こんにちは!tsuji です!
今回は Windows Autopatch について解説します。Windows Autopatch は一般提供が開始されてから約 2 年半ほど経ちましたが、当時から動作や仕様が結構変わっています。変更点にも触れていきながら説明していこうと思います。
2025 年 3 月 31 日以降に Windows Autopatch 機能とレポートについて重要な変更があるようなので、内容が一部異なる可能性がある点ご留意ください。正確な内容が分かり次第ブログへ反映する予定です。
概要
Windows Autopatch とは
Windows Autopatch は 2022 年 7 月に Intune に追加された機能で、更新プログラムやドライバー、Microsoft 365 Apps、Edge といったところまでアップデートを一元的に管理することができます。また、Windows Autopatch では、サービスレベルの目標として品質更新プログラムで最新のデバイスを少なくとも 95% を保持することを目指しています。
Windows Autopatch は、Intune の基本的な更新管理機能を活用するため、当該機能をご存じない方は以前私が投稿しました Intune で使える Windows Update 更新管理機能 のブログを先にお読みいただいてから本ブログを見ていただくとより理解いただけるかもしれません。
Intune 更新管理機能と Windows Autopatch の違い
一言でいうと Windows Autopatch は、従来からある Intune 更新管理機能の補助機能または強化機能になるかと思います。例えば Intune 更新管理機能では、更新リングや機能更新プログラムポリシーなどそれぞれ作成し、それぞれのポリシーで管理していたかと思います。
Windows Autopatch では、Windows Autopatch グループという単位で更新リングや機能更新プログラムなどのポリシーを一括で作成を行い、展開リングという括りで各ポリシーの一元管理を行うことができます。
さらに Windows Autopatch では、展開リングへの比率による動的な登録機能や機能更新プログラムポリシーの段階的なリリース機能、各更新リングポリシーの品質更新プログラム配信スケジュール通知、レポート機能などがあり、中規模や大規模な組織の管理にも適している機能かと思います。
展開リングへの比率に応じた登録構成
機能更新プログラムポリシーの段階的なリリース機能
各更新リングポリシーの品質更新プログラム配信スケジュール通知 (この機能数週間以内に実装から削除されるかもしれません…正確な情報確認次第更新します)
各更新リングや機能更新プログラムポリシーのレポート機能
前提条件
<デバイス>
| 項目 | 内容 |
|---|---|
| エディション | ・Windows 10 / 11 Pro、Education、Enterprise ・Windows 10 / 11 IoT Enterprise エディション |
| 登録形式 | Entra Join または Entra Hybrid Join + Intune |
<ライセンス>
このブログを投稿した当日にライセンスに変更されるアナウンスがあり、Microsoft 365 Business Premium or Windows 10 / 11 Education A3・A5 でも Windows Autopatch 機能が利用できるようになるかつ、アクティブ化作業も今後必要なくなるようです。
https://techcommunity.microsoft.com/blog/windows-itpro-blog/why-windows-autopatch-is-the-smart-update-solution/4399200
現在、テナントによってはまだアクティブ化作業が必要で、今回の変更が日本の Intune テナントに反映されるまで 1 〜 2 週間かかることが予想されます。利用できるライセンスについては本ブログではなく、上記の公式ドキュメントを参照ください。正確に把握でき次第ブログも修正します。
| 機能 | ライセンス |
|---|---|
| Windows Autopatch の一部機能 | Intune + Microsoft 365 Business Premium or Windows 10 / 11 Education A3・A5 が含まれるライセンス |
| Windows Autopatch アクティブ化機能 (フル機能) | Intune + Windows 10 / 11 Enterprise E3・E5 が含まれるライセンス |
※ 以前は Microsoft 365 F3 では Windows Autopatch のアクティブ化機能が使えませんでしが、現在は利用可能です。
