Windows Autopatch グループの管理

重要

この記事またはセクションの情報は、Windows Enterprise E3+ または F3 ライセンス (Microsoft 365 F3、E3、または E5 に含まれる) ライセンスがあり、Windows Autopatch 機能をアクティブ化している場合にのみ適用されます。

機能のアクティブ化はオプションであり、Windows 10/11 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれる) ライセンスがある場合は追加料金なしで利用できます。

詳細については、「 ライセンスと権利」を参照してください。 機能のアクティブ化を行わない場合でも、 Business Premium および A3+ ライセンスに含まれる機能に対して Windows Autopatch サービスを使用できます。

自動パッチ グループは、Microsoft Cloud-Managed サービスが更新管理の過程にある組織を満たすのに役立ちます。

Autopatch グループは、複数のMicrosoft Entra グループとソフトウェア更新ポリシー (Windows 10 以降の更新リング ポリシー、Windows 10以降のポリシーの機能更新ポリシーなど) をグループ化する論理コンテナーまたはユニットです。

自動パッチ グループの管理を開始する前に、 Windows Autopatch グループの前提条件を満たしていることを確認してください。

Autopatch グループを作成する

重要

Windows Autopatch では、展開リングの構成ページで選択した内容に基づいて、デバイス ベースのMicrosoft Entra ID割り当てられたグループが作成されます。 さらに、サービスは、Autopatch グループのガイド付きエンド ユーザー エクスペリエンスの一部として[Windows Update設定] ページで行われた選択に基づいて、Autopatch グループで作成された各デプロイ リングの更新リング ポリシーを割り当てます。

ヒント

Windows Autopatch グループでサポートされるワークロードの詳細については、「 サポートされているソフトウェア ワークロード」を参照してください。

• Microsoft 365 Apps for enterpriseを管理するには、最初に Autopatch グループを作成し、Microsoft 365 アプリの更新設定を [許可] に設定する必要があります。
• Microsoft Edge の更新プログラムを管理するには、最初に Autopatch グループを作成し、 Edge 更新プログラムの設定を [許可] に設定する必要があります。

自動パッチ グループを作成するには:

1. Microsoft Intune管理センターに移動します。
2. 左側のナビゲーション メニューから [ テナント管理 ] を選択します。
3. [ Windows Autopatch ] セクションで、[ 自動パッチ グループ] を選択します。
4. [ 自動パッチ グループ ] ブレードで、[ 作成] を選択します。
5. [ 基本 ] ページで、 名前 と 説明 を入力し、[ 次へ: 展開リング] を選択します。
   1. Autopatch グループ名には最大 64 文字、説明には最大 150 文字を入力します。 Autopatch グループ名は、Autopatch グループの作成後に作成される更新リングと DSS ポリシー名の両方に追加されます。
6. [ 配置リング] ページで、[ デプロイ リングの追加] を選択して、展開リングの数を Autopatch グループに追加します。
7. 新しく追加される各デプロイ リングには、Microsoft Entra デバイス グループが割り当てられているか、定義されたパーセンテージを使用してデプロイ リング全体に動的に分散されるMicrosoft Entra グループが必要です。
   1. [動的グループ] 領域で、[グループの追加] を選択して、動的グループ配布に使用する 1 つ以上の既存のデバイス ベースのMicrosoft Entra グループを選択します。
   2. [ 動的グループ配布 ] 列で、目的の展開リングのチェック ボックスをオンにします。 次に、次のいずれかを実行します。
      1. 手順 9 で選択したMicrosoft Entra グループから追加するデバイスの割合を入力します。 デバイスのパーセンテージの計算は、100% に等しいか、または
      2. 既定値を使用するには、[ 既定の動的グループ分散を適用 する] を選択します。
8. [割り当てられたグループ] 列で、[グループをリングに追加] を選択して、定義済みの展開リングのいずれかに既存のMicrosoft Entra グループを追加します。 テストおよび最後のデプロイ リングでは、割り当てられたグループの配布のみがサポートされます。 これらのデプロイ リングは動的分散をサポートしていません。
9. [次へ: Windows Update設定] を選択します。
10. 水平方向の省略記号 (...)>を選択します展開の頻度を管理して、Windows 品質と機能更新プログラムの段階的なロールアウトをカスタマイズします。 [保存] を選びます。
11. 水平方向の省略記号 (...)>を選択します通知を管理して、Windows 更新プログラムを受信するときにエンド ユーザー エクスペリエンスをカスタマイズします。 [保存] を選びます。
12. [ 確認と作成 ] を選択して、加えられたすべての変更を確認します。
13. 確認が完了したら、[ 作成 ] を選択して自動パッチ グループを保存します。

