LoginSignup
4
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@carol0226(Shuji Noguchi)inNTTデータ先端技術

Intune を使った 更新プログラム の管理

Last updated at Posted at 2024-07-13

はじめに

Intune を使うことによって実現できる、モダン管理 という Windows Update の管理手法についてまとめてみました。

簡単な動作についても、検証しており、そのために必要な設定手順も紹介しています。

なお、追加ライセンスが必要な機能については、今回は検証できていないため、公開情報に関する見見解までとなっている機能もありますので、ご承知おきください。

1. モダン管理

Intune を使う事によって、モダン管理 と呼ばれる管理方法が可能になります。
逆に 従来の Windows Server Update Services (WSUS) のようなきめ細かな管理は想定されていません。
※WSUS では、KB 単位で 適用する or しない・・・を管理出来、更新のタイミングも 管理者が自由に構成ができました。

モダン管理 を行うには、従来の更新プログラムの管理方法を脱却して、モダン管理 に合わせた考え方にアジャストすることで、効率的な管理を実現できるようになります。

項目 WSUS Intune(モダン管理)
定義 Microsoft Update サーバから更新プログラムをダウンロードして保存するソフトウェア。Windows サーバや各種ドライバ、ツールなどの更新プログラムを集中管理し、各端末へ適切に配布する役割を持つ。 Intune を使った クラウドベースのデバイス管理プラットフォーム。Windows 10 や他のデバイスを効率的に管理するための新しいアプローチ。
自由度 ニーズに応じて柔軟な対応が可能 モダン管理の方法に沿った運用が必要
通信方法 WSUS の配布ポイントに事前ダウンロード
インターネットから直接取得
BITS、配信の最適化		 インターネットから直接取得
配信の最適化
適用制御 グループごとにパッチの適用承認やインストール期日の設定が可能。 ポリシーに基づいて更新プログラムを適用できる。
運用コスト サーバの設置と運用にコストがかかる。 クラウドベースであるため、サーバの設置や運用コストは不要。
管理コスト 更新プログラムに合わせてポリシーを維持管理 更新リングを使ってポリシーを設定するのみで利用できる
利用状況 伝統的な企業環境で広く利用されている。 近年、モダンなデバイス管理を求める企業で増加している。

モダン管理についての判りやすい解説

2. モダン管理の特長 - 更新リングとは

更新リングは、Intune 独自の機能であり、モダン管理の中で中心的に使っていく機能。
なお、オンプレミスで更新プログラムを管理する際にも "リング" という概念は存在している。

オンプレミスの場合は、以下の公開情報の通り、セキュリティグループでデバイスを分けて、更新するグループごとに GPO を適用するように説明されています。つまり "更新リング" のような考え方を管理者自身が持ち、それの考えを GPO として構成して展開する必要がありました。

これと同じようなことを、Intune の更新リングを使うと 簡単に実装できる・・・という感じになります。

オンプレミスの "リング" の考え方
https://learn.microsoft.com/ja-jp/windows/deployment/update/waas-wufb-group-policy#i-want-to-manage-which-released-feature-update-my-devices-receive

Intune の更新リング
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-update-rings

注意点:Autopilot との関係性
https://learn.microsoft.com/ja-jp/windows/deployment/update/deployment-service-prerequisites#general-tips-for-the-deployment-service
(抜粋)
デバイスがプロビジョニングを完了するまで待ってから、サービスで管理します。 デバイスが Autopilot によってプロビジョニングされている場合は、プロビジョニングが完了した後 (通常は 1 日) にのみデプロイ サービスによって管理できます。

3. Intune の 更新プログラムポリシー

ポリシーの種類

  • 更新リング
  • 機能更新プログラム
  • 品質更新プログラム
  • ドライバー更新プログラム

公開情報:更新プログラムを管理するためのポリシーの種類
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-for-business-configure#policy-types-to-manage-updates

Intune 更新プログラムポリシーの考え方

  1. 更新リング を使った運用を考え、更新リングポリシーを作成し、デバイスに割り当てる。
  2. 例外がある場合に、機能更新プログラムポリシーを作成し、対象のデバイスに割り当てる。
    両ポリシーを 組み合わせて適用することは可能だが運用が難しくなるため、推奨されない。
  3. 割り当てるデバイスが競合しないように、デバイスのグループを管理する。

組み合わせての利用は推奨されません
(例1)
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-for-business-configure#move-from-update-ring-deferrals-to-feature-updates-policy
(例2)
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-feature-updates#limitations-for-feature-updates-for-windows-10-and-later-policy

3-1. 更新リングポリシー

3-1-1. 前提条件

バージョン や ライセンスの要件はありますが、この章で紹介する基本的な設定のみで利用できます。

公開情報:前提条件
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-update-rings#prerequisites

以下は、一例ですが 更新を適用するタイミングをずらした複数のグループを作っておき、段階的に適用されるようになります。先行で適用されるグループは、リスクを伴い 検証する役目を担うデバイスを選定します。
後続グループには より安定動作が求められるリスクを回避させたいデバイスを選定します。

