Windows Autopatch グループの概要
組織は、Microsoft が更新プロセスを代理で管理するマネージド サービス モデルに移行する際に、組織構造を適切に表現し、その後に独自の展開の間隔を持つことに挑戦されます。 Windows Autopatch グループは、組織が、追加コストや計画外の中断なしで、ビジネスにとって意味のある方法で更新プログラムを管理するのに役立ちます。
Windows Autopatch グループとは
自動パッチ グループは、複数のMicrosoft Entra グループとソフトウェア更新ポリシー (Windows 10 以降の更新リング ポリシー、Windows 10以降のポリシーの機能更新など) をグループ化する論理コンテナーまたはユニットです。
主な利点
自動パッチ グループは、Microsoft Cloud-Managed サービスが更新管理の過程にある組織を満たすのに役立ちます。 主な利点は次のとおりです。
| メリット | 説明 |
|---|---|
| 組織構造のレプリケート | Autopatch グループを設定して、既存のデバイス ベースのMicrosoft Entra グループターゲット ロジックによって表される組織構造をレプリケートできます。 |
| 柔軟な数のデプロイを実現する | 自動パッチ グループを使用すると、organization内で動作する適切な数のデプロイ リングを柔軟に使用できます。 Autopatch グループごとに最大 15 個のデプロイ リングを設定できます。 |
| 展開リングに属するデバイスの決定 | 既存のデバイス ベースのMicrosoft Entra グループを使用し、展開リングの数を選択するだけでなく、自動パッチ グループを設定するときに、デバイス登録プロセス中に展開リングに属するデバイスを決定することもできます。 |
| デプロイの頻度の選択 | ビジネスに適したソフトウェア更新プログラムの展開間隔を選択します。 |
アーキテクチャの概要図
自動パッチ グループは、Windows Autopatch サービス内のデバイス登録マイクロ サービスの一部である関数アプリです。 次の表では、ワークフローの概要について説明します。
| ステップ | 説明 |
|---|---|
| 手順 1: 自動パッチ グループを作成する | Autopatch グループを作成します。 |
| 手順 2: Windows Autopatch で Microsoft Graph を使用してMicrosoft Entra IDとポリシーの割り当てを作成する | Windows Autopatch サービスでは、Microsoft Graph を使用して次の作成を調整します。
|
| 手順 3: ソフトウェア更新プログラム ポリシー Intune割り当てる | Microsoft Entra サービスでMicrosoft Entra グループが作成されると、Intuneを使用してこれらのグループにソフトウェア更新ポリシーを割り当て、ソフトウェア更新ポリシーを必要とするデバイスの数を Windows Update for Business (WUfB) サービスに提供します。 |
| 手順 4: ビジネス責任のWindows Update | Windows Update for Business (WUfB) は、以下を担当するサービスです。
|
主要概念
Autopatch グループを使用する前に理解しておく必要がある重要な概念がいくつかあります。
既定の自動パッチ グループについて
注
既定の自動パッチ グループは、構成済みの 5 つの展開リング構成を使用してビジネス ニーズを満たすことができる組織に推奨されます。
既定の自動パッチ グループでは、Windows Autopatch の既定の更新管理プロセスの推奨事項が使用されます。 既定の Autopatch グループには、次のものが含まれます。
- 5 つの展開リングのセット
- Windows 品質更新プログラムと機能更新プログラムの両方に対する既定の更新プログラムの展開頻度。
既定の Autopatch グループは、次の目的を持つ組織にサービスを提供することを目的としています。
- サービスに登録する
- より多くのカスタマイズを必要とせずに、Windows Autopatch の既定の更新管理プロセスに合わせます。
既定の自動パッチ グループ を 削除したり、名前を変更したりすることはできません。 ただし、展開リングの構成をカスタマイズしてデプロイ リングを追加または削除したり、その中の各展開リングの更新プログラムの展開間隔をカスタマイズすることもできます。
既定の展開リング構成
既定では、割り当てられたグループで表される次のソフトウェア更新ベースの展開リングMicrosoft Entra ID使用されます。
