デバイス登録の概要

  • [アーティクル]

Windows Autopatch は、お客様の代わりに更新プログラムの展開を管理するために 、既存のデバイス をサービスに登録する必要があります。

Windows Autopatch デバイス登録プロセスは、デバイスをリセットする必要がないため、エンド ユーザーにとって透過的です。

全体的なデバイス登録プロセスは次のとおりです。

デバイス登録プロセスの概要

  1. IT 管理者は、 Windows Autopatch にデバイスを登録する前に、Windows Autopatch デバイス登録の前提条件 を確認します。
  2. IT 管理者は、カスタム オートパッチ グループまたは既定の自動パッチ グループの一部としてデバイス ベースの Microsoft Entra グループ を追加することで、Windows Autopatch によって管理されるデバイスを識別します。
  3. 次に、Windows Autopatch:
    1. デバイスの準備を事前登録 (前提条件チェック) を実行します。
    2. デプロイ リングの分布を計算します。
    3. 前の計算に基づいて、いずれかの展開リングにデバイスを割り当てます。
    4. 管理に必要な他の Microsoft Entra グループにデバイスを割り当てます。
    5. 更新プログラムの展開ポリシーを適用できるように、デバイスを管理用にアクティブとしてマークします。
  4. 次に、IT 管理者は、デバイス登録の傾向と更新プログラムの展開レポートを監視します。

デバイス登録ワークフローの詳細については、Windows Autopatch デバイス登録プロセスの背後にある技術的な詳細については、「 デバイス登録ワークフローの詳細な図 」セクションを参照してください。

