Windows デバイスをセキュリティで保護し、最新の状態に保つことは、organizationにとって最も重要な責任の 1 つです。 Microsoft Intuneは、Windows 更新プログラム管理にクラウドベースのアプローチを提供し、ユーザーの制御、予測可能性、中断を最小限に抑えます。
この概要では、Intuneが Windows 更新プログラムを管理する方法、使用可能なポリシーの種類、およびこれらの部分が完全な更新戦略にどのように適合するかを説明します。
Intuneでできること
- 個々のパッチを管理せずに、デバイスの更新設定を構成します。
- ロールアウトのタイミングを制御し、リスクを軽減するための更新リングを定義します。
- 準備が整うまでデバイスが新しい機能バージョンをインストールできないようにし、セキュリティと品質の更新プログラムを適用します。
Intuneは、更新プログラム自体ではなく、ポリシーの割り当てのみを格納します。 ポリシーを保存すると、Intuneは構成の詳細を Windows Autopatch に送信します。これにより、展開が承認される更新プログラムが決まります。 デバイスは、承認された更新プログラムをWindows Updateから直接ダウンロードし、Windows Updateクライアント ポリシーに従ってこれらの変更をインストールして適用します。
Windows Update 管理機能
次のポリシーの種類は、Intuneでの Windows 更新プログラムの管理に役立ちます。
クライアント ポリシーのWindows Update
基になる 更新ポリシー CSP を構成します。 Intuneは、更新リングと設定カタログを通じてこれらの設定を表示するため、管理者はデバイス レベルできめ細かい更新動作を柔軟に適用できます。
リング ポリシーを更新する
Windows Updateクライアント ポリシーをデバイスのグループに適用します。 リングを更新すると、遅延期間、期限、再起動動作、ユーザー エクスペリエンスの設定が制御され、環境全体で段階的なロールアウトが可能になります。
機能更新ポリシー
デバイスを特定の Windows バージョンにロックします (たとえば、Windows 11 24H2)。 これらのポリシーにより、デバイスがターゲット リリースを超えてアップグレードされるのを防ぎ、一貫性を確保し、主要な OS のアップグレードを制御できます。
品質更新ポリシー
セキュリティと信頼性のための毎月の累積的な更新プログラムを提供します。 サポート:
- ホットパッチ: 対象となるデバイスが再起動なしでセキュリティ パッチを受け取るかどうかを制御します。
- 迅速なポリシー: 遅延設定をオーバーライドすることで、重要なセキュリティ更新プログラムをすぐにプッシュします。
ホットパッチのセキュリティ更新プログラム
再起動なしで適格なセキュリティ パッチを提供することで、デバイスをより迅速にセキュリティで保護します。 再起動なしの更新プログラムは、毎月の Windows セキュリティ更新プログラムが配信される既定の方法です。
ドライバー更新ポリシー
Windows Updateからのハードウェア ドライバー更新プログラムの配信を管理します。 ドライバー更新ポリシーは、ドライバーのインストールタイミングと方法を制御することで、デバイスの互換性と安定性を確保するのに役立ちます。
Windows 自動パッチ
Windows Autopatch は、Windows デバイスへの展開が承認されたWindows Updateコンテンツを制御し、最新かつ安全な状態を維持します。 デバイスが特定のコンテンツ タイプの自動パッチ ポリシーの対象になっていない場合は、Windows Updateのすべての最新コンテンツがデプロイされます。
Microsoft Intuneでは、Windows Autopatch を利用して、機能更新プログラム、品質更新プログラム、ドライバー更新プログラムの管理を有効にします。 これらのワークフローを有効にするには、それらのコンテンツ タイプごとにポリシーがあります。
デバイスがポリシーに割り当てられると、そのコンテンツ タイプの Autopatch に登録され、承認されたコンテンツのみがそのデバイスに展開されます。 管理者は、organizationに最適な内容に応じて、ポリシーの更新プログラムを自動的または手動で承認できます。
ポリシー以外にも、Autopatch を利用した他のいくつかの強力なIntune機能があります。
- 自動パッチ グループを使用すると、動的なデバイスグループ化、更新プログラムの段階的なロールアウト、マルチポリシーの作成と編集フローが可能になります。
- 自動パッチ レポートは、更新の準備、コンプライアンス、およびアラートに関する深い分析情報を提供します。
- 対象となる Windows エディションの場合、ホットパッチや迅速な更新プログラムなどのクラウドを利用した更新シナリオも、最小限の手動構成で可能になります。
