こんにちは!tsuji です!
今回は Windows Autopatch の主要機能にフォーカスしたクイックガイドをお届けします。
Windows Autopatch は Intune の更新管理をさらに強化する機能ですが、「名前は知ってるけど何がうれしいのかよくわからない」「更新リングは使ってるけど Autopatch まではまだ手が出せていない」という方も多いのではないでしょうか。
本記事では、Windows Autopatch の中でも特に押さえておきたい Autopatch グループ、複数フェーズ機能更新、レポート機能 を中心に解説します。更新リングの基本的な設定項目や挙動の詳細については、以下の関連ブログをご参照ください。
関連ブログ
- Intune で使える Windows Update 更新管理機能:更新リングや機能更新プログラムポリシーなど、Intune 更新管理の基本を解説
- Windows Autopatch の使い方について詳細解説!:事前準備から全機能の設定手順まで網羅したリファレンス
Windows Autopatch とは
Windows Autopatch は、Intune に追加された更新管理の拡張機能です。Intune ライセンスのみでも更新リングや機能更新プログラムポリシーによる基本的な更新管理は行えますが、Windows Autopatch ライセンスを加えることで、更新管理の一元化・運用負荷の軽減・詳細なレポートによる可視化が可能になります。
サービスレベルの目標として、品質更新プログラムで最新のデバイスを少なくとも 95% 保持することを目指しています。
Intune ライセンスのみと Windows Autopatch ライセンスの主な違い
| 観点 | Intune ライセンスのみ | + Windows Autopatch ライセンス |
|---|---|---|
| 更新リング | ポリシーを 1 つずつ作成・管理 | Autopatch グループで段階的なポリシーを一括作成・一元管理 |
| 機能更新プログラム | バージョン指定での管理 | 展開リング単位で複数フェーズのスケジュール展開が可能 |
| ドライバー更新管理 | 単体ポリシーで管理 | Autopatch グループに含めて一元管理 |
| Microsoft 365 Apps / Edge | 別途構成プロファイルで管理 | Autopatch グループに含めて一元管理 |
| 品質更新プログラムの迅速化 | ー | 緊急時に配信遅延を無視して迅速に配布 |
| ホットパッチ | ー | 特定月以外の品質更新プログラムで再起動が不要に |
| リリーススケジュール管理 | ー | 配信状況・次回スケジュールを管理画面で確認 |
| レポート・アラート | 基本的な更新レポート | ポリシーごとの詳細レポート+アラート機能 |
ライセンスとデバイス要件
| 項目 | 内容 |
|---|---|
| ライセンス | Intune ライセンスに加え、以下のいずれか:Microsoft 365 Business Premium / Windows 10/11 Education A3・A5 (Microsoft 365 A3・A5 に含む) / Windows 10/11 Enterprise E3・E5 (Microsoft 365 F3・E3・E5 に含む) / Windows Virtual Desktop Access E3・E5 |
| デバイス登録形式 | Entra Join または Entra Hybrid Join + Intune |
| エディション | Windows 10/11 Pro、Education、Enterprise、IoT Enterprise |
Windows Autopatch グループ
Windows Autopatch グループは、Windows Autopatch の中核となる機能です。展開リング という単位で、更新リング・機能更新プログラム・ドライバー更新・Microsoft 365 Apps・Edge のポリシーを一括で作成・管理できます。
Autopatch グループの全体像
Autopatch グループを作成すると、以下が自動的に構成されます。
- 展開リングごとの Entra ID デバイスグループ
- 展開リングに沿った 更新リングポリシー
- Windows Autopatch グループ全体の 機能更新プログラムポリシー (既定バージョン)
- 展開リングに沿った ドライバー更新プログラムポリシー
- 展開リングに沿った Microsoft 365 Apps / Edge の構成プロファイル
つまり、段階的な配布構成を組むために 1 つずつポリシーを手動で作成していた作業が、Autopatch グループのウィザードで一括構成されるため、構成の手間とポリシー管理の煩雑さを大幅に軽減できます。
Autopatch グループの作成
Autopatch グループは、[テナント管理] > [Autopatch グループ] > [+ 作成] から作成します。
1. 基本情報
