こんにちは。tsuji です!
先日、Windows Server Update Services (WSUS) が非推奨になることがアナウンスされました。ただ、すぐには廃止されるのではなく、新しい機能への投資が行われなくなり、WSUS に対する新機能追加がされなくなるとのことです。
今後はクラウド中心のソリューションである Intune (Windows Autopatch 含む) や Azure Update Manager への移行が推奨とのことです。詳細はこちらの Tech Community ブログを参考ください。
そこで今回は、あらためて Intune での更新管理って何ができるんだっけというブログにしてみました。本内容は、Intune の基本的な更新管理のお話から更新リングの細かい挙動の説明なんかも載せています。初めての方から Intune を普段利用してても公式ドキュメントがあっちこっちに散らばっててポイントがおさえれていない方なども参考になるよう記載していますので、ぜひご覧ください!!
そもそも更新管理ってなんでやるの?
まず始めに、みなさんはどのような理由で更新管理されていますか。もしくは利用しようと思っていますでしょうか。会社の事情は様々かと思いますが、以下のような理由が多いのではないでしょうか。
- 従業員の業務に影響を与えないよう事前に管理者の方で動作確認してから更新プログラムを配布したい
- 最近だと Windows Update 後に毎回起動時 BitLocker の回復が一部のユーザーで求められるといった更新プログラムを適用不具合の話がありましたね
- 更新プログラムが適用されてから勝手に再起動されないよう制御したい
- 従業員がなかなか更新プログラムを適用してくれないので、適用を強制させたい
- 更新プログラムが配信されると会社ネットワークのトラフィックが多くなるので、段階的に配信したい
- 更新プログラムがちゃんと適用されているのかわからないから適用状況を把握できるようにしたい
- Microsoft から更新プログラムが公開されると脆弱性内容も公開されているため、既知の脆弱性を組み合わせて攻撃されるケースも。。。
Intune では、これらの課題に対応できる機能があります。従業員への業務影響を最小限にしつつ、できるだけ早く更新プログラムを適用させる運用が理想ですよね。Intune でもなかなか難しいところはありますが、できる限り Intune の機能をうまく活用して理想に近づけていきたいところです。
Intune で利用できる Windows Update 更新管理機能とは?
Intune では、Windows Update for Business から配布されている以下の更新プログラムの制御を行うことができます。
- 品質更新プログラム
セキュリティ更新および不具合修正、小さな調整が含まれており、毎月第 2 火曜日 (日本時間:第 2 水曜日または第 3 水曜日) に配信されます。(マイナーアップデート) - 機能更新プログラム
セキュリティ更新および不具合修正に加え、OS の機能追加が含まれており、 年 1 回配信されます。(メジャーアップデート) - Windows ドライバー
端末の OEM (メーカー) から推奨されるドライバーが Windows Update から配信されています。
制御機能については、以下の表をご参照ください。
機能 | 説明 |
---|---|
更新リング | 品質・機能更新プログラムの配布・インストールタイミング、再起動制御から適用期限の設定などが行える機能。ポリシーを複数作成することにより、段階的に更新プログラムの配布を行うことが可能。 ※ 段階的に展開することで、ネットワーク帯域をおさえて配布することが可能ですが、Windows 機能に組み込まれている “配信の最適化” でもネットワーク帯域がデフォルトで節約されます。詳細は、最後に記載している “ネットワーク帯域最適化” をご参考ください。 |
機能更新プログラムポリシー (バージョン固定) | 機能更新プログラムをバージョン指定でアップグレードおよびバージョン維持できる機能。 |
品質更新プログラムポリシー (配信の迅速化) | 緊急で品質更新プログラムの配布が必要になった場合などの品質更新プログラム配布促進機能。 (更新リングで遅延配布している日数よりも早く品質更新プログラムを配布したい場合など) ※ 機能更新プログラムポリシーとは用途が異なるため注意 |
Windows ドライバー更新管理 | 端末のメーカードライバーなどの更新プログラムを手動または自動承認で配布できる機能。 |
Windows Autopatch | 上記 4 つの更新管理機能や Microsoft 365 Apps、Edge などのアップデート関連ポリシーを自動作成してくれたり、各端末のポリシー自動割り当て、機能更新プログラムの高機能展開、強化されたレポート、更新リングの展開スケジュール事前通知機能など ※ 個人的にレポートや展開スケジュールの通知が好きです |
各機能ごとに必要な前提条件 (ライセンスや Entra ID 登録形式など) は以下となります。