デバイス登録ワークフローの詳細図

次の詳細なワークフロー図を参照してください。 この図では、Windows Autopatch デバイス登録プロセスについて説明します。

デバイス登録ワークフローの詳細図

ステップ 説明
手順 1: デバイスを識別する IT 管理者は、Windows Autopatch サービスによって管理されるデバイスを識別します。
手順 2: デバイスを追加する IT 管理者は、カスタムオートパッチ グループの作成カスタムオートパッチ グループの編集、または既定のオートパッチ グループの編集中に既存のデバイス ベースの Microsoft Entra グループを追加する場合に、ダイレクト メンバーシップを介してデバイスを追加するか/、他の Microsoft Entra ID を Windows Autopatch Device Registration Microsoft Entra ID 割り当てグループに入れ子にします。
手順 3: デバイスを検出する Windows Autopatch Discover Devices 関数は、IT 管理者が以前に Windows Autopatch Device Registration Microsoft Entra ID 割り当てグループに追加したデバイス (時間単位) または 手順 2. で Autopatch グループで使用される Microsoft Entra グループからデバイスを検出します。 Microsoft Entra デバイス ID は、デバイスをサービスに登録するときに、Microsoft Intune と Microsoft Entra ID の両方でデバイス属性を照会するために Windows Autopatch によって使用されます。
  1. Microsoft Entra グループからデバイスが検出されると、同じ関数によって追加のデバイス属性が収集され、検出操作中にそのデバイスがメモリに保存されます。 この手順では、次のデバイス属性が Microsoft Entra ID から収集されます。
    1. AzureADDeviceID
    2. OperatingSystem
    3. DisplayName (デバイス名)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. この同じ手順では、Windows Autopatch discover devices 関数は、デバイスの前提条件チェック関数である別の関数を呼び出します。 デバイスの前提条件チェック機能は、登録前に Windows Autopatch デバイスの準備要件に準拠するために、ソフトウェア ベースのデバイス レベルの前提条件を評価します。
手順 4: 前提条件を確認する Windows Autopatch の前提条件関数は、Intune Graph API 呼び出しを行って、登録プロセスに必要なデバイスの準備属性を順番に検証します。 詳細については、「 前提条件の詳細なチェック ワークフローダイアグラム 」セクションを参照してください。 サービスは、次のデバイス準備属性や前提条件を確認します。
  1. デバイスが Intune で管理されているかどうか。
    1. Windows Autopatch は、 Microsoft Entra デバイス ID に Intune デバイス ID が関連付けられているかどうかを確認します。
      1. はいの場合は、このデバイスが Intune に登録されていることを意味します。
      2. そうでない場合は、デバイスが Intune に登録されていないことを意味するため、Windows Autopatch サービスで管理することはできません。
    2. デバイスが Intune によって管理されていない場合、Windows Autopatch サービスは、オペレーティング システムのバージョン、Intune 登録日、デバイス名、その他の属性などのデバイス属性を収集できません。 この場合、Windows Autopatch サービスは、 手順 3a で収集され、そのメモリに保存された Microsoft Entra デバイス属性を使用します。
      1. 手順 3a で Microsoft Entra ID から収集されたデバイス属性が取得されると、デバイスに [前提条件の失敗] 状態のフラグが設定され、[未登録] タブに追加され、IT 管理者はデバイスが Windows Autopatch に登録されていない理由を確認できます。 IT 管理者はこれらのデバイスを修復します。 この場合、IT 管理者は、デバイスが Intune に登録されていない理由を確認する必要があります。
      2. 一般的な理由は、Microsoft Entra デバイス ID が古くなっている場合、Intune デバイス ID が関連付けられていないことです。 修復するには、 古い Microsoft Entra デバイス レコードをテナントからクリーンアップします
    3. デバイスが Intune によって管理されている場合、Windows Autopatch の前提条件チェック機能は次の前提条件チェックに進み、デバイスが過去 28 日間に Intune にチェックインされたかどうかを評価します。
  2. デバイスが Windows デバイスかどうか。
    1. Windows Autopatch は、デバイスが Windows および企業所有のデバイスであるかどうかを確認します。
      1. はいの場合は、Windows 企業所有のデバイスであるため、このデバイスをサービスに登録できることを意味します。
      2. そうでない場合は、デバイスが Windows 以外のデバイスであるか、Windows デバイスですが個人用デバイスであることを意味します。
  3. Windows Autopatch は、Windows SKU ファミリをチェックします。 SKU は次のいずれかである必要があります。
    1. Enterprise
    2. プロ
    3. Pro Workstation
  4. デバイスがオペレーティング システムの要件を満たしている場合、Windows Autopatch はデバイスが次のいずれかであるかどうかを確認します。
    1. Intune によってのみ管理されます。
