デバイス登録の概要

  • [アーティクル]

Windows Autopatch は、お客様の代わりに更新プログラムの展開を管理するために 、既存のデバイス をサービスに登録する必要があります。

Windows Autopatch デバイス登録プロセスは、デバイスをリセットする必要がないため、エンド ユーザーにとって透過的です。

全体的なデバイス登録プロセスは次のとおりです。

デバイス登録プロセスの概要

  1. IT 管理者は、 Windows Autopatch にデバイスを登録する前に、Windows Autopatch デバイス登録の前提条件 を確認します。
  2. IT 管理者は、カスタム自動パッチ グループまたは既定の自動パッチ グループの一部としてデバイス ベースのMicrosoft Entra グループを追加することで、Windows Autopatch によって管理されるデバイスを識別します。
  3. 次に、Windows Autopatch:
    1. デバイスの準備を事前登録 (前提条件チェック) を実行します。
    2. デプロイ リングの分布を計算します。
    3. 前の計算に基づいて、いずれかの展開リングにデバイスを割り当てます。
    4. 管理に必要な他のMicrosoft Entra グループにデバイスを割り当てます。
    5. 更新プログラムの展開ポリシーを適用できるように、デバイスを管理用にアクティブとしてマークします。
  4. 次に、IT 管理者は、デバイス登録の傾向と更新プログラムの展開レポートを監視します。

デバイス登録ワークフローの詳細については、Windows Autopatch デバイス登録プロセスの背後にある技術的な詳細については、「 デバイス登録ワークフローの詳細な図 」セクションを参照してください。

