Intune での Windows 10 以降向け機能更新プログラムのポリシー

  • [アーティクル]

Intune で "Windows 10 以降の機能更新プログラム" を使用すると、デバイスで維持される Windows 機能更新プログラムのバージョンを選択できます (Windows 10 バージョン 1909、Windows 11 のバージョンなど)。 Intune では、ポリシーの作成時に、機能レベルを引き続きサポートされる任意のバージョンに設定することがサポートされています。

機能更新プログラムのポリシーを使用して、Windows 10 を実行しているデバイスを Windows 11 にアップグレードすることもできます。

Windows 機能更新プログラム ポリシーと "Windows 10 以降向け更新リング" ポリシーが連動することで、機能更新プログラム ポリシーに指定されている値よりも新しい Windows 機能バージョンをデバイスが受け取ることが禁止されます。

デバイスが機能更新プログラムのポリシーを受け取ると、次のようになります。

  • デバイスは、ポリシーで指定されたバージョンの Windows に更新されます。 より新しいバージョンの Windows を既に稼働しているデバイスは、その現在のバージョンのままになります。 バージョンを固定すると、ポリシーの期間中はそのデバイスの機能セットが安定した状態のままになります。

    注:

    その Windows バージョンの "セーフガード ホールド" がある場合、デバイスに更新プログラムはインストールされません。 デバイスによって更新プログラムのバージョンの適用性が評価されるときに、未解決の既知の問題が存在する場合、Windows によって一時的なセーフガード ホールドが作成されます。 問題が解決されると、ホールドは解除され、デバイスを更新できるようになります。

    • 機能更新プログラムの状態については、Windows ドキュメントの「セーフガード ホールド」を参照してください。

    • セーフガード ホールドが発生する可能性がある既知の問題については、該当する Windows リリース情報を参照し、そのページの目次から関連する Windows バージョンを参照してください。

      たとえば、Windows 11 バージョン 21H2 の場合は、Windows 11 のリリース情報に移動し、左側のウィンドウで [バージョン 21H2][既知の問題と通知] の順に選択します。 結果のページには、セーフガード ホールドが発生する可能性がある、その Windows バージョンの既知の問題の詳細が含まれています。

  • 更新リングで "一時停止" を使用する場合 (35 日後に期限切れになります) とは異なり、機能の更新ポリシーは有効なままです。 ユーザーが機能の更新ポリシーを変更または削除するまで、デバイスに新しい Windows バージョンはインストールされません。 ポリシーを編集して新しいバージョンを指定すると、デバイスにその Windows バージョンの機能をインストールできるようになります。

  • 機能更新プログラムを アンインストール する機能は、Update Rings によって引き続き適用されます。

  • ポリシーを構成して、Windows の更新プログラムがデバイスでオファーを利用できるようにするスケジュールを管理できます。 詳細については「Windows の更新プログラムのロールアウトオプション」を参照してください。

前提条件

重要

この機能は、GCC および GCC High/DoD クラウド環境ではサポートされていません。

既存の EA でサブスクリプションのアクティブ化を有効にする は、WuFB-DS 機能の GCC および GCC High/DoD クラウド環境には適用されません。

Intune の Windows 10 以降向け機能更新プログラムに求められる前提条件は次のとおりです。

  • 機能更新プログラムの作成とターゲット設定のコア機能には、Intuneのライセンスのみが必要です。 主要な機能には、ポリシーの作成と、デバイスを更新するための機能更新プログラムの選択、 できるだけ早く更新プログラムを利用できるようにする オプション、開始日の指定、レポートの使用が含まれます。 Professional SKU デバイスのクライアント ポリシーでサポートされる機能には、ライセンスは必要ありません。

  • クラウドベースの追加機能には、追加のライセンスが必要です。 クラウドベースの機能を使用するには、Intuneのライセンスに加えて、organizationには、Windows Update for Business デプロイ サービスのライセンスを含む次のいずれかのサブスクリプションが必要です。

    • Windows 10/11 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれます)

    • Windows 10/11 Education A3 または A5 (Microsoft 365 A3 または A5 に含まれます)

    • Windows Virtual Desktop Access E3 または E5

    • Microsoft 365 Business Premium

    2022 年 11 月以降、Windows Update for Business Deployment Service (WUfB ds) ライセンスがチェックされ、適用されます。

