LoginSignup
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@gajin-yoshino(Masato Yoshino)inMicrosoft

Windows Autopatch で Windows 365 を手放し運用(Setup & Forget)

Posted at

概要

Windows 365 はシンプルさや容易さを製品特性としています。このシンプルさを突き詰めるためには、Windows Autopatch (以下、Autopatch)を使用することでパッチ マネジメントさえも Microsoft Managed とすることができます。このことを、欧米の同僚は ”Set up & Forget” 「構成したらあとは忘れちゃおう」とうまいこと表現していました。

ただ、この Autopatch がここ最近で仕様を変更しており、特に初期構成時の振る舞いが変わったため、ちょっと戸惑いやすくなってしまいました。

本稿は、この最初のちょっとしたハードルを越えるお手伝いをすることで、「お手軽さ」を体験できるようにガイドをすることを目指しています。

Disclaimer
本稿は Windows 365 運用と Autopatch を組み合わせる運用を解説するためだけのサンプルであり、実運用上のあれやこれやは考慮していませんので、その点は読者皆様でご対応ください。

Windows Autopatch 以前と今

Autopatch をごく簡単に紹介すると、更新プログラム適用プロセスを Microsoft Managed で進めることができるサービスとなります。ここでいう更新プログラムには Windows (QU: Quality Update 月例更新、FU:Feature Update 年次更新)、Edge、Microsoft Apps for Enterprise も対象に入ります。その更新は更新リングを通して段階的に Microsoft がコントロールしながら展開が進みます。

昨年 9 月に WSUS が 非推奨 となったことを受けてあらためて関心を向けていただけているサービスでもあります。

この発表の以前の Autopatch ではテナントでこのサービスを有効にすると、展開リングとそれに紐づく展開ポリシーが 自動的に 作成されました。またどのリングに、どの程度の数量のデバイスを関係づけるかも Autopatch サービスがよしなに処理してくれました。もちろん、その割り当ては後から修正できます。

そのため、Windows 365 目線では事前準備として Autopatch を有効化できていれば、あとは Windows 365 Cloud PC 払い出し定義(プロビジョニング ポリシー)で Autopatch を使用する、というフラグを立てるだけでその管理下に収めることができました。

今の Autopatch ではサービスを有効化した後で 管理者が リングを構成する仕様へと変更されました。その結果、Windows 365 を Autopatch で運用するために一手間いれることになりました。とは言っても、ウィザードでポチポチとするだけなので、ゼロベースで更新リング(とポリシー)を構成するよりかは随分と簡単ではあります。

なお、Mirosoft 公開ドキュメントでは、Autopatch は ”自動パッチ” と訳して記述されている場合もあります。本稿では Autopatch で用語を統一して記載します。

Windows 365 での Autopatch

Autopatch は更新リングへのデバイス割り当ても自動処理してくれるのが特色なのですが、実はこの部分が Windows 365 では扱いが異なっています。

"プロビジョニング ポリシーを作成する" Microsoft Learn より引用

7 省略可能。 [ その他のサービス] で、このポリシーでプロビジョニングされたクラウド PC にインストールするサービスを選択します。

  • Windows Autopatch は (中略)
    • このオプションを選択すると、自動パッチ グループの最後のリングとしてデバイスが新しいリングに割り当てられます。
    • クラウド PC の動的配布を手動で有効にするには、自動パッチ グループの動的配布リストを変更して、クラウド PC が追加されている Entra ID グループを含めます。

こちらに引用した箇条書き 1 つ目が検討事項となります。プロビジョニング ポリシーの中で Autopatch グループを指定してしまうと、使用する更新リングが "Last" リングに固定されてしまいます。リングを分散させて段階的適用を行うならば、この構成は要件に適合しないことになります。そのため、本稿では箇条書きの 2 つ目でポイントされた構成を行います。

また、使用するデバイス グループには ”動的グループ” を使用します。こうすることで新たに Cloud PC を展開したら自動的にそのグループに新しい Cloud PC が追加されるようになります。こうすることで、グループ メンバーをメンテナンスするという運用を回避することができるので、Auotopatch の自動化の恩恵をより強く感じることができます。