グループ名を入力します。ここで入力した名前が、自動作成される各ポリシーの名前に使われます。
2. デプロイ リング (展開リング) の構成
展開リングの数と、デバイスの割り当て方法を構成します。デバイスの割り当ては以下の 2 つの方法があります。
- 比率に応じた振り分け (ダイナミックグループ配布):事前に作成した登録用デバイスグループを指定し、各展開リングの登録比率に応じて自動振り分け
- 直接割り当て:特定の展開リングに Entra ID デバイスグループを直接指定
比率に応じた振り分けを利用する場合は、"ダイナミックグループ配布" の [グループの追加] リンクから登録用デバイスグループを指定します。登録用デバイスグループは、事前に Entra ID で作成しておく必要があります (静的・動的グループどちらも利用可能)。
3. 更新の種類の選択
Autopatch グループで管理する更新の種類を選択します。
- 品質更新プログラム → 更新リングが作成される
- 機能更新プログラム → 機能更新プログラムポリシーが作成される
- ドライバー更新プログラム → ドライバー更新プログラムポリシーが作成される
- Microsoft 365 Apps の更新 → 構成プロファイルが作成される
- Microsoft Edge 更新プログラム → 構成プロファイルが作成される
4. デプロイ設定
各更新の種類ごとに展開方法を構成します。
- 機能更新プログラム:ターゲットバージョンは、Autopatch グループ全体の既定バージョンを指定します。ここでは最低バージョンを指定しておき、必要に応じて後から複数フェーズリリース機能で展開リングごとのバージョンを展開するのがおすすめです。
- ドライバー更新プログラム:手動承認または自動承認を展開リングごとに指定できます。
- Microsoft Edge 更新プログラム:Stable (安定) または Beta (検証用) チャネルを指定できます。
5. リリース スケジュールの構成
展開リングごとに、品質・機能更新プログラムの延期日数やインストール期限、再起動動作などを構成します。ここで設定した内容が、自動作成される更新リングポリシー等に反映されます。
構成する項目は以下の 4 つです。
- Windows Update のインストール、再起動、通知の動作:インストール・再起動タイミングや通知の構成
- 品質とドライバーの更新プログラム:配信延期日数、インストール期限、再起動猶予期間
- 機能更新プログラム:配信延期日数、インストール期限
- Microsoft 365 Apps の更新:配信延期日数、インストール期限、通知
6. 作成完了
すべての構成が完了すると Autopatch グループが作成され、展開リングに応じた Entra ID デバイスグループと各ポリシーが自動生成されます。
デバイス登録
Autopatch グループ作成後は、Intune に登録されている Windows 端末を Autopatch グループに登録して、展開リングで管理できるようにします。
登録手順
- Autopatch グループ作成時に指定した登録用デバイスグループにデバイスを追加
- [デバイス] > [Windows の更新プログラム] > [監視] タブ > [自動パッチ デバイス] で登録状況を確認
- 早めに確認したい場合は [デバイスの検出] を実行
デバイスが登録されると、展開リングが自動的に割り当てられます。
- 比率ベースの場合:各展開リングの登録デバイス数の比率に応じて自動振り分け
- 直接割り当ての場合:指定したデバイスグループに応じた展開リングが割り当て
展開リングの変更
展開リングの割り当てを変更したい場合は、デバイスを選択して [リング割り当て] から変更先のリングを選択します。
複数フェーズ機能更新
複数フェーズ機能更新は、Autopatch グループの展開リングを活用して、機能更新プログラムのアップグレードを段階的にスケジュール展開できる機能です。
例えば Windows 11 24H2 へのアップグレードを計画する場合、パイロットグループから全社展開まで、フェーズごとに展開タイミングを指定して一括管理できます。
作成手順
[デバイス] > [Windows の更新プログラム] > [機能更新プログラム] タブ > [+ 作成] > [自動パッチの複数フェーズリリースの作成] から作成します。
- 展開オプションの選択:必要な更新プログラムとして自動インストールするか、オプションとしてユーザーに公開するかを選択
- Autopatch グループの選択:リリース対象の Autopatch グループを選択
- リリースフェーズの構成:展開リングをフェーズに割り当て、不要なリングの削除やフェーズの変更が可能
- 展開タイミングの指定:フェーズごとに以下から選択
- 直ちに:ポリシー作成後すぐに適用開始
- 特定の日付:指定日に適用開始
- だんだんと:指定期間とグループ数に応じて段階的に適用開始
作成が完了すると、フェーズに沿って機能更新プログラムポリシーが自動作成されます。