    追加のライセンスを必要とするクラウドベースの機能は、[ 機能更新プログラムの展開 またはポリシーの作成] ページに示され、次の項目と潜在的に新しい機能が含まれます。

    • 段階的なロールアウト: 段階的ロールアウト 機能はクラウド専用の機能であり、指定された機能更新プログラムを展開するための基本的なコントロールと、デバイスで更新プログラムを使用できるようにするタイミングが含まれています。

    • オプションの機能更新プログラム

    • Windows 10 (SxS): Windows 10 (SxS) 機能はクラウド専用の機能です。 ビジネス展開サービスのWindows Updateを必要とする機能の新しいポリシーを作成するときにブロックされ、Enterprise Agreement (EA) を介して WUfB を使用するためのライセンスを取得する場合は、Microsoft アカウント チームやライセンスを販売したパートナーなどのライセンスのソースに問い合わせてください。 アカウント チームまたはパートナーは、テナント ライセンスが WUfB ds ライセンス要件を満たしていることを確認できます。 「既存の EA でサブスクリプションのアクティブ化を有効にする」を参照してください。

  • デバイスでは次のことを行う必要があります。

    • 引き続きサポートされる Windows 10/11 のバージョンを実行する。

    • Intune MDM に登録し、Hybrid AD に参加するか、Microsoft Entra参加させます。

    • [必須] 以上の設定を使用してテレメトリを有効にしている。

      機能更新プログラムのポリシーを受信したデバイスのテレメトリが [未構成] (オフ) に設定されていた場合、機能更新プログラムのポリシーで定義されているよりも新しいバージョンの Windows がデバイスにインストールされる可能性があります。 この機能が一般公開に移行されるとき、テレメトリを必要とする前提条件は再検討されます。

      Windows 10/11 のデバイスの制限ポリシーの一部としてテレメトリを構成します。 デバイスの制限プロファイルの [レポートとテレメトリ] で、[使用状況データの共有] を、最小値である [必須] で構成します。 [拡張] (1903 以前) または [省略可能] の値もサポートされています。

    • [Microsoft アカウント サインイン アシスタント] (wlidsvc) を実行できる必要があります。 このサービスがブロックされているか [無効] に設定されている場合、更新プログラムの受信に失敗します。 詳細については、「他の更新プログラムは提供されるが、機能更新プログラムは提供されない」を参照してください。 既定では、サービスは [手動 (トリガー開始)] に設定されており、必要なときに実行できます。

    • エンドポイントにアクセスできます。 関連付けられているサービスに必要なエンドポイントの詳細な一覧については、ネットワーク エンドポイントに関 するページを参照してください。

  • 機能更新プログラムを展開するデバイスのIntuneでデータ収集を有効にします。

  • 機能更新プログラムは次の Windows 10/11 エディションでサポートされています。

    • Pro
    • 大企業
    • 教育
    • 教育
    • Pro for Workstations

    注:

    サポートされていないバージョンとエディション:
    Windows 10/11 Enterprise LTSC: Windows Update for Business (WUfB) では、Long Term Service Channel リリースはサポートされていません。 WSUS や Configuration Manager など、別の修正プログラムの手法を使用することを計画してください。

Workplace 参加済みデバイスの制限事項

Windows 10 以降の機能更新プログラムのIntuneポリシーでは、Windows Update for Business (WUfB) と Windows Update for Business デプロイ サービス (WUfB ds) を使用する必要があります。 WUfB が WPJ デバイスをサポートする場合、WUfB ds には WPJ デバイスではサポートされていないより多くの機能が用意されています。

Intune Windows Update ポリシーに関する WPJ の制限事項の詳細については、「Windows 10の管理」の「Workplace 参加済みデバイスのポリシーの制限事項および「Intuneのソフトウェア更新プログラムをWindows 11する」を参照してください。

Windows 10 以降向け機能更新プログラムのポリシーに関する制限事項

  • "Windows 10 以降向け機能更新プログラム" ポリシーを展開するデバイスで "Windows 10 以降向け更新リング" ポリシーも受け取る場合は、更新リングの次の構成について確認してください。