デバイス登録ワークフローの詳細図

次の詳細なワークフロー図を参照してください。 この図では、Windows Autopatch デバイス登録プロセスについて説明します。

デバイス登録ワークフローの詳細図

ステップ 説明
手順 1: デバイスを識別する IT 管理者は、Windows Autopatch サービスによって管理されるデバイスを識別します。
手順 2: デバイスを追加する IT 管理者は、カスタム オートパッチ グループの編集/に既存のデバイス ベースのMicrosoft Entra グループを追加するときに、Direct メンバーシップを介してデバイスを追加するか、割り当てられた他のMicrosoft Entra IDまたは動的グループを Windows Autopatch Device Registration Microsoft Entra ID割り当てられたグループに入れ子にします。または[既定の自動パッチ] グループを編集する
手順 3: デバイスを検出する Windows Autopatch Discover Devices 関数は、IT 管理者が以前に Windows Autopatch Device Registration Microsoft Entra ID割り当てられたグループまたは手順 2 で Autopatch グループで使用したMicrosoft Entra グループから追加したデバイス (時間単位) を検出します。 Microsoft Entra デバイス ID は、デバイスをサービスに登録するときに、Microsoft IntuneとMicrosoft Entra IDの両方でデバイス属性を照会するために Windows Autopatch によって使用されます。
  1. Microsoft Entra グループからデバイスが検出されると、同じ関数によって追加のデバイス属性が収集され、検出操作中にメモリに保存されます。 この手順のMicrosoft Entra IDから、次のデバイス属性が収集されます。
    1. AzureADDeviceID
    2. OperatingSystem
    3. DisplayName (デバイス名)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. この同じ手順では、Windows Autopatch discover devices 関数は、デバイスの前提条件チェック関数である別の関数を呼び出します。 デバイスの前提条件チェック関数は、登録前に Windows Autopatch デバイスの準備要件に準拠するために、ソフトウェア ベースのデバイス レベルの前提条件を評価します。
手順 4: 前提条件を確認する Windows Autopatch の前提条件関数は、登録プロセスに必要なデバイスの準備属性を順番に検証するためのIntune Graph API呼び出しを行います。 詳細については、「ワークフローダイアグラムの詳細な前提条件チェック」セクションを参照してください。 サービスは、次のデバイス準備属性や前提条件を確認します。
  1. デバイスがIntune管理されているかどうか。
    1. Windows Autopatch は、Microsoft Entra デバイス ID にIntuneデバイス ID が関連付けられているかどうかを確認します。
      1. はいの場合は、このデバイスがIntuneに登録されていることを意味します。
      2. そうでない場合は、デバイスがIntuneに登録されていないことを意味するため、Windows Autopatch サービスで管理することはできません。
    2. デバイスがIntuneによって管理されていない場合、Windows Autopatch サービスは、オペレーティング システムのバージョン、Intune登録日、デバイス名、その他の属性などのデバイス属性を収集できません。 この場合、Windows Autopatch サービスは、手順 3a で収集してメモリに保存したMicrosoft Entraデバイス属性を使用します。
      1. 手順 3a のMicrosoft Entra IDからデバイス属性が収集されると、デバイスに [前提条件の失敗] 状態のフラグが設定され、[未登録] タブに追加され、IT 管理者はデバイスが Windows Autopatch に登録されていない理由を確認できるようになります。 IT 管理者はこれらのデバイスを修復します。 この場合、IT 管理者は、デバイスがIntuneに登録されなかった理由をチェックする必要があります。
      2. 一般的な理由は、Microsoft Entraデバイス ID が古くなっている場合、Intuneデバイス ID が関連付けられていないことです。 修復するには、テナントから古いMicrosoft Entraデバイス レコードをクリーンします
    3. デバイスがIntuneによって管理されている場合、Windows Autopatch の前提条件チェック関数は、次の前提条件のチェックに進み、デバイスが過去 28 日間にIntuneにチェックインされたかどうかを評価します。
  2. デバイスが Windows デバイスかどうか。
    1. Windows Autopatch は、デバイスが Windows および企業所有のデバイスであるかどうかを確認します。
      1. はいの場合は、Windows 企業所有のデバイスであるため、このデバイスをサービスに登録できることを意味します。
      2. そうでない場合は、デバイスが Windows 以外のデバイスであるか、Windows デバイスですが個人用デバイスであることを意味します。
  3. Windows Autopatch は、Windows SKU ファミリをチェックします。 SKU は次のいずれかである必要があります。
    1. Enterprise
    2. プロ
    3. Pro Workstation
  4. デバイスがオペレーティング システムの要件を満たしている場合、Windows Autopatch はデバイスが次のいずれかであるかどうかを確認します。
    1. Intuneによってのみ管理されます。
