更新プログラム機能のご利用方法


こんにちは。Windows Intune Support の及川です。

 

多くのお客様からお問い合わせをいただく Windows Intune 更新プログラムの管理機能についてご紹介いたします。本ブログ記事では、更新プログラムの管理機能をご利用いただくために必要な概要情報 5 点をご案内いたします。

 

概要情報

=======

a) ~ c) は全ての方にご確認いただきたい情報です。

a) 更新プログラム管理機能の概要

 

b) 更新プログラムの承認規則機能

 

c) 更新プログラム用ポリシー、承認期限を使用した再起動要の更新プログラムの扱い

 

d) と、 e) は、運用に合わせ、ご利用をご検討いただきたい機能の情報です。

d) ポリシーの即時適用方法

 

e) 展開済みの更新プログラムの抑制方法

 

 

a) 更新プログラム管理機能の概要

———————————-

まず始めに、更新プログラム管理を始めるには、管理コンソールにて、どの製品、どのような種類の更新プログラムを管理するかを選択していただく必要があります。その設定を基に、Windows Intune はマイクロソフトのマイクロソフト アップデート カタログより、最新の更新プログラム情報をダウンロードします。

 

管理対象の更新プログラムを選択、管理するには以下の手順をご確認ください。

<手順>

1) 管理対象の更新プログラムの選択方法

Windows Intune 管理コンソール https://admin.manage.microsoft.com

– 左メニュー [管理]

– [更新プログラム]

   – 「サービスの設定:更新] 画面

    – 「製品カテゴリ」にて管理対象の製品を選択します。

    – 「更新プログラムの分類」にて、どのような種類の更新プログラムを展開するかを確認の上、選択します。

 

 

– 画面右下の「保存」ボタンをクリックします。

 

※ マイクロソフトが推奨する更新プログラムの分類項目について

Windows Intune からは最低限、[セキュリティ問題の修正プログラム]、[重要な更新]、[更新]、[Service Pack]、および可能であれば [定義更新プログラム] を適用いただくことを推奨しています。

 

各更新プログラムの分類については、以下、マイクロソフトの情報サイトでご案内しております定義をご参照いただきますようお願いいたします。

 

※ 参考情報

[更新プログラムの概要]

「更新プログラムの製品とクラス」

http://technet.microsoft.com/ja-jp/library/cc708478(v=ws.10).aspx

 

 

また、よくお問い合わせをいただく、Internet Explorer のバージョン アップ用の更新プログラムを制御するための手順に関しては、以下のブログをご参照ください。

 

※ 参考情報

[【重要】Windows Intune で IE の自動アップグレードを制御する方法]

http://blogs.technet.com/b/jpintune/archive/2013/04/30/intune-ie-10.aspx

 

 

2) 管理対象の更新プログラムの確認方法

上記 1) で管理対象となった更新プログラムをリストで確認します。 弊社では毎月第 2 週水曜 (米国時間火曜) に月例更新プログラムをリリースします。リリース後、本リストにて最新の更新プログラムをご確認いただくことが可能になります。

 

<手順>

Windows Intune 管理コンソール

– 左メニュー [更新プログラム]

– [すべての更新プログラム]

 

 

 

b) 更新プログラムの承認規則機能

———————————-

上記 a) の設定確認後、Windows Intune の管理対象となった更新プログラムを、Intune から管理対象の端末へ展開するには、各更新プログラムを承認する必要があります。Windows Intune では手動、または自動承認規則を使用し、更新プログラムを承認します。 承認後、更新プログラムは展開対象のデバイスへ展開されます。お客様の運用に合わせ、各更新プログラムを手動、または自動で承認するかをご検討ください。以下より、更新プログラムの手動と、自動での承認の方法をご案内します。

 

<手順>

1) 手動での承認方法

展開する更新プログラムを 1 つずつ確認し、承認する場合、手動にて更新プログラムを承認します。

 

Windows Intune 管理コンソール

– 左メニュー [更新プログラム]

– [すべての更新プログラム]

– 承認対象の更新プログラムを選択します。

– メニュー バー「承認」ボタンをクリックします。

  – ウィザードが表示されます。

    [グループの選択]タブにて、左ウィンドウより

    「すべてのデバイス」、またはデバイス グループを選択し、

    「追加」ボタンをクリックし、右ウィンドウ[選択したグループ]ウィンドウに移動します。

    

  – 「次へ」ボタンをクリックします。

  

  – [展開アクション] タブにて、画面中央を確認します。

    [承認]列にて、「必須のインストール」を選択します。

    [期限」列にて、任意の期限を選択します。

    

  – 「完了」ボタンをクリックします。   

  

[更新プログラム]に戻り、承認を行った更新プログラムを確認し、

[承認済み]列にて、「はい」のステータスが表示されているかを確認します。

承認された更新プログラムは、ポリシーで設定されたスケジュール時間に対象端末へ インストールされます。

 

 

2) 自動での承認方法

Windows Intune 自動承認規則機能にて、更新プログラムを一括承認することができます。

 

Windows Intune 管理コンソール

左メニュー ツリー – [管理]

– 更新プログラム

– [自動承認規則]

 

 

