Windows Update for Business 展開サービス

適用対象

  • Windows 10
  • Windows 11

ビジネス展開サービスのWindows Updateは、ビジネス向け製品ファミリのWindows Update内のクラウド サービスです。 これにより、Windows Updateから配信される更新プログラムの承認、スケジュール設定、および保護を制御できます。 ビジネス 向け既存のWindows Updateと連携するように設計されています。

デプロイ サービスは、延期ポリシーとデプロイ リングを通じて提供されるよりも多くの制御を求める IT 担当者向けに設計されています。 次の機能が提供されます。

  • 特定の日付に開始する更新プログラムの展開をスケジュールできます (たとえば、2021 年 3 月 14 日に指定されたデバイスに 20H2 を展開するなど)。
  • 豊富な式を使用して、数日または数週間にわたってデプロイをステージングできます (たとえば、2021 年 3 月 14 日以降、1 日あたり 20H2 から 500 台のデバイスをデプロイするなど)。
  • ビジネス ポリシー用に事前に構成されたWindows Updateをバイパスして、緊急時に組織全体にセキュリティ更新プログラムをすぐに展開できます。
  • 組織のハードウェアとソフトウェアのカバレッジを確保するために、独自のデバイスの母集団に合わせて調整された自動パイロットを使用して、展開のメリットを得ることができます。
  • Microsoft 機械学習アルゴリズムによって特定された可能性のある更新の問題に対する保護策を使用し、影響を受けるすべてのデバイスの展開を自動的に保持できます。

このサービスはプライバシーに重点を置き、業界をリードするコンプライアンス認定を受けます。

動作のしくみ

展開サービスは、既存のデバイス ポリシーや Update Compliance など、ビジネス向けの既存のWindows Update機能を補完します。

次のテキストの要素。

Windows Update for Business は、次の 3 つの要素で構成されています。

  • 更新のエクスペリエンスとタイミングを管理するクライアント ポリシー - グループ ポリシーおよび CSP を通じて利用できます
  • 特定の更新プログラムを承認およびスケジュールするためのデプロイ サービス API (Microsoft Graph および関連する SDK (PowerShell を含む) を通じて入手できます。
  • 更新プログラムの展開を監視するための更新プログラムのコンプライアンス - Azure Marketplaceから入手できます

既存のクライアント ポリシーとは異なり、展開サービスはデバイスと直接対話しません。 このサービスはクラウドにネイティブであり、すべての操作はさまざまな Microsoft サービス間で行われます。 管理ツール (Windows PowerShell などのスクリプト ツールを含む) とWindows Update サービスの間に直接通信チャネルを作成し、コンテンツの承認と提供を IT 担当者が直接制御できるようにします。

次のテキストで説明するプロセス。

通常、デプロイ サービスの使用は、一般的なパターンに従います。

  1. IT Pro では、管理ツールを使用してデバイスを選択し、展開するコンテンツを承認します。 このツールには、PowerShell、Microsoft Graph アプリ、Microsoft エンドポイント マネージャーなどのより完全な管理ソリューションを使用できます。
  2. 選択したツールは、承認、スケジュール、およびデバイスの選択情報をデプロイ サービスに伝達します。
  3. デプロイ サービスは、コンテンツの承認を処理し、以前に承認されたコンテンツと比較します。 最終的な更新プログラムの適用可能性が決定され、Windows Updateに伝達され、承認されたコンテンツがデバイスに提供されます。次に更新プログラムを確認します。

デプロイ サービスは、Microsoft Graph REST API を使用してこれらの機能を公開します。 Api は、Graph SDK を使用して直接呼び出すか、Microsoft エンドポイント マネージャーなどの管理ツールと統合できます。

前提条件

展開サービスを操作するには、デバイスが次のすべての要件を満たしている必要があります。

  • Windows 10バージョン 1709 以降 (またはWindows 11) を実行している
  • Azure Active Directory (AD) または Hybrid AD に参加する
  • 次のいずれかのWindows 10エディションまたはWindows 11エディションをインストールします。
    • Pro
    • Enterprise
    • Education
    • Pro Education
    • Pro for Workstations