このように組み合わせることで、後続グループにリスクのある更新が発生する前に、先行グループで確認を行う事が出来るようになります。

更新リングのグルーピング例
image.png

更新リングの構成例
image.png

設定例1)更新リング_1_EarlyAdopters
image.png

設定例2)更新リング_2_VDIUsers
image.png

設定例3)更新リング_3_GeneralUsers
image.png

設定例4)更新リング_4_ApplicationSpecificUsers
image.png

公開情報:更新リングポリシー

3-2. 機能更新プログラムポリシー

3-2-1. 前提条件

バージョンやライセンスの要件のほかに、事前構築が 必要 です。

公開情報:前提条件
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-feature-updates#prerequisites

[必須] 以上の設定を使用してテレメトリを有効にしている

機能更新プログラムのポリシーを受信したデバイスのテレメトリが [未構成] (オフ) に設定されていた場合、機能更新プログラムのポリシーで定義されているよりも新しいバージョンの Windows がデバイスにインストールされる可能性があります。 この機能が一般公開に移行されるとき、テレメトリを必要とする前提条件は再検討されます。

3-2-2. テレメトリの構築手順

  1. デバイスを選択し、構成を選び、作成から 新しいポリシーを選択する。
    image.png
     
  2. 下図の選択肢を選び デバイスの制限 を選択後、作成 を押す。
    image.png
     
  3. プロファイル名(任意)を記入後に 次へ を押す。
    image.png
     
  4. 構成設定 タブでは、レポートとテレメトリ を開き、使用状況データの共有必須 を選択する。設定が終わったら 次へ を押す。
    image.png
     
  5. 割り当て タブでは、機能更新プログラムを適用する デバイスグループ を指定して 選択 ボタンを押す。
    image.png
     
  6. グループが指定されたことをか確認して 次へ を押す。
    image.png
     
  7. 適用性ルール タブでは、未構成のまま 次へ を押す。
    image.png
     
  8. 確認および作成 タブでは、確認後に 次へ を押す。
    image.png
     
  9. 以下の通知が表示されれば OK です。
    image.png

3-2-3. 機能更新プログラムポリシーの構成手順

  1. デバイス を選択し、Windows 10 以降の更新プログラム を選択後、機能更新プログラム タブ を選び プロファイルの作成 ボタンを押します。
    image.png
     
  2. プロファイル名(任意)を記入し、展開する機能更新プログラム を指定します。
    ロールアウトオプションは、適用させたいタイミングを選択して 次へ を押します。
    image.png
     
  3. 割り当て タブでは、適用させたい デバイスグループ を選択します。
    image.png
     
  4. グループが選択されたことを確認後、次へ を押します。
    image.png
     
  5. 確認および作成 タブでは、設定内容を確認後に、作成 ボタンを押します。
    image.png
     
  6. 以下の通知が表示されれば OK です。
    image.png
     
  7. ポリシーが作成されると、以下の一覧に表示されます。
    image.png

公開情報:段階的ロールアウト

公開情報:機能更新プログラムポリシー

3-3. 品質更新プログラムポリシー

3-3-1. 前提条件

バージョンやライセンスの要件のほかに、事前構築が 必要 です。

公開情報:前提条件
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-expedite-updates#prerequisites

検証環境用のライセンスでは、品質更新プログラムのプロファイル作成ボタンは、活性化されずに作成することができない。
image.png

前提条件の説明ページの最下行に以下の記載があります。
[Windows の正常性の監視] を有効にする
迅速な更新プログラムの結果と更新の状態を監視する前に、Intune テナントで Windows の稼働状況の監視 を有効にする必要があります。
Windows の正常性の監視 を構成する場合は、必ず [スコープ] を [Windows の更新プログラム] に設定してください。

品質更新プログラム に必要な事前構築 Windows 稼働状況の監視 は、ドライバー更新レポート で必要な構成と同一です。ドライバー更新レポートの手順の方に記載します。

3-3-2. 品質更新プログラムポリシーの構成手順

ライセンスが無く、検証が行えないため 以下の公開情報の手順を参照してください。

公開情報:品質更新プログラムポリシーの設定手順
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-10-expedite-updates#create-and-assign-an-expedited-quality-update

公開情報:品質更新プログラムポリシー

3-4. ドライバー更新プログラムポリシー

3-4-1. 前提条件

ライセンスの要件があります。

公開情報:前提条件
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-driver-updates-overview#prerequisites

検証環境用のライセンスでは、ドライバー更新プログラムのプロファイル作成ボタンは、活性化されずに作成することができない。
image.png

3-4-1. ドライバー更新プログラムポリシーの構成手順

ライセンスが無く、検証が行えないため 以下の公開情報の手順を参照してください。

公開情報:ドライバー更新プログラムポリシーの設定手順
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-driver-updates-policy#create-windows-driver-update-policies

