こんにちは!tsuji です!
今回は Windows Autopatch について解説します。Windows Autopatch は一般提供が開始されてから約 2 年半ほど経ちましたが、提供当初から動作や仕様が結構変わっており、変更点にも触れていきながら説明していきます。
2025 年 4 月から Microsoft 365 Business Premium や Windows 10 / 11 Education A3・A5 ライセンスでも Windows Autopatch のフル機能が利用できるようになりました。また、2025 年 5 月より機能の廃止や統合により全体的な最適化が行われ、以前よりも使いやすくなっているため、Windows Autopatch の利用が広がるのではないかと思います。すでに Windows Autopatch を利用していた方にも参考になるかと思いますので、ぜひ一読いただけますと幸いです。
2025/05/16 ブログ更新
概要
Windows Autopatch とは
Windows Autopatch は 2022 年 7 月に Intune に追加された機能で、当初は更新プログラムやドライバー、Microsoft 365 Apps、Edge といったアップデートを一元的に管理できる機能として登場しました。今日では、Intune の各種更新管理機能で統合・最適化が行われ、一元的な管理だけではなく、更新によるユーザー業務影響の軽減、迅速な更新、詳細なレポートによる想定外の更新遅延・未適用端末の発見など Intune ライセンスのみで利用できる更新機能の拡張管理と強化された管理機能が利用できるようになっています。
Windows Autopatch では、サービスレベルの目標として品質更新プログラムで最新のデバイスを少なくとも 95% を保持することを目指しています。
Windows Autopatch の前提利用条件
Windows Autopatch を利用するうえで必要なライセンスとデバイスの前提条件は、以下になります。
| 項目 | 内容 |
|---|---|
| ライセンス | Intune ライセンスに加えて、以下の Windows Autopatch ライセンスが必要 ・Microsoft 365 Business Premium ・Windows 10/11 Education A3 または A5 (Microsoft 365 A3 または A5 に含まれます) ・Windows 10/11 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれます) ・Windows Virtual Desktop Access E3・E5 Windows Autopatch に関する Microsoft へのサポートリクエスト (問い合わせ) は、Windows 10/11 Enterprise E3 または E5 ライセンスのみ行うことができます。 |
| デバイス登録形式 | ・Entra Join + Intune または Entra Hybrid Join + Intune |
| エディション | ・Windows 10 / 11 Pro、Education、Enterprise ・Windows 10 / 11 IoT Enterprise |
Intune ライセンスのみと Windows Autopatch ライセンスで利用できる更新管理機能のポイント
Intune ライセンスのみで利用できる更新管理機能では、更新リングによる品質・機能更新プログラムの段階的な自動配信や機能更新プログラムポリシーでバージョン指定での管理機能などが利用できます。更新リングでは、例えば先行ユーザーのデバイスで問題が発生した場合に後者の配信リングは一時停止し、問題が解決するまで配信しないなどの運用を行うことができます。
※ Intune ライセンスのみで利用できる更新機能や Intune 更新管理の全体像詳細を確認されたい場合は Intune で使える Windows Update 更新管理機能 のブログをお読みいただければと思います。
Windows Autopatch では、Windows Autopatch グループという単位で更新リングや機能更新プログラム、ドライバー・Microsoft 365 Apps、Edge などのポリシーを一括で作成・管理ができ、展開リングという括りで各ポリシーの一元管理を行うことができます。さらに、品質更新プログラムを迅速に配布したり、更新による影響を最小限抑える機能や展開における支援機能など管理者の負担を軽減できる仕組みが用意されています。
ここではイメージしやすいように、Windows Autopatch のその他の各種機能についても軽くご紹介します。以下の機能は Windows Autopatch ライセンスをもっていれば利用することができます。以前は、Windows Autopatch をアクティブ化する作業が必要でしたが、現在はライセンスを保有していれば各機能が管理画面に表示されてすぐに利用できます。
以下のリリーススケジュール管理機能では、更新リングや機能更新プログラムポリシーで配信制御されている更新プログラムのリリース状況や次回の配信タイミングなどが確認できます。
※ 以前は、Windows Autopatch のメッセージと管理者のメールに毎月スケジュールが通知されていましたが、その仕組みは廃止され、こちらの画面で常に確認できるようになりました。
Windows Autopatch のレポートでは、各更新リングや機能更新プログラムポリシーごとの更新状況がわかりやすく、配信スケジュールに沿って適切に更新されているか確認が行えます。
次にご紹介する機能は Windows Autopatch グループの関連機能になります。
Windows Autopatch グループは、展開リングという単位で更新リングやドライバー更新管理、Microsoft 365 Apps (Office) などのポリシーを一括で作成・管理することができます。
Windows Autopatch グループでデバイスを管理するには、Windows Autopatch グループへのデバイス登録が必要になります。各展開リングに登録する際に登録比率に応じてリングに振り分けることができたり、特定のデバイスグループを特定の展開リングに割り当てることも可能です。
