Intune：Windows 更新管理について語らせて！【ポリシー解説】

2024年 9月に Windows Server Update Services (WSUS) 非推奨がアナウンス¹されてから早いもので 1年以上たちました。

クライアントの更新管理は、Windows Autopatch や Microsoft Intune へ移行することが推奨されています。

今後のクライアント更新管理にはWindows AutopatchやMicrosoft Intune、サーバー更新管理にはAzure Update Managerなどのクラウドツールへの移行をお勧めします。
―― Windows Server Update Services (WSUS) が非推奨により (2025年9月2日閲覧)

... が、Autopatch やら Intune やらではどのような更新管理ができるのでしょうか。

私も昨今の Autopatch の進化からうっかり目を離し (totally overwhelmed)、すっかり浦島太郎状態になっていたのですが、更新管理は避けては通れないデバイス管理の肝ですし、腹をくくって学びなおしました。

世の中には Autopatch 含め Intune で可能な更新管理について解説した記事が増えてきており、WSUS 非推奨アナウンスも喉元過ぎたところで重ねて記事書く意味.... はあるかわかりませんが、一旦壁打ちをメイン目的に自作の図多めでまとめます。
もしみなさまの役にも立ちましたら嬉しいです。

本記事の内容

Intune には、Windows の更新管理用に用意されたポリシーテンプレートが 4個、新入りの 1個が加わり計 5個あります。
それらの内実を知ることが Intune を使った Windows 更新管理のはじめの一歩と信じて、本記事ではポリシー解説メインで更新管理について語ります！

#	章題	概要
1	Autopatch と Intune	Autopatch と Intune の関係、そのポリシー実体を簡潔にまとめます。
2	Windows 更新管理の全体像	ポリシー、デバイス、更新取得先を Intune における更新管理の 3つの柱と位置付けて、それぞれ深堀します。
3	活用例	これまでの内容を踏まえ、Windows 更新管理における Intune の活用例を図示します。
-	さいごに	本記事を振り返ります。
-	参考	Autopatch はじめ Intune の Windows 更新管理機能について先人達がまとめられた神記事を掲載します。

1. Autopatch と Intune

WSUS 非推奨アナウンスにて今後の推奨として挙げられている Autopatch と Intune ですが、実は Autopatch を使うには Intune が必要です。
ということは、とりあえず Intune が推奨されているということになります。

現状、Intune 管理デバイスの更新管理方法を検討するにあたり取りえる選択肢は以下の 2つです！

• 1-A: Windows Autopatch (Microsoft-managed service) を使う
• 1-B: カスタムでポリシーを作成して使う

補足：Hotpatch と Q/U policy について
2024年の Ignite で発表された Windows クライアント向けの hotpatch は、Windows quality update policy として Intune に実装されました。
(Q/U policy は Q/U policy でも既存の通称 Expedite policy の方ではなく別の新しいポリシーテンプレートになりました。)

• ご参考... Hotpatch 発表概要(自作記事に飛びます)：Ignite 2024：Intune ニュースを萌え語り！ > Windows Hotpatch

その後 2025年 4月に GA されたようです。(現在 ARM 64 デバイスサポートがプレビュー扱い)
(参考：Hotpatch for Windows client now available)

どうやら現在は Autopatch 管理でない Intune managed device でも hotpatch が使えるらしいとの噂を聞いたことがあるのですが、2025年 12月時点の公開情報には以下記載があるので本記事上では Autopatch を利用する場合のみ構成可能と図示しました。

Hotpatch is an extension of Windows Update and requires Autopatch to create and deploy hotpatches to devices enrolled in the Autopatch quality update policy.
―― Windows quality update policy より (2025年12月13日閲覧)

なお、2025年の Ignite にてさらにこの Windows quality update policy に Windows recovery の新機能 (Quick Machine Recovery) が乗っかることが発表されました...!
(参考：Resilient by design: How Windows has evolved with new recovery tools)

