Windows Update

Education のMicrosoft IntuneとIntuneでは、多くのWindows Update構成設定を構成できます。この記事では、学生と教師のデバイスで最も一般的に使用される構成の概要を示します。

Microsoft Intuneまたは Intune for Education を使用して、Windows Update クライアントポリシーから Windows ソフトウェア更新プログラムのインストールを管理します。デバイスの更新設定を構成し、更新プログラムのインストールの延期を構成できます。また、デバイスを安定した状態に保つために Windows の新しいバージョンの機能をインストールしないようにしつつ、そのデバイスで品質とセキュリティの更新プログラムは引き続きインストールするようにすることもできます。

Windows 用のリングを更新する

更新リングポリシーは、Windows 更新プログラムを実行するデバイスがインストールされるタイミングを構成する設定のコレクションです。

詳細については、次を参照してください。

設定
Graph エクスプローラーを使用してポリシーを作成する

Update settings	Value	Notes	CSP
Microsoft 製品の更新	許可	[ブロック] に設定しないでください。構成を元に戻すには、各デバイスで PowerShell コマンドを実行する必要があります。	AllowMUUpdateService
Windows ドライバー	許可		ExcludeWUDriversInQualityUpdate
品質更新プログラムの延期期間 (日)	7		DeferQualityUpdatesPeriodInDays
機能更新プログラムの延期期間 (日)	30	機能更新プログラムポリシーを使用している場合は 0 を選択します。それ以外の場合は 30 日を選択します。	DeferFeatureUpdatesPeriodInDays
Windows 10 デバイスを最新のWindows 11 リリースにアップグレードする	いいえ		ProductVersion
機能更新プログラムのアンインストール期間を設定する (2 - 60 日)	14		ConfigureFeatureUpdateUninstallPeriod
プレリリース版のビルドを有効にする	未構成		ManagePreviewBuilds

ユーザーエクスペリエンスの設定	Value	Notes	CSP
自動更新の動作	既定値にリセット	自動的にインストールして再起動します。更新プログラムは従量制課金以外のネットワークに自動的にダウンロードされ、デバイスが使用されておらず、バッテリ電源で実行されていない場合は、"自動メンテナンス" の間にインストールされます。メモ：Windows Updateポリシーが設定カタログを介して構成されている場合、値は [自動インストールと再起動] である必要があります。	AllowAutoUpdate
再起動チェック (EDU 再起動)	許可	既存の Windows Update リングで無効にすることはできません。この設定は、新しいWindows Updateリングポリシーを作成するときに使用できなくなります。	SetEDURestart
Windows 更新プログラムを一時停止するオプション	無効		SetDisablePauseUXAccess
Windows 更新プログラムのチェックオプション	無効		SetDisableUXWUAccess
Update 通知レベルを変更する	再起動の警告を除くすべての通知をオフにする		UpdateNotificationLevel
期限設定を使用する	許可	設定の構成のみを有効にします。
機能更新プログラムの期限	7		ConfigureDeadlineForFeatureUpdates
品質更新プログラムの期限	3		ConfigureDeadlineForQualityUpdates
猶予期間	2		ConfigureDeadlineGracePeriod ConfigureDeadlineGracePeriodForFeatureUpdates
期限前に自動的に再起動する	はい		ConfigureDeadlineNoAutoReboot

Graph を使って、割り当てやスコープタグなしでテナントに設定カタログポリシーを作成します。

これにより、_MSLearn_Example_CommonEDU - Windows - Update ring という名前のポリシーがテナントに作成されます。

POST https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations
Content-Type: application/json