公開情報:ドライバー更新プログラムポリシー

4. レポート

更新プログラムの実行結果を確認することが出来る、各種 レポート機能についての紹介です。

4-1. Windows Update for Business レポート

Azure サブスクリプション(Log Analytics)との連携が必要となりますが、一番リッチなレポートとなります。

レポートブック機能を使って、独自の画面を作ったり、KQL で検索&集計、Azure Monitor の機能で アラートにも連携可能です。

image.png

環境構築が必要となるため、以下の記事で手順を紹介しています。

公開情報:Windows Update for Business レポートの概要

4-2. Intune の Windows デバイス一覧画面

一番簡単に、OS のバージョンを一覧表示できます。
image.png

4-3. 更新リング ポリシーのレポート

事前に何も構成しなくても レポートの表示が可能です。
更新の進捗やエラーのチェックはできますが、バージョンなどの情報は確認できませんでした。
更新リング で設定した範囲から、逸脱したデバイスが無いかどうかを確認するような使い方になると思います。

image.png

image.png

image.png

公開情報:更新リングポリシーのレポート

4-4. 機能更新・ドライバー更新レポートで必要な共通の構成

以下の手順で 各レポート で必要な 診断情報取得の設定を行います。

  1. Intune 管理センターから コネクタとトークン を選択する。
    image.png
     
  2. Windows データ を選択し、以下の2項目の設定を オン にしてから 保存 を押します。
  • プロセッサ構成で Windows 診断データが必要な機能を有効にするオン に変更します。
  • 自分のテナントがこれらのライセンスのいずれかを所有していることを確認しましたオン に変更します。

image.png

公開情報:Windows データ構成を管理する
https://learn.microsoft.com/ja-jp/mem/intune/protect/data-enable-windows-data#manage-windows-data-configurations

4-5. 機能更新プログラム ポリシーのレポート

利用するためには、データ収集の構成を行う必要があります。
構成すると、以下の2種類のレポートが参照できます。
なお、いずれも デバイス毎のバージョンなどを参照できるわけではなく、ポリシーに沿った更新が行われているかどうかを見る目的のようです。

  • Windows 10機能更新プログラム (組織) レポート
  • 機能更新プログラム エラー (運用) レポート

公開情報:機能更新プログラム ポリシーのレポート

4-5-1. データ収集の構成

  1. 構成プロファイルの作成画面で 以下の選択選択肢を選び Windows の正常性の監視 を選択後に 作成 を押します。
    image.png
     
  2. 構成 タブでは、正常性の監視 を 有効化 し、スコープで、Windows の更新プログラム を選択して、プロファイルを作成します。
    image.png

公開情報:データ収集の構成
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#configure-data-collection

4-5-2. 機能更新プログラム (組織) レポートを使用する

概要レポート
image.png

詳細レポート

  1. 下図の順に開いて レポート タブから Windws 機能更新プログラムレポート を選択します。
    image.png
     
  2. 以下のようにレポートが表示されます。
    image.png

公開情報:機能更新プログラム (組織) レポート
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#use-the-windows-10-feature-updates-organizational-report

4-5-3. 機能更新プログラム エラー (運用) レポートを使用する

  1. 監視 を開いて アラートによる機能更新ポリシー を選択します。
    image.png
     
  2. 以下の画面で 機能の更新エラーを プロファイル単位で確認できます。
    image.png

公開情報:機能更新プログラム エラー (運用) レポート
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#use-the-feature-update-failures-operational-report

4-6. ドライバー更新プログラム ポリシーのレポート

公開情報:ドライバーの更新レポート
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#reports-for-windows-driver-updates-policy

4-6-1. ドライバー更新プログラム レポートの前提条件

デバイスとデータ収集
ドライバー更新プログラムのすべての状態とイベントに関するレポートをサポートするには、次のデータ収集設定を構成する必要があります。★前章で構成済みです。

[必須] 以上のレベルでデバイスからの Windows 診断データ収集を有効にします。
[テナント レベル] で、[ プロセッサ構成で Windows 診断データを必要とする機能を有効にする] を [オン] に設定します。 この設定は、テナント管理コネクタとトークン>Windows データのMicrosoft Intune管理>センターで構成できます。

公開情報:前提条件
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#prerequisites-for-driver-updates-reports

4-6-2. Windows ドライバーの更新レポート

検証では再現させられなかったため、公開情報の画像を拝借させていただいてます。

image.png

公開情報:ドライバーの更新レポート
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#windows-driver-updates-report

4-6-3. Windows ドライバーの更新エラー

検証では再現させられなかったため、公開情報の画像を拝借させていただいてます。

image.png

公開情報:ドライバーの更新エラー
https://learn.microsoft.com/ja-jp/mem/intune/protect/windows-update-reports#windows-driver-update-failures

記事の内容は以上となります。
更新リングを使って、効率的な 更新プログラムの管理を実現させていきましょう。

お題は不問!Qiita Engineer Festa 2024で記事投稿!
Qiita Engineer Festa20242024年7月17日まで開催中!
4
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?