    • 機能更新プログラムの延期期間 (日)0 に設定することをお勧めします。 この構成により、更新リング ポリシーで構成される可能性がある更新プログラムの遅延によって、機能の更新が遅延しないようにします。
    • 更新リングの機能の更新プログラムは "実行中" である必要があります。 それらを一時停止しないでください。

    ヒント

    機能更新プログラムを使用している場合は、関連する Update Rings ポリシーで機能更新プログラムの延期期間を 0 に設定することをお勧めします。 更新リングの延期と機能更新プログラムのポリシーを組み合わせると、更新プログラムのインストールを遅らせる可能性のある複雑さが生じる可能性があります。

    詳細については、「更新リングの延期から機能更新プログラムのポリシーへの移行」を参照してください

  • Autopilot out of box experience (OOBE) では、Windows 10以降のポリシーの機能更新プログラムを適用できません。 代わりに、デバイスのプロビジョニング完了後 (通常は 1 日)、最初の Windows Update スキャン時にポリシーが適用されます。

  • Configuration Manager を使用してデバイスを共同管理している場合、Windows Update ポリシー ワークロードを Intune に新しく構成したときに、機能更新プログラム ポリシーがデバイスですぐに有効にならないことがあります。 この遅延は一時的なものですが、最初は、ポリシーで構成されているよりも新しい機能更新プログラム バージョンにデバイスが更新される可能性があります。

    この初期遅延が共同管理デバイスに影響を与えないようにするために:

    1. Microsoft Intune 管理センターにサインインします。

    2. [デバイス>By platform>Windows>Manage updates>Windows 10 以降の更新プログラム>Feature updates tab >[プロファイルの作成] に移動します。

    3. [展開の設定] には、ポリシーの意味が伝わる名前と説明を入力します。 次に、デバイスを実行する機能更新プログラムを[指定]します。

    4. デバイスへのポリシーの割り当てを含め、ポリシー構成を[完了]します。 ポリシーはデバイスに展開されますが、既に選択したバージョンまたは新しいバージョンを持つデバイスには更新プログラムは提供されません。

      ポリシーのレポートを[監視]します。 これを行うには、レポート>Windows Updates>Reports タブ >Feature Updates レポートに移動します。 作成したポリシーを[選択]し、レポートを生成します。

    5. OfferReady 以降の状態のデバイスは、機能更新プログラムに登録され、手順 3 で指定した更新プログラムよりも新しいものへの更新から保護されます。 「Windows 10機能更新プログラム (組織) レポートを使用する」を参照してください。

    6. 更新プログラムに登録され、保護されているデバイスでは、Windows Update ポリシー ワークロードを構成マネージャーから Intune に安全に変更できます。 共同管理ドキュメントの、「ワークロードを Intune に切り替える」 を参照してください。

  • デバイスが Windows Update サービスにチェックインされると、デバイスのグループ メンバーシップが、機能更新プログラムに含まれる機能更新プログラム ポリシー設定に割り当てられたセキュリティ グループに対して検証されます。

  • 機能更新プログラム ポリシーを受け取ったマネージド デバイスは、Windows Update for Business 展開サービスに自動的に登録されます。 展開サービスによって、デバイスが受け取る更新プログラムが管理されます。 Microsoft Intuneはこのサービスを使用し、Windows 更新プログラムのIntune ポリシーと連携して、機能更新プログラムをデバイスに展開します。

    デバイスが機能更新ポリシーに割り当てられなくなった場合、デバイスはデプロイ サービスに登録されたままになります。 この変更により、デバイスを別のポリシーに割り当て、その間にデバイスが意図されていない機能更新プログラムを受け取らないようにする時間が与えられます。

その結果、機能更新プログラム ポリシーがデバイスに適用されなくなった場合、次のいずれかが発生するまで、そのデバイスには機能更新プログラムは提供されません。

  • デバイスが、新しい機能更新プログラム プロファイルに割り当てられる。
  • デバイスが Intune から登録解除される。これにより、デバイスは展開サービスによる機能更新プログラムの管理から登録解除されます。
  • ユーザーが、Business 展開サービス グラフ API に対する Windows Update を使用して、機能更新プログラムの管理からデバイスを削除する

Windows 10 以降向け機能更新プログラムのポリシーの作成および割り当て

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス>By platform>Windows>Windows 10 以降の更新プログラム>[Feature updates] タブ >[プロファイルの作成] を選択します。

