1. システムとオフィスの融合
  2. media
  3. マイクロソフトソリューション Microsoft 365
  4. 【Windows Autopatchとは?】Microsoft Intuneを活用した最新のWindows Update管理方法について解説

QESブログ

【Windows Autopatchとは?】Microsoft Intuneを活用した最新のWindows Update管理方法について解説

マイクロソフトソリューションMicrosoft 365
エンドポイントセキュリティMicrosoft 365 AppsIntune
  • LINEで送る
  • このエントリーをはてなブックマークに追加

はじめに

組織のデバイス(Windows PC)管理において、Windows Updateの管理は主にセキュリティの面から非常に重要な要素の一つとなっています。
以前はWSUS(Windows Server Update Service)等を利用して更新プログラムを配布することが多かったですが、リモートワークやクラウドネイティブという考え方の普及に伴いWindows Updateでもクラウド上で管理することも増えてきています。

今回は、組織のデバイス管理において重要な一要素であるWindows Update管理をIntuneから行う方法について、従来の管理方式と新機能としてリリースされたWindows Autopatchを比較しながらご紹介したいと思います。

※Intuneについて知りたいという方は、ぜひ以下の記事をご覧ください。

【初心者必見】Microsoft Intune とは?できること、メリットについて解説

 

IntuneからWindows Updateを管理する方法

IntuneからWindows Updateを管理する方式として、以下の二つが存在しています。

  • 更新リングポリシー、機能更新プログラムポリシー等を利用した従来のIntuneでの更新管理
  • Windows Autopatchを利用した新しいIntuneでの更新管理


それぞれの方式について詳しく見ていきましょう。

更新リングポリシー、機能更新プログラムポリシー等を利用した従来のIntuneでの更新管理

IntuneではWindows Updateを管理するためのポリシーとして4つのポリシーが存在しており、従来の管理方式ではこれらのポリシーをIT管理者側ですべて構成・管理します。

Windows 10 以降の更新リング(更新リングポリシー)

更新プログラムの展開時期(遅延日数)や、ユーザーの再起動、通知等の設定に関するポリシーです。
必要に応じて、更新プログラム展開の一時停止やロールバック(アンインストール)を手動で実施することが可能です。
品質更新プログラムと機能更新プログラムで異なる遅延日数を設定できるため、どちらの更新プログラムも管理することが出来ますが機能更新プログラムについては次にご紹介する機能更新プログラムポリシーを利用することが推奨されています。

Windows 10以降の機能更新プログラム(機能更新プログラムポリシー)

機能更新プログラムのバージョンを指定することで、組織のデバイスのOSバージョンを指定されたバージョンに維持することが出来ます。
指定された機能更新バージョンよりも低いデバイスでは自動的に機能更新プログラムが適用されますが、運用やネットワーク負荷軽減を考慮して機能更新のタイミングを分散することも可能です。 

Windows 10以降の品質更新プログラム(品質更新プログラムポリシー)

名称では分かりにくいですが、緊急度や重要度が高いセキュリティ更新プログラムを迅速に展開するためのポリシーです。
すべての更新プログラムに対応するわけではないですが、早急に適用する必要がある更新プログラムに対して遅延設定やその他の設定を一時的にオーバーライドして組織のデバイスに迅速に展開することが出来ます。 

Windows 10以降のドライバー更新プログラム(ドライバー更新プログラム)

ドライバー更新プログラムの展開を確認、承認、一時停止することができます。
推奨される最新のドライバーを自動的にインストールするか、IT管理者がドライバーを手動で承認するまで待ってからインストールできます。

 

Windows Autopatchを利用した新しいIntuneでの更新管理

二つ目の管理方式では、Intuneの新機能であるWindows Autopatchを利用して更新プログラムの配布を自動化する方式です。
ひとつ目の方式では各種ポリシーをIT管理者側で作成・管理する必要がありましたが、Windows Autopatchを利用する場合はそれらのポリシーの管理はMicrosoft側で自動で作成してくれるため、マネージドなサービスと言えますね。 

Windows Autopatchとは?

