Intune で Windows 10 および Windows 11 ソフトウェア更新プログラムを管理する

Microsoft Intuneを使用して、Windows Update for Business からのWindows 10/11 ソフトウェア更新プログラムのインストールを管理します。

Windows Update for Business を使用して、更新管理エクスペリエンスを簡略化します。 デバイスのグループに対して個々の更新プログラムを承認する必要はなく、更新プログラムのロールアウト戦略を構成することで、環境内のリスクを管理できます。 Intune を使用すると、デバイスの更新設定を構成 し、更新プログラムのインストールの延期を構成できます。 また、デバイスを安定した状態に保つために Windows の新しいバージョンの機能をインストールしないようにしつつ、そのデバイスで品質とセキュリティの更新プログラムは引き続きインストールするようにすることもできます。

Intune では更新プログラムのポリシー割り当てのみが保存され、更新プログラム自体は保存されません。 ポリシーを保存すると、Intune によって構成の詳細が Windows Update に渡され、その後、各デバイスに提供される更新プログラムが決定されます。 デバイスは、更新プログラムのために Windows Update に直接アクセスします。

Windows の "機能" および "品質" 更新プログラムの詳細については、Windows のドキュメントを参照してください。

更新プログラムを管理するためのポリシーの種類

Intune には、デバイスのグループに割り当てる更新プログラムを管理するための次のポリシーの種類が用意されています。

  • Windows 10 以降の更新リング: このポリシーは、Windows 10 および Windows 11 の更新プログラムを実行するデバイスがいつインストールされるかを構成する設定のコレクションです。 更新リングのポリシーは、Windows 10 バージョン 1607 以降および Windows 11 を実行しているデバイスでサポートされています。 詳細については、「 リング ポリシーの更新」を参照してください。

  • Windows 10以降の機能更新プログラム: [機能更新プログラム] ポリシーを使用すると、指定した Windows バージョンにデバイスが更新され、それらのデバイスの機能セットのバージョンが固定されます。 このバージョンの凍結は、それ以降のバージョンの Windows に更新することを選択するまで、そのまま維持されます。 機能バージョンは固定されたままですが、デバイスでは引き続き、その機能バージョンで利用可能な品質更新プログラムおよびセキュリティ更新プログラムをインストールできます。

    機能更新プログラムのポリシーを使用して、Windows 10 を実行しているデバイスを Windows 11 にアップグレードすることもできます。

  • Windows 10以降の品質更新プログラム: Windows 10 以降の品質更新プログラム (迅速更新プログラムとも呼ばれます) を使用すると、最新のWindows 10のインストールを迅速に行い、Microsoft Intuneで管理するデバイスでセキュリティ更新プログラムをできるだけ迅速にWindows 11できます。 迅速なインストールは、既存の月次サービス ポリシーを一時停止または編集する必要なく実現されます。 詳細については、「 更新プログラムの迅速化ポリシー」を参照してください。

  • Windows 10以降のドライバー更新プログラム: Microsoft Intuneの Windows ドライバー更新プログラム管理を使用すると、管理対象のWindows 10とWindows 11 デバイスのドライバー更新プログラムの展開を確認、承認、一時停止できます。 ポリシーでは、推奨される最新のドライバーを自動的にインストールするか、管理者がドライバーを手動で承認するまで待ってからインストールできます。 Intune と Windows Update for Business (WUfB) 展開サービス (DS) は、ドライバー更新プログラム ポリシーが割り当てられているデバイスに適用されるドライバーの更新プログラムを特定するために、負荷の高い作業を行います。 詳細については、「 ドライバーの更新ポリシー」を参照してください。

Workplace 参加済みデバイスのポリシーの制限事項

Microsoft は、Windows Update for Business 製品ファミリの一部としてクラウド サービスを導入しました。Windows Update for Business デプロイ サービス (WUfB ds)。 WUfB ds はクラウド サービスとして、デバイスにMicrosoft Entra登録 (AADJ デバイス) を必要とするデバイス更新機能をサポートしています。 これらの機能は、Workplace Join (WPJ) デバイスではサポートされていません。 WPJ デバイスの Windows 更新プログラム管理は、コア Windows Update for Business (WUfB) 機能と、Windows 10 以降のポリシーの種類に対する Intune Update リングを通じて引き続きサポートされます。

Windows 更新の次の Intune ポリシーの種類では WUfB ds を使用します。これにより、WPJ デバイスでのサポートが妨げられます。

  • Windows 10 以降のドライバー 更新
  • Windows 10 以降の機能更新
  • Windows 10以降の品質更新

Intune で WPJ デバイスをサポートしている場合、WPJ デバイスと AADJ デバイスの両方について、ポリシーの種類に基づく機能の違いを理解するのに役立ちます。