  3. [展開 の設定] で、次の手順を実行します。

    a. 名前説明: 名前、説明 (省略可能) を指定します。

    b. 必須/省略可能な更新: これらのオプションは、ターゲット バージョンがWindows 11されている場合にのみ使用できます。

    • 既定のオプション [ 必要な更新プログラムとしてユーザーが使用できるようにする ] が選択されている場合、デバイスはデバイス設定に基づいて更新プログラムを自動的にインストールします。
    • 管理者がオプションの 更新プログラムとして [ユーザーに利用可能にする] オプションを選択すると、選択した更新プログラムがオプションの更新プログラムとしてユーザーに提供されます。 ロールアウト設定は、更新プログラムがデバイスで使用できるタイミングを引き続き制御しますが、ユーザーはデバイスにインストールする前に更新プログラムのインストールを選択する必要があります。

    ユーザーが自分のデバイスに表示する内容
    管理者が更新プログラムを オプション の更新プログラムとして使用できるようにする場合、ユーザーは [Windows 更新プログラムの設定] ページに移動して、更新プログラムのインストールを確認して選択する必要があります。 オプションの更新プログラムを利用できるように、通信チャネルを介してエンド ユーザーに通信することをお勧めします。
    ユーザーが [Windows 更新プログラムの設定 ] ページに移動すると、更新プログラムのインストールを確認して選択できます。 ユーザーは、[ ダウンロード ] をクリックして更新プログラムをインストールする必要があります。 それ以外の場合、管理者が 必要な 更新プログラムを作成するまでインストールされません。 これは、ユーザーが個人用 PC で使い慣れているのと同じオプションの更新エクスペリエンスです。

    管理者が [省略可能] から [必須] に切り替えると、次の動作が観察されます。

    • Updatesは、オプションの更新プログラムのときに更新プログラムをインストールし直したユーザーには再インストールされません。
    • 更新プログラムでデバイスが起動していない場合、次回デバイスが更新プログラムをチェックすると、更新プログラムが処理され、 必要な 更新プログラムとして自動的にインストールされます。

    管理者が [必須] から [省略可能] に切り替えると、次の動作が観察されます。

    • 更新プログラムが既にインストールされているデバイスには影響しません。
    • 再起動が保留中のデバイスは、引き続き 必要な 更新プログラムとして更新プログラムをインストールする可能性があります。
    • 切り替えは、まだ更新プログラムを開始していないデバイス、または更新プロセスの早い段階にあったデバイスにのみ影響するため、 オプション の更新プログラムに変更できます。

    c. 展開する機能更新プログラム: デバイスに展開する機能セットを使用して、特定のバージョンの Windows を選択します。 引き続きサポートされる Windows のバージョンのみを選択できます。

    d. ロールアウト オプション: Windows Updatesがこのポリシーを受け取るデバイスで更新プログラムを使用できるようにするタイミングを管理するようにロールアウト オプションを構成します。 これらのオプションの使用方法の詳細については、「Windows Updatesのロールアウト オプション」を参照し、[次へ] を選択します。

  4. [割り当て] で、[+ 含めるグループの選択] を選択し、機能更新プログラムのデプロイを 1 つ以上のデバイス グループに割り当てます。 [次へ] を選んで続行します。

  5. [レビュー + 作成] で、設定を確認します。 機能更新プログラム ポリシーを保存する準備ができたら、[作成] を選択します。

デバイスを Windows 11 にアップグレードする

Windows 10 以降向け機能更新プログラムのポリシーを使用して、Windows 10 を実行しているデバイスを Windows 11 にアップグレードすることもできます。

機能更新プログラム ポリシーを使用して Windows 11 を展開する場合、Windows 10 デバイスをポリシーの対象にすることができ、Windows 11 の最小要件を満たすデバイスが Windows 11 にアップグレードされます。 Windows 11の要件を満たしていないデバイスは、更新プログラムをインストールせず、現在のWindows 10バージョンのままです。

もう 1 つのオプションは、デバイスがWindows 11を実行できない場合は、最新のWindows 10機能更新プログラムをインストールし、Windows 11の要件を満たしていないデバイスは、代わりに最新のWindows 10機能更新プログラムを取得します。

