［運用］ Windows Intuneで始めるPC管理 第2回 3．更新プログラムの管理 マイクロソフト株式会社 エバンジェリスト 高添 修（http://blogs.technet.com/b/osamut） 2011/07/07
Page1 Page2 Page3

更新プログラムの管理

■更新プログラムを管理する意義とは？
　Windows やその上で動くソフトウェアには、動作の安定性を損なう要素が存在する。それは単なる製品の不具合の場合もあれば、安全性を脅かす最新の攻撃などもある。特に、インターネット接続が前提になるWindows Intune環境においては、PCを常に最新の状態にしておくことがとても重要なセキュリティ対策といえる。そこでマイクロソフトでは、ソフトウェアを最新状態に更新するためのプログラム（更新プログラムとか修正プログラムなどと呼ばれる）を定期的に提供し、さらには自動的にPCを最新にするWindows Updateという仕組みも用意している。しかし、PCの更新を各PCのユーザーに委ねてしまうと、長らく更新していないPCや正しく更新できていないソフトウェアの存在に管理者が気付かないことがあるかもしれない。会社が支給したPCには重要なデータが保管されている可能性もあるため、忙しい管理者であっても、責任の範疇としてPCの更新管理を行うべきだろう。

　セキュリティのリスクは減らさなければならないが、更新プログラムはOSそのもののファイルを置き換えるため、既存のアプリケーションが動かなくなるというリスクも存在する。そのため大手企業の中には、更新プログラム1つ1つの特徴を理解し、社内に展開してよいかどうかの確認を事前に行った上で、問題ないと判断できたものだけを社内のPCにインストールしているところもある。おそらく、そのような企業の管理者はWindows Intuneの更新プログラムに関する画面を見ればすぐに何ができるか理解できるだろう。そこで、このセクションでは、これまで社内のPCの管理に手が出せていなかった中小企業の管理者を主な対象として解説をしようと思う。

■更新プログラムを自動かつ強制的に適用する「自動承認規則」を作成する
　さて、Windows Intuneには、管理者が多くの手間をかけずにPCの更新管理を実現する機能が用意されている。その1つが「自動承認規則」である。簡単にいうと、必要と思われる更新プログラムを強制的に適用するというものだ。強制するといってもインターネットにつながっていなければ更新はされないが、更新していないPCをリスト化することもできるため、更新管理は基本的に自動化し、正しく更新されないPCだけ個別に対応をすると決めて運用するのもよい。アバウトに思えるかもしれないが、管理していないPCを残すよりも大きな進歩といえるだろう。

　それでは、自動承認規則の設定について見ていこう。ここでの注意点はWindows Intuneの大項目の中から［更新プログラム］ではなく［管理］を選ぶことだ。その中にある［更新プログラム］を選択することで自動承認規則を作成できる。

更新プログラムの自動承認規則を設定する画面

大項目の［更新プログラム］を選択すると、マイクロソフトが提供する更新プログラムの一覧などの情報が表示される。そこには自動承認規則の設定へのリンクも用意はされている。しかし、結局は大項目の［管理］に行き着くので、はじめから自動承認規則の設定は［管理］にあると覚えておくとよいだろう。

これをクリックする。この列の大項目にある［更新プログラム］を選んではいけない。 これをクリックすると、右ペインに「サービスの設定: 更新」という設定画面が表示される。 これをクリックする。 これをクリックすると、新たな自動承認規則を作成するウィザードが起動する。→へ

　具体的には、Windows Intuneで管理しているOSの種類（例えばWindows 7とWindows XP）やソフトウェア（Officeのバージョンなど）を選択した上で、そのPCに自動適用したい種類の更新プログラムを選び、最後に適用したいコンピュータ・グループを指定する。もしWindowsに詳しいエンジニアが身近にいるなら、自社内に適用してはいけない更新プログラムについて確認を取ってみるとよいだろう。ただ、そもそも管理されていなかったPCをWindows Intuneで管理するという場合には、PCを常に最新の状態にし、セキュリティ上の脆弱性を極力排除するという観点から設定をし、更新プログラムの適用によって不都合が生じたら、その時点で対処するというのも選択肢の1つといえる。