(画像出典：Resilient by design: How Windows has evolved with new recovery tools)

1-A. Autopatch (managed service) とは

端的に言うと Autopatch とは、Entra joined または Entra hybrid joined かつ Intune 登録済みの組織所有デバイスに対し Microsoft がお勧めする更新管理テンプレートを適用するパッケージ型のソリューションです。

その内実は、後述する Windows 向け更新管理ポリシーの集合体です。
加えて、Microsoft 365 Apps (旧 Office アプリ) や、Microsoft Edge ブラウザの管理もオプトイン/アウトすることができ、オプトインする場合はこれらの更新を管理する構成プロファイルも作成されます。

以後余談ですが、2022年に Autopatch が GA² された当時は、"Do more with less³" の標語が大盛りあがりでした。
Autopatch も「Microsoft managed サービスで更新管理を簡単にしよう！」というのがウリで、追い風を受けた製品だったなと記憶しています。

その後も細ることなくフィードバックを取り込んで進化を続け、現在では管理者が任意で構成できる項目もだいぶ増えました。

また当時は、Microsoft Managed Desktop が提供されていない地域でも、更新に関しては同等のマネージドサービスを受けることができるようになった点も画期的でした。
その後 Microsoft Managed Desktop は 2024年 7月 31日に EOS になっています。(日本はもともと提供地域ではなくあまり話題になりませんでしたね。)
(参考：What is Microsoft Managed Desktop?)

更新管理ブランド ファミリー名としての Autopatch

• 参考：
  • Consolidating update management for enterprises
  • Unified: Windows Autopatch and Windows Update for Business deployment service
  • Ignite 2024：Intune ニュースを萌え語り！ - Windows Autopatch unification

余談ついでに...
2024年 9月、Windows Update for Business deployment service を Windows Autopatch が吸収し、Autopatch はブランド名としても使われるようになりました。

これまで、更新プログラムの展開対象やタイミングを制御するクラウドベースのサービスは「Windows Update for Business deployment service」と呼称されていました。
2024年 9月にこれが Autopatch に統合され、Autopatch は Microsoft-managed service の名前かつクラウドベースの更新管理のブランド ファミリー ネームになりました。

本記事では混乱を避けるため、以下表記を使います。

• Windows Autopatch (旧WUfB deployment service) または Windows Autopatch (旧 WUfB ds)
  もともと Windows Update for Business deployment service と呼称されていたサービスを表記する際にこの表現を使います！
• Windows Autopatch Microsoft-managed サービス または Windows Autopatch (managed service)
  Microsoft 推奨のテンプレートをパッケージとして提供する更新管理サービス (いわば狭義の Autopatch) を表記する際にこの表現を使います！

1-B. Intune 標準の更新管理ポリシーとは

対して、Autopatch 登場以前から Intune には更新リングを筆頭とする Windows 向け更新管理ポリシー⁴テンプレートがあります。

• Update rings for Windows 10 and later
  (Windows 10 以降向け更新リング)
• Feature updates for Windows 10 and later
  (Windows 10 以降向け機能更新プログラム ポリシー)
• Driver updates for Windows 10 and later
  (Windows 10 以降向けドライバー更新プログラム ポリシー)
• Quality updates for Windows 10 and later
  (Windows 10 以降向け品質更新プログラム ポリシー)

Microsoft 365 Apps や Edge も、もし管理したい場合は Autopatch と同様に構成プロファイルにて対応可能です。

2. Windows 更新管理の全体像

以上、先ほど [1. Autopatch と Intune] にて解剖したように Autopatch も実態は Intune に標準で備わっているポリシー機能を使っているということは、極論 (暴論?)、Intune で実装可能な更新管理の形にそれほどパターンは無いとも言えます。

