Intune での Windows 10 以降向け機能更新プログラムのポリシー

Intune で "Windows 10 以降の機能更新プログラム" を使用すると、デバイスで維持される Windows 機能更新プログラムのバージョンを選択できます (Windows 10 バージョン 1909、Windows 11 のバージョンなど)。 Intune では、ポリシーの作成時に、機能レベルを引き続きサポートされる任意のバージョンに設定することがサポートされています。

機能更新プログラムのポリシーを使用して、Windows 10 を実行しているデバイスを Windows 11 にアップグレードすることもできます。

Windows 機能更新プログラム ポリシーと "Windows 10 以降向け更新リング" ポリシーが連動することで、機能更新プログラム ポリシーに指定されている値よりも新しい Windows 機能バージョンをデバイスが受け取ることが禁止されます。

デバイスが機能更新プログラムのポリシーを受け取ると、次のようになります。

• デバイスは、ポリシーで指定されたバージョンの Windows に更新されます。 より新しいバージョンの Windows を既に稼働しているデバイスは、その現在のバージョンのままになります。 バージョンを固定すると、ポリシーの期間中はそのデバイスの機能セットが安定した状態のままになります。

  注:

  その Windows バージョンの "セーフガード ホールド" がある場合、デバイスに更新プログラムはインストールされません。 デバイスによって更新プログラムのバージョンの適用性が評価されるときに、未解決の既知の問題が存在する場合、Windows によって一時的なセーフガード ホールドが作成されます。 問題が解決されると、ホールドは解除され、デバイスを更新できるようになります。

  • 機能更新プログラムの状態については、Windows ドキュメントの「セーフガード ホールド」を参照してください。

  • セーフガード ホールドが発生する可能性がある既知の問題については、該当する Windows リリース情報を参照し、そのページの目次から関連する Windows バージョンを参照してください。

    • Windows 11 のリリース情報
    • Windows 10 のリリース情報

    たとえば、Windows 11 バージョン 21H2 の場合は、Windows 11 のリリース情報に移動し、左側のウィンドウで [バージョン 21H2]、[既知の問題と通知] の順に選択します。 結果のページには、セーフガード ホールドが発生する可能性がある、その Windows バージョンの既知の問題の詳細が含まれています。

• 更新リングで "一時停止" を使用する場合 (35 日後に期限切れになります) とは異なり、機能の更新ポリシーは有効なままです。 ユーザーが機能の更新ポリシーを変更または削除するまで、デバイスに新しい Windows バージョンはインストールされません。 ポリシーを編集して新しいバージョンを指定すると、デバイスにその Windows バージョンの機能をインストールできるようになります。

• 機能更新プログラムを アンインストール する機能は、Update Rings によって引き続き適用されます。

• ポリシーを構成して、Windows の更新プログラムがデバイスでオファーを利用できるようにするスケジュールを管理できます。 詳細については「Windows の更新プログラムのロールアウトオプション」を参照してください。

前提条件

重要

この機能は、GCC および GCC High/DoD クラウド環境ではサポートされていません。

既存の EA でサブスクリプションのアクティブ化を有効にする は、WuFB-DS 機能の GCC および GCC High/DoD クラウド環境には適用されません。

Intune の Windows 10 以降向け機能更新プログラムに求められる前提条件は次のとおりです。

• Intuneのライセンスに加えて、organizationには、Windows Update for Business デプロイ サービスのライセンスを含む次のいずれかのサブスクリプションが必要です。

  • Windows 10/11 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれます)
  • Windows 10/11 Education A3 または A5 (Microsoft 365 A3 または A5 に含まれます)
  • Windows Virtual Desktop Access E3 または E5
  • Microsoft 365 Business Premium

  サブスクリプションの詳細を確認し、Windows 11 への適合性を確認します。

  2022 年 11 月以降、Windows Update for Business 展開サービス (WUfB ds) ライセンスがチェックされ、適用されます。

  Professional SKU デバイスのクライアント ポリシーでサポートされる機能には、ライセンスは必要ありません。 これには、指定した機能更新プログラムを展開するための基本的なコントロールと、デバイスで更新プログラムを使用できるようにするタイミングが含まれます。 段階的ロールアウト機能はクラウド専用の機能であり、ビジネス向けWindows Update展開サービスを含むライセンスが必要です。

