Microsoft Intune で Windows 品質更新プログラムを迅速化する

  • [アーティクル]

Windows 10 以降のポリシーの品質更新プログラムを使用すると、Microsoft Intune で管理するデバイスに最新の Windows 10/11 セキュリティ更新プログラムを迅速にインストールできます。 迅速な更新プログラムの展開は、既存の月次更新プログラム ポリシーを一時停止または編集する必要なく行われます。 たとえば、通常の更新プロセスがしばらくの間更新プログラムを展開しない場合に、セキュリティ上の脅威を軽減するために特定の更新プログラムを迅速化できます。

すべての更新プログラムを迅速化できるわけではありません。 現在、品質更新ポリシーを使用して展開できるのは、迅速化できる Windows 10/11 セキュリティ更新プログラムのみです。 定期的な月次品質更新プログラムを管理するには、Windows 10 以降のポリシー向けの更新リングを使用します。

迅速な更新プログラムのしくみ

迅速な更新プログラムを使用すると、最新の パッチ火曜日 のリリースや、0 日間の欠陥に対する帯域外のセキュリティ更新プログラムなどの品質更新プログラムのインストールを迅速に行うことができます。

迅速な更新ポリシーは、遅延やその他の設定を一時的にオーバーライドして、更新プログラムをできるだけ迅速にインストールします。 このプロセスにより、デバイスが更新プログラムをチェックインするのを待たずに、迅速な更新プログラムのダウンロードとインストールを開始できます。

デバイスが更新を開始するために必要な実際の時間は、デバイスのインターネット接続、スキャンタイミング、デバイスへの通信チャネルが機能しているかどうか、およびクラウド処理時間などのその他の要因によって異なります。

  • 迅速な更新ポリシーごとに、リリース日に基づいてデプロイする 1 つの更新プログラムを選択します。 リリース日を使用して、Windows 10 バージョン 1809、1909 など、異なるバージョンの Windows を持つデバイスに、その更新プログラムのさまざまなインスタンスを展開するための個別のポリシーを作成する必要はありません。

  • Windows Update では、各デバイスのビルドとアーキテクチャが評価され、適用される更新プログラムのバージョンが配信されます。

  • 更新が必要なデバイスのみが、迅速な更新プログラムを受信します。

    • Windows Update では、更新プログラムのバージョン以上のリビジョンが既にあるデバイスの更新を迅速化しようとはしません。
    • ビルド バージョンが更新プログラムよりも低いデバイスの場合、Windows Update により、更新プログラムをインストールする前に、引き続きそれがデバイスに必要であることが確認されます。

    重要

    一部のシナリオでは、Windows Update により、迅速な更新ポリシーで指定した更新プログラムよりも新しい更新プログラムをインストールすることができます。 このシナリオの詳細については、この記事で後述する最新の適用可能な更新プログラムのインストールに関する説明を参照してください。

  • 迅速な更新ポリシーでは、展開する更新プログラムのバージョンの品質更新プログラムの延期期間が無視され、オーバーライドされます。 品質更新プログラムの延期期間を構成するには、Intune Windows 更新リング[品質更新プログラムの延期期間] の設定を使用します。

  • 更新プログラムのインストールを完了するために再起動が必要な場合、ポリシーが再起動の管理に役立ちます。 ポリシーでは、ポリシーによって自動再起動が強制される前にユーザーがデバイスを再起動できる期間を構成できます。 また、ユーザーは、再起動をスケジュールするか、またはデバイスの "アクティブ時間" 外に最適な時間をデバイスに見つけさせるかを選択することもできます。 再起動の期限に達する前に、デバイスではデバイスのユーザーに期限を警告する通知が表示され、これには、再起動をスケジュールするオプションが含まれます。

    期限の前にデバイスが再起動しない場合、再起動は稼働日の途中で発生する可能性があります。 再起動の動作の詳細については、「更新プログラムの対応期限の強制」を参照してください。

  • 通常の月次品質更新プログラムサービスでは、迅速な更新プログラムは推奨されません。 代わりに、Windows 10 以降のポリシー向けの更新リングの [期限の設定] の使用を検討してください。 詳細については、「Windows Update の設定」に関する記事の「ユーザー エクスペリエンスの設定」にある「期限の設定を使用する」を参照してください。