機能 | ライセンス | Entra ID 登録形式 | エディション |
---|---|---|---|
・更新リング | ・Intune Plan 1 | 条件なし | Pro / Enterprise / Education |
・機能更新プログラムポリシー (ポリシー作成 / バージョン指定 / 一部ロールアウト機能 / レポート機能) | ・Intune Plan 1 | Entra Join または Entra Hybrid Join | Pro / Enterprise / Education |
・機能更新プログラムポリシー (段階的ロールアウト機能 / オプションダウンロード機能) ・品質更新プログラムポリシー ・Windows ドライバー更新管理 ・リリース状況管理機能 | Intune Plan 1 に加え、以下のいずれかのライセンスが必要 ・Microsoft 365 Business Premium ・Windows 10 / 11 Enterprise E3・E5 (Microsoft 365 F3 ・E3・E5 に含まれる) ・Windows 10 / 11 Education A3・A5 (Microsoft 365 A3・A5 に含まれる) ・Windows Virtual Desktop Access E3・E5 | Entra Join または Entra Hybrid Join | Pro / Enterprise / Education |
・Windows Autopatch (フル機能) | Intune Plan 1、Microsoft Entra ID P1・P2 に加え、以下のいずれかのライセンスが必要 ・Windows 10 / 11 Enterprise E3・E5 (Microsoft 365 F3 / E3 / E5 に含まれる) ・Windows Virtual Desktop Access E3・E5 | Entra Join または Entra Hybrid Join | Pro / Enterprise |
上記の機能更新プログラムポリシー、品質更新プログラムポリシー、Windows ドライバー更新管理は Windows Update for Business 展開サービス (WUfB-DS) と呼ばれていましたが、当該サービスたちは Windows Autopatch に統合されました。ライセンスによって利用できる機能が異なるため、Windows Autopatch の詳細を把握したい場合は以下のドキュメントをご参照ください。
https://learn.microsoft.com/ja-jp/windows/deployment/windows-autopatch/overview/windows-autopatch-overview?tabs=business-premium-a3-communications
9 月に、Windows Update for Business 展開サービスが Windows Autopatch の下に統合されました。
次は、各機能の詳細について説明します。
更新リング
更新リングでは、更新プログラムの配信・インストール・再起動タイミングやリングごとに配布を止める停止・延期機能などがあります。そのため、ポリシーを複数に分けることで段階的な配布が可能で、パイロットやシステム部門などの先行グループで更新プログラムを適用してだめだった場合は、後半グループの配信を一時止めるなどの措置を講ずることができます。
WSUS での運用も先行グループで事前確認して、問題なければ段階的に承認配信とされていた方も多いのではないかと思いますが、Intune では自動配信して、何かあったら後半の配信を止めるという運用になります。
更新リングポリシー作成
更新リングは、Intune 管理センターの [デバイス] > [Windows の更新プログラム] > [更新リング] タブ > [プロファイルの作成] から作成していきます。
更新リングのポリシーで主に設定する部分は [更新リングの設定] タブになります。こちらの設定について、以下の表にまとめています。
項目 | 説明 |
---|---|
Microsoft 製品の更新プログラム | MSI インストーラーを使用してインストールされる Officeなどの更新プログラム配信許可・ブロックの設定。 (クイックインストーラーでインストールされる Microsoft 365 Apps および Office 2021(LTSC 含む)以降は対象外) |
Windows ドライバー | Windows ドライバーの更新プログラム配信許可・ブロックの設定。 ※ “Windows ドライバー更新管理” を利用する場合は、この機能を許可にする必要があります |
品質更新プログラムの延期期間 (日数) | Microsoft から品質更新プログラムが公開されてから、端末に配信するまでの遅延日数設定。 |
機能更新プログラムの延期期間 (日数) | Microsoft から機能更新プログラムが公開されてから、端末に配信するまでの遅延日数設定。 ※ “機能更新プログラムポリシー” を利用する場合は、この指定値は “0” が推奨されます |
