Windows Update

Microsoft Intune と Intune for Education では、多くの Windows Update 構成設定を構成できます。 この記事では、学生と教師のデバイスで最も一般的に使用される構成の概要を示します。

Microsoft Intune または Intune for Education を使用して、Windows Update for Business からの Windows 10/11 ソフトウェア更新プログラムのインストールを管理します。 デバイスの更新設定を構成し、更新プログラムのインストールの延期を構成できます。 また、デバイスを安定した状態に保つために Windows の新しいバージョンの機能をインストールしないようにしつつ、そのデバイスで品質とセキュリティの更新プログラムは引き続きインストールするようにすることもできます。

Windows 10 以降の更新リング

Windows 10 および Windows 11 以降向け更新リング ポリシーは、 Windows デバイスが更新プログラムをインストールされるタイミングを構成する設定群です。

詳細については、次を参照してください。

• Intune での Windows 10 以降のポリシー用の更新リング
• 設定する必要がある Windows Update ポリシーとその理由
• YouTube: Windows Update for Business の基礎
• YouTube: Windows Update for Business の基礎 (日本語)

Settings

Update settings	Value	Notes	CSP
Microsoft の製品の更新プログラム	許可	[ブロック] に設定しないでください。 構成を元に戻すには、各デバイスで PowerShell コマンドを実行する必要があります。	AllowMUUpdateService
Windows ドライバー	許可		ExcludeWUDriversInQualityUpdate
品質更新プログラムの延期期間 (日)	7		DeferQualityUpdatesPeriodInDays
機能更新プログラムの延期期間 (日)	30	機能更新プログラム ポリシーを使用している場合は 0 を選択します。それ以外の場合は 30 日を選択します。	DeferFeatureUpdatesPeriodInDays
Windows 10 のデバイスを Windows 11 の最新リリースにアップグレードする	いいえ		ProductVersion
機能更新プログラムのアンインストール期間を設定する (2 - 60 日)	14		ConfigureFeatureUpdateUninstallPeriod
プレリリース版のビルドを有効にする	未構成		ManagePreviewBuilds

ユーザー エクスペリエンスの設定	Value	Notes	CSP
自動更新の動作	既定値にリセット	自動的にインストールして再起動します。 更新プログラムは従量制課金以外のネットワークに自動的にダウンロードされ、デバイスが使用されておらず、バッテリ電源で実行されていない場合は、"自動メンテナンス" の間にインストールされます。 注: 設定カタログを使用して Windows Update ポリシーを構成する場合、値は自動インストールして再起動する必要があります。	AllowAutoUpdate
再起動チェック (EDU 再起動)	許可	既存の Windows 更新リングで無効にすることはできません。 この設定は、新しい Windows 更新リング ポリシーを作成するときに使用できなくなりました。	SetEDURestart
Windows の更新プログラムを一時停止するオプション	無効		SetDisablePauseUXAccess
Windows の更新プログラムを確認するオプション	無効		SetDisableUXWUAccess
Update 通知レベルを変更する	再起動の警告を除くすべての通知をオフにする		UpdateNotificationLevel
期限設定を使用する	許可	設定の構成のみを有効にします。
機能更新プログラムの期限	7		ConfigureDeadlineForFeatureUpdates
品質更新プログラムの期限	3		ConfigureDeadlineForQualityUpdates
猶予期間	2		ConfigureDeadlineGracePeriod ConfigureDeadlineGracePeriodForFeatureUpdates
期限前に自動的に再起動する	はい		ConfigureDeadlineNoAutoReboot

Graph エクスプローラーを使用してポリシーを作成する

Graph を使って、割り当てやスコープ タグなしでテナントに設定カタログ ポリシーを作成します。

これにより、テナントに _MSLearn_Example_CommonEDU - Windows - Update ring という名前のポリシーが作成されます。

POST https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations
Content-Type: application/json