基本的に Windows Autopatch の主機能を利用できるのは Windows 10 / 11 Enteprise E3・E5 になりますが、細かい違いについては次のセクションで記載します。細かい内容なので、不要な方は読み飛ばしてください。
公式ドキュメントの見方
Windows Autopatch ではライセンスによって利用できる機能が異なります。
Windows Autopatch のライセンスと権利のドキュメントでは、以下の通り Microsoft 365 Business Premium、Windows 10 / 11 Education A3・A5、Windows 10 / 11 Enterprise E3・E5 で使える機能が記載されています。
Windows Autopatch では、Windows 10 / 11 Enterprise E3・E5 ライセンスのみがアクティブ化する権利があります。そのため、現時点では Windows Autopatch が利用できる前提条件のライセンスは Windows 10 / 11 Enterprise E3・E5 と言って良いかと思います。
Microsoft 365 Business Premium や Windows 10 / 11 Education A3・A5 のライセンスで使える更新管理機能は、更新リング、機能更新プログラムポリシー、品質更新プログラムポリシー、ドライバー管理ポリシーなど従来から利用できる範囲は変わりません。なぜ、Windows Autopatch のドキュメントに Microsoft 365 Business Premium や Windows 10 / 11 Education A3・A5 が記載されているかの理由についてですが、2024 年 9 月に Microsoft 365 Business Premium や Windows 10 / 11 Education A3・A5 ライセンスで利用できる Windows Update for Business 展開サービス (機能更新プログラムポリシー、品質更新プログラムポリシー、ドライバー管理ポリシー) 機能が Windows Autopatch に統合されました。
ちょうどそのときに Windows Autopatch のドキュメントがライセンスごとに使える機能の記載が追加され、Microsoft 365 Business Premium や Windows 10 / 11 Education A3・A5 が記載されるようになりました。
そのため、少々ややこしいですが、公式ドキュメントでは所々以下のように Microsoft 365 Business Premium や Windows 10 / 11 Education A3・A5 で使える部分と、Windows 10 / 11 Enterprise E3・E5 で使える部分が区別されて記載されています。
本ブログのロードマップ
この後の流れは少々内容が多いので、軽く各セクションどのようなトピックを書いているのか記載します。
<Windows Autopatch デプロイ>
Windows Autopatch を使うための事前準備を行います。
| 項目 | 説明 |
|---|---|
| Windows Autopatch アクティブ化 | アクティブ化することで、Windows Autopatch の機能が Intune 管理センターに表示 |
| Windows Autopatch グループ構成 | 展開リングを作成して、更新リングやドライバー管理ポリシーなど一元管理できるポリシーを一括で作成 |
| レポート機能の利用事前準備 | レポート機能をフルで使えるよう構成 |
<運用管理>
Windows Autopatch へデバイス登録や各運用機能の使い方を解説します。
| 項目 | 説明 |
|---|---|
| デバイス登録と展開リング割り当て管理 | Windows Autopatch グループの構成で作成した展開リングにデバイスを割り当てられるよう Windows Autopatch にデバイス登録 |
| リリーススケジュール | 更新リング、機能更新プログラムポリシーのリリース管理機能紹介 |
| 品質更新プログラム機能 | 迅速な品質更新プログラムの配信機能とホットパッチ機能の紹介 |
| 機能更新プログラム | 複数のフェーズに分けて機能更新プログラムの配信を段階的にリリースできる機能の紹介 |
| レポート機能 | 品質・機能更新プログラムのレポート機能 |
| メッセージと通知機能 | 更新リングスケジュールなどのメッセージと通知機能 |
| 更新リングインポート機能 | 既存の更新リングポリシーインポートして、一部の Windows Autopatch 機能の恩恵を享受 |
Windows Autopatch デプロイ
Windows Autopatch アクティブ化