Windows 10 デバイスを最新の Windows 11 リリースにアップグレードする | Windows 10 端末を Windows 11 へアップグレードするかどうかの構成。 |
機能更新プログラムのアンインストール期間 (2 から 60 日間) の設定 | 機能更新プログラムのロールバックできる期間を設定 (= 戻せる古い Windows システム データの保存期間) |
プレリリース チャネルの選択 | 開発者など早期リリースを適用したい場合は、以下のチャンネルの選択が可能 ・Windows Insider – リリース プレビュー ・ベータ チャンネル ・Dev シャネル |
自動更新の動作 | ・ダウンロードを通知する 更新プログラムをダウンロードする前にユーザーに通知。ユーザーが操作を行わなかった場合は、設定した期限に達するまで更新プログラムはインストールされません。 ・メンテナンス時に自動的にインストールする 端末が利用されていない自動メンテナンス中に更新プログラムが自動的にダウンロードおよびインストールされます。再起動が必要な場合は、再起動期限まで再起動を求めるプロンプトが表示され、その後強制的に再起動されます。 アクティブ時間の開始・終了時間を指定できます。 ※ アクティブ時間は、自動再起動をブロックできる時間帯になります ・メンテナンス時に自動的にインストールおよび再起動する 端末が利用されていない自動メンテナンス中に更新プログラムが自動的にダウンロードおよびインストールされます。再起動が必要な場合は、端末が使用されていないときに自動で再起動します。アクティブ時間内は自動再起動がブロックされます。 ・スケジュールした時刻に自動的にインストールおよび再起動する 指定したインストールスケジュール (曜日、時間帯など) に従ってインストールされます。指定した時間に端末が起動していない場合は、期限が来るまでは、インストールが試行されません。 ・エンドユーザーによる制御なしで自動的にインストールおよび再起動する 自動メンテナンス中に更新プログラムが自動的にダウンロードおよびインストールされます。再起動が必要な場合は、端末が使用されていないときに自動で再起動します。 ・既定値にリセット ※ おすすめ Windows はデバイスのアクティブ時間を自動的に決定します。アクティブ時間を使用して、Windows は更新プログラムをインストールする最適な時間をスケジュールし、更新プログラムのインストール後にシステムを再起動させます。 |
Windows 更新プログラムを一時停止するためのオプション | 更新プログラム適用を延期できるオプション。(更新リングでも延期できるので、管理者が想定した更新プログラム反映を行いたい場合は、極力ユーザー側で制御させないほうがよいところ) |
Windows 更新プログラムを確認するためのオプション | 更新プログラムの確認ボタンを表示するか、グレーアウトさせるかのオプション。 |
通知の更新レベルを変更する | 更新プログラム通知レベルを変更できます。 |
期限の設定を使用する | ・機能更新プログラムの期限 (2 〜 30) ユーザーがデバイスに機能更新プログラムを自動的にインストールするまでの日数を指定します。 ・品質更新プログラムの期限 (2 〜 30) 品質更新プログラムがデバイスに自動的にインストールされるまでの日数を指定します。 ・猶予期間 (0 〜 7) 再起動が自動的に実行されるまでの期限後の最小日数を指定します。 ・期限前に自動的に再起動する 期限と猶予期間が切れる前に、アクティブ時間外にデバイスが自動的に再起動するかどうかを指定します。Microsoft の推奨値は “はい” になります。これにより、ユーザーが端末を使用していないときに OS 再起動できるようになります。この値を “いいえ” に設定すると、期限と猶予期間が切れるまでシステムが待機し、その後端末が再起動されます。この再起動はアクティブ時間中に発生する可能性があります。 |
例えば、以下のように構成すると毎日起動している端末では、6 日営業日以内くらいに端末に品質更新プログラムが反映されるイメージとなります。
設定項目 | 設定値 | 動作の説明 |
---|---|---|
品質更新プログラムの延期期間 (日数) | 2 日 | Microsoft から品質更新プログラムが公開されてから、2 日後に端末に配布されます。 |
自動更新の動作 | 既定値にリセット | ユーザーの端末利用状況に応じて、自動的にアクティブ時間 (再起動ブロック時間) が設定されます。 |
期限の設定を使用する | 品質更新プログラムの期限:1 日 猶予期間:2 日 期限前に自動的に再起動する:はい | ・端末に品質更新プログラムがダウンロードされてから、端末にインストールされるまでの期限が 1 日になります。端末を利用していない (アイドル時間) 状態がない場合には自動メンテナンスで更新プログラムがインストールされないので、期限を超えるとインストールが強制されます。 ・猶予期間により、更新プログラムがインストールされてから再起動適用するまで 2 日間猶予があります。2 日をすぎると強制的に再起動されます。 ・期限前にアクティブ時間外かつ端末を利用していない場合に自動再起動されます。この設定を有効にしていない場合は、期限と猶予期間をすぎるとアクティブ時間内でも自動再起動される可能性があります。 |
