Windows Autopatch グループの管理
自動パッチ グループは、Microsoft Cloud-Managed サービスが更新管理の過程にある組織を満たすのに役立ちます。
自動パッチ グループは、複数のMicrosoft Entra グループとソフトウェア更新ポリシー (Windows 10 以降の更新リング ポリシー、Windows 10 以降のポリシーの機能更新ポリシーなど) をグループ化する論理コンテナーまたはユニットです。
自動パッチ グループの前提条件
自動パッチ グループの管理を開始する前に、次の前提条件を満たしていることを確認してください。
- Windows Autopatch グループの概要ドキュメントを参照して、organization内で Autopatch グループを使用する主な利点、概念、一般的な方法について説明します。
- IntuneのWindows 10以降のポリシーの次の更新リングがテナントに作成されていることを確認します。
- モダン ワークプレース更新ポリシー [Test]-[Windows Autopatch]
- モダン ワークプレース更新ポリシー [First]-[Windows Autopatch]
- モダン ワークプレース更新ポリシー [Fast]-[Windows Autopatch]
- モダン ワークプレース更新ポリシー [Broad]-[Windows Autopatch]
- IntuneのWindows 10以降のポリシーに関する次の機能更新プログラムがテナントに作成されていることを確認します。
- Windows Autopatch - DSS ポリシー [テスト]
- Windows Autopatch - DSS ポリシー [最初]
- Windows Autopatch - DSS ポリシー [高速]
- Windows Autopatch - DSS ポリシー [Broad]
- Autopatch グループを使用する前に、次のMicrosoft Entra ID割り当てられたグループがテナントにあることを確認します。 Microsoft Entra グループ メンバーシップの種類 (割り当て済みまたは動的) は変更しないでください。 それ以外の場合、Windows Autopatch サービスはこれらのグループからデバイス グループ メンバーシップを読み取ることができなくなり、自動パッチ グループ機能やその他のサービス関連の操作が正常に動作しません。
- モダン ワークプレース Devices-Windows Autopatch-Test
- モダン ワークプレース Devices-Windows Autopatch-First
- モダン ワークプレース Devices-Windows Autopatch-Fast
- モダン ワークプレース Devices-Windows Autopatch-Broad
- Windows Autopatch - テスト
- Windows Autopatch - Ring1
- Windows Autopatch - Ring2
- Windows Autopatch - Ring3
- Windows Autopatch - Last
- さらに、上記のいずれかのグループのMicrosoft Entra グループ所有権を変更しないでください。それ以外の場合、自動パッチ グループデバイス登録プロセスでは、これらのグループにデバイスを追加できません。 所有権が変更された場合は、これらのグループの所有者として Modern Workplace Management エンタープライズ アプリケーションを追加する必要があります。
- 詳細については、Azure Microsoft Entra グループに所有者を追加する手順については、「Microsoft Entra IDでグループの所有者またはメンバーを割り当てる」を参照してください。
- Windows Autopatch テナントでアプリのみの認証が有効になっていることを確認します。 そうしないと、自動パッチ グループの機能が正しく機能しません。 Autopatch では、アプリのみの認証を使用して、次の手順を実行します。
- デバイス属性を読み取り、デバイスを正常に登録します。
- サービスの操作に関連するすべての構成を管理します。
- この機能を使用する前に、Autopatch グループで使用するすべてのデバイス ベースのMicrosoft Entra グループが作成されていることを確認します。
- Autopatch グループで使用されるデバイス ベースのMicrosoft Entra グループ間でデバイス メンバーシップが重複しないように、既存のMicrosoft Entra グループの動的クエリとダイレクト デバイス メンバーシップを確認します。 これにより、Autopatch グループ内または複数の Autopatch グループ間でデバイスの競合が発生するのを防ぐことができます。 自動パッチ グループでは、ユーザー ベースのMicrosoft Entra グループはサポートされていません。
- 既存のMicrosoft Entra グループで使用されているデバイスが、サービスに登録されるときにデバイス登録の前提条件チェックを満たしていることを確認します。 自動パッチ グループはユーザーの代わりにデバイスを登録します。それに応じて、[デバイス] ブレードの [ 登録済み] タブまたは [未登録 ] タブにデバイスを移動できます。
