Windows Updateでは、部署やチームごとに設定や期間を使い分けることで、それぞれの業務特性に最適な管理が可能です。今回は例として、「営業チーム」と「会計チーム」の2チームに分けて検証を行います。
営業チームは外部との接触が多く、セキュリティリスクが高いため、最新のアップデートを即時に反映させます。一方、会計チームは、使用している会計システムが最新のアップデートで影響を受けないよう、機能更新プログラムの適用を遅らせます。
この記事では、ほかにも「緊急の品質更新プログラム配布」、「月次更新プログラムの目的」、「未適用PCの確認方法」、「更新エラーの対処法」についても解説しています。是非ご参考ください。
<設定一覧表>
- 1.Windows Update で使用される基本用語
- 2.Intuneの更新リングの機能
- 3.設定したインストール期限はどのように影響するのか?
- 4.更新リングの作成(営業チーム)
- 5.更新リングの作成(会計チーム)
- 6.緊急で品質更新プログラムを配布する方法
- 7.月次更新プログラムの目的と内容
- 8.更新プログラムが適用されていないPCの確認方法
1.Windows Update で使用される基本用語
アクティブ時間とは?
アクティブ時間とは、ユーザーがPCを使用している時間帯のことです。この時間内には、自動的な再起動や更新が行われないように設定することができ、更新による作業の中断を防ぐことができます。既定では午前8時から午後5時に設定されていますが、Intuneを使用して手動で変更することも可能です。
品質更新プログラムとは?
品質更新プログラムとは、バグ修正やセキュリティ更新を含む定期的な更新プログラムです。これにより、Windowsを最新の状態に保ち、サイバー攻撃を防ぐためのセキュリティ対策となります。これらの更新プログラムは毎月リリースされます。
機能更新プログラムとは?
機能更新プログラムとは、Windows OSに新しい機能や改善を追加するための更新プログラムです。これにより、システム全体の機能性が向上します。これらの更新プログラムは年に2回、春 (3月から5月)と 秋 (9月から11月)にリリースされます。
2.Intuneの更新リングの機能
・業務に影響を与えないように更新や再起動のタイミングを設定できる。
・必要に応じて更新を延期や一時停止できる。
・最新の更新プログラムで問題が発生した場合に、その更新プログラムをアンインストールすることができる。
3.設定したインストール期限はどのように影響するのか?
上の図を参考に、設定したインストール期限がどのように影響するのかを説明します。
更新プログラムがリリースされた日を0日とし、設定した延期期間(ここでは7日)に到達すると、Windows は更新プログラムのインストール後、ユーザーに再起動を促します。このとき、アクティブ時間外に再起動を試みます。
そこから、さらに設定した期限(ここでは3日)を経過すると、Windows は再び再起動を促し、インストールが完了していない場合にはアクティブ時間内に再起動を試みます。
更新プログラムがリリースされた日からインストール期限までの10日の間、(延期期間:7日+インストール期限:3日)オフラインだった場合は、端末を起動した際に更新プログラムのインストールを行い、ユーザーに再起動を促します。このとき、アクティブ時間外に再起動を試みます。
オフラインの状態から、端末を起動した日(ここでは15日目)から、猶予期間が発生します。ここでは猶予期間を2日に設定しているので、2日後の17日目になっても再起動がされていない場合には、アクティブ時間内に再起動を試みます。
4.更新リングの作成(営業チーム)
それでは、早速プロファイルを作成していきます。まずは、最新のアップデートを即時に反映させる、「営業チーム」です。
1.Microsoft Intune 管理センターを開き、「デバイス」をクリックします。
2.「Windows の更新プログラム」をクリックします。
3.「プロファイルの作成」をクリックします。
4.「名前」にプロファイル名を入力し、「次へ」をクリックします。
※ここでは、「YJK_営業チーム」と入力します。
5.「設定の更新」を下記のように設定します。
—————————————-
Microsoft 製品の更新プログラム:許可
Windows ドライバー:許可
品質更新プログラムの延期期間(日数):0
機能更新プログラムの延期期間(日数):0
Windows 10デバイスを最新のWindows 11リリースにアップグレードする:はい