Windows 10 / 11 Enteprise E3 または E5 ライセンス (もしくは当該ライセンスが含まれるライセンス) を保有しているテナントでは、Intune 管理センター > [テナント管理] > [Windows Autopatch] > [機能のアクティブ化] が表示されています。こちらの画面から Windows Autopatch のフル機能をアクティブ化していきます。
“テナントでのこれらの変更に同意する” にチェックを入れ、[ライセンス認証する] ボタンをクリックします。
Windows Autopatch 機能をアクティブ化後に、少し時間をおいて Intune 管理画面を更新するといくつかメニューが増えています。
[テナント管理] > [Windows Autopatch]
以前はこの時点で、Autopatch グループが構成されて更新リングや機能更新プログラムポリシー、Office ポリシーなどが自動的に作成されていたのですが、現在は Autopatch グループを手動で作成する仕様に変更されているようです。
その他には、Windows Autopatch レポートの画面が表示されたり、Windows Autopatch 用のグループが作成されます。
[レポート] > [Windows Autopatch]
[グループ] > [すべてのグループ]
Windows Autopatch グループ作成
Windows Autopatch グループでは、展開リングを作成する作業になります。展開リングは段階的に展開できるよう考慮された更新リングやドライバー更新、Office などのポリシーを一括で作成したり、デバイス割り当てを一元的に管理できるようになります。
Windows Autopatch グループの機能として、特定の展開リングに管理したい Entra ID のデバイスグループを直接指定することができますが、各展開リングに登録されているデバイス数の比率に応じて登録する展開リングを自動的に振り分けることもできます。
比率に応じた展開リングの割り当てを行いたい場合は、Windows Autopatch 登録用のデバイスグループを事前に作成します。
必要に応じて [グループ] > [すべてのグループ] > [新しいグループ] より登録用のデバイスグループを作成します。静的・動的グループどちらも利用できます。静的の場合は入れ子でも利用可能です。
次は Windows Autopatch グループを作成していきます。
[テナント管理] > [Autopatch グループ] > [自動パッチグループ] > [+ 作成] ボタンをクリックします。
[基本情報] タブで名前を入力します。この名前は一括で作成される各ポリシーの名前に使われます。
[デプロイ リング] タブでは、展開リングの数や所属させたいデバイスグループの指定もしくは比率に応じたデバイス登録の構成を行います。
本ブログの中で使われる “デバイス登録” とはすでに Entra Join もしくは Entra Hybrid Join していて Intune 登録されている端末を Windows Autopatch へ登録することを “デバイス登録” と表現しています。
比率に応じたデバイス登録の構成を行うには、”ダイナミックグループ配布” の右にある [グループの追加] リンクより事前に作成したデバイス登録用のグループを指定します。
指定後、以下のようにグループが設定されます。
比率に応じた登録を構成するため、[+ 展開リングの追加] より展開リングを追加する必要があります。
デフォルトでは Test と Last が構成されており、こちらは削除することができず、Test はパイロット用、Last は運用のリングとして利用できます。また、ここで作成した展開リングに沿ってこの後設定する更新リングやドライバー更新管理ポリシーが自動で作成されます。
その他、以下のように直接展開リングにデバイスグループを指定することができ、そのグループのメンバーとなっているデバイスは、デバイス登録したときに指定した展開リングが割り当てられます。
[Windows Update] タブでは、各展開リングごとに品質更新プログラムの配信遅延期間や OS 再起動猶予期間などの設定を行います。Windows Autopatch グループ作成後は、本設定に沿って更新リングのポリシーが作成されます。
各デプロイリングの右側にある [⋯] > [デプロイ頻度の管理] より変更を行います。
展開周期の設定では、”期限主導” と “インストールのスケジュール設定” があります。”期限主導” はユーザーの状況をみつつ迅速に更新プログラムが適用され、セキュリティ衛生面が高い方式になります。逆に ”インストールのスケジュール設定” は、迅速に更新プログラムが適用されない可能性がありますが、エンドユーザーへの業務影響を最小限に抑える方式となります。
- 期限主導 更新プログラムのダウンロード遅延期間、インストール期限、OS 再起動猶予期間に基づき更新プログラムが適用され、更新プログラムの迅速なインストールやユーザーの利用状況に基づいて OS 再起動の時間が調整されます。