ただし、Windows 11を実行できないWindows 10 デバイスがWindows 11更新プログラムの対象になっている場合、今後のWindows 10更新プログラムはそのデバイスに自動的に提供されません。 この場合、Windows 11 ポリシーから対象外のデバイスを削除し、デバイスを Windows 10 機能更新ポリシーに割り当てます。 「複数のポリシーがデバイスを対象とする場合の更新動作」をご覧ください。

Windows 11 へのアップグレードの準備

Windows 11 へのアップグレードを準備するための最小の手順は、お使いのデバイスが Windows 11 の最小システム要件を満たしていることを確認することです。

Microsoft Intuneのエンドポイント分析を使用して、ハードウェア要件を満たすデバイスを判断できます。 一部のデバイスがすべての要件を満たしていない場合、要件を満たしていない部分を正確に把握することができます。 Endpoint Analytics を使用するには、デバイスを Intune で管理するか、共同管理するか、テナント接続が有効になっている 構成マネージャー クライアント バージョン 2107 以降が必要です。

エンドポイント分析を既に使用している場合は、[どこからでも作業] レポートに移動し、中央の Windows スコア カテゴリを選択して、Windows 11準備情報の集計を含むポップアップを開きます。 より詳細を確認するには、レポートの上部にある [Windows] タブに移動します。 [Windows] タブには、デバイスごとの準備情報が表示されます。

Windows 11 バージョンのライセンス

Windows 11 には新しい使用許諾契約書があり、その内容は https://www.microsoft.com/useterms/ で確認できます。 このライセンス契約は、Windows 11 を展開するためのポリシーを提出した組織に自動的に承諾されます。

Microsoft Intune管理センターでポリシーの構成を使用してWindows 11バージョンを展開すると、Microsoft Intune管理センターに通知が表示され、ポリシーを送信することで、デバイスとデバイス ユーザーに代わってWindows 11使用許諾契約条項に同意していることを通知します。 機能更新ポリシーを送信すると、エンド ユーザーはライセンス契約を表示したり同意したりする必要がなくなり、更新プロセスがシームレスになります。

このライセンス リマインダーは、すべての Windows デバイスが既に Windows 11 を実行している場合でも、Windows 11 ビルドを選択するたびに表示されます。 このプロンプトは、Intuneがポリシーを受け取るデバイスを追跡せず、Windows 10を実行する可能性のある新しいデバイスが後で登録され、ポリシーの対象になる可能性があるためです。

一般的なライセンスの詳細を含む詳細情報については、「Windows 11 ドキュメント」を参照してください。

Windows 11 用ポリシーの作成

Windows 11を展開するには、Windows 10 デバイスに対して以前に行った場合と同様に、機能更新プログラム ポリシーを作成して展開します。 これは同じプロセスですが、Windows 10バージョンを選択する代わりに、[機能更新プログラム] ドロップダウン リストからWindows 11バージョンを選択します。 ドロップダウン リストには、サポート対象である Windows 10 と Windows 11 の両方のバージョン更新情報が表示されます。

また、管理者は、Windows 11の対象ではないデバイスに最新のWindows 10更新プログラムを展開することもできます。 この機能を有効にするには、管理者は[デバイスがWindows 11を実行できない場合は、展開ポリシーに最新のWindows 10機能の更新プログラムをインストールする] チェック ボックスをオンにする必要があります。 この機能は、[機能更新プログラム] ドロップダウン リストから Windows 11 バージョンを選択し、テナントがこのドキュメントの冒頭で定義されているライセンス要件を満たしている場合にのみ使用できます。

この機能では、2 つの異なる展開ポリシーまたは 2 つの異なる機能更新プログラムを作成する必要はありません。 1 つのポリシーを使用すると、Windows 11に移動できないWindows 10デバイスを取得して、最新のWindows 10バージョンにアップグレードしたり、Windows 11に移動して選択したWindows 11バージョンにアップグレードしたりできるすべてのデバイスを取得できます。

チェックボックスの値を変更すると現在のデプロイが終了し、2 つの新しいデプロイが開始されるため、既存のポリシーのチェックボックスを設定することはできません。 展開設定を変更するには、現在の機能更新ポリシーを削除し、チェック ボックスをオンにして新しいポリシーを作成します。

