Microsoft Intune での Windows 10 および Windows 11 の更新リングのトラブルシューティング

2025-02-11

この記事では、Windows Update のリング設定に関する問題をトラブルシューティングして、組織の Windows 10 または Windows 11 デバイスに正常に配信されるようにするためのガイドラインを示します。更新リング設定では、Windows デバイスがオペレーティングシステム (OS) 更新プログラムをインストールする方法とタイミングを管理します。更新リングポリシーの詳細については、「 Update ring for Windows 10 and later policy in Intuneを参照してください。

Microsoft Intune を使用して Windows 10 または 11 デバイスに更新リングポリシーを展開するときに問題が発生した場合は、最初に問題が Intune か Windows 関連かを判断することをお勧めします。トラブルシューティングを行う前に、Intune ポリシーがターゲットデバイスに正常に展開されたかどうかを検討することが重要です。

このガイドには、OS とポリシーの更新のしくみを示す一部のデプロイ分析情報が含まれています。次の手順は、他のトラブルシューティング作業で目的の結果が得られない場合に、他の手順とは別に実行できます。

Windows Update リングポリシーの機能

Windows Update リングポリシーでは、ドライバーのインストールのブロック、延期期間の設定、メンテナンス時間の設定など、更新戦略のみを定義します。更新リングポリシーでは、更新されたインフラストラクチャ自体は提供されません。つまり、ポリシーでは、Windows Updates for Business (WUFB) などの既存の更新ソリューションを使用して、実際の更新プログラムを取得する必要があります。

Intune で作成された Windows Update リングポリシーは、Windows デバイスの更新に Windows ポリシー CSP を使用します。 Intune が割り当てられたデバイスに Windows Update リングポリシーを展開すると、ポリシー構成サービスプロバイダー (CSP) は、ポリシーを有効にするために適切な値を Windows レジストリに書き込みます。

これらのポリシーの機能を確認できたので、更新リングの設定が正常に適用されたかどうかを確認できます。

前提条件が満たされていることを確認する

更新リング設定が正常に適用されたかどうかを確認するには、いくつかの方法があります。通常、Intune 管理センターの状態で十分ですが、関連する問題のトラブルシューティングを行う場合は、他の確認方法が役立つ場合があります。

まず、OS の前提条件を確認します。詳細については、Intune の Windows 10 以降のポリシーのUpdate リングの前提条件セクションを参照レビューを支援します。

Windows 10 バージョン 1607 以降または Windows 11 を実行します。

バージョン:

Windows 10/11 Pro
Windows 10/11 Enterprise
Windows 10/11 チーム (Surface Hub デバイス用)
Windows Holographic for Business: 次のような Windows 更新プログラムの設定のサブセットのみがサポートされます。
- 自動更新の動作
- Microsoft 製品の更新プログラム
- サービスチャネル (一般公開されている更新プログラムビルド)
詳細については、「 Manage」を参照し、Intune で Windows Holographic デバイスと HoloLens デバイスのさまざまなデバイス管理機能を使用する。
Enterprise Long Term Servicing Channel (LTSC)
- 設定のサブセットのみが適用されます。詳細については、「 Windows 10 Enterprise LTSC」を参照してください。

Note

更新リングを使用して、対象となる Windows 10 デバイスを Windows 11 にアップグレードすることもできます。ポリシーを作成するときに、Windows 10 以降の Devices>Windows>Update リングに移動し Windows 10 デバイスを最新の Windows 11 リリースにアップグレード設定を Yes に構成します。

Intune 管理センターでのトラブルシューティング

ポリシーの問題をトラブルシューティングするためのベストプラクティスは、常に Intune 管理センターでその状態を確認することです。

Devices>Windows>Update ring for Windows 10 以降に移動し、確認する更新リングポリシーを選択します。更新リングポリシーの既定のビューが表示されます。これには、ポリシーに関する重要な詳細、Device とユーザーのチェックイン状態のレポートオプション、ポリシーのProperties、その割り当て、ポリシーからおよびExcludedデバイスのグループが含まれます。

特定のデバイスにアクセスし、それに割り当てられている更新リングポリシーのトラブルシューティングを行うには、 Device とユーザーのチェックイン状態 セクションが最適なオプションです。

Intune 管理センターの [更新リングの概要] ページのスクリーンショット。

更新リングポリシーがデバイスに正常に適用されたことを確認するために推奨される方法は、特定の [更新リングポリシー] ページで View report ボタンを選択することです。レポートには、ポリシーが割り当てられているすべてのデバイスの一覧と、それぞれの状態が表示されます。この一覧は、特定のデバイスが更新ポリシーを受け取ったかどうかを迅速に識別するのに役立ちます。