- Windows Autopatch - テスト
- Windows Autopatch - Ring1
- Windows Autopatch - Ring2
- Windows Autopatch - Ring3
- Windows Autopatch - Last
Windows Autopatch - テスト と 最後 は、 割り当てられた デバイスディストリビューションとしてのみ使用できます。 Windows Autopatch - Ring1、 Ring2 、 Ring3 は 、割り当てられた デバイスディストリビューションまたは 動的 デバイスディストリビューションで使用することも、両方のデバイス配布タイプを組み合わせて使用することもできます。
ヒント
割り当て済みデプロイ リングと動的デプロイ リング配布の種類の違いの詳細については、「展開リングについて」を参照してください。 動的デプロイ リングディストリビューションでは、テストリングと最後のデプロイ リングの間に配置されたデプロイ リングのみを使用できます。
注意
Autopatch グループによって作成されたこれらのグループとその他のMicrosoft Entra ID割り当てられたグループがテナントに存在しない場合は、Autopatch グループが正しく機能しない可能性があります。
既定の Autopatch グループの 5 番目のデプロイ リングである Last deployment ring は、特殊なデバイスや VIP/エグゼクティブ ユーザーのグループが発生するシナリオを対象としています。 organizationの重要なビジネスの中断を軽減するには、organizationの一般集団の後にソフトウェア更新プログラムの展開を受け取る必要があります。
既定の更新プログラムの展開間隔
既定の Autopatch グループは、 最後 の (5 番目) の展開リングを除き、展開リングの既定の更新プログラムの展開間隔を提供します。
Windows 10 以降のリング ポリシーを更新する
自動パッチ グループは、既定の自動パッチ グループ内の各展開リングに対して、Windows 10以降の更新リング ポリシーを設定します。 次の既定のポリシー値を参照してください。
| ポリシー名 | Microsoft Entra グループの割り当て | 品質更新プログラムの遅延 (日数) | 機能更新プログラムの遅延 (日数) | 機能更新プログラムのアンインストール期間 (日数) | 品質更新プログラムの期限 (日数) | 機能更新プログラムの期限 (日数) | 猶予期間 | 期限前の自動再起動 |
|---|---|---|---|---|---|---|---|---|
| Windows Autopatch Update Policy - 既定値 - テスト | Windows Autopatch - テスト | 0 | 0 | 30 | 0 | 5 | 0 | はい |
| Windows Autopatch Update Policy - 既定値 - Ring1 | Windows Autopatch - Ring1 | 1 | 0 | 30 | 2 | 5 | 2 | ○ |
| Windows Autopatch Update Policy - 既定値 - Ring2 | Windows Autopatch - Ring2 | 6 | 0 | 30 | 2 | 5 | 2 | はい |
| Windows Autopatch Update Policy - 既定値 - Ring3 | Windows Autopatch - Ring3 | 9 | 0 | 30 | 5 | 5 | 2 | はい |
| Windows Autopatch Update Policy - 既定値 - 最終 | Windows Autopatch - Last | 11 | 0 | 30 | 3 | 5 | 2 | ○ |
Windows 10 以降の機能更新ポリシー
自動パッチ グループは、既定の Autopatch グループ内の各展開リングに対して、Windows 10以降のポリシーの機能更新プログラムを設定します。次の既定のポリシー値を参照してください。
| ポリシー名 | Microsoft Entra グループの割り当て | 機能更新プログラムのバージョン | ロールアウト オプション | 最初のデプロイ リングの可用性 | 最終的なデプロイ リングの可用性 | 展開リング間の日 | サポート終了日 |
|---|---|---|---|---|---|---|---|