- インストールのスケジュール設定 遅延期間の他、インストールや再起動動作を特定の時間帯、期間を指定することができます。インストール期限、OS 再起動猶予期間が構成されないため、エンドユーザーの業務影響を最小限に抑えることができます。
- 遅延期間 Microsoft から品質更新プログラムが公開されてから、端末へ配信するまでの遅延期間
- 期限 端末に品質更新プログラムがダウンロードされてから、インストールされるまでの期限
- 猶予期間 端末に更新プログラムがインストールされてから、強制 OS 再起動されるまでの猶予期間
Windows Autopatch では、品質更新プログラムを最新に保つというサービスレベルの目標がありますが、”インストールのスケジュール設定” を選択した場合はこの目標には適用されません。
注意 [スケジュールのインストール設定] 頻度の種類を選択した場合、そのリング内のデバイスは Windows 品質更新サービス レベルの目標にはカウントされません。
Windows Autopatch は、最新の品質更新プログラムで 、最新のデバイス の少なくとも 95% を保持することを目指しています。
各構成を変更すると、どこの更新リングの設定に反映されるのかについては以下の表にまとめてみました。以前試したときと多少挙動が変わってたりもしますので、あくまでも参考程度に見てもらえればと思います。
上の横列が Windows Autopatch グループ上で設定変更した値、左の縦列が更新リングに反映された項目
[⋯] > [通知の管理] では、端末上の Windows Update 通知制御を変更することができます。
[ドライバー更新プログラム] タブでは、端末のドライバー更新管理の設定を行います。Windows Update for Business 経由でドライバーを関する必要がない場合はオフにすることもできます。Windows Autopatch グループ作成後は、本設定に沿ってドライバー更新管理のポリシーが作成されます。
“自動” は更新が必要なドライバーがあれば自動的にインストールする構成で、遅延期間に準じては配布が行われます。”手動” は必要に応じて承認を行ったドライバーが配布されます。
自分が利用している端末のドライバーが Windows Update for Business 経由で配布されているかどうかは OEM 次第となるため、配布に対応しているかどうかは Microsoft Update カタログ検索で確認できます。
問題がなければ作成を完了します。
Windows Autopatch グループが作成されます。
Windows Autopatch グループ作成に伴い、デバイスグループが作成されます。
Windows Autopatch グループ作成に伴い、更新リングのポリシーが作成されます。
作成された各更新リングでは、先ほどのデバイスグループが展開リングごとに割り当てられます。
機能更新プログラムでは、既定のグローバルポリシーが作成されます。
ドライバー更新管理ポリシーも作成されます。
更新リング同様、展開リングに沿ってデバイスグループが割り当てられます。
なお、以前の Windows Autopatch では更新リングの一時停止など Windows Autopatch 専用の管理画面から利用できたのですがその管理画面は削除され、現在は更新リングのところから管理するように統一されているようです。
[テナント] > [Windows Autopatch] > [Autopatch グループ] > [設定の更新] タブの “Microsoft 365 Apps の更新” を許可に変更すると、Microsoft 365 Apps アプリのバージョンを管理するポリシーも作成されます。
Microsoft 365 Apps の場合は、構成プロファイルにて作成されます。
Microsoft 365 Apps の全体的な構成はすべてのデバイスグループに割り当てられます。なお、Microsoft 365 Apps では、展開リングで作成されたグループではなく、Windows Autopatch をアクティブ化したときに作成されたグループ (Modern Workplace Device 〜) が利用されます。
Microsoft 365 Apps の個別の構成では、アップデートの遅延日数などが構成されています。
なお、先ほどの画面で Edge を許可に変更した場合は、Edge のポリシーが作成されます。
以下の名前で作成されます。
Edge Update Channel Beta
Edge Update Channel Stable
レポート機能の利用事前準備
Intune では、更新管理関連のレポート機能を利用する際にいくつか追加で構成が必要になります。
テレメトリの許可設定