前提条件

重要

この機能は、GCC および GCC High/DoD クラウド環境ではサポートされていません。

既存の EA でサブスクリプションのアクティブ化を有効にする は、WuFB-DS 機能の GCC および GCC High/DoD クラウド環境には適用されません。

Intune を使用した迅速な品質更新プログラムのインストールに適合する要件は、次のとおりです。

ライセンス:

Intune のライセンスに加えて、組織には、Windows Update for Business 展開サービスのライセンスを含む次のいずれかのサブスクリプションが必要です。

  • Windows 10/11 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれます)
  • Windows 10/11 Education A3 または A5 (Microsoft 365 A3 または A5 に含まれます)
  • Windows Virtual Desktop Access E3 または E5
  • Microsoft 365 Business Premium

2022 年 11 月以降、Windows Update for Business 展開サービス (WUfB ds) ライセンスがチェックされ、適用されます。

WUfB ds を必要とする機能の新しいポリシーを作成するときにブロックされ、Enterprise Agreement (EA) を通じて WUfB を使用するためのライセンスを取得する場合は、Microsoft アカウント チームやライセンスを販売したパートナーなどのライセンスのソースに問い合わせてください。 アカウント チームまたはパートナーは、テナント ライセンスが WUfB ds ライセンス要件を満たしていることを確認できます。 「既存の EA でサブスクリプションのアクティブ化を有効にする」を参照してください。

サポートされる Windows 10/11 のバージョン:

  • x86 または x64 アーキテクチャでサービスを引き続きサポートする Windows 10/11 のバージョン

一般公開されている更新ビルドのみがサポートされます。 ベータおよび開発チャネルを含むプレビュー ビルドは、更新プログラムの迅速化ではサポートされていません。

サポートされる Windows 10/11 のエディション

  • Professional
  • Enterprise
  • 教育
  • Pro Education
  • Pro for Workstations

デバイスは、次の条件を満たす必要があります

  • Intune MDM に登録する

  • Microsoft Entra に参加しているか、Microsoft Entra ハイブリッドに参加している必要があります。 Workplace Join はサポートされていません。

  • エンドポイントにアクセスできます。 関連付けられているサービスに必要なエンドポイントの詳細な一覧については、ネットワーク エンドポイントに関 するページを参照してください。

    • Windows Update
    • Windows Update for Business の展開サービス
    • Windows プッシュ通知サービス: "(推奨されますが、必須ではありません。このアクセスがない場合、デバイスでは次の毎日の更新チェックまで更新が迅速化されない可能性があります)"。

  • Windows Update サービスから品質更新プログラムを直接取得するように構成されている。

  • Update Health Tools がインストールされている。これは KB 4023057 - Windows 10 Update Service コンポーネントの更新プログラムでインストールされます。 デバイス上に Update Health Tools が存在することを確認するには:

    • フォルダー C:\Program Files\Microsoft Update Health Tools を探すか、[プログラムの追加と削除]Microsoft Update Health Tools を確認してください。
    • 管理者として、次の PowerShell スクリプトを実行します。
    $Session = New-Object -ComObject Microsoft.Update.Session
$Searcher = $Session.CreateUpdateSearcher()
$historyCount = $Searcher.GetTotalHistoryCount()
$list = $Searcher.QueryHistory(0, $historyCount) | Select-Object -Property "Title"
foreach ($update in $list)
{
   if ($update.Title.Contains("4023057"))
   {
      return 1
   }
}
return 0

    スクリプトから 1 が返された場合、デバイスには UHS クライアントがあります。 スクリプトから 0 が返された場合、デバイスには UHS クライアントがありません。

デバイスの設定:

迅速な更新プログラムのインストールをブロックするおそれのある競合や構成を回避するために、デバイスを次のように構成します。 Intune のWindows 10 以降のポリシー向けの更新リングを使用して、これらの設定を管理できます。

