Microsoft Intuneでの Windows ドライバー更新プログラムの管理

  • [アーティクル]

Microsoft Intuneの Windows ドライバー更新プログラム管理を使用すると、マネージド Windows 10 および Windows 11 デバイスのドライバー更新プログラムの展開を確認、承認、一時停止できます。 Intuneと Windows Update for Business (WUfB) 展開サービス (DS) は、ドライバー更新プログラム ポリシーが割り当てられているデバイスに適用されるドライバーの更新プログラムを特定するために、負荷の高い作業を行います。 Intuneと WUfB-DS は、すべてのデバイスで推奨されるドライバーの更新プログラムを簡単に特定するのに役立つカテゴリ別に更新プログラムを並べ替えます。また、より限定的な使用ではオプションと見なされる可能性がある更新プログラムを簡単に特定できます。

Windows ドライバー更新プログラム ポリシーを使用すると、デバイスにインストールできるドライバー更新プログラムを制御できます。 次の操作を行うことができます:

  • 推奨されるドライバー更新プログラムの自動承認を有効にします。 自動承認用に設定されたポリシーは、ポリシーに割り当てられたデバイスの 推奨ドライバー と見なされる新しいドライバー更新プログラムの各バージョンを自動的に承認して展開します。 推奨されるドライバーは、通常、発行元が必須としてマークしたドライバー発行元によって発行された最新のドライバー更新プログラム です。 現在推奨されるドライバーとして識別されていないドライバーは、 他のドライバーとしても使用できます。これは、オプションのドライバー更新プログラムと見なすことができます。

    その後、OEM からの新しいドライバー更新プログラムがリリースされ、現在推奨されるドライバー更新プログラムとして識別されると、Intune自動的にポリシーに追加され、以前に推奨されたドライバーが他のドライバーの一覧に移動されます。

    ヒント

    新しい推奨ドライバー更新プログラムが利用可能になるため、 他のドライバー の一覧に移動された承認済みの推奨ドライバー更新プログラムは、承認されたままです。 新しい推奨および承認されたドライバー更新プログラムを使用できる場合、WUfB-DS は、その最新の承認済みバージョンのみをインストールします。 承認された最新の更新プログラムのバージョンが一時停止されている場合、展開サービスは、次に最新かつ承認された更新プログラムのバージョンを自動的に提供します。このバージョンは他の ドライバー の一覧に表示されます。 この動作により、承認された最後の既知の適切なドライバー更新プログラムのバージョンは引き続きデバイスにインストールできますが、最新の推奨バージョンは一時停止したままです。

    このポリシー構成では、利用可能な更新プログラムを確認して、ポリシーを使用してデバイスで引き続き利用可能な更新プログラム 選択的に承認、一時停止、または拒否することもできます。

  • すべての更新プログラムの手動承認を要求するようにポリシーを構成します。 このポリシーにより、ドライバー更新プログラムを展開する前に管理者が承認する必要があります。 このポリシーを使用したデバイスのドライバー更新プログラムの新しいバージョンは自動的にポリシーに追加されますが、承認されるまで非アクティブなままになります。

その後、ポリシー内のデバイスに対して OEM からの新しいドライバー更新プログラムが推奨されると、ポリシーの状態が更新され、レビューが保留中のドライバーがあることを示します。 この状態は、ポリシーを確認し、デバイスへの最新のドライバーの展開を承認するかどうかを決定するためのアクションの呼び出しになります。

  • 展開が承認されるドライバーを管理します。 任意のドライバー更新ポリシーを編集して、展開が承認されているドライバーを変更できます。 個々のドライバー更新プログラムの展開を一時停止して新しいデバイスへの展開を停止し、後で一時停止した更新プログラムを再度実行して、Windows Updateが該当するデバイスへのインストールを再開できるようにします。

ポリシーの構成と含まれているドライバーに関係なく、承認されたドライバーのみがデバイスにインストールできます。 さらに、Windows Updateは、現在デバイスにインストールされているバージョンよりも新しいバージョンの場合にのみ、利用可能で承認された最新の更新プログラムをインストールします。

