次の方法で共有

Windows 品質更新プログラムのホットパッチ

ホットパッチ更新プログラムを使用すると、ユーザーの中断を最小限に抑えながら、進化するサイバー攻撃からorganizationを保護するための対策をすばやく実行できます。 ホットパッチ更新プログラムは、デバイスの再起動を必要とせずにインストールして有効にする 、毎月の B リリース のセキュリティ更新プログラムです。 再起動の必要性を最小限に抑えることで、これらの更新プログラムはコンプライアンスの高速化に役立ち、組織はワークフローを中断せずにセキュリティを維持しやすくなります。

ホットパッチのセキュリティ更新プログラムは、Microsoft Intuneのすべての対象デバイスに対して既定で有効になっています。 このアプローチは、組織がセキュリティ コンプライアンスを維持しながら、ワークフローの中断を最小限に抑えるのに役立ちます。

テナント レベルの設定または品質更新ポリシーを使用して、デバイスにホットパッチが有効になっているかどうかを構成できます。

主な利点

  • セキュリティの高速化: ホットパッチのセキュリティ修正プログラムは、再起動を必要とせずに有効になり、デバイスをより迅速にセキュリティで保護できます。
  • 中断の軽減: ホットパッチは、デバイスの即時再起動を必要とせずに適格なセキュリティ更新プログラムをインストールし、ユーザーの生産性を維持します。
  • ペイロードが小さい: ホットパッチ パッケージのサイズは、標準の累積的な更新プログラムよりも大幅に小さくなります。
  • 既存の更新リングに対する変更なし: 既存の更新リング構成は引き続き有効であり、ホットパッチ構成と共に適用されます。
  • ポリシー レベルの可視性: ホットパッチ品質更新プログラム レポートは、ホットパッチ更新プログラムを受信しているデバイスの更新状態のポリシー レベルのビューを提供します。

前提条件

ホットパッチには、Windows 品質更新プログラム ポリシーと同じ 前提条件 があります。 このセクションでは、ホットパッチに固有の追加の前提条件について説明します。

デバイス構成の要件

ホットパッチ更新プログラムを受信するようにデバイスを準備するには、デバイスで次のオペレーティング システム設定を構成します。 ホットパッチ更新プログラムを提供し、すべてのホットパッチ更新プログラムを適用するには、デバイスに対してこれらの設定を構成する必要があります。

仮想化ベースのセキュリティ (VBS)
デバイスでホットパッチ更新プログラムを提供するには、VBS をオンにする必要があります。 VBS が有効かどうかを設定して検出する方法については、「 仮想化ベースのセキュリティ (VBS)」を参照してください。

注:

VBS が有効になっていないか、最新のベースライン リリースに存在していないため、デバイスが一時的に不適格になる可能性があります。 すべての Windows デバイスがホットパッチ更新プログラムの対象になるように正しく構成されていることを確認するには、「 ホットパッチ更新プログラムのトラブルシューティング」を参照してください。

アラートホットパッチ - VBS が実行されていないアラートを使用して、自動パッチアラートと修復で VBS の状態を確認することもできます。

Arm 64 デバイスでは、コンパイル済みのハイブリッド PE 使用率 (CHPE) を無効にする必要があります (Arm 64 CPU のみ)

すべてのホットパッチ更新プログラムが確実に適用されるようにするには、 コンパイル済みハイブリッド ポータブル実行可能ファイル (CHPE) 無効化フラグを設定し、デバイスを再起動して CHPE の使用を無効にする必要があります。 このフラグは 1 回だけ設定する必要があります。 レジストリ設定は、更新プログラムによって適用されたままです。

この要件は、ホットパッチ更新プログラムを使用する場合にのみ Arm 64 CPU デバイスに適用されます。 ホットパッチ更新プログラムは、サービス CHPE OS バイナリと互換性がありません。

CHPE を無効にするには、次の DWORD レジストリ キーを作成または設定します。

パス: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1

CHPE の詳細については、こちらを参照してください

注:

CHPE が有効になっている Arm64 デバイスでホットパッチ更新プログラムをサポートする予定はありません。 CHPE の無効化は、Arm64 デバイスでのみ必要です。 AMD と Intel の CPU には CHPE がありません。 ホットパッチ更新プログラムを使用しなくなった場合は、CHPE 無効化フラグ (HotPatchRestrictions=0) をオフにしてから、デバイスを再起動して CHPE の使用を有効にします。

不適格なデバイス

1 つ以上の前提条件を満たしていないデバイスは、代わりに最新の累積的な更新プログラム (LCU) を自動的に受け取ります。 最新の累積的な更新プログラム (LCU) には、セキュリティリリースとセキュリティ以外のリリースの両方を含む前月の更新プログラムに置き換わる毎月の更新プログラムが含まれています。

LCU ではデバイスを再起動する必要がありますが、LCU はデバイスが完全にセキュリティで保護され、準拠していることを保証します。

注:

