Intune での Windows 10 機能更新プログラム ポリシー

"この機能はパブリック プレビュー段階です。 "

Intune で "Windows 10 の機能更新プログラム" を使用すると、デバイスで維持される Windows 機能更新プログラムのバージョンを選択できます (例: Windows 10 バージョン 1803 またはバージョン 1809)。 Intune では、1803 以降の機能レベルの設定がサポートされています。

Windows 10 機能更新プログラム ポリシーと "Windows 10 更新リング" ポリシーが連動することで、機能更新プログラム ポリシーに指定されている値よりも新しい Windows 機能バージョンをデバイスが受け取ることが禁止されます。

デバイスが Windows 10 機能の更新ポリシーを受け取ると、次のようになります。

  • デバイスは、ポリシーで指定されたバージョンの Windows に更新されます。 より新しいバージョンの Windows を既に稼働しているデバイスは、その現在のバージョンのままになります。 バージョンを固定すると、ポリシーの期間中はそのデバイスの機能セットが安定した状態のままになります。

    注意

    その Windows バージョンの "セーフガード ホールド" がある場合、デバイスに更新プログラムはインストールされません。 デバイスによって更新プログラムのバージョンの適用性が評価されるときに、未解決の既知の問題が存在する場合、Windows によって一時的なセーフガード ホールドが作成されます。 問題が解決されると、ホールドは解除され、デバイスを更新できるようになります。

    • 機能更新プログラムの状態 については、Windows ドキュメントの「セーフガード ホールド」を参照してください。

    • セーフガード ホールドが発生する可能性のある既知の問題については、「Windows 10 リリース情報」を参照し、そのページの目次から関連する Windows バージョンを参照してください。

      たとえば、Windows バージョン 2004 の場合、「Windows 10 リリース情報」を開き、左側のペインから「バージョン 2004」を選択し、「既知の問題と通知」を選択します。 結果のページには、セーフガード ホールドが発生する可能性のあるその Windows バージョンの既知の問題の詳細が記載されています。

  • 更新リングで "一時停止" を使用する場合 (35 日後に期限切れになります) とは異なり、Windows 10 機能の更新ポリシーは有効なままです。 ユーザーが Windows 10 機能の更新ポリシーを変更または削除するまで、デバイスに新しい Windows バージョンはインストールされません。 ポリシーを編集して新しいバージョンを指定すると、デバイスにその Windows バージョンの機能をインストールできるようになります。

必須コンポーネント

Intune の Windows 10 機能更新プログラムに求められる前提条件は次のとおりです。

  • Intune のライセンスに加えて、組織は次のいずれかのサブスクリプションを所有している必要があります。

    • Windows 10 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれます)
    • Windows 10 Education A3 または A5 (Microsoft 365 A3 または A5 に含まれます)
    • Windows Virtual Desktop Access E3 または E5
    • Microsoft 365 Business Premium
  • デバイスでは次のことを行う必要があります。

    • Windows 10 バージョン 1709 以降を実行している。

    • Intune MDM に登録されていて、Hybrid AD に参加しているか、Azure AD に参加している。

    • [基本] 以上の設定を使用してテレメトリを有効にしている。

      機能更新プログラムのポリシーを受信したデバイスのテレメトリが [未構成] (オフ) に設定されていた場合、機能更新プログラムのポリシーで定義されているよりも新しいバージョンの Windows がデバイスにインストールされる可能性があります。 この機能が一般公開に移行されるとき、テレメトリを必要とする前提条件は再検討されます。

      Windows 10 以降のデバイスの制限ポリシーの一部としてテレメトリを構成します。 デバイスの制限プロファイルの [レポートとテレメトリ] で、 [使用状況データの共有] を、最小値である [基本] を使用して構成します。 [拡張] または [完全] の値もサポートされています。

    • Microsoft サインイン アシスタント (wlidsvc) を実行している。 このサービスがブロックされているか [無効] に設定されている場合、更新プログラムの受信に失敗します。 詳細については、「他の更新プログラムは提供されるが、機能更新プログラムは提供されない」を参照してください。

  • 機能更新プログラムは次の Windows 10 エディションでサポートされています。

    • Windows 10 Pro
    • Windows 10 Enterprise
    • Windows 10 Pro Education
    • Windows 10 Education

    注意

    サポートされていないバージョンとエディション:
    Windows 10 Enterprise LTSC: Windows Update for Business (WUfB) では、Long Term Service Channel リリースはサポートされていません。 WSUS や Configuration Manager など、別の修正プログラムの手法を使用することを計画してください。

Windows 10 機能更新プログラム ポリシーに関する制限事項

  • "Windows 10 の機能更新プログラム" ポリシーを展開するデバイスで "Windows 10 更新リング" ポリシーも受け取る場合は、更新リングの次の構成について確認してください。

    • [機能更新プログラムの延期期間 (日数)]0 に設定する必要があります。
    • 更新リングの機能の更新プログラムは "実行中" である必要があります。 それらを一時停止しないでください。