Windows ドライバー更新プログラムの管理は、次に適用されます。

  • Windows 10
  • Windows 11

前提条件

重要

この機能は、GCC クラウド環境ではサポートされていません。

既存の EA でサブスクリプションのアクティブ化を有効にする は、WuFB-DS 機能の GCC および GCC High/DoD クラウド環境には適用されません。

Windows Driver Update 管理を使用するには、organizationに次のライセンス、サブスクリプション、ネットワーク構成が必要です。

サブスクリプション

  • Intune: テナントには、Microsoft Intune プラン 1 サブスクリプションが必要です。

  • Microsoft Entra ID: Microsoft Entra ID Free (以上) サブスクリプション。

デバイス & エディションの要件

Windows サブスクリプションとライセンス:

organizationには、Windows Update for Business デプロイ サービスのライセンスを含む次のいずれかのサブスクリプションが必要です。

  • Windows 10/11 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれます)
  • Windows 10/11 Education A3 または A5 (Microsoft 365 A3 または A5 に含まれます)
  • Windows Virtual Desktop Access E3 または E5
  • Microsoft 365 Business Premium

サブスクリプションの詳細を確認して、Windows 11への適用性を確認します

WUfB-DS を必要とする機能の新しいポリシーを作成するときにブロックされ、Enterprise Agreement (EA) を介して WUfB を使用するためのライセンスを取得する場合は、Microsoft アカウント チームやライセンスを販売したパートナーなどのライセンスのソースに問い合わせてください。 アカウント チームまたはパートナーは、テナントのライセンスが WUfB-DS ライセンス要件を満たしていることを確認できます。 「既存の EA でサブスクリプションのアクティブ化を有効にする」を参照してください。

Windows エディション:

ドライバーの更新プログラムは、次のWindows 10/11 エディションでサポートされています。

  • Pro
  • 大企業
  • 教育
  • Pro for Workstations

注:

サポートされていないバージョンとエディション:
Windows 10/11 Enterprise LTSC: [品質更新プログラム] の [機能更新プログラム]、[ドライバーの更新プログラム]、[優先品質更新プログラム] ポリシー ([Windows 10 以降] ブレードで利用可能) は、長期サービス チャネル (LTSC) リリースをサポートしていません。 Intuneでの更新リング ポリシーの使用を計画します。

デバイスは、次の条件を満たす必要があります

  • 引き続きサポートされる Windows 10/11 のバージョンを実行する。

  • Intune MDM に登録し、Hybrid AD に参加するか、Microsoft Entra参加させます。

  • テレメトリを有効にし、Windows ドキュメントの「Windows 診断データ収集の変更」で定義されている Basic の最小データ レベルを報告するように構成します。

    次のいずれかのIntuneデバイス構成プロファイル パスを使用して、Windows 10またはWindows 11 デバイスのテレメトリを構成できます。

    • デバイス制限テンプレート: このプロファイルで、[ 使用状況データの共有][必須] に設定します。 オプション もサポートされています。
    • 設定カタログ: [設定] カタログから、[システム] カテゴリから [テレメトリを許可する] を追加し、[基本] に設定します。 Full もサポートされています。

    Windows の現在の設定オプションと過去の設定オプションの両方を含む、Windows テレメトリ設定の詳細については、Windows ドキュメントの 「Windows 診断データ収集の変更 」を参照してください。

  • [Microsoft アカウント サインイン アシスタント] (wlidsvc) を実行できる必要があります。 このサービスがブロックされているか [無効] に設定されている場合、更新プログラムの受信に失敗します。 詳細については、「他の更新プログラムは提供されるが、機能更新プログラムは提供されない」を参照してください。 既定では、サービスは [手動 (トリガー開始)] に設定されており、必要なときに実行できます。

  • Intuneマネージド デバイスで必要なネットワーク エンドポイントにアクセスできます。 「ネットワーク エンドポイント」を参照してください。

レポートのデータ収集を有効にする

Windows ドライバー更新プログラムのレポートをサポートするには、Intuneで Windows 診断データの使用を有効にする必要があります。 Windows 機能更新プログラムや迅速品質更新プログラム レポートなど、他のレポートに対して診断データが既に有効になっている可能性があります。 Windows 診断データの使用を有効にするには:

