Qiita Engineer Festa20242024年7月17日まで開催中！

NTTデータ先端技術

Intune を使った更新プログラムの管理

Last updated at 2024-07-13Posted at 2024-07-13

はじめに

Intune を使うことによって実現できる、モダン管理という Windows Update の管理手法についてまとめてみました。

簡単な動作についても、検証しており、そのために必要な設定手順も紹介しています。

なお、追加ライセンスが必要な機能については、今回は検証できていないため、公開情報に関する見見解までとなっている機能もありますので、ご承知おきください。

1. モダン管理

Intune を使う事によって、モダン管理と呼ばれる管理方法が可能になります。
逆に従来の Windows Server Update Services (WSUS) のようなきめ細かな管理は想定されていません。
※WSUS では、KB 単位で適用する or しない・・・を管理出来、更新のタイミングも管理者が自由に構成ができました。

モダン管理を行うには、従来の更新プログラムの管理方法を脱却して、モダン管理に合わせた考え方にアジャストすることで、効率的な管理を実現できるようになります。

項目	WSUS	Intune（モダン管理）
定義	Microsoft Update サーバから更新プログラムをダウンロードして保存するソフトウェア。Windows サーバや各種ドライバ、ツールなどの更新プログラムを集中管理し、各端末へ適切に配布する役割を持つ。	Intune を使ったクラウドベースのデバイス管理プラットフォーム。Windows 10 や他のデバイスを効率的に管理するための新しいアプローチ。
自由度	ニーズに応じて柔軟な対応が可能	モダン管理の方法に沿った運用が必要
通信方法	WSUS の配布ポイントに事前ダウンロードインターネットから直接取得 BITS、配信の最適化	インターネットから直接取得配信の最適化
適用制御	グループごとにパッチの適用承認やインストール期日の設定が可能。	ポリシーに基づいて更新プログラムを適用できる。
運用コスト	サーバの設置と運用にコストがかかる。	クラウドベースであるため、サーバの設置や運用コストは不要。
管理コスト	更新プログラムに合わせてポリシーを維持管理	更新リングを使ってポリシーを設定するのみで利用できる
利用状況	伝統的な企業環境で広く利用されている。	近年、モダンなデバイス管理を求める企業で増加している。

モダン管理についての判りやすい解説

2. モダン管理の特長－更新リングとは

更新リングは、Intune 独自の機能であり、モダン管理の中で中心的に使っていく機能。
なお、オンプレミスで更新プログラムを管理する際にも "リング" という概念は存在している。

オンプレミスの場合は、以下の公開情報の通り、セキュリティグループでデバイスを分けて、更新するグループごとに GPO を適用するように説明されています。つまり "更新リング" のような考え方を管理者自身が持ち、それの考えを GPO として構成して展開する必要がありました。

これと同じようなことを、Intune の更新リングを使うと簡単に実装できる・・・という感じになります。

オンプレミスの "リング" の考え方
https://learn.microsoft.com/ja-jp/windows/deployment/update/waas-wufb-group-policy#i-want-to-manage-which-released-feature-update-my-devices-receive

Intune の更新リング
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-update-rings

注意点：Autopilot との関係性
https://learn.microsoft.com/ja-jp/windows/deployment/update/deployment-service-prerequisites#general-tips-for-the-deployment-service
（抜粋）
デバイスがプロビジョニングを完了するまで待ってから、サービスで管理します。デバイスが Autopilot によってプロビジョニングされている場合は、プロビジョニングが完了した後 (通常は 1 日) にのみデプロイサービスによって管理できます。

3. Intune の更新プログラムポリシー

ポリシーの種類

更新リング
機能更新プログラム
品質更新プログラム
ドライバー更新プログラム

公開情報：更新プログラムを管理するためのポリシーの種類
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-for-business-configure#policy-types-to-manage-updates

Intune 更新プログラムポリシーの考え方

更新リングを使った運用を考え、更新リングポリシーを作成し、デバイスに割り当てる。
例外がある場合に、機能更新プログラムポリシーを作成し、対象のデバイスに割り当てる。
両ポリシーを組み合わせて適用することは可能だが運用が難しくなるため、推奨されない。
割り当てるデバイスが競合しないように、デバイスのグループを管理する。