{"@odata.type":"#microsoft.graph.windowsUpdateForBusinessConfiguration","id":"","displayName":"_MSLearn_Example_CommonEDU - Windows - Update ring","description":"https://aka.ms/ManageEduDevices","roleScopeTagIds":["0"],"microsoftUpdateServiceAllowed":true,"driversExcluded":false,"qualityUpdatesDeferralPeriodInDays":7,"featureUpdatesDeferralPeriodInDays":30,"allowWindows11Upgrade":false,"qualityUpdatesPaused":false,"featureUpdatesPaused":false,"businessReadyUpdatesOnly":"userDefined","skipChecksBeforeRestart":false,"automaticUpdateMode":"windowsDefault","installationSchedule":null,"userPauseAccess":"disabled","userWindowsUpdateScanAccess":"disabled","updateNotificationLevel":"restartWarningsOnly","updateWeeks":null,"featureUpdatesRollbackWindowInDays":14,"deadlineForFeatureUpdatesInDays":7,"deadlineForQualityUpdatesInDays":3,"deadlineGracePeriodInDays":2,"postponeRebootUntilAfterDeadline":false,"engagedRestartDeadlineInDays":null,"engagedRestartSnoozeScheduleInDays":null,"engagedRestartTransitionScheduleInDays":null,"engagedRestartSnoozeScheduleForFeatureUpdatesInDays":null,"engagedRestartTransitionScheduleForFeatureUpdatesInDays":null,"autoRestartNotificationDismissal":"notConfigured","scheduleRestartWarningInHours":null,"scheduleImminentRestartWarningInMinutes":null}

[試す] をクリックして Graph エクスプローラーを開きます。
Graph Explorer が開いたら、右上にあるユーザーアイコンを選択して、Intune 管理者の組織アカウントでサインインします。
クエリの実行 をクリックして、テナントにポリシーを作成します。

ヒント

Graph エクスプローラーを初めて使用する場合は、テナントへのアクセスまたは既存のアクセス許可の変更を、アプリケーションに承認することが必要な場合があります。このグラフ呼び出しには、DeviceManagementConfiguration.ReadWrite.All アクセス許可が必要です。必要なアクセス許可は、[アクセス許可の変更] を選択した後に [同意] を選択することで付与できます。
ポリシーはテナントに作成され、グループに割り当てる前に、要件を満たすための編集が行えます。

注:

2025 年 7 月 31 日の時点で、Microsoft Graph は DeviceManagementConfiguration.ReadWrite.All アクセス許可を DeviceManagementScripts.ReadWrite.All に置き換え、次の API 呼び出しに対する使用を行いました。

~/deviceManagement/deviceShellScripts
~/deviceManagement/deviceHealthScripts
~/deviceManagement/deviceComplianceScripts
~/deviceManagement/deviceCustomAttributeShellScripts
~/deviceManagement/deviceManagementScripts

設定カタログ

このセクションで説明する設定は、更新リングポリシーでは使用できないため、設定カタログの種類の構成プロファイルを使用して構成する必要があります。

詳細については、「設定カタログを使用して Windows、iOS/iPadOS、および macOS デバイスで設定を構成する」を参照してください。

ヒント

Microsoft Intune管理センターで設定カタログプロファイルを作成するときは、この記事のポリシー名をコピーし、設定ピッカーの検索フィールドに貼り付けて目的のポリシーを見つけることができます。

設定
Graph エクスプローラーを使用してポリシーを作成する

[カテゴリ]	名前	Value	Notes	CSP
ビジネス向けWindows Update	No update notifications during active hours	有効		NoUpdateNotificationsDuringActiveHours

Graph を使って、割り当てやスコープタグなしでテナントに設定カタログポリシーを作成します。

これにより、_MSLearn_Example_CommonEDU - Windows - Updates という名前のポリシーがテナントに作成されます。

POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json

{"name":"_MSLearn_Example_CommonEDU - Windows - Updates","description":"https://aka.ms/ManageEduDevices","platforms":"windows10","technologies":"mdm","roleScopeTagIds":["0"],"settings":[{"@odata.type":"#microsoft.graph.deviceManagementConfigurationSetting","settingInstance":{"@odata.type":"#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance","settingDefinitionId":"device_vendor_msft_policy_config_update_noupdatenotificationsduringactivehours","choiceSettingValue":{"@odata.type":"#microsoft.graph.deviceManagementConfigurationChoiceSettingValue","value":"device_vendor_msft_policy_config_update_noupdatenotificationsduringactivehours_1","children":[]}}}]}