更新リングの設定 おすすめの値
プレリリース版のビルドを有効にする この設定は、[未構成] に設定する必要があります。 ベータおよび開発チャネルを含むプレビュー ビルドは、更新プログラムの迅速化ではサポートされていません。
自動更新のビヘイビアー 既定値にリセット

その他の値を使用すると、ユーザー エクスペリエンスが低下し、更新プログラムを迅速化するプロセスが遅くなる可能性があります。
Update 通知レベルを変更する [再起動の警告を含むすべての通知をオフする] 以外の値を使用します。

これらの設定の詳細については、「ポリシー CSP - 更新」を参照してください。

グループ ポリシー設定はモバイル デバイス管理ポリシーをオーバーライドします。次のグループ ポリシー設定の一覧は、迅速化ポリシーに干渉する場合があります。 これらの設定がグループ ポリシーによって管理されているデバイスでは、これらをデバイスの既定値 (未構成) に復元します。

  • CorpWuURL - イントラネットの Microsoft 更新サービスの場所を指定します。
  • AutoUpdateCfg - 自動更新を構成します。
  • DeferFeatureUpdates - プレビュー ビルドや機能更新プログラムをいつ受信するかを選択します。
  • デュアル スキャンを無効にする - 更新プログラムの延期ポリシーによって Windows Update に対するスキャンが実行されないようにします。

監視とレポート:

迅速な更新の結果と更新の状態を監視する前に、Intune テナントで データ収集を有効にする必要があります。

Workplace 参加済みデバイスの制限事項

Windows 10 以降の品質更新プログラムの Intune ポリシーでは、Windows Update for Business (WUfB) と Windows Update for Business 展開サービス (WUfB ds) を使用する必要があります。 WUfB が WPJ デバイスをサポートする場合、WUfB ds は WPJ デバイスでサポートされていない追加機能を提供します。

Intune Windows Update ポリシーの WPJ の制限事項の詳細については、「Intune での Windows 10 および Windows 11 ソフトウェア更新プログラムの管理」の「Workplace 参加済みデバイスのポリシーの制限事項」を参照してください。

迅速な品質更新プログラムを作成して割り当てる

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス>管理更新プログラム>Windows 10 以降の更新プログラム>[Quality updates] タブ >[プロファイルの作成] を選択します。

    プロファイルの作成 UI の画面キャプチャ。

  3. [設定]で、このプロファイルを識別するための次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、プロファイルに名前を付けます。

    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

  4. [設定]で、[Expedite installation of quality updates if device OS version less than]\(デバイスの OS バージョンがこれより古い場合に品質更新プログラムのインストールを迅速化する\) を構成します。 ドロップダウン リストから、迅速化する更新プログラムを選択します。 リストには、迅速化できる更新プログラムのみが含まれます。

    ヒント

    オプションの Windows 品質更新プログラムを迅速化することはできません。また、選択することもできません。

    更新プログラムの選択 UI の画面キャプチャ。

    更新プログラムを選択する場合:

    • 更新プログラムは、リリース日で識別され、ポリシーごとに選択できる更新プログラムは 1 つだけです。

    • 名前に文字 B が含まれている更新プログラムは、"月例パッチ" イベントの一部としてリリースされた更新プログラムであることを示します。 文字 B は、更新プログラムが月の第 2 火曜日にリリースされたことを示します。

    • 月例パッチの帯域外でリリースされる Windows 10/11 のセキュリティ更新プログラムは、迅速化できます。 帯域外パッチ リリースには、文字 B ではなく別の識別子が含まれます。

    • 更新プログラムを展開すると、Windows Update により、ポリシーを受信する各デバイスに、そのデバイスのアーキテクチャに適用される更新プログラムのバージョンと、現在の Windows バージョン (バージョン 1809、2004 など) が確実にインストールされます。

    セキュリティ以外の迅速更新プログラム: 以前の B/Security リリース後の品質修正プログラムが含まれています。 管理者は、延期期間を待たずに、デバイスに適用できる最新の品質更新プログラムのインストールを迅速に行うことができます。