更新プログラムの自動承認規則を作成する一連の流れ
管理をする以上、更新プログラムについても知識を得ていただきたいという思いはあるが、まずはPCを最新の状態にするというところをゴールに据えるのも1つの手だといえる。そういう意味では、すべてのカテゴリに対して、不要なツール以外の更新プログラムを、すべてのコンピュータに強制適用するという設定も考えられる。
更新したいOS（Windows 7やWindows XPなど）やソフトウェア（Officeなど）を選ぶ。決められなければ、［すべてのカテゴリ］のチェックをオンにして、すべて選択するのも手だ。 　 自動適用したい更新プログラムの種類（Service Packや重要な更新など）を選ぶ。分からなければ、［Feature Packs］と［ツール］、［更新］を除いてチェックをオンにするとよいだろう。 　 適用したいコンピュータ・グループを選ぶ。特に例外がなければ、［すべてのコンピューター］のチェックをオンにしてもよいだろう。

■更新プログラムの適用状況を確認する
　大項目の［更新プログラム］を選択すると、どのような更新プログラムが存在しているのか、それが社内にどれだけインストールされ、どれだけ失敗しているのかなどの情報を確認できる。各更新プログラムについては、マイクロソフトのWebサイトにある詳細な説明ページ（実体はサポート技術情報（KB））へのリンクもあるので、社内に自動展開された更新が何を意味しているのか、仕事が落ち着いたときに確認してみるのもよいだろう。

更新プログラムの管理画面

セキュリティ問題の修正プログラムに関する情報を表示しているところ。Silverlightのセキュリティ更新プログラムがすでに10台のPCにインストールされていることも分かる。

これをクリックする。 確認したい更新プログラムの種類を選ぶ。迷ったら「すべての更新プログラム」を選べばよいだろう。 何台の管理対象PCに適用されたか、何台が適用に失敗したか、何台で適用が保留されているか、といったことがこれらの列から確認できる。 このリンクをクリックすると、上のペインで選択した更新プログラムの詳細を記したサポート技術情報のWebページが表示される。

■Windows Intune Centerから手動で更新プログラムを適用する
　PCの管理をしていると、どうしてもすぐに手動で最新の更新プログラムを適用したいこともある。そんな場合には管理対象のPC上でWindows Intune Centerを利用するとよい。Windows Intune CenterはWindows Intuneクライアント・ソフトウェアをインストールする際に自動的にインストールされ、管理対象PCのデスクトップ上にそのショートカットが作られる。Windows Intune Centerには、［更新プログラムの確認］というボタンが用意されており、しばらくインターネットに接続できていなかったPCを強制的に最新の状態に更新したりできる。

Windows Intune Centerから手動で更新プログラムを適用する

例えば、しばらくインターネットに接続できていなかったPCに対して、Windows Intuneによる自動適用を待つことなく、強制的に最新の状態に更新できる。Windows Intuneインストール以前のように、スタート・メニューからWindows Updateを選択してもよい。

これをクリックすると、手動で最新の更新プログラムの検出と適用ができる。

◆

　今回は、Windows Intuneが提供する機能の詳細について解説をした。いろいろと管理のポイントはあるものの、管理者が行う必要のある作業が少ないのもWindows Intuneのメリットなので、まだという方は、Windows Intuneの評価サイトでトライアルを申し込んで実際の画面を見ながら記事を読み返していただければ幸いである。

　次回は、今回解説できなかったマルウェア（ウイルス）対策やポリシー設定、稼働監視（アラート）、リモート・アシスタンス、レポートといった機能について解説する予定である。

INDEX
	［運用］Windows Intuneで始めるPC管理
	第2回　Windows Intune管理者の実作業と注意点 その1
	1．Windows Intuneクライアントの展開
	2．コンピュータ・グループの作成とインベントリ情報の閲覧
	3．更新プログラムの管理

運用

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）