  • 以前のバージョンの Windows をデバイスに展開しても、デバイスはダウングレードされません。 デバイスは、更新プログラムがデバイスの現在のバージョンよりも新しい場合にのみ、更新プログラムをインストールします。
  • Windows 11 をサポートする Windows 10 デバイスに Windows 11 更新プログラムを展開すると、そのデバイスがアップグレードされます

複数のポリシーがデバイスを対象とする場合の更新動作

機能更新ポリシーが複数の更新ポリシーを持つデバイスを対象にする場合、または Windows 11 向け更新プログラムを含む Windows 10 デバイスを対象にする場合は、次の点を考慮してください。

  • 各 Windows 機能更新ポリシーでは、1 つの更新プログラムがサポートされています。 デバイスが複数のポリシーの対象になっている場合は、複数の更新バージョンを対象にしている可能性があります。

  • Windows Update サービスでは、一度に 1 つの機能更新プログラムのみ提供され、デバイスを対象とする最新の更新プログラム バージョンが常に提供されます。

  • Windows 11 更新プログラムは Windows 10 以降のバージョンとみなされるため、サービスは常に Windows 10 と Windows 11 の両方の更新プログラムを対象とするデバイスに Windows 11 更新プログラムを提供します。 これは、Windows 10 デバイスへの Windows 11 更新プログラムの展開がサポートされているアップグレード パスであるためです。

  • [デバイスがWindows 11を実行できない場合は、複数のポリシーを使用する場合に最新のWindows 10機能更新プログラムをインストールします。このセクションで説明する問題を回避し、Windows 11がデバイスに適格でないことを検出するようにサービスを構成し、代わりに最新のWindows 10機能更新プログラムを提供します。

注:

同じデバイス/秒で 2 つのポリシーを作成し、1 つを [必須] に設定し、もう 1 つを [省略可能] に設定し、両方のポリシーで同じ機能更新プログラムのバージョンをターゲットにした場合、更新プログラムは [必須] として提供されます。

Windows 10 以降向け機能更新プログラムのポリシーの管理

管理センターで、[デバイス>By platform>Windows>Manage updates>Windows 10 以降の更新プログラム>Feature updates]\(更新プログラム\) タブに移動して、プロファイルを表示します。

各プロファイルについて、次のことを確認できます。

  • [機能更新プログラムのバージョン] – プロファイルでの機能更新プログラムのバージョン。

  • [割り当て済み] – プロファイルが 1 つ以上のグループに割り当てられている場合。

  • [サポート]: 機能更新プログラムの状態:

    • [サポートされています] – 機能更新プログラムのバージョンはサポートされており、デバイスに展開できます。
    • [サポートの終了が近づいています] – 機能更新プログラムのバージョンはサービス終了日の 2 か月以内です。
    • [サポートされていません] – 機能更新プログラムのサポートは期限切れになり、デバイスに展開されなくなりました。

  • [サポート終了日] – 機能更新プログラムのバージョンのサポート終了日。

注:

指定された日付は、Windows の Enterprise および Education エディション用です。 Windows Update for Business 展開サービスでサポートされている他のエディションのサポート日については、Microsoft 製品ライフサイクル サイトを参照してください。

一覧からプロファイルを選択すると、プロファイルの [概要] ペインが開き、次の作業を行うことができます。

  • [削除] を選択して、そのポリシーを Intune から削除し、デバイスから削除します。
  • [プロパティ] を選択して、その展開を変更します。 [プロパティ] ウィンドウで [編集] を選択すると、"[展開の設定] または [割り当て]" が開きます。ここで展開を変更できます。

注:

[End user update status Last scanned Time]\(最終スキャン時間\) の値は、最初のユーザーがログオンし、セッション オーケストレーター (USO) スキャンを更新するまで、"未スキャン" を返します。 統合更新プラットフォーム (UUP) アーキテクチャと関連コンポーネントの詳細については、「Windows Updateの概要」を参照してください。

検証とレポート

Intune で Windows 10/11 更新プログラムの詳細なレポートを取得するには、複数のオプションがあります。 Windows Update レポートでは、Windows 10 と Windows 11 のデバイスに関する詳細が同じレポートに並んで表示されます。

詳細については、Intune コンプライアンス レポートに関するページを参照してください。

次の手順