本手順では、Windows Autopatch レポートでデバイスと更新ステータスが正確に反映されるようにするように、Windows 診断データを収集する構成プロファイルを作成していきます。
以前は Windows Autopatch をアクティブ化した後、以下のように “Windows Autopatch – Data Collection” という構成プロファイルが自動的に作成されていました。
しかし、以下の通知に伴い、以前から Windows Autopatch を利用していた環境では 2025年3月3日以降自動的に削除され、新規で Windows Autopatch を利用し始めた環境では自動で構成されなくなりました。そのため、記載の通り新たに自身で構成する必要があります。
Windows Autopatch レポートがデバイスと更新状況を正確に含むようにするためには、Windows 診断データ設定を構成する必要があります。Autopatch に登録されているデバイスで構成する必要がある Windows 診断データ収集レベルの最小設定は以下の通りです
- Windows 10およびWindows 11 – 必須
この変更に伴い:
Windows Autopatch は Windows Data Diagnostics ポリシーの展開および構成を終了します。以前は、Autopatch 機能の有効化プロセスの一環として、Windows Autopatch はWindows Autopatch – Data Collection というポリシーを展開し、管理デバイスのWindows 診断データ収集レベルをオプション(旧フル)に設定しました。お客様は、お客様の環境で Windows 診断データレベルのポリシーを構成および維持することができます。 継続的なサービスメンテナンスの一環として、Windows Autopatch は2025年3月3日太平洋標準時よりテナントから Windows Autopatch – Data Collection ポリシーを削除します。この変更は 2 週間以内に完了します。
必要なアクション:
この変更前に、少なくとも推奨される最低設定を持つ Windows 診断データ収集ポリシーをすべての Autopatch デバイスに作成および展開してください。推奨された Windows 診断設定とレベルでデバイスが構成されていない場合、クライアント状態およびクライアントサブ状態の値が欠落している場合があります。または、お客様の環境内の既存のデータ収集ポリシーで既にカバーされている可能性があります。
ヒント:
現在の Autopatch 実装全体のすべての Autopatch グループにおいてアクティブで登録されたすべてのデバイスを含む Windows Autopatch – Devices All グループを使用することをお勧めするかもしれません。このグループはサービス管理グループです(いつでも変更される可能性があります)。登録されていないデバイスは、このEntraグループに表示されません。
通知の内容に伴い、少なくとも以下の構成プロファイルを作成する必要があります。
端末に対するテレメトリの許可設定:
構成プロファイルを使用して、Windows 端末のテレメトリ許可を構成します。
- Intune 管理センター > [デバイス] > [Windows] > [構成] > [作成] > [設定カタログ] > [システム] カテゴリから [テレメトリを許可する] を追加し、[Basic (必須)] もしくは [フル] を設定します。
割り当てグループは通知内容の通り、“Windows Autopatch – Devices All” でも良いですが、次に記載する 2 つのオプション機能では、Windows Autopatch に登録してないデバイスでも利用できるため、すべてのデバイスに割り当てる構成でも良いと思います。
なお、以前自動で作成された “Windows Autopatch – Data Collection” のポリシーでは、テレメトリ許可の構成の他に以下の構成がありました。
- Intune 管理センター > [デバイス] > [Windows] > [構成] > [作成] > [設定カタログ] > [システム]
- ダンプの収集を制限する:有効
- 検索名:Limit Dump Collection
- 診断ログの収集を制限する:有効
- 検索名:Limit Diagnostic Log Collection
- 拡張診断データを Windows Analytics に限定する:有効
- 検索名:Limit Enhanced Diagnostic Data Windows Analytics
- Microsoft マネージド デスクトップの処理を許可する:有効
- 検索名:Allow Microsoft Managed Desktop Processing
- ダンプの収集を制限する:有効
しかし、現在の Windows Autopatch のドキュメントではテレメトリ許可のみ必要な内容になっています。そのため、上記 4 つの構成は不要です。