ヒント
Windows Autopatch によって作成および管理されるWindows 10以降のポリシーの更新リングと機能更新プログラムは、ポリシー正常性機能を使用して復元できます。 修復アクションの詳細については、「 Windows Update ポリシーの復元」を参照してください。
カスタム自動パッチ グループを作成する
注
既定の自動パッチ グループは、構成済みの 5 つの展開リング構成を使用してビジネス ニーズを満たすことができる組織に推奨されます。
カスタムオートパッチグループを作成するには:
- Microsoft Intune管理センターに移動します。
- 左側のナビゲーション メニューから [ デバイス ] を選択します。
- [ Windows Autopatch ] セクションで、[ リリース管理] を選択します。
- [ リリース管理 ] ブレードで、[ 自動パッチ グループ] を選択します。
- [ 自動パッチ グループ ] ブレードで、[ 作成] を選択します。
- [ 基本] ページで、 名前 と 説明 を入力し、[ 次へ: 展開リング] を選択します。
- Autopatch グループ名には最大 64 文字、説明には最大 150 文字を入力します。 Autopatch グループ名は、カスタム Autopatch グループの作成後に作成される更新リングと DSS ポリシー名の両方に追加されます。
- [ デプロイ リング] ページで、[ デプロイ リングの追加] を選択して、カスタム オートパッチ グループにデプロイ リングの数を追加します。
- 新しく追加される各デプロイ リングには、Microsoft Entra デバイス グループが割り当てられているか、定義されたパーセンテージを使用してデプロイ リング全体に動的に分散されるMicrosoft Entra グループが必要です。
- [動的グループ] 領域で、[グループの追加] を選択して、動的グループ配布に使用する 1 つ以上の既存のデバイス ベースのMicrosoft Entra グループを選択します。
- [ 動的グループ配布 ] 列で、目的の展開リングのチェック ボックスをオンにします。 次に、次のいずれかを実行します。
- 手順 9 で選択したMicrosoft Entra グループから追加するデバイスの割合を入力します。 デバイスのパーセンテージの計算は、100% に等しいか、または
- 既定値を使用するには、[ 既定の動的グループ分散を適用 する] を選択します。
- [割り当てられたグループ] 列で、[グループをリングに追加] を選択して、定義済みの展開リングのいずれかに既存のMicrosoft Entra グループを追加します。 テストおよび最後のデプロイ リングでは、割り当てられたグループの配布のみがサポートされます。 これらのデプロイ リングは動的分散をサポートしていません。
- [次へ: Windows Update設定] を選択します。
- 水平方向の省略記号 (...) を>選択します。展開の頻度を管理して、Windows 品質と機能更新プログラムの段階的なロールアウトをカスタマイズします。 [保存] を選びます。
- 水平方向の省略記号 (...) を>選択します。通知を管理して、Windows 更新プログラムを受信するときにエンド ユーザー エクスペリエンスをカスタマイズします。 [保存] を選びます。
- [ 確認と作成 ] を選択して、加えられたすべての変更を確認します。
- レビューが完了したら、[ 作成 ] を選択してカスタム Autopatch グループを保存します。
注意
デバイス ベースのMicrosoft Entra グループは、Autopatch グループ内の一度に 1 つのデプロイ リングでのみ使用できます。 これは、同じ Autopatch グループ内のデプロイ リングと、異なる Autopatch グループ間の異なるデプロイ リング全体に適用されます。 既に使用されているデバイス ベースのMicrosoft Entra グループを使用するように Autopatch グループを作成または編集しようとすると、オートパッチ グループ (既定値またはカスタム) の作成または編集を完了できないエラーが表示されます。
重要
Windows Autopatch では、展開リングの構成ページで選択した内容に基づいて、デバイス ベースのMicrosoft Entra ID割り当てられたグループが作成されます。 さらに、サービスは、Autopatch グループのガイド付きエンド ユーザー エクスペリエンスの一部として[Windows Update設定] ページで行われた選択に基づいて、Autopatch グループで作成された各デプロイ リングの更新リング ポリシーを割り当てます。
[既定値] または [カスタムオートパッチ] グループを編集する
ヒント
対象となる 1 つ以上の Windows 機能更新プログラム リリースがある場合、自動パッチ グループを編集することはできません。 1 つ以上の進行中の Windows 機能更新プログラム リリースを対象にして Autopatch グループを編集しようとすると、次の情報バナー メッセージが表示されます。"この Autopatch グループを対象とする 1 つ以上の Windows 機能更新プログラム リリースがあるため、一部の設定は変更できません。"リリースとフェーズの状態の詳細については、「 Windows 機能更新プログラム のリリースの管理」を参照してください。