Autopatch グループと組み合わせて使う支援機能
以下の機能は Autopatch グループとは独立して構成しますが、組み合わせることで更新管理の品質をさらに高めることができます。
ホットパッチ更新プログラム
ホットパッチを有効にすると、特定月 (1 月・4 月・7 月・10 月) 以外の品質更新プログラム適用で 再起動が不要 になります。通常は毎月の更新で年 12 回の再起動が必要ですが、ホットパッチにより 年 4 回 に抑えることができるため、ユーザーへの業務影響を大幅に軽減できます。
ホットパッチは品質更新プログラムポリシーとして構成します。
- 作成場所:[デバイス] > [Windows の更新プログラム] > [品質更新プログラム] タブ > [プロファイルの作成] > [Windows 品質更新プログラム ポリシー]
- 設定:"可能な場合は、デバイスを再起動せずに適用します ("ホットパッチ")" を "許可" に構成
品質更新プログラムの迅速化
更新リングで設定した延期期間やインストール期限の影響で、品質更新プログラムが想定通りに適用されていないケースや、緊急の品質更新プログラム (帯域外リリース) の配信が必要になった場合に、配信の迅速化を行うことができます。
- 作成場所:[デバイス] > [Windows の更新プログラム] > [品質更新プログラム] タブ > [プロファイルの作成] > [優先ポリシー]
- 動作:更新リングの遅延期間を無視して、指定した品質更新プログラムを対象デバイスへ配信
「更新リングで段階展開しているけど、緊急時は全デバイスにすぐ当てたい」というケースで活用できます。
レポート・アラート機能
Windows Autopatch のレポートでは、更新リングや機能更新プログラムポリシーごとに更新状況を可視化し、想定外の更新遅延や未適用端末を把握することができます。
Windows Autopatch レポート
[レポート] > [Windows Autopatch] から、品質更新プログラムと機能更新プログラムのレポートが確認できます。
- 各更新リングポリシーごとのデバイス更新状況をグラフで可視化
- リリーススケジュールに沿って「最新」「未更新」などのステータスが表示
- デバイス数をクリックすると対象端末の一覧を確認可能
アラート機能 では、デバイスが期待された状態でない場合にその原因が表示されます。例えば、更新プログラムのインストールエラーやネットワーク関連の問題などが確認でき、対処の判断材料として活用できます。アラートの詳細については デバイス アラート をご参照ください。
リリーススケジュール管理
[デバイス] > [Windows の更新プログラム] > [リリース] タブから、現在 Intune で管理されている品質・機能更新プログラムの配信状況や次回の配信スケジュールを確認できます。
事前準備について
Windows Autopatch のレポート機能を正確に利用するには、以下の事前構成が必要です。
- 診断データ収集の構成:構成プロファイルで Windows 診断データの収集 (テレメトリ) を有効化
- Windows データ有効化 (任意):互換性レポートやドライバー更新レポート等の追加レポートを利用可能にする
- Windows ライセンスの検証 (任意):アプリとドライバーの互換性レポートを利用可能にする
具体的な設定手順は Windows Autopatch の使い方について詳細解説! の「事前準備」セクションをご参照ください。
まとめ
Windows Autopatch の主要機能について、クイックガイドとしてまとめました。
Autopatch グループ を活用することで、更新リング・機能更新プログラム・ドライバー・Microsoft 365 Apps・Edge のポリシーを展開リング単位で一括作成・管理でき、段階的な配布構成の構築と運用が大幅に効率化されます。さらに、複数フェーズ機能更新 による計画的なバージョン展開や、ホットパッチ による再起動回数の削減、レポート・アラート機能 による更新状況の可視化など、更新管理の品質を高める機能が揃っています。
更新リングをポリシー単位で個別管理している環境では、Autopatch グループへの移行を検討してみてはいかがでしょうか!
FAQ
Q. Autopatch グループや展開リングはどのような単位で設計すればよいですか?
A. 例えば、Autopatch グループは組織単位 (親会社、子会社) やデバイスの種類 (通常業務、共有デバイス、キオスクなど) で構成し、展開リングは部門単位で段階的な展開構成にするのが一般的です。公式ドキュメントでもユースケースが紹介されていますので、Autopatch グループを使用する一般的な方法 もご参考ください。
Q. Autopatch グループで自動作成されたポリシーを直接変更できますか?
A. いいえ、直接変更はできません。設定を変更したい場合は、Autopatch グループの編集画面から行います。詳しくは Windows Autopatch FAQ をご確認ください。