  1. Microsoft Intune管理センターにサインインし、[テナント管理>コネクタとトークン>Windows データ] に移動します。

  2. [Windows データ] を展開し、[プロセッサ構成で Windows 診断データを必要とする機能を有効にする] 設定が [オン] に切り替えられます。

詳細については、「Intuneによる Windows 診断データの使用を有効にする」を参照してください。

GCC の高いサポート

ドライバー UpdatesのIntune ポリシーは、GCC High 環境では現在サポートされていません。

RBAC の要件

Windows ドライバーの更新プログラムを管理するには、次のアクセス許可を含むIntuneロールベースのアクセス制御 (RBAC) ロールがアカウントに割り当てられている必要があります。

  • デバイス構成:
    • Assign
    • 作成する
    • 削除
    • レポートの表示
    • Update
    • 読み取り

1 つ以上の権限を持つ デバイス構成 アクセス許可を独自のカスタム RBAC ロールに追加することも、これらの権限を含む組み込みの ポリシーおよびプロファイル マネージャー ロールを使用することもできます。

詳細については、「Microsoft Intuneのロールベースのアクセス制御」を参照してください。

Workplace 参加済みデバイスの制限事項

Windows 10 以降のドライバー更新プログラムのIntuneポリシーでは、Windows Update for Business (WUfB) と Windows Update for Business 展開サービス (WUfB ds) の使用が必要です。 WUfB が WPJ デバイスをサポートする場合、WUfB ds は WPJ デバイスでサポートされていないその他の機能を提供します。

Intune Windows Update ポリシーに関する WPJ の制限事項の詳細については、「Windows 10の管理」の「Workplace 参加済みデバイスのポリシーの制限事項および「Intuneのソフトウェア更新プログラムをWindows 11する」を参照してください。

アーキテクチャ

Windows ドライバー更新プログラム管理の概念図。

Windows ドライバー更新プログラム管理アーキテクチャ:

  1. Microsoft Intuneでは、WUfB-DS へのデバイスのMicrosoft Entra ID とIntune ポリシー設定が提供されます。 Intuneでは、ドライバーの承認と一時停止コマンドの一覧も WUfB-DS に提供されます。
  2. WUfB-DS は、Intuneによって提供される情報に基づいて Windows Updatesを構成します。 Windows Updatesでは、デバイス ID ごとに該当するドライバー更新プログラム インベントリが提供されます。
  3. デバイスから Microsoft にデータが送信されるため、Windows Updateは、定期的なWindows Updateスキャン中にデバイスに適用されるドライバーの更新プログラムを特定できます。 承認された更新プログラムは、デバイスにインストールされます。
  4. WUfB-DS は、Windows 診断データをレポートのIntuneに報告します。

ドライバーの更新プログラムを計画する

ポリシーを作成し、ポリシーのドライバーの承認を管理する前に、ドライバーとファームウェアの更新プログラムを承認できるチーム メンバーを含むドライバー更新プログラムの展開計画を構築することをお勧めします。 考慮すべき対象は次のとおりです。

  • 自動ドライバー承認を使用する場合と手動ドライバーの承認を使用する場合。

  • すべてのデバイスにこれらの更新プログラムを広範にインストールする前に、デバイスのグループをテストするための新しいドライバー更新プログラムのインストールを制限するために、ドライバー更新ポリシーの展開リングを使用します。 このアプローチにより、チームは、更新プログラムを広範にデプロイする前に、早期リングで潜在的な問題を特定できます。 リングを使用すると、後続のリングで面倒な更新を一時停止して、その展開を遅延または防止する時間を提供できます。 リングの組織アプローチの例を次に示します。

    • 組織のユニットに合わせて、または両方の組み合わせで、さまざまなデバイスとハードウェア モデルのドライバー更新ポリシーを構成します。

    • 自動更新にポリシー遅延期間を使用し、手動で承認された更新プログラムの 利用可能日 を使用して、品質および機能更新プログラムのスケジュールを更新リングに合わせます。

    また、手動で承認された更新プログラムの更新の可用性を、Microsoft の Patch Tuesday リリースのような一般的な更新サイクルと一致するように設定することもできます。 スケジュールの調整は、一部のドライバー更新プログラムで必要な追加のシステム再起動を減らすのに役立ちます。

  • デバイスを 1 つのドライバー更新ポリシーにのみ割り当てて、デバイスが複数のポリシーでドライバーを管理できないようにします。 これは、別のポリシーで同じ更新プログラムを拒否または一時停止したときに、1 つのポリシーによってドライバーがインストールされないようにするのに役立ちます。 展開の計画の詳細については、Windows 展開のドキュメントの「展開計画のCreate」を参照してください。

よく寄せられる質問

ドライバー更新プログラムのポリシーは割り当てフィルターをサポートしていますか?

