Windows 品質更新プログラム
Windows Autopatch では、毎月第 2 火曜日にリリースされる 月次セキュリティ更新プログラムのリリース が展開されます。
Windows Autopatch は、段階的にデバイスに更新プログラムをリリースするために、各更新プログラム展開リングに一連のモバイル デバイス管理 (MDM) ポリシーを展開してロールアウトを制御します。 Windows 品質更新プログラムを制御するために使用される 3 つの主要なポリシーがあります。
| ポリシー | 説明 |
|---|---|
| 遅延 | 遅延ポリシーは、更新プログラムがデバイスに提供される時間を特定の日数だけ遅延します。 Windows 品質更新プログラムの "オファー" 日付は、毎月第 2 火曜日以降の遅延ポリシーで指定された日数と同じです。 |
| 期限 | 期限の前に、ユーザーは再起動をスケジュールするか、アクティブ時間外に自動的にスケジュールできます。 期限が過ぎると、アクティブ時間に関係なく再起動が行われ、ユーザーは再スケジュールできなくなります。 特定のデバイスの期限は、更新プログラムがデバイスに提供されてから指定した日数に設定されます。 |
| 猶予期間 | このポリシーでは、デバイスが自動的に再起動されるまでの更新プログラムのダウンロード後の最小日数を指定します。 このポリシーは期限ポリシーをオーバーライドして、ユーザーが休暇から復帰した場合、オンラインになるとすぐにデバイスが再起動を強制して更新を完了できないようにします。 |
既定の自動パッチ グループ内のデバイスの場合、Windows Autopatch は、これらのポリシーを展開リング間で異なる方法で構成して、更新プログラムを徐々にリリースします。 テスト リング内のデバイスは最初に変更を受け取り、最後のリングのデバイスは最後に変更を受け取ります。 [テスト] と [最後のデプロイ リング] の詳細については、「 Autopatch グループのテスト と最後のデプロイ リングについて」を参照してください。 Windows Autopatch グループでは、 既定の展開グループの展開リング構成をカスタマイズして、展開リング を追加または削除したり、展開リングごとに更新プログラムの展開間隔をカスタマイズしたりすることもできます。 Windows 品質更新プログラムの展開間隔のカスタマイズの詳細については、「Windows Update設定のカスタマイズ」を参照してください。
重要
Autopatch のポリシーと競合する遅延、期限、猶予期間のポリシーを展開すると、デバイスは管理対象外と見なされ、競合していないが、設計どおりに機能しない可能性がある Windows Autopatch からポリシーを受け取ります。 これらのデバイスは、デバイス レポートで不適格としてマークされ、 サービス レベルの目標にはカウントされません。
サービス レベルの目標
Windows Autopatch は、最新の品質更新プログラムで 、最新のデバイス の少なくとも 95% を保持することを目指しています。 Autopatch では、前に定義したリリース スケジュールをリングごとに 5 日間のレポート期間で使用して、サービス レベルの目標 (SLO) を計算および評価します。 サービス レベルの目標の結果は、リリース管理とレポートに表示される列 "% と最新の品質更新プログラム" です。
サービス レベルの目標計算
サービス レベルの目標 (SLO) を計算するときに、デバイスが使用できる状態は 2 つあります。
- リリース中にアクティブなデバイス
- リリース後にアクティブになるデバイス
これらの各状態のサービス レベルの目標は、次のように計算されます。
| 状態 | 計算 |
|---|---|
| リリース中にアクティブになっているデバイス | このサービス レベルの目標計算では、スケジュールされたリリース期間中にデバイスに一般的なアクティビティがあることを前提としています。 計算方法:
|
| リリース後にアクティブになるデバイス | このサービス レベルの目標計算は、スケジュールされたリリース期間中のオフライン デバイスを指しますが、後でオンラインに戻ります。 計算方法:
|
| 期間 | で定義された値 |
|---|---|
| 遅延 | ターゲット デプロイ リング |
| 期限 | ターゲット デプロイ リング |
| 猶予期間 | ターゲット デプロイ リング |
| レポート期間 | 5 日間。 Windows Autopatch によって定義された値。 |
注
対象の展開リングは、問題のデバイスの展開リングの値を指します。 デバイスに 2 日の期限と 2 日間の猶予期間がある 5 日間の遅延がある場合、デバイスの SLO は、月の第 2 火曜日の -day サービス レベルの目標に 5 + 2 + 5 = 12計算されます。 5 日間のレポート期間は、デバイスのチェックレポートとサービス内のデータ評価に十分な時間を許可するために、Windows Autopatch によって確立された期間です。
重要
Windows Autopatch では、現在 Windows LTSC によってサービスされているWindows 10 Long-Termサービス チャネル (LTSC) デバイスの登録がサポートされています。 このサービスでは、LTSC によって現在サービスされているデバイスの Windows 品質更新プログラム ワークロードの管理のみがサポートされています。 Windows Update for Business サービスと Windows Autopatch では、LTSC の一部であるデバイスの Windows 機能更新プログラムは提供されません。 LTSC メディアまたは Configuration Manager オペレーティング システム展開機能を使用して、LTSC の一部である Windows デバイスに対してインプレース アップグレードを実行する必要があります。
インポート Windows 10 以降の更新リング (パブリック プレビュー)
重要