機能更新プログラムのアンインストール期間(2から60日間)の設定:60
プレリリース ビルドを有効にする:構成されていません
プレリリース チャネルの選択:ー
—————————————-
<設定の解説>
・設定項目 「Microsoft 製品の更新プログラム」「Windows ドライバー」
どちらも最新に維持するため、許可を選択します。
・設定項目 「品質更新プログラムの延期期間(日数)」「機能更新プログラムの延期期間(日数)」
更新プログラムのインストールをリリース後何日間遅延させるかを設定します。
※日数は、会社や学校の要件に合わせて設定してください。
6.「ユーザー エクスペリエンスの設定」を下記のように設定し、「次へ」をクリックします。
—————————————-
自動更新の動作:既定値にリセット
Windows 更新プログラムを一時停止するためのオプション:無効にする
Windows 更新プログラムを確認するためのオプション:有効にする
通知の更新レベルを変更する:既定の Windows Update 通知を使用する
期限の設定を使用する:許可
機能更新プログラムの期限:0
品質更新プログラムの期限:0
猶予期間:2
期限前に自動的に再起動する:はい
—————————————-
<設定の解説>
・設定項目 「自動更新の動作」
既定値にリセットに設定すると、Windows 端末は端末の利用状況から自動的かつインテリジェントに1番影響が少ないよう算出された時間に更新プログラムのインストールを構成することができます。
・設定項目 「Windows 更新プログラムを一時停止するためのオプション」
端末が最新に保てるよう更新プログラムを一時停止するオプションです。
・設定項目 「通知の更新レベルを変更する」
規定の Windows Update 通知を使用するに設定すると、Windowsが更新プログラムのインストールで再起動が必要な場合に、ユーザーに再起動をいつ行うか通知する画面を表示させることができます。
・設定項目 「期限の設定を使用する」
許可に設定すると、Windows更新プログラムが必ず適用できるよう期限日を過ぎた場合には端末が利用中の場合であっても更新プログラムが適用できるようになります。
・設定項目 「期限前に自動的に再起動する」
はいに設定すると、Windowsが期限までのアクティブ時間外に再起動ができるようにしておきます。
7.「グループを追加」をクリックします。
8.割り当てるグループやユーザーにチェックを入れ、「選択」をクリックします。
※すでに他のプロファイルがある場合、同じ端末に複数の設定プロファイルを割り当てると競合が発生するため、必ず1つの設定プロファイルのみを割り当ててください。
9.割り当てられたことを確認し、「次へ」をクリックします。
10.設定内容を確認し、「作成」をクリックします。
11.プロファイルが作成されました。
5.更新リングの作成(会計チーム)
続いて、システムに影響が出ないよう機能更新プログラムの適用を遅らせる、「会計チーム」を作成していきます。
1.Microsoft Intune 管理センターを開き、「デバイス」をクリックします。
2.「Windows の更新プログラム」をクリックします。
3.「プロファイルの作成」をクリックします。
4.「名前」にプロファイル名を入力し、「次へ」をクリックします。
※ここでは、「YJK_会計チーム」と入力します。
5.「設定の更新」を下記のように設定します。
—————————————-
Microsoft 製品の更新プログラム:許可
Windows ドライバー:許可
品質更新プログラムの延期期間(日数):0
機能更新プログラムの延期期間(日数):90
Windows 10デバイスを最新のWindows 11リリースにアップグレードする:いいえ
機能更新プログラムのアンインストール期間(2から60日間)の設定:60
プレリリース ビルドを有効にする:構成されていません
プレリリース チャネルの選択:ー
—————————————-
<設定の解説>
・設定項目 「Microsoft 製品の更新プログラム」「Windows ドライバー」
どちらも最新に維持するため、許可を選択します。
・設定項目 「品質更新プログラムの延期期間(日数)」「機能更新プログラムの延期期間(日数)」
更新プログラムのインストールをリリース後何日間遅延させるかを設定します。※日数は、会社や学校の要件に合わせて設定してください。
6.「ユーザー エクスペリエンスの設定」を下記のように設定し、「次へ」をクリックします。