以前はなかった機能ですが、Windows Autopatch グループ作成の中で管理したい機能の種類を選択して、展開リングを構成することができます。
更新リングのリリーススケジュールの構成では、シナリオに沿ったリリーススケジュールテンプレートが選べるようになっており、テンプレートに沿ってインストールタイミングや期限等の調整がしやすくなっています。
展開したいフェーズを設定して展開リング単位で、機能更新プログラムポリシーを一括でスケジュールして配信管理が行えます。
Intune ライセンスと Windows Autopatch ライセンスで利用できる主な機能について、以下の表にまとめてみました。
<Microsoft Intune Plan 1 ライセンス>
| 機能 | 説明 | デバイス登録形式 | エディション |
|---|---|---|---|
| 更新リング | Intune の最も基本的な更新管理機能で、品質・機能更新プログラムの配布・インストールタイミング、再起動制御から適用期限の設定などが行えます。また、更新リングのポリシーを複数作成して展開を分散させ、先行ユーザーから全社展開まで段階的に展開を分けることで業務ユーザー端末に更新が適用されるまでには不具合などの影響を最小限に抑えることができます。 | 最低 Intune 登録 | Pro / Enterprise/ Iot Enterprise / Education |
| 機能更新プログラムポリシー (バージョン固定) | WSUS の管理に近い管理方式で、機能更新プログラムのバージョン指定して管理 (アップグレードまたは維持)することができます。 | Entra Join + Intune または Entra Hybrid Join + Intune | Pro / Enterprise / Education |
| 更新レポート機能 | 各端末の更新状況を Intune 管理センターから確認することができます。 | – | – |
<Windows Autopatch ライセンス>
| 機能 | 説明 |
|---|---|
| リリーススケジュール管理 | 更新リングや機能更新プログラムで展開している更新プログラムの次回リリース時期などが確認できる機能になります。 |
| 機能更新プログラムポリシー(ロールアウト機能) | 機能更新プログラムポリシーでアップグレード展開を行うときなどに、期間指定などで段階的に配布を行える機能で、ネットワーク負荷などを考慮した展開が可能になります。 |
| 品質更新プログラムポリシー (配信の迅速化) | 品質更新プログラムの迅速化の機能は、更新リングで品質更新プログラムの展開管理を行っている場合に、配信期間遅延やインストール期限等の影響により想定通りに品質更新プログラムが適用されていなかったり、緊急品質更新プログラムのは配信が必要になった場合に配信の迅速化を行うことができます。 |
| ホットパッチ更新プログラム | ホットパッチ更新プログラムを適用すると、特定の月 (1 月、4 月、7 月、10 月) 以外の品質更新プログラム適用は再起動が不要になります。そのため、ユーザーへの毎月の更新プログラム適用時の再起動負荷が軽減されます。配信スケジュールについては、更新リングに従います。デバイスの要件が他と異なるため、条件を確認の上ご利用ください。 |
| Windows ドライバー更新プログラム管理 | 端末メーカードのドライバーやファームウェアなどの更新プログラムを手動または自動承認で配布管理を行うことができます。 |
| Windows Autopatch グループ | 更新リングポリシーなどでは、段階的な配信リングを作成するのに 1 つずつポリシーを作成していく必要がありましたが、Windows Autopatch グループを使うことで、展開リングという単位で各設定の構成変更からデバイスの割り当て変更まで一元的に管理できるようになります。 また、更新リングの他、更新機能プログラムポリシー、Windows ドライバー更新プログラム管理、Microsoft 365 Apps、Edge の更新管理ポリシーもあわせて柔軟な管理が可能になります。 |
| 更新レポートとアラート機能 | Windows Autopatch の更新レポートでは、更新リングポリシーの展開ごとにデバイスの更新状況が確認できたり、更新が期待どおりに実行されなかった場合などにアラートで確認できる機能が提供されます。 |
Windows Update for Business 展開サービス (機能更新プログラムポリシー、品質更新プログラムポリシー、Windows ドライバー更新プログラム) が、Windows Autopatch に統合されました。
次は、Windows Autopatch の使い方について記載します。
Windows Autopatch 使い方のロードマップ
この後の流れは少々内容が多いので、軽く各セクションどのようなトピックを書いているのか記載します。
<事前準備および Windows Autopatch の基本的な機能の解説>
Windows Autopatch を利用するうえで、事前準備や基本的な機能の使い方を説明します。
| 項目 | 説明 |
|---|---|
| 事前準備 | Windows Autopatch を利用する上でやっておいた方が良い設定 |
| 更新管理の基本機能 | 更新リング、機能更新プログラムポリシー、ドライバー更新管理プログラム |
| 品質更新プログラム支援機能 | 迅速な品質更新プログラムの配信機能とホットパッチ機能 |
| リリーススケジュール管理 | 更新リング、機能更新プログラムポリシーのリリーススケジュール管理機能 |
| レポート機能 | 品質・機能更新プログラムのレポート機能 |
<Windows Autopatch グループ関連機能の解説>
Windows Autopatch グループの構成や管理を行うためのデバイス登録や運用機能の使い方を解説します。
| 項目 | 説明 |
|---|---|
