Windows Update for Business 展開サービス

Windows Update for Business デプロイ サービスは、Windows Update for Business 製品ファミリ内のクラウド サービスです。 これは、ビジネス ポリシーとビジネス レポートのWindows Updateに関する既存のWindows Updateと連携するように設計されています。 デプロイ サービスは、Windows Updateからマネージド デバイスに配信される更新プログラムの承認、スケジュール、保護を制御します。 このサービスはプライバシーに焦点を当て、業界をリードするコンプライアンス認定によって支えられています。

Windows Update for Business 製品ファミリには、次の 3 つの要素があります。

  • グループ ポリシーと CSP を通じて利用可能な更新エクスペリエンスとタイミングを管理するためのクライアント ポリシー
  • 更新プログラムの展開を監視するためのビジネス レポートのWindows Update
  • 展開サービス API を使用して、展開用の特定の更新プログラムを承認およびスケジュールします。これは、Microsoft Graph と関連する SDK (PowerShell を含む) を通じて利用できます。

デプロイ サービスは、既存のデバイス ポリシーやビジネス レポートのWindows Updateブックなど、ビジネス向け既存のWindows Update機能を補完します

ビジネス ファミリのWindows Updateの一部である 3 つの要素を示す図。

デプロイ サービスのしくみ

ほとんどの更新管理ソリューションでは、通常、レジストリの編集、グループ ポリシー、または CSP を利用する MDM ソリューションを使用して、クライアント自体に更新ポリシーが設定されます。 つまり、更新プログラムのエンド ユーザー エクスペリエンスと展開設定は、最終的には個々のデバイス設定によって決まります。 ただし、Windows Update for Business デプロイ サービスでは、サービスは更新プログラムの展開動作を制御する中心的なポイントです。 展開サービスはWindows Updateと直接統合されるため、管理者が展開動作を定義すると、Windows Updateはデバイスがスキャンされたときに更新プログラムをインストールするように指示する方法を既に認識しています。 展開サービスは、管理ツール (Windows PowerShell などのスクリプト ツールを含む) とWindows Update サービスの間に直接通信チャネルを作成し、コンテンツの承認と提供を管理者が直接制御できるようにします。

通常、デプロイ サービスの使用は、一般的なパターンに従います。

  1. 管理者は、管理ツールを使用してデバイスを選択し、展開するコンテンツを承認します。 このツールは、PowerShell、Microsoft Graph アプリ、またはMicrosoft Intuneなどのより完全な管理ソリューションです。

  2. 選択した管理ツールは、承認、スケジュール、およびデバイスの選択情報をデプロイ サービスに伝達します。

  3. デプロイ サービスはコンテンツの承認を処理し、以前に承認されたコンテンツと比較します。 最終的な更新プログラムの適用性が決定され、Windows Updateに伝達され、次のチェックで承認されたコンテンツがデバイスに提供されます。

    ダイアグラムの表示

デプロイ サービスは、Microsoft Graph REST API を介してこれらの機能を公開します。 Graph SDK を介して API を直接呼び出すか、Microsoft Intuneなどの管理ツールと統合できます。

Windows Update for Business デプロイ サービスの機能

デプロイ サービスは、遅延ポリシーとデプロイ リングを通じて提供されるよりも多くの制御を求めている IT 担当者向けに設計されています。 このサービスには、更新プログラムに対して次の機能が用意されています。

  • 承認とスケジュール設定: 特定の日付に開始する更新プログラムの展開を承認およびスケジュールする
    • : 2023 年 2 月 17 日に、指定したデバイスに Windows 11 22H2 機能更新プログラムを展開します。
  • 段階的なロールアウト: 段階的なロールアウト設定を指定して、一定期間または数週間にわたってデプロイをステージする
    • : 2023 年 2 月 17 日から、Windows 11 22H2 機能更新プログラムを 1 日あたり 500 台のデバイスに展開する
  • 迅速化: ビジネス ポリシー用に構成されたWindows Updateをバイパスして、organization全体にセキュリティ更新プログラムをすぐに展開する
  • セーフガードホールド: Microsoft 機械学習アルゴリズムによって特定された更新プログラムの問題の影響を受ける可能性があるデバイスの展開を自動的に保持します

