はじめに
Windows Update for Business には、レポート機能が提供されています。
これを参照できるようにするために、結構苦労しました。
公開情報の記載も、慣れていないと ちょっと難しく、結局 前提条件をすべて満たせているのか不安が付きまといます。
かつ、各設定を行う都度、24時間だとか、75時間 などのタイムラグがあるため、設定が合っているのかどうかわからないまま、ひたすら 忍耐強く待つ必要があります。
本記事を参照いただき、Windows Update for Business レポート を取得成功につながる切っ掛けになれれば幸いです。
本記事では、以降は Windows Update for Business の頭文字を取って WUfB と略します。
WUfB のレポートは、Intune の更新プログラムを構成することによって、その結果が レポート として記録されます。そのため、以下の記事で紹介している構成が行われている事が前提となっています。
1. WUfB レポートの概要
Windows Update for Business レポートは、Microsoft Entra 参加済みデバイスの Windows 更新プログラムへの準拠に関する情報を提供するクラウドベースのソリューションです。
- Windows 11 デバイスとWindows 10 デバイスのセキュリティ、品質、ドライバー、機能の更新プログラムの状態を ビジュアルに確認できます
- 更新プログラムのコンプライアンスに関する問題があるデバイスに関するレポートを確認できます
- 複数の方法でデータを分析して表示できます
公開情報:レポートの概要
百聞は一見に如かず。以下のようなレポートが取得できます。
実際に、構成するまで どのような情報が見れるのかが半信半疑でした。
見せられる画面は 全部 お見せしています。
採用すべきか判断材料にしていただければと思います。
元データは 運用環境ではありません。
検証環境が元データのため 見栄えがする内容では無いかもしれません。ご容赦ください。
どのような項目が取得できているのかを見ていただければと思います。
1-1. 概要
公開情報:概要 タブの詳細
https://learn.microsoft.com/ja-jp/windows/deployment/update/wufb-reports-workbook#summary-tab
概要 タブ
概要 タブ-① 登録済みデバイスの合計数
概要 タブ-② Windows 11
1-2. 品質更新プログラム
公開情報:品質更新 タブの詳細
https://learn.microsoft.com/ja-jp/windows/deployment/update/wufb-reports-workbook#quality-updates-tab
品質更新プログラム タブ
品質更新プログラム タブ-① 最新のセキュリティ更新プログラム
品質更新プログラム タブ-② 優先状態
品質更新プログラム タブ-更新の状態-③ KB 状態
以下のような KB のサイトへの直接リンクが提供されます。
品質更新プログラム タブ-更新の状態-④ TotalDevices
品質更新プログラム タブ-デバイスの状態
1-3. 機能更新プログラム
公開情報:機能更新 タブの詳細
https://learn.microsoft.com/ja-jp/windows/deployment/update/wufb-reports-workbook#feature-updates-tab
機能更新プログラム タブ-更新の状態
機能更新プログラム タブ-更新の状態
機能更新プログラム タブ-デバイスの状態
1-4. ドライバー更新プログラム
公開情報:ドライバー更新 タブの詳細
https://learn.microsoft.com/ja-jp/windows/deployment/update/wufb-reports-workbook#driver-updates-tab
ドライバー更新プログラム タブ-更新の状態
ドライバー更新プログラム タブ-デバイスの状態
1-5. 配信の最適化
公開情報:配信の最適化 の詳細
https://learn.microsoft.com/ja-jp/windows/deployment/update/wufb-reports-do
配信の最適化ーデバイスの状態
配信の最適化ーデバイスの状態-構成の詳細
配信の最適化ーデバイスの状態-コンテンツの配布
個人的に一番好きなページかもしれません。
配信の最適化の効果が判ります。
検証環境なので、皆 CDN に行ってしまっていますが、運用環境であれば ピア から どの程度取得できたのかが判るはずです。
配信の最適化ーデバイスの状態-コンテンツの配布-コンテンツ配布の詳細
配信の最適化ーデバイスの状態-グループごとの効率-市区町村
2. WUfB レポートの前提条件
情報量が多いため、詳細は 公開情報を参照ください。
ここでは、トピックのみ挙げてあります。
【クラウド側 要件】
- Azure サブスクリプション(Intune が所属するテナントとの紐づけ必須)
- LogAnalytics リージョン(日本では、東日本のみ対応)
- アクセスロール
テナントの全体管理者と、Azure のグローバル管理者を兼ねたアカウントがあれば、特に意識する必要はありません。個別のロールを付与する場合の詳細は、公開情報 を参照ください。
【クライアント側 要件】
- Microsoft Entra Join された Windows デバイス
- クライアント OS のエディション(Home 以外)
- サービスチャネル(一般提供チャネル) ※Insider Preview は 限定的な情報
- OS の機能更新プログラム(2023年1月以降の適用が推奨)
- 診断データの構成(構成を Intune で配布可能であり、手順は後述しています)
- エンドポイントへのアクセス(所定のインターネット URL へアクセス可能であること)
公開情報:レポートの前提条件
Azure サブスクリプション が無い場合は、以下の記事を参考にサインアップしましょう