| Windows Autopatch グループの構成 | 展開リングを作成して、更新リングやドライバー管理ポリシーなど一元管理できるポリシーを一括で作成・管理 |
| デバイス登録と展開リング割り当て管理 | Windows Autopatch グループの構成で作成した展開リングにて、デバイスが管理できるにするデバイス登録の方法と管理 |
| 機能更新プログラムの複数フェーズリリース機能 | 複数のフェーズに分けて機能更新プログラムの配信を段階的にリリースできる機能 |
事前準備および Windows Autopatch の基本的な機能の解説
事前準備
Intune では、更新管理関連のレポート機能を利用する際にいくつか追加で構成が必要になります。
診断データ収集の構成
本手順では、Windows Autopatch レポートでデバイスと更新ステータスが正確に反映されるようにするように、Windows 診断データを収集する構成プロファイルを作成していきます。
2025 年 3 月以前から Windows Autopatch を利用していたテナントでは、以下のように “XXX – Data Collection” という構成プロファイルが自動的に作成されていましたが、2025 年 3 月以降にすべてのテナントから自動的に削除されています。そのため、診断データ収集のポリシー手動で構成し直す必要があります。
端末に診断データを収集する構成:
構成プロファイルを使用して、Windows 端末のテレメトリ許可を構成し、Windows Autopatch を利用するデバイスグループに割り当てます。
- Intune 管理センター > [デバイス] > [Windows] > [構成] > [作成] > [設定カタログ] から設定の構成画面まで進め、[設定の追加] リンク > [システム] カテゴリから [テレメトリを許可する] を追加し、[Basic (必須)] もしくは [フル] を設定します。
本設定は、チャットやブラウザーの履歴、音声、テキスト、音声データなどの顧客のデータは処理および格納されませんが、必要に応じてプライバシーに関するドキュメントをお読みいただき、適用をご判断ください。EU などの地域におけるコンプラインスなどにおける責任範囲の関係から手動で構成する手順になっているものと思います。
2 つのレポートオプション機能
Intune では明示的に有効化しないと利用できない更新関連のレポートオプション機能があります。本オプション機能は、Windows Autopatch を利用するのに必須の作業ではありませんが、有効にして損することはないと思いますので必要に応じて有効化ください。本オプション機能はいずれも前述した構成プロファイルの配布が前提になります。
Windows データ有効化:
本機能を有効化した場合は、以下の機能を利用できます。
- Windows 機能更新プログラムデバイスの準備レポート
- Windows 機能更新プログラムの互換性リスク レポート
- Windows ドライバーの更新レポート
- Windows 機能更新プログラム レポート
- Windows の迅速な更新レポート
- アラートを含むドライバー更新ポリシー / Windows ドライバー更新プログラムの失敗
- アラートを使用した迅速な品質更新ポリシー/ Windows の迅速な更新エラー
- アラートを含む機能更新ポリシー/ 機能更新プログラムの失敗
利用するには以下の設定を有効にします。
1. [テナント管理] > [コネクタとトークン] > [Windows データ] へ移動します。
2. “プロセッサ構成で Windows 診断データが必要な機能を有効にする” をオンにします。
3. [保存] ボタンをクリックします。
Windows ライセンスの検証:
本機能を有効にするとWindows Update アプリとドライバーの互換性レポートが利用できるようになります。
Windows 10 / 11 Enterprise E3・E5、Education A3・A5、Windows Virtual Desktop Access E3・E5 のいずれかを持っている場合に有効化する権利を持ちます。
1. [テナント管理] > [コネクタとトークン] > [Windows データ] > [Windows ライセンスの検証] へ移動します。
2. “自分のテナントがこれらのライセンスのいずれかを所有していることを確認しました” をオンにします。
更新管理の基本機能概要
更新管理の基本機能 (更新リング、機能更新プログラムポリシー、Windwos ドライバー更新管理プログラム) について、各機能は単体での利用も可能ですが、Windows Autopatch グループを利用するうえでも把握しておく必要がある機能になります。ここでは機能の説明やポリシーの作成方法などについて解説します。
更新リング
更新リングでは、更新プログラムの配信・インストール・再起動タイミングなどを構成します。ネットワーク負荷やユーザー影響を考慮して段階的な配布を行いたい場合は、分割したい分だけポリシーを作成して更新プログラムが端末に配信されるまでの遅延期間を調整することがポイントになります。
更新リングは、Intune 管理センターの [デバイス] > [Windows の更新プログラム] > [更新リング] タブ > [プロファイルの作成] から作成していきます。
更新リングのポリシーで主に設定する部分は [更新リングの設定] タブになります。こちらの設定について、以下の表にまとめています。
| 項目 | 説明 |
|---|---|
| Microsoft 製品の更新プログラム | MSI インストーラーを使用してインストールされる Officeなどの更新プログラム配信許可・ブロックの設定。 (クイックインストーラーでインストールされる Microsoft 365 Apps および Office 2021(LTSC 含む)以降は対象外) |
| Windows ドライバー | Windows ドライバーの更新プログラム配信許可・ブロックの設定。 ※ “Windows ドライバー更新管理” を利用する場合は、この機能を許可にする必要があります |
