Intuneを活用したWindows Update更新リングの段階的適用手順

2024.02.202024.10.18

従来のWSUSなどのように、Microsoft Intuneにおいても組織内のデバイスに対してセキュリティパッチや機能更新を効率的に運用することができます。

この記事では、Entra参加デバイスに対し、Intuneを使って、Windows更新プログラムを展開する手順を確認します。

スポンサーリンク

目次

機能更新プログラムと品質更新プログラム
1. 機能更新プログラム
2. 品質更新プログラム
更新リングとは
更新リングの設定
動作確認

機能更新プログラムと品質更新プログラム

まず、機能更新プログラムと品質更新プログラムの違いについて、確認します。

機能更新プログラム

Windowsの新しいバージョンへのアップグレードが提供され、新機能の追加、既存機能の改善、ユーザーインターフェイスの更新などが含まれます。

通常、年に2回リリースされ、非常に大規模なアップデートになります。

機能更新プログラムのリリースは、「22H2」のような2桁の年コードで表します。「H1」は年の前半、「H2」は年の後半のリリースに割り当てられます。

品質更新プログラム

セキュリティパッチ、バグ修正、小規模な改善などの累積的な更新を提供し、通常は毎月（第2火曜日）リリースされます。

スポンサーリンク

更新リングとは

更新リングとは、Windows Updateの更新プログラムを異なるグループのデバイスに段階的に適用するためのポリシー設定のことです。

更新リングを設定することで、更新プログラムの影響を小規模なグループで影響をテストした後、広範囲にわたるデバイスへと段階的に展開することができます。

例えば、更新リングの例として、下記のように分けることができます。

事前検証リング：事前検証用。更新プログラムが公開されるとすぐに適用します。IT管理者デバイスなどが想定され、事前にテストを実施します。
パイロット展開リング：全社展開前の限定的なデバイスへの適用。
全社展開リング：組織全体への適用。

この記事では、下記の状況を考えます。

スポンサーリンク

更新リングの設定

「Microsoft Intune管理センタ（https://intune.microsoft.com/）」へアクセスし、「デバイス」をクリックします。

更新リングの設定は、Windows 10 以降向け更新リング　で設定します。

それでは、更新リングによる更新プログラム適用の設定をします。

グループの作成

まず、グループ（事前検証、パイロット展開、全社展開）を作成し、デバイスをグループに割り当てます。それぞれのグループに対して、更新スケジュールに基づいた設定を行います。

※「全社展開リング」として全デバイスを対象にするのであれば、グループは作成せず、下記のリング設定の割り当てを「すべてのデバイス」にすれば、OKです。

事前検証リングの設定

「Windows 10 以降向け更新リング」をクリックします。

「プロファイルの作成」をクリックします。

任意の名前（今回は、事前検証リング）を入力し、「次へ」をクリックします。

事前検証リングは、更新をすぐに受け取りますので、「品質更新プログラムの延期期間 (日数)」および「機能更新プログラムの延期期間 (日数)」をそれぞれ、「0」にします。また、「機能更新プログラムのアンインストール期間 (2 から 60 日間) の設定」は「60」としておきます。

その他、業務時間帯（アクティブな時間）を設定したら、自動更新時の動作（ダウンロード通知、インストール、再起動有無など）を指定します。今回は、デフォルトのままとします。

更新プログラムのインストールや再起動の猶予期間を設定することができます。デフォルトでは「構成されていません」ですが、よく使用する設定ですので、下記のとおり、更新プログラムは30日まで、再起動の猶予期間は7日の期限を設定します。

「次へ」をクリックし、「割り当て」タブへ移動します。「グループを追加」をクリックし、上で作成した「事前検証リング」を指定します。（まだ、グループにはデバイスやユーザは割り当てていません）

「次へ」をクリックします。「確認および作成」タブより、設定を確認し、「作成」をクリックします。

下記のとおり、登録されます。

パイロット展開リングの設定

パイロット展開は、事前検証リングにより、テストが完了してから、展開します。今回は延長期間として7日で設定します。

本番展開リング

パイロット展開により、安定稼働を確認してから、本番展開として、全デバイスに適用します。今回は延長期間として30日で設定します。

スポンサーリンク

動作確認

「事前検証リング」のグループに「Win11-1」を所属させます。

「全社展開リング」のグループに「Win11-2」を所属させます。

しばらくして、更新リングのポリシーが適用されます。

「Win11-1」　は事前検証リングのため、更新プログラムが自動的に適用されます。下記画面では、時間がアクティブ時間内のため、インストールが保留されています。

「Win11-2」　は全社展開リングのため、更新プログラムの適用は延期されます。下記画面のとおり、「利用可能になったらすぐに最新の更新プログラムを入手する」がオフになり、設定変更ができないようになっています。

コメント