| Windows Autopatch - DSS ポリシー [テスト] | Windows Autopatch - テスト | Windows 10 21H2 | できるだけ早く更新プログラムを利用可能にする | 該当せず | 該当せず | 該当せず | 2024 年 6 月 11 日。午前 1:00 |
| Windows Autopatch - DSS ポリシー [Ring1] | Windows Autopatch - Ring1 | Windows 10 21H2 | できるだけ早く更新プログラムを利用可能にする | 該当せず | 該当せず | 該当せず | 2024 年 6 月 11 日。午前 1:00 |
| Windows Autopatch - DSS ポリシー [Ring2] | Windows Autopatch - Ring2 | Windows 10 21H2 | できるだけ早く更新プログラムを利用可能にする | 2022 年 12 月 14 日 | 2022 年 12 月 21 日 | 1 | 2024 年 6 月 11 日。午前 1:00 |
| Windows Autopatch - DSS ポリシー [Ring3] | Windows Autopatch - Ring3 | Windows 10 21H2 | できるだけ早く更新プログラムを利用可能にする | 2022 年 12 月 15 日 | 2022 年 12 月 29 日 | 1 | 2024 年 6 月 11 日。午前 1:00 |
| Windows Autopatch - DSS ポリシー [最終] | Windows Autopatch - Last | Windows 10 21H2 | できるだけ早く更新プログラムを利用可能にする | 2022 年 12 月 15 日 | 2022 年 12 月 29 日 | 1 | 2024 年 6 月 11 日。午前 1:00 |
カスタム自動パッチ グループについて
注
既定の自動パッチ グループは、構成済みの 5 つの展開リング構成を使用してビジネス ニーズを満たすことができる組織に推奨されます。
カスタム Autopatch グループは、organizationの構造をより正確に表現する必要がある組織と、サービスでの独自の更新プログラムの展開間隔を必要とする組織を支援することを目的としています。
既定では、カスタム自動パッチ グループには、テストと最後のデプロイ リングが自動的に存在します。 詳細については、「 テストと最後のデプロイ リング」を参照してください。
展開リングについて
展開リングを使用すると、Autopatch グループ内の段階的なロールアウトでソフトウェア更新プログラムの展開を順番に配信できます。
Windows Autopatch は、デバイス グループ管理のMicrosoft Entra IDおよびIntune用語に合わせて調整されます。 Autopatch グループには、次の 2 種類の展開リング グループの配布があります。
| 展開リングの配布 | 説明 |
|---|---|
| 動的 | 1 つ以上のデバイス ベースのMicrosoft Entra グループを使用できます。動的なクエリ ベースか、デプロイ リング構成で使用するように割り当てられます。 動的配布の種類で使用されるMicrosoft Entra グループを使用すると、カスタマイズできるパーセンテージ値に基づいて、複数の展開リングにデバイスを分散できます。 |
| 割り当て済み | 1 つのデバイス ベースのMicrosoft Entra グループを使用できます。動的クエリ ベースか、デプロイ リング構成で使用するように割り当てられます。 |
| 動的と割り当ての組み合わせ | 展開リングコンポジションで作業する際の柔軟性を高めるために、Autopatch グループの両方のデバイス配布タイプを組み合わせることができます。 動的および割り当てられたデバイス分散の組み合わせは、Autopatch グループのテストと最後のデプロイ リングではサポート されていません 。 |
テストと最後のデプロイ リングについて
[テスト] と [最後のデプロイ リング] はどちらも、既定の自動パッチ グループとカスタム自動パッチ グループに自動的に存在する既定の展開リングです。 これらの既定のデプロイ リングは、Autopatch グループに必要なデプロイ リングの最小数を提供します。
既定の Autopatch グループにテスト リングと Last デプロイ リングのみを保持している場合、またはカスタム オートパッチ グループの作成時にデプロイ リングを追加しない場合は、テスト デプロイ リングをパイロット デプロイ リングとして使用し、Last を運用展開リングとして使用できます。
重要
