更新プログラムは、サービス CHPE OS バイナリと互換性がありません。

CHPE を無効にするには、次の DWORD レジストリ キーを作成または設定します。

パス: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1

CHPE の詳細については、こちらを参照してください

注:

CHPE が有効になっている Arm64 デバイスでホットパッチ更新プログラムをサポートする予定はありません。 CHPE の無効化は、Arm64 デバイスでのみ必要です。 AMD と Intel の CPU には CHPE がありません。 ホットパッチ更新プログラムを使用しなくなった場合は、CHPE 無効化フラグ (HotPatchRestrictions=0) をオフにしてから、デバイスを再起動して CHPE の使用を有効にします。

不適格なデバイス

1 つ以上の前提条件を満たしていないデバイスは、代わりに最新の累積的な更新プログラム (LCU) を自動的に受け取ります。 最新の累積的な更新プログラム (LCU) には、セキュリティリリースとセキュリティ以外のリリースの両方を含む前月の更新プログラムに置き換わる毎月の更新プログラムが含まれています。

LCU ではデバイスを再起動する必要がありますが、LCU はデバイスが完全にセキュリティで保護され、準拠していることを保証します。

注:

デバイスがホットパッチ更新プログラムの対象でない場合、これらのデバイスには LCU が提供されます。 LCU は構成済みの更新リング設定を保持しますが、設定は変更されません。

リリース サイクル

ホットパッチ更新プログラムのリリース カレンダーの詳細については、「ホットパッチ のリリース ノート」を参照してください。

  • ベースライン: 最新のセキュリティ修正プログラム、累積的な新機能、および拡張機能が含まれています。 再起動が必要です。
  • ホットパッチ: セキュリティ更新プログラムが含まれています。 再起動は必要ありません。
四半期 ベースライン更新プログラム (再起動が必要) ホットパッチ (再起動は必要ありません)
1 1 月 2 月と 3 月
2 4 月 5 月と 6 月
3 7 月 8 月と 9 月
4 10 月 11 月と 12 月

Windows 11 Enterprise または Windows Server 2025 のホットパッチ

注:

ホットパッチは、Windows ServerとWindows 365でも使用できます。 詳細については、「Windows Server Azure Edition のホットパッチ」を参照してください。

ホットパッチ更新プログラムは、Windows 11 と Windows Server 2025 の間で似ています。

  • Windows Autopatch は、Windows 11更新プログラムを管理します
  • Windows 2025 Datacenter/Standard Edition (オンプレミス) の Arc サブスクリプションAzure Update ManagerおよびオプションのAzureは、2025 Datacenter Azure Edition Windows Server管理します。

毎年計画されるカレンダー日付、8 つのホットパッチ月、および 4 つの基準月は、ホットパッチでサポートされるすべてのオペレーティング システムで同じです。 1 つの OS (たとえば、Windows Server 2022) に対して追加のベースライン月が発生する可能性がありますが、Server 2025 や Windows 11 バージョン 24H2 などの別の OS にはホットパッチ月があります。 最新の状態に保つために 、Windows リリース正常性のリリース ノートを確認します。

ホットパッチ更新プログラムを受信するデバイスを登録する

注:

自動パッチ グループを使用していて、デバイスでホットパッチ更新プログラムを受信する場合は、ホットパッチ ポリシーを作成してデバイスを割り当てる必要があります。 ホットパッチ更新プログラムをオンにしても、自動パッチ グループ内のデバイスに適用される遅延設定は変更されません。

ホットパッチ更新プログラムを受信するデバイスを登録するには:

  1. Microsoft Intune管理センターで、[デバイス>Windows の更新プログラム] を選択します。
  2. [ 品質の更新] タブを選択します。
  3. [ 作成] を選択し、[ Windows 品質更新プログラム ポリシー] を選択します。
  4. [ 基本 ] セクションで、新しいポリシーの名前を入力し、[ 次へ] を選択します。
  5. [ 設定] セクションで、[ 使用可能な場合] を設定し、デバイスを再起動せずに適用します ("ホットパッチ")[許可] に設定します。 さらに [次へ] を選択します。
  6. 適切なスコープ タグを選択するか、[既定値] のままにします。 さらに [次へ] を選択します。
  7. デバイスをポリシーに割り当て、[ 次へ] を選択します。
  8. ポリシーを確認し、[ 作成] を選択します。

これらの手順により、ホットパッチ更新プログラムを受け取る 資格がある ターゲット デバイスが正しく構成されます。 不適格なデバイス には、最新の累積的な更新プログラム (LCU) が提供されます。

注:

ホットパッチ更新プログラムを有効にしても、マネージド デバイス上の既存の期限駆動型またはスケジュールされたインストール構成は変更されません。 遅延時間とアクティブ時間の設定は引き続き適用されます。

ホットパッチ更新プログラムをロールバックする

ホットパッチ更新プログラムの自動ロールバックはサポートされていませんが、アンインストールすることはできます。 ホットパッチ更新プログラムで予期しない問題が発生した場合は、ホットパッチ更新プログラムをアンインストールし、最新の標準累積的な更新プログラム (LCU) をインストールして再起動することで調査できます。 ホットパッチ更新プログラムのアンインストールは簡単ですが、デバイスの再起動が必要です。

ホットパッチ品質更新レポート

ホットパッチ更新プログラムを有効にして Windows 品質更新プログラム ポリシーを作成した後、レポートから結果、ホットパッチの展開状態、エラーを監視できます。

このレポートには、すべてのホットパッチ更新プログラムが有効なデバイスの対象デバイスの合計数と現在の更新状態が表示されます。

レポートにアクセスするには:

  1. Microsoft Intune管理センターで、[レポート] を選択します
  2. [Windows Autopatch] セクションで、[Windows 品質更新プログラム] を選択します
  3. [ レポート ] タブで、[ ホットパッチ品質更新プログラム レポート] を選択します。
  • Last updated on