さらに、組織には次のいずれかのサブスクリプションが必要です。

  • Windows 10/11 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれる)
  • Windows 10/11 Education A3 または A5 (Microsoft 365 A3 または A5 に含まれる)
  • Windows Virtual Desktop Access E3 または E5
  • Microsoft 365 Business Premium

開始するには

デプロイ サービスを使用するには、プラットフォーム上に構築された管理ツールを使用するか、PowerShell を使用して一般的なアクションをスクリプト化するか、独自のアプリケーションを構築します。

Microsoft エンドポイント マネージャーの使用

Microsoft エンドポイント マネージャーは、展開サービスと統合して、Windows クライアント更新プログラム管理機能を提供します。 詳細については、IntuneのWindows 10以降のポリシーの機能更新プログラムに関する記事を参照してください。

PowerShell を使用した一般的なアクションのスクリプト化

Microsoft Graph SDK には、一般的な更新アクションのスクリプト化と自動化に使用できる PowerShell 拡張機能が含まれています。 詳細については、「 Microsoft Graph PowerShell SDK の概要」を参照してください。

独自のアプリケーションを構築する

Microsoft Graph を使用すると、デプロイ サービス API を使用できます。 次のラーニング パスの使用を開始します。

Microsoft Graph 開発について理解できたら、Microsoft Graph の Windows 更新プログラム API の概要 に関するページを参照してください。

デプロイの保護

デプロイ サービスは、展開を監視し、ロールアウト中の問題に対応するロールアウト 制御と機械学習アルゴリズムの組み合わせによってデプロイを保護します。

自動パイロットを使用してロールアウトをスケジュールする

デプロイ サービスを使用すると、任意の更新プログラムを数日または数週間にわたってデプロイできます。 更新プログラムがスケジュールされると、デプロイ サービスは、更新されるデバイスにまたがるスケジュール パラメーターと一意の属性に基づいてデプロイを最適化します。 サービスは次の手順に従います。

  1. スケジュール パラメーターに基づいて、各展開ウェーブで更新するデバイスの数を決定します。
  2. 前のウェーブがハードウェアとソフトウェアの多様性を持ち、パイロット デバイス集団として機能するように、展開ウェーブごとにデバイスを選択します。
  3. 以前のウェーブへのデプロイを開始して、母集団に存在するデバイス属性のカバレッジを構築します。
  4. すべてのウェーブが完了し、すべてのデバイスが更新されるまで、均一なレートでデプロイを続けます。

この組み込みのパイロット機能は、既存のリング構造を補完し、更新中のリスクを軽減および管理するためのもう 1 つのサポートを提供します。 Desktop Analyticsなどのツールとは異なり、この機能は各リング内で動作することを目的としています。 デプロイ サービスでは、リング自体を作成するためのワークフローは提供されません。

展開リングは、組織のサービス戦略の一環として引き続き使用する必要がありますが、段階的なロールアウトを使用して、スケジュールの利便性と各リング内の追加の保護を追加する必要があります。

セーフガードは、考えられる問題と既知の問題に対して保持されます

Microsoft は、デバイスが更新プログラムまたはアップグレードをインストールできないようにすることで、既知の品質または互換性の問題が発生しないように 保護するために、保護ホールド を使用します。 Windows 11展開の場合、展開サービスは、更新後に問題が発生するリスクが高いと Microsoft が識別するデバイス (オペレーティング システムのロールバック、アプリのクラッシュ、グラフィックスの問題など) を保護するために、これらの保護ホールドを拡張します。 Microsoft が考えられる問題を調査している間、サービスはこれらのデバイスの展開を一時的に保持します。 既定では、保護ホールドがデプロイに適用されますが、オプトアウトすることはできます。

デバイスが保護ホールドの影響を受けるかどうかを確認するには、「保護ホールドの 影響を受けますか?