3. WUfB レポートを有効にする
WUfB レポートは、Azure の LogAnalytics というログのデータベースを使用します。
そのため、LogAnalytics を作成し、WUfB レポート用として登録する必要があります。
本章では、クラウド側の作業として、以下の 3つのアクションについて説明します。
3-1. LogAnalytics を サポートされたリージョンに作成する
3-2. LogAnalytics を WUfB レポートに登録する
3-3. Intune による Windows 診断データの使用を有効にする
公開情報:レポートを有効にする
3-1. LogAnalytics を サポートされたリージョンに作成する
- Azure Portal に サインインします。
https://portal.azure.com
- Azure Portalで、検索バーに「Log Analytics」と入力します。
続いて、[Log Analytics ワークスペース] を選択します。
-
作成 をクリックして、ワークスペースの作成に進みます。
なお、既に Log Analytics ワークスペースがある場合は、共用することも可能ですが、前提条件に記載されているリージョンであることが必要です(後述)
-
リソースグループ の 新規作成 をクリックし、新しいリソースグループの名前(任意)を入力し、OK を押します。
- ワープスペース名(任意)を入力したあと、地域(リージョン)を選択して 確認および作成 を押します。
Windows Update for Business レポートでは、次のリージョンで Log Analytics ワークスペースを使用できます。東日本 は、OK だけど、西日本 は、NG です。
https://learn.microsoft.com/ja-jp/windows/deployment/update/wufb-reports-prerequisites#log-analytics-regions
6.以下の確認画面で 作成 を押します。
7.デプロイが完了したら リソースに移動 を押します。
3-2. LogAnalytics を WUfB レポートに登録する
公開情報には、2種類の方法が説明されていますが、推奨される方法 となっている、Azure Workbook を使用して登録する を採用して 手順化してあります。
- Azure Portal で、検索バーに モニター と入力し、モニター を選択します。
- 左ペインから ブック を選び、表示された ギャラリーの一覧から Windows Update for Business を選択します。 必要に応じて、ギャラリー内の名前でブックをフィルター処理できます。
- ブックのプロンプトが表示されたら、開始する ボタンを押します。
- ポップアップで、先ほど作成した LogAnalytics の Azure サブスクリプション名 と ワークスペース名 を選択し、設定の保存 を押します。
- 以下の画面になるため、さらに 保存 ボタンを押し登録を完了させます。
- 以下の通知が表示されれば OK です。
- 以下の画面になったら、クラウド側の準備は完了です。
この間、ブックには、ビジネス レポート データのWindows Update待機中であることを示す内容が表示されます。
公開情報の手順には、「初期セットアップには、最大 24 時間かかることがあります」との記載がありますが、もっと掛かります。おそらく クラウド側の準備には 24 時間掛かるのだと思いますが、さらに クライアント側から情報がアップされてくるには、さらに時間が掛かるのだと思われます。24 時間という説明は、期待しない方が良いと思います。
3-3. Intune による Windows 診断データの使用を有効にする
以下の手順で WUfB レポートで必要な 診断情報取得の設定を行います。
-
Intune 管理センターから コネクタとトークン を選択する。
-
Windows データ を選択し、以下の2項目の設定を オン にしてから 保存 を押します。
- プロセッサ構成で Windows 診断データが必要な機能を有効にする を オン に変更します。
- 自分のテナントがこれらのライセンスのいずれかを所有していることを確認しました を オン に変更します。
公開情報:Intune による Windows 診断データの使用を有効にする
https://learn.microsoft.com/ja-jp/mem/intune/protect/data-enable-windows-data
この章で紹介した手順は、WUfB レポートの公開情報の前提事項に とても分かりづらく記載されています。
この設定は、ドライバー更新プログラムのレポートで必要な手順なのですが、ドキュメントを読み込んでいくうちに、もしかして WUfB レポートでも必要かも・・・と思って構成したら、そのあと数時間後に ログが降ってきました。
サポートに、この設定も WUfB レポートの要件なのかを聞いたところ、「そうです」との回答を得ています。
WUfB レポートの前提条件:診断データの要件
https://learn.microsoft.com/ja-jp/windows/deployment/update/wufb-reports-prerequisites#diagnostic-data-requirements
(抜粋)
上記の 赤下線 と 緑下線 では、別の事を言っていて、赤下線の設定は、次の4章で説明している テレメトリの事です。ですが、緑下線は Windows 診断データ プロセッサの構成 の事を指しているようです。
organization で Windows 診断データを構成する のリンク先を読んでいくと、以下の箇所が見つかり、WUfB レポートの事が書かれていました。
https://learn.microsoft.com/ja-jp/windows/privacy/configure-windows-diagnostic-data-in-your-organization#devices-in-azure-ad-tenants-with-a-billing-address-outside-of-the-eu-and-efta