更新管理における主な登場人物は (あえて絞って挙げると)、Intune 上で構成するポリシーと管理対象であるデバイス、そして更新取得先になります。

• 2-1. ポリシー
• 2-2. デバイス
• 2-3. 更新取得先

2-1. ポリシー

基本的に Intune で更新管理を実装するとなると、Update rings policy をベースに、組織のニーズに応じて各種ポリシーテンプレートを組み合わせて制御を構成します。
(これは Microsoft-managed サービスである Windows Autopatch を使う場合も、管理者がカスタムでポリシーを作成する場合も同じです。)

これらポリシーを俯瞰してみると、ざっくりと 2種に分けることができます。

• 2-2-1. Windows Update client policies (旧 Windows Update for Business)
  デバイスの更新取得挙動を制御するポリシー。 設定はデバイスローカル上に保持される。
• 2-2-2. Windows Autopatch (旧 Windows Update for Business deployment service)
  更新プログラムの展開対象やタイミングを制御するクラウドベースのサービス。設定はクラウド上に保持される。 (デバイスローカル上には適用されない。)

2-1-1. Windows Update client policies

• 参考：
  • What are Windows Update client policies?
  • Update rings for Windows 10 and later policy in Intune

Windows Update for Business 改め Windows Update client policies はデバイスの更新取得挙動を制御するポリシー群の総称で、GPO や MDM によって設定を構成・展開して使います。
設定は、デバイスローカル上に保持されます。

WUfB は、Windows Update client policies になりました！
これまで、デバイスの更新取得動作を制御する仕組みは「Windows Update for Business (WUfB)」と呼称されていました。
2025年 4月より、「Windows Update client policies」に名称変更されました。

• 参考：Why Windows Autopatch is the smart update solution

Intune では Windows Update client policies を構成・展開するためのポリシーテンプレート機能として Update rings policy が提供されています。

2-1-1-1. Update rings policy

• 参考：
  • Windows Update rings policy in Intune
  • Settings for Windows Update that you can manage through Intune policy for Update rings

Update rings policy で設定可能な項目の例：
(全量は参考の 2つめに挙げた公開情報をご参照ください！)

• 更新公開何日後から適用可能か (延期期間)
• ドライバー更新は受け取るか
• 機能更新は何日後までアンインストール可能か
• 自動インストールを許可するか
• 更新の一時停止をユーザーに許可するか
• 更新適用の期日 (deadline)、猶予期間 (grace period) を構成するか

延期期間 (deferral period) と期日 (deadline)、猶予期間 (grace period) が特に重要で、これらを使って更新リングを定義します。
(リングについては本記事には収まらなさそうなので、後日別記事にでもできれば... と思っています。)

さらに、Update rings policy にはアクション実行機能が付いており、業務影響発生など、更新の全体適用が望ましくない場合は更新アンインストールや展開の一時停止、事象解消後は再開などの制御が可能です。
(参考：Update rings for Windows 10 and later policy in Intune - Manage your Windows Update rings)

競合に注意！
Intune の Update rings policy は Windows Update CSP⁵ を使います。
Update rings を使って展開された設定は、次のレジストリに格納されます：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Update

デバイスに対しさらに GPO などから更新設定が展開されている場合は、Intune と競合してしまうため、どれかに寄せて設計する必要があります。
なお、GPO と Intune の設定項目が競合した (被った) 場合、既定では GPO の値が優先されます。
(残念ながら、Intune の値を優先させる MDM wins over GP (ControlPolicyConflict CSP) 設定は Policy CSP にしか効果がなく、Windows Update CSP については効力を発揮しません)

• 参考：
  • Settings for Windows Update that you can manage through Intune policy for Update rings
  • Troubleshoot Update rings for Windows 10 and Windows 11 in Microsoft Intune
  • GPOとIntuneプロファイル設定の共存

2-1-2. Windows Autopatch (旧 WUfB ds)