この機能は パブリック プレビュー段階です。 これは積極的に開発されており、完全ではない可能性があります。
Windows 10以降のorganizationの既存のIntune更新リングを Windows Autopatch にインポートできます。 organizationの更新リングをインポートすると、Organizationの既存の更新リングを再デプロイしたり変更したりする必要なく、Windows Autopatch のレポートとデバイスの準備の利点が得られます。
インポートされたリングは、対象となるすべてのデバイスを自動的に Windows Autopatch に登録します。 デバイス登録の詳細については、 デバイス登録ワークフローの図を参照してください。
注
インポートされたリングの一部として登録されているデバイスは、デバイスがポリシーの最新バージョンを受け取ってから最大 72 時間かかる場合があります。これは、Windows Autopatch デバイスブレードとレポートに反映されます。 レポートの詳細については、「 Windows 品質レポートと機能更新プログラム レポートの概要」を参照してください。
注
デバイス登録エラーは、既存の更新スケジュールやターゲット設定には影響しません。 ただし、登録に失敗したデバイスは、レポートと分析情報を提供する Windows Autopatch の機能に影響する可能性があります。 競合は、必要に応じて解決する必要があります。 その他のサポートについては、 サポート リクエストを送信してください。
インポート Windows 10 以降の更新リング
Windows 10 以降の更新リングをインポートするには:
- Microsoft Intune管理センターに移動します。
- 左側のナビゲーション メニューから [ デバイス ] を選択します。
- [ Windows Autopatch ] セクションで、[ リリース管理] を選択します。
- [ リリース管理 ] ブレードで、[ リリース スケジュール ] タブに移動し、[ Windows 品質更新プログラム] を選択します。
- Windows 10以降の場合は、[Import Update rings]\(更新リングのインポート\) を選択します。
- インポートする既存のリングを選択します。
- [ インポート] を選択します。
Windows 10以降のインポートされた更新リングを削除する
Windows 10以降のインポートされた更新リングを削除するには:
- Microsoft Intune管理センターに移動します。
- 左側のナビゲーション メニューから [ デバイス ] を選択します。
- [ Windows Autopatch ] セクションで、[ リリース管理] を選択します。
- [ リリース管理 ] ブレードで、[ リリース スケジュール ] タブに移動し、[ Windows 品質更新プログラム] を選択します。
- Windows 10後で削除する更新リングを選択します。
- 水平方向の 省略記号 (...) を選択し、[削除] を選択 します。
既知の制限事項
次の Windows Autopatch 機能は、インポートされた Intune Update リングでは使用できません。
- 自動パッチ グループと自動パッチ グループに依存するフィーチャ
- デバイス内の展開リング間でのデバイスの移動
- 自動デプロイ リング修復関数
- ポリシーの正常性と修復
リリース管理
注
[リリース管理] ブレードにアクセスするには、正しい ロールベースのアクセス制御が必要です。
[リリース管理] ブレードでは、次のことができます。
- Windows 品質更新プログラムのスケジュールを追跡します。
- 迅速な Windows 品質更新プログラムをオフにします。
- 定期的および 帯域外 (OOB) Windows 品質更新プログラムのリリースのお知らせとナレッジ ベースの記事を確認します。
リリース スケジュール
デプロイ リングごとに、[リリース スケジュール] タブには次のものが含まれます。
- 更新プログラムの状態。 リリースは [アクティブ] として表示されます。 更新スケジュールは、お客様に代わって構成されたWindows 10更新リング ポリシーの値に基づいています。
- 更新プログラムが利用可能な日付。
- 更新プログラムのターゲット完了日。
- [ リリース スケジュール ] タブでは、Windows 品質更新プログラムのリリースを 一時停止 または 再開 できます。
迅速なリリース
Windows の新しいリビジョンに関する脅威と脆弱性の情報は、毎月第 2 火曜日に入手できるようになります。 Windows Autopatch はその後すぐにその情報を評価します。 サービスがセキュリティにとって重要であると判断した場合は、迅速化される可能性があります。 品質更新プログラムは、リリース全体を通じて継続的に評価され、Windows Autopatch はリリース中いつでも迅速化を選択する場合があります。
リリースを迅速化する場合、21 日間のデバイスの 95% という定期的な目標は適用されなくなります。 代わりに、Windows Autopatch はリリースのリリース スケジュールを大幅に高速化し、環境をより迅速に更新します。 この方法では、テスト リングの外部にあるすべてのデバイスに対して更新されたスケジュールが必要です。これらのデバイスは既に更新プログラムをすぐに取得しているためです。
| リリースの種類 | Group | 遅延 | 期限 | 猶予期間 |
|---|---|---|---|---|
| 迅速なリリース | すべてのデバイス | 0 | 1 | 1 |
サービス主導の迅速な品質更新プログラムリリースをオフにする
Windows Autopatch には、サービス主導の迅速な品質更新プログラムをオフにするオプションが用意されています。
既定では、サービスは必要に応じて品質更新プログラムを迅速化します。 より詳細な制御を求めている組織では、Microsoft Intuneを使用して Windows Autopatch 登録済みデバイスの迅速な品質更新プログラムを無効にすることができます。