[テスト] と [最後のデプロイ リング] の両方を削除したり、Default または Custom Autopatch グループから名前を変更したりすることはできません。 自動パッチ グループでは、展開リング構成の一部として 1 つのデプロイ リングの使用はサポートされていません。段階的なロールアウトには少なくとも 2 つの展開リングが必要であるためです。 単一の展開リングを使用して特定のシナリオを実装する必要があり、段階的なロールアウトが必要ない場合は、Windows Autopatch の外部でこれらのデバイスを管理することを検討してください。
ヒント
Test と Last の両方のデプロイ リングでは、一度に 1 つのMicrosoft Entra グループの割り当てがサポートされます。 複数のMicrosoft Entra グループを割り当てる必要がある場合は、テストおよび最後のデプロイ リングで使用する予定のグループの下に、他のMicrosoft Entra グループを入れ子にすることができます。 グループの入れ子Microsoft Entra 1 つのレベルのみがサポートされます。
サービス ベースとソフトウェアの更新ベースの展開リング
自動パッチ グループは、2 つの異なるレイヤーを作成します。 各レイヤーには、独自の展開リング セットが含まれています。
重要
サービス ベースとソフトウェアの両方の更新プログラム ベースの展開リング セットは、既定では、Windows Autopatch に正常に登録されたデバイスに割り当てられます。
サービス ベースのデプロイ リング
サービス ベースの展開リング セットは、サービスのコア機能に必要なサービス レベルおよびデバイス レベルの構成ポリシー、アプリ、API の両方で Windows Autopatch を更新し続けるためにのみ使用されます。
サービス ベースの展開リングを表すMicrosoft Entra ID割り当てられたグループを次に示します。 これらのグループを削除したり、名前を変更したりすることはできません。
- モダン ワークプレース Devices-Windows Autopatch-Test
- モダン ワークプレース Devices-Windows Autopatch-First
- モダン ワークプレース Devices-Windows Autopatch-Fast
- モダン ワークプレース Devices-Windows Autopatch-Broad
注意
Microsoft Entra グループ メンバーシップの種類 (割り当て済みおよび動的) は変更しないでください。 それ以外の場合、Windows Autopatch サービスはこれらのグループからデバイス グループ メンバーシップを読み取ることができなくなり、Autopatch グループ機能やその他のサービス関連の操作が正常に動作しません。
さらに、Autopatch グループによって作成されたMicrosoft Entra グループにConfiguration Managerコレクションを直接同期することはサポートされていません。
ソフトウェア ベースの展開リング
ソフトウェア ベースの展開リング セットは、既定の Windows Autopatch グループの Windows 更新プログラムリングや機能更新プログラム ポリシーなどのソフトウェア更新プログラム管理ポリシーでのみ使用されます。
ソフトウェア更新プログラム ベースの展開リングを表すMicrosoft Entra ID割り当てられたグループを次に示します。 これらのグループを削除したり、名前を変更したりすることはできません。
- Windows Autopatch - テスト
- Windows Autopatch - Ring1
- Windows Autopatch - Ring2
- Windows Autopatch - Ring3
- Windows Autopatch - Last
重要
既定の自動パッチ グループにデプロイ リングを追加すると、割り当てられたグループMicrosoft Entra ID追加が作成され、リストに追加されます。
注意
Microsoft Entra グループ メンバーシップの種類 (割り当て済みおよび動的) は変更しないでください。 それ以外の場合、Windows Autopatch サービスはこれらのグループからデバイス グループ メンバーシップを読み取ることができなくなり、Autopatch グループ機能やその他のサービス関連の操作が正常に動作しません。
さらに、Autopatch グループによって作成されたMicrosoft Entra グループにConfiguration Managerコレクションを直接同期することはサポートされていません。
デバイスの登録について