      1. デバイスが Intune によってのみ管理されている場合、デバイスは [すべての前提条件に合格] としてマークされます。
    2. Configuration Manager と Intune の両方によって共同管理されます。
      1. デバイスが Configuration Manager と Intune の両方で共同管理されている場合は、追加の前提条件チェックが評価され、共同管理状態のデバイスを管理するために Windows Autopatch で必要な共同管理が有効なワークロードをデバイスが満たしているかどうかを判断します。 この手順で評価される必要な共同管理ワークロードは次のとおりです。
        1. Windows 更新プログラム ポリシー
        2. デバイス構成
        3. Office クリックして実行する
      2. Windows Autopatch によって、これらのワークロードのいずれかがデバイスで有効になっていないと判断された場合、サービスはデバイスを [前提条件の失敗 ] としてマークし、デバイスを [ 未登録 ] タブに移動します。
手順 5: デプロイ リングの割り当てを計算する 手順 4 で説明されているすべての前提条件にデバイスが合格すると、Windows Autopatch は展開リングの割り当ての計算を開始します。 次のロジックを使用して、Windows Autopatch 展開リングの割り当てを計算します。
  1. Windows Autopatch テナントの既存のマネージド デバイス サイズが 200 ≤の場合、展開リングの割り当ては 最初 (5%)高速 (15%) で、残りのデバイスは Broad リング (80%) に移動します
  2. Windows Autopatch テナントの既存のマネージド デバイス サイズが >200 の場合、展開リングの割り当ては 最初 (1%)高速 (9%) になり、残りのデバイスは Broad リング (90%) に移動します
手順 6: デバイスを展開リング グループに割り当てる 展開リングの計算が完了すると、Windows Autopatch は、次の Microsoft Entra グループによって表されるサービス ベースの展開リング セットである 2 つの展開リング セットにデバイスを割り当てます。
  1. モダン ワークプレース Devices-Windows Autopatch-First
    1. Windows Autopatch デバイス登録プロセスでは、Microsoft Entra グループ (Modern Workplace Devices-Windows Autopatch-Test) によって表されるテスト リングにデバイスが自動的に割り当てられません。 デバイスをより広範なデバイスに展開する前に、デバイスをテスト リングに割り当てて更新プログラムの展開を検証することが重要です。
  2. 最新の Workplace Devices-Windows Autopatch-Fast
  3. モダン ワークプレース Devices-Windows Autopatch-Broad
    4. 次に、2 つ目の展開リング セット、次の Microsoft Entra グループによって表されるソフトウェア更新プログラム ベースの展開リング セット。
    • Windows Autopatch - Ring1
      • Windows Autopatch デバイス登録プロセスでは、Microsoft Entra グループ (Windows Autopatch - Test) で表されるテスト リングにデバイスが自動的に割り当てられるわけではありません。 デバイスをより広範なデバイスに展開する前に、デバイスをテスト リングに割り当てて更新プログラムの展開を検証することが重要です。
    • Windows Autopatch - Ring2
      • Windows Autopatch - Ring3
手順 7: Microsoft Entra グループにデバイスを割り当てる Windows Autopatch では、特定の条件が適用されるときに、次の Microsoft Entra グループにもデバイスが割り当てられます。
  1. 最新のワークプレース デバイス - すべて
    1. このグループには、Windows Autopatch によって管理されているすべてのデバイスがあります。
  2. 最新のワークプレース デバイス - 仮想マシン
    1. このグループには、Windows Autopatch によって管理されているすべての 仮想デバイス があります。
手順 8: デバイス登録後 デバイス登録後に、次の 3 つのアクションが実行されます。
  1. Windows Autopatch は、マネージド データベースにデバイスを追加します。
  2. [登録済み] タブでデバイスにアクティブとしてフラグを設定します。
  3. 正常に登録されたデバイスの Microsoft Entra デバイス ID が、Microsoft Cloud Managed Desktop 拡張機能の許可リストに追加されます。 Windows Autopatch では、デバイスが登録されると Microsoft Cloud Managed Desktop 拡張機能エージェントがインストールされるため、エージェントは Microsoft Cloud Managed Desktop 拡張機能サービスと通信できます。
    1. エージェントは、Windows Autopatch テナント登録プロセス中に作成された モダン ワークプレース - 自動パッチ クライアント セットアップ PowerShell スクリプトです。 このスクリプトは、デバイスが Windows Autopatch サービスに正常に登録されると実行されます。
手順 9: デバイスの登録状態を確認する IT 管理者は、[ 登録済 み] タブと [未登録] タブの両方でデバイス の登録状態を 確認します。
  1. デバイスが 正常に登録された場合は、[登録済み] タブにデバイス 表示されます。
  2. 登録されていない場合は、[未登録] タブにデバイスが表示されます。
手順 10: 登録ワークフローの終了 これは、Windows Autopatch デバイス登録ワークフローの最後です。