Windows Autopatch では、Windows 診断データを必要とし、Windows 診断データを使用して、自動パッチ レポートにデバイスの更新状態を表示します。
・サービス状態データとサブ状態データは、Windows 品質および機能更新プログラム用に構成されたすべてのデバイスに含まれます。 データ収集の構成は必要ありません。
・クライアントおよびサブステート データは、Windows データ収集データが適切に構成されている場合にのみ、デバイスから収集されます。
Intuneの Windows 診断データを使用したこのデータ収集構成方法は、Autopatch レポート間で共有されます。 自動パッチ レポートをサポートするには、デバイスから Windows 診断データ収集を有効にする設定 を [必須 ] 以上のレベルで構成する必要があります。
2 つのレポートオプション機能
Intune では明示的に有効化しないと利用できない更新関連のレポートオプション機能があります。本オプション機能は、Windows Autopatch を利用するのに必須の作業ではありませんが、有効にして損することはないと思いますので必要に応じて有効化ください。本オプション機能はいずれも前述した構成プロファイルの配布が前提になります。
Windows データ有効化:
本機能を有効化した場合は、以下の機能を利用できます。
- Windows 機能更新プログラムデバイスの準備レポート
- Windows 機能更新プログラムの互換性リスク レポート
- Windows ドライバーの更新レポート
- Windows 機能更新プログラム レポート
- Windows の迅速な更新レポート
- アラートを含むドライバー更新ポリシー / Windows ドライバー更新プログラムの失敗
- アラートを使用した迅速な品質更新ポリシー/ Windows の迅速な更新エラー
- アラートを含む機能更新ポリシー/ 機能更新プログラムの失敗
利用するには以下の設定を有効にします。
1. [テナント管理] > [コネクタとトークン] > [Windows データ] へ移動します。
2. “プロセッサ構成で Windows 診断データが必要な機能を有効にする” をオンにします。
3. [保存] ボタンをクリックします。
Windows ライセンスの検証:
本機能を有効にするとWindows Update アプリとドライバーの互換性レポートが利用できるようになります。
Windows 10 / 11 Enterprise E3・E5、Education A3・A5、Windows Virtual Desktop Access E3・E5 のいずれかを持っている場合に有効化する権利を持ちます。
1. [テナント管理] > [コネクタとトークン] > [Windows データ] > [Windows ライセンスの検証] へ移動します。
2. “自分のテナントがこれらのライセンスのいずれかを所有していることを確認しました” をオンにします。
3. [保存] ボタンをクリックします。
運用管理
デバイス登録と展開リング割り当て管理
各ポリシーやグループが作成できた後は、Intune に登録されている Windows 端末を Windows Autopatch 管理下に登録し、展開リングでデバイスを管理します。
デバイス登録管理
Windows Autopatch にデバイスを登録するには、Windows Autopatch グループでデバイス登録用に指定したデバイスグループに追加します。入れ子もサポートされていますが、第 1 階層までとなります。
デバイスグループに追加したら、[デバイス] > [Windows の更新プログラム] > [監視タブ] > [自動パッチ デバイス] に移動します。
[登録済み] タブでは、Windows Autopatch に登録されたデバイスが表示されます。
デバイスグループに追加後、時間が経過すると自動的にデバイスが登録されますが、早めに登録確認を行いたい場合は、[デバイスの検出] を実施することで早めることができます。
デバイスが登録されると、展開リングが自動的に割り当てられます。Windows Autopatch グループで比率に応じた登録を利用している場合は、デバイスが登録されている比率に応じて自動的に点火リングの割り当てが決定されます。特定の展開リングに直接指定したデバイスグループに追加した場合は該当する展開リングが割り当てられます。
展開リングが割り当てられると、Windows Autopatch で自動で作成されたグループが割り当てられます。このグループが割り当てられることにより、Windows Autopatch グループで作成された各ポリシーで管理されることになります。
なお、[未登録] タブではデバイス登録できない端末が表示されます。