  • その必要はありません。 ドライバー Updatesは、割り当てフィルターでは現在サポートされていません。

Autopilot 中にドライバー更新プログラム ポリシーを適用できますか?

  • その必要はありません。 現時点では、ドライバー Updatesはオートパイロット中はサポートされていません。

ポリシーを使用してドライバーの更新プログラムをロールバックできますか?

  • いいえ。 WUfB は現在、ドライバーのロールバックをサポートしていません。 ロールバックはスクリプト化できますが、潜在的な変数が多すぎて、これを行うための便利なサンプル スクリプトを提供できません。 ドライバーを削除する必要がある場合は、PowerShell などの手動の方法を検討してください。

多数のデバイスからドライバーをロールバックする必要がある問題を回避するには、 展開リング を使用して、ドライバーのインストールをデバイスの小規模な初期グループに制限します。 この方法では、ドライバーをorganization全体に広く展開する前に、ドライバーの成功または互換性を評価する時間を確保できます。

  • 手動承認を持つポリシーの場合は、各ドライバーをデバイスに展開する前に、各ドライバーを確認して手動で承認する必要があります。 自動承認を持つポリシーよりも作業が多くなりますが、手動承認は、自動的に承認されたドライバーの問題を回避するのに役立ちます。
  • 自動承認でポリシーを使用する場合は、問題の早期兆候がないかポリシーを監視することを計画します。 ドライバー更新プログラムの問題が早期展開リングで特定された場合は、他のポリシーで同じ更新プログラムを一時停止できます。

複数のドライバー更新ポリシーを使用してデバイスを管理できますか?

  • デバイスごとに複数のポリシーを使用することはサポートされていますが、お勧めしません。 代わりに、デバイスのドライバーが承認されているかどうかに関する混乱を避けるために、デバイスを 1 つのポリシーに追加することをお勧めします。

    2 つのポリシーからドライバーの更新プログラムを受け取るデバイスについて考えてみましょう。 1 つのポリシーでは、特定の更新プログラムが承認され、もう一方のポリシーではその更新が一時停止されます。 承認された状態は常に優先されるため、他のポリシーで設定されているその更新プログラムの他の状態にもかかわらず、ドライバーはデバイスにインストールされます。

ドライバーの更新プログラムを受け取るデバイスの再起動を減らすにはどうすればよいですか?

  • OEM が新しい更新プログラムをリリースするとき、またはその更新プログラムで再起動が必要な場合は、常に明確になるとは限らないので、定期的な更新プログラム レビューのパターンを検討してください。

    • 手動承認を持つポリシーの場合、ドライバーを承認し、 承認可能な日付を設定するときに、その日付を毎月のパッチ火曜日などのイベント、または任意の時間に設定できます。
    • 自動承認のポリシーの場合は、新しく追加したポリシーを一時停止してから、承認に戻ることができます。 一時停止されている更新プログラムを再び実行する場合は、 承認の利用可能な日付を設定できます。

    この種の定期的な課題を軽減するために、 パッチ火曜日 の更新プログラムを使用してドライバーの更新プログラムを手動で調整する必要性を軽減できる変更を評価しています。

ポリシーで使用可能なドライバーの一覧からドライバーが消えたのはなぜですか?

  • OEM がドライバーを新しい推奨ドライバーに置き換えると、古いドライバーを [その他のドライバー ] カテゴリに移動できます。 ただし、古いドライバーがすべてのデバイスで使用されているドライバーと同じバージョンまたは古い場合、ドライバー更新プログラム ポリシーを使用してインストールできるデバイスがないため、そのドライバーはポリシーから完全に削除されます。

ポリシーのドライバー一覧から古いドライバーを削除操作方法

  • 使用可能なドライバーの一覧が最新であることを確認するために、ポリシーの対象となるすべてのデバイスに既にインストールされているドライバーよりも古いバージョンのドライバーは適用されなくなりました。 これらの古いドライバーは、以前に展開されたポリシーとアクティブなポリシーのドライバーの一覧から削除されます。 ポリシーの対象となるデバイスに現在インストールされているドライバーのバージョンを更新できるドライバーのみが、ポリシーで使用できます。

    デバイスに既に存在するバージョンよりも古いバージョンのドライバーをインストールすることは、ドライバーの更新管理では不可能です。

WUfB-DS の同期頻度は何ですか?