再起動保留中の通知動作については、公式ドキュメントがわかりやすかったのでこちら抜粋します。なお、GPO の [自動更新と再起動の期限を指定する] ポリシーは、更新リングの [期限の設定を使用する] に一致するポリシーとなります。
更新リングの割り当てグループについては、公式ドキュメントにも書かれている通り、デバイスグループでの利用が推奨されています。また、Windows Autopatch ではデバイスグループでの管理が基本となるため、どの更新管理機能を利用することになっても良いようにデバイスグループでの利用をおすすめします。
ほとんどの場合、デバイス グループに更新リングを展開することをお勧めします。 デバイス グループの使用は 、機能更新プログラム を展開するためのガイダンスに合わせて調整され、ポリシーを適用する前にユーザーがデバイスにサインオンする必要がなくなります。
また、複数更新リングのポリシーを作成する場合は、以下のように割り当てと除外を組み合わせることで割り当ての漏れのない運用が可能です。
- 先行展開ポリシー (遅延日数:2 日)
- 割り当て
- DeviceGroup_システム管理部門
- 割り当て
- 中展開ポリシー (遅延日数:7 日)
- 割り当て
- DeviceGroup_部門別パイロットグループ
- 除外
- DeviceGroup_システム管理部門
- 割り当て
- 全社展開ポリシー (遅延日数:14 日)
- 割り当て
- すべてのデバイス
- 除外
- DeviceGroup_システム管理部門
- DeviceGroup_部門別パイロットグループ
- 割り当て
更新リング運用機能
各作成した更新リングのポリシーをクリックすると、以下の機能を利用することができます。
- 一時停止:最大 35 日間、品質・機能更新プログラムの配信を停止
- 再開:”一時停止” でとめた配信を再開
- 延長:”一時停止” の停止日数を 35 日間延期にリセット
- アンインストール:品質・機能更新プログラムをアンインストールする機能
更新リングレポート
ポリシーの割り当ての適用状態については、[モニター] タブからの確認が可能です。
Windows 端末のアップデート状況を確認するには、[レポート] > [Windows の更新プログラム] > [Windows Update 配布レポート] をクリックして、スコープタグを選択 (何もやってなければ Default を選択) して [生成または再生成] ボタンをクリックします。
以下のように品質更新プログラムの適用状況が確認できます。
以前は、更新リングごとに品質更新プログラムの適用状況を確認できる画面 (以下の画面) があったのですが、現在は削除されており、更新リングごとに展開状況を確認したい場合は、Windows Autopatch のレポートを利用する必要があります。
機能更新プログラムのレポートに関しては、端末のインベントリ ([デバイス] > [Windows] > [Windows デバイス]) に表示されている OS バージョンから判断する方法になります。
Windows Update for Business 展開サービスを利用できるライセンスを持っており、機能更新プログラムポリシーで制御している場合には、Windows 機能更新プログラム レポートが利用できます。
その他の Intune とは別のソリューションで Windows Update for Business レポート (Azure サブスクリプションが必要) というものがあるのですが、こちらは私が試した限り Intune で標準で搭載されているレポート機能と比べると反映が遅かったり、端末名が重複して見づらかったりなど運用に利用するにはちょっと難しい印象でした。
Windows Update for Business 展開サービス共通設定
機能更新プログラムポリシー、品質更新プログラムポリシー、Windows ドライバー更新管理機能では、以下の機能を利用するのに端末に対するテレメトリの許可設定とテナントに対するWindows データを必要とする設定を有効にする必要があります。
- Windows 機能更新プログラムデバイスの準備レポート
- Windows 機能更新プログラムの互換性リスク レポート
- Windows ドライバーの更新レポート
- Windows 機能更新プログラム レポート
- Windows の迅速な更新レポート
- アラートを含むドライバー更新ポリシー / Windows ドライバー更新プログラムの失敗
- アラートを使用した迅速な品質更新ポリシー/ Windows の迅速な更新エラー
- アラートを含む機能更新ポリシー/ 機能更新プログラムの失敗
端末に対するテレメトリの許可設定:
次のいずれかの構成プロファイルを使用して、Windows 端末のテレメトリを構成できます。