—————————————-
自動更新の動作:既定値にリセット
Windows 更新プログラムを一時停止するためのオプション:無効にする
Windows 更新プログラムを確認するためのオプション:有効にする
通知の更新レベルを変更する:既定の Windows Update 通知を使用する
期限の設定を使用する:許可
機能更新プログラムの期限:10
品質更新プログラムの期限:0
猶予期間:7
期限前に自動的に再起動する:はい
—————————————-
<設定の解説>
・設定項目 「自動更新の動作」
既定値にリセットに設定すると、Windows 端末は端末の利用状況から自動的かつインテリジェントに1番影響が少ないよう算出された時間に更新プログラムのインストールを構成することができます。
・設定項目 「Windows 更新プログラムを一時停止するためのオプション」
端末が最新に保てるよう更新プログラムを一時停止するオプションです。
・設定項目 「通知の更新レベルを変更する」
規定の Windows Update 通知を使用するに設定すると、Windowsが更新プログラムのインストールで再起動が必要な場合に、ユーザーに再起動をいつ行うか通知する画面を表示させることができます。
・設定項目 「期限の設定を使用する」
許可に設定すると、Windows更新プログラムが必ず適用できるよう期限日を過ぎた場合には端末が利用中の場合であっても更新プログラムが適用できるようになります。
・設定項目 「期限前に自動的に再起動する」
はいに設定すると、Windowsが期限までのアクティブ時間外に再起動ができるようにしておきます。
7.「グループを追加」をクリックします。
8.割り当てるグループやユーザーにチェックを入れ、「選択」をクリックします。
※すでに他のプロファイルがある場合、同じ端末に複数の設定プロファイルを割り当てると競合が発生するため、必ず1つの設定プロファイルのみを割り当ててください。
9.割り当てられたことを確認し、「次へ」をクリックします。
10.設定内容を確認し、「作成」をクリックします。
11.プロファイルが作成されました。
6.緊急で品質更新プログラムを配布する方法
品質更新プログラムは、特定のセキュリティ問題や緊急の更新が必要な場合に迅速に対応することを目的としています。通常の更新リングの設定よりも優先されることで、重要なセキュリティ更新が遅れることなく適用されるようになります。
1.Microsoft Intune 管理センターを開き、「デバイス」をクリックします。
2.「Windows の更新プログラム」をクリックします。
3.「品質更新プログラム」をクリックします。
4.「プロファイルの作成」をクリックします。
5.「名前」にプロファイル名を入力し、「デバイスの OS バージョンが次より小さい場合に品質更新プログラムを迅速にインストールする」から該当の更新プログラムを選択します。
※ここでは、「09/10/2024 – 2024.09 B SecurityUpdate for Windows 10 and later 」を選択します。
「YYYY-MM-B」と「YYYY-MM-D」の更新プログラムの違いについては「こちら」
6.「再起動が強制されるまでの待機日数」を「0日」に設定します。
7.「次へ」をクリックします。
8.「グループを追加」をクリックします。
9.割り当てるグループやユーザーにチェックを入れ、「選択」をクリックします。
10.割り当てられたことを確認し、「次へ」をクリックします。
11.設定内容を確認し、「作成」をクリックします。
12.プロファイルが作成されました。
7.月次更新プログラムの目的と内容
月次更新プログラムには、「Bリリース」と「Dリリース」が含まれます。
Bリリースは、毎月第2火曜日にリリースされる標準的なセキュリティ更新プログラムです。これには、セキュリティ修正やバグ修正が含まれており、システムの安定性とセキュリティを向上させることを目的としています。
Dリリースは、毎月第4火曜日にリリースされるプレビュー更新プログラムです。これは、次の月のBリリースに含まれる予定の修正や機能をテストするためのものであり、ユーザーが新しい修正や機能を事前に試すことができます。
「YYYY-MM-B」「YYYY-MM-D」とは、それぞれ「YYYY年」の「MM月」にリリースされた「B、またはDリリース」を指しています。このようにして、リリースの時期と種類を簡潔に表現しています。
8.更新プログラムが適用されていないPCの確認方法
