ホットパッチ更新プログラム (パブリック プレビュー)
重要
この機能はパブリック プレビュー段階です。 これは積極的に開発されており、完全ではない可能性があります。 これらは"プレビュー" ベースで利用できます。 運用環境やシナリオでこれらの機能をテストして使用し、フィードバックを提供できます。
ホットパッチ更新プログラムは、デバイスの再起動を必要とせずにインストールできる 月次 B リリースのセキュリティ更新プログラム です。 ホットパッチ更新プログラムは、ダウンタイムと中断を減らすために設計されています。 再起動の必要性を最小限に抑えることで、これらの更新プログラムはコンプライアンスの高速化に役立ち、組織はワークフローを中断せずにセキュリティを維持しやすくなります。
主な利点
- ホットパッチ更新プログラムは、インストール プロセスを合理化し、コンプライアンス効率を高めます。
- 既存の更新リング構成に変更は必要ありません。 既存のリング構成は、ホットパッチ ポリシーと共に適用されます。
- ホットパッチ品質更新レポートは、ホットパッチ更新プログラムを受け取るすべてのデバイスの現在の更新状態のポリシー レベルごとのビューを提供します。
オペレーティング システム構成の前提条件
ホットパッチ更新プログラムを受信するようにデバイスを準備するには、デバイスで次のオペレーティング システム設定を構成します。 ホットパッチ更新プログラムを提供し、すべてのホットパッチ更新プログラムを適用するには、デバイスに対してこれらの設定を構成する必要があります。
仮想化ベースのセキュリティ (VBS)
デバイスでホットパッチ更新プログラムを提供するには、VBS をオンにする必要があります。 VBS が有効かどうかを設定して検出する方法については、「 仮想化ベースのセキュリティ (VBS)」を参照してください。
Arm 64 デバイスでは、コンパイル済みのハイブリッド PE 使用率 (CHPE) を無効にする必要があります (Arm 64 CPU のみ)
この要件は、ホットパッチ更新プログラムを使用する場合にのみ Arm 64 CPU デバイスに適用されます。 ホットパッチ更新プログラムは、 %SystemRoot%\SyChpe32
フォルダーにあるサービス CHPE OS バイナリと互換性がありません。 すべてのホットパッチ更新プログラムが確実に適用されるようにするには、CHPE 無効化フラグを設定し、デバイスを再起動して CHPE の使用を無効にする必要があります。 このフラグは 1 回だけ設定する必要があります。 レジストリ設定は、更新プログラムによって適用されたままです。 CHPE を無効にするには、次のレジストリ キーを設定します。Path: **HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management**
Key 値。 **HotPatchRestrictions=1**
[!重要:] この設定は、オペレーティング システムが Arm 64 デバイス上の CHPE バイナリのエミュレーション x86 専用バイナリインセットを強制的に使用するため、必須です。 CHPE バイナリには、パフォーマンスを向上させるためのネイティブ Arm 64 コードが含まれています。CHPE バイナリを除くと、パフォーマンスや互換性に影響する可能性があります。 Arm 64 CPU ベースのデバイスでホットパッチ更新プログラムを広くロールアウトする前に、アプリケーションの互換性とパフォーマンスをテストしてください。
ホットパッチ更新プログラムを使用しなくなった場合は、CHPE ディスアスブル フラグ (HotPatchRestrictions=0
) をオフにしてから、デバイスを再起動して CHPE の使用を有効にします。
対象となるデバイス
ホットパッチ更新プログラムを利用するには、デバイスが次の前提条件を満たしている必要があります。
- オペレーティング システム: デバイスが 24H2 以降Windows 11実行されている必要があります。
- VBS (仮想化ベースのセキュリティ): ホットパッチ更新プログラムを安全にインストールするには、VBS を有効にする必要があります。
- 最新のベースライン リリース: ホットパッチ更新プログラムを適用するには、デバイスが最新のベースライン リリース バージョンである必要があります。 Microsoft は、標準の累積的な更新プログラムとしてベースライン更新プログラムを四半期ごとにリリースします。 これらのリリースの最新のスケジュールの詳細については、「 Hotpatch のリリース ノート」を参照してください。
不適格なデバイス
1 つ以上の前提条件を満たしていないデバイスは、代わりに最新の累積的な更新プログラム (LCU) を自動的に受け取ります。 最新の累積的な更新プログラム (LCU) には、セキュリティリリースとセキュリティ以外のリリースの両方を含む前月の更新プログラムに置き換わる毎月の更新プログラムが含まれています。
LCU ではデバイスを再起動する必要がありますが、LCU はデバイスが完全にセキュリティで保護され、準拠していることを保証します。
注
デバイスがホットパッチ更新プログラムの対象でない場合、これらのデバイスには LCU が提供されます。 LCU は構成済みの更新リング設定を保持しますが、設定は変更されません。
リリース サイクル
ホットパッチ更新プログラムのリリース カレンダーの詳細については、「 Hotpatch のリリース ノート」を参照してください。
- 基準リリース月: 1 月、4 月、7 月、10 月
- ホットパッチリリース月: 2 月、3 月、5 月、6 月、8 月、9 月、11 月、12 月
ホットパッチ更新プログラムを受信するデバイスを登録する
注
自動パッチ グループを使用していて、デバイスでホットパッチ更新プログラムを受信する場合は、ホットパッチ ポリシーを作成してデバイスを割り当てる必要があります。 ホットパッチ更新プログラムをオンにしても、自動パッチ グループ内のデバイスに適用される遅延設定は変更されません。
ホットパッチ更新プログラムを受信するデバイスを登録するには:
- Intune管理センターに移動します。
- 左側のナビゲーション メニューから [ デバイス ] を選択します。
- [ 更新プログラムの管理 ] セクションで、[ Windows 更新プログラム] を選択します。
- [ 品質の更新 ] タブに移動します。
- [ 作成] を選択し、[ Windows 品質更新プログラム ポリシー (プレビュー)] を選択します。
- [ 基本 ] セクションで、新しいポリシーの名前を入力し、[次へ] を選択します。
- [ 設定] セクションで、[ 使用可能な場合は、デバイスを再起動せずに適用する ("ホットパッチ") を[許可] に設定します。 [次へ] を選択します。
- 適切なスコープ タグを選択するか、[既定] のままにして、[ 次へ] を選択します。
- デバイスをポリシーに割り当て、[ 次へ] を選択します。
- ポリシーを確認し、[ 作成] を選択します。
これらの手順により、ホットパッチ更新プログラムを受け取る 資格がある ターゲット デバイスが正しく構成されます。 不適格なデバイス には、最新の累積的な更新プログラム (LCU) が提供されます。
注
ホットパッチ更新プログラムをオンにしても、マネージド デバイス上の既存の期限駆動型またはスケジュールされたインストール構成は変更されません。 遅延時間とアクティブ時間の設定は引き続き適用されます。