- テンプレート:[デバイス] > [Windows] > [構成] > [作成] > [テンプレート] > [デバイスの制限] > [レポートとテレメトリ] の [使用状況データの共有] を [必須] に設定します。 ※ [拡張] (1903 以前) または [省略可能] もサポートされています。
- 設定カタログ:[デバイス] > [Windows] > [構成] > [作成] > [設定カタログ] > [システム] カテゴリから [テレメトリを許可する] を追加し、[Basic] に設定します。 ※ [フル] もサポートされています。
Windows Autopatch を利用する場合は、”Windows Autopatch – Data Collection” というポリシーが自動的に作成され、本設定が含まれているため、Windows Autopatch で端末を登録する場合は構成プロファイルの作成は不要です。
また、Windows Update for Business 展開サービスの一部を利用するに当たり、以前はデータ収集の構成ポリシーで Windows Update の項目を指定して配布する必要がありました。しかし、現在はデータ収集ポリシーから Windows Update の項目を新たに指定できなくなっており、公式ドキュメントからも当該手順が削除され、構成自体必要なくなっています。
品質更新プログラムポリシーのドキュメント変更履歴 (2024/04/13):
テナントに対するWindows データを必要とする設定:
以下の設定を有効にします。
- [テナント管理] > [コネクタとトークン] > [Windows データ]
- プロセッサ構成で Windows 診断データが必要な機能を有効にする:オン ※ [保存] ボタンをクリック
さらに Windows Update アプリとドライバーの互換性レポート を使う予定がある場合には上記の設定に加えて以下の機能を有効にします。
Windows ライセンスの検証:
この機能は Windows 10 / 11 Enterprise E3・E5、Education A3・A5、Windows Virtual Desktop Access E3・E5 のいずれかを持っている場合に利用できます。
- [テナント管理] > [コネクタとトークン] > [Windows データ] > [Windows ライセンスの検証]
- 自分のテナントがこれらのライセンスのいずれかを所有していることを確認しました:オン ※ [保存] ボタンをクリック
機能更新プログラムポリシー
機能更新プログラムポリシーは、ポリシーで指定したバージョンで端末の機能更新プログラムを更新および維持することができます。
機能更新プログラムポリシー作成
[デバイス] > [Windows の更新プログラム] > [機能更新プログラム] タブ > [プロファイルの作成] から作成していきます。
※ 更新リングで “機能更新プログラムの遅延日数” を設定している場合は “0” になっていることを確認してください。
- 展開する機能更新プログラム:固定したい機能更新プログラムのバージョンを選択
- 必要な更新プログラムとしてユーザーが使用できるようにする:機能更新プログラムを自動的にインストールします。
- オプションの更新プログラムとして ユーザーが利用できるようにする:オプションの機能更新プログラムとしてユーザーが適用できるようにします。
- デバイスが Windows 11 の実行対象ではない場合は、最新の Windows 10 機能更新プログラムをインストールしてください:チェックを入れた場合は、Windows 11 の要件を満たしていない端末は、代わりに最新の Windows 10 機能更新プログラムを取得します。
- ロールアウト オプション:展開のタイミングを指定します。徐々に展開するオプションを選択した場合は、指定期間とグループ間の日数により自動算出で展開されます。詳細については、こちらの公式ドキュメントをご参考ください。
※ Intune ライセンスのみで利用できる機能は以下となります。それ以外の部分は追加ライセンス (冒頭の方に記載) が必要なります
・展開する機能更新プログラム
・必要なオプションの更新プログラムとしてユーザーが利用できるようにする
・特定の日に更新プログラムを利用可能にする
なお、ポリシーの割り当ては、更新リング同様デバイスグループでの割り当てが推奨されます。
機能更新プログラムポリシーレポート
[レポート] > [Windows の更新プログラム] > [概要] タブから “最新の情報に更新” をクリックすると機能更新プログラムポリシーごとの展開状況の概要が確認できます。
さらに [レポート] > [Windows の更新プログラム] > [レポート] タブ > [Windows 機能更新プログラム レポート] から機能更新プログラムポリシーを指定して [生成または再生成] ボタンをクリックすると機能更新プログラムポリシーで展開した端末の更新状況が確認できます。