{"@odata.type":"#microsoft.graph.windowsUpdateForBusinessConfiguration","id":"","displayName":"_MSLearn_Example_CommonEDU - Windows - Update ring","description":"https://aka.ms/ManageEduDevices","roleScopeTagIds":["0"],"microsoftUpdateServiceAllowed":true,"driversExcluded":false,"qualityUpdatesDeferralPeriodInDays":7,"featureUpdatesDeferralPeriodInDays":30,"allowWindows11Upgrade":false,"qualityUpdatesPaused":false,"featureUpdatesPaused":false,"businessReadyUpdatesOnly":"userDefined","skipChecksBeforeRestart":false,"automaticUpdateMode":"windowsDefault","installationSchedule":null,"userPauseAccess":"disabled","userWindowsUpdateScanAccess":"disabled","updateNotificationLevel":"restartWarningsOnly","updateWeeks":null,"featureUpdatesRollbackWindowInDays":14,"deadlineForFeatureUpdatesInDays":7,"deadlineForQualityUpdatesInDays":3,"deadlineGracePeriodInDays":2,"postponeRebootUntilAfterDeadline":false,"engagedRestartDeadlineInDays":null,"engagedRestartSnoozeScheduleInDays":null,"engagedRestartTransitionScheduleInDays":null,"engagedRestartSnoozeScheduleForFeatureUpdatesInDays":null,"engagedRestartTransitionScheduleForFeatureUpdatesInDays":null,"autoRestartNotificationDismissal":"notConfigured","scheduleRestartWarningInHours":null,"scheduleImminentRestartWarningInMinutes":null}

1. [試す] をクリックして Graph エクスプローラーを開きます。
2. Graph Explorer が開いたら、右上にある ユーザー アイコンを選択して、Intune 管理者の組織アカウントでサインインします。
3. クエリの実行 をクリックして、テナントにポリシーを作成します。

   ヒント

   Graph エクスプローラーを初めて使用する場合は、テナントへのアクセスまたは既存のアクセス許可の変更を、アプリケーションに承認することが必要な場合があります。 このグラフ呼び出しには、DeviceManagementConfiguration.ReadWrite.All アクセス許可が必要です。 必要なアクセス許可は、[アクセス許可の変更] を選択した後に [同意] を選択することで付与できます。

4. ポリシーはテナントに作成され、グループに割り当てる前に、要件を満たすための編集が行えます。

設定カタログ

このセクションで説明する設定は、更新リング ポリシーでは使用できないため、設定カタログの種類の構成プロファイルを使用して構成する必要があります。

詳細については、「設定カタログを使用して、Windows、iOS/iPadOS、および macOS デバイスで設定を構成する」を参照してください。

ヒント

Microsoft Intune 管理センターで設定カタログ プロファイルを作成するときに、この記事からポリシー名をコピーし、設定ピッカーの検索フィールドに貼り付けて、目的のポリシーを見つけることができます。

Settings

[カテゴリ]	名前	Value	Notes	CSP
Windows ビジネス向け更新プログラム	No update notifications during active hours	有効		NoUpdateNotificationsDuringActiveHours

Graph エクスプローラーを使用してポリシーを作成する

Graph を使って、割り当てやスコープ タグなしでテナントに設定カタログ ポリシーを作成します。

これにより、テナントに _MSLearn_Example_CommonEDU - Windows - Updates という名前のポリシーが作成されます。

POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json

{"name":"_MSLearn_Example_CommonEDU - Windows - Updates","description":"https://aka.ms/ManageEduDevices","platforms":"windows10","technologies":"mdm","roleScopeTagIds":["0"],"settings":[{"@odata.type":"#microsoft.graph.deviceManagementConfigurationSetting","settingInstance":{"@odata.type":"#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance","settingDefinitionId":"device_vendor_msft_policy_config_update_noupdatenotificationsduringactivehours","choiceSettingValue":{"@odata.type":"#microsoft.graph.deviceManagementConfigurationChoiceSettingValue","value":"device_vendor_msft_policy_config_update_noupdatenotificationsduringactivehours_1","children":[]}}}]}