デバイスがホットパッチ更新プログラムの対象でない場合、これらのデバイスには LCU が提供されます。 LCU は構成済みの更新リング設定を保持しますが、設定は変更されません。

リリース サイクル

ホットパッチ更新プログラムのリリース カレンダーの詳細については、「ホットパッチ のリリース ノート」を参照してください。

  • ベースライン: 最新のセキュリティ修正プログラム、累積的な新機能、および拡張機能が含まれています。 再起動が必要です。
  • ホットパッチ: セキュリティ更新プログラムが含まれています。 再起動は必要ありません。
四半期 ベースライン更新プログラム (再起動が必要) ホットパッチ (再起動は必要ありません)
1 1 月 2 月と 3 月
2 4 月 5 月と 6 月
3 7 月 8 月と 9 月
4 10 月 11 月と 12 月

ホットパッチ月の間に、デバイスでホットパッチ更新プログラムが有効になっているが、最新のベースライン更新プログラムがない場合、デバイスは最新のベースライン更新プログラム (再起動が必要) と最新のホットパッチ更新プログラムの両方を受け取ります。

注:

ベースライン月の間にホットパッチ登録済みデバイスを最新の Windows バージョンにアップグレードする (たとえば、Windows 11、バージョン 24H2 から Windows 11 バージョン 25H2 にアップグレード) すると、デバイスはホットパッチ サイクルを維持し、デバイスはホットパッチ更新プログラムをシームレスに受信し続けます。 ただし、ホットパッチ月にデバイスを最新の Windows バージョンにアップグレードすると、デバイスが標準更新プログラムに切り替えられます。次のベースライン リリースまで更新プログラムを適用するには、デバイスを再起動する必要があります。

Windows 11 Enterprise または Windows Server 2025 のホットパッチ

注:

ホットパッチは、Windows ServerとWindows 365でも使用できます。 詳細については、「Windows Server Azure Edition のホットパッチ」を参照してください。

ホットパッチ更新プログラムは、Windows 11 と Windows Server 2025 の間で似ています。

  • Windows Autopatch は、Windows 11更新プログラムを管理します
  • Windows 2025 Datacenter/Standard Edition (オンプレミス) の Arc サブスクリプションAzure Update ManagerおよびオプションのAzureは、2025 Datacenter Azure Edition Windows Server管理します。

毎年計画されるカレンダー日付、8 つのホットパッチ月、および 4 つの基準月は、ホットパッチでサポートされるすべてのオペレーティング システムで同じです。 1 つの OS (たとえば、Windows Server 2022) に対して追加のベースライン月が発生する可能性がありますが、Server 2025 や Windows 11 バージョン 24H2 などの別の OS にはホットパッチ月があります。 最新の状態に保つために 、Windows リリース正常性のリリース ノートを確認します。

ホットパッチ更新プログラムを受信するデバイスを登録する

テナント レベルの設定または品質更新ポリシーを使用して、デバイスのホットパッチ更新プログラムを有効にすることができます。 テナント レベルの設定は、品質更新ポリシーのメンバーではないデバイスに適用される既定の設定です。 デバイスが品質更新ポリシーに割り当てられている場合、そのポリシーのホットパッチ設定が適用されます。

既定のホットパッチ テナント設定

既定のテナント設定は、品質更新ポリシーのメンバーではないデバイスにのみ適用されます。

Windows Autopatch では、品質更新ポリシーの構成が尊重されます。 デバイスがこれらのポリシーのいずれかに割り当てられている場合、そのポリシーのホットパッチ設定が適用されます。

テナントの既定のホットパッチ更新動作を次のように構成します。

  1. Microsoft Intune管理センターで、テナント管理>Windows Autopatch>Tenant 管理を選択します。
  2. [ テナント 設定] タブを選択します。
  3. [使用可能な場合] を切り替え、デバイス ("ホットパッチ") 設定を [許可] または [ブロック] に再起動せずに更新プログラムを適用します。

品質更新ポリシーを使用してホットパッチを構成します。

Windows Autopatch は、品質更新ポリシーのホットパッチ設定の構成を尊重します。 デバイスがこれらのポリシーのいずれかに割り当てられている場合、そのポリシーのホットパッチ設定は、テナントの既定の設定ではなく適用されます。

ホットパッチ更新プログラムを受信するデバイスを登録するには:

  1. Microsoft Intune管理センターで、[デバイス>Windows の更新プログラム] を選択します。
  2. [ 品質の更新] タブを選択します。
  3. [ 作成] を選択し、[ Windows 品質更新プログラム ポリシー] を選択します。
  4. [ 基本 ] セクションで、新しいポリシーの名前を入力し、[ 次へ] を選択します。
  5. [ 設定] セクションで、[ 使用可能な場合] を設定し、デバイスを再起動せずに適用します ("ホットパッチ")[許可] に設定します。 さらに [次へ] を選択します。
  6. 適切なスコープ タグを選択するか、[既定値] のままにします。 さらに [次へ] を選択します。
  7. デバイスをポリシーに割り当て、[ 次へ] を選択します。
  8. ポリシーを確認し、[ 作成] を選択します。