しかも、上記のサイト内に、Windows 診断データプロセッサを有効化する手順が載ってないし。ドライバー更新プログラムレポートの所に手順があったなって知ってないと対応できません。
4. Microsoft Intune を使用して クライアントを構成する
前章では、クラウド側の準備を行いました。
続けて、クライアントデバイス側では、診断情報を クラウドへ報告するための構成を行う必要があります。
その設定は、スクリプトの実行や Intune で設定を配布する方法があります。
本章では、Intune の 構成プロファイル を使った手順を紹介します。
公開情報:Intune を使用して デバイス を構成する
- Intune 管理センターを開き、デバイス を選択して 構成 を選び 作成 から 新しいポリシー を選択します。
- 次のオプションを選択し、完了したら 作成 を選択します。
プラットフォーム: Windows 10 以降
プロファイルの種類: 設定カタログ
- [構成プロファイルの作成] ページが表示されます。
基本 タブで、プロファイル名前(任意)を入力して 次へ を押します。
-
構成設定 タブで、① 設定の追加 を押します。
設定ピッカー が開くため、② システム を選択して、③ の枠 で示された項目に チェック を入れて選択します。
④ Windows 診断データでデバイス名を送信できるようにする を "有効" にして、⑤ 次へ を押します。
-
スコープ タグ タブは、何もせずに 次へ を押します。
-
割り当て タブでは、任意のデバイスグループを選択します。
下図では、すべてのデバイス を選んだ場合の画面です。
選択したら、次へ を押します。
-
確認および作成 タブで、最終確認後に 作成 を押します。
- 以下の通知が表示されれば OK です。
構成プロファイルが デバイス へ配布されると、以下のように DeviceHealthMonitoring が追加されるため、確認しておきます。
レポートが表示されるまでの待機時間について、公開情報 の説明です
インターネットへのデバイス接続とデバイスのアクティブ化は、デバイスがレポートに表示されるまでにかかる時間に影響します。 アクティブでインターネットに毎日接続されているデバイスは、1 週間 (通常は 72 時間以内) に完全にアップロードされることが予想されます。 アクティブでないデバイスは、データが完全に利用可能になるまでに最大 2 週間かかることがあります。
私の検証環境では、仮想マシンを5台 つけっぱなしにして たまに再起動や Windows Update を実行したりしながら放置していました。
並行して、物理 PC 1台で、Autopilot のデプロイを繰り返し検証していたり・・・
そんな状況で、丸3日 何の変化もみられないまま待った結果、やっと レポートが表示されるようになりました。公開情報の記載の範囲では、最速だったのかもしれませんが、ホントに 忍耐 が必要です。
以下の公開情報も参考にしてみてください。
公開情報:データの待機時間について
https://learn.microsoft.com/ja-jp/windows/deployment/update/wufb-reports-use#data-latency
5. WUfB レポート構成スクリプトを使用したデバイスの構成
クライアント側の構成は、Intune から配布すれば問題ありませんが、公開情報には Intune から配布がうまく行っていない場合の切り分け方法として、スクリプトの実行が案内されています。
私の場合は、これを使わずに済みましたが、忍耐が切れて 実行しようと思っていた矢先にレポートが表示されるようになった次第です。
このスクリプトは、検証できていません。
パット見、どう実行したら良いのか分かりづらいです。
公開情報:スクリプトを使用してクライアントを構成する
6. WUfB レポートを使用する
6-1. LogAnalytics の データベース
デバイスから 診断情報が LogAnalytics の データベース にアップロードされているのかを直接見る方法があります。
ただし、私は これで 手が空いた際に確認していましたが、データは 丸3日 何も入ってきませんでした。そして、それを過ぎたころに データが入ってきたと思ったら、その 数十分後には WUfB レポートが表示されるようになりました。
そのため、データベースを 直接 見張っておく必要性は無いかもしれません。
LogAnaytics 内のデータベースを直接見るには、search * というクエリで検索します。
search * は、全件検索を意味しています。
以下のように「過去24時間の結果が見つかりませんでした」と出ている場合は、まだ収集されていません。
6-2. WUfB レポート - ブック の確認
診断データが収集されれば、以下の場所から、レポートを参照できます。
Azure Portal から、モニター を開き、左ペインから ブック を選ぶ。
検索窓に、update と入力して Windows Update for Business レポート を選択します。
以下のように レポートが表示されれば OK です。
無事にレポートの参照できたら、あとは 色々と参照してみましょう。
1章で レポートの内容を紹介しましたが、各項目の詳細説明のリンクも併記してあります。
1章の記事に戻って、見比べながら 参照してみてください。
https://qiita.com/carol0226/items/ff7c1ed42bb36ca8f86e#1-1-概要
公開情報:ブックを使用する
7. Microsoft 365 管理センター からの確認方法
Microsoft 365 管理センター から、別の視点で WUfB の診断情報を確認できます。
公開情報:Microsoft 365 管理センター:ソフトウェア更新プログラム
以下のように表示されました。データが少ないので あまり見栄えはしません・・・
FAQ
公開情報の FAQ ページへのリンクです。