組み合わせての利用は推奨されません
（例１）
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-for-business-configure#move-from-update-ring-deferrals-to-feature-updates-policy
（例２）
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-feature-updates#limitations-for-feature-updates-for-windows-10-and-later-policy

3-1. 更新リングポリシー

3-1-1. 前提条件

バージョンやライセンスの要件はありますが、この章で紹介する基本的な設定のみで利用できます。

公開情報：前提条件
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-update-rings#prerequisites

以下は、一例ですが更新を適用するタイミングをずらした複数のグループを作っておき、段階的に適用されるようになります。先行で適用されるグループは、リスクを伴い検証する役目を担うデバイスを選定します。
後続グループにはより安定動作が求められるリスクを回避させたいデバイスを選定します。

このように組み合わせることで、後続グループにリスクのある更新が発生する前に、先行グループで確認を行う事が出来るようになります。

更新リングのグルーピング例

更新リングの構成例

設定例１）更新リング_1_EarlyAdopters

設定例２）更新リング_2_VDIUsers

設定例３）更新リング_3_GeneralUsers

設定例４）更新リング_4_ApplicationSpecificUsers

公開情報：更新リングポリシー

3-2. 機能更新プログラムポリシー

3-2-1. 前提条件

バージョンやライセンスの要件のほかに、事前構築が必要です。

公開情報：前提条件
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-feature-updates#prerequisites

[必須] 以上の設定を使用してテレメトリを有効にしている

機能更新プログラムのポリシーを受信したデバイスのテレメトリが [未構成] (オフ) に設定されていた場合、機能更新プログラムのポリシーで定義されているよりも新しいバージョンの Windows がデバイスにインストールされる可能性があります。この機能が一般公開に移行されるとき、テレメトリを必要とする前提条件は再検討されます。

3-2-2. テレメトリの構築手順

デバイスを選択し、構成を選び、作成から新しいポリシーを選択する。

　
下図の選択肢を選び デバイスの制限 を選択後、作成を押す。

　
プロファイル名（任意）を記入後に次へを押す。

　
構成設定 タブでは、レポートとテレメトリ を開き、使用状況データの共有 で必須を選択する。設定が終わったら次へを押す。

　
割り当て タブでは、機能更新プログラムを適用するデバイスグループを指定して選択ボタンを押す。

　
グループが指定されたことをか確認して次へを押す。

　
適用性ルール タブでは、未構成のまま次へを押す。

　
確認および作成 タブでは、確認後に次へを押す。

　
以下の通知が表示されれば OK です。

3-2-3. 機能更新プログラムポリシーの構成手順

デバイス を選択し、Windows 10 以降の更新プログラム を選択後、機能更新プログラム タブを選び プロファイルの作成 ボタンを押します。

　
プロファイル名（任意）を記入し、展開する機能更新プログラム を指定します。
ロールアウトオプションは、適用させたいタイミングを選択して次へを押します。

　
割り当て タブでは、適用させたいデバイスグループを選択します。

　
グループが選択されたことを確認後、次へを押します。

　
確認および作成 タブでは、設定内容を確認後に、作成ボタンを押します。

　
以下の通知が表示されれば OK です。

　
ポリシーが作成されると、以下の一覧に表示されます。

公開情報：段階的ロールアウト

公開情報：機能更新プログラムポリシー

3-3. 品質更新プログラムポリシー

3-3-1. 前提条件

バージョンやライセンスの要件のほかに、事前構築が必要です。

公開情報：前提条件
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-expedite-updates#prerequisites

検証環境用のライセンスでは、品質更新プログラムのプロファイル作成ボタンは、活性化されずに作成することができない。

前提条件の説明ページの最下行に以下の記載があります。
[Windows の正常性の監視] を有効にする
迅速な更新プログラムの結果と更新の状態を監視する前に、Intune テナントで Windows の稼働状況の監視 を有効にする必要があります。
Windows の正常性の監視 を構成する場合は、必ず [スコープ] を [Windows の更新プログラム] に設定してください。

品質更新プログラムに必要な事前構築 Windows 稼働状況の監視 は、ドライバー更新レポートで必要な構成と同一です。ドライバー更新レポートの手順の方に記載します。