  • WUfB-DS 同期へのIntuneは毎日実行され、[同期] オプションを使用して必要に応じて同期を実行できます。 同期を完了するまでの時間は、関連するデバイス情報によって異なりますが、通常は完了するまでに数分かかります。

    デバイスが Windows Update スキャンを実行すると、デバイスは WUfB-DS サービスと毎日同期されます。

管理できるドライバーは何ですか?

  • 現在Windows Updateに発行され、ポリシー内の 1 つ以上のデバイスに適用できるドライバー更新プログラムは、ドライバー更新プログラム ポリシーを通じて利用できます。

パスワードロックされている BIOS を更新するドライバーはどうですか? これはどのように機能しますか?

  • Windows Updateに発行されたUpdatesには、BIOS/UEFI のロック解除を必要とせずにファームウェアまたはドライバーを安全に更新できる Windows メカニズムを使用する必要があります。

ベンダーがドライバーとファームウェアの更新プログラムをスキャンしてインストールするための独自のアプリを持っている場合、アプリと WUfB-DS の間で更新プログラムの可用性に遅延がありますか?

  • 遅延の可能性は、更新プログラムの可用性を決定するベンダーまたは OEM によって異なります。 ドライバーの更新プログラムは、Windows Updatesに公開される前に同じポータルによってデジタル署名されているため、ベンダー ツールを介して使用できるようになる前に、Windows Updateを通じてドライバーの更新プログラムが利用できるようになる可能性があります。

更新プログラム ポリシーを通過しなかったドライバー更新プログラムがデバイスにインストールされているのはなぜですか?

  • これらは、メイン ドライバーのインストールまたは更新時にメイン ドライバーが参照できる "サブ ドライバー" である拡張ドライバーの可能性があります。 拡張機能ドライバーは、インストールされているドライバーまたはデバイスの更新履歴に表示されますが、直接管理することはできません。 拡張機能ドライバーは基本ドライバーなしでは機能しないため、インストールを許可しても安全です。

一時停止された更新プログラムが実際に一時停止されるのはいつまでですか?

  • 一時停止はベスト エフォートであり、更新が一時停止されると、WUfB-DS によって承認が削除されます。 ただし、次に更新プログラムをスキャンするまで、更新プログラムが一時停止されていることをデバイスは認識しません。
    • デバイスがまだ更新プログラムをスキャンしていない場合、一時停止された更新プログラムは提供されません。 一時停止 は期待どおりに機能します。
    • デバイスが更新プログラムをスキャンし、更新プログラムが一時停止されていること、およびデバイスがダウンロード、インストール、または再起動を待機中であることを検出した場合、デバイス上のWindows Updateは、そのドライバー更新プログラムのインストールを削除するための "ベスト エフォート" を試みます。 インストールを停止できない場合は、更新プログラムのインストールが完了します。
    • 次に更新プログラムをスキャンする前に更新プログラムのインストールが完了した場合、何も起こらないので、更新プログラムはインストールされたままです。

利用可能なドライバーの詳細はどこで確認できますか?

  • ドライバーの詳細については、名前をコピーし、catalog.update.microsoft.com Web サイトを検索します。

ドライバー更新プログラム ポリシーはプラグイン デバイスのドライバーを更新しますか?

  • はい。ドライバーの更新プログラムが OEM ベンダーによってWindows Updateに発行された場合。

デバイス ユーザーに表示できるドライバーの更新プログラムはどれですか?

