Intune での Windows 10 以降のポリシー用の更新リング
サービスとしての Windows によって、機能と品質の更新プログラムを使用して Windows 10/11 デバイスが更新される方法と条件を指定する、更新リングを作成します。 Windows 10/11 では、新しい機能および品質更新プログラムには、以前の更新プログラムの内容がすべて含まれています。 最新の更新プログラムをインストールしている限り、Windows デバイスが最新の状態であることを把握できます。 以前のバージョンの Windows とは異なり、更新プログラムの一部ではなく全体をインストールすることが必要になります。
更新リングを使用して、対象の Windows 10 デバイスを Windows 11 にアップグレードすることもできます。 これを行うには、ポリシーを作成するときに、[はい] として構成して、[Windows 10 デバイスを最新の Windows 11 リリースにアップグレードする] という名前の設定を使用します。 更新リングを使用して Windows 11 にアップグレードすると、デバイスは最新バージョンの Windows 11 をインストールします。 後でアップグレード設定を [いいえ] に戻した場合、アップグレードを開始していないデバイスはアップグレードを開始しませんが、アップグレード中のデバイスはその動作を継続します。 アップグレードが完了したデバイスは、Windows 11 に残ります。 適格性の詳細については、「Windows 11 の仕様とシステム要件 | Microsoft」を参照してください。
Windows 更新リングでは、スコープ タグがサポートされています。 更新リングでスコープ タグを使用すると、使用する構成のセットをフィルター処理したり管理したりするのに役立ちます。
前提条件
Intune で Windows 10/11 デバイス用の Windows Update リングを使用するには、次の前提条件を満たす必要があります。
デバイスはエンドポイントにアクセスできる必要があります。 関連付けられているサービスに必要なエンドポイントの詳細な一覧については、次の 「ネットワーク エンドポイント」を参照してください。
デバイスは、Windows 10 バージョン 1607 以降、または Windows 11 を実行する必要があります。
注:
Microsoft アカウント サインイン アシスタント (wlidsvc) サービスが無効になっている場合、Windows Update for Business を構成する必要はありませんが、Windows Update では Windows 10 1709 以降または Windows 11 を実行するデバイスに機能更新プログラムが提供されません。 詳細については、「他の更新プログラムは提供されるが、機能更新プログラムは提供されない」を参照してください。
デバイスは、次のサポートされている Windows エディションのいずれかである必要があります。
Windows 10/11 Pro
Windows 10/11 Enterprise
Windows 10/11 IoT Enterprise
Windows 10/11 Education
Windows 10/11 Team - Surface Hub デバイス向け
Windows Holographic for Business - Windows Holographic for Business では、次のような Windows 更新プログラムの設定のサブセットがサポートされています。
- 自動更新動作
- Microsoft 製品の更新
- サービス チャネル: 一般公開されている更新プログラム ビルド。
詳細については、「Windows Holographic の管理」を参照してください。
Windows 10/11 Enterprise LTSC および IoT Enterprise LTSC- LTSC は品質更新プログラムではサポートされていますが、機能更新プログラムではサポートされていません。 その結果、LTSC では次のリング コントロールはサポートされません。
- 機能 更新プログラムの 一時停止
- 機能更新プログラムの延期期間 (日)
- 機能更新プログラムのアンインストール期間を設定する (2 - 60 日)
-
プレリリース ビルドを有効にします。これには、次のビルド オプションが含まれます:
- Windows Insider – リリース プレビュー
- ベータ チャネル
- 開発チャネル
- 機能 更新プログラムの 期限設定を使用します。
Workplace 参加済みデバイスの制限事項
Windows 10 以降の Intune Update リングでは、Workplace Joined (WPJ) のデバイスをサポートする Windows Update for Business (WUfB) を使用する必要があります。 ただし、次の Intune Windows Update ポリシーの種類では、WUfB および Windows Update for Business 展開サービス (WUfB ds) が使用されます。これにより、WPJ デバイスでサポートされていない追加機能が提供されます。