• 参考：
  • Announcing the Windows Update for Business deployment service
  • Feature updates for Windows 10 and later policy in Intune
  • Manage policy for Windows Driver updates with Microsoft Intune
  • Expedite Windows quality updates in Microsoft Intune

Windows Autopatch は、非常にややこしいのですが、これまで Windows Update for Business deployment service と呼ばれていたサービスを傘下に取り込んで、昨今はブランド名としても使われています。

再掲： 本記事では混乱を避けるため、以下表記を使います。

• Windows Autopatch (旧WUfB deployment service) または Windows Autopatch (旧 WUfB ds)
  もともと Windows Update for Business deployment service と呼称されていたサービスを表記する際にこの表現を使います！
• Windows Autopatch Microsoft-managed サービス または Windows Autopatch (managed service)
  Microsoft 推奨のテンプレートをパッケージとして提供する更新管理サービス (いわば狭義の Autopatch) を表記する際にこの表現を使います！

Windows Autopatch (旧 WUfB ds) は、更新プログラムの展開対象やタイミングを制御するクラウドベースのサービスです。
設定は、クラウド上に保持されます。

Intune では、おもに Windows Autopatch (旧 WUfB ds) を構成・展開するためのポリシーテンプレート機能として Feature updates policy, Driver updates policy, Quality updates policy が提供されています。
(これらポリシーテンプレート上の一部設定は Windows Update client policies を使うそうです⁶)

私信： Windows quality update policy へ
君は厳密にいうとマネージドポリシーとしての Autopatch の一部で、WUfB deployment service の一員だったことはないからこのセクションには記載しないでおくね。

既知の事象 (仕様)：Autopilot プロビジョニング中に適用されない！
Windows Autopilot でキッティングを行う場合、デバイスのプロビジョニング中 (ESP 表示中) の OOBE プロセスでは Windows Autopatch (旧 WUfB ds) の設定は適用できません。

これらの設定は、プロビジョニング完了後の初回の更新スキャンでデバイスが Windows Update に接続したタイミングで取得され効果が発揮されます。

• 参考：
  • Feature updates for Windows 10 and later policy in Intune
  • Windows Driver update management in Microsoft Intune

なお、Windows 既定の動作として OOBE 中にゼロデイパッチ (クリティカルな更新) は適用されます。

• 参考：Windows updates during OOBE

Autopilot によるデバイスプロビジョニング中の Windows OS 更新については要望の高い機能であり、現在開発中 (リリース時期は未定) とのこと。楽しみですね！

• 参考：
  • Windows. Cloud. Management. Your questions answered.
  • AMA: Managing Windows updates

私は Windows recovery の動きがいつかこの開発に合流するのではと妄想しています。

2-1-2-1. Feature updates policy

• 参考：Feature updates for Windows 10 and later policy in Intune

Feature updates policy で制御可能な項目の例：どのメジャーバージョン (Windows 1X 2XH2) の更新を取得可能か

Feature updates policy はメジャーバージョンを指定するという点で target version policy の一種に分類することもできます。
(参考：Prepare for Windows 11)

2021年当時 Windows 11 が発表されたときに、段階を踏んで機能更新を展開したい (Windows 11 更新適用をブロックしたい) 需要が高まりました。
いち Intune ウォッチャーの体感としては Feature updates policy もこのとき一気に脚光を浴びた覚えがあります。

2-1-2-2. Driver updates policy

• 参考：Manage policy for Windows Driver updates with Microsoft Intune

Driver updates policy で制御可能な項目の例：どのドライバー更新 (管理者の承認式) をいつから取得可能か

Driver updates policy は Windows Update に公開されているドライバーが制御対象です。
(参考：AMA: Windows updates in Intune: drivers, firmware, and Autopatch)

本番環境では100個ほどにのぼることもあるから、基本的に自動承認式にしておくことがおすすめだそうです。ただし、一部の組織では 100% 制御したいというニーズもあり、その場合はひとつづつ手動で管理者が承認する手動承認にするのもよいとか。
(参考：AMA: Windows updates in Intune: drivers, firmware, and Autopatch)

