教育機関向け Microsoft Intune を使った Windows 更新プログラムの管理
Windows Update for Business は、世界中の膨大な数の Windows 端末を毎月更新する、マイクロソフトのインテリジェントな更新サービスです。Windows Update for Business は、テレメトリを使用して更新プログラムの対象を動的に指定すると同時に、組織で管理される端末も Intune からポリシーを設定することで、更新プログラムの適用方法を細かく設定できます。Windows Update クライアント サービスには更新プログラムの動作を構成するための数多くのオプションが用意されており、多様な端末の利用シナリオに対応することができます。
このブログ記事では以下の用語を使用します。
- アクティブ時間: Windows の更新によってユーザーに影響が及ばないようにするために構成可能な期間です。既定の期間は午前 8 時から午後 5 時ですが、Intune を使用して設定を変更することもできます。
- 品質更新プログラム:セキュリティ更新と修正を含む毎月リリースされる更新プログラム。
- 機能更新プログラム:Windows の新機能や機能変更を含む更新プログラムで、例えば Windows 10 22H2 などというバージョン名で呼ばれるものです。
教育機関で利用される端末の利用シナリオは、主に 2 つ存在します。1 つは、一般的な利用シナリオで、もう 1 つは、複数人が利用することがあり、利用後は保管庫にしまうような端末、または据え置き型のデスクトップ端末といった利用シナリオです。一般的な端末は、毎日生徒が利用する方法が様々で柔軟に利用されるシナリオと言えます。例えば、端末が 45 分間の授業の間だけ利用された後、電源をシャットダウンしたり、利用していない場合には電源に接続していない状況が多くありえるようなシナリオです。一方で保管庫にしまう端末とは、据え置き型のデスクトップ端末や、ノート型端末においても利用後には常にスリープ状態かつ電源とインターネットに常時接続することができるような保管スペースにしまっておくことが想定されるシナリオです。この保管庫にしまう端末シナリオでは、基本的には端末は常にスリープ状態でスタンバイしており、電源をシャットダウンされることはあまり想定されません。一般的な端末向けの Windows Update の設定は、いずれの利用シナリオでも、ユーザー エクスペリエンスと端末のセキュリティのバランスがとれるように最適化されています。
しかしながら、以下の条件で夜間、保管庫にしまう端末向けに設計された設定も用意されています。
- 電源に接続されているか、70% 以上電池が残っている
- インターネットに接続されている
- 電源がオンのまま、スリープ モードになっている
Windows Update には、保管庫にしまう端末向けに、再起動チェック (別名 setEduRestart) という設定が用意されています。この設定が [スキップ] に設定されている場合、アクティブ時間外に端末で更新プログラムのダウンロードとインストールおよび再起動が行われます (既定のアクティブ時間は午前 8 時から午後 5 時ですが、ActiveHoursStart と ActiveHoursEnd の設定を使用して任意のアクティブ時間を Intune から構成することもできます)。
アクティブ時間外にスリープにも電源オンにもなっていない端末で [再起動チェック] が [スキップ] に設定されている場合、Windows 更新プログラムのインストールは行われません。
お客様の環境にこれら 2 つの利用シナリオの端末が混在している場合もあるかもしれません。この場合、以下のような対応をご検討いただけます。
- すべての端末に一般的な端末用の設定を適用し、全ての端末の Windows 更新エクスペリエンスを統一する。
- または保管庫にしまう端末に対してのみ、保管庫にしまう端末用の設定を適用して、それ以外の端末には一般的な端末向けの設定を適用する。
Microsoft Intune を使用した Windows Update の構成
Intune では、「更新リング ポリシー」 というポリシーを使用して Windows Update の動作を構成できます。更新リング ポリシーを使用すると、端末に更新プログラムを適用するタイミングやエンド ユーザー エクスペリエンスを構成できます。また、更新リング ポリシーを使用して、更新プログラムの一時停止と再開、または直近の更新プログラムのアンインストールを実行するということもできます。