- Windows 10 以降のドライバー更新プログラム
- Windows 10 以降向け機能更新プログラム
- Windows 10 以降の品質更新プログラム ( 迅速更新 プログラムとも呼ばれます)
Intune Windows Update ポリシーの WPJ の制限事項の詳細については、「Intune での Windows 10 および Windows 11 ソフトウェア更新プログラムの管理」の「Workplace 参加済みデバイスのポリシーの制限事項」を参照してください。
更新リングを作成して割り当てる
Microsoft Intune 管理センターにサインインします。
[デバイス>By platform>Windows>Manage updates>Windows 10 以降の更新プログラム>[更新リング] タブ > [プロファイルの作成] を選択します。
[基本] の下で、名前と説明 (省略可能) を指定してから、[次へ] を選択します。
[更新リングの設定] の下で、ビジネス ニーズに合わせて設定を構成します。 使用できる設定の詳細については、「Windows 更新プログラムの設定」を参照してください。 "[更新] と [ユーザー エクスペリエンス]" の設定を構成したら、[次へ] を選択します。
更新リングにスコープ タグを適用する場合は、[スコープ タグ] の下で [+ スコープ タグを選択] を選択して、[タグを選択する] ウィンドウを開きます。 1 つまたは複数のタグを選択してから、[選択] をクリックしてそれらを更新リングに追加し、[スコープ タグ] ページに戻ります。
準備ができたら、[次へ] を選択して、[割り当て] を続行します。
注:
Intune ポリシーを構成または編集するときに、テナントのカスタム定義スコープ タグがない場合、一部のポリシーの種類で [スコープ タグ] 構成ページが表示されないことがあります。 [スコープ タグ] オプションが表示されない場合は、既定のスコープ タグに加えて少なくとも 1 つのタグが定義されていることを確認します。
[割り当て] の下で [+ 含めるグループを選択] を選択してから、1 つまたは複数のグループに更新リングを割り当てます。 [+ 除外するグループを選択] を使用して割り当てを微調整します。 [次へ] を選んで続行します。
ほとんどの場合、デバイス グループに更新リングを展開することをお勧めします。 デバイス グループの使用は 、機能更新プログラム を展開するためのガイダンスに合わせて調整され、ポリシーを適用する前にユーザーがデバイスにサインオンする必要がなくなります。
[確認と作成] で設定を確認した後、ご利用の Windows 更新リングを保存する準備ができたら [作成] を選択します。 新しい更新リングが、更新リングの一覧に表示されます。
Windows 更新リングを管理する
ポータルで、[デバイス>By platform>Windows>Manage updates>Windows 10 以降の更新プログラム>[リングの更新] タブに移動し、管理するリング ポリシーを選択します。 Intune には、選択したポリシーの次のような詳細が表示されます。
このビューには、次のものが含まれます。
このビューには、次も含まれます。
要点: ポリシーの作成日時、最終変更日時、ポリシーに割り当てられているグループの数など、ポリシーに関する詳細の一覧。
デバイスとユーザーのチェックインの状態: このポリシーの既定のレポート ビュー。 この既定のビューに加えて、次のレポートの詳細とオプションを使用できます。
レポートの表示: ボタンをクリックすると、 デバイスとユーザーのチェックイン状態に関するより詳細なレポート ビューが開きます。
2 つの追加のレポート タイル: 次のレポートのタイルを選択して、追加の詳細を表示できます。
- デバイス割り当ての状態 – このレポートには、保留中のポリシー割り当て状態のデバイスを含め、ポリシーの対象となるすべてのデバイスが表示されます。
- [設定の状態ごと ] – すべてのデバイスとユーザーにわたって、このポリシーの各設定の構成状態を表示します。
このレポート ビューの詳細については、「 Windows 10 以降のポリシーの更新リングのレポート」を参照してください。
プロパティ: ポリシーの各領域を 編集 するオプションなど、ポリシーの各構成ページの詳細を表示します。
ポリシー アクション
Delete
[削除] を選択して、選択した Windows 更新プログラムのリングの設定の適用を停止します。 リングを削除すると、Intune でそれらの設定が適用および強制されないように、Intune からその構成が削除されます。