  Windows 10 (SxS) 機能はクラウド専用の機能です。

  WUfB ds を必要とする機能の新しいポリシーを作成するときにブロックされ、Enterprise Agreement (EA) を介して WUfB を使用するためのライセンスを取得する場合は、Microsoft アカウント チームやライセンスを販売したパートナーなどのライセンスのソースに問い合わせてください。 アカウント チームまたはパートナーは、テナント ライセンスが WUfB ds ライセンス要件を満たしていることを確認できます。 「既存の EA でサブスクリプションのアクティブ化を有効にする」を参照してください。

• デバイスでは次のことを行う必要があります。

  • 引き続きサポートされる Windows 10/11 のバージョンを実行する。

  • Intune MDM に登録し、Hybrid AD に参加するか、Microsoft Entra参加させます。

  • [必須] 以上の設定を使用してテレメトリを有効にしている。

    機能更新プログラムのポリシーを受信したデバイスのテレメトリが [未構成] (オフ) に設定されていた場合、機能更新プログラムのポリシーで定義されているよりも新しいバージョンの Windows がデバイスにインストールされる可能性があります。 この機能が一般公開に移行されるとき、テレメトリを必要とする前提条件は再検討されます。

    Windows 10/11 のデバイスの制限ポリシーの一部としてテレメトリを構成します。 デバイスの制限プロファイルの [レポートとテレメトリ] で、[使用状況データの共有] を、最小値である [必須] で構成します。 [拡張] (1903 以前) または [省略可能] の値もサポートされています。

  • [Microsoft アカウント サインイン アシスタント] (wlidsvc) を実行できる必要があります。 このサービスがブロックされているか [無効] に設定されている場合、更新プログラムの受信に失敗します。 詳細については、「他の更新プログラムは提供されるが、機能更新プログラムは提供されない」を参照してください。 既定では、サービスは [手動 (トリガー開始)] に設定されており、必要なときに実行できます。

  • エンドポイントにアクセスできます。 関連付けられているサービスに必要なエンドポイントの詳細な一覧については、ネットワーク エンドポイントに関 するページを参照してください。

    • Windows Update
    • Windows Update for Business の展開サービス

• 機能更新プログラムを展開するデバイスのIntuneでデータ収集を有効にします。

• 機能更新プログラムは次の Windows 10/11 エディションでサポートされています。

  • Pro
  • 大企業
  • 教育
  • 教育
  • Pro for Workstations

  注:

  サポートされていないバージョンとエディション:
  Windows 10/11 Enterprise LTSC: Windows Update for Business (WUfB) では、Long Term Service Channel リリースはサポートされていません。 WSUS や Configuration Manager など、別の修正プログラムの手法を使用することを計画してください。

Workplace 参加済みデバイスの制限事項

Windows 10 以降の機能更新プログラムのIntuneポリシーでは、Windows Update for Business (WUfB) と Windows Update for Business デプロイ サービス (WUfB ds) を使用する必要があります。 WUfB が WPJ デバイスをサポートする場合、WUfB ds には WPJ デバイスではサポートされていないより多くの機能が用意されています。

Intune Windows Update ポリシーに関する WPJ の制限事項の詳細については、「Windows 10の管理」の「Workplace 参加済みデバイスのポリシーの制限事項」および「Intuneのソフトウェア更新プログラムをWindows 11する」を参照してください。

Windows 10 以降向け機能更新プログラムのポリシーに関する制限事項

• "Windows 10 以降向け機能更新プログラム" ポリシーを展開するデバイスで "Windows 10 以降向け更新リング" ポリシーも受け取る場合は、更新リングの次の構成について確認してください。

  • 機能更新プログラムの延期期間 (日) を 0 に設定することをお勧めします。 この構成により、更新リング ポリシーで構成される可能性がある更新プログラムの遅延によって、機能の更新が遅延しないようにします。
  • 更新リングの機能の更新プログラムは "実行中" である必要があります。 それらを一時停止しないでください。

  ヒント

  機能更新プログラムを使用している場合は、関連する Update Rings ポリシーで機能更新プログラムの延期期間を 0 に設定することをお勧めします。 更新リングの延期と機能更新プログラムのポリシーを組み合わせると、更新プログラムのインストールを遅らせる可能性のある複雑さが生じる可能性があります。

  詳細については、「更新リングの延期から機能更新プログラムのポリシーへの移行」を参照してください

• Autopilot out of box experience (OOBE) では、Windows 10以降のポリシーの機能更新プログラムを適用できません。 代わりに、デバイスのプロビジョニング完了後 (通常は 1 日)、最初の Windows Update スキャン時にポリシーが適用されます。