2-1-2-3. Quality updates policy

• 参考：Expedite Windows quality updates in Microsoft Intune

Quality updates policy で設定可能な項目の例：何年何月の Q/U リリース (例：B リリース、D リリース... など) を高速展開するか

Quality updates for Windows 10 and later は expedite policy と一般に呼ばれており、緊急パッチ適用目的で利用するオプショナルポリシーです。(平時の月次更新運用で使うポリシーではありません。)

2-2. デバイス

Intune にて更新管理するには、管理対象のデバイスが Intune に登録されている必要があります。
加えて、Entra 参加状態にも前提があります。

• Windows Update client policies のみ利用する場合： Entra registered
• Windows Autopatch (旧 WUfB ds および managed service) を利用する場合： Entra joined または Entra hybrid joind (Entra registered 不可)

デバイスは Entra ID 側でグループに所属させ、Intune からポリシーを適用します。

なお Windows Update client policies はユーザーグループにも適用可能ですが、Windows Autopatch (旧 WUfB ds) 側はデバイスグループのみサポートです。
このため、これらを合わせて使う場合および Windows Autopatch (managed service) を使う場合は、デバイスグループを使います。

グループはリングごとに作成します。

2-3. 更新取得先

Intune にて更新管理をする際の基本の形として、デバイスが更新を取得する先は Intune ではなく Windows Update になります。

Intune は、WSUS や ConfigMgr のような更新の提供先としては機能しません。
(Intune 上に Windows Update コンテンツをプールして参照させるといったことはできません)

このため、基本的にデバイスはインターネット越しに Windows Update から更新を取得します。

WSUS 利用環境で必ず構成されるイントラネットの更新サービス場所を指定する設定は CSP としても提供されており、私個人としては構成したことはないものの、MDM ポリシーとして更新向け先を構成すること自体はできそうです。
(参考：イントラネットの Microsoft 更新サービスの場所を指定する, UpdateServiceUrl)

ただし、WSUS が非推奨となった今、今後この設定にそれほど需要は無くなっていくのではとも思います。

ハイブリッドワーク環境など、持ち出し利用 100% ではなくまだまだ社内LAN接続状態で使うシチュエーションもあるし帯域がどうしても気になるという場合は、今後 Microsoft Connected Cache がソリューションになると思います。
(参考：Deploying Microsoft Connected Cache for Enterprise at scale)

3. 活用例

[2. Windows 更新管理の全体像] でなぞったポリシー、デバイス、更新取得先をひとつの構成図にまとめて図示し、活用例として本セクションに掲載します。

3-1. 更新管理ポリシー活用例

更新管理ポリシーテンプレートを全部載せする必要はなく、組織のニーズに応じて取捨選択するのが実際の形にはなりますが、それぞれ以下のように役割分担させて活用します。

ライセンス早見表も作ってみましたので、もしご参考になりましたら幸いです。

3-2. コンプライアンスポリシーと合わせた活用例

Intune 全体を俯瞰してみると、コンプライアンスポリシーによる抑止力も更新管理の点で有用です。
設計現場の体感としては、Intune を使う以上コンプライアンスポリシーを使わない組織はほぼなく、なかでも一番人気の設定は OS 最小バージョンチェックです。

ライセンス早見表：

さいごに

Intune で Windows の更新を管理するにおいて、複数あるポリシーの役割を把握することが最初の一歩だと思います。
組織それぞれの目的に照らし合わせて取捨選択する上で、もしこの記事が少しでも助けになればとても嬉しいです。

なお、今回はリング展開や実際の月次・年次運用イメージまで深堀することができませんでしたが、WSUS との大きな違いは管理者が更新プログラムを承認式で展開する運用からの卒業にもあります。