Intune からリングを削除しても、更新プログラムのリングが割り当てられたデバイスの設定は変更されません。 代わりに、デバイスでは現在の設定が保持されます。 以前に保持されていた設定の履歴レコードはデバイスに保持されません。 デバイスでは、アクティブなままのその他の更新プログラムのリングから設定を受信することもできます。
リングを削除するには
- 更新プログラムのリングの [概要] ページが表示されている間に、[削除] を選択します。
- [OK] を選択します。
一時停止
割り当て済みのデバイスで、リングを一時停止したときから最大 35 日間、機能または品質の更新プログラムを受け取らないようにするには、[一時停止] を選択します。 最大日数が経過すると、一時停止機能の有効期限が自動的に切れ、デバイスによる Windows Update の該当する更新プログラムのスキャンが開始されます。 このスキャンが終ったら、もう一度更新を一時停止することができます。 一時停止されている更新プログラムのリングを再開した後に、そのリングもう一度一時停止すると、一時停止の期間が 35 日間にリセットされます。
リングを一時停止するには
- 更新プログラムのリングの [概要] ページが表示されている間に、[一時停止] を選択します。
- [機能] または [品質] のいずれかを選択して、その種類の更新プログラムを一時停止してから、[OK] を選択します。
- 一方の更新プログラムの種類を一時停止した後に、もう一度 [一時停止] を選択して、もう一方の更新プログラムの種類を一時停止することができます。
更新プログラムのリングが一時停止されると、そのリングの [概要] ウィンドウに、その更新プログラムの種類が再開されるまでの日数が表示されます。
重要
一時停止コマンドを発行すると、デバイスは、次にサービスにチェックインしたときにこのコマンドを受信します。 チェックインする前に、スケジュールされた更新プログラムをインストールする可能性もあります。 また、一時停止コマンドを発行したときに対象のデバイスが無効になっていると、有効にしたときに、デバイスは Intune でチェックインする前に、スケジュールされた更新プログラムをダウンロードしインストールする場合があります。
Resume
更新リングが一時停止されている間に [再開] を選択すると、そのリングの機能および品質の更新プログラムをアクティブな操作に復元できます。 更新プログラムのリングを再開した後に、もう一度そのリングを一時停止できます。
リングを再開するには
- 一時停止された更新プログラムのリングの [概要] ページが表示されている間に、[再開] を選択します。
- [機能] または [品質] のいずれかの更新プログラムを再開するために使用可能なオプションから選択し、[OK] を選択します。
- 一方の更新プログラムの種類を再開した後に、もう一度 [再開] を選択して、もう一方の更新プログラムの種類を再開することができます。
拡張
更新リングが一時停止されている間に [延長] を選択すると、その更新リングの機能および品質の両方の更新プログラムの一時停止期間を 35 日間にリセットすることができます。
リングの一時停止の期間を延長するには
- 一時停止された更新プログラムのリングの [概要] ページが表示されている間に、[延長] を選択します。
- [機能] または [品質] のいずれかの更新プログラムを再開するために使用可能なオプションから選択し、[OK] を選択します。
- 一方の更新プログラムの種類の一時停止を延長した後に、もう一度 [延長] を選択して、もう一方の更新プログラムの種類を延長することができます。
アンインストール
Intune 管理者は、[アンインストール] を使用して、アクティブまたは一時停止中の更新プログラムのリングの最新の機能更新プログラムまたは最新の品質更新プログラムをアンインストール (ロールバック) することができます。 一方の種類をアンインストールした後に、もう一方の種類をアンインストールできます。 Intune では、ユーザーが更新プログラムをアンインストールする機能はサポートまたは管理されていません。
重要
[アンインストール] オプションを使用すると、Intune からデバイスにアンインストール要求が直ちに渡されます。
- Windows デバイスでは、Intune ポリシーの変更を受け取るとすぐに、更新プログラムの削除が開始されます。 更新プログラムの削除は、更新プログラムのリングの一部として構成されている場合でも、メンテナンス スケジュールに制限されません。
- 更新プログラムの削除でデバイスの再起動が必要な場合は、デバイス ユーザーに遅延オプションを提供せずにデバイスが再起動されます。
アンインストールを成功させるには:
- デバイスで Windows 10 April 2018 Update (バージョン 1803) 以降または Windows 11 が実行されている必要があります。