次の表は、手動の自動パッチ構成をポリシーで使用し、自動パッチ グループを使用する場合の更新管理の違いを比較しています。
| 機能 | 自動パッチ ポリシーを使用する場合 | 自動パッチ グループを使用する場合 |
|---|---|---|
| 調整の更新 | Entra グループにデバイスを手動で配布し、更新ポリシーを割り当てます。 | 設定に基づいて、デバイスの複数のEntra グループへの配布を自動化します。 デプロイの開始または終了に特定のグループをピン留めします。 |
| リング ポリシーを更新する | 遅延、期限、再起動の動作を制御するには、Intuneで更新リング ポリシーを構成します。 | 複数の更新リングを同時に構成して、リリース全体の遅延、期限、再起動動作の全体像を把握します。 自動パッチ グループには、一般的なユース ケースに推奨される設定を提供するオプションのプリセットがあります。 |
| 機能更新ポリシー | 機能更新ポリシーを使用して、OS バージョンをロックまたはスケジュールします。 | Autopatch グループ内のすべてのデバイスに対して、機能更新プログラムの最小バージョンを設定します。 アップグレードする場合は、段階的な機能更新プログラムのロールアウトをスケジュールします。 |
| 品質更新ポリシー | 品質更新ポリシー、迅速更新プログラム、ホットパッチ設定を手動で構成します。 | 品質更新ポリシー、迅速更新プログラム、ホットパッチ設定を手動で構成します。 |
| ドライバー更新ポリシー | ドライバー更新ポリシーを使用して、割り当てられたすべてのデバイスに対してドライバーを手動または自動で確認および承認します。 | 手動または自動でドライバーを確認して承認し、Autopatch グループ内のすべてのデバイスへの段階的なロールアウトを開始します。 |
サービスの既定値
Windows Autopatch を使用すると、セキュリティで保護されたデバイスをより迅速にセキュリティで保護するために、既定でホットパッチセキュリティ更新プログラムが有効になります。 この既定の動作は、Microsoft Intuneのすべての対象デバイスに適用されます。 再起動を待たずにセキュリティ修正プログラムを適用すると、組織は半分の時間で 90% のコンプライアンスを実現できます。
品質更新ポリシーを使用して、テナント全体またはグループ デバイスに対して、ホットパッチ セキュリティ更新プログラムをいつでもオプトアウトできます。
前提条件
各ポリシーの種類には、それぞれのドキュメントで詳しく説明されている特定の前提条件があります。 一般に、以下のことが行われます。
- デバイスはIntuneに登録する必要があります。
- デバイスは、Microsoft Entra参加済みまたはハイブリッド参加済みである必要があります。
Microsoft Entra登録されたデバイスは、Windows Autopatch と同じバックエンド サービスを使用するポリシーの種類 (機能更新プログラム、品質更新プログラム、ドライバーの更新プログラムなど) ではサポートされていません。
Entra登録済みデバイスの場合、更新管理はクライアント ポリシーと更新リング ポリシー Windows Updateに制限されたままです。 - デバイスは、Microsoft 更新エンドポイントにアクセスできる必要があります。
機能更新ポリシー、品質更新ポリシー、ドライバー更新ポリシーは、Windows Autopatch によって調整されます。 前提条件は、次の 3 つのポリシーの種類で同じです。
ライセンス: Autopatch エンタイトルメントを含む Windows ライセンス。
Windows Autopatch を必要とする機能の新しいポリシーを作成するときにブロックされ、Enterprise Agreement (EA) を介してWindows Updateクライアント ポリシーを使用するライセンスを取得する場合は、Microsoft アカウント チームやライセンスを販売したパートナーなどのライセンスのソースに問い合わせてください。 アカウント チームまたはパートナーは、テナントのライセンスが Windows Autopatch ライセンス要件を満たしていることを確認できます。 「既存の EA でサブスクリプションのアクティブ化を有効にする」を参照してください。
重要
既存の EA でサブスクリプションのアクティブ化を有効に することは、Windows Autopatch 機能の GCC および GCC High/DoD クラウド環境には適用されません。
テレメトリ: 診断データ セットを [必須レベル] に設定します。
サービス: Microsoft アカウント Sign-In アシスタントが有効になっています。
このサービスがブロックされているか [無効] に設定されている場合、更新プログラムの受信に失敗します。 詳細については、「他の更新プログラムは提供されるが、機能更新プログラムは提供されない」を参照してください。 既定では、サービスは [手動 (トリガー開始)] に設定されており、必要なときに実行できます。