まず更新は性善説で一律適用する。ただし動作確認のためリング展開する。もし問題が発生したら対象更新をロールバックし後続リングへの更新展開を止める。解消すれば再開する。
―― 端的にいうとこれが Intune における更新運用の考え方です。

ポリシーに焦点を当てたことで若干情報量多く見える仕上がりになってしまいましたが、上記の考え方だと従来の更新管理に比較して運用は比較的シンプルなものになります。

Intune 活用が更新運用のモダナイゼーションの契機となることも多いのではないでしょうか。

記事中でも触れましたが、Intune の更新管理機能はブランドの統廃合があったりポリシーテンプレートの追加があったり、開発も活発です。
現代に求められる更新の形の極北を一緒に目指しましょう🌟

関連記事紹介
これからクラウドジャーニーを歩む方のご参考になりそうな過去記事があります！

• 【雑記】GPOなど既存システムのデバイスポリシーを Intune に再現する方法 (Windows)

• 新生「Windows Autopilot デバイスの準備」の現在地とこれから！

参考

• Technical Takeoff

  • Achieving update harmony through unified update management | TechCommunity
  • Windows Autopatch: Your playbook for advanced update management

• Jonathan Edwards さん (Bearded365Guy) の Autopatch 動作解説動作

  • Windows Autopatch Makes Device Updates a BREEZE in Intune! | YouTube

• Masato Yoshino さん (Microsoft) の Autopatch 検証記事

  • Windows Autopatch で Windows 365 を手放し運用（Setup & Forget）

• 日本マイクロソフト 太田卓也さんの Windows 更新管理解説セッション

  • 講演資料：イマドキの Windows の更新管理 | ZDNet Japan
  • Digital Trust Summit 2022 - イマドキの Windows の更新管理 ～ アップデートの仕組みから Windows Autopatch まで ～ | Docswell

• Microsoft MVP 国井さんのブログ記事

  • 【2025年版】Windows Autopatchの実装

• CloudNative tsuji さんの Intune 解説記事

  • Intune で使える Windows Update 更新管理機能

• Microsoft MVP 野口さん (@carol0226) さんのモダン更新管理解説記事

  • Intune を使った 更新プログラム の管理

• 山内良さん あらため 山内和朗さんの検証記事

  • vol.106　Windows Autopatch（中編）｜はじめてのIntune（17）
  • vol.107　Windows Autopatch（後編）｜はじめてのIntune（18）

1. WSUS 非推奨アナウンス：Windows Server Update Services (WSUS) deprecation, Windows Server Update Services (WSUS) が非推奨に ↩

2. Windows Autopatch GA アナウンス：Windows Autopatch has arrived! ↩

3. 2022年は Do more with less の時代でした：Microsoft 365 admin guide to Ignite 2022 – Helping IT do more with less ↩

4. Windows 向け更新管理ポリシー機能：Manage Windows 10 and Windows 11 software updates in Intune - Policy types to manage updates
   公開情報の機械翻訳と Intune 管理センター上の表記が一部一致せず、日本語表記でのポリシーテンプレート正式名称がよく分からないため、本記事では極力英語表記を使います...! ↩

5. CSP (構成サービスプロバイダー) とは、Intune など MDM (モバイルデバイス管理) 製品が Windows デバイスを制御するために使う API のようなものです：IT 担当者向けの構成サービス プロバイダー ↩

6. Feature updates policy, Driver updates policy, Quality updates policy では一部 Windows Update client policies を使います (参考："Intune policies for Feature updates for Windows 10 and later require the use of Windows Update client policies and Windows Autopatch." (Feature updates for Windows 10 and later policy in Intune), "Intune policies for Driver updates for Windows 10 and later require the use of Windows Update client policies and Windows Autopatch." (Windows Driver update management in Microsoft Intune), "Intune policies for Quality updates for Windows 10 and later require the use of Windows Update client policies and Windows Autopatch." (Expedite Windows quality updates in Microsoft Intune)) ↩