| 品質更新プログラムの延期期間 (日数) | Microsoft から品質更新プログラムが公開されてから、端末に配信されるまでの遅延日数設定。 |
| 機能更新プログラムの延期期間 (日数) | Microsoft から機能更新プログラムが公開されてから、端末に配信されるまでの遅延日数設定。 ※ “機能更新プログラムポリシー” を利用する場合は、この指定値は “0” が推奨されます |
| Windows 10 デバイスを最新の Windows 11 リリースにアップグレードする | Windows 10 端末を Windows 11 へアップグレードするかどうかの構成。 |
| 機能更新プログラムのアンインストール期間 (2 から 60 日間) の設定 | 機能更新プログラムのロールバックできる期間を設定 (= 戻せる古い Windows システム データの保存期間) |
| プレリリース チャネルの選択 | 開発者など早期リリースを適用したい場合は、以下のチャンネルの選択が可能 ・Windows Insider – リリース プレビュー ・ベータ チャンネル ・Dev シャネル |
| 自動更新の動作 | ・ダウンロードを通知する 更新プログラムをダウンロードする前にユーザーに通知。ユーザーが操作を行わなかった場合は、設定した期限に達するまで更新プログラムはインストールされません。 ・メンテナンス時に自動的にインストールする 端末が利用されていない自動メンテナンス中に更新プログラムが自動的にダウンロードおよびインストールされます。再起動が必要な場合は、再起動期限まで再起動を求めるプロンプトが表示され、その後強制的に再起動されます。 アクティブ時間の開始・終了時間を指定できます。 ※ アクティブ時間は、自動再起動をブロックできる時間帯になります ・メンテナンス時に自動的にインストールおよび再起動する 端末が利用されていない自動メンテナンス中に更新プログラムが自動的にダウンロードおよびインストールされます。再起動が必要な場合は、端末が使用されていないときに自動で再起動します。アクティブ時間内は自動再起動がブロックされます。 ・スケジュールした時刻に自動的にインストールおよび再起動する 指定したインストールスケジュール (曜日、時間帯など) に従ってインストールされます。指定した時間に端末が起動していない場合は、期限が来るまでは、インストールが試行されません。 ・エンドユーザーによる制御なしで自動的にインストールおよび再起動する 自動メンテナンス中に更新プログラムが自動的にダウンロードおよびインストールされます。再起動が必要な場合は、端末が使用されていないときに自動で再起動します。 ・既定値にリセット ※ おすすめ Windows はデバイスのアクティブ時間を自動的に決定します。アクティブ時間を使用して、Windows は更新プログラムをインストールする最適な時間をスケジュールし、更新プログラムのインストール後にシステムを再起動させます。 |
| Windows 更新プログラムを一時停止するためのオプション | 更新プログラム適用を延期できるオプション。(更新リングでも延期できるので、管理者が想定した更新プログラム反映を行いたい場合は、極力ユーザー側で制御させないほうがよいところ) |
| Windows 更新プログラムを確認するためのオプション | 更新プログラムの確認ボタンを表示するか、グレーアウトさせるかのオプション。 |
| 通知の更新レベルを変更する | 更新プログラム通知レベルを変更できます。 |
| 期限の設定を使用する | ・機能更新プログラムの期限 (2 〜 30) ユーザーがデバイスに機能更新プログラムを自動的にインストールするまでの日数を指定します。 ・品質更新プログラムの期限 (2 〜 30) 品質更新プログラムがデバイスに自動的にインストールされるまでの日数を指定します。 ・猶予期間 (0 〜 7) 再起動が自動的に実行されるまでの期限後の最小日数を指定します。 ・期限前に自動的に再起動する 期限と猶予期間が切れる前に、アクティブ時間外にデバイスが自動的に再起動するかどうかを指定します。Microsoft の推奨値は “はい” になります。これにより、ユーザーが端末を使用していないときに OS 再起動できるようになります。この値を “いいえ” に設定すると、期限と猶予期間が切れるまでシステムが待機し、その後端末が再起動されます。この再起動はアクティブ時間中に発生する可能性があります。 |
更新リングポリシーは Inutne ライセンスのみでも利用できる機能ですが、Windows Autopatch グループで更新リングポリシーを構成することで、段階的な配布ポリシーの一括作成・管理や更新リングポリシー各設定の最適な調整の補助などを行うことができます。
更新リングで配信制御している更新プログラムに問題がおきた場合は、更新リングのポリシーの一覧もしくは各ポリシーの構成画面から一時停止などの一時対処が可能です。
機能更新プログラムポリシー
機能更新プログラムポリシーは、ポリシーで指定したバージョンで端末の機能更新プログラムを管理 (更新および維持) することができます。
[デバイス] > [Windows の更新プログラム] > [機能更新プログラム] タブ > [プロファイルの作成] から作成していきます。
- 展開する機能更新プログラム:固定したい機能更新プログラムのバージョンを選択
- 必要な更新プログラムとしてユーザーが使用できるようにする:機能更新プログラムを自動的にインストールします。
- オプションの更新プログラムとして ユーザーが利用できるようにする:オプションの機能更新プログラムとしてユーザーが適用できるようにします。
- デバイスが Windows 11 の実行対象ではない場合は、最新の Windows 10 機能更新プログラムをインストールしてください:チェックを入れた場合は、Windows 11 の要件を満たしていない端末は、代わりに最新の Windows 10 機能更新プログラムを取得します。
- ロールアウト オプション:展開のタイミングを指定します。徐々に展開するオプションを選択した場合は、指定期間とグループ間の日数により自動算出で展開されます。詳細については、こちらの公式ドキュメントをご参考ください。