[既定値] または [カスタムオートパッチ] グループを編集するには:
- 水平方向の省略記号 (...) を>選択します。編集するオートパッチ グループの編集。
- 変更できるのは、Default または Custom Autopatch グループの 説明 のみです。 名前 を変更することはできません 。 説明が変更されたら、[ 次へ: 展開リング] を選択します。
- [配置リング] ページで必要な変更を行い、[次へ: Windows Update設定] を選択します。
- [Windows Update設定] ページで必要な変更を行い、[次へ: 確認と保存] を選択します。
- [ 確認と作成 ] を選択して、加えられたすべての変更を確認します。
- レビューが完了したら、[ 保存] を選択して Autopatch グループの編集を完了します。
重要
Windows Autopatch では、展開リングの構成ページで選択した内容に基づいて、デバイス ベースのMicrosoft Entra ID割り当てられたグループが作成されます。 さらに、サービスは、Autopatch グループのガイド付きエンド ユーザー エクスペリエンスの一部として[Windows Update設定] ページで行われた選択に基づいて、Autopatch グループで作成された各デプロイ リングの更新リング ポリシーを割り当てます。
カスタム Autopatch グループの名前を変更する
既定 の 自動パッチ グループの名前を変更することはできません。 ただし、カスタム Autopatch グループの名前を変更することはできます。
カスタムオートパッチグループの名前を変更するには:
- 水平方向の省略記号 (...) を>選択します。名前を変更するカスタム自動パッチ グループの名前を変更します。 [ オートパッチ グループの名前の変更 ] フライインが開きます。
- [ 新しいオートパッチ グループ名] に、任意の新しい Autopatch グループ名を入力し、[ グループの名前の変更] をクリックします。
重要
自動パッチでは、カスタム Autopatch グループ名に対して最大 64 文字がサポートされます。 さらに、カスタム Autopatch グループの名前を変更すると、IntuneのWindows 10以降のポリシーのすべての更新リングと、カスタムオートパッチ グループに関連付けられているIntuneのWindows 10以降のポリシーの機能更新プログラムが、名前文字列に定義した新しい Autopatch グループ名を含むように名前が変更されます。 また、カスタム Autopatch グループの名前を変更すると、カスタム Autopatch グループのデプロイ リングを表すすべてのMicrosoft Entra グループの名前が変更され、定義した新しい Autopatch グループ名が名前文字列に含まれます。
カスタム自動パッチ グループを削除する
既定 の 自動パッチ グループは削除できません。 ただし、カスタム自動パッチ グループは削除できます。
カスタムオートパッチグループを削除するには:
- 水平方向の省略記号 (...) を>選択します。削除するカスタム自動パッチ グループの削除。
- [ はい ] を選択して、カスタム自動パッチ グループを削除することを確認します。
注意
カスタム オートパッチ グループは、1 つ以上のアクティブまたは一時停止された機能更新プログラム リリースの一部として使用されている場合は削除できません。 ただし、Windows 品質更新プログラムまたは機能更新プログラムのリリースの状態が [スケジュール済 み] または [ 一時停止 ] になっている場合は、カスタム自動パッチ グループを削除できます。
自動パッチ グループを使用する場合のデバイス競合シナリオを管理する
デバイス メンバーシップでの重複は、デバイス ベースのMicrosoft Entra グループを操作する場合に一般的なシナリオです。動的クエリのスコープが大きい場合や、割り当てられた同じデバイス メンバーシップを異なるMicrosoft Entra グループ間で使用できる場合があるためです。
Autopatch グループを使用すると、既存のMicrosoft Entra グループを使用して独自の展開リング構成を作成できるため、サービスは、発生する可能性があるデバイス競合シナリオの一部を監視し、自動的に解決する責任を負います。
注意
デバイス ベースのMicrosoft Entra グループは、Autopatch グループ内の一度に 1 つのデプロイ リングでのみ使用できます。 これは、同じ Autopatch グループ内のデプロイ リングと、異なる Autopatch グループ間の異なるデプロイ リング全体に適用されます。 既に使用されているデバイス ベースのMicrosoft Entra グループを使用するように Autopatch グループを作成または編集しようとすると、オートパッチ グループ (既定値またはカスタム) を作成または編集できないエラーが表示されます。