ロールバックの問題を検出するためのデプロイの監視

Windows 11またはWindows 10機能の更新プログラムの展開中に、ドライバーの組み合わせによって予期しない更新エラーが発生し、デバイスが以前にインストールされたオペレーティング システム バージョンに戻ることがあります。 展開サービスは、このような問題のデバイスを監視し、これが発生したときに展開を自動的に一時停止して、問題を検出して軽減する時間を提供します。

展開保護を有効化する方法

展開スケジュール制御は常に使用できますが、母集団に合わせた一意の展開保護を利用するには、デバイスが診断データを Microsoft と共有する必要があります。

デバイスの前提条件

  • 診断データは [必須] または [省略可能] に設定されます。
  • AllowWUfBCloudProcessing ポリシーは 8 に設定されています

AllowWUfBCloudProcessing ポリシーを設定する

Business クラウド処理のWindows Updateにデバイスを登録するには、モバイル デバイス管理 (MDM) ポリシーまたはグループ ポリシーを使用して AllowWUfBCloudProcessing ポリシーを設定します。

ポリシー レジストリ キーを次の下に設定します。 HKLM\Software
Windows 10 Version 1809 以降の GPO: Windows コンポーネント>データ収集およびプレビュー ビルド> WUfB クラウド処理を許可>コンピューター構成 >>管理用テンプレート \Policies\Microsoft\Windows\DataCollection\AllowWUfBCloudProcessing
Windows 10 Version 1809 以降の MDM: ../Vendor/MSFT/ Policy/Config/System/AllowWUfBCloudProcessing \Microsoft\PolicyManager\current\device\System\AllowWUfBCloudProcessing

Microsoft エンドポイント マネージャーを使用してポリシーを設定する例を次に示します。

  1. Microsoft エンドポイント マネージャー 管理センターにサインインします。

  2. [デバイス] > [構成プロファイル] > [プロファイルの作成] を選択します。

  3. プラットフォームでWindows 10以降を選択し、****プロファイルの種類[テンプレート] を選択し、[テンプレート名] で [カスタム] を選択して、[作成] を選択します。

  4. [ 基本] に、ポリシーのわかりやすい名前と説明を入力し、[ 次へ] を選択します。

  5. [構成設定] で [追加] を選択し、次の設定を入力して [保存] を選択し、[次へ] を選択します。

    • 名前: AllowWUfBCloudProcessing
    • 説明: 説明を入力します。
    • OMA-URI: ./Vendor/MSFT/Policy/Config/System/AllowWUfBCloudProcessing
    • データ型: 整数
    • 値: 8
  6. [割り当て] で、プロファイルを受け取るグループを選択し、[次へ] を選択します。

  7. [ 確認と作成] で設定を確認し、[ 作成] を選択します。

  8. (省略可能)ポリシーがクライアントに到達したことを確認するには、次のレジストリ エントリの値を確認します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\System\AllowWUfBCloudProcessing

ベスト プラクティス

サービスで最適な結果を得るには、次の推奨事項に従ってください。

デバイスのオンボード

  • サービスを使用して管理する前に、デバイスがプロビジョニングを完了するまで待ちます。 デバイスが Autopilot によってプロビジョニングされている場合は、プロビジョニングが完了した後 (通常は 1 日)、展開サービスによってのみ管理できます。

  • 機能更新プログラムの延期ポリシーを使用せずに、機能更新プログラム管理にデプロイ サービスを使用します。 展開サービスを使用して、以前に機能更新プログラムの延期ポリシーを使用していたデバイスで機能更新プログラムを管理する場合は、機能更新プログラムを管理する複数の条件が適用されないように、機能更新プログラムの延期ポリシーを 0 日間に設定することをお勧めします。 機能更新プログラムの遅延ポリシーの値は、デバイスがエラーなしでサービスに登録されたことを確認してから 0 日間にのみ変更する必要があります。

全般

同じリソースを管理するために異なるチャネルを使用しないでください。 Microsoft エンドポイント マネージャーを Microsoft Graph API または PowerShell と共に使用する場合、両方のチャネルを使用して同じリソースを管理する場合、リソースの側面 (デバイス、デプロイ、更新可能な資産グループなど) が上書きされる可能性があります。 代わりに、各リソースを作成したチャネルを介してのみ管理します。

次のステップ

デプロイ サービスの詳細については、次の手順を試してください。