Windows Update for Business 展開サービス

適用対象: Windows 10

Windows Update for Business 展開サービスは、Windows Update for Business 製品ファミリ内のクラウド サービスです。 Windows Update から配信される更新プログラムの承認、スケジュール設定、および保護を制御できます。 これは、既存の Windows Update for Business ポリシーと調和して動作するように設計されています。

展開サービスは、遅延ポリシーと展開リングを介して提供されるよりも多くの制御を探している IT プロ向けです。 次の機能を提供します。

  • 更新プログラムの展開を特定の日付に開始するスケジュールを設定できます (たとえば、2021 年 3 月 14 日に指定したデバイスに 20H2 を展開します)。
  • 豊富な式 (たとえば、2021 年 3 月 14 日から 1 日あたり 20H2 ~ 500 デバイスを展開する) を使用して、数日または数週間に渡って展開をステージできます。
  • 事前に構成された Windows Update for Business ポリシーをバイパスして、緊急時に組織全体にセキュリティ更新プログラムを直ちに展開できます。
  • 組織のハードウェアとソフトウェアを確実にカバーするために、独自のデバイスの母集団に合わせて調整された自動パイロットを使用して展開を利用できます。

このサービスはプライバシーに焦点を当て、業界の主要なコンプライアンス認定に裏付けされています。

動作のしくみ

展開サービスは、既存のデバイス ポリシーや更新コンプライアンスなど、既存の Windows Update for Business 機能 を補完します

次のテキストの要素

Windows Update for Business には、次の 3 つの要素があります。

  • 更新エクスペリエンスとタイミングを管理するクライアント ポリシー ( グループ ポリシーと CSP を通じて利用可能)
  • 特定の更新プログラムを承認およびスケジュールする展開サービス API (Microsoft Graph および関連する SDK (PowerShell を含む) を使用して利用できます。
  • 更新プログラムの展開を監視するコンプライアンスの更新 - Azure Marketplace から利用できる

既存のクライアント ポリシーとは異なり、展開サービスはデバイスを直接操作できません。 サービスはクラウドにネイティブであり、すべての操作はさまざまな Microsoft サービス間で行います。 管理ツール (Windows PowerShell などのスクリプト ツールを含む) と Windows Update サービスの間に直接通信チャネルを作成し、コンテンツの承認と提供を IT Pro によって直接制御できます。

次のテキストで説明するプロセス

通常、展開サービスの使用は、一般的なパターンに従います。

  1. IT Pro では、管理ツールを使用してデバイスを選択し、展開するコンテンツを承認します。 このツールには、PowerShell、Microsoft Graph アプリ、または Microsoft Endpoint Manager などのより完全な管理ソリューションがあります。
  2. 選択したツールは、承認、スケジュール、およびデバイス選択情報を展開サービスに伝達します。
  3. 展開サービスは、コンテンツの承認を処理し、それを以前に承認されたコンテンツと比較します。 最終的な更新プログラムの適用性が決定され、Windows Update に伝達され、次の更新プログラムの確認時に承認済みコンテンツがデバイスに提供されます。

展開サービスは、Microsoft Graph REST API を通じて これらの機能を公開します。 API は、Graph SDK を介して直接呼び出したり、Microsoft Endpoint Manager などの管理ツールと統合したりできます。

前提条件

展開サービスを使用するには、デバイスが次のすべての要件を満たしている必要があります。

  • Windows 10 バージョン 1709 以降を実行している
  • Azure Active Directory (AD) またはハイブリッド AD
  • 次の Windows 10 エディションのいずれかをインストールします。
    • Windows 10 Pro
    • Windows 10 Enterprise
    • Windows 10 Education
    • Windows 10 Pro Education
    • Windows 10 Pro for Workstations

さらに、組織には次のいずれかのサブスクリプションが必要です。

  • Windows 10 Enterprise E3 または E5 (Microsoft 365 F3、E3、または E5 に含まれる)
  • Windows 10 Education A3 または A5 (Microsoft 365 A3 または A5 に含まれる)
  • Windows 仮想デスクトップ アクセス E3 または E5
  • Microsoft 365 Business Premium

開始するには

展開サービスを使用するには、プラットフォーム上に構築された管理ツールを使用するか、PowerShell を使用して一般的なアクションをスクリプト化するか、独自のアプリケーションをビルドします。

Microsoft Endpoint Manager の使用

Microsoft Endpoint Manager は、展開サービスと統合して、Windows 10 の更新管理機能を提供します。 詳細については 、「Intune の Windows 10 機能更新プログラム ポリシー」を参照してください

PowerShell を使用した一般的なアクションのスクリプト作成

Microsoft Graph SDK には PowerShell 拡張機能が含まれています。この拡張機能を使用して、一般的な更新アクションのスクリプト作成と自動化を行うことができます。 詳細については 、「Microsoft Graph PowerShell SDK の使用を開始する」を参照してください

独自のアプリケーションの構築

Microsoft Graph を使用すると、展開サービス API を使用できます。 次のラーニング パスの使用を開始します。

Microsoft Graph の開発に慣れたら 、「Microsoft Graph の Windows 更新プログラム API の概要」を 参照してください。

展開保護

展開サービスは、展開を監視し、ロールアウト中の問題に対応するロールアウト コントロールと機械学習アルゴリズムを組み合わせて展開を保護します。

自動パイロットを使用してロールアウトをスケジュールする

展開サービスを使用すると、更新プログラムを数日または数週間の期間に展開できます。 更新プログラムがスケジュールされた後、展開サービスは、更新されるデバイスにまたがるスケジュール パラメーターと一意の属性に基づいて展開を最適化します。 サービスは、次の手順に従います。