詳細な前提条件チェック ワークフロー図

前の詳細なデバイス登録ワークフロー図手順 4 で説明したように、次の図は、Windows Autopatch デバイス登録プロセスの前提条件コンストラクトを視覚的に表したものです。 前提条件のチェックは順番に実行されます。

詳細な前提条件チェック ワークフロー図

Windows Autopatch 展開リング

テナント登録プロセス中に、Windows Autopatch によって次の 2 つの異なる展開リング セットが作成されます。

次の 4 つの Microsoft Entra ID 割り当てグループを使用して、サービス ベースの展開リング セットのデバイスを整理します。

サービス ベースのデプロイ リング 説明
モダン ワークプレース Devices-Windows Autopatch-Test サービス ベースの構成をテストするためのデプロイ リング、運用環境のロールアウト前のアプリのデプロイ
モダン ワークプレース Devices-Windows Autopatch-First 早期導入者向けの最初の運用デプロイ リング。
モダン ワークプレース Devices-Windows Autopatch-Fast 迅速なロールアウトと導入のための迅速な展開リング
モダン ワークプレース Devices-Windows Autopatch-Broad 組織への広範なロールアウトのための最終的な展開リング

既定のオートパッチ グループ内のソフトウェア更新ベースの展開リング セットのデバイスを整理するために使用される 5 つの Microsoft Entra ID 割り当てグループ:

ソフトウェア更新プログラムベースの展開リング 説明
Windows Autopatch - テスト 運用環境のロールアウト前にソフトウェア更新プログラムベースの展開をテストするための展開リング。
Windows Autopatch - Ring1 早期導入者向けの最初の運用デプロイ リング。
Windows Autopatch - Ring2 迅速なロールアウトと導入のための迅速な展開リング。
Windows Autopatch - Ring3 組織への広範なロールアウトのための最終的な展開リング。
Windows Autopatch - Last 組織内の初期および一般的な集団で十分にテストされた後にソフトウェア更新プログラムの展開を受け取る必要がある特殊なデバイスまたは VIP/エグゼクティブ向けのオプションの展開リング。

ソフトウェア ベースの展開リング セットでは、各展開リングには、更新プログラムのロールアウトを制御するための更新プログラム展開ポリシーのセットが異なります。

注意

これらのグループにデバイスを直接追加またはインポートすることはサポートされていません。 これを行うと、Windows Autopatch サービスに影響する可能性があります。 これらのグループ間でデバイスを移動するには、「 展開リング間でのデバイスの移動」を参照してください。

重要

Windows Autopatch デバイスの登録では、既定の Autopatch グループのサービス ベース (Modern Workplace Devices-Windows Autopatch-Test) またはソフトウェア更新プログラム ベース (Windows Autopatch - Test および Windows Autopatch - Last) のテスト展開リングにデバイスが割り当てられません。 これは、ビジネスに不可欠なデバイスが影響を受けたり、役員が使用するデバイスが早期のソフトウェア更新プログラムの展開を受け取ったりするのを防ぐことを目的としています。

デバイス登録プロセス中に、Windows Autopatch は、 サービスベースおよびソフトウェア更新プログラム ベースの展開リング に各デバイスを割り当てて、サービスが組織全体のデバイスの多様性を適切に表現できるようにします。

展開リングの配布は、特定の更新プログラムの展開の品質評価に必要なシグナルを取得するために、ソフトウェア更新プログラムの展開をできるだけ少ないデバイスにリリースするように設計されています。

追加の展開リングを作成したり、Windows Autopatch サービスによって管理されているデバイスに独自のリングを使用したりすることはできません。

既定のデプロイ リング計算ロジック

Windows Autopatch 展開リングの計算は、デバイス登録プロセス中に行われ、 サービス ベースとソフトウェア更新プログラム ベースの展開リング セットの両方に適用されます。

  • Windows Autopatch テナントの既存のマネージド デバイス サイズが 200 ≤の場合、展開リングの割り当ては First (5%)、Fast (15%) で、残りのデバイスは Broad リング (80%) に移動します
  • Windows Autopatch テナントの既存のマネージド デバイス サイズが >200 の場合、展開リングの割り当ては最初 (1%)、高速 (9%) になり、残りのデバイスは Broad リング (90%) に移動します

既定の自動パッチ グループを編集することで、デプロイ リング計算ロジックをカスタマイズできます。

サービス ベースのデプロイ リング 既定の Autopatch グループデプロイ リング 既定のデバイスの分散率 説明
テスト テスト ゼロ Windows Autopatch では、この展開リングにデバイスが自動的に追加されることはありません。 必要な手順に従って、デバイスをテスト リングに手動で追加する必要があります。 これらの手順の詳細については、「 展開リング間でのデバイスの移動」を参照してください。 環境のサイズに基づいて、このリング内の推奨デバイス数は次のとおりです。
  • 0 から 500 デバイス: 1 台 以上のデバイス。
  • 500 から 5000 デバイス: 5 台以上のデバイス。
  • 5000 以上の デバイス: 50 台以上のデバイス。
このグループのデバイスは、最初にここで変更がリリースされるため、IT 管理者とテスト担当者を対象としています。 このリリース スケジュールは、運用環境のユーザーに到達する前に更新プログラムを検証する機会を組織に提供します。
First リング 1 1% 最初のリングは、変更を受け取る運用ユーザーの最初のグループです。

