Windows Autopatch グループ
重要
この記事またはセクションの情報は、Windows Enterprise E3+ または F3 ライセンス (Microsoft 365 F3、E3、または E5 に含まれる) ライセンスがあり、Windows Autopatch 機能をアクティブ化している場合にのみ適用されます。
機能のアクティブ化はオプションであり、Windows 10/11 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれる) ライセンスがある場合は追加料金なしで利用できます。
詳細については、「 ライセンスと権利」を参照してください。 機能のアクティブ化を行わない場合でも、 Business Premium および A3+ ライセンスに含まれる機能に対して Windows Autopatch サービスを使用できます。
組織は、Microsoft が更新プロセスを代理で管理するマネージド サービス モデルに移行する際に、組織構造を適切に表現し、その後に独自の展開の間隔を持つことに挑戦されます。 Windows Autopatch グループは、組織が、追加コストや計画外の中断なしで、ビジネスにとって意味のある方法で更新プログラムを管理するのに役立ちます。
Windows Autopatch グループとは
Autopatch グループは、複数のMicrosoft Entra グループとソフトウェア更新ポリシー (Windows 10 以降の更新リング ポリシー、Windows 10 以降のポリシーの機能更新など) をグループ化する論理コンテナーまたはユニットです。
自動パッチ グループは、organizationの構造をより正確に表現する必要がある組織と、サービス内の独自の更新プログラムの展開頻度を支援することを目的としています。
既定では、Autopatch グループには、テストと最後のデプロイ リングが自動的に存在します。 詳細については、「 テストと最後のデプロイ リング」を参照してください。
主な利点
自動パッチ グループは、Microsoft Cloud-Managed サービスが更新管理の過程にある組織を満たすのに役立ちます。 主な利点は次のとおりです。
| メリット | 説明 |
|---|---|
| 組織構造のレプリケート | Autopatch グループを設定して、既存のデバイス ベースのMicrosoft Entra グループターゲット ロジックによって表される組織構造をレプリケートできます。 |
| 柔軟な数のデプロイを実現する | 自動パッチ グループを使用すると、organization内で動作する適切な数のデプロイ リングを柔軟に使用できます。 Autopatch グループごとに最大 15 個のデプロイ リングを設定できます。 |
| 展開リングに属するデバイスの決定 | 既存のデバイス ベースのMicrosoft Entra グループを使用し、展開リングの数を選択するだけでなく、自動パッチ グループを設定するときに、デバイス配布プロセス中に展開リングに属するデバイスを決定することもできます。 |
| デプロイの頻度の選択 | ビジネスに適したソフトウェア更新プログラムの展開間隔を選択します。 |
前提条件
自動パッチ グループの管理を開始する前に、次の前提条件を満たしていることを確認してください。
| 前提 | 詳細 |
|---|---|
| Windows Autopatch グループの概要に関するドキュメントを確認する | organization内で Autopatch グループを使用する主な利点と一般的な方法について理解します。 |
| Windows Autopatch テナントでアプリのみの認証が有効になっていることを確認します。 それ以外の場合、自動パッチ グループの機能が正しく機能しません。 Autopatch では、アプリのみの認証を使用して、次の手順を実行します。 |
|
| この機能を使用する前に、Autopatch グループで使用するすべてのデバイス ベースのMicrosoft Entra グループが作成されていることを確認します。 | 既存のMicrosoft Entra グループの動的クエリを確認し、デバイス メンバーシップを次に示します。
|
| 既存のMicrosoft Entra グループで使用されているデバイスが、サービスに登録されるときにデバイス登録の前提条件チェックを満たしていることを確認する | 自動パッチ グループはユーザーの代わりにデバイスを登録し、デバイスの準備状態は、登録状態と、該当するアラートがデバイスを対象にしているかどうかを基に決定されます。 詳細については、 デバイス レポートに関するページを参照してください。 |
ヒント
Windows Autopatch によって作成および管理されるWindows 10以降のポリシーの更新リングと機能更新プログラムは、ポリシー正常性機能を使用して復元できます。 修復アクションの詳細については、「 Windows Update ポリシーの復元」を参照してください。
デバイスを Autopatch グループに登録する
自動パッチ グループを 作成 または編集すると、自動パッチ グループによってデバイスが Windows Autopatch サービスに登録されます。 詳細については、「デバイスを 自動パッチ グループに登録する」を参照してください。
アーキテクチャの概要図
Autopatch グループは、Windows Autopatch サービス内のデバイス登録マイクロ サービスの一部である関数アプリです。 次の表では、ワークフローの概要について説明します。
| ステップ | 説明 |
|---|---|
| 手順 1: 自動パッチ グループを作成する | Autopatch グループを作成します。 自動パッチ グループを 作成 または編集すると、自動パッチ グループによってデバイスが Windows Autopatch サービスに登録されます。 |
| 手順 2: Windows Autopatch で Microsoft Graph を使用してMicrosoft Entra IDとポリシーの割り当てを作成する | Windows Autopatch サービスでは、Microsoft Graph を使用して次の作成を調整します。
|
| 手順 3: ソフトウェア更新プログラム ポリシー Intune割り当てる | Microsoft Entra サービスでMicrosoft Entra グループが作成されると、Intuneを使用してこれらのグループにソフトウェア更新ポリシーを割り当て、ソフトウェア更新ポリシーを必要とするデバイスの数を Windows Update for Business (WUfB) サービスに提供します。 |
