Intune で Windows 10 および Windows 11 ソフトウェア更新プログラムを管理する
Microsoft Intuneを使用して、Windows Update for Business からのWindows 10/11 ソフトウェア更新プログラムのインストールを管理します。
Windows Update for Business を使用して、更新管理エクスペリエンスを簡略化します。 デバイスのグループに対して個々の更新プログラムを承認する必要はなく、更新プログラムのロールアウト戦略を構成することで、環境内のリスクを管理できます。 Intune を使用すると、デバイスの更新設定を構成 し、更新プログラムのインストールの延期を構成できます。 また、デバイスを安定した状態に保つために Windows の新しいバージョンの機能をインストールしないようにしつつ、そのデバイスで品質とセキュリティの更新プログラムは引き続きインストールするようにすることもできます。
Intune では更新プログラムのポリシー割り当てのみが保存され、更新プログラム自体は保存されません。 ポリシーを保存すると、Intuneは構成の詳細をWindows Updateに渡し、各デバイスに提供される更新プログラムを決定します。 デバイスは、更新プログラムのために Windows Update に直接アクセスします。
Windows の "機能" および "品質" 更新プログラムの詳細については、Windows のドキュメントを参照してください。
更新プログラムを管理するためのポリシーの種類
Intune には、デバイスのグループに割り当てる更新プログラムを管理するための次のポリシーの種類が用意されています。
Windows 10 以降の更新リング: このポリシーは、Windows 10 および Windows 11 の更新プログラムを実行するデバイスがいつインストールされるかを構成する設定のコレクションです。 更新リングのポリシーは、Windows 10 バージョン 1607 以降および Windows 11 を実行しているデバイスでサポートされています。 詳細については、「 リング ポリシーの更新」を参照してください。
Windows 10 以降の機能更新プログラム: 機能更新プログラム ポリシーは、指定した Windows バージョンにデバイスを更新し、それらのデバイスの機能セットのバージョンを固定します。 このバージョンの凍結は、それ以降のバージョンの Windows に更新することを選択するまで、そのまま維持されます。 機能バージョンは固定されたままですが、デバイスでは引き続き、その機能バージョンで利用可能な品質更新プログラムおよびセキュリティ更新プログラムをインストールできます。
機能更新プログラムのポリシーを使用して、Windows 10 を実行しているデバイスを Windows 11 にアップグレードすることもできます。
Windows 10以降の品質更新プログラム: Windows 10 以降の品質更新プログラム (迅速更新プログラムとも呼ばれます) を使用すると、Microsoft Intuneで管理するデバイスに最新のWindows 10とWindows 11セキュリティ更新プログラムを迅速にインストールできます。 迅速なインストールは、既存の月次サービス ポリシーを一時停止または編集する必要なく実現されます。 詳細については、「 更新プログラムの迅速化ポリシー」を参照してください。
Windows 10以降のドライバー更新プログラム: Microsoft Intuneの Windows ドライバー更新プログラム管理を使用すると、管理対象のWindows 10とWindows 11 デバイスのドライバー更新プログラムの展開を確認、承認、一時停止できます。 ポリシーでは、最新の推奨ドライバーを自動的にインストールするか、管理者がドライバーを手動で承認してからインストールします。 Intuneと Windows Update for Business (WUfB) 展開サービス (DS) は、ドライバー更新プログラム ポリシーが割り当てられているデバイスに適用されるドライバーの更新プログラムを特定するために、負荷の高い作業を行います。 詳細については、「 ドライバーの更新ポリシー」を参照してください。
Workplace 参加済みデバイスのポリシーの制限事項
Microsoft は、Windows Update for Business 製品ファミリの一部としてクラウド サービスを導入しました。Windows Update for Business デプロイ サービス (WUfB ds)。 WUfB ds はクラウド サービスとして、デバイスにMicrosoft Entra登録 (AADJ デバイス) を必要とするデバイス更新機能をサポートしています。 これらの機能は、Workplace Join (WPJ) デバイスではサポートされていません。 WPJ デバイスの Windows 更新プログラム管理は、コア Windows Update for Business (WUfB) 機能と、Windows 10 以降のポリシーの種類のIntune更新リングを通じて引き続きサポートされます。
Windows Updatesの次のIntuneポリシーの種類では WUfB ds を使用します。これにより、WPJ デバイスでのサポートが妨げられます。
- Windows 10 以降のドライバー Updates
- Windows 10以降の機能Updates
- Windows 10以降の品質Updates
Intuneで WPJ デバイスをサポートする場合、WPJ デバイスと AADJ デバイスの両方について、ポリシーの種類に基づく機能の違いを理解するのに役立ちます。
機能 | 更新リング ポリシーを使用した WUfB |
ドライバー、機能、品質の更新ポリシーを使用した WUfB-ds |
---|---|---|