なお、以下の機能は Intune ライセンスのみでも利用できます。
・展開する機能更新プログラムのバージョン指定
・必要なオプションの更新プログラムとしてユーザーが利用できるようにする
・特定の日に更新プログラムを利用可能にする
Windows Autopatch グループで機能更新プログラムを管理する場合は、”複数フェーズ機能更新” という機能が利用でき、展開リングごとに管理されている機能更新プログラムポリシーをスケジュール考慮したうえで一括でポリシーを作成・展開管理することができます。
Windows ドライバー更新管理プログラム
Windows ドライバー更新管理は、Windows 端末の OEM ドライバーを Windows Update 経由で手動または自動承認でインストールすることができます。単体でのポリシー作成や複数ポリシーを作成することで段階的な配布も可能ですが、Windows Autopatch グループを利用することで段階的なポリシー作成や管理が容易になります。
自分が利用している端末のドライバーが Windows Update 経由で配布されているかどうかは OEM 次第になるため、配布に対応しているかどうかは Microsoft Update カタログ検索で確認できます。
[デバイス] > [Windows の更新プログラム] > [ドライバー更新プログラム] タブ > [プロファイルの作成] から作成していきます。
ドライバーの承認メソッドでは、手動承認と自動承認の 2 つから選択できます。
ポリシー作成してから時間が経過すると (最大 24 時間) 端末に必要な推奨ドライバーなどが表示されます。自動承認の場合は、以下のようにステータスが “承認済み” となります。
オプションドライバーや手動承認の場合は、展開に必要なドライバーを選択して、”承認する” を選択して保存します。
品質更新プログラム支援機能
品質更新プログラムの支援機能では、迅速に品質更新プログラムを配信する機能とホットパッチ更新プログラムについて解説します。
品質更新プログラムの迅速化
品質更新プログラムの迅速化の機能は、更新リングで品質更新プログラムの展開管理を行っている場合に、配信期間遅延やインストール期限等の影響により想定通りに品質更新プログラムが適用されていなかったり、緊急品質更新プログラム (帯域外リリース ) の配信が必要になった場合に配信の迅速化を行うことができます。
[デバイス] > [Windows の更新プログラム] > [品質更新プログラム] タブ > [プロファイルの作成] > [優先ポリシー] から作成していきます。
配信する品質更新プログラムや強制再起動の待機日数などを指定します。本ポリシー適用後は、更新リングの遅延期間を無視して、対象の端末へ指定した品質更新プログラムが配信されます。
毎月の品質更新プログラムである Bリリース (不具合やセキュリティアップデート) の他、緊急更新プログラムで配信される OOB (帯域外) リリース、翌月のプレビューリリースである D リリースなどが選択できます。
ホットパッチ更新プログラム
ホットパッチ更新プログラムは、再起動が不要なホットパッチと再起動が必要なベースライン更新プログラムに分かれ、以下の月のリリースサイクルで配信されます。
- ホットパッチ (再起動不要):2 月、3 月、5 月、6 月、8 月、9 月、11 月、12 月
- ベースライン更新プログラム (再起動必要):1 月、4 月、7 月、10 月
そのため、毎月の更新で年に 12 回再起動が必要でしたが、4 回の再起動に抑えることができます。
ホットパッチ更新プログラムのデバイス前提条件については、VBS 有効化や Windows 11 24H2 Enterprise などがありますが、今後仕様が変わる可能性があるため、詳細についてはオペレーティング システム構成の前提条件をご参考ください。
[デバイス] > [Windows の更新プログラム] > [品質更新プログラム] タブ > [プロファイルの作成] > [Windows 品質更新プログラム ポリシー] から作成していきます。
“可能な場合は、デバイスを再起動せずに適用します (“ホットパッチ”)” を “許可” で構成します。
リリーススケジュール管理
リリーススケジュール管理は、現在 Intune で管理されている品質・機能更新プログラムの配信状況を確認することができます。
[デバイス] > [Windows の更新プログラム] > [リリース] タブから確認ができます。
品質・機能更新プログラムのリンクをクリックすると、更新リングや機能更新プログラムポリシーで配信している状況や次回の配信スケジュールなどが確認できます。
レポート機能
Intune のレポートでは、Windows Autopatch レポートやWindows 更新プログラムのレポートが利用できます。
Windows Autopatch レポート
Windows Autopatch のレポートでは、各更新リングや機能更新プログラムポリシーごとにレポートを確認することができます。
[レポート] > [Windows Autopatch] > [品質更新プログラム / 機能更新プログラム] では視覚的にグラフで状況を確認できたり、更新リングの配信状況に応じて最新デバイスの状況が確認できます。
上記のデバイス数などの数字をクリックすると対象端末を確認することができます。
更新状態の状態では、リリーススケジュールが考慮されて状態が表示されます。アラートは、デバイスが期待された状態でない原因が表示されたりします。各詳細については、以下のドキュメントをご参考ください。
[レポート] タブでは、品質更新プログラムの全体の一覧やホットパッチの状況なども確認できます。
ホットパッチの更新プログラムも確認できます。
Windows 更新プログラムレポート
Windows 更新プログラムも品質更新プログラムや機能更新プログラム、品質更新プログラムの迅速化、Windows ドライバー更新プログラムのレポートなど様々なものが確認できます。
特に Windows Update 配布レポートは、、全体の品質更新プログラム適用状況を確認するにはとても良い機能です。