これらの手順により、ホットパッチ更新プログラムを受け取る 資格がある ターゲット デバイスが正しく構成されます。 不適格なデバイス には、最新の累積的な更新プログラム (LCU) が提供されます。

注:

ホットパッチ更新プログラムを有効にしても、マネージド デバイス上の既存の期限駆動型またはスケジュールされたインストール構成は変更されません。 遅延時間とアクティブ時間の設定は引き続き適用されます。

ホットパッチ更新プログラムをロールバックする

ホットパッチ更新プログラムの自動ロールバックはサポートされていませんが、アンインストールすることはできます。 ホットパッチ更新プログラムで予期しない問題が発生した場合は、ホットパッチ更新プログラムをアンインストールし、最新の標準累積的な更新プログラム (LCU) をインストールして再起動することで調査できます。 ホットパッチ更新プログラムのアンインストールは簡単ですが、デバイスの再起動が必要です。

ホットパッチ品質更新レポート

ホットパッチ更新プログラムを有効にして Windows 品質更新プログラム ポリシーを作成した後、レポートから結果、ホットパッチの展開状態、エラーを監視できます。

このレポートには、すべてのホットパッチ更新プログラムが有効なデバイスの対象デバイスの合計数と現在の更新状態が表示されます。

レポートにアクセスするには:

  1. Microsoft Intune管理センターで、[レポート] を選択します
  2. [Windows Autopatch] セクションで、[Windows 品質更新プログラム] を選択します
  3. [ レポート ] タブで、[ ホットパッチ品質更新プログラム レポート] を選択します。

ホットパッチ更新プログラムのトラブルシューティング

手順 1: ホットパッチ更新プログラムがインストールされる前に、デバイスがホットパッチ更新プログラムとホットパッチ ベースラインの対象であることを確認する

ホットパッチは、ホットパッチ リリース サイクルに従います。 前提条件を確認して、デバイスがホットパッチ更新プログラムの対象であることを確認します。 前提条件を満たしていないデバイスについては、「 不適格デバイス」を参照してください。

最新のリリース スケジュールについては、 ホットパッチのリリース ノートを参照してください。 Windows 更新履歴の詳細については、「Windows 11バージョン 24H2 更新履歴」を参照してください。

手順 2: デバイスで仮想化ベースのセキュリティ (VBS) が有効になっていることを確認する

  1. [スタート] を選択し、[検索] に 「システム情報 」と入力します。
  2. 結果から [システム情報 ] を選択します。
  3. [ システムの概要] の [項目] 列で、[ 仮想化ベースのセキュリティ] を見つけます。
  4. [ ] 列で、[ 実行中] と表示されていることを確認します。

手順 3: ホットパッチ更新プログラムを有効にするようにデバイスが正しく構成されていることを確認する

  1. Intuneで、Windows Autopatch 内で構成されているポリシーを確認し、[Windows Update>Quality Updates] ページに移動して、ホットパッチ ポリシーを対象とするデバイスのグループ確認します。
  2. ホットパッチ更新ポリシーが [許可] に設定されていることを確認します。
  3. デバイスで、[スタート>Settings>Windows Update>Advanced オプション>構成された更新ポリシー] を選択し>利用可能な場合は [ホットパッチを有効にする] を探します。 この設定は、Windows Autopatch によって構成されたホットパッチ更新プログラムにデバイスが登録されていることを示します。

手順 4: コンパイル済みハイブリッド PE 使用量 (CHPE) を無効にする (Arm64 CPU のみ)

詳細については、「 Arm 64 デバイスでコンパイル済みハイブリッド PE 使用率 (CHPE) を無効にする必要があります (Arm 64 CPU のみ)」を参照してください。

手順 5: イベント ビューアーを使用して、デバイスにホットパッチ更新プログラムが有効になっていることを確認する

  1. [スタート] メニューを右クリックし、[ イベント ビューアー] を選択します。
  2. フィルターで AllowRebootlessUpdates を検索します。 AllowRebootlessUpdates1 に設定されている場合、デバイスは Windows Autopatch 更新ポリシーに登録され、ホットパッチ更新プログラムが有効になります。"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

手順 6: ホットパッチ エラーがないか Windows ログを確認する

ホットパッチ更新プログラムは、デバイスにインストールされている更新プログラムの正常性をチェックする受信トレイ モニター サービスを提供します。 モニター サービスでエラーが検出された場合、サービスは Windows アプリケーション ログにイベントを記録します。 重大なエラーが発生した場合、デバイスは標準 (LCU) 更新プログラムをインストールして、デバイスが完全にセキュリティで保護されていることを確認します。

  1. [スタート] メニューを右クリックし、[ イベント ビューアー] を選択します。
  2. フィルターで ホットパッチ を検索してログを表示します。
  • Last updated on