      1. デバイスがIntuneによってのみ管理されている場合、デバイスは [すべての前提条件に合格] としてマークされます。
    2. Configuration ManagerとIntuneの両方によって共同管理されます。
      1. デバイスがConfiguration ManagerとIntuneの両方で共同管理されている場合は、追加の前提条件のチェックが評価され、共同管理状態のデバイスを管理するために Windows Autopatch で必要な共同管理が有効なワークロードをデバイスが満たしているかどうかを判断します。 この手順で評価される必要な共同管理ワークロードは次のとおりです。
        1. Windows 更新 ポリシー
        2. デバイス構成
        3. Office クリックして実行する
      2. Windows Autopatch によって、これらのワークロードのいずれかがデバイスで有効になっていないと判断された場合、サービスはデバイスを [前提条件の失敗 ] としてマークし、デバイスを [ 未登録 ] タブに移動します。
手順 5: デプロイ リングの割り当てを計算する 手順 4 で説明されているすべての前提条件にデバイスが合格すると、Windows Autopatch は展開リングの割り当ての計算を開始します。 次のロジックを使用して、Windows Autopatch 展開リングの割り当てを計算します。
  1. Windows Autopatch テナントの既存のマネージド デバイス サイズが 200 ≤の場合、展開リングの割り当ては 最初 (5%)高速 (15%) で、残りのデバイスは Broad リング (80%) に移動します
  2. Windows Autopatch テナントの既存のマネージド デバイス サイズが 200 の>場合、展開リングの割り当ては最初 (1%)高速 (9%) になり、残りのデバイスは Broad リング (90%) に移動します
手順 6: デバイスを展開リング グループに割り当てる 展開リングの計算が完了すると、Windows Autopatch は、次のMicrosoft Entra グループで表されるサービス ベースの展開リング セットである 2 つの展開リング セットにデバイスを割り当てます。
  1. モダン ワークプレース Devices-Windows Autopatch-First
    1. Windows Autopatch デバイス登録プロセスでは、Microsoft Entra グループ (Modern Workplace Devices-Windows Autopatch-Test) によって表されるテスト リングにデバイスが自動的に割り当てられません。 デバイスをより広範なデバイスに展開する前に、デバイスをテスト リングに割り当てて更新プログラムの展開を検証することが重要です。
  2. 最新の Workplace Devices-Windows Autopatch-Fast
  3. モダン ワークプレース Devices-Windows Autopatch-Broad
    4. 次に、2 つ目の展開リング セット、次のMicrosoft Entra グループで表されるソフトウェア更新プログラム ベースの展開リング セット。
    • Windows Autopatch - Ring1
      • Windows Autopatch デバイス登録プロセスでは、Microsoft Entra グループ (Windows Autopatch - Test) によって表されるテスト リングにデバイスが自動的に割り当てられるわけではありません。 デバイスをより広範なデバイスに展開する前に、デバイスをテスト リングに割り当てて更新プログラムの展開を検証することが重要です。
    • Windows Autopatch - Ring2
      • Windows Autopatch - Ring3
手順 7: デバイスを Microsoft Entra グループに割り当てる Windows Autopatch では、特定の条件が適用されるときに、次のMicrosoft Entra グループにもデバイスが割り当てられます。
  1. 最新のワークプレース デバイス - すべて
    1. このグループには、Windows Autopatch によって管理されているすべてのデバイスがあります。
  2. 最新のワークプレース デバイス - 仮想マシン
    1. このグループには、Windows Autopatch によって管理されているすべての 仮想デバイス があります。
手順 8: デバイス登録後 デバイス登録後に、次の 3 つのアクションが実行されます。
  1. Windows Autopatch は、マネージド データベースにデバイスを追加します。
  2. [登録済み] タブでデバイスにアクティブとしてフラグを設定します。
  3. 正常に登録されたデバイスのMicrosoft Entraデバイス ID が、Microsoft Cloud Managed Desktop 拡張機能の許可リストに追加されます。 Windows Autopatch では、デバイスが登録されると Microsoft Cloud Managed Desktop 拡張機能エージェントがインストールされるため、エージェントは Microsoft Cloud Managed Desktop 拡張機能サービスと通信できます。
    1. エージェントは、Windows Autopatch テナント登録プロセス中に作成された モダン ワークプレース - 自動パッチ クライアント セットアップ PowerShell スクリプトです。 このスクリプトは、デバイスが Windows Autopatch サービスに正常に登録されると実行されます。
手順 9: デバイスの登録状態を確認する IT 管理者は、[ 登録済 み] タブと [未登録] タブの両方でデバイス の登録状態を 確認します。
  1. デバイスが 正常に登録された場合は、[登録済み] タブにデバイス 表示されます。
  2. 登録されていない場合は、[未登録] タブにデバイスが表示されます。
手順 10: 登録ワークフローの終了 これは、Windows Autopatch デバイス登録ワークフローの最後です。