Windows 365 を Autopatch に組み込む

段取りは、このようになります。

  1. Windows Autopatch を有効にする
  2. デバイス グループを定義する
  3. 更新リングを定義する
  4. Windows 365 プロビジョニング ポリシー を定義する
  5. 構成結果の確認

Windows Autopatch を有効にする

管理者特権を持ったアカウントで Intune にサイン オンし、Windows Autopatch を有効化します

[機能の有効化] から
img002.png

チェックボックスをマークして、[ライセンス認証] をクリック
img003.png

しばらく待つと UI が更新されます。完了のメッセージが出たのに UI が変わらない場合は、ページを再読み込みするか、あるいは Intune にサイン オンし直してみてください。
img004.png

デバイス グループを定義

Autopatch 対象となる Windows 365 Cloud PC を指定するためのグループを定義します。

img007-1.png デバイス グループ定義

動的ルールを定義します。 ここではシンプルなルール ”Windows 365 Cloud PC を含める” を定義しています。そのため、異なるプロビジョニング ポリシーを使って展開された Cloud PC であっても等しくこのグループのメンバーとして扱われます。実運用上は、ご自身の運用要件に照らしてルールをご検討ください。

img007-2.png 動的メンバーシップ ルール

ルールの検証メニューを使用すると指定したオブジェクトに対してのルールの評価結果が確認できます。
img007-3.png ルール評価結果

更新リングを定義する

機能が有効になったので初期設定を進めます。定義は "テナント管理 > Windows Autopatch" から作成できます。

では、始めましょう。 [自動パッチグループの作成] をクリックします。

img004.png Autopatch グループ作成

リングの名称を入力し、 [次へ:デプロイリング] をクリックします

img006.png リング名称の定義

初期状態では、"<リング名称> - Test" と "<リング名称> - Last" の2つだけなので、ここに任意に更新リングを追加していきます。 リング数の上限については こちら を参照ください。

img008.png Autopatch グループ 初期状態

リングを追加するに先立って、"ダイナミック グループ配布"に先のステップで作成したデバイス グループを指定します。その次に、今回は 2 つのリングを追加し、リングに割り当てられるデバイスの比率を指定します。繰り返しとなりますが、これは構成例なので実際には皆様の運用要件を検討しリング数を設計ください。

img009.png リングを追加

本例では残りの項目については既定値を受け入れて進めます。

img010.png

img011.png

構成された内容を確認して問題がなければ [保存] を選択して変更をコミットします。

img012.png 確認画面

Autopatch グループが登録されました。

img013.png Autopatch グループ反映待ち

登録直後は [ポリシーの正常性] が "処理中" となっていますが、しばらく待つと "正常" へと表示が遷移し、Autopatch グループの準備が完了したことが示されます。

img013-2.png Autopatch グループ 反映完了

完了すると定義したリングに対応するグループも作成されます。

img013-3.png

Windows 365 プロビジョニング ポリシーの定義

本稿では、Autopatch リングへの自動配布を行うため、プロビジョニング ポリシーを使った Autopatch へのデバイス登録を行いません。そのため、定義ウィザードの [構成] ステップで [Autopatch] オプションを 選択しない ことに注意してください。それ以外の選択肢は任意に構成ください。

img016.png Provisioning Policy 構成 オプション

本稿ではプロビジョニング ポリシーの定義など Windows 365 Cloud PC 展開の詳細は割愛致します。同僚が公開している詳細な解説記事を参考情報に掲載しましたので参照ください。

定義をコミットすると Cloud PC の展開が自動的に開始されますので、その完了をコーヒーを飲みながら待ちます。

img019.png CPC Provisioning 進行中

Cloud PC の展開が完了しました。

img020.png CPC展開完了

構成結果の確認

Cloud PC は動的グループ メンバーに追加され、そこからダイナミック配布により更新リング グループに振り分けられているはずですので、そちらもそれぞれ確認します。

動的グループ メンバーに展開した Cloud PC 12 台が所属しています。
img021.png 動的グループ

Ring1 グループには配布率 10% なので、12 台中の 1台が

img022.png Ring1 に登録されたCPC

Ring2 グループには配布率 90% なので、12 台中の 11 台の Cloud PC が割り当てられました。

img023.png Ring2 に登録されたCPC

構成通りに Cloud PC が更新リングに登録されたことを確認することができました。

本稿での構成では、動的グループの機能により新たに Cloud PC が展開されるたびにデバイス グループ メンバー登録され、自動的にリングに配置されます。管理者は Intune 管理センターというコックピットから Microsoft Managed で進行する展開状況をモニタリングするだけとなります。もしもの時は、その展開を管理者の手で止めることも可能です。

さぁ、煩わしい運用から手を離して、他の楽しいワークに集中しましょう

参考情報

eof

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?