このグループは、Windows Autopatch にデータを送信するデバイスの最初のセットであり、すべてのエンド ユーザー間で正常性シグナルを生成するために使用されます。 たとえば、Windows Autopatch では、すべてのエンド ユーザーに対して特定のリリースで重大なエラーが急上昇していることを示す統計的に有意なシグナルが生成される可能性がありますが、組織内でそうしていることを確信することはできません。

Windows Autopatch にはリリースの決定を通知するのに十分なデータがないため、テスト リングの初期テスト中にカバーされなかったシナリオがある場合、この展開リング内のデバイスで障害が発生する可能性があります。
Fast (高速) リング 2 9% Fast リングは、変更を受け取る運用ユーザーの 2 番目のグループです。 ファースト リングからの信号は、Broad リングへのリリース プロセスの一部と見なされます。

このデプロイ リングの目標は、テナント レベルで統計的に有意な分析を生成するために必要な 500 デバイスのしきい値を超える方法です。 これらの追加デバイスを使用すると、Windows Autopatch は、デバイスの残りの部分に対するリリースの影響を考慮し、テナントの対象となるアクションが必要かどうかを評価できます。
Broad リング 3 80% または 90% Broad リングは、ソフトウェア更新プログラムの展開を受け取るユーザーの最後のグループです。 Windows Autopatch に登録されているほとんどのデバイスが含まれるため、ソフトウェア更新プログラムの展開の速度よりも安定性が優先されます。
該当せず 前の ゼロ 最後のリングは、特殊なデバイスまたは組織内の VIP/エグゼクティブに属するデバイスに使用することを目的としています。 Windows Autopatch では、この展開リングにデバイスが自動的に追加されることはありません。

ソフトウェアの更新ベースからサービス ベースの展開リングへのマッピング

Autopatch グループで導入されたサービス ベースの展開リングとソフトウェア更新プログラム ベースの展開リングの間には、1 対 1 のマッピングがあります。 このマッピングは、Microsoft 365 Apps や Microsoft Edge などの自動パッチ グループをまだサポートしていない他のソフトウェア更新ワークロードの展開リング間でデバイスを移動するのに役立ちます。

デバイスを に移動する場合 デバイスも に移動します。
Windows Autopatch - テスト モダン ワークプレース Devices-Windows Autopatch-Test
Windows Autopatch - Ring1 モダン ワークプレース Devices-Windows Autopatch-First
Windows Autopatch - Ring2 モダン ワークプレース Devices-Windows Autopatch-Fast
Windows Autopatch - Ring3 モダン ワークプレース Devices-Windows Autopatch-Broad
Windows Autopatch - Last モダン ワークプレース Devices-Windows Autopatch-Broad

Autopatch グループに 5 つ以上の展開リングがあり、Ring3 の後にデバイスを展開リングに移動する必要がある場合。 例: <Autopatch group name - Ring4, Ring5, Ring6, etc.>。 デバイスは、 モダン ワークプレース Devices-Windows Autopatch-Broad に移動されます。

展開リング間でのデバイスの移動

Windows Autopatch の展開リングの割り当て後に、デバイスを別の展開リング (サービスまたはソフトウェアの更新プログラムベース) に移動する場合は、[ 登録済み ] タブから 1 つ以上のデバイスに対して次の手順を繰り返すことができます。

