Microsoft Azure では Microsoft Intune を利用した MDM 管理にて Windows10 デバイスに向けた更新プログラムの配信管理を行うことができます。
更新プログラムの配信といっても、MDM 管理では特定のルールを端末に適用するといったグループポリシーのような使い方となり、WSUS を利用した場合の更新プログラム単位(KB)で選別して配信するといったような使い方ではなく、MDM 管理ではあくまで最新のプログラムを適用するよう強制するといったような運用が目的となるかと思います。(累積パッチ等の流れから今後考慮が必要なくなってくるのかもしれませんが、、)
今回は基本となる MDM 管理の更新プログラムリングについての内容となります。
Intuneの更新プログラムリングについて
更新プログラムリングとは、更新プログラムのポリシーを適用する展開グループの概念であり、これにより品質更新プログラム(セキュリティ系)を適用したり、特定のグループには機能アップデートの適用を遅らせたりといった方法をとることができます。
後述する各ポリシーを構成して作成した更新プログラムリングを端末へ割り当てを行うことでMDM管理による更新プログラムのデバイス管理を行うことができます。割り当ての単位はグループ単位となり、部署や拠点毎に分けたデバイスグループを作成することで目的に沿った更新プログラムポリシーを展開することができます。
更新プログラムリングの各構成
それでは、更新プログラムリングの各構成について簡単にご紹介します。
サービスチャネル
サービスチャネルは大きく分けて以下の分類があります。
- 半期チャネル (対象指定)
半期チャネル (対象指定)では、更新プログラムのリリースからすぐにアップデートを適用することができるチャネルになります。延期期間を指定した場合は、更新プログラムのリリース日から指定した日数の期間アップデートの適用を延期するように構成することができます。
- 半期チャネル
半期チャネルでは、更新プログラムのリリースから4ヶ月後にアップデートを適用することができるチャネルになります。延期期間を指定した場合は、更新プログラムのリリース日の4ヶ月後から指定した日数の期間アップデートの適用を延期するように構成することができます。
- Windows Insider Program
次回リリースされる機能について評価を行うことを目的としたサービスチャネルとなり、半期チャネル(メジャーバージョンのリリース)以前に更新プログラムを適用することができるチャネルとなります。
更新プログラムの許可
更新プログラムの許可に関する設定では、Microsoft 製品の更新プログラム と Windows ドライバーの更新プログラム の許可を行うかどうかを指定することができます。
Microsoft 製品の更新プログラムを許可した場合は更新プログラムのスキャンを行う動作となり、Windows ドライバーの更新プログラムを許可した場合は、Windows Update ドライバーを含める動作となります。
更新プログラムの延期期間
更新プログラムの延期期間では、品質/機能の更新プログラムの適用をリリースから指定した日数の期間で延期することができます。
品質更新プログラムはリリースから最大 30 日、機能更新プログラムではリリースから最大 180 日の間で指定することができます。
機能更新プログラムのアンインストール期間
機能更新プログラムのアンインストール期間を “2~60” 日の間で指定することができます。
自動更新の動作
自動更新の動作では、更新プログラムのダウンロード通知を行ったり、メンテナンス時間に自動的にインストールして再起動を行うよう構成することができます。
配信の最適化ダウンロード モード
配信の最適化ダウンロードモードでは、端末が Windows 更新プログラムをダウンロードするときに、Windows Update サーバーに加えて使用できるダウンロード ソースを指定することができます。
既定では、”HTTP と同じ NAT でのピアリングの組み合わせ” となっており、インターネットからの取得に加え、同一ネットワーク(同じグローバル IP を利用する範囲)でのピアからのダウンロードを行う動作となっています。
ピアを使用しないような設定や、細かいグループ分けを行ったピアソースの構成を行うこともできます。
更新プログラムの一時停止や以前のバージョンへのロールバック
Intune の管理コンソールから作成したリング単位で品質/機能更新プログラムの配信の一時停止や、更新プログラムのアンインストールを実行して以前のバージョンへのロールバックを行うこともできます。
オンプレミスとの同期環境での注意事項
オンプレミスの Active Directory から同期されたデバイスに対しても MDM ポリシーを適用することができますが、グループポリシー側でも Windows10 のグループポリシーテンプレートの追加により配信の最適化ポリシーを展開することができるので、同期環境の場合はどちらで管理するのかといった検討も必要になってきます。
また、更新プログラムをパッチ単位や分類で詳細に管理を行いたいという場合は、Windows Server Update Services サーバーとの連携や、System Center Configuration Manager などの連携が必要となってきます。