Intune で Windows 10 更新プログラムを管理する
Intune に登録された PC は更新プログラムを適用するタイミングやドライバーの更新許可など Windows Update の管理が行えます。組織で更新プログラムのインストールタイミングをコントロールすることで、定めた期間に更新プログラムを適用させることができるため、IT 管理者の運用管理負担を減らすことができます。
更新リングの設定を行う
Windows 10 更新プログラムは更新リングのポリシーを用いて制御できます。
- Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) を開きます
- [デバイス] – [Windows] をクリックします。
- [Windows 10 更新リング] をクリックします。
- [プロファイルの作成] をクリックします。
- 名前と説明を指定し、[次へ] をクリックします。
- 各項目を設定し、[次へ] をクリックします。
■ 設定の更新
サービス チャネル デバイスがその更新プログラムを受信するチャネルを選択できます。
・半期チャネル
・1809 以前の半期チャネル (対象指定)
・Windows Insider – 高速
・Windows Insider – 低速
・ Windows Insider – Release PreviewMicrosoft 製品の更新プログラム デバイスが更新プログラムを検出するかどうかを制御します。 Windows ドライバー Windows Update を通してのドライバーの更新を許可またはブロックします。 品質更新プログラムの延期期間 (日数) 指定した日数の間、品質更新プログラムを延期します。 機能更新プログラムの延期期間 (日数) 指定した日数の間、機能更新プログラムを延期します。 機能更新プログラムのアンインストール期間 (2 から 60 日間) の設定 機能更新プログラムのアンインストール期間を設定します。 ■ ユーザー エクスペリエンスの設定
自動更新の動作 更新プログラム自動更新の動作を管理します。
・ダウンロードを通知する
・メンテナンス時に自動的にインストールする
・メンテナンス時に自動的にインストールおよび再起動する
・スケジュールした時刻にインストールおよび再起動する
・エンド ユーザーによる制御なしで自動的にインストールおよび再起動する
・ 既定値にリセット再起動チェック 再起動する前に、すべてのチェックをスキップするように設定します。バッテリ レベル = 40%、ユーザー プレゼンス、必要な表示、プレゼンテーション モード、全画面表示モード、電話の呼び出しの状態、ゲーム モードなど Windows 更新プログラムを一時停止するためのオプション 有効にすると、デバイス ユーザーが特定の日数の間、更新プログラムを一時停止できるようになります。 Windows 更新プログラムを確認するためのオプション 有効にすると、デバイス ユーザーが更新サービスの更新プログラムを確認できるようになります。 再起動の通知を無視するためにユーザーの承認を必須にします 自動再起動が必要である旨の通知を無視する際の方法を指定します。 - 設定を割り当てるグループを指定し、[次へ] → [作成] をクリックします。
※ Windows 10 以外のデバイスは対象外です。
更新リングの反映
作成した更新リング は、自動的に割り当てた対象先に展開されます。展開されるまでに数時間かかる場合があります。また展開状況は、作成した構成プロファイルの概要で確認できます。
[Windows 10 更新リング] と [Windows 10 の機能更新プログラム] の違い
Intune では、[Windows 10 更新リング] 以外に更新プログラムを制御するポリシー設定として [Windows 10 の機能更新プログラム] も利用できます(2021 年 4 月時点ではプレビュー機能)。Windows 10 機能更新プログラムでは、指定したバージョンより新しいバージョンにアップデートされないよう設定できます。例えば、[Windows 10 1909] を指定すると、1909 のまま機能バージョンが維持されます。
Windows 10 更新リングとあわせて利用することも可能なので、組織として Windows Update のタイミングをコントロールしつつ、Windows 10 のバージョン制御も行えます。
まとめ
最新の更新プログラムが適用されていない状態はデバイスが脆弱性をはらんだままの状態です。ポリシーを利用して更新プログラムを組織の運用にあわせてコントロールしましょう。
参考 URL
https://docs.microsoft.com/ja-jp/mem/intune/protect/windows-update-settings
https://docs.microsoft.com/ja-jp/mem/intune/protect/windows-10-feature-updates
関連コース
- CI505-H Microsoft 365 運用管理
Microsoft 365 の運用管理において必要となる知識を習得し、行うべき設定項目を理解いただけます。アカウントやデバイス管理の必須となる Azure AD に対する必須知識から、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business などの各サービスに対して行うべき設定、推奨される設定、理解しておきたいしくみなど、運用管理に必要となる内容を基本から、運用にもとめられるレベルまで解説します。また入退社や人事異動への対応方法、監査ログや検疫といったセキュリティ・コンプライアンス対策のために行うべきこともあわせてご紹介します。 - CI509-H Microsoft 365 デバイス運用管理
IT 担当者を対象に、安全なモバイルワークを実現する第一歩である Microsoft 365 でのデバイスの管理や運用手法について解説します。デバイスの安全性を高めるために Microsoft Entra ID や Microsoft Intune により、OS のバージョン管理、利用可能とするアプリの許可、接続するネットワークの制限、デバイスの盗難や紛失、退職者のデバイスを正しく管理する方法などを解説します。本コースでは iPhone を使用した実習を行うため、モバイルデバイスの管理方法について、動作を確認しながらさまざまな機能をご理解いただけます。 - CI507-H Microsoft 365 情報保護とコンプライアンス
Microsoft 365 の管理者を対象に、ファイルやメール、チームといった Microsoft 365 内の情報を保護するために必要な基本知識や利用すべき機能、および利用方法を解説します。 - CI508-H Microsoft 365 PowerShell による管理効率化
Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルを運用管理で利用できるサンプルをもちいて解説します。また、今後利用が推奨される Microsoft Graph PowerShell SDK の利用方法もあわせて解説します。