    • SecurityUpdate という単語のない更新プログラムは、セキュリティ更新プログラムではないことを示します。 名前に 文字 D を含む更新プログラムは、 最新のパッチ火曜日 のセキュリティ週間以降にリリースされた更新プログラムを識別します。 2024.01 OOB Update (帯域外 パッチ リリース) も表示される場合があります。 Windows の月次更新プログラムの説明

    • セキュリティ以外の更新プログラムは、最新のリリースの場合にのみ表示されます。 ドロップダウン リストが更新され、最新の 2 つのセキュリティ更新プログラム (1 つが帯域外の更新プログラムの場合など) が表示されます。 最新のセキュリティ以外の更新プログラムが最新のセキュリティ更新プログラムよりも新しい場合は、セキュリティ以外の更新プログラムもドロップダウン リストに含まれます。 その結果、場合によっては 2 つの更新プログラムが表示され、それ以外の場合は 3 つの更新プログラムが表示されます。

      ヒント

      詳細については、ブログ「Windows 10 更新サービスの頻度 - Microsoft Tech Community」を参照してください。

    • セキュリティ以外の迅速な更新プログラムは、Windows 11 デバイスに適用されます。 D リリースを設定する Expedite ポリシーに Windows 10 デバイスが割り当てられている場合、それらのデバイスは迅速化されず、次のレポートにアラートが表示されます。

      • レポート>Windows 更新プログラム>レポート タブ >Windows の迅速な更新レポート
      • デバイス>更新プログラムを管理します>Windows 10 以降の更新プログラム>[監視] タブ>アラートタイルを使用して品質更新ポリシーを編集し、タイトルをクリックします。

  5. [設定]で、[Number of days to wait before forced reboot]\(強制再起動までの日数\) を構成します。 この設定では、更新プログラムのインストール後、更新プログラムのインストールを完了するためにデバイスが自動的に再起動されるまでの期間を選択します。 0 日間から 2 日間までを選択できます。 期限前にデバイスが手動で再起動された場合、自動再起動は取り消されます。 更新に再起動が必要ない場合、この設定は適用されません。

    • [0 日間] の設定は、デバイスに更新プログラムがインストールされた直後に、ユーザーに再起動が通知され、ユーザーが作業を保存する時間が限られていることを意味します。

      重要

      このエクスペリエンスは、ユーザーの生産性に影響を与える危険性があります。 これは、可能な限りすばやく完了し、デバイスを再起動する必要があるデバイスまたは更新プログラムに対して使用することを検討してください。

    • 1 日または 2 日の設定により、デバイス ユーザーは強制的に再起動する前に柔軟に再起動を管理できます。 これらの設定は、更新プログラムがデバイスにインストールされてから自動再起動までの 24 時間または 48 時間の遅延に対応します。

      強制再起動の数日前に選択した日の画面キャプチャ。

  6. [割り当て] で、[グループの追加] を選択し、ポリシーを割り当てるデバイスまたはユーザーのグループを選択します。

  7. レビューと作成ページで、[作成] を選択します。 ポリシーが作成されると、割り当てられたグループに展開されます。

最新の適用可能な更新プログラムを特定する

更新プログラムを迅速化するポリシーによって、ポリシーで指定されているよりも新しい更新プログラムがインストールされるシナリオがいくつかあります。 このような結果は、新しい更新プログラムに、指定された更新プログラムが含まれており、その新しい更新プログラムが、指定された更新プログラムを上回るものであり、デバイスがチェックインして、迅速な更新プログラムのポリシーで指定された更新プログラムをインストールする前に利用できる場合に発生します。 このシナリオの詳細なについては、この記事で後ほど説明します。

最新の品質更新プログラムをインストールすると、目的の更新プログラムのベネフィットを適用しながら、デバイスとユーザーの中断を削減することができます。 これにより、それぞれに再起動する必要が生じる可能性のある複数の更新プログラムをインストールする必要がなくなります。

最新の更新プログラムは、次の条件が満たされた場合に展開されます。

  • デバイスは、最新の更新プログラムのインストールをブロックする延期ポリシーの対象ではない。 この場合、インストールされる可能性がある更新プログラムは、延期されていない最新の更新プログラムです。