Windows Autopatchは更新プログラムの自動化を目的としたクラウド サービスであり、Windows OSだけではなくMicrosoft 365 Apps for enterprise、Microsoft Edge、Microsoft Teamsの更新プログラムの一元管理が可能になります。
また、Windows Autopatchの新機能であるAutopatch グループが2023年からリリースされており、以前よりも柔軟な更新管理を行えるようになりました。

Windows Autopatchの概要

上述の通り、Windows AutopatchではIT管理者側でポリシーの管理を行う必要がありません。
基本的に配布のスケジュールと割り当て(更新プログラムを何回に分けて展開するか、それぞれの回に配布する対象のグループはどうするか、何日遅延して配布するのか等)に関する設定だけで更新管理を行うことが可能になります。

Windows Autopatchではこのスケジュールと割り当てについて「展開リング」と呼ばれるグループ単位で設定を行っていきます。


【簡易的なWindows Autopatchのイメージ図】

Windows Autopatchサービスによって自動で作成される既定のAutopatchグループを利用した場合の構成。
Test~Lastまでの5つの展開リングが存在しており、展開リングに所属させるデバイスや更新スケジュール(遅延日数)を設定することで、組織内のデバイスへの各種更新を段階的に行うことが可能。
※機能更新プログラムに関する設定や通知、期限設定等その他の一部の設定も管理者側で変更することも可能。


【Autopatch グループの設定画面】

管理者側での設定箇所としては展開リングの数や遅延設定がメインになる。
その他の設定として、機能更新プログラムに関する設定、通知/期限設定、後述する機能のオプトアウト設定等についても管理者側で設定が可能。
また、組織の構成に合わせて複数のAutopatchグループを作成することが出来るため、さらに柔軟な構成をとることも可能となった。

Windows AutopatchによるOS以外の更新管理設定

Windows Autopatchを利用する場合、Windows Update以外にもMicrosoft 365 Apps for enterprise、Microsoft Edge、Microsoft Teamsの更新管理を行うことが出来ます。
それぞれの製品の更新チャネルは以下のように設定が強制されます。

  • Microsoft 365 Apps for enterprise:月次エンタープライズチャネル
  • Microsoft Edge:Betaチャネル、またはStableチャネル
  • Microsoft Teams:標準チャネル

 
各製品の更新チャネルが自動で構成される点は組織によってはメリットにもデメリットにもなりそうなポイントだと思います。
一応Microsoft 365 Apps for Enterpriseに関しては設定のオプトアウトが可能になっているため、必要に応じて別のチャネルを設定することも可能になっています。

Windows Autopatchの特徴

Windows Autopatchの特徴として従来の更新ポリシーにはない機能として、以下の二つが挙げられます。

  • 更新プログラム配信後のインシデント確認及び問題発生時の一時停止を自動で実施
  • 単一のグループに所属するデバイスをさらに細かいグループに分け、自動で分散された配布が可能

 

更新プログラム配信後のインシデント確認及び問題発生時の一時停止を自動で実施

従来のIntuneの更新管理では、更新プログラム適用後の問題や重要度を管理者側で確認・監視を行い、管理者が手動で停止する必要がありました。

Windows Autopatchでは、各更新プログラムの適用後に発生したインシデント情報をMicrosoftが確認し、必要に応じて管理者への通知や更新プログラムの一時停止を自動で行います。
もちろんすべてのパターンに対して対応が可能なわけではないため、すべてをMicrosoftに任せて問題ないということではありませんが更新プログラム配布時の運用を削減することが出来るのではないでしょうか。

単一のグループに所属するデバイスをさらに細かいグループに分け、自動で分散された配布が可能

もう一つの特徴として、従来のIntune更新管理では(機能更新プログラムポリシー以外)できなかった単一グループを論理グループに分けて自動分散するといった設定が可能になります。
以前までは品質更新プログラムの配布等を細かく分散して配布する場合、遅延日数毎のポリシー・割当先グループをそれぞれ作成して管理する必要がありました。

Windows Autopatchでは、異なる遅延日数が設定された複数のポリシーに対して一つのグループを設定することが出来、それぞれのポリシーに割り当てるデバイスの台数の割合を設定することが出来るようになります。

まとめ

今回はIntuneの新機能であるWindows Autopatchによる更新管理の説明と従来の方法との違いについてご紹介させて頂きました。
QESでは、更新管理を含めたIntuneの導入支援も行っておりますので、Windows Updateやその他の製品の更新管理に問題をお持ちの方は是非お問合せ下さい。
お問合せフォーム
 

※このブログで参照されている、Microsoft、Windows、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。

  • LINEで送る
  • このエントリーをはてなブックマークに追加

お気軽にお問い合わせください。

お問い合わせフォーム
ページのトップへ