以下のケースでは、Intune 自体には登録されていますが、Intune と端末の最終同期時刻が古いため、登録の前提条件に失敗しています。そのため、Intune と同期することで登録できるようになります。
デバイス登録できない場合は、デバイス登録後の準備状況チェックをご確認ください。
展開リング割り当て管理
展開リングの割り当てを変更したい場合は、変更したいデバイスにチェックを入れて [リング割り当て] をクリックします。
“リングの選択” より変更したい展開リングを選択して、[保存] ボタンをクリックします。
Microsoft 365 Apps や Edge の管理ポリシーで割り当てられていた以下のデバイスグループについて、展開リングで割り当てられるデバイスグループは上記の画面から確認できます。以下のグループは 4 つしかないため、作成した展開リングに自動的に割り当てられるようです。
- Modern Workplace Devices-Windows Autopatch-Test
- Modern Workplace Devices-Windows Autopatch-First
- Modern Workplace Devices-Windows Autopatch-Fast
- Modern Workplace Devices-WindowsAutopatch-Broad
少々反映に時間がかかりますが、展開リングが選択したリングに変更されます。
リリーススケジュール
本機能は、Windows Autopatch をアクティブ化しなくても利用できるため、Microsoft 365 Business Premium や Windows 10 / 11 Education A3・A5 でも利用できる機能になります。
[デバイス] > [Windows の更新プログラム] > [リリース] タブでは、更新リングや機能更新プログラムのポリシーで配信制御している更新プログラムのリリース状況を確認することができます。
更新リングの配信状況
機能更新プログラムの展開状況
品質更新プログラム機能
次の 2 つの機能は、Windows Autopatch をアクティブ化しなくても利用できるため、Microsoft 365 Business Premium や Windows 10 / 11 Education A3・A5 でも利用できる機能になります。
品質更新プログラムの迅速な配信機能
品質更新プログラムの優先ポリシーは、緊急で品質更新プログラムポリシーの配布が必要になった場合に品質更新プログラムの配布を迅速に行なってくれる機能になります。例えば更新リングで遅延期間を設けている場合で品質更新プログラムを早く配信したい場合や帯域外リリース (緊急パッチ) などの配信を行うことができます。
[デバイス] > [Windows の更新プログラム] > [品質更新プログラム] タブ > [+ 作成] > [+ 優先ポリシー] をクリックします。
配信したい品質更新プログラムや OS 再起動期間を指定します。
毎月の品質更新プログラムである Bリリース (不具合やセキュリティアップデート)、緊急パッチので配信される OOB (帯域外) リリース、翌月のプレビューリリースである D リリースなどが選択できます。
ホットパッチ機能 (パブリックプレビュー)
ホットパッチ更新プログラムは、再起動が不要なホットパッチと再起動が必要なベースライン更新プログラムに分かれ、以下の月のリリースサイクルで配信されます。
- ホットパッチ (再起動不要):2 月、3 月、5 月、6 月、8 月、9 月、11 月、12 月
- ベースライン更新プログラム (再起動必要):1 月、4 月、7 月、10 月
そのため、毎月の更新で年に 12 回再起動が必要でしたが、4 回の再起動に抑えることができます。
ホットパッチ更新プログラムの前提条件については、VBS 有効化や Windows 11 24H2 以降などがありますが、まだプレビュー中で今後仕様が変わる可能性があるため、詳細については以下をドキュメントをご参考ください。
[デバイス] > [Windows の更新プログラム] > [品質更新プログラム] タブ > [+ 作成] > [Windows 品質更新プログラムポリシー] をクリックします。
“可能な場合は、デバイスを再起動せずに適用します(”ホットパッチ”)” を許可にし、対象デバイスにポリシーを割り当てます。
機能更新プログラム
複数フェーズ機能の更新
今まで機能更新プログラムのポリシーで新しいバージョンへ段階的にアップグレードする場合は、新しいポリシーを作成して除外グループとあわせて徐々に展開していく運用が必要だったと思いますが、本機能を利用することでその部分を一部自動化してくれます。
[デバイス] > [Windows の更新プログラム] > [機能更新プログラム] タブ > [+ 作成] > [自動パッチの複数フェーズリリースの作成] をクリックします。
展開の必要なオプションを選択します。