  1. スケジュール パラメーターに基づいて、各展開ウェーブで更新するデバイスの数を決定します。
  2. パイロット デバイスの母集団として機能する、ハードウェアとソフトウェアの多様性を持つ以前の波を持つ各展開ウェーブのデバイスを選択します。
  3. 以前のウェーブへの展開を開始して、母集団に存在するデバイス属性のカバレッジを構築します。
  4. すべてのウェーブが完了し、すべてのデバイスが更新されるまで、均一な速度で展開を続行します。

この組み込みのパイロット機能は、既存のリング構造を補完し、更新中のリスクを軽減および管理するための別のサポートを提供します。 Desktop Analytics などのツールとは異なり、この機能は各リング内で動作することを意図しています。 展開サービスは、リング自体を作成するためのワークフローを提供します。

展開リングは、組織のサービス戦略の一部として引き続き使用する必要がありますが、段階的なロールアウトを使用して、スケジュールの利便性と各リング内の追加の保護を追加する必要があります。

ロールバックの問題を検出する展開の監視

機能更新プログラムの展開中に、ドライバーの組み合わせによって予期しない更新エラーが発生し、デバイスが以前にインストールされたオペレーティング システムのバージョンに戻る場合があります。 展開サービスは、このような問題についてデバイスを監視し、このような場合は自動的に展開を一時停止し、問題を検出して軽減する時間を与えます。

展開保護を有効にする方法

展開のスケジュール設定コントロールは常に使用できますが、組織に合わせた独自の展開保護を利用するには、デバイスが診断データを Microsoft と共有する必要があります。

デバイスの前提条件

注意

展開保護は現在プレビュー中で、更新コンプライアンスを使用している場合は利用できます。 これらのポリシーを更新コンプライアンスに登録されていないデバイスに設定した場合、影響はありません。

  • 診断データは必須または省略可能に**設定されています
  • AllowWUfBCloudProcessing ポリシーは 8 に設定されています

AllowWUfBCloudProcessing ポリシーを設定する

Windows Update for Business クラウド処理にデバイスを登録するには、モバイル デバイス管理 (MDM) ポリシーを使用して AllowWUfBCloudProcessing ポリシーを設定します。

注意

グループ ポリシーを使用してこのポリシーを設定する方法は現在サポートされていません。

ポリシー HKLM\Software の下のレジストリ キーを設定します。
WINDOWS 10 バージョン 1809 以降の MDM: ../Vendor/MSFT/ Policy/Config/System/AllowWUfBCloudProcessing \Microsoft\PolicyManager\default\System\AllowWUfBCloudProcessing

Microsoft Endpoint Manager を使用してポリシーを設定する例を次に示します。

  1. Microsoft Endpoint Manager 管理センター にサインインします
  2. [デバイス構成 > プロファイル] [ > プロファイルの作成] を選択します
  3. [プラットフォーム] で [Windows 10以降****] を選択**** し、[**** プロファイルの種類] で [テンプレート] を選択し、[テンプレート名] で [カスタム] を選択し、[作成] を選択します。 **** ****
  4. [ 基本] で、ポリシーのわかりやすい名前と説明を入力し、[次へ] を 選択します
  5. [ 構成設定] で、[追加] 選択し、次の設定を入力し、[保存] を 選択し、[次へ] を 選択します
    • 名前: AllowWUfBCloudProcessing
    • 説明: 説明を入力します。
    • OMA-URI: ./Vendor/MSFT/Policy/Config/System/AllowWUfBCloudProcessing
    • データ型: 整数
    • 値: 8
  6. [ 割り当て] で、プロファイルを受信するグループを選択し、[次へ] を 選択します
  7. [ 確認と作成] で設定を確認し、[作成] を 選択します
  8. (省略可能)ポリシーがクライアントに到達したと確認するには 、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager \default\System\AllowWUfBCloudProcessingの値を確認します。

ベスト プラクティス

サービスで最適な結果を得る場合は、次の提案に従います。

デバイスオンボーディング

  • サービスを管理する前に、デバイスがプロビジョニングを完了するまで待ちます。 デバイスが Autopilot によってプロビジョニングされている場合は、プロビジョニングが完了した後 (通常は 1 日) 展開サービスによってのみ管理できます。
  • 機能更新プログラムの延期ポリシーのない機能更新プログラムの管理には、展開サービスを使用します。 展開サービスを使用して、以前に機能更新プログラムの延期ポリシーを使用したデバイス上の機能更新プログラムを管理する場合は、機能更新プログラムの更新プログラムを管理する複数の条件を回避するために、機能更新プログラムの延期ポリシーを 0 日間に設定してください。 機能更新プログラムの遅延ポリシーの値は、デバイスがエラーなくサービスに登録されたと確認した後、0 日に変更する必要があります。

全般

異なるチャネルを使用して同じリソースを管理しないようにします。 microsoft Graph API または PowerShell と共に Microsoft エンドポイント マネージャー を使用すると、両方のチャネルを使用して同じリソースを管理する場合、リソースの側面 (デバイス、展開、更新可能なアセット グループなど) が上書きされる可能性があります。 代わりに、作成したチャネルを介して各リソースのみを管理します。

次の手順

展開サービスの詳細については、次の手順を実行します。