• Configuration Manager を使用してデバイスを共同管理している場合、Windows Update ポリシー ワークロードを Intune に新しく構成したときに、機能更新プログラム ポリシーがデバイスですぐに有効にならないことがあります。 この遅延は一時的なものですが、最初は、ポリシーで構成されているよりも新しい機能更新プログラム バージョンにデバイスが更新される可能性があります。

  この初期遅延が共同管理デバイスに影響を与えないようにするために:

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス]> [Windows]> [Windows 10 以降向け機能更新プログラム]> [プロファイルの作成] の順に選択します。

  3. ［展開の設定］ には、ポリシーの意味が伝わる名前と説明を入力します。 次に、デバイスを実行する機能更新プログラムを［指定］します。

  4. デバイスへのポリシーの割り当てを含め、ポリシー構成を［完了］します。 ポリシーはデバイスに展開されますが、既に選択したバージョンまたは新しいバージョンを持つデバイスには、更新プログラムは提供されません。

     ポリシーのレポートを［監視］します。 これを行うには、[レポート>] [Windows Updates>レポート] [レポート] タブ>の [機能] Updatesレポート] に移動します。 作成したポリシーを［選択］し、レポートを生成します。

  5. OfferReady 以降の状態のデバイスは、機能更新プログラムに登録され、手順 3 で指定した更新プログラムよりも新しいものへの更新から保護されます。 「Windows 10機能更新プログラム (組織) レポートを使用する」を参照してください。

  6. 更新プログラムに登録され、保護されているデバイスでは、Windows Update ポリシー ワークロードを構成マネージャーから Intune に安全に変更できます。 共同管理ドキュメントの、「ワークロードを Intune に切り替える」 を参照してください。

• デバイスが Windows Update サービスにチェックインされると、デバイスのグループ メンバーシップが、機能更新プログラムに含まれる機能更新プログラム ポリシー設定に割り当てられたセキュリティ グループに対して検証されます。

• 機能更新プログラム ポリシーを受け取ったマネージド デバイスは、Windows Update for Business 展開サービスに自動的に登録されます。 展開サービスによって、デバイスが受け取る更新プログラムが管理されます。 Microsoft Intuneはこのサービスを使用し、Windows 更新プログラムのIntune ポリシーと連携して、機能更新プログラムをデバイスに展開します。

  デバイスが機能更新ポリシーに割り当てられなくなった場合、デバイスはデプロイ サービスに登録されたままになります。 この変更により、デバイスを別のポリシーに割り当て、その間にデバイスが意図されていない機能更新プログラムを受け取らないようにする時間が与えられます。

その結果、機能更新プログラム ポリシーがデバイスに適用されなくなった場合、次のいずれかが発生するまで、そのデバイスには機能更新プログラムは提供されません。

• デバイスが、新しい機能更新プログラム プロファイルに割り当てられる。
• デバイスが Intune から登録解除される。これにより、デバイスは展開サービスによる機能更新プログラムの管理から登録解除されます。
• ユーザーが、Business 展開サービス グラフ API に対する Windows Update を使用して、機能更新プログラムの管理からデバイスを削除する。

Windows 10 以降向け機能更新プログラムのポリシーの作成および割り当て

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス]>[Windows]>[Windows 10 以降向け機能更新プログラム]>[プロファイルの作成] の順に選択します。

3. [展開 の設定] で、次の手順を実行します。

   • 名前と説明 (省略可能) を指定し、[展開する機能更新プログラム] に対して目的の機能セットを含む Windows のバージョンを選択してから、[次へ] を選択します。 引き続きサポートされる Windows のバージョンのみを選択できます。

   • Windows の更新プログラムがこのポリシーを受信するデバイスで更新を利用できるようにするタイミングを管理するために、ロールアウト オプションを構成します。 これらのオプションの使用については、「Windows の更新プログラムのロールアウト オプション」を参照してください。

4. [割り当て] で [+ 含めるグループを選択] を選択した後、1 つまたは複数のデバイス グループに機能更新プログラムの展開を割り当てます。 [次へ] を選んで続行します。

5. [確認と作成] で、設定を確認します。 機能更新プログラム ポリシーを保存する準備ができたら、[作成] を選択します。

デバイスを Windows 11 にアップグレードする

Windows 10 以降向け機能更新プログラムのポリシーを使用して、Windows 10 を実行しているデバイスを Windows 11 にアップグレードすることもできます。