- 必要な更新プログラムとしてユーザーが使用できるようにする 機能更新プログラムを自動的にインストールします。
- オプションの更新プログラムとして ユーザーが利用できるようにする オプションの機能更新プログラムとしてユーザーが適用できるようにします。
- デバイスが Windows 11 の実行対象ではない場合は、最新の Windows 10 機能更新プログラムをインストールしてください チェックを入れた場合は、Windows 11 の要件を満たしていない端末は、代わりに最新の Windows 10 機能更新プログラムを取得します。
[自動パッチグループ] タブでは、リリース対象となる Windows Autopatch グループを選択して、次に進みます。
[リリースフェーズ] タブでは、展開に不要なリングの削除やリリースフェーズの変更などが行えます。
フェーズを変更する場合は各フェーズの [編集] リンクをクリックし、変更するリングにチェックを入れて [保存] ボタンをクリックします。
変更したフェーズにリングが表示されることが確認できます。
ちょっと日本語の使い方が変ですが、見た目通りのオプションなので必要な展開オプションを選択します。
- 直ちに:ポリシー作成後、すぐに端末に適用開始
- 特定の日付:特定の日に適用開始
- だんだんと:指定した期間とグループ数に応じて段階的に適用開始
作成が完了すると、作成したフェーズに沿ってポリシーが作成されます。
前回まで割り当てられたポリシーは段階的に新しいポリシーへ移行されます。
レポート機能
Intune の標準の更新プログラムレポートでは、すべての端末の更新状況は確認できましたが、Windows Autopatch のレポートでは、各更新リングや機能更新プログラムポリシーごとにレポートを確認することができます。
[レポート] > [Windows Autopatch] > [品質更新プログラム / 機能更新プログラム] では視覚的にグラフで状況を確認できたり、更新リングの配信状況に応じて最新デバイスの状況が確認できます。
上記のデバイス数などの数字をクリックすると対象端末を確認することができます。
[レポート] タブでは、品質更新プログラムの全体の一覧やホットパッチの状況なども確認できます。
ホットパッチでは以下のように確認できます。
現在ホットパッチのレポートは、公式ドキュメント上では Microsoft 365 Business Premium なども使えるような記載になっていますが、本機能は Windows Autopatch 機能をアクティブ化しないと表示されない機能になっているため、ドキュメントと乖離があります。
この問題は Windows Autopatch の製品チームにフィードバックしており、今後ドキュメントもしくは機能が変更される可能性があります。
メッセージと通知機能
メッセージでは、更新リングごとの通知や Windows Autopatch の仕様変更などのアナウンスが表示されます。特に複数の更新リングで管理している企業では遅延期間を考慮して品質更新プログラムが配信される日時を事前に教えてくれるため、とても良い機能だと思います!
[テナント管理] > [Windows Autopatch] > [メッセージ] より確認できます。基本英語での表示になりますが、[翻訳] で日本語に変換することが可能です。
上記のメッセージで表示されている内容を [テナント管理] > [Windows Autopatch] > [管理者の連絡先] にて登録することにより対象のメールアドレスへ送付することもできます。
更新リングインポート機能
Windows Autopatch ではなく、手動で作成した更新リングのポリシーを Windows Autopatch にインポートすることができます。インポートを行うと、更新リングの対象となっているデバイスを自動的に Windows Autopatch に登録し、Windows Autopatch レポートを利用することができます。
[デバイス] > [Windows の更新プログラム] > [更新リング] > [+ ポリシーの登録] ボタンをクリックします。
手動で作成した更新リングポリシーを選択して、[ポリシーのインポート] ボタンをクリックします。
Windows Autopatch レポートにインポートした更新リングが表示されます。(最大 72 時間かかる場合があります)
次の Windows Autopatch 機能は、インポートされた更新リングでは使用できません。
最後に
とても長い解説となってしまいましたが、Windows Autopatch がどんなものか伝わりましたでしょうか。やはり内容の量が多くて Windows Autopatch を実際に触った方が感じはつかめると思うのですが、最初の触りとして知っておきたいという方もいるかと思います。
横道に逸れた内容も入っていて一部分かりにくいところもあったかもしれませんが、参考になりますと幸いです。