ワークフローダイアグラムチェック前提条件の詳細

前の詳細なデバイス登録ワークフロー図手順 4 で説明したように、次の図は、Windows Autopatch デバイス登録プロセスの前提条件コンストラクトを視覚的に表したものです。 前提条件のチェックは順番に実行されます。

ワークフローダイアグラムチェック前提条件の詳細

Windows Autopatch 展開リング

テナント登録プロセス中に、Windows Autopatch によって次の 2 つの異なる展開リング セットが作成されます。

次の 4 つのMicrosoft Entra ID割り当てられたグループを使用して、サービス ベースの展開リング セットのデバイスを整理します。

サービス ベースのデプロイ リング 説明
モダン ワークプレース Devices-Windows Autopatch-Test サービス ベースの構成をテストするためのデプロイ リング、運用環境のロールアウト前のアプリのデプロイ
モダン ワークプレース Devices-Windows Autopatch-First 早期導入者向けの最初の運用デプロイ リング。
モダン ワークプレース Devices-Windows Autopatch-Fast 迅速なロールアウトと導入のための迅速な展開リング
モダン ワークプレース Devices-Windows Autopatch-Broad organizationへの広範なロールアウトのための最終的なデプロイ リング

既定のオートパッチ グループ内のソフトウェア更新ベースの展開リング セットのデバイスを整理するために使用される 5 つのMicrosoft Entra ID割り当てられたグループ:

ソフトウェア更新プログラムベースの展開リング 説明
Windows Autopatch - テスト 運用環境のロールアウト前にソフトウェア更新プログラムベースの展開をテストするための展開リング。
Windows Autopatch - Ring1 早期導入者向けの最初の運用デプロイ リング。
Windows Autopatch - Ring2 迅速なロールアウトと導入のための迅速な展開リング。
Windows Autopatch - Ring3 organizationへの広範なロールアウトのための最終的なデプロイ リング。
Windows Autopatch - Last organizationの初期および一般的な集団で十分にテストされた後にソフトウェア更新プログラムの展開を受け取る必要がある特殊なデバイスまたは VIP/エグゼクティブ向けのオプションの展開リング。

ソフトウェア ベースの展開リング セットでは、各展開リングには、更新プログラムのロールアウトを制御するための更新プログラム展開ポリシーのセットが異なります。

注意

これらのグループにデバイスを直接追加またはインポートすることはサポートされていません。 これを行うと、Windows Autopatch サービスに影響する可能性があります。 これらのグループ間でデバイスを移動するには、「 展開リング間でのデバイスの移動」を参照してください。

重要

Windows Autopatch デバイスの登録では、既定の Autopatch グループのサービス ベース (Modern Workplace Devices-Windows Autopatch-Test) またはソフトウェア更新プログラム ベース (Windows Autopatch - Test および Windows Autopatch - Last) のテスト展開リングにデバイスが割り当てられません。 これは、ビジネスに不可欠なデバイスが影響を受けたり、役員が使用するデバイスが早期のソフトウェア更新プログラムの展開を受け取ったりするのを防ぐことを目的としています。

デバイス登録プロセス中に、Windows Autopatch は、サービスベースおよびソフトウェア更新プログラムベースの展開リングに各デバイスを割り当てて、サービスがorganization全体でデバイスの多様性を適切に表現できるようにします。

展開リングの配布は、特定の更新プログラムの展開の品質評価に必要なシグナルを取得するために、ソフトウェア更新プログラムの展開をできるだけ少ないデバイスにリリースするように設計されています。

追加の展開リングを作成したり、Windows Autopatch サービスによって管理されているデバイスに独自のリングを使用したりすることはできません。

既定のデプロイ リング計算ロジック

Windows Autopatch 展開リングの計算は、デバイス登録プロセス中に行われ、 サービス ベースとソフトウェア更新プログラム ベースの展開リング セットの両方に適用されます。

  • Windows Autopatch テナントの既存のマネージド デバイス サイズが 200 ≤の場合、展開リングの割り当ては First (5%)、Fast (15%) で、残りのデバイスは Broad リング (80%) に移動します
  • Windows Autopatch テナントの既存のマネージド デバイス サイズが 200 の>場合、展開リングの割り当ては最初 (1%)、高速 (9%) になり、残りのデバイスは Broad リング (90%) に移動します

既定の自動パッチ グループを編集することで、デプロイ リング計算ロジックをカスタマイズできます。

サービス ベースのデプロイ リング 既定の Autopatch グループデプロイ リング 既定のデバイスの分散率 説明
テスト テスト ゼロ Windows Autopatch では、この展開リングにデバイスが自動的に追加されることはありません。 必要な手順に従って、デバイスをテスト リングに手動で追加する必要があります。 これらの手順の詳細については、「 展開リング間でのデバイスの移動」を参照してください。 環境のサイズに基づいて、このリング内の推奨デバイス数は次のとおりです。
  • 0 から 500 デバイス: 1 台 以上のデバイス。
  • 500 から 5000 デバイス: 5 台以上のデバイス。
  • 5000 以上の デバイス: 50 台以上のデバイス。
このグループのデバイスは、最初にここで変更がリリースされるため、IT 管理者とテスト担当者を対象としています。 このリリース スケジュールでは、運用ユーザーに到達する前に更新プログラムを検証する機会をorganizationに提供します。
First リング 1 1% 最初のリングは、変更を受け取る運用ユーザーの最初のグループです。