特定の更新プログラムの分類で使用できる機能は次のとおりです。

機能 品質更新プログラム 機能更新プログラム ドライバーとファームウェア
承認とスケジュール はい はい
段階的なロールアウト はい
促進 はい
セーフガード ホールド

デプロイ保護

デプロイ サービスは、展開を監視し、ロールアウト中の問題に対応するロールアウト コントロールと機械学習アルゴリズムの組み合わせを通じてデプロイを保護します。

段階的なロールアウト

デプロイ サービスを使用すると、任意の更新プログラムを一定期間または数週間にわたってデプロイできます。 更新プログラムがスケジュールされると、デプロイ サービスは、更新されるデバイスにまたがるスケジュール パラメーターと一意の属性に基づいてデプロイを最適化します。 サービスは、次の手順に従います。

  1. スケジュール パラメーターに基づいて、各デプロイ ウェーブで更新するデバイスの数を決定します。
  2. 以前のウェーブがさまざまなハードウェアとソフトウェアを持ち、パイロット デバイスの母集団として機能するように、展開ウェーブごとにデバイスを選択します。
  3. 以前のウェーブへのデプロイを開始して、母集団に存在するデバイス属性のカバレッジを構築します。
  4. すべてのウェーブが完了し、すべてのデバイスが更新されるまで、均一なレートでデプロイを続行します。

この組み込みのパイロット機能は、既存の デプロイ リング 構造を補完し、更新中のリスクを軽減および管理するための別のサポートを提供します。 この機能は、各リング内で動作することを目的としています。 デプロイ サービスでは、リング自体を作成するためのワークフローは提供されません。 organizationのサービス戦略の一環として展開リングを引き続き使用しますが、段階的なロールアウトを使用して、スケジュールの利便性と各リング内の他の保護を追加します。

可能性のある既知の問題に対するセーフガード ホールド

Microsoft では 、セーフガード ホールド を使用して、デバイスが更新プログラムまたはアップグレードをインストールできないようにすることで、既知の品質または互換性の問題が発生しないように保護します。 Windows 11展開の場合、展開サービスはセーフガード ホールドも拡張して、更新後に問題が発生するリスクが高いと Microsoft が特定するデバイス (オペレーティング システムのロールバック、アプリのクラッシュ、グラフィックスの問題など) を保護します。 Microsoft が問題の可能性を調査している間、サービスはこれらのデバイスの展開を一時的に保持します。 セーフガードホールドは既定でデプロイに適用されますが、オプトアウトすることはできます。デバイスがセーフガード ホールドの影響を受けるかどうかを確認するには、「セーフガード ホールド の影響を受けますか?」を参照してください。

ロールバックの問題を検出するためのデプロイの監視

Windows 11またはWindows 10機能更新プログラムの展開中に、ドライバーの組み合わせによって予期しない更新エラーが発生し、デバイスが以前にインストールされたオペレーティング システムのバージョンに戻る場合があります。 デプロイ サービスは、このような問題のデバイスを監視し、これが発生したときにデプロイを自動的に一時停止して、問題を検出して軽減する時間を与えることができます。

デプロイ サービスの概要

デプロイ サービスを使用するには、Microsoft Intuneなどのプラットフォーム上に構築された管理ツールを使用し、PowerShell を使用して一般的なアクションをスクリプト化するか、独自のアプリケーションをビルドします。

デプロイ サービスとデプロイ プロセスの詳細については、次を参照してください。

PowerShell を使用した一般的なアクションのスクリプト作成

Microsoft Graph SDK には、一般的な更新アクションのスクリプト作成と自動化に使用できる PowerShell 拡張機能が含まれています。 詳細については、「 Microsoft Graph PowerShell SDK の概要」を参照してください。

独自のアプリケーションをビルドする

Microsoft Graph では、デプロイ サービス API を使用できるようになります。 以下のリソースの概要:

Microsoft Intuneを使用する

Microsoft Intune展開サービスと統合され、Windows クライアント更新プログラム管理機能が提供されます。 詳細については、以下を参照してください。