検索
連載

「Windows Autopatch」はMicrosoftに“丸投げ”できる更新管理の新たなカタチ企業ユーザーに贈るWindows 10への乗り換え案内(128)

Microsoftは2022年7月から、Windows 10/11 EnterpriseのE3/E5ライセンスを持つ企業や組織に向けて、WindowsやMicrosoft 365 Apps、Microsoft Edgeなどの更新を管理する新サービス「Windows Autopatch」の一般提供を開始します。

[山市良,テクニカルライター] PC用表示 関連情報
Share
Tweet
LINE
Hatena
「企業ユーザーに贈るWindows 10への乗り換え案内」のインデックス

企業ユーザーに贈るWindows 10への乗り換え案内

企業や組織における更新管理はIT部門の大きな負担に

 MicrosoftはWindowsの品質更新プログラムや機能更新プログラムのクライアントデバイスへの配布方法として、個人ユーザーと同じ「Windows Update」の他に、「Windows Update for Business(WUfB)」ポリシーによる制御や「Windows Server Update Services(WSUS)」による承認/展開、「Microsoft Endpoint Manager」(「Microsoft Intune」および「Microsoft Configuration Endpoint Manager - Current Branch」)による、より詳細な制御など、幾つかの手段を提供しています。

 「Microsoft Edge」「Microsoft 365 Apps」(Officeアプリ)も、ポリシーによる更新管理やMicrosoft Endpoint Managerによる更新管理が可能です。

 しかし、Windows Update以外の管理された方法はいずれも、管理者による更新プロセスの計画と実施、詳細なポリシー設定の検討、そして更新状態の監視が必要です。管理対象のデバイスが数百台、数千台規模になると、Microsoft Endpoint Managerのような更新管理システムを導入して、それを運用する必要があります(画面1画面2)。

画面1
画面1 Microsoft Intuneを使用したWindows Update for Businessベースの更新管理(これはWindows Autopatchではない従来の管理機能)
画面2
画面2 Microsoft Configuration Endpoint Managerでは、更新プログラムを展開パッケージまたはWindows Update for Businessベースで展開できるが、その計画と実施はIT部門の負担になる

Windows Autopatchで更新管理をMicrosoftにお任せ!

 Microsoftは2022年4月、WindowsとMicrosoft 365 Apps、Microsoft Edgeなどに対応した新しい更新サービス「Windows Autopatch」を発表し、同年5月末のプレビュー提供を経て、2022年7月から一般提供します。つまり、2022年7月のセキュリティ更新プログラム(Bリリース)からは、Windows Autopatchによるパッチソリューションを運用環境で利用できるようになります。

 Windows Autopatchは、WindowsやMicrosoft Endpoint Managerに組み込まれた更新管理機能を利用しながら、IT部門から更新プロセスの計画と実施の必要性を排除することを目指して提供される、全く新しいサービスです。

 簡単に言ってしまえば、企業のクライアントデバイスへの更新プログラムのリリースを、Microsoft主導で状況を監視しながら、段階的にロールアウトするものです。Microsoft IntuneのテナントをWindows Autopatchのサービスに登録し、Windows Autopatchをセットアップして、デバイスを登録するだけで利用を開始できます(画面3)。

画面3
画面3 Microsoft IntuneのテナントをWindows Autopatchに登録してセットアップ。画面はWindows IT ProのYouTubeチャンネル(https://youtu.be/gu4bpXYiAd8)より

 Windows Autopatchでは、以下の表1に示すように、「標準(Standard)リリース」として「Test」「First」「Fast」「Broad」の4つの更新リングと、「迅速な(Expedited)リリース」が用意され、「Test」リング以外は、Microsoftにより管理されます。

リリースの種類 リング 遅延 期限 猶予期間
標準リリース Test 0日 0日 0日
First(1%) 1日 2日 2日
Fast(9%) 6日 2日 2日
Broad(90%) 9日 5日 2日
迅速なリリース 全てのデバイス 0日 1日 1日
表1 Windows Autopatchのリリースとリング。「Test」リング以外はMicrosoftにより管理される(リング間の個別のデバイスの移動は可能)

 「First」にはクライアントデバイスの1%、「Fast」は9%、「Broad」は残り90%が自動的に割り当てられます。

 「遅延」はBリリースと呼ばれる毎月第2火曜日(米国時間)から遅延する日数、「期限」はユーザーが再起動をスケジューリングしたり、アクティブ時間外に実行したりすることを許可する期限(期限が切れるとアクティブ時間に関係な再起動)、「猶予期間」は更新プログラムがダウンロードされてから再起動されるまでの最短の日数になります(休暇などで期限内にオンラインにならなかった場合に「期限」よりも優先されます)。

 これらのリングにより、Bリリースの翌日に「First」から段階的にロールアウトされ、21日後までに全体の95%の更新が完了することを目指し、Microsoftによって運用されます。

 「Test」リングだけは管理者がデバイスを登録することが可能で、運用環境(First以降)へのリリースが行われる前に更新プログラムをテストする機会を提供するものです。そして、「迅速なリリース」はゼロデイ脆弱(ぜいじゃく)性を解決する更新プログラムを迅速に展開するためのもので、全てのデバイスを対象に即座にリリースされます。

 このように、各リリースと各リングには、Microsoftにより決められたMDM(モバイルデバイス管理)ポリシー設定が関連付けられ、クライアントデバイスの挙動が制御されます。

 いずれかのリングで問題が確認された場合は、Microsoftによってリリースが一時停止され、必要があればロールバックが実施されます。また、管理者側がWindows Autopatchに対してリリースの一時停止を要求することもできるようです。以下の図1に、Windows Autopatchの標準および迅速なリリースを筆者なりにイメージにしてみました。

図1
図1 Windows Autopatchによる毎月の品質更新プログラムおよび緊急ゼロデイパッチのリリース(筆者なりの解釈)

 Windows Autopatchを利用可能なサブスクリプションでは、「Microsoft Endpoint Manager admin center」の「テナントの管理」ブレードに「Windows Autopatch」が表示されるので、そこから追加コストなしで利用を開始できます(利用可能でないサブスクリプションには表示されません)。

 更新対象は、Homeエディションを除く、サポート期間中の「Windows 10」(64bit版のみ)と「Windows 11」で、Microsoft 365 Appsの月次エンタープライズチャネル、Microsoft Edgeの安定版チャネル、「Microsoft Teams」の管理にも対応しています。利用には、Azure Active Directory(Azure AD)やMicrosoft Intuneなどの要件もあるので、詳細は、Microsoftの公式ドキュメントで確認してください。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP 2008 to 2023(Cloud and Datacenter Management)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る