このグループは、Windows Autopatch にデータを送信するデバイスの最初のセットであり、すべてのエンド ユーザー間で正常性シグナルを生成するために使用されます。 たとえば、Windows Autopatch では、すべてのエンド ユーザーに対して特定のリリースで重大なエラーが急上昇していることを示す統計的に有意なシグナルを生成できますが、organizationでそうしていることを確信することはできません。

Windows Autopatch にはリリースの決定を通知するのに十分なデータがないため、テスト リングの初期テスト中にカバーされなかったシナリオがある場合、この展開リング内のデバイスで障害が発生する可能性があります。
Fast (高速) リング 2 9% Fast リングは、変更を受け取る運用ユーザーの 2 番目のグループです。 ファースト リングからの信号は、Broad リングへのリリース プロセスの一部と見なされます。

このデプロイ リングの目標は、テナント レベルで統計的に有意な分析を生成するために必要な 500 デバイスのしきい値を超える方法です。 これらの追加デバイスを使用すると、Windows Autopatch は、デバイスの残りの部分に対するリリースの影響を考慮し、テナントの対象となるアクションが必要かどうかを評価できます。
Broad リング 3 80% または 90% Broad リングは、ソフトウェア更新プログラムの展開を受け取るユーザーの最後のグループです。 Windows Autopatch に登録されているほとんどのデバイスが含まれるため、ソフトウェア更新プログラムの展開の速度よりも安定性が優先されます。
該当せず 前の ゼロ 最後のリングは、ORGANIZATIONの VIP/エグゼクティブに属する特殊なデバイスまたはデバイスに使用することを目的としています。 Windows Autopatch では、この展開リングにデバイスが自動的に追加されることはありません。

ソフトウェアの更新ベースからサービス ベースの展開リングへのマッピング

Autopatch グループで導入されたサービス ベースの展開リングとソフトウェア更新プログラム ベースの展開リングの間には、1 対 1 のマッピングがあります。 このマッピングは、Microsoft 365 Appsや Microsoft Edge などの自動パッチ グループをまだサポートしていない他のソフトウェア更新ワークロードの展開リング間でデバイスを移動することを目的としています。

デバイスを に移動する場合 デバイスも に移動します。
Windows Autopatch - テスト モダン ワークプレース Devices-Windows Autopatch-Test
Windows Autopatch - Ring1 モダン ワークプレース Devices-Windows Autopatch-First
Windows Autopatch - Ring2 モダン ワークプレース Devices-Windows Autopatch-Fast
Windows Autopatch - Ring3 モダン ワークプレース Devices-Windows Autopatch-Broad
Windows Autopatch - Last モダン ワークプレース Devices-Windows Autopatch-Broad

Autopatch グループに 5 つ以上の展開リングがあり、Ring3 の後にデバイスを展開リングに移動する必要がある場合。 例: <Autopatch group name - Ring4, Ring5, Ring6, etc.>。 デバイスは、 モダン ワークプレース Devices-Windows Autopatch-Broad に移動されます。

展開リング間でのデバイスの移動

Windows Autopatch の展開リングの割り当て後に、デバイスを別の展開リング (サービスまたはソフトウェアの更新プログラムベース) に移動する場合は、[ 登録済み ] タブから 1 つ以上のデバイスに対して次の手順を繰り返すことができます。