  • 更新プログラムを迅速化するプロセスの実行中、デバイスでは、新しい更新プログラムを検出する新しいスキャンが実行されます。 これは、次のタイミングで発生する可能性があります。

    • インストールを完了するためにデバイスが再起動されるとき
    • デバイスで毎日のスキャンが実行されるとき
    • 新しい更新プログラムが利用可能になったとき

    スキャンで新しい更新プログラムが識別されると、Windows Update により、元の更新プログラムのインストールが停止され、再起動が取り消されて、最新の更新プログラムのダウンロードとインストールが開始されます。

更新プログラムの迅速化ポリシーは、ポリシーで指定されている更新プログラムのバージョンの更新プログラムの遅延をオーバーライドしますが、他の更新プログラム のバージョンに対して配置されている遅延はオーバーライドされません。

迅速な更新プログラムのインストールの例

次のイベント シーケンスは、Test-1Test-2 という名前の 2 台のデバイスで、これらのデバイスに割り当てられた Windows 10 以降向けの品質更新ポリシーに基づいて更新プログラムをインストールする方法の例を示しています。

  1. Intune 管理者は毎月、その月の第 4 火曜日に、最新の Windows 10 品質更新プログラムを展開しています。 これにより、月例パッチ イベントから更新プログラムが強制的にインストールされるまで 2 週間の期間が与えられ、管理者はその間に、環境内の更新プログラムを検証することができます。

  2. 2021 年 1 月 19 日、デバイス Test-1Test-2 に、1 月 12 日の月例パッチのリリースから最新の品質更新プログラムがインストールされます。 翌日、どちらのデバイスも、それぞれ休暇で出かけるユーザーによって電源が切断されます。

  3. 2 月 9 日、Intune 管理者は、更新プログラムで解決される重大な脅威に対して会社のデバイスをセキュリティで保護するために、月例パッチ リリース 02/09/2021 – 2021.02 B Security Updates for Windows 10 のインストールを迅速化するポリシーを作成します。 この迅速化ポリシーは、Test-1Test-2 の両方を含むデバイスのグループに割り当てられます。 そのグループに含まれるアクティブなすべてのデバイスでは、迅速な更新プログラムのポリシーが受信され、更新プログラムがインストールされます。

  4. 3 月 9 日の月例パッチ イベントで、新しい品質更新プログラムが 03/09/2021 – 2021.03 B Security Updates for Windows 10 としてリリースされます。 この更新プログラムには、迅速な展開を必要とする重大な問題はありませんが、管理者は、競合の危険性があることを発見します。 発生するおそれのある問題を確認する時間を提供するために、管理者は Windows 更新リング ポリシーを使用して、7 日間の延期ポリシーを作成します。 すべてのマネージド デバイスでは、3 月 14 日まで、この更新プログラムをインストールできません。

  5. ここで、それぞれが再度電源を入れられた Test-1Test-2 の次の結果について考えてみましょう。

    • Test-1 - 3 月 12 日、Test-1 は再度電源が入れられ、ネットワークに接続されて、迅速な更新プログラムの通知を受信します。

      1. Windows Update により、Test-1 では、依然としてポリシーごとに更新プログラムのインストールを迅速化する必要があると判断されます。
      2. 3 月 9 日の更新プログラムは、2 月の更新プログラムを置き換えるため、Windows Update により、3 月 9 日の更新プログラムをインストールできました。
      3. 3 月の更新プログラムのアクティブな延期は、3 月 14 日まで期限切れになりません。

      結果: 3 月の更新プログラムの延期ポリシーは依然としてアクティブのままであり、その更新プログラムのインストールはブロックされ、Device-1 では、ポリシーで構成されている 2 月の更新プログラムがインストールされます。

    • Test-2 - 3 月 20 日、Test-2 の電源が再度入れられ、ネットワークに接続されて、迅速な更新プログラムの通知が受信されます。

      1. Windows Update により、Test-2 では、依然としてポリシーごとに更新プログラムのインストールを迅速化する必要があると判断されます。
      2. 3 月 9 日の更新プログラムは、2 月の更新プログラムを置き換えるため、Windows Update により、3 月 9 日の更新プログラムをインストールできました。
      3. 3 月の更新プログラムの延期はアクティブではなくなります。