自動パッチ グループは、カスタム オートパッチ グループを作成または編集するとき、またはサービスによって提供される Windows Autopatch デバイス登録グループではなく、既存のMicrosoft Entra グループを使用するように既定の自動パッチ グループを編集するときに、Windows Autopatch サービスにデバイスを登録します。
Autopatch グループを使用する一般的な方法
オートパッチ グループを使用する場合の一般的な使用方法を次に示します。
ユース ケース #1
注
既定の自動パッチ グループは、構成済みの 5 つの展開リング構成を使用してビジネス ニーズを満たすことができる組織に推奨されます。
| シナリオ | 解決策 |
|---|---|
| あなたは Contoso Ltd で IT 管理者として働いています。また、いくつかの Microsoft クラウド サービスと Microsoft 以外のクラウド サービスを管理します。 複数の Autopatch グループの設定と管理に余分な時間を費やす必要はありません。 organizationは現在、5 つのデプロイ リングを使用して更新管理を実行していますが、エンド ユーザーに事前にコミットされている場合は、柔軟な展開間隔を持つ機会があります。 |
管理するデバイスが何千もない場合は、organizationの既定の自動パッチ グループを使用します。 既定の自動パッチ グループを編集して、追加の展開リングを含めたり、既定の配置間隔の一部をわずかに変更したりできます。 既定のオートパッチ グループは事前構成されており、Windows Autopatch サービスにデバイスを登録するときに追加の構成は必要ありません。 次に示す図は、Windows Autopatch サービスによって事前構成され、完全に管理されている既定の自動パッチ グループの段階的なロールアウトを視覚的に表したものです。 |
ユース ケース #2
| シナリオ | 解決策 |
|---|---|
| あなたは Contoso Ltd で IT 管理者として働いています。organizationは、エンド ユーザーの中断のリスクを軽減するために、特定の重要な部署または部門内のソフトウェア更新プログラムの段階的なロールアウトを計画する必要があります。 | ビジネス ユニットごとにカスタム自動パッチ グループを作成できます。 たとえば、財務部門のカスタム オートパッチ グループを作成し、さまざまなユーザー ペルソナごとにデプロイ リングの構成を分類したり、部門とビジネスで特定のユーザー グループをどの程度重要にできるかに基づいて構成したりできます。 Contoso の財務部門の段階的なロールアウトを視覚的に示す図を次に示します。 |
重要
Autopatch グループがセットアップされると、Windows 品質更新プログラムまたは機能更新プログラムのリリースは、展開リングを通じて順番に展開されます。
ユース ケース #3
| シナリオ | 解決策 |
|---|---|
| あなたは Contoso Ltd で IT 管理者として働いています。シカゴの支店の場所では、特定の部門内でソフトウェア更新プログラムの段階的なロールアウトを計画し、シカゴオフィスが業務の中断を経験しないようにする必要があります。 | シカゴのブランチの場所にカスタム オートパッチ グループを作成し、ブランチの場所内の部門ごとにデプロイ リングの構成を分解できます。 Contoso シカゴ支店の場所の段階的なロールアウトを視覚的に表した図を次に示します。 |
重要
Autopatch グループがセットアップされると、Windows 品質更新プログラムまたは機能更新プログラムのリリースは、展開リングを通じて順番に展開されます。
サポートされている構成
Autopatch グループを使用する場合は、次の構成がサポートされます。
ソフトウェア更新プログラムのワークロード
自動パッチ グループは、次のソフトウェア更新ワークロードで動作します。
自動パッチ グループの最大数
Windows Autopatch では、テナントで最大 50 個の自動パッチ グループがサポートされます。 既定の 自動パッチ グループ に加えて、最大 49 個のカスタム 自動パッチ グループを作成できます。 各 Autopatch グループでは、最大 15 個のデプロイ リングがサポートされます。
ヒント
サポートされている自動パッチ グループの最大数 (50) に達し、さらにカスタム自動パッチ グループを作成しようとすると、[自動パッチ グループ] ブレードの [作成] オプションが灰色表示されます。
自動パッチ グループを管理するには、「 Windows Autopatch グループの管理」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示