その他のレポート機能については、”事前準備” で説明した通り、”Windows データ有効化” や “Windows ライセンスの検証” を実施しないと利用できない機能になるため、ご留意ください。
Windows Autopatch グループ関連機能の解説
Windows Autopatch グループの構成から展開管理までの使い方を解説します。
Windows Autopatch グループの構成
Windows Autopatch グループは、展開リング (ポリシーの分割) 単位で Entra ID グループが作成され、更新リングや Windows ドライバー更新プログラム、Office、などのポリシーをグルーピングして、各ポリシーの設定変更やデバイス割り当てを一元的に管理できるようになります。
Windows Autopatch グループ作成後、Windows Autopatch グループにデバイスを登録する必要があるのですが、特定の展開リングに管理したい Entra ID のデバイスグループを直接指定することもできますし、各展開リングに登録されているデバイス数の比率に応じて登録する展開リングを自動的に振り分けることもできます。
比率に応じた展開リングの割り当てを行いたい場合は、Windows Autopatch 登録用のデバイスグループを事前に作成します。すでに
必要に応じて [グループ] > [すべてのグループ] > [新しいグループ] より登録用のデバイスグループを作成します。静的・動的グループどちらも利用できます。静的の場合は入れ子でも利用可能です。
次は Windows Autopatch グループを作成していきます。
[テナント管理] > [Autopatch グループ] > [+ 作成] ボタンをクリックします。
[基本情報] タブで名前を入力します。この名前は一括で作成される各ポリシーの名前に使われます。
[デプロイ リング] タブでは、展開リングの数や所属させたいデバイスグループの指定もしくは比率に応じたデバイス登録の構成を行います。
本ブログの中で使われる “デバイス登録” とはすでに Entra Join / Entra Hybrid Join + Intune 登録されている端末を Windows Autopatch グループへ登録することを “デバイス登録” と表現しています。
比率に応じたデバイス登録の構成を行うには、”ダイナミックグループ配布” の右にある [グループの追加] リンクより事前に作成したデバイス登録用のグループを指定します。
指定後、以下のようにグループが設定されます。
比率に応じた登録を構成するため、[+ 展開リングの追加] より展開リングを追加する必要があります。
デフォルトでは Test と Last が構成されており、こちらは削除することができず、Test はパイロット用、Last は運用のリングとして利用できます。また、ここで作成した展開リングに沿ってこの後設定する更新リングやドライバー更新管理ポリシーが自動で作成されます。
その他、以下のように展開リングに直接デバイスグループを指定することができ、そのグループのメンバーとなっているデバイスは、デバイス登録したときに指定した展開リングが割り当てられます。
Windows Autopatch グループの構成完了後は、ここで構成した展開リングの単位でデバイスグループが自動的に作成されます。展開リングにあわせて更新リングのポリシーなどが作成されますが、このグループが利用され各ポリシーの割り当てが自動管理されます。
“<Windows Autopatch グループ名> – Parent Group” は、公式ドキュメントで説明がなく、どこのポリシーでも利用されてませんでしたが、メンバーは各展開リングのグループが追加されていました。Windows Autopatch グループ全体の単位で何か構成を適用したい場合 (診断データ収集ポリシーの割り当て) などに利用できるかと思います。
[種類の更新] タブでは、Windows Autopatch グループで管理する機能の有無を構成します。必要に応じて管理したい項目にチェックを入れます。チェックの有無により次の画面以降で設定できる画面に差異があります。
- 品質更新プログラム:更新リング
- 機能更新プログラム:機能更新プログラムポリシー
- ドライバー更新プログラム:Windows ドライバー更新プログラム
- Microsoft 365 Apps の更新:Microsoft 365 Apps (Office) を構成プロファイルで管理管理
- Microsoft Edge 更新プログラム:Microsoft Edge を構成プロファイルで更新管理
[デプロイ設定] タブでは、各機能の展開方法を構成します。
- 品質更新プログラム:ここでは構成する設定はなく、次の画面の [リリース スケジュール] タブにて延期期間や更新タイミングを設定します。
- 機能更新プログラム:Windows Autopatch グループ全体の機能更新プログラムポリシーの既定バージョンを指定します。ここでは Windows Autopatch グループ内で利用される最低バージョンを指定しておき、Windows Autopatch グループ構成後に必要に応じて複数フェーズの更新機能で各展開リングごとに必要な機能更新プログラムのバージョンを展開しておくとよいかと思います。
- ドライバー更新管理:ドライバーの管理方法 (手動または自動配布) を構成します。展開リングごとに手動・自動を指定することもできます。
- Microsoft 365 Apps:ここでは構成する設定はなく、次の画面の [リリース スケジュール] タブにて延期期間や更新タイミングを設定します。
- Microsoft Edge:Stable (安定チャネル)、Beta (パイロットユーザー向け検証チャネル) の指定ができます。チャネルの詳細については、Microsoft Edge チャネルの概要を参考ください。
Windows Autopatch グループ構成後、機能更新プログラムポリシーではここで指定したバージョンの既定ポリシーが作成され、すべての展開リングのデバイスグループが割り当てられます。