[試す] をクリックして Graph エクスプローラーを開きます。
Graph Explorer が開いたら、右上にあるユーザーアイコンを選択して、Intune 管理者の組織アカウントでサインインします。
クエリの実行 をクリックして、テナントにポリシーを作成します。

ヒント

Graph エクスプローラーを初めて使用する場合は、テナントへのアクセスまたは既存のアクセス許可の変更を、アプリケーションに承認することが必要な場合があります。このグラフ呼び出しには、DeviceManagementConfiguration.ReadWrite.All アクセス許可が必要です。必要なアクセス許可は、[アクセス許可の変更] を選択した後に [同意] を選択することで付与できます。
ポリシーはテナントに作成され、グループに割り当てる前に、要件を満たすための編集が行えます。

注:

~/deviceManagement/deviceShellScripts
~/deviceManagement/deviceHealthScripts
~/deviceManagement/deviceComplianceScripts
~/deviceManagement/deviceCustomAttributeShellScripts
~/deviceManagement/deviceManagementScripts

Windows Update機能コントロール

Windows 機能更新プログラムには、ユーザーエクスペリエンスを向上させるための新しい Windows 機能が含まれています。 Windows 機能のバージョンは、エディションに応じて異なる方法でサポートされます。最新のセキュリティ更新プログラムを受け取り、アプリのテストなどの必要なアプリケーションをサポートできるように、インストールされている Windows バージョンが引き続きサポートされるようにすることが重要です。

各 Windows オペレーティングシステムのバージョンとエディションのサポートライフサイクル Web サイトを使用します。

Windows に Windows 機能更新プログラムをインストールする方法とタイミングを制御するには、2 つの方法があります。

機能の更新コントロールの種類	構成	メリット	欠点
自動的に最新の状態に保つ (推奨)	更新リングポリシーのみを使用し、機能更新プログラムの延期を 30 日以上に設定する	デバイスは常に最新の状態に保たれ、最新の Windows 機能にアクセスできます	ユーザーは新機能に関するトレーニングを受けていなかった可能性があり、一部のアプリは新しい機能バージョンと互換性がない可能性があります
機能更新のバージョンを管理する	機能更新ポリシーを使用してデバイスを特定のバージョンの Windows に保持する	ポリシーが変更されるまで、デバイスは特定の Windows バージョンで保持されます	Windows が引き続きサポートされるように、ポリシーを定期的に確認して変更する必要があります

Windows を自動的に最新の状態に保つ

前に構成した更新リングを使用して、機能更新プログラムの延期期間 (日) を 30 日に設定します。延期期間は、学校のニーズに基づいて増減できます。

機能更新のバージョンを管理する

機能更新ポリシーは、デバイスを特定のバージョンの Windows に設定するように構成できます。古いバージョンの Windows を実行しているデバイスは、指定したバージョンに更新されます。新しいバージョンの Windows を使用するデバイスでは、機能更新プログラムは実行されません。

機能更新プログラムポリシーを設定するには:

Microsoft Intune 管理センターにサインインします。
[デバイス>By platform>Windows>Manage updates>Windows 10 以降の更新プログラム>Feature updates tab >[プロファイルの作成] を選択します。
[展開の設定] で、次の手順を実行します。
- 名前と説明 (省略可能) を指定し、[展開する機能更新プログラム] に対して目的の機能セットを含む Windows のバージョンを選択してから、[次へ] を選択します。
- ロールアウトオプションをできるだけ早く構成します。
[割り当て] で、[+ 含めるグループの選択] を選択し、機能更新プログラムのデプロイを 1 つ以上のデバイスグループに割り当てます。 [次へ] を選んで続行します。
[レビュー + 作成] で、設定を確認します。機能更新プログラムポリシーを保存する準備ができたら、[作成] を選択します。

警告

少なくとも 18 か月ごとに機能更新プログラムのバージョンを確認しないと、Windows デバイスでセキュリティ更新プログラムが受信されなくなる可能性があります。サポートを維持するには、機能のバージョンを確認して更新してください。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-15