機能更新プログラム ポリシーを使用して Windows 11 を展開する場合、Windows 10 デバイスをポリシーの対象にすることができ、Windows 11 の最小要件を満たすデバイスが Windows 11 にアップグレードされます。 Windows 11 の要件を満たしていないデバイスは更新プログラムをインストールせず、現在の Windows 10 バージョンのまま維持されます。

もう 1 つのオプションは、デバイスがWindows 11を実行できない場合は、最新のWindows 10機能更新プログラムをインストールし、Windows 11の要件を満たしていないデバイスは、代わりに最新のWindows 10機能更新プログラムを取得します。

ただし、Windows 11を実行できないWindows 10 デバイスがWindows 11更新プログラムの対象になっている場合、今後のWindows 10更新プログラムはそのデバイスに自動的に提供されません。 この場合、Windows 11 ポリシーから対象外のデバイスを削除し、デバイスを Windows 10 機能更新ポリシーに割り当てます。 「複数のポリシーがデバイスを対象とする場合の更新動作」をご覧ください。

Windows 11 へのアップグレードの準備

Windows 11 へのアップグレードを準備するための最小の手順は、お使いのデバイスが Windows 11 の最小システム要件を満たしていることを確認することです。

Microsoft Intuneのエンドポイント分析を使用して、ハードウェア要件を満たすデバイスを判断できます。 一部のデバイスがすべての要件を満たしていない場合、要件を満たしていない部分を正確に把握することができます。 Endpoint Analytics を使用するには、デバイスを Intune で管理するか、共同管理するか、テナント接続が有効になっている 構成マネージャー クライアント バージョン 2107 以降が必要です。

既にエンドポイント分析を使用している場合は、「[Work from anywhere]\(どこからでも作業する\) レポート」に移動し、中央の Windows スコア カテゴリを選択すると、Windows 11 への対応状況を集約したポップアップが表示されます。 より詳細を確認するには、レポートの上部にある [Windows] タブに移動します。 [Windows] タブには、デバイスごとの準備状況の情報が表示されます。

Windows 11 バージョンのライセンス

Windows 11 には新しい使用許諾契約書があり、その内容は https://www.microsoft.com/useterms/ で確認できます。 このライセンス契約は、Windows 11 を展開するためのポリシーを提出した組織に自動的に承諾されます。

Microsoft Intune管理センターでポリシーの構成を使用してWindows 11バージョンを展開すると、Microsoft Intune管理センターに通知が表示され、ポリシーを送信することで、デバイスとデバイス ユーザーに代わってWindows 11使用許諾契約条項に同意していることを通知します。 機能アップデートのポリシーの提出後は、エンド ユーザーに使用許諾契約書は表示されず、同意する必要もないため、更新プロセスがシームレスになります。

このライセンス リマインダーは、すべての Windows デバイスが既に Windows 11 を実行している場合でも、Windows 11 ビルドを選択するたびに表示されます。 このプロンプトがプロビジョニングされるのは、Intune がポリシーを受け取るデバイスを追跡していないためであり、Windows 10 を実行する新しいデバイスが後で登録され、ポリシーの対象となる可能性があります。

一般的なライセンスの詳細を含む詳細情報については、「Windows 11 ドキュメント」を参照してください。

Windows 11 用ポリシーの作成

Windows 11 を展開するには、以前に Windows 10 デバイスに対して行った場合と同じように、機能更新プログラム ポリシーを作成して展開します。 これは同じプロセスですが、展開する機能更新プログラムのドロップダウン リストで、Windows 10 バージョンを選択する代わりに、Windows 11 バージョンを選択します。 ドロップダウン リストには、サポート対象である Windows 10 と Windows 11 の両方のバージョン更新情報が表示されます。

また、管理者は、Windows 11の対象ではないデバイスに最新のWindows 10更新プログラムを展開することもできます。 この機能を有効にするには、管理者は[デバイスがWindows 11を実行できない場合は、展開ポリシーに最新のWindows 10機能の更新プログラムをインストールする] チェック ボックスをオンにする必要があります。 この機能は、[機能更新プログラム] ドロップダウン リストから Windows 11 バージョンを選択し、テナントがこのドキュメントの冒頭で定義されているライセンス要件を満たしている場合にのみ使用できます。

この機能では、2 つの異なる展開ポリシーまたは 2 つの異なる機能更新プログラムを作成する必要はありません。 1 つのポリシーを使用すると、Windows 11に移動できないWindows 10デバイスを取得して、最新のWindows 10バージョンにアップグレードしたり、Windows 11に移動して選択したWindows 11バージョンにアップグレードしたりできるすべてのデバイスを取得できます。