サービス主導の迅速な品質更新プログラムをオフにするには:
- [Microsoft Intune管理センター>のデバイス] に移動します。
- [Windows Autopatch>リリース管理] で、[リリース設定] タブに移動し、[優先品質更新プログラム] 設定をオフにします。
注
Windows Autopatch では、お客様が迅速なリリースを要求することはできません。
帯域外リリース
Windows Autopatch では、通常のスケジュールの外部でリリースされた必要な Out of Band (OOB) 更新プログラムがスケジュールされ、展開されます。
品質更新プログラムの延期日を過ぎたデプロイ リングの場合、OOB リリース スケジュールは同じ日に迅速にデプロイされます。 遅延が予定されている展開リングの場合、OOB は、設定された延期日に従ってリリースされます。
展開された帯域外品質更新プログラムを表示するには:
- 管理センター> [デバイス>] [Windows Autopatch>Release Management] Microsoft Intune移動します。
- [リリースのお知らせ] タブでは、展開された OOB と通常の Windows 品質更新プログラムに対応するサポート情報 (KB) の記事を表示できます。 OOB 更新リリースのスケジュールは、[リリース スケジュール] タブで表示することもできます。
注
お知らせと OOB 更新スケジュールは、次の品質更新プログラムがリリースされると、[リリースのお知らせ] タブから 削除されます 。 さらに、デプロイ リングの品質更新プログラムが一時停止されている場合、OOB の更新も一時停止されます。
リリースを一時停止して再開する
注意
Windows Autopatch 管理デバイスでは、Windows Autopatch リリース管理ブレードを使用して、Windows 品質 と Windows 機能の更新プログラム のみを一時停止して再開する必要があります。 Microsoft Intune エンド ユーザー エクスペリエンス フローを使用して、Windows Autopatch マネージド デバイスを一時停止または再開しないでください。
サービス レベルの一時停止は、Windows Autopatch が Windows Update for Business や Microsoft 内の他のいくつかの製品グループから受け取るさまざまなソフトウェア更新プログラムの展開関連シグナルによって駆動されます。
Windows Autopatch で リリースに関する重大な問題が検出された場合は、そのリリースを一時停止する場合があります。
重要
更新プログラムを一時停止または再開するには、デバイスに適用されるまでに最大 8 時間かかることがあります。 Windows Autopatch では、Microsoft Intuneをデバイス管理ソリューションとして使用します。これは、更新プログラムを一時停止、再開、またはロールバックするための新しい手順を使用して、Windows デバイスがMicrosoft Intuneに通信するために要する平均頻度です。
詳細については、デバイスがMicrosoft Intuneから割り当てられた後にポリシー、プロファイル、またはアプリを取得するまでにかかる時間を参照してください。
Windows 品質更新プログラムを一時停止または再開するには:
- Microsoft Intune管理センターに移動します。
- 左側のナビゲーション メニューから [ デバイス ] を選択します。
- [ Windows Autopatch ] セクションで、[ リリース管理] を選択します。
- [ リリース管理 ] ブレードで、[ リリース スケジュール ] タブに移動し、[ Windows 品質更新プログラム] を選択します。
- 一時停止または再開する Autopatch グループまたはデプロイ リングを選択します。 [ 一時停止] または [ 再開] のいずれかを選択します。 または、一時停止または再開する Autopatch グループまたはデプロイ リングの 水平方向の省略記号 (...) を選択することもできます。 ドロップダウン メニューから [ 一時停止] または [再開 ] を選択します。
- 省略可能。 選択した更新プログラムを一時停止または再開する理由に関する正当な理由を入力します。
- 省略可能。 [この一時停止はWindows Updateに関連します] を選択します。 このチェック ボックスをオンにすると、一時停止がWindows Updateに関連する方法に関する情報を指定する必要があります。
- 更新プログラムを再開する場合は、1 つ以上の自動パッチ グループまたはデプロイ リングを選択できます。
- [ 一時停止] または [デプロイの再開] を選択します。
一時停止された品質更新プログラムには、次の 3 つの状態が関連付けられています。
| 状態 | 説明 |
|---|---|
| サービス別に一時停止 | Windows Autopatch サービスが更新プログラムを一時停止した場合、リリースの状態は [サービスによって一時停止 ] になります。 一 時停止されたサービス の状態は、テナントによって一時停止されていないリングにのみ適用されます。 |
| テナント別に一時停止 | 更新プログラムを一時停止した場合、リリースの状態は [ テナント別に一時停止 ] になります。 Windows Autopatch サービスは、テナントの一時停止を上書きできません。 更新を再開するには、[ 再開 ] を選択する必要があります。 |
修復準備ができていない、または最新でないデバイス
デバイスが Windows 品質更新プログラムを確実に受け取れるようにするために、Windows Autopatch では 、Windows Autopatch デバイスアラートを修復する方法に関する情報が提供されます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示