WSUSからIntune、Autopatchへ Windows更新管理の最前線

多くのIT管理者を悩ませるWindowsの更新管理。WSUSを利用する企業も多いが、Microsoft IntuneやWindows Autopatchを使うと、より安心かつ効率的に運用できるようだ。

[阿久津良和，キーマンズネット]

　「Windows 10」や「Windows 11」では2021年下半期以降、年1回のFeature Update（機能更新プログラム）と毎月のQuality Update（品質更新プログラム）が提供される。Windows 10から加わった「Unified Update Platform」（統合更新プラットフォーム）によってダウンロードするパッケージサイズは縮小しているが、社内デバイスの更新管理がIT部門の負担になることに違いはない。

　本来は利便性や安全性が向上する品質更新プログラムだが、適用するとビジネスアプリケーションの動作に齟齬（そご）が生じるケースも多い。IT部門内で各更新プログラムの検証を終えてから「Windows Server Update Services」（WSUS）で配信を制御してきた企業も多いが、日本マイクロソフトは「Microsoft Intune」による更新管理を推奨している。

Microsoft Intuneによる更新管理の利点

　Microsoft Intuneや最新のWindowsにはさまざまな機能が実装され、更新管理における利点も多いようだ。

　日本マイクロソフトの有光宗一氏（Customer service＆Support FastTrack for Microsoft 365 Modern Endpoint Subject Matter Expert）によると、Microsoft Intuneの管理下にある「Windows 10」または「Windows 11」の「Enterprise」と「Windows Update for Business」（WUfB）を使用すれば、機能更新プログラムは最大365日、品質更新プログラムは最大30日（一時停止は最大35日）の延期が可能だという。

　2022年12月以降はOSバージョンの固定化が可能になり、機能更新プログラムの延長設定はOSサポート期限まで可能だ。品質更新プログラムは現在は延長設定がないが、指定された修正プログラムのバージョンより低いデバイスに対して、品質更新プログラムを適用する機能のみ利用でき、今後は機能が追加される予定だという。

　WSUSのように更新プログラムの配信を制御するにはWUfB展開サービスを利用する。WUfBの拡張設定を用いて、Microsoft Intuneに登録したWindowsデバイスにポリシーを適用し、あらかじめ定めた更新プログラムの取得したり、実行スケジュールに沿ってアップデートを実行したりといったことが可能だ。更新によって動作しなくなるアプリケーションがある場合、段階的に更新プログラムを適用できる。

　既知の問題が確認されたデバイスに対して、新しい更新プログラムの展開を一時停止するセーフガードホールドも適用できる。更新プログラムの適用に失敗してロールバックの発生やデータ消失、Windowsの主要な機能が利用できなくなるトラブルが報告されると、同じハードウェアおよびソフトウェア構成の環境へ、更新プログラムの適用を一時中断する機能だ。同社が安全だと判断した時点で自動更新が再び開始するため、IT管理者はWUfBレポートで管理デバイスの更新プログラム適用状況を定期的に確認するだけでよい。

　Windows 10やWindows 11は更新プログラムをP2P（ピアツーピア）形式で接続した他のクライアントや「Microsoft Connected Cache」（MCC）から取得する「配信の最適化」と呼ばれる機能を備える。Windows 10やWindows 11、「Microsoft Store」から取得したアプリケーション、「Microsoft 365 Apps」、Microsoft Intuneで配信設定した「Win32」アプリケーション、「Microsoft Edge」の各種更新プログラムなどを分割してハッシュ値を付与し、他のデバイスからデータを取得して外部ネットワーク帯域の占有を軽減する機能だ。有光氏によれば、これによりネットワーク帯域の消費は約70％軽減するという。

Windows Autopatchで更新の自動化も

　WUfBはIT部門が更新管理ツールの設定を施し、デバイスの選択や配信プログラムの承認、スケジュール設定を行うが、「Windows Autopatch」はWUfBの機能と登録したデバイスの更新ポリシーに応じて、Windows 10やWindows 11、「Microsoft 365 Apps for Enterprise」、Microsoft Edge、「Microsoft Teams」「OneDrive」などの更新を自動化するクラウドサービスだ。

　Windows Autopatchの特徴について日本マイクロソフトの柳田 力氏（Customer service＆Support FastTrack for Microsoft 365 Modern Endpoint Subject Matter Expert）は「Windows AutopatchはWUfBを使用し、顧客に変わってMicrosoftがアップデートを実行する。顧客はMicrosoftが蓄積した更新に関する知見をベネフィットとして得られる。また、更新に関する問題を未然に防ぐ」と説明した。

　Windows AutopatchはWUfBとWUfB展開サービスの技術を使用し、アップデートの成功に焦点を当てた専用エンジンで構成される。適用範囲はMicrosoft IntuneのMDM（モバイルデバイス管理）もしくは「Configuration Manager」の共同管理が有効なデバイスで、Windows 10または11の「Pro」「Pro for Workstations」、Enterpriseライセンスの一般提供チャネルおよびMicrosoft 365 Apps for Enterpriseの月次エンタープライズチャネルで配信する各更新プログラムだ。

　興味深いのは「Microsoft Azure」で動作する「Windows 365 Enterprise」も対象に含めている点だ。Windows Autopatchデバイス登録グループにクラウドPCを登録し、プロビジョニングポリシーでWindows Autopatchを追加サービスとして加えるだけのシンプルな操作で利用できる。柳田氏によれば、Windows Autopatchは特定のシグナルセットを監視し、品質更新プログラムを迅速かつ安全にリリースすることが目的で、Windowsの全てのユースケースを包括的に監視するわけではないという。テナント内の500台以上のデバイスの更新を監視するデバイスの信頼性シグナルに基づいて、何らかの問題が生じている場合はサービスレベルで一時停止する。担当者が問題を確認した場合の一時停止も可能だ。

　Windows Autopatchを利用するには「Azure AD Premium」やMicrosoft Intuneのライセンスが必要となり、大企業や中堅企業が対象になる。業務でWindowsを使用する企業はWindows Autopatchによる更新プログラム管理の簡素化は注目に値する。

本稿は、日本マイクロソフトが2023年3月7日に開催したオンラインイベント「Security Forum 2023 Online 社会全体のサイバーハイジーンをめざして」内のセッション「Windows 11+Intuneで更新管理をより楽に!」の内容を再構成した。