重要

デバイスを移動できるのは、 同じ Autopatch グループ内の展開リング間のみです。 異なる Autopatch グループ間で展開リング間でデバイスを移動することはできません。 1 つの Autopatch グループに属するデバイスと、別の Autopatch グループに属する別のデバイスを選択しようとすると、Microsoft Intune ポータルの右上隅に次のエラー メッセージが表示されます。"エラーが発生しました。同じ Autopatch グループ内のデバイスを選択してください

展開リング間でデバイスを移動するには:

デバイスを他の展開リングに移動できるのは、[ 登録済み ] タブでアクティブな状態になっている場合のみです。

  1. Intune 管理センターで、左側のウィンドウで [デバイス] を選択します。
  2. [ Windows Autopatch ] セクションで、[ デバイス] を選択します。
  3. [ 登録済み ] タブで、割り当てるデバイスを 1 つ以上選択します。 選択したすべてのデバイスが、指定した展開リングに割り当てられます。
  4. メニューから [ デバイス アクション ] を選択します。
  5. [ リングの割り当て] を選択します。 フライインが開きます。
  6. ドロップダウン メニューを使用して、デバイスを移動する展開リングを選択し、[保存] を選択します。 [割り当てられたリング] 列が [保留中] に変更されます。
  7. 割り当てが完了すると、列 によって割り当てられたリング が管理者に変更され (変更が行われたことを示します)、[ リング ] 列に新しいデプロイ リングの割り当てが表示されます。

手順 5 で [Ring assigned by column]\(リングによって割り当てられたリング\) が [ 保留中] に変わっていない場合は、デバイスが Microsoft Intune に存在するかどうかを確認し、デバイス ブレードで検索します。 詳細については、「 Intune のデバイスの詳細」を参照してください。

Warning

Microsoft Entra グループ メンバーシップを直接変更して展開リング間でデバイスを移動することはサポートされていないため、Windows Autopatch サービス内で意図しない構成の競合が発生する可能性があります。 デバイスへのサービス中断を回避するには、前述の 「デバイスを呼び出しリングに割り当てる 」アクションを使用して、展開リング間でデバイスを移動します。

自動デプロイ リング修復関数

Windows Autopatch は、展開リングのデバイス メンバーシップを監視します。 ただし、Modern Workplace Devices-Windows Autopatch-TestWindows Autopatch - TestWindows Autopatch - Last リングを除き、マネージド デバイスが展開リングの 1 つに含まれていないリスクを軽減するための自動展開リング修復機能を提供します。 これらの自動化された機能は、次のいずれかに起因する更新プログラムのデプロイを受け取っていない場合に、デバイスが脆弱な状態になり、セキュリティ上の脅威にさらされる可能性があるリスクを軽減するのに役立ちます。

  • Windows Autopatch テナント登録プロセスによって作成されたオブジェクトに対して IT 管理者によって実行された変更、または
  • デバイス登録プロセス中にデバイスがデプロイ リングを割り当てなくなる問題が発生しました。

2 つの自動デプロイ リング修復機能があります。

関数 説明
デバイス展開リング のメンバーシップを確認する 1 時間ごとに、Windows Autopatch によって、管理対象デバイスのいずれかがいずれかの展開リングに含まれていないかどうかを確認します。 デバイスが展開リングの一部でない場合、Windows Autopatch はその展開リングのいずれかにランダムに割り当てます ( Modern Workplace Devices-Windows Autopatch-TestWindows Autopatch - Test、Windows Autopatch - Last リングを除く)。
マルチデプロイ リング デバイスの修復機能 1 時間ごとに、Windows Autopatch は、管理対象デバイスのいずれかが複数の展開リングの一部であるかどうかを確認します ( Modern Workplace Devices-Windows Autopatch-TestWindows Autopatch - TestWindows Autopatch - Last リングを除く)。 デバイスが複数の展開リングの一部である場合、Windows Autopatch は、デバイスが 1 つの展開リングの一部になるまで、デバイスをランダムに削除します。

重要

Windows Autopatch 自動展開リング関数では、次の展開リングに対するデバイスの割り当てや削除は行われません。

  • 最新の Workplace Devices-Windows Autopatch-Test
  • Windows Autopatch - テスト
  • Windows Autopatch - Last