機能 更新リング ポリシーを使用した WUfB
ドライバー、機能、品質の更新ポリシーを使用した WUfB-ds
WPJ デバイスのサポート はい いいえ
AADJ デバイスのサポート はい はい
更新と再起動のスケジュールをスキャンする はい Update Ring ポリシーを使用してスケジュールを管理する
更新期限を適用する はい 更新リング ポリシーを使用して期限を適用する
インストールする更新プログラムを制御する 機能: はい
- 指定した日数ですべての機能更新プログラムを延期品質: はい
- 指定した日数




ですべての品質更新プログラムを延期ドライバー: はい
- すべての推奨ドライバーを許可またはブロックする - その他のドライバー
のサポートなし
機能: はい
- 個々の 更新プログラム
を管理する - 開始日 または 段階的ロールアウト の開始日と終了日を指定します。

品質: リング ポリシーの更新プログラムドライバーを使用する



: はい
- 個々の推奨ドライバーとその他のドライバーを管理します。

更新を一時停止する 機能:
- すべての更新プログラム

を一時停止 品質:
- すべての更新プログラム

を一時停止 ドライバー:
- すべての更新プログラムをブロックする
機能:
- 個々の更新プログラム

を一時停止品質:
- 個々の更新プログラム

を一時停止ドライバー:
- 個々の更新プログラムを一時停止する
品質更新プログラムの迅速化 いいえ はい
レポート - デバイスの概要の数:
- 機能更新プログラム
- 品質更新プログラム
WUfB レポート WUfB レポート
レポート – 詳細な状態:
- 更新ごとに
WUfB レポート はい(Intune では)

更新リングの延期から機能更新プログラムのポリシーへの移行

Intune を使用して Windows の更新プログラムを管理する場合は、更新プログラムの延期を伴う "更新リング" のポリシーと "機能更新プログラム" のポリシーの両方を使用して、デバイスにインストールする更新プログラムを管理することができます。 機能更新プログラムを使用する場合は、更新リングのポリシーで構成されている延期の使用を止めることをお勧めします。 更新リングの延期と機能更新プログラムのポリシーを組み合わせると、更新プログラムのインストールを遅らせる可能性のある複雑さが生じる可能性があります。 機能更新プログラムのポリシーと組み合わせても問題が発生しないため、更新リングのユーザー エクスペリエンス設定を引き続き使用できます。

デバイスにインストールできる更新プログラムを制御するために両方のポリシーの種類を使用することを禁止するものはありませんが、通常はそうすることに利点はありません。 両方のポリシーの種類がデバイスに適用される場合は、適用可能な更新プログラムが提供される前に、デバイスで両方のポリシーの種類の条件が満たされている (true である) 必要があります。 このシナリオでは、ポリシーの種類のいずれかによるブロックが原因で、更新プログラムが期待どおりにインストールされない可能性があります。

移行の計画

更新リングの延期の使用から機能更新プログラムへの変更を管理して、Windows Update サービスで必要な更新プログラムを展開する準備ができるようにする計画を立てます。

  • Windows 更新プログラム用の Intune ポリシーが作成または変更されると、Intune でポリシーの詳細が Windows Update に渡され、その後、1 つまたは複数の更新ポリシーが割り当てられているデバイスごとに適用可能な更新プログラムが決定されます。

  • デバイスの更新プログラムを評価するプロセスは完了するまでに最大 10 分かかる場合があり、場合によってはもう少し時間がかかることがあります。

  • デバイスで延期を 0 に設定したり削除したりしたであっても、Windows Update で機能更新プログラムのポリシーの処理を完了するにデバイスで更新プログラムのスキャンを開始した場合は、そのデバイスにインストールする予定がなかった更新プログラムを提供できます。

延期が削除される前に Windows Update で機能更新プログラムのポリシーが処理されたことを確認するには、次の手順を使用します。

機能更新プログラムのポリシーへの切り替え

  1. Microsoft Intune管理センターで、目的の Windows バージョンを構成する機能更新プログラム ポリシーを作成し、該当するデバイスに割り当てます。

    保存したポリシーがデバイスに割り当てられてから Windows Update でポリシーが処理されるまでに数分かかります。

  2. 機能更新ポリシーのWindows 10機能更新プログラム (組織) レポートを表示し、続行する前にデバイスに OfferReady の状態があることを確認します。 すべてのデバイスで OfferReady が表示されたら、Windows Update でポリシーの処理が完了しています。

  3. デバイスが OfferReady 状態であることが確認されたら、同じデバイス セットの Windows 10 以降の更新リングのポリシーを安全に再構成して、[機能更新プログラムの延期期間 (日数)] の値を「0」に変更できます。

更新プログラムのレポート

更新リング ポリシーと Windows 機能更新プログラム ポリシーのレポート オプションについては、「 Windows Update レポート」を参照してください。

次の手順