Intune のレポートから、バージョンごとの更新プログラムの配布状況を確認することができます。これにより、正常に更新されたデバイスと更新が必要なデバイスの台数を把握できます。
1.Intune 管理センターを開き、「レポート」をクリックします。
2.「Windows の更新プログラム」をクリックします。
3.「レポート」をクリックし、「Windows Update 配布レポート」をクリックします。
4.「スコープ(タグ)」を開き、「Default」にチェックを入れます。
5.「レポートの生成」をクリックし、レポートが生成されるまで少し待ちます。
※ここでは一度レポートを生成してしまったので、「再生成」となっています。
6.レポートが正常に生成されました。最新のリリースをクリックします。
※それぞれのリリースについては、このブログ内「7.月次更新プログラムの目的と内容」に詳しく記載されています。
7.このページで、正常に更新されたデバイスと更新が必要なデバイスの台数を把握できます。「デバイスの更新が必要」の列を見ると、更新がされていないデバイスが1台あることが確認できます。
8.「1」をクリックします。
9.更新が必要なPCのデバイス名や最後のチェックイン時間が表示されます。
10.該当PCの更新が完了すると、表示が変わります。先ほど、「デバイスの更新が必要」に「1台」と表示されていましたが、更新が完了し、「デバイスの更新が必要」は「0台」となりました。
※更新エラーの対処法については、このブログ内「※更新が開始がされない!エラーが出た場合の対処法」に詳しく記載されています。詳細はそちらをご覧ください。
11.1番右の「KB記事」という列に、KB番号が表示されています。更新が完了したPCにも同じKB番号が記載してあり、この番号と照らし合わせて確認することも可能です。
※更新が開始がされない!エラーが出た場合の対処法
更新プログラムがうまく適用されなかった場合の、対処法をご紹介します。
<デバイスの同期状態を確認する>
デバイスを最新の状態に保つために、同期状態を確認します。手順は以下の通りです。
1.「Windows マーク」をクリックします。
2.「設定」をクリックします。
3.「アカウント」をクリックします。
4.「職場または学校にアクセスする」をクリックします。
5.「xxxx@xx.xx.jp によって接続済み」を開き、「情報」をクリックします。
6.「デバイスの同期状態」の「同期」をクリックし、最新の状態に保ちます。
※同期のエラーが発生した場合は、デバイスのインターネット接続状況、他の Intune への登録状況、有効なライセンスの適用を確認し、再度試してみてください。
<デバイスを最新の状態にしても更新に失敗してしまう場合>
デバイスを最新の状態にしても更新に失敗してしまう場合は、トラブルシューティングを実施し、再度更新をします。手順は以下の通りです。
1.同期を最新の状態にしても、「エラーが発生しました」と表示されてしまいました。
2.「システム」をクリックします。
3.「トラブルシューティング」をクリックします。
4.「その他のトラブルシューティング ツール」をクリックします。
5.Windows Update の「実行する」をクリックします。
6.管理者の「ユーザー名」と「パスワード」を入力し、「はい」をクリックします。
7.トラブルシューティングが開始されます。
8.トラブルシューティングが完了しました。「閉じる」をクリックします。
9.一度再起動をします。
10.再び「設定」を開き、「Windows Update」をクリックします。
11.「更新プログラムのチェック」をクリックします。
※これには、時間がかかる場合があります。(20分~1時間近くかかることもありました)
12.更新プログラムが一時停止してしまった場合は、再度「更新プログラムのチェック」をクリックし、更新を進めてください。しばらくすると、ダウンロードを待機する画面が表示されました。
13.ゆっくりとダウンロードが始まります。何度か「更新プログラムのチェック」をクリックしながら、ダウンロードが完了するのを待ちます。
14.ダウンロードがすべて完了すると、「更新プログラムを取得しています」というポップアップが表示されます。「今すぐ再起動」をクリックし、再起動をします。
※「確認」をクリックすると、約3,4分後に再起動が開始されます。
15.再起動後「Windows Update」を開くと、更新が完了していました。
16.「更新の履歴」をクリックします。
17.品質更新プログラムが正しくインストールされたことを確認できます。
その他お困りごとも動画で解説!