更新リングポリシーのレポートエクスペリエンスの詳細については、「Windows 10 以降のポリシーの更新リングのレポート」セクション「 Windows Update reports for Microsoft Intune」を参照してください。

影響を受けるデバイスの更新リングポリシーを確認します。ポリシーには、管理されているデバイスの種類に応じて、2 つのエントリを指定できます。 Intune がポリシー (更新リングポリシーだけでなく任意のポリシー) を展開すると、設定はログオンユーザーとデバイスのシステムコンテキストの両方に対して配信されます。これにより、2 つのエントリが発生します。これは通常の発生です。ただし、自動ログオンまたはローカルアカウントのユーザーの種類を使用してキオスクデバイスを管理する場合は、システムアカウントのみが表示されます。

詳細については、「Intune デバイスコンプライアンスポリシーの結果を監視する」の「View レポート」セクションを参照してください。ポリシーがデバイスに正常に適用されたかどうかを確認するには、 Device 構成 レポートを参照してください。問題がある場合、またはポリシーが正常に適用されたことを確認するには、ターゲットデバイス自体の設定を確認します。

デバイスの設定を確認する

ポリシーがデバイスにローカルで適用されていることを確認するには、 Settings>Accounts>Access の職場または学校に移動します。 Intune からデバイスに適用されるポリシーの一覧は、組織によって管理されている場合に含まれます。

[組織で管理] ウィンドウのデバイス上のポリシーのスクリーンショット。

Windows デバイスで組織によって管理されているポリシーを表示するには、 Settings>Windows Updates>Advanced オプション>構成済み更新ポリシーに移動します。

[Windows Update] ウィンドウの [詳細設定] オプションのスクリーンショット。[構成済みの更新ポリシー] オプションが強調表示されています。

ポリシーの種類が Mobile デバイス管理であることを確認します。

モバイルデバイス管理 (MDM) ソリューションでは、更新ポリシー (このシナリオでは Intune) が構成されます。ただし、更新ポリシーは、ポリシーの種類として Group Policy を持つオンプレミスの Active Directoryから取得できます。

MDM ポリシーとグループポリシー間の一般的な競合

Intune MDM ポリシーとグループポリシー (GPO) の間で展開が混在すると、競合が発生する可能性があります。多くのグループポリシーは古くキャッシュされており、まだ存在することはわかりません。また、グループポリシーの一部が System Center Configuration Manager (SCCM) から取得される場合もあります。

GPO を介して配信されるポリシーを検証する最善の方法は、 gpresult コマンドを使用することです。

ポリシーソースが "ローカルグループポリシー" の場合は、SCCM によって設定されている可能性があります。そうでない場合は、Active Directory インフラストラクチャからグループポリシーオブジェクトを編集して、競合する値を削除します。

MDM ポリシーとグループポリシーの間のポリシーの競合は、更新プロセス中に予期しないシナリオとして表示されます。更新プログラムはまったく適用されないか、または適用されますが、計画外の方法で適用されます。たとえば、デバイスが以前のバージョンの Windows でスタックし、アップグレードできない可能性があります。

これらの競合の一部は、 ControlPolicyConflict CSP を使用して解決できます。一般に、更新プロセスが期待どおりに動作しない場合は、ポリシーの競合を調査します。詳細については、「 Policy CSP - ControlPolicyConflict」を参照してください。

[注意!] ControlPolicyConflict CSP は、Windows 更新プログラムを管理するための更新ポリシー CSP には適用されません。

正しいレジストリキーが更新されたことを確認する

Intune で Windows Update リングポリシーがターゲットデバイスに正常に展開された場合、それらの設定はレジストリエディターの [ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Update] に表示されます。

[更新] フォルダーに正常に展開されたポリシーを示すレジストリの例のスクリーンショット。

これらの値は、 Policy CSP の説明 Intune の更新リングポリシーに展開された構成と一致する必要があります。

MDM 診断レポートを確認する

更新リングポリシーがデバイスに展開されているかどうかを確認するもう 1 つの方法は、MDM 診断レポートを確認することです。 Windows デバイスで、 Settings>Accounts>Access の職場または学校に移動し、 Export ボタンを選択します。レポートには、Intune で展開されたポリシーが含まれています。更新リングポリシーがレポート内にある場合、ポリシーは正常に展開されています。