重要

デバイスを移動できるのは、 同じ Autopatch グループ内の展開リング間のみです。 異なる Autopatch グループ間で展開リング間でデバイスを移動することはできません。 1 つの Autopatch グループに属するデバイスと、別の Autopatch グループに属する別のデバイスを選択しようとすると、Microsoft Intune ポータルの右上隅に次のエラー メッセージが表示されます。"エラーが発生しました。同じ Autopatch グループ内のデバイスを選択してください

展開リング間でデバイスを移動するには:

デバイスを他の展開リングに移動できるのは、[ 登録済み ] タブでアクティブな状態になっている場合のみです。

  1. Intune管理センターで、左側のウィンドウで [デバイス] を選択します。
  2. [ Windows Autopatch ] セクションで、[ デバイス] を選択します。
  3. [ 登録済み ] タブで、割り当てるデバイスを 1 つ以上選択します。 選択したすべてのデバイスが、指定した展開リングに割り当てられます。
  4. メニューから [ デバイス アクション ] を選択します。
  5. [ リングの割り当て] を選択します。 フライインが開きます。
  6. ドロップダウン メニューを使用して、デバイスを移動する展開リングを選択し、[保存] を選択します。 [割り当てられたリング] 列が [保留中] に変更されます。
  7. 割り当てが完了すると、列によって割り当てられたリングが管理に変更され (変更が行われたことを示します)、[リング] 列に新しいデプロイ リングの割り当てが表示されます。

手順 5 で [Ring assigned by column]\(リングによって割り当てられたリング\) が [保留中] に変わっていない場合チェック、デバイスがデバイス ブレードで検索してMicrosoft Intuneに存在するかどうかを確認します。 詳細については、「Intuneのデバイスの詳細」を参照してください。

Warning

Microsoft Entra グループ メンバーシップを直接変更して展開リング間でデバイスを移動することはサポートされていないため、Windows Autopatch サービス内で意図しない構成の競合が発生する可能性があります。 デバイスへのサービス中断を回避するには、前述の 「デバイスを呼び出しリングに割り当てる 」アクションを使用して、展開リング間でデバイスを移動します。

自動デプロイ リング修復関数

Windows Autopatch は、展開リングのデバイス メンバーシップを監視します。 ただし、Modern Workplace Devices-Windows Autopatch-TestWindows Autopatch - TestWindows Autopatch - Last リングを除き、マネージド デバイスが展開リングの 1 つに含まれていないリスクを軽減するための自動展開リング修復機能を提供します。 これらの自動化された機能は、次のいずれかに起因する更新プログラムのデプロイを受け取っていない場合に、デバイスが脆弱な状態になり、セキュリティ上の脅威にさらされる可能性があるリスクを軽減するのに役立ちます。

  • Windows Autopatch テナント登録プロセスによって作成されたオブジェクトに対して IT 管理者によって実行された変更、または
  • デバイス登録プロセス中にデバイスがデプロイ リングを割り当てなくなる問題が発生しました。

2 つの自動デプロイ リング修復機能があります。

関数 説明
デバイス展開リング のメンバーシップを確認する 1 時間ごとに、Windows Autopatch によって、管理対象デバイスのいずれかがいずれかの展開リングに含まれていないかどうかを確認します。 デバイスが展開リングの一部でない場合、Windows Autopatch はその展開リングのいずれかにランダムに割り当てます ( Modern Workplace Devices-Windows Autopatch-TestWindows Autopatch - Test、Windows Autopatch - Last リングを除く)。
マルチデプロイ リング デバイスの修復機能 1 時間ごとに、Windows Autopatch は、管理対象デバイスのいずれかが複数の展開リングの一部であるかどうかを確認します ( Modern Workplace Devices-Windows Autopatch-TestWindows Autopatch - TestWindows Autopatch - Last リングを除く)。 デバイスが複数の展開リングの一部である場合、Windows Autopatch は、デバイスが 1 つの展開リングの一部になるまで、デバイスをランダムに削除します。

重要

Windows Autopatch 自動展開リング関数では、次の展開リングに対するデバイスの割り当てや削除は行われません。

  • 最新の Workplace Devices-Windows Autopatch-Test
  • Windows Autopatch - テスト
  • Windows Autopatch - Last