Microsoft Edge は、展開リングごとに構成プロファイルが作成されます。各構成プロファイルは、展開リングで作成されるデバイスグループがそれぞれ割り当てられます。構成は、設定したチャネルが設定されます。
以前更新リングなどは、上記のように展開リングごとの単位でデバイスグループが割り当てられていましたが、Microsoft Edge や Microsoft 365 Apps は、”Modern Workplace Device – XXX” といった別のデバイスグループが割り当ていました。また、作成されるポリシーが展開リング単位でなかったため柔軟な管理が阻害されていましたが、展開リングに沿うような形になり最適化されました。
以前のポリシー
[リリース スケジュール] タブでは、各展開リングごとに品質・機能更新プログラム、ドライバー、Microsoft 365 Apps の配信遅延期間や OS 再起動猶予期間などの設定を行います。以下の 4 項目を構成していきます。
- Windows Update のインストール、再起動、通知の動作
- 品質とドライバーの更新プログラム
- 機能更新プログラム
- Microsoft 365 Apps の更新
[Windows Update のインストール、再起動、通知の動作]
展開リングごとに品質・機能更新プログラムがインストール時の動作や通知の構成を行います。
各展開リングの [編集] リンクをクリックすると、インストールおよび再起動と更新プログラム通知の構成が変更できます。
[自動的にインストールして再起動する] は、ユーザーの行動にあわせて最適にインストールおよび再起動が行われます。Windows Autopatch グループ作成後に自動作成される更新リングにこの構成が反映されますが、以下の [自動更新の動作] が “既定値にリセットで構成されます。
“既定値にリセット” はユーザーがデバイスを操作しているアクティブ時間を学習し、極力それ以外の時間帯に更新プログラムのインストール・再起動が行われます。通常の業務ユーザーなどに最適なオプションです。
[スケジュールされたインストールと再起動] を指定すると、”アクティブ時間を設定する” や “スケジュールされたインストールと再起動” の 2 種類が選択できます。
“アクティブ時間を設定する” を選択した場合は、自動的にアクティブ時間が設定される “既定値にリセット” とは違って指定してアクティブ時間を構成し、アクティブ時間外に更新プログラムをインストール・再起動する構成になります。複数人で利用する共有デバイスやキオスクデバイスなどに最適です。
“スケジュールされたインストールと再起動” を選択した場合は、厳密にインストールさせてたい曜日や時間帯などを構成できます。厳密にインストール制御を行いたいケースなどに最適なオプションです。
また、[リリース スケジュール] の構成画面では、デバイスの利用シーンに応じたテンプレートを利用することができます。
- インフォメーションワーカー:ほとんどの職場で使用されるシングル ユーザー デバイス
- 共有デバイス:一定期間にわたって複数のユーザーが使用するデバイス
- キオスクと広告板:通知を非表示にし、特定の時刻に再起動する特定のタスクを実行するために使用される高アップタイム デバイス
- 再起動の影響を受けやすいデバイス:タスクの途中で中断せず、スケジュールされた時刻にのみ更新されるデバイス
例えば [Windows Update のインストール、再起動、通知の動作] では、利用したテンプレートによって以下のように構成されるため、この構成を参考に構成を調整することもできます。
[品質とドライバーの更新プログラム]
更新リングの品質更新プログラム (ドライバー含む) の延期日数、インストール期限、再起動猶予期間の構成を行います。
- クライアント / ドライバー更新プログラムの延期:Microsoft から更新プログラムが公開されてからデバイスに配信するまでの延期期間
- 期限:更新プログラムがデバイスに強制自動インストールされるまでの期限
- 猶予期間:更新プログラムがインストールされてから自動再起動されるまでの猶予期間
※ ドライバー更新プログラムで、配信を自動ではなく手動での承認にしている場合は、[ドライバー更新プログラムの延期] は “該当なし” になります。
[機能更新プログラム]
機能更新プログラムの配信延期日数とインストール期限の構成を行います。
- 延期:Microsoft から更新プログラムが公開されてからデバイスに配信するまでの延期期間
※ 機能更新プログラムポリシーでのバージョン指定で機能更新プログラムを管理する場合は、更新リングの延期が干渉してしまうため、”0″ が推奨されています。機能更新プログラムポリシーで管理しない場合は、適切な値を指定します。 - 期限:更新プログラムがデバイスに強制自動インストールされるまでの期限
ここまで構成した設定は、Windows Autopatch グループ作成後、自動作成される更新リングやドライバー更新プログラムのポリシーに反映されます。
[Microsoft 365 Apps の更新]
Microsoft 365 Apps (Offce) 更新プログラムの配信延期日数とインストール期限、通知の構成を行います。
- 延期:Microsoft から更新プログラムが公開されてからデバイスに配信するまでの延期期間
- 期限:更新プログラムがデバイスに強制自動インストールされるまでの期限
- 通知:更新プログラムのインストール通知
構成がすべて完了すると Windows Autopatch グループの作成が始まります。
作成完了後、Entra のデバイスグループおよび各ポリシーが作成されています。なお、作成された各ポリシーは直接変更せず、Windows Autopatch グループの編集で変更します。
展開リング用の Entra デバイスグループ
更新リング
機能更新プログラムポリシー
ドライバー更新プログラム
Microsoft Edge、Microsoft 365 Apps
デバイス登録と展開リング割り当て管理
各ポリシーやグループが作成できた後は、Intune に登録されている Windows 端末を Windows Autopatch グループ管理下に登録し、展開リングでデバイスを管理できるようにします。