      結果: 3 月の更新プログラムの延期ポリシーは期限切れになり、Test-2 では、最新の 3 月の更新プログラムがインストールされます。2 月の更新プログラムはスキップされ、ポリシーで指定されたものより後の更新プログラムがインストールされます。

品質更新プログラムを迅速化するポリシーを管理する

管理センターで、[デバイス>By platform>Windows>Manage updates>Windows 10 以降の更新プログラム>[Quality updates] タブに移動し、管理するポリシーを選択します。 ポリシーがその [概要] ウィンドウに表示されます。

このウィンドウから、次の作業を実行できます。

  • ポリシーを Intune から削除するには、[削除] を選択します。 ポリシーを削除すると Intune から削除されますが、既にインストールが完了している場合、更新プログラムはアンインストールされません。 Windows Update は進行中のインストールを取り消そうとしますが、進行中のインストールが正常に取り消されることを保証することはできません。

  • [プロパティ] を選択して、その展開を変更します。 "[プロパティ]" ウィンドウで、[編集] を選択し、[設定][スコープ タグ]、または [割り当て] を開くと、展開を変更できます。

監視とレポート

迅速な更新の結果と更新の状態を監視する前に、Intune テナントで データ収集を有効にする必要があります。

ポリシーを作成した後、次のレポートで結果、更新の状態、エラーを監視することができます。

概要レポート

このレポートには、プロファイル内のすべてのデバイスの現在の状態が表示され、更新プログラムのインストールが進行中、インストールが完了した、またはエラーが発生した各デバイスの数の概要が示されます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [レポート]>[Windows 更新プログラム] の順に選択します。 [概要] タブで、[Windows の迅速な品質更新プログラム] テーブルを表示できます。

  3. 詳細情報を表示するには、[レポート] タブ、[Windows Expedited Update Report]\(Windows Expedited Update レポート\) の順に選択します。

  4. 迅速な更新プログラムのプロファイルを選択する」のリンクをクリックします。

  5. ページの右側に表示されるプロファイルの一覧から、結果を確認するプロファイルを選択します。

  6. [レポートの生成] ボタンを選択します。

デバイス レポート

このレポートは、アラートまたはエラーが発生したデバイスを検出するのに役立ちます。また、更新プログラムの問題のトラブルシューティングにも役立ちます。

  1. Microsoft Intune 管理センターにサインインする

  2. [デバイス]>[監視] の順に選択します。

  3. 監視レポートの一覧で、[ソフトウェア更新プログラム] セクションまでスクロールし、[Windows Expedited update failures]\(Windows Expedited 更新プログラムの失敗\) を選択します。

  4. ページの右側に表示されるプロファイルの一覧から、結果を確認するプロファイルを選択します。

    デバイス レポートの例。

更新の状態

更新の状態 更新の下位状態 定義
Pending Validating デバイスがサービスのポリシーに追加され、デバイスを迅速化できるかどうかの検証が開始されました。
Pending スケジュール済み デバイスは、検証に合格し、迅速化されます。
オファリング OfferReady 迅速化の指示がデバイスに送信されました。
インストール OfferReceived デバイスにより、Windows Update に対するスキャンが実行され、更新プログラムは適用できますが、ダウンロードは開始されていません。
インストール DownloadStart デバイスで、更新プログラムのダウンロードが開始されました。
インストール DownloadComplete デバイスで、更新プログラムがダウンロードされました。
インストール InstallStart デバイスで、更新プログラムのインストールが開始されました。
インストール InstallComplete デバイスで、更新プログラムのインストールが完了しました。 更新プログラムに更新エラーがない限り、デバイスはすぐに、RestartRequired または UpdateInstalled に移ります。
インストール RestartRequired インストールが完了し、再起動する必要があります。
インストール RestartInitiated デバイスの再起動が開始されました。
インストール RestartComplete デバイスの再起動が完了しました。
インストール済み UpdateInstalled 更新は正常に完了しました。

次の手順