Intune による Windows Update for Business

Intune が持つ MDM機能 を利用することで、Windows Update for Business を使用した Windows 10 ソフトウェア更新プログラムのインストールを管理することができます。
現在、Intune には更新プログラムを管理するために、次の2つのポリシーが用意されています。

Windows 10 更新リング
Windows 10 機能の更新プログラム

Windows 10 更新リング:
このポリシーは、Windows as a Service がWindows 10デバイスを機能および品質の更新で更新する方法と時期を指定する設定のコレクションです。

Windows 10 機能の更新プログラム :
このポリシーは、Windows 10バージョン1803またはバージョン1809など、Windows 10 の 機能更新プログラムを選択する設定です。
この機能を利用することで、1809 や 1909 の30か月の長期間サポートされるバージョンでロックが可能になります。
※ Windows 10 更新リング の場合、延長期間の指定で回避する必要がありました。
さらに、1903 から 1909 へのアップデート後に、1903 への切り戻しとしても利用できます。
※ 2020年2月12日時点でパブリックプレビュー機能です。

[前提条件]
Intune による Windows 10 機能更新プログラムポリシーを有効化するためには、また、デバイス制御ポリシーで指定する デバイスのテレメトリ設定を、 [基本] 設定以上で有効になっている必要があります。
※ この機能が一般公開に移行されるとき、テレメトリを必要とする前提条件は見直される可能性があります。

1.Windows 10更新リングの設定

Windows 10更新リング の プロファイルの作成から、Windows 10更新リング の生成画面を呼び出し、作成するポリシー名を入力します。

Windows 10 更新リング の 設定画面において、必要な値を設定します。
例えば、サービスチャネルの指定においては、以下の5つが指定可能です。

  • 半期チャネル
  • 半期チャネル (対象指定)
  • Windows Insider – 高速
  • Windows Insider – 低速
  • Windows Insider のリリース

※ サービスチャネルの指定において、1903 からは、半期チャネル (対象指定)が廃止となっています。
  そのため、2020年以降の一般的な設定の場合、サービスチャネルの指定は、「半期チャネル」を指定してください。

半期チャネルを指定した場合、1903 や 1909 といった 機能プログラムの組織のデバイスに対する展開は、「機能更新プログラムの延期期間 (日数)」で制御することになります。
また、Windows 10 更新リング の「半期チャネル」設定だけを展開した場合、2020年2月の時点においては、1909 が更新される可能性が高い点に注意してください。
延期日数による制御を行わない場合、後述する「Windows 10機能の更新」を利用し、明確な機能更新を指定する必要があります。

また、後述する、 “Windows 10 更新リング” ポリシーも受け取る場合は、更新リングの次の構成について確認してください。
[機能更新プログラムの延期期間 (日数)] を 0 に設定する必要があります。
更新リングの機能の更新プログラムは “実行中” である必要があります。 それらを一時停止しないでください。

対象のデバイスターゲットグループを指定します。
※ 初めて展開する場合は、機能更新の展開されるバージョンに注意してください。

Windows 10 更新リングの設定内容を確認し、プロファイルを作成します。

プロファイルは複数作成することができ、展開デバイスグループごとに分けることも可能です。

2.Windows 10機能の更新プログラム

Windows 10機能の更新プログラム の プロファイルの作成から、 昨日の更新プログラムの展開 の作成画面を呼び出し、作成するポリシー名を入力します。

組織に展開する Windows 10 の機能更新プログラムを指定します。
Windows 10 更新リング では、チャネルの指定のみ可能ですが、こちらは対象の機能更新プログラムを指定できます。
※ Windows 10 更新リング のような細かな適応ポリシーを Windows 10機能の更新プログラム プロファイル からは指定できません。それぞれのプロファイルを組み合わせて利用ください。

対象のデバイスターゲットグループを指定します。

Windows 10 の機能更新プログラム の設定内容を確認し、プロファイルを作成します。

プロファイルは複数作成することができ、展開デバイスグループごとに分けることも可能です。

以上が Intune による Windows Update for Business の展開方法となります。
2つのポリシーを展開することで明確なバージョン指定によるコントロールが可能なため、不用意なアップデートを回避することができます。
なお、Windows 10 E3/E5 で 利用できる30か月サポート(Pro は 18か月)を利用する場合、Windows 10機能の更新プログラム プロファイルによるバージョン指定することは、トラブル回避につながるはずです。

Follow me!

One thought on “Intune による Windows Update for Business

Leave a Reply