| 手順 4: ビジネス責任のWindows Update | Windows Update for Business (WUfB) は、以下を担当するサービスです。
|
自動パッチ グループの展開リング
展開リングを使用すると、Autopatch グループ内の段階的なロールアウトでソフトウェア更新プログラムの展開を順番に配信できます。
Windows Autopatch は、デバイス グループ管理のMicrosoft Entra IDおよびIntune用語に合わせて調整されます。 Autopatch グループには、次の 2 種類の展開リング グループの配布があります。
| 展開リングの配布 | 説明 |
|---|---|
| 動的 | 1 つ以上のデバイス ベースのMicrosoft Entra グループを使用できます。動的なクエリ ベースか、デプロイ リング構成で使用するように割り当てられます。 動的配布の種類で使用されるMicrosoft Entra グループを使用すると、カスタマイズできるパーセンテージ値に基づいて、複数の展開リングにデバイスを分散できます。 |
| 割り当て済み | 1 つのデバイス ベースのMicrosoft Entra グループを使用できます。動的クエリ ベースか、デプロイ リング構成で使用するように割り当てられます。 |
| 動的と割り当ての組み合わせ | 展開リングコンポジションで作業する際の柔軟性を高めるために、Autopatch グループの両方のデバイス配布タイプを組み合わせることができます。 動的および割り当てられたデバイス分散の組み合わせは、Autopatch グループのテストと最後のデプロイ リングではサポート されていません 。 |
テスト リングと最後のデプロイ リング
[テスト] と [最後のデプロイ リング] はどちらも、自動パッチ グループに自動的に存在する既定の展開リングです。 これらの既定のデプロイ リングは、Autopatch グループに必要なデプロイ リングの最小数を提供します。
Autopatch グループの作成時にデプロイ リングを追加しない場合は、テスト デプロイ リングをパイロットデプロイ リングとして使用し、Last を運用デプロイ リングとして使用できます。
重要
[テスト] と [最後のデプロイ リング] の両方を、Autopatch グループから削除したり名前を変更したりすることはできません。 自動パッチ グループでは、展開リング構成の一部として 1 つのデプロイ リングの使用はサポートされていません。段階的なロールアウトには 少なくとも 2 つの展開リング が必要であるためです。 単一のデプロイ リングで特定のシナリオを実装する必要があり、段階的なロールアウトが必要ない場合は、これらのデバイスを Autopatch グループの外部で管理することを検討してください。
ヒント
Test と Last の両方のデプロイ リングでは、一度に 1 つのMicrosoft Entra グループの割り当てがサポートされます。 複数のMicrosoft Entra グループを割り当てる必要がある場合は、テストおよび最後のデプロイ リングで使用する予定のグループの下に、他のMicrosoft Entra グループを入れ子にすることができます。 グループの入れ子Microsoft Entra 1 つのレベルのみがサポートされます。
Autopatch グループを使用する一般的な方法
オートパッチ グループを使用する場合の一般的な使用方法を次に示します。
ユース ケース #1
| シナリオ | 解決策 |
|---|---|
| あなたは Contoso Ltd で IT 管理者として働いています。organizationは、エンド ユーザーの中断のリスクを軽減するために、特定の重要な部署または部門内のソフトウェア更新プログラムの段階的なロールアウトを計画する必要があります。 | 各部署に対して自動パッチ グループを作成できます。 たとえば、財務部門の Autopatch グループを作成し、さまざまなユーザー ペルソナごとに展開リングの構成を分解したり、部門とビジネスに対して特定のユーザー グループをどの程度重要にできるかに基づいて構成できます。 Contoso の財務部門の段階的なロールアウトを視覚的に示す図を次に示します。 |
重要
Autopatch グループがセットアップされると、Windows 品質更新プログラムまたは機能更新プログラムのリリースは、展開リングを通じて順番に展開されます。
ユース ケース #2
| シナリオ | 解決策 |
|---|---|
| あなたは Contoso Ltd で IT 管理者として働いています。シカゴの支店の場所では、特定の部門内でソフトウェア更新プログラムの段階的なロールアウトを計画し、シカゴオフィスが業務の中断を経験しないようにする必要があります。 | シカゴの支店の場所に対して自動パッチ グループを作成し、ブランチの場所内の部門ごとに展開リングの構成を分解できます。 Contoso シカゴ支店の場所の段階的なロールアウトを視覚的に表した図を次に示します。 |
重要
Autopatch グループがセットアップされると、Windows 品質更新プログラムまたは機能更新プログラムのリリースは、展開リングを通じて順番に展開されます。
サポートされている構成
Autopatch グループを使用する場合は、次の構成がサポートされます。
ソフトウェア更新プログラムのワークロード
自動パッチ グループは、次のソフトウェア更新ワークロードで動作します。
- Windows 機能更新プログラム
- Windows 品質更新プログラム
- ドライバーとファームウェアの更新プログラム
- エンタープライズ向け Microsoft 365 アプリ
- Microsoft Edge
自動パッチ グループの最大数
Windows Autopatch では、テナントで最大 50 個の自動パッチ グループがサポートされます。 各 Autopatch グループでは、最大 15 個のデプロイ リングがサポートされます。
注
サポートされている自動パッチ グループの最大数 (50) に達し、さらに自動パッチ グループを作成しようとすると、[自動パッチ グループ] ブレードの [作成] オプションが灰色表示されます。
自動パッチ グループを管理するには、「 Windows Autopatch グループの管理」を参照してください。