注意

Microsoft Entra グループ メンバーシップの種類 (割り当て済みおよび動的) は変更しないでください。 それ以外の場合、Windows Autopatch サービスはこれらのグループからデバイス グループ メンバーシップを読み取ることができなくなり、Autopatch グループ機能やその他のサービス関連の操作が正常に動作しません。

さらに、Autopatch グループによって作成されたMicrosoft Entra グループにConfiguration Managerコレクションを直接同期することはサポートされていません。

注意

デバイス ベースのMicrosoft Entra グループは、Autopatch グループ内の一度に 1 つのデプロイ リングでのみ使用できます。 これは、同じ Autopatch グループ内のデプロイ リングと、異なる Autopatch グループ間の異なるデプロイ リング全体に適用されます。 既に使用されているデバイス ベースのMicrosoft Entra グループを使用するように Autopatch グループを作成または編集しようとすると、Autopatch グループを作成または編集できないエラーが表示されます。

自動パッチ グループを編集する

ヒント

対象となる 1 つ以上の Windows 機能更新プログラム リリースがある場合、自動パッチ グループを編集することはできません。 1 つ以上の進行中の Windows 機能更新プログラム リリースを対象にして Autopatch グループを編集しようとすると、次の情報バナー メッセージが表示されます。"この Autopatch グループを対象とする 1 つ以上の Windows 機能更新プログラム リリースがあるため、一部の設定は変更できません。"リリースとフェーズの状態の詳細については、「 Windows 機能更新プログラム」を参照してください。

Autopatch グループを編集するには:

1. 水平方向の省略記号 (...)>を選択します編集するオートパッチ グループの編集。
2. Autopatch グループの 説明 のみを変更できます。 名前 を変更することはできません 。 説明が変更されたら、[ 次へ: 展開リング] を選択します。 オートパッチ グループの名前を変更するには、「 オートパッチ グループの名前を変更する」を参照してください。
3. [配置リング] ページで必要な変更を行い、[次へ: Windows Update設定] を選択します。
4. [Windows Update設定] ページで必要な変更を行い、[次へ: 確認と保存] を選択します。
5. [ 確認と作成 ] を選択して、加えられたすべての変更を確認します。
6. レビューが完了したら、[ 保存] を選択して Autopatch グループの編集を完了します。

重要

Windows Autopatch では、展開リングの構成ページで選択した内容に基づいて、デバイス ベースのMicrosoft Entra ID割り当てられたグループが作成されます。 さらに、サービスは、Autopatch グループのガイド付きエンド ユーザー エクスペリエンスの一部として[Windows Update設定] ページで行われた選択に基づいて、Autopatch グループで作成された各デプロイ リングの更新リング ポリシーを割り当てます。

Autopatch グループの名前を変更する

Autopatch グループの名前を変更するには:

1. 水平方向の省略記号 (...)>を選択します名前を変更する Autopatch グループの名前を変更します。 [ オートパッチ グループの名前の変更 ] フライインが開きます。
2. [ 新しいオートパッチ グループ名] に、任意の新しい Autopatch グループ名を入力し、[ グループの名前の変更] を選択します。

重要

Autopatch では、Autopatch グループ名に対して最大 64 文字がサポートされます。 さらに、Autopatch グループの名前を変更すると、IntuneのWindows 10以降のポリシーのすべての更新リングと、オートパッチ グループに関連付けられているIntune内のWindows 10以降のポリシーの機能更新プログラムの名前が変更され、名前文字列に定義した新しい Autopatch グループ名が含まれます。 また、Autopatch グループの名前を変更すると、Autopatch グループの展開リングを表すすべてのMicrosoft Entra グループの名前が変更され、名前文字列に定義した新しい Autopatch グループ名が含まれます。

Autopatch グループを削除する

Autopatch グループを削除するには:

1. 水平方向の省略記号 (...)>を選択します削除する自動パッチ グループの削除。
2. [ はい ] を選択して、自動パッチ グループを削除することを確認します。

注意

Autopatch グループは、1 つ以上のアクティブまたは一時停止された機能更新プログラム リリースの一部として使用されている場合は削除できません。 ただし、Windows 品質更新プログラムまたは機能更新プログラムのリリースの状態が [スケジュール済 み] または [ 一時停止 ] になっている場合は、Autopatch グループを削除できます。