[レポート] > [Windows の更新プログラム] > [レポート] タブ > [Windows 機能更新プログラムのデバイス 準備レポート] からターゲットの OS バージョンを指定して [生成または再生成] ボタンをクリックすると各端末がアップグレードする際の機能更新プログラム対応状況が確認できます。
※ 本機能は、“Windows Update for Business 展開サービス共通設定” の “Windows ライセンスの検証” の設定を有効にした場合に利用できる機能になります。
[レポート] > [Windows の更新プログラム] > [レポート] タブ > [Windows 機能更新プログラムの互換性リスク レポート] からターゲットの OS バージョンを指定して [生成または再生成] ボタンをクリックするとアプリやドライバーなどの互換性リスクや影響を受ける可能性がある端末を確認できます。
※ 本機能は、“Windows Update for Business 展開サービス共通設定” の “Windows ライセンスの検証” の設定を有効にした場合に利用できる機能になります。
品質更新プログラムポリシー
品質更新プログラムポリシーは、緊急で品質更新プログラムポリシーの配布が必要になった場合に更新プログラムの配布を迅速に行なってくれる機能になります。更新リングの遅延期間を無視して配信されるため、更新リングの設定を変更せず早期品質更新プログラムの配布が可能になります。
品質更新プログラムポリシー作成
[デバイス] > [Windows の更新プログラム] > [品質更新プログラム] タブ > [プロファイルの作成] から作成していきます。
配信する品質更新プログラムや強制再起動の待機日数などを指定します。
ポリシーの割り当てはデバイスグループでの割り当てが推奨されます。
品質更新プログラムポリシーレポート
[レポート] > [Windows の更新プログラム] > [概要] タブから Windows の優先品質更新プログラム の “最新の情報に更新” をクリックすると品質更新プログラムポリシーごとの展開状況の概要が確認できます。
さらに [レポート] > [Windows の更新プログラム] > [レポート] タブ > [Windows の優先更新レポート] から品質更新プログラムポリシーを指定して [生成または再生成] ボタンをクリックすると品質更新プログラムポリシーで展開した端末の更新状況が確認できます。
Windows ドライバー更新管理
Windows ドライバー更新管理は、Windows 端末の OEM ドライバーを Windows Update for Business 経由で手動または自動承認でインストールすることができます。更新リングと同様、複数ポリシーを作成することで段階的な配布も可能です。
自分が利用している端末のドライバーが Windows Update for Business 経由で配布されているかどうかは OEM 次第になるため、配布に対応しているかどうかは Microsoft Update カタログ検索で確認できます。
Windows ドライバー更新管理ポリシー作成
[デバイス] > [Windows の更新プログラム] > [ドライバー更新プログラム] タブ > [プロファイルの作成] から作成していきます。
ドライバーの承認メソッドでは、手動承認と自動承認の 2 つから選択できます。
ポリシー作成してから時間が経過すると (最大 24 時間) 端末に必要な推奨ドライバーなどが表示されます。自動承認の場合は、以下のようにステータスが “承認済み” となります。
オプションドライバーや手動承認の場合は、展開に必要なドライバーを選択して、”承認する” を選択して保存します。
Windows ドライバー更新管理レポート
[レポート] > [Windows の更新プログラム] > [概要] タブから Windows ドライバーの更新プログラム の “最新の情報に更新” をクリックすると Windows ドライバー更新管理ポリシーごとの展開状況の概要が確認できます。
さらに [レポート] > [Windows の更新プログラム] > [レポート] タブ > [Windows ドライバー更新プログラム レポート] から品質更新プログラムポリシーを指定して [生成または再生成] ボタンをクリックすると Windows ドライバー更新管理ポリシーで展開した端末の更新状況が確認できます。
Windows Autopatch
Windows Autopatch は、Windows 更新プログラムや Microsoft 365 Apps、Edge、Teams といった更新プログラムを自動化するクラウド サービスになります。Windows Autopatch の詳細な使い方については、別途ブログでご紹介する予定ですが、ここではざっくりこんなことができるよポイントで紹介します。
各ポリシーやグループの自動作成・自動割り当て
Windows Autopatch をデプロイすると更新リングや機能更新プログラム、Windows ドライバー更新管理、Microsoft 365 Apps、Edge などのポリシーが自動で作成され、各リングのレベルに対応する Windows Autopatch 用の Entra デバイスグループも自動作成・自動割り当てされます。