Intune イベントのイベントビューアーログを確認する

イベントビューアーログを確認して、ポリシー CSP データがリアルタイムでデバイスに配信される方法を確認します。デバイスで、イベントビューアー アプリケーションに移動し、アプリケーションとサービスログ>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin に移動します。

展開できなかったポリシー (アクションの設定) には、エラーまたは警告が表示されます。

オプションのトラブルシューティング方法

特定のインスタンスでは、Intune ではなく、または Intune に加えて、デバイス側からの更新リングポリシーのトラブルシューティングが必要な場合があります。

Windows Update クライアントを確認する

Windows Update クライアントを使用すると、いくつかのエラーが表示され、次に何を行うかを特定するのに役立ちます。たとえば、更新プログラムが正常にダウンロードされたことを確認できます。これは、問題が更新プログラムのダウンロードに関連していないことを示します。その他の問題としては、デバイスが Windows Update の URL をスキャンして新しいダウンロードを検出できないか、ワークロードが Intune に切り替えられた後も Windows Server Update Services (WSUS) に対してスキャンが行われていることが挙げられます。

イベントビューアーにアクセスするには、デバイスで Windows スタートメニューでイベントビューアー アプリを見つけて、アプリケーションとサービスログ>Microsoft>Windows>WindowsUpdateClient を選択します。

Windows Update レジストリキーのソースを確認する

Windows Update (WU) ソースレジストリキーを確認して、Windows 側の監視を行います。 Intune は、値を次のレジストリハイブに展開することのみを担当します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Update

デバイスで Windows Update 用に構成されているその他の設定を確認するには、レジストリエディターアプリにアクセスし、次のレジストリキーに移動します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

$HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU のレジストリエディターのスクリーンショット。$

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

$HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate のレジストリエディターのスクリーンショット。$

ここから、グループポリシーから取得される可能性がある展開済みポリシーに関する追加情報を見つけます。たとえば、レジストリキーと Windows Update サービスは、WU サーバーではなく WSUS を指しながら、デュアルスキャンも無効にすることができます。サービスの方向が正しく行われると、デバイスが WU ではなく WSUS に対してスキャンされます。詳細については、「ビジネス向け Windows Update と WSUS を一緒に使用するを参照してください。

考慮事項

上記のオプションで問題を特定するために必要な結果が得られなかった場合、デバイスがまだ更新されていない場合、またはエラーが発生している場合は、次の質問を検討してください。

デバイスのレポートとテレメトリは有効になっていますか? Intune では、複数の方法でデバイスにテレメトリを配信できます。ただし、Intune を使用する最も一般的な方法は、 Device Restriction ポリシーを使用することです。それ以外の場合は、グループポリシーを使用して行うこともできます。

詳細については、「組織内の Windows 診断データの構成」の「グループポリシーと MDM を使用した診断データの管理」セクションを参照してください。
デバイスにアクティブなネットワーク接続はありますか? デバイスが機内モード、電源オフ、またはサービスのない場所にある場合は、ネットワークに接続できる場合にポリシーが適用されます。
デバイスは特定の以前のバージョンにアップグレードされていませんか? Windows Update レジストリキーで、グループポリシーや設定カタログなどの他の方法で TargetReleaseVersion 値が競合していないか確認します。
機能更新プログラムと品質更新プログラムを提供するように Windows Update が構成されていることを確認します。レジストリに UpdateServiceUrl が設定されている場合は、 DisableDualScan が 0 に設定されていることを確認します。デバイスでレジストリエディターアプリにアクセスし、 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdateに移動します。
デバイスは共同管理されていますか? Windows 更新プログラムの workload が Intune に切り替えられていることを確認。
別の更新リングまたは設定カタログポリシーから競合する Windows Update for Business 設定を展開していないことを確認します。設定カタログで割り当てられたポリシーを確認します。

更新リングポリシーの場合、デバイスの Device Configuration ペインまたは色付きグラフに "競合" レポートが表示されます。
Windows Update リングポリシーが正しいユーザーまたはデバイスグループに展開されていることを確認します。
ポリシーの展開全体が失敗するか、特定の設定のみが適用されないかを判断します。 Device>Device 構成>Update リングレポートに移動します。一覧の特定の設定では、成功メッセージではなくエラーが表示されます。
エラーの状態を取得する設定の実際の文言を確認します。たとえば、一部の特定の値は、特定の Windows バージョンまたはエディションにのみ適用されます。