自動パッチ グループを使用する場合のデバイス競合シナリオを管理する

デバイス メンバーシップでの重複は、デバイス ベースのMicrosoft Entra グループを操作する場合の一般的なシナリオです。 動的クエリのスコープが大きい場合や、異なるMicrosoft Entra グループ間で同じ割り当て済みデバイス メンバーシップを使用できる場合があります。

Autopatch グループを使用すると、既存のMicrosoft Entra グループを使用して独自のデプロイ リング構成を作成できるため、サービスは、発生する可能性があるデバイス競合シナリオの一部を監視し、自動的に解決する責任を負います。

注意

デバイス ベースのMicrosoft Entra グループは、Autopatch グループ内の一度に 1 つのデプロイ リングでのみ使用できます。 これは、同じ Autopatch グループ内のデプロイ リングと、異なる Autopatch グループ間の異なるデプロイ リング全体に適用されます。 既に使用されているデバイス ベースのMicrosoft Entra グループを使用するように Autopatch グループを作成または編集しようとすると、Autopatch グループを作成または編集できないエラーが表示されます。

Autopatch グループ内の展開リングでのデバイスの競合

自動パッチ グループでは、次のロジックを使用して、Autopatch グループ内のユーザーに代わってデバイスの競合を解決します。

ステップ	説明
手順 1: デバイスが属している展開リング配布の種類 (割り当て済み または 動的) を確認します。	たとえば、デバイスが 動的 分散 (Ring3) を持つ 1 つの展開リングの一部であり、同じ Autopatch グループ内に 割り当てられた ディストリビューション (テスト) を持つ 1 つの展開リングの一部である場合、 割り当てられた 配布 (テスト) を持つデプロイ リングが 、動的 配布タイプ (Ring3) の展開リングよりも優先されます。
手順 2: デバイスが同じ配布の種類 (割り当て済み または 動的) を持つ 1 つ以上の展開リングに属している場合に、展開リングの順序付けを確認する	たとえば、デバイスが、割り当て済みディストリビューション (テスト) を持つ 1 つの展開リングの一部であり、同じ Autopatch グループ内の割り当て済みディストリビューション (Ring3) を持つ別の展開リング内にある場合、後で発生するデプロイ リング (Ring3) は、展開リングの順序で前のデプロイ リング (テスト) よりも優先されます。

重要

デバイスが、組み合わされた配布の種類 (割り当て済み および 動的) を持つ展開リングと 、動的 配布の種類のみを持つ展開リングに属している場合、組み合わされた配布の種類を持つ展開リングが 、動的 分散のみを持つ展開リングよりも優先されます。 デバイスが、配布の種類 (割り当て済み ) と 動的を組み合わせた 2 つの展開リングに属している場合は、後で発生する展開リングが、展開リングの順序の前の展開リングよりも優先されます。

異なる自動パッチ グループ間のデバイスの競合

異なる Autopatch グループ内の異なる展開リング間でデバイスの競合が発生する可能性があります。Windows Autopatch サービスが次のシナリオを処理する方法に関する次の例を確認してください。

異なる Autopatch グループ間で異なる展開リング内の同じデバイス

競合シナリオ	競合の解決
Contoso Ltd.の IT 管理者は、いくつかの Autopatch グループを使用しています。 [Windows 自動パッチ デバイス] ブレードでデバイス間を移動すると、同じデバイスが複数の異なる Autopatch グループ間で異なる展開リングの一部であることがわかります。 このデバイスは[ 準備ができていない]と表示されます。	この競合を解決する必要があります。 自動パッチ グループは、[ デバイス] レポートのデバイスの競合について通知します。 アドレス指定するデバイスの [準備ができていない ] 状態を選択します。 デバイスが排他的に属する既存の Autopatch グループを手動で指定する必要があります。

デバイス登録前のデバイスの競合

Autopatch グループを作成または編集すると、Windows Autopatch は、Autopatch グループの展開リングで使用されるMicrosoft Entra グループの一部であるデバイスがサービスに登録されているかどうかを確認します。

競合シナリオ	競合の解決
デバイス メンバーシップの重複によるデバイス登録前のデバイスの競合	この競合を解決する必要があります。 デバイスはサービスへの登録に失敗し、[ 未登録 ] 状態でマークされます。 Autopatch グループで使用されるMicrosoft Entra グループにデバイス メンバーシップの重複がないことを確認する必要があります。