登録デバイス自動割り当て機能
Windows Autopach の登録用デバイスグループにデバイスやデバイグループをメンバーに追加すると Windows Autopatch に登録され、あらかじめ設定された割り合いに応じて所属するリングが自動で振り分けられます。このリングが各ポリシーのグループに割り当てられています。
割合に応じて展開リングが割り当てれる。
品質更新プログラムのサービスレベル目標 95 %
Windows Autopatch は、対象となる端末で少なくとも 95% を、リリースから 21 日後に最新の Windows 品質更新プログラムに保持することを目指しています。期限主導型では、迅速にインストールされるよう更新リングが構成されます。
更新リングの管理エクスペリエンス
各更新リングポリシーの統一管理。
機能更新プログラム展開機能
複数機能更新プログラムポリシーのアップグレードスケジュール展開支援機能。
品質・機能更新プログラムレポート強化
Windows Autopatch のレポートでは、更新リングなどのポリシーごとに品質更新プログラムの適用状況が視覚的やリングごとの状況をわかりやすくレポートしてくれます。
更新リング展開予定スケジュールの事前通知
更新リングで割り当てた遅延日数に応じた更新プログラムの配信について、事前に管理者へ配布スケジュールを通知してくれます。
おまけ
ネットワーク帯域最適化
WSUS では、ネットワークの帯域を逼迫させないように BranchCache や Bits での制御が使われてきたかと思いますが、Intune でネットワーク帯域を制御するには、配信の最適化を利用します。
配信の最適化は、BranchCache や Bitsと同様にインターネットトラフィックを軽減できる機能でダウンロードした更新プログラムをローカルにキャッシュして端末同士で更新データを共有することによりインターネットからダウンロードするパケットを節約したり、ダウンロード量などをコントロールすることができます。配信の最適化は Windows Update 以外にも Microsoft 365 Apps (旧称:Office 365) や Micorsoft Store などの更新プログラムにも使用できます。
配信の最適化は、デフォルトで有効になっていますが、会社のネットワークに合わせて調整したい場合は、Intune から構成することも可能です。
また、まだプレビュー中ですがである、ローカルキャッシュサーバーのような機能を提供する Microsoft Connected Cache (Configuration Manager 不要) というのも出てきているため、GA されればこちらも一つの課題の解決策になるかもしれません。
Windows 8.1 / Windows Server 2012 R2 以前と Windows 10 / Windows Server 2016 以降の更新プログラム違い
累積でない個別更新プログラム廃止:
Windows 8.1 および Windows Server 2012 R2 以前では過去分を含む累積品質更新プログラムとセキュリティのみの更新プログラムという単体の更新プログラムが提供されていました。WSUS などではアプリケーションの動作に影響が少なくなるよう更新プログラムを選択的に適用することができていましたがとびとびで更新プログラムが適用されてしまうことで思わぬ不具合に繋がることがあったため現在は廃止されています。
Windows 10 および Windows Server 2016 以降では過去分を含む累積品質更新プログラムのみが提供されています。なので昔のように特定の KB のみを除外したとしてもそのあとの更新プログラム適用により前回のアップデート内容も包含されることになります。
そのため、医療現場や工場といった影響が大きい業務などでは、機能アップデートされない Windows 10 / 11 IoT Enterprise LTSC などの利用が検討されます。Windows 10 / 11 IoT Enterprise LTSC の詳細については、東京エレクトロンデバイス様がまとめてくださっている以下のブログが参考になるかと思います。
参考
Intune での Windows 10 以降向け更新リングのポリシー
Intune での Windows 10 以降向け機能更新プログラムのポリシー
Microsoft Intune で Windows 品質更新プログラムを迅速化する
Microsoft Intune での Windows ドライバーの更新管理
Intune による Windows 診断データの使用を有効にする
更新リングの Intune ポリシーを通じて管理できる Windows Update の設定
Windows Autopatch 前提条件
※ ブログ投稿時点では、英語と日本語に差異があるため、英語版での参照を推奨
最後に
いかがでしたでしょうか。今までやってきたコンサルや導入支援観点での内容を色々盛り込んでみましたが、少しでも参考になるところがありましたら幸いです。