WPJ デバイスのサポート | はい | いいえ |
AADJ デバイスのサポート | はい | はい |
Updatesと再起動のスケジュールをスキャンする | はい | Update Ring ポリシーを使用してスケジュールを管理する |
更新期限を適用する | はい | 更新リング ポリシーを使用して期限を適用する |
インストールする更新プログラムを制御する |
機能: [はい] - 指定した日数で すべての 機能更新プログラムを延期します Quality: はい - 指定した日によって すべての 品質更新プログラムを延期します Drivers: はい - Allow または Block all Recommended drivers - その他の ドライバーのサポートなし |
機能: はい - 個々 の更新プログラムを管理する - 開始日 または 段階的ロールアウト の開始日と終了日を指定します。 品質: Update Ring ポリシー Drivers: はい - 個々の 推奨ドライバー とその 他の ドライバーを管理します。 |
Updatesを一時停止する |
機能: - すべての更新プログラムを一時停止する Quality: - すべての更新プログラムを一時停止 ドライバー: - すべての更新プログラムをブロックする |
機能: - 個々の更新プログラムを一時停止する Quality: - 個々の更新プログラムを一時停止する Drivers: - 個々の更新プログラムを一時停止する |
品質更新プログラムの迅速化 | いいえ | はい |
レポート - デバイスの概要の数: - 機能更新プログラム - 品質更新プログラム |
WUfB レポート | WUfB レポート |
レポート – 詳細な状態: - 更新ごとに |
WUfB レポート | はい(Intune) |
更新リングの延期から機能更新プログラムのポリシーへの移行
Intune を使用して Windows の更新プログラムを管理する場合は、更新プログラムの延期を伴う "更新リング" のポリシーと "機能更新プログラム" のポリシーの両方を使用して、デバイスにインストールする更新プログラムを管理することができます。 機能更新プログラムを使用する場合は、更新リングのポリシーで構成されている延期の使用を止めることをお勧めします。 更新リングの延期と機能更新プログラムのポリシーを組み合わせると、更新プログラムのインストールを遅らせる可能性のある複雑さが生じる可能性があります。 機能更新プログラムのポリシーと組み合わせても問題が発生しないため、更新リングのユーザー エクスペリエンス設定を引き続き使用できます。
デバイスにインストールできる更新プログラムを制御するために両方のポリシーの種類を使用することを禁止するものはありませんが、通常はそうすることに利点はありません。 両方のポリシーの種類がデバイスに適用される場合は、適用可能な更新プログラムが提供される前に、デバイスで両方のポリシーの種類の条件が満たされている (true である) 必要があります。 このシナリオでは、ポリシーの種類のいずれかによるブロックが原因で、更新プログラムが期待どおりにインストールされない可能性があります。
移行の計画
更新リングの延期の使用から機能更新プログラムへの変更を管理して、Windows Update サービスで必要な更新プログラムを展開する準備ができるようにする計画を立てます。
Windows 更新プログラム用の Intune ポリシーが作成または変更されると、Intune でポリシーの詳細が Windows Update に渡され、その後、1 つまたは複数の更新ポリシーが割り当てられているデバイスごとに適用可能な更新プログラムが決定されます。
デバイスの更新プログラムを評価するプロセスは完了するまでに最大 10 分かかる場合があり、場合によってはもう少し時間がかかることがあります。
デバイスで延期を 0 に設定したり削除したりした後であっても、Windows Update で機能更新プログラムのポリシーの処理を完了する前にデバイスで更新プログラムのスキャンを開始した場合は、そのデバイスにインストールする予定がなかった更新プログラムを提供できます。
延期が削除される前に Windows Update で機能更新プログラムのポリシーが処理されたことを確認するには、次の手順を使用します。
機能更新プログラムのポリシーへの切り替え
Microsoft Intune管理センターで、目的の Windows バージョンを構成する機能更新プログラム ポリシーを作成し、該当するデバイスに割り当てます。
保存したポリシーがデバイスに割り当てられてから Windows Update でポリシーが処理されるまでに数分かかります。
機能更新ポリシーのWindows 10機能更新プログラム (組織) レポートを表示し、続行する前にデバイスに OfferReady の状態があることを確認します。 すべてのデバイスで OfferReady が表示されたら、Windows Update でポリシーの処理が完了しています。
デバイスが OfferReady 状態であることが確認されたら、その同じデバイスセットに対して、Windows 10以降の更新リング ポリシーを安全に再構成して、機能更新プログラムの遅延期間 (日数) の設定を 0 に変更できます。
更新プログラムのレポート
更新リング ポリシーと Windows 機能更新プログラム ポリシーのレポート オプションについては、「 Windows Update レポート」を参照してください。
次の手順
- Windows 更新リングを使用する
- Windows 機能更新プログラムを使用する
- 品質更新プログラムを迅速化する
- Windows ドライバー更新プログラム ポリシーを使用する
- 詳細については、Windows ドキュメントのWindows Update for Business を使った更新プログラムの管理に関するページを参照してください。