こんにちは。SB C&Sの石井です。

このブログは、Microsoft Intuneを活用したWindows更新プログラムの配信シリーズの第3回になります。
第1回、第2回については以下をご確認ください。
Microsoft Intuneを活用したWindows更新プログラムの配信 第1回 -更新リング編-
Microsoft Intuneを活用したWindows更新プログラムの配信 第2回 -機能・品質・ドライバー管理編-
※本ブログではMicrosoft 365 E5ライセンスを使用して機能をご紹介します。他のライセンスをご利用の場合、一部機能に制限がある場合があります。

Intuneにおける更新管理

Intuneを活用して更新管理をする方法としては大きく分けて6つの管理手法があります。

• 更新リング（第1回）
• 機能更新プログラムポリシー（第2回）
• 品質更新プログラムポリシー -優先ポリシー- （第2回）
• Windows ドライバー更新管理（第2回）
• Windows Autopatch（第3回）
• ホットパッチ更新プログラム（第3回）

本ブログでは、Windows Autopatchおよび拡張機能であるホットパッチ更新プログラムについて紹介します。他の機能については第2回、第3回をご確認ください。
Microsoft Intuneを活用したWindows更新プログラムの配信 第1回 -更新リング編-
Microsoft Intuneを活用したWindows更新プログラムの配信 第2回 -機能・品質・ドライバー管理編-
Microsoft Intuneを活用したWindows更新プログラムの配信 第3回 -Windows Autopatch編-

Windows Autopatchとは

Windows Autopatchは、更新プログラムをはじめとしてMicrosoft 365 AppsやMicrosoft Edgeの更新プログラムを自動的に管理してくれる機能です。第1回で紹介した更新リングによる展開だと管理者が手動でWindows Updateの適用タイミングや展開後のトラブル管理、再起動の管理などを設定する必要があります。Windows Autopatchを使用することによりMicrosoft社が自動的に更新の配信や展開、トラブル時の修正や停止を行ってくれます。

Windows Autopatchの構成

Windows Autopatchを利用するにはまず、Windows Enterprise E3/E5が含まれたライセンスで、機能のアクティブ化を実施します。[テナント管理]-[Windows Autopatch]-[機能のアクティブ化]の順に移動します。[テナントでのこれらの変更に同意する]にチェックを入れ、[ライセンス認証する]をクリックします。しばらく待機するとAutopatchの機能が追加されます。

　

続いて、Autopatchグループを作成します。Autopatchでは、更新プログラム展開用のデバイスのグループを作成し、グループごとに更新プログラムの配信を行います。[自動パッチ グループの作成]をクリックします。

　

このグループの任意の名前を入力し、[次へ:デプロイ リング>]をクリックします。

　

デプロイ リング設定にて、グループの追加およびリングの設定を行います。まず、更新プログラムを配信する動的なグループを追加します。[グループの追加]をクリックするとポップアップが表示されます。任意のグループを選択し、[選択]をクリックします。
※割り当てるグループは事前に準備してください。

　

[展開リングの追加]をクリックし、任意の数を追加します。
※今回は、展開リングを2つ追加し、事前に準備されている展開リングと合わせて4つの展開リングを準備します。

　

展開リングごとに割り当てるデバイスの比率を決定し、[次へ:種類の更新 >]をクリックします。また、ダイナミックグループ以外にグループを追加したい場合[リングにグループを追加する]をクリックし、グループを追加します。
※今回は、Windows Autopatch -Testに動作検証用のデバイスグループを追加します。割り当てるグループは事前に準備してください。

　

次に、このAutopatchで管理する更新プログラムを選択し、[次へ:デプロイ設定>]をクリックします。

　

更新プログラムごとの設定を行い、[次へ]をクリックします。

• 品質更新プログラム：自動展開されます。次の画面で延期設定などを行います。
• 機能更新プログラム：OSのバージョンを指定します。
  ※詳細は第2回をご参照ください。
• ドライバー更新プログラム：ドライバーの承認設定をします。
  ※詳細は第2回をご参照ください。
• Microsoft 365 Appsの更新：自動展開されます。次の画面で延期設定などを行います。
• Microsoft Edge 更新プログラム：安定チャネルかBetaチャネルを選択します。

　

展開リングごとに更新プログラムを配信するスケジュールを設定して、[次へ:確認して作成>]をクリックします。
※Microsoft社によって、デバイスや業務種別によるプリセットも用意されています。

　

設定した内容を確認し、[作成]をクリックします。

これにより、自動的に更新プログラムの配信を展開リングに沿って動的に配信を行ってくれます。

ホットパッチ更新プログラム

ホットパッチ更新プログラムは、再起動を実施せずに品質更新を適用できるWindows Updateの新しい拡張機能です。Windows AutopatchまたはWindows Update for Businessポリシーが構成されている場合利用することが可能です。この機能により、アップデート適用後のダウンタイムを最小限に抑え、業務の継続性を維持することが可能です。

ホットパッチは、Windows 11 Enterpriseバージョン 24H2から新しく追加された機能で2月、3月、5月、6月、8月、9月、11月、12月の計8回のアップデートを再起動なしで適用することが可能です。一方で、1月、4月、7月、10月の更新については従来通り再起動が必要になります。またホットパッチを使用する場合は、仮想化ベースのセキュリティ（VBS）が有効化されている必要があります。

ホットパッチ更新プログラムの設定を行うにはまず、[デバイス]-[Windowsの更新プログラム]-[品質更新プログラム]の順に移動し、[作成]-[Windows 品質更新プログラム ポリシー]をクリックします。

　

このポリシーにつける任意の名前を入力し、[次へ]をクリックします。

　

[可能な場合は、デバイスを再起動せずに適用します]のトグルボタンを許可にしてポリシーを配信します。

　

ポリシーを割り当てる対象グループを選択し、[次へ]をクリックします。
※ポリシーに割り当てるグループは事前に準備してください。

　

設定した内容を確認し、[作成]をクリックします。

これにより、対象のアップデートについては、デバイスを再起動せずに有効化することが可能になります。ホットパッチで適用した更新プログラムについては、アンインストールすることも可能です。そのため、更新後にトラブル等が発生した場合でも元の状態に戻すことが可能です。しかし、アンインストール後は再起動が必要になります。

まとめ

今回はMicrosoft Intuneを活用した更新プログラムの配信として「Windows Autopatch」、「ホットパッチ更新プログラム」について紹介しました。Windows Autopatchを構成することで、初期設定が完了すれば、その後の更新作業をMicrosoftに一任することが可能になります。これまで、WSUSを使用し手動で行っていた更新プログラム承認管理や段階的な展開をWindows Autopatchが自動で実施してくれます。

Intuneを活用した更新プログラムの配信機能は3回にわたって公開しておりますので、他のブログもご確認いただけますと幸いです。
Microsoft Intuneを活用したWindows更新プログラムの配信 第1回 -更新リング編-
Microsoft Intuneを活用したWindows更新プログラムの配信 第2回 -機能・品質・ドライバー管理編-
Microsoft Intuneを活用したWindows 更新プログラムの配信 第3回 -Windows Autopatch編-