    ヒント

    機能更新プログラムを使用する場合は、更新リングのポリシーで構成されている延期の使用を止めることをお勧めします。 更新リングの延期と機能更新プログラムのポリシーを組み合わせると、更新プログラムのインストールを遅らせる可能性のある複雑さが生じる可能性があります。

    詳細については、「更新リングの延期から機能更新プログラムのポリシーへの移行」を参照してください

  • Windows 10 機能更新プログラム ポリシーは、Autopilot OOBE (out of box experience) 中には適用できません。 代わりに、デバイスのプロビジョニング完了後 (通常は 1 日)、最初の Windows Update スキャン時にポリシーが適用されます。

  • この機能がプレビュー段階でデバイスが Configuration Manager で共同管理されている間は、制限事項として、機能更新プログラム ポリシーがすぐに有効にならない場合があります。 この遅延によって、デバイスは、構成されたポリシーよりも新しい機能更新プログラム バージョンに更新される可能性があります。

    Intune に登録されているデバイスに提供される Windows 10 の機能更新プログラムのバージョンを制限する別の方法については、「TargetReleaseVersion ポリシー CSP を使用して共同管理デバイスの Windows 10 機能更新プログラムを管理する」を参照してください。

  • デバイスが Windows Update サービスにチェックインされると、デバイスのグループ メンバーシップが、機能更新プログラムに含まれる機能更新プログラム ポリシー設定に割り当てられたセキュリティ グループに対して検証されます。

  • 機能更新プログラム ポリシーを受け取ったマネージド デバイスは、Windows Update for Business 展開サービスに自動的に登録されます。 展開サービスによって、デバイスが受け取る更新プログラムが管理されます。 このサービスは、Microsoft エンドポイント マネージャーによって使用され、Windows 10 更新プログラムに関する Intune ポリシーと連携して、デバイスへの機能更新プログラムの展開を行います。

    デバイスがどの機能更新プログラム ポリシーにも割り当てられなくなると、そのデバイスは、90 日の待機期間が経過した後で、Intune によって、機能更新プログラムの管理と展開サービスから登録を解除されます。 この遅延期間により、デバイスを別のポリシーに割り当てることができ、その間にデバイスが意図されない機能更新プログラムを受け取らないことが保証されます。

    つまり、機能更新プログラム ポリシーを適用されなくなったデバイスには、次のいずれかの状況が発生するまで、機能更新プログラムは提供されません。

    • 90 日経過する。
    • デバイスが、新しい機能更新プログラム プロファイルに割り当てられる。
    • デバイスが Intune から登録解除される。これにより、デバイスは展開サービスによる機能更新プログラムの管理から登録解除されます。
    • ユーザーが、Business 展開サービス グラフ API に対する Windows Update を使用して、機能更新プログラムの管理からデバイスを削除する

Windows 10 の機能更新プログラム ポリシーを作成して割り当てる

  1. Microsoft Endpoint Manager 管理センターにサインインします。

  2. [デバイス] > [Windows] > [Windows 10 機能の更新プログラム] > [プロファイルの作成] の順に選択します。

  3. [基本] の下で、名前と説明 (省略可能) を指定し、 [展開する機能更新プログラム] に対して目的の機能セットを含む Windows のバージョンを選択してから、 [次へ] を選択します。

  4. [割り当て][+ 含めるグループを選択] を選択した後、1 つまたは複数のデバイス グループに機能更新プログラムの展開を割り当てます。 [次へ] を選択して続行します。

  5. [確認と作成] で、設定を確認します。 Windows 10 機能更新プログラム ポリシーを保存する準備ができたら、 [作成] を選択します。

Windows 10 機能更新プログラム ポリシーを管理する

管理センターで、 [デバイス] > [Windows] > [Windows 10 機能の更新プログラム] に移動して、プロファイルを表示します。

各プロファイルについて、次のことを確認できます。

  • [機能更新プログラムのバージョン] – プロファイルでの機能更新プログラムのバージョン。

  • [割り当て済み] – プロファイルが 1 つ以上のグループに割り当てられている場合。

  • [サポート] : 機能更新プログラムの状態:

    • [サポートされています] – 機能更新プログラムのバージョンはサポートされており、デバイスに展開できます。
    • [サポートの終了が近づいています] – 機能更新プログラムのバージョンはサービス終了日の 2 か月以内です。
    • [サポートされていません] – 機能更新プログラムのサポートは期限切れになり、デバイスに展開されなくなりました。
  • [サポート終了日] – 機能更新プログラムのバージョンのサポート終了日。

一覧からプロファイルを選択すると、プロファイルの [概要] ペインが開き、次の作業を行うことができます。

  • [削除] を選択して、そのポリシーを Intune から削除し、デバイスから削除します。
  • [プロパティ] を選択して、その展開を変更します。 [プロパティ] ウィンドウで [編集] を選択すると、" [展開の設定] または [割り当て] " が開きます。ここで展開を変更できます。
  • [エンド ユーザー更新状態] を選択して、ポリシーに関する情報を表示します。

検証とレポート

Intune で Windows 10 更新プログラムの詳細なレポートを取得するには、複数のオプションがあります。 詳細については、Intune コンプライアンス レポートに関するページを参照してください。

次の手順