  • デバイスがドライバー更新ポリシーに割り当てられた後、オプションのドライバーはエンド ユーザーに表示されません。 管理者がドライバーの更新プログラムを承認すると、実質的に "必須" になり、次回デバイスが更新プログラムをスキャンするときにインストールされます。

現在更新プログラムにConfiguration Managerを使用している場合は、ドライバー管理を使用操作方法。

ドライバー以外の更新プログラムには引き続きConfiguration Managerを使用することも、一度に 1 つずつIntuneで他の更新プログラムの種類をクラウド管理に移行することもできます。 これを行うには、まず、Configuration Manager階層でクラウド接続または共同管理を有効にして、マネージド デバイスをIntuneに登録します。

クラウドベースの更新プログラムを受け入れるための推奨および推奨されるパスは、Windows Update ワークロードをIntuneに移動することです。 organizationの準備ができていない場合は、次の手順を実行して、ワークロードを移動することなく、Intuneでドライバーとファームウェアの管理機能を使用できます。

  1. Windows Update ワークロードは Configuration Manager のままにします。

  2. Intuneでドライバー ポリシーを構成して、デバイスを登録し、「Microsoft Intuneを使用して Windows ドライバー更新プログラムのポリシーを管理する」で詳しく説明されているように、デバイスを管理する準備を整えます。

  3. [Windows Updates ポリシーの特定のクラスのソースを指定する] を使用して、Windows Updateをドライバー Updatesのソースとして構成するようにドメイン ベースのグループ ポリシーを構成します

    注:

    Configuration Managerはローカル グループ ポリシーを使用して更新ソース ポリシーを構成するため、Intuneまたは CSP を使用してこれらの同じ設定を構成しようとすると、デバイスの状態が未定義で予測不能になります。

  4. ドライバーとファームウェアを展開するデバイスのIntuneでデータ収集を有効にします。

  5. [省略可能]ポリシーを使用して診断データの送信を許可することを強制します。 Microsoft への診断データの送信により、Microsoft IntuneのWindows Update レポートを使用できます。

    注:

    既定では、Windows デバイスでは Microsoft への診断データの送信が許可されます。 診断データ収集を無効にすると、Microsoft IntuneのWindows Update レポートを使用して、管理対象デバイスの更新情報がレポートされなくなります。

    ドメイン ベースのグループ ポリシーまたはIntuneを使用して、[診断データの許可] 設定を [省略可能] または [必須] に構成します。 このタスクを完了する方法の詳細については、次のページを参照してください。

  6. [省略可能]診断データでデバイス名の収集を有効にします。 ドメイン ベースのグループ ポリシーまたはIntuneを使用した構成の詳細については、「診断データの要件」を参照してください。

    注:

    Intuneを使用して前述の診断データ設定を構成するには、Device Configuration 共同管理ワークロードをIntuneに移動する必要があります。

Intuneで機能更新ポリシーを構成し、[Windows Updates ポリシー グループ ポリシーの特定のクラスのソースを指定する] を使用して、[機能Updates] 設定をWindows Updateに設定することで、Intuneで機能更新管理をクラウドに移動できます。

品質または機能UpdatesのIntuneで更新リング ポリシーを使用するには、Windows Update ワークロードをIntuneに移動する必要があります。

ドライバーの期限を設定する方法はありますか?

  • 品質更新プログラムの期限と猶予期間の設定は、ドライバーに適用されます。 期限は、ドライバーが最初にデバイスに提供された時刻から始まりますが、延期期間ではありません。 更新プログラムがデバイスに最初に提供されるときの遅延期間の遅延。

更新リング ポリシーのユーザー エクスペリエンス設定は、ドライバーの更新プログラムに適用されますか?

  • はい。自動更新動作、アクティブ時間、通知などのユーザー エクスペリエンス設定も、ドライバーの更新にも適用されます。

ドライバーの更新インベントリが返されるまでに最大 24 時間かかるのはなぜですか?

  • ドライバー インベントリを使用できるようにするには、いくつかの手順を完了する必要があります。 最も重要なのは、ポリシーが送信され、デバイスが管理に登録された後、Windows Updatesは、各デバイスが更新プログラムの毎日のスキャンを実行するまで待機する必要があるということです。 このプロセスは毎日行われるため、すべての正常なデバイスがチェックされるまでに最大 24 時間かかることがあります。 その後、Intuneスキャンの結果を処理して、使用可能なドライバー更新プログラムのインベントリを提供する必要があります。

次の手順