デバイスに最新の更新プログラムがインストールされている必要があります。 更新プログラムは累積なので、最新の更新プログラムがインストールされているデバイスには、最新の機能更新プログラムと品質更新プログラムが含まれています。 このオプションを使用する場合の例は、Windows マシンで重大な問題が検出された場合に、最後の更新プログラムをロールバックすることです。
[アンインストール] を使用する場合は、次を考慮してください。
機能更新プログラムまたは品質更新プログラムをアンインストールできるのは、デバイスが存在するサービス チャネルの場合のみです。
機能または品質の更新プログラムのアンインストールを使用すると、Windows マシンで以前の更新プログラムを復元するポリシーがトリガーされます。
Windows 10/11 デバイス上で品質更新プログラムが正常にロールバックされたら、デバイス ユーザーは引き続き、[Windows の設定]>[更新プログラム]>[更新履歴] に一覧表示される更新プログラムを確認できます。
更新リングで機能または品質更新プログラムのアンインストールを開始すると、Intune ではまた、その更新リングで同じ種類の更新プログラムが一時停止されます。
更新リングで機能または品質更新プログラムの一時停止が過ぎると、前にアンインストールされた機能または品質更新プログラムがまだ適用できる場合、デバイスによって再インストールされます。
Enablement パッケージを使用して機能更新プログラムが適用された場合、アンインストールは成功しません。 Enablement パッケージは、Windows Update for Business を使用して Windows 10 2004、20H2、21H2 から Windows 10 22H2 にデバイスを更新する最も一般的な方法です。 Enablement パッケージの詳細については、「 KB5015684: Enablement パッケージを使用した Windows 10 バージョン 22H2 の注目の更新プログラム - Microsoft サポート」を参照してください。 スクリプトを使用して Enablement パッケージをアンインストールする方法の詳細については、「Intune を使用したマネージド デバイスでの Windows 更新プログラムのアンインストール」を参照してください。
機能更新プログラムの場合に限り、更新プログラムをアンインストールできる期間が 2 - 60 日間に制限されます。 この期間は、更新リングの更新設定 [機能更新プログラムのアンインストール期間 (2 から 60 日間) の設定] によって構成されます。 デバイスにインストールされている機能更新プログラムは、構成されたアンインストール期間よりも長い間その更新プログラムがインストールされている場合は、ロールバックできません。
たとえば、機能更新プログラムのアンインストール期間が 20 日の更新プログラム リングについて考えます。 25 日後に、最新の機能更新プログラムをロールバックすることを決定し、[アンインストール] オプションを使用します。 20 日より前に機能更新プログラムをインストールしたデバイスでは、これらをアンインストールできません。メンテナンスの一環として必要なファイルが削除されているからです。 一方、最大 19 日前に機能更新プログラムをインストールしたデバイスでは、20 日のアンインストール期間が経過する前に正常にチェックインしてアンインストール コマンドを受信した場合には、更新プログラムをアンインストールできます。
Windows Update のポリシーの詳細については、Windows クライアント管理のドキュメントで「CSP の更新」を参照してください。
最新の Windows 更新プログラムをアンインストールするには
- 一時停止された更新リングの [概要] ページが表示されている間に、[アンインストール] を選択します。
- [機能] または [品質] のいずれかの更新プログラムをアンインストールするために使用可能なオプションから選択し、[OK] を選択します。
- 一方の更新プログラムの種類のアンインストールをトリガーした後に、もう一度 [アンインストール] を選択して、もう一方の更新プログラムをアンインストールできます。
検証とレポート
Intune で Windows 10/11 更新プログラムの詳細なレポートを取得するには、複数のオプションがあります。 既定のビューと追加のレポート タイルの詳細など、更新リングのレポートの詳細については、「 Windows Update レポート」を参照してください。
次の手順
- Intune で Windows 機能更新プログラムを使用する
- Windows 更新プログラムの互換性レポートを使用する
- Windows 更新プログラムの Windows 更新プログラム レポートを使用する
- 別のソリューションについては、Windows 展開コンテンツの Windows Autopatch に関するページも参照してください。