1. [試す] をクリックして Graph エクスプローラーを開きます。
2. Graph Explorer が開いたら、右上にある ユーザー アイコンを選択して、Intune 管理者の組織アカウントでサインインします。
3. クエリの実行 をクリックして、テナントにポリシーを作成します。

   ヒント

   Graph エクスプローラーを初めて使用する場合は、テナントへのアクセスまたは既存のアクセス許可の変更を、アプリケーションに承認することが必要な場合があります。 このグラフ呼び出しには、DeviceManagementConfiguration.ReadWrite.All アクセス許可が必要です。 必要なアクセス許可は、[アクセス許可の変更] を選択した後に [同意] を選択することで付与できます。

4. ポリシーはテナントに作成され、グループに割り当てる前に、要件を満たすための編集が行えます。

Windows Update の機能コントロール

Windows 機能の更新プログラムには、ユーザー エクスペリエンスを向上させるための新しい Windows 機能が含まれています。 Windows 機能のバージョンは、エディションによって異なります。 インストールされている Windows のバージョンが引き続きサポートされていることを確認して、最新のセキュリティ更新プログラムを受け取り、アプリのテストなどに必要なアプリケーションをサポートできるようにすることが重要です。

Windows オペレーティング システムのバージョンとエディションごとに、サポート ライフサイクル Web サイトを使用します:

• Windows 10 Home、Pro、Pro Education;
• Windows 10 Enterprise および Education;
• Windows 11 Home、Pro、Pro Education;
• Windows 11 Enterprise および Education。

Windows 機能更新プログラムを Windows にインストールする方法とタイミングを制御するには 2 つの方法があります。

機能の更新コントロールの種類	構成	メリット	欠点
自動的に最新の状態に保つ (推奨)	更新リング ポリシーのみを使用し、機能更新プログラムの延期を 30 日以上に設定する	デバイスは常に最新の状態に保たれ、最新の Windows 機能へのアクセスを受け取ります	ユーザーは新機能に関するトレーニングを受けていなかった可能性があり、一部のアプリは新しい機能バージョンと互換性がない可能性があります
機能更新のバージョンを管理する	機能更新プログラム ポリシーを使用して、デバイスを特定バージョンの Windows に保持する	ポリシーが変更されるまで、デバイスは特定の Windows バージョンで保持されます	Windows が引き続きサポートされるように、ポリシーを定期的に確認して変更する必要があります

Windows を自動的に最新の状態に保つ

前に構成した更新リングを使用して、機能更新プログラムの延期期間 (日) を 30 日に 設定します。 延期期間は、学校のニーズに基づいて増減できます。

機能更新のバージョンを管理する

機能更新プログラム ポリシーは、デバイスを特定のバージョンの Windows に設定するように構成できます。 古いバージョンの Windows を実行しているデバイスは、指定されたバージョンに更新されます。 新しいバージョンの Windows を搭載したデバイスでは、機能更新プログラムは実行されません。

機能更新プログラム ポリシーを設定するには:

1. Microsoft Intune 管理センターにサインインします。
2. [デバイス>By platform>Windows>Manage updates>Windows 10 以降の更新プログラム>[Feature updates] タブ > [プロファイルの作成] を選択します。
3. [展開 の設定] で、次の手順を実行します。
   • 名前と説明 (省略可能) を指定し、[展開する機能更新プログラム] については目的の機能セットを含む Windows のバージョンを選択してから、[次へ] を選択します。
   • ロールアウト オプションをできるだけ早く構成します。
4. [割り当て] で、[+ 含めるグループの選択] を選択し、機能更新プログラムのデプロイを 1 つ以上のデバイス グループに割り当てます。 [次へ] を選んで続行します。
5. [レビュー + 作成] で、設定を確認します。 機能更新プログラム ポリシーを保存する準備ができたら、[作成] を選択します。

警告

少なくとも 18 か月ごとに機能更新プログラムのバージョンを確認しないと、Windows デバイスでセキュリティ更新プログラムが受信されなくなる可能性があります。 サポートを維持するには、機能のバージョンを確認して更新してください。