3-3-2. 品質更新プログラムポリシーの構成手順

ライセンスが無く、検証が行えないため以下の公開情報の手順を参照してください。

公開情報：品質更新プログラムポリシーの設定手順
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-expedite-updates#create-and-assign-an-expedited-quality-update

公開情報：品質更新プログラムポリシー

3-4. ドライバー更新プログラムポリシー

3-4-1. 前提条件

ライセンスの要件があります。

公開情報：前提条件
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-driver-updates-overview#prerequisites

検証環境用のライセンスでは、ドライバー更新プログラムのプロファイル作成ボタンは、活性化されずに作成することができない。

3-4-1. ドライバー更新プログラムポリシーの構成手順

ライセンスが無く、検証が行えないため以下の公開情報の手順を参照してください。

公開情報：ドライバー更新プログラムポリシーの設定手順
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-driver-updates-policy#create-windows-driver-update-policies

公開情報：ドライバー更新プログラムポリシー

4. レポート

更新プログラムの実行結果を確認することが出来る、各種レポート機能についての紹介です。

4-1. Windows Update for Business レポート

Azure サブスクリプション（Log Analytics）との連携が必要となりますが、一番リッチなレポートとなります。

レポートブック機能を使って、独自の画面を作ったり、KQL で検索＆集計、Azure Monitor の機能でアラートにも連携可能です。

環境構築が必要となるため、以下の記事で手順を紹介しています。

公開情報：Windows Update for Business レポートの概要

4-2. Intune の Windows デバイス一覧画面

一番簡単に、OS のバージョンを一覧表示できます。

4-3. 更新リングポリシーのレポート

事前に何も構成しなくてもレポートの表示が可能です。
更新の進捗やエラーのチェックはできますが、バージョンなどの情報は確認できませんでした。
更新リングで設定した範囲から、逸脱したデバイスが無いかどうかを確認するような使い方になると思います。

公開情報：更新リングポリシーのレポート

4-4. 機能更新プログラムポリシーのレポート

利用するためには、データ収集の構成を行う必要があります。
構成すると、以下の2種類のレポートが参照できます。
なお、いずれもデバイス毎のバージョンなどを参照できるわけではなく、ポリシーに沿った更新が行われているかどうかを見る目的のようです。

Windows 10機能更新プログラム (組織) レポート
機能更新プログラムエラー (運用) レポート

公開情報：機能更新プログラムポリシーのレポート

4-4-1. データ収集の構成

構成プロファイルの作成画面で以下の選択選択肢を選び Windows の正常性の監視 を選択後に作成を押します。

　
構成タブでは、正常性の監視を 有効化 し、スコープで、Windows の更新プログラム を選択して、プロファイルを作成します。

公開情報：データ収集の構成
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#configure-data-collection

4-4-2. 機能更新プログラム (組織) レポートを使用する

概要レポート

詳細レポート

下図の順に開いて レポート タブから Windws 機能更新プログラムレポート を選択します。

　
以下のようにレポートが表示されます。

公開情報：機能更新プログラム (組織) レポート
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#use-the-windows-10-feature-updates-organizational-report

4-4-3. 機能更新プログラムエラー (運用) レポートを使用する

監視を開いて アラートによる機能更新ポリシー を選択します。

　
以下の画面で機能の更新エラーをプロファイル単位で確認できます。

公開情報：機能更新プログラムエラー (運用) レポート
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#use-the-feature-update-failures-operational-report

4-5. ドライバー更新プログラムポリシーのレポート

公開情報：ドライバーの更新レポート
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#reports-for-windows-driver-updates-policy

4-5-1. ドライバー更新プログラムレポートの前提条件

デバイスとデータ収集
ドライバー更新プログラムのすべての状態とイベントに関するレポートをサポートするには、次のデータ収集設定を構成する必要があります。

[必須] 以上のレベルでデバイスからの Windows 診断データ収集を有効にします。
[テナントレベル] で、[ プロセッサ構成で Windows 診断データを必要とする機能を有効にする] を [オン] に設定します。この設定は、テナント管理コネクタとトークン>Windows データのMicrosoft Intune管理>センターで構成できます。

公開情報：前提条件
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#prerequisites-for-driver-updates-reports