デバイス登録管理
Windows Autopatch にデバイスを登録するには、Windows Autopatch グループの作成で指定した登録のデバイスグループに追加します。入れ子もサポートされていますが、第 1 階層までとなります。
デバイスグループに追加したら、[デバイス] > [Windows の更新プログラム] > [監視タブ] > [自動パッチ デバイス] に移動します。
[登録済み] タブでは、Windows Autopatch に登録されたデバイスが表示されます。
デバイスグループに追加後、時間が経過すると自動的にデバイスが登録されますが、早めに登録確認を行いたい場合は、[デバイスの検出] を実施することで早めることができます。
デバイスが登録されると、展開リングが自動的に割り当てられます。Windows Autopatch グループで比率に応じた登録を利用している場合は、デバイスが登録されている比率に応じて自動的に展開リングの割り当てが決定されます。特定の展開リングに直接指定したデバイスグループに追加した場合は、該当する展開リングが割り当てられます。
展開リングが割り当てられると、Windows Autopatch で自動で作成されたグループが割り当てられます。このグループが割り当てられることにより、Windows Autopatch グループで作成された各ポリシーで管理されることになります。
なお、[未登録] タブではデバイス登録できない端末が表示されます。
以下のケースでは、Intune 自体には登録されていますが、Intune と端末の最終同期時刻が古いため、登録の前提条件に失敗しています。そのため、Intune と同期することで登録できるようになります。
デバイス登録できない場合は、デバイス登録後の準備状況チェックをご確認ください。
展開リング割り当て管理
展開リングの割り当てを変更したい場合は、変更したいデバイスにチェックを入れて [リング割り当て] をクリックします。
“リングの選択” より変更したい展開リングを選択して、[保存] ボタンをクリックします。
少々反映に時間がかかりますが、展開リングが選択したリングに変更されます。
機能更新プログラムの複数フェーズリリース機能
複数フェーズ機能の更新の更新では、Windows Autopatch グループで構成した展開リングを利用し、機能更新プログラムのアップグレードを展開したい期間やまとめて展開・管理することができます。
[デバイス] > [Windows の更新プログラム] > [機能更新プログラム] タブ > [+ 作成] > [自動パッチの複数フェーズリリースの作成] をクリックします。
展開の必要なオプションを選択します。
- 必要な更新プログラムとしてユーザーが使用できるようにする:機能更新プログラムを自動的にインストールします。
- オプションの更新プログラムとして ユーザーが利用できるようにする:オプションの機能更新プログラムとしてユーザーが適用できるようにします。
- デバイスが Windows 11 の実行対象ではない場合は、最新の Windows 10 機能更新プログラムをインストールしてください :チェックを入れた場合は、Windows 11 の要件を満たしていない端末は、代わりに最新の Windows 10 機能更新プログラムを取得します。
[自動パッチグループ] タブでは、リリース対象となる Windows Autopatch グループを選択して、次に進みます。
[リリースフェーズ] タブでは、展開に不要なリングの削除やリリースフェーズの変更などが行えます。
フェーズを変更する場合は各フェーズの [編集] リンクをクリックし、変更するリングにチェックを入れて [保存] ボタンをクリックします。
※ 空のフェーズは削除が必要になります。
変更したフェーズにリングが表示されることが確認できます。
ちょっと日本語が変ですが、見た目通りのオプションなので必要な展開オプションを選択します。
- 直ちに:ポリシー作成後、すぐに端末に適用開始
- 特定の日付:特定の日に適用開始
- だんだんと:指定した期間とグループ数に応じて段階的に適用開始
作成が完了すると、作成したフェーズに沿ってポリシーが作成されます。
FAQ
最後に疑問になりそうなところをピックアップして、FAQ 形式で記載します。
Q. Windows Autopatch グループや展開リングはどのような単位で設計したらいいでしょうか。
A. 一例にはなりますが、例えば Windows Autopatch グループは組織単位 (親会社、子会社) で構成したり、リリーススケジュールの構成では新しくテンプレート (通常業務のユーザーデバイス、共有デバイス、キオスクなど) 機能が追加されたので、デバイスの種類の単位で分けるのも良いかと思います。展開リングは、組織の部門単位で段階的な展開の構成が考えられます。公式ドキュメントでも一般的なユースケースが紹介されていますので、Autopatch グループを使用する一般的な方法をご参考ください。
Q. Windows Autopatch グループによって作成されたポリシーを直接手動で変更できますか。
A. いいえ、変更できません。
Q. Microsoft Teams は Windows Autopatch で更新管理することはできますか。
A. いいえ、Windows Autopatch では Microsoft Teams の標準更新チャネルが使用され、更新プログラムの一時停止等の制御管理は行えません。ただし、Microsoft Teams の更新に問題が発生した場合はサポートリクエストを上げることができます。サポートリクエストは、Windows 10/11 Enterprise E3 または E5 ライセンスがある場合に利用できます。
参考リンク
最後に
とても長い解説となってしまいましたが、Windows Autopatch がどんなものか伝わりましたでしょうか。2025 年 4 月以前の仕様だと所々まとまりが無く、導入・管理が難しい印象でしたが、全体的な最適化が行われ利用する企業が増えていくように思います。ぜひ導入に向けてチャレンジしてみてはいかがでしょうか!