Autopatch グループ内の展開リングでのデバイスの競合
自動パッチ グループでは、次のロジックを使用して、Autopatch グループ内のユーザーに代わってデバイスの競合を解決します。
| ステップ | 説明 |
|---|---|
| 手順 1: デバイスが属している展開リング配布の種類 (割り当て済み または 動的) を確認します。 | たとえば、デバイスが 動的 分散 (Ring3) を持つ 1 つの展開リングの一部であり、同じ Autopatch グループ内に 割り当てられた ディストリビューション (テスト)を持つ 1 つの展開リングの一部である場合、 割り当て済み ディストリビューション (テスト) を持つデプロイ リングが 、動的 分散タイプ (Ring3) の展開リングよりも優先されます。 |
| 手順 2: デバイスが同じ配布の種類 (割り当て済み または 動的) を持つ 1 つ以上の展開リングに属している場合に、展開リングの順序付けを確認する | たとえば、デバイスが、割り当て済みディストリビューション (テスト) を持つ 1 つの展開リングの一部であり、同じ Autopatch グループ内の割り当て済みディストリビューション (Ring3) を持つ別の展開リング内にある場合、後で発生するデプロイ リング (Ring3) は、展開リングの順序で前のデプロイ リング (テスト) よりも優先されます。 |
重要
デバイスが、組み合わされた配布の種類 (割り当て済み および 動的) を持つ展開リングと 、動的 配布の種類のみを持つ展開リングに属している場合、組み合わされた配布の種類を持つ展開リングが 、動的 分散のみを持つ展開リングよりも優先されます。 デバイスが、配布の種類 (割り当て済み ) と 動的を組み合わせた 2 つの展開リングに属している場合は、後で発生する展開リングが、展開リングの順序の前の展開リングよりも優先されます。
異なる自動パッチ グループ間のデバイスの競合
異なる Autopatch グループ内の異なる展開リング間でデバイスの競合が発生する可能性があります。Windows Autopatch サービスが次のシナリオを処理する方法に関する次の例を確認してください。
既定の [カスタム自動パッチ グループ デバイスの競合]
| 競合シナリオ | 競合の解決 |
|---|---|
| Contoso Ltd.の IT 管理者は、既定の Autopatch グループのみを使用し始めますが、後で "Marketing" という名前の Autopatch グループを作成することにしました。 ただし、既定の自動パッチ グループ内の展開リングに属しているのと同じデバイスも、Marketing Autopatch グループの新しい展開リングの一部になっていることがわかります。 |
自動パッチ グループは、ユーザーに代わってこの競合を自動的に解決します。 この例では、"Marketing" Autopatch グループの一部として展開リングに属するデバイスが、既定の自動パッチ グループの展開リングに属するデバイスよりも優先されます。これは、IT 管理者が、既定の Autopatch グループの外部にあるカスタム オートパッチ グループを使用して展開リングを管理する明確な意図を示しているためです。 |
カスタムからカスタムへの自動パッチ グループ デバイスの競合
| 競合シナリオ | 競合の解決 |
|---|---|
| Contoso Ltd.の IT 管理者であるユーザーは、いくつかのカスタム オートパッチ グループを使用しています。 [Windows 自動パッチ デバイス] ブレード ([準備ができていない ] タブ) 内のデバイス間を移動すると、同じデバイスが複数の異なるカスタム自動パッチ グループ間で異なる展開リングの一部であることがわかります。 | この競合を解決する必要があります。 [デバイスの準備ができていない] タブで、デバイスの競合について自動パッチ グループから>通知されます。デバイスが排他的に属する必要がある既存のカスタム自動パッチ グループを手動で指定する必要があります。 |
デバイス登録前のデバイスの競合
カスタムまたは既定の自動パッチ グループを作成または編集すると、Windows Autopatch は、Autopatch グループの展開リングで使用されるMicrosoft Entra グループの一部であるデバイスがサービスに登録されているかどうかを確認します。
| 競合シナリオ | 競合の解決 |
|---|---|
| デバイスがカスタムからカスタムへの自動パッチ グループのデバイス競合シナリオにある | この競合を解決する必要があります。 デバイスはサービスへの登録に失敗し、[未登録] タブに送信されます。カスタム オートパッチ グループで使用されるMicrosoft Entra グループにデバイス メンバーシップの重複がないことを確認する必要があります。 |
デバイスの登録後のデバイスの競合
自動パッチ グループは、「デバイスがサービスに正常に登録された後でも 、自動パッチ グループを使用する場合のデバイス競合シナリオの管理 」セクションに記載されているすべてのデバイス競合シナリオを監視し続けます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示