マイクロソフトは Windows Update の既定の動作を使用するよう推奨していますが、一方で組織によって違いがあり、固有の要件が存在する場合があることも認識しています。一般的な端末向けの設定と保管庫にしまう端末向けの設定で動作を変更する設定のうち、主に注意が必要な項目は再起動チェックの設定です。この設定は、保管庫にしまう端末の条件を満たしている場合以外は、[許可] に設定する必要があります。次の表から、再起動チェック設定を使用する条件をご判断いただけます。
| 端末の条件 | Windows Update のシナリオ | 再起動チェック |
| ・条件を問わない | 一般的な端末向けのシナリオ |  |
| ・アクティブ時間外に保管庫で保管されている ・毎晩、電源がオンのまま、スリープ モードになっている | 保管庫にしまう端末向けのシナリオ | 必要に応じて [スキップ] に設定 |
詳細については、「Intune での Windows 10 以降のポリシー用の更新リング」を参照してください。
Tips :機能更新プログラムの適用タイミングなどを細かく管理、構成したい場合、機能更新プログラム ポリシーを使用することができます。機能更新プログラム ポリシーを使用して Windows 機能更新プログラムのバージョンを管理する場合、機能更新プログラム ポリシーの設定を定期的にチェックして、必要に応じアップグレードしたい対象の機能更新プログラム バージョンに合わせてポリシーを更新する必要があります。
一般的な端末シナリオ向け 更新リング ポリシーの設定例
ここでは、ほとんどの端末に適用できる一般的な端末シナリオ向けの設定例を紹介します。この例では以下のように設定します。スクリーンショット内で主な設定項目が赤で強調表示されています。
- [品質更新プログラムの延期期間 (日数)]を 7 日間に設定する。
- ユーザー エクスペリエンスの設定の [自動更新の動作]を [既定値にリセット] に設定する。
- [再起動チェック] を [許可] に設定する (端末が保管庫にしまう端末ではない場合は重要です)。
- [Windows 更新プログラムを一時停止するためのオプション]を [無効にする] に設定する。
- [期限の設定を使用する] は [許可] に設定し、品質更新プログラムと機能更新プログラムの期限日数を設定する。
授業中の影響を抑えるヒント
Intune の更新リング ポリシーで一般的な端末向けの設定、または保管庫にしまう端末向けの設定のどちらを使用する場合においても、授業への Windows Update の影響を抑えるために以下のヒントをご紹介します。
- アクティブ時間外にも電源に接続しておきましょう。
- シャットダウンではなく、スリープを使用しましょう。
- 1 週間に最低 1 日を選んで、夜間、端末を電源に接続したままスリープ 状態にしておき、端末を自動的に再起動する日を設けましょう。
- 端末の保管庫が、安全に電源接続とスリープで保管できることを確認しましょう。(詳細については必要に応じ保管庫の導入業者様へご確認ください)
ビデオ チュートリアル
このトピックについて紹介したビデオ チュートリアルもご覧ください。
(https://aka.ms/i4e/jpn/wufb)
関連の詳細情報
- Windows 品質更新プログラムのエンド ユーザー エクスペリエンス
- Microsoft Intune での Windows の更新プログラムのロールアウト オプション
- 更新プログラムのコンプライアンス、アクティビティ、ユーザー エクスペリエンスに関するポリシー
- 更新リングの Intune ポリシーを使用して管理できる Windows Update の設定
- ポリシー CSP – 更新
- グループを追加してユーザーとデバイスを整理する
- Windows 更新プログラムを管理するためのポリシー構成によくあるミス (英語)
- 設定すべき Windows Update ポリシーとその理由 – マイクロソフト コミュニティ ハブ (英語)
- 更新接続性データを使用してパッチのコンプライアンスを向上させる – Windows IT Pro のブログ (microsoft.com) (英語)