チェックボックスの値を変更すると現在のデプロイが終了し、2 つの新しいデプロイが開始されるため、既存のポリシーのチェックボックスを設定することはできません。 展開設定を変更するには、現在の機能更新ポリシーを削除し、チェック ボックスをオンにして新しいポリシーを作成します。

• 以前のバージョンの Windows をデバイスに展開しても、デバイスはダウングレードされません。 デバイスは、更新プログラムがデバイスの現在のバージョンよりも新しい場合にのみ、更新プログラムをインストールします。
• Windows 11 をサポートする Windows 10 デバイスに Windows 11 更新プログラムを展開すると、そのデバイスがアップグレードされます。

複数のポリシーがデバイスを対象とする場合の更新動作は以下のとおりです。

機能更新ポリシーが複数の更新ポリシーを持つデバイスを対象にする場合、または Windows 11 向け更新プログラムを含む Windows 10 デバイスを対象にする場合は、次の点を考慮してください。

• 各 Windows 機能更新ポリシーでは、1 つの更新プログラムがサポートされています。 デバイスが複数のポリシーの対象になっている場合は、複数の更新バージョンを対象にしている可能性があります。

• Windows Update サービスでは、一度に 1 つの機能更新プログラムのみ提供され、デバイスを対象とする最新の更新プログラム バージョンが常に提供されます。

• Windows 11 更新プログラムは Windows 10 以降のバージョンとみなされるため、サービスは常に Windows 10 と Windows 11 の両方の更新プログラムを対象とするデバイスに Windows 11 更新プログラムを提供します。 これは、Windows 10 デバイスへの Windows 11 更新プログラムの展開がサポートされているアップグレード パスであるためです。

• [デバイスがWindows 11を実行できない場合は、複数のポリシーを使用する場合に最新のWindows 10機能更新プログラムをインストールします。このセクションで説明する問題を回避し、Windows 11がデバイスに適格でないことを検出するようにサービスを構成し、代わりに最新のWindows 10機能更新プログラムを提供します。

Windows 10 以降向け機能更新プログラムのポリシーの管理

管理センターで、[デバイス]>[Windows]>[Windows 10 以降向け機能更新プログラム] に移動して、プロファイルを表示します。

各プロファイルについて、次のことを確認できます。

• [機能更新プログラムのバージョン] – プロファイルでの機能更新プログラムのバージョン。

• [割り当て済み] – プロファイルが 1 つ以上のグループに割り当てられている場合。

• [サポート]: 機能更新プログラムの状態:

  • [サポートされています] – 機能更新プログラムのバージョンはサポートされており、デバイスに展開できます。
  • [サポートの終了が近づいています] – 機能更新プログラムのバージョンはサービス終了日の 2 か月以内です。
  • [サポートされていません] – 機能更新プログラムのサポートは期限切れになり、デバイスに展開されなくなりました。

• [サポート終了日] – 機能更新プログラムのバージョンのサポート終了日。

注:

指定された日付は、Windows の Enterprise および Education エディション用です。 Windows Update for Business 展開サービスでサポートされている他のエディションのサポート日については、Microsoft 製品ライフサイクル サイトを参照してください。

一覧からプロファイルを選択すると、プロファイルの [概要] ペインが開き、次の作業を行うことができます。

• [削除] を選択して、そのポリシーを Intune から削除し、デバイスから削除します。
• [プロパティ] を選択して、その展開を変更します。 [プロパティ] ウィンドウで [編集] を選択すると、"[展開の設定] または [割り当て]" が開きます。ここで展開を変更できます。

注:

[End user update status Last scanned Time]\(最終スキャン時間\) の値は、最初のユーザーがログオンし、セッション オーケストレーター (USO) スキャンを更新するまで、"未スキャン" を返します。 統合更新プラットフォーム (UUP) アーキテクチャと関連コンポーネントの詳細については、「Windows Updateの概要」を参照してください。

検証とレポート

Intune で Windows 10/11 更新プログラムの詳細なレポートを取得するには、複数のオプションがあります。 Windows Update レポートでは、Windows 10 と Windows 11 のデバイスに関する詳細が同じレポートに並んで表示されます。

詳細については、Intune コンプライアンス レポートに関するページを参照してください。

次の手順

• Intune で Windows 更新リングを使用する
• Windows 更新プログラムの互換性レポートを使用する
• Windows 10/11 更新プログラムに Windows 更新プログラム レポートを使用する
• 別のソリューションについては、Windows 展開コンテンツの Windows Autopatch に関するページも参照してください。