   – [新規作成] ボタンをクリックします。

    – [全般] タブ 「名前」項目に自動承認規則名を設定します。

     [次へ] ボタンをクリックします。

    – [製品カテゴリ] タブにて、自動承認規則を適用する製品を全て選択します。

     [次へ] ボタンをクリックします。

    – [更新の分類] タブにて、自動承認規則を適用する更新プログラムを選択します。

     [次へ] ボタンをクリックします。

    – [展開] タブにて、自動承認規則を適用する対象グループを選択します。

     [次へ] ボタンをクリックします。

    – [サマリー] タブにて、作成した自動承認規則の内容を確認します。

     [完了] ボタンをクリックします。

  

※ 通常、新しい自動承認規則は今後リリースされる更新プログラムに適用されますが、 既存の更新プログラムを自動承認するには、[新規作成] ボタンの並びにある、 [選択項目の実行] ボタンをクリックします。 その後、[保存] ボタンをクリックすることで自動承認規則が適用されます。

 

しかし、自動承認規則機能を使用しても承認済みステータスにならない更新プログラムがございます。これらの更新プログラムは、管理者が手動で使用許諾書の同意を行う必要があります。

 

 

c) 更新プログラム用ポリシー、承認期限を使用した再起動要の更新プログラムの扱い

——————————————————————————

更新プログラムは、対象端末へダウンロード、インストールされた後、再起動が必要/不要なものがあります。Windows Intune では「更新プログラム用のポリシー」と「承認機能」を組み合わせ、これら再起動必要/不要となる更新プログラムを展開します。

 

本項目では、再起動を必要となる更新プログラムを中心にご案内をいたします。

1) 再起動を必要となる更新プログラムの扱い

再起動が必要となる更新プログラムについては、インストール後、どのように再起動を促すか、または強制再起動が行われないようにするかを Windows Intune 管理コンソールで定義する必要があります。

 

展開に必要となる、「更新プログラム用のポリシー」と「承認機能」の設定方法に関する詳細は以下のブログをご参照ください。

 

[再起動が必要な更新プログラムの適用方法]

http://blogs.technet.com/b/jpintune/archive/2013/12/27/3619331.aspx

 

 

上記のブログ情報を基に再起動が必要な更新プログラムを展開した際、

OS 毎にインストール後の再起動メッセージの表示状態が異なります。Windows 7 と Windows 8 (8.1) の違いについて、以下をご参照ください。

 

Windows 7

************

スケジュールされた日時に更新プログラムがインストールされた 10 分後に、Windows Update から再起動を促すメッセージが表示されます。「今すぐ再起動」、または「後で再起動」を選択いただくことができます。

 

 

Windows 8、8.1

***************

スケジュールされた日時に更新プログラムがインストールされた後、Windows Intune、Windows Update から再起動を促すメッセージは一切表示されません。

 

このため、特別な設定(高速スタートアップ)なしで、運用にて定期的にユーザーに、再起動、シャットダウンを行っていただくことで、 更新プログラムのインストールを完了することができます。つきまして、テストにて「更新プログラム用のポリシー」と「承認機能」機能をご検証の上、運用方法を決定してください。

 

 

2) 再起動が不要な更新プログラムの扱い

再起動が不要な更新プログラムも、「更新プログラム用のポリシー」と「承認機能」にて展開が行われます。再起動が不要な更新プログラムについて、任意に設定を行える機能は、「更新プログラム用のポリシー」のみです。

 

通常、更新プログラムは、更新プログラム用のポリシーで設定したスケジュール日時、または承認機能の承認期限を基にインストールが行われます。しかし、再起動が不要な更新プログラムを承認後、対象端末へインストールを許可する場合、ポリシーにて 「Windows を中断しない更新プログラムの即時インストールを許可する」をオンにし、適用します。

 

<手順>

Windows Intune 管理コンソール

左メニュー ツリー – [ポリシー]

– [すべてのポリシー]

– 「Windows Intune エージェントの設定~」を選択し、ダブルクリックします。

– [更新プログラム]タブを選択します。

– 「Windows を中断しない更新プログラムの即時インストールを許可する」をオンにします。

– 画面右下の「保存」ボタンをクリックします。

 

上記の設定により、通常、ポリシー (更新プログラムおよびアプリケーションの自動検出頻度(時間))で設定している、8 時間以内に対象端末にてダウンロード、インストールが行われます。

 

 

d) ポリシーの即時適用方法 (リモート タスク)

—————————————

Windows Intune 管理コンソールにて変更を行ったポリシーや、承認済みの更新プログラムは、最低 8 時間毎に管理対象の端末へ適用されます。しかし、管理コンソールにて変更した値を即時に対象端末へ反映をさせたい場合、下記の手順にて、即時にポリシーや更新プログラム承認情報を対象端末へ反映させることができます。

 

<手順>

Windows Intune 管理コンソール

左メニュー ツリー – [グループ]

– [すべてのデバイス]

 – 対象のデバイスを選択し、右クリックにて「ポリシーの更新」ボタンをクリックします。

 

この処理がリモート タスクとして画面右下のリモート タスクへ移ります。

「X リモート タスク」をクリックし、対象の端末でのタスクの「状態」が「完了」になりましたら、ポリシーが更新されたと認識いただけます。

 

 

※ 本リモート タスクはコンピューターのみに展開でき、モバイル デバイスへ展開することはできません。

 

 

e) 展開済みの更新プログラムの抑制方法

—————————————-

万が一、展開済みの更新プログラムの展開を一時停止させたい事態が発生した場合、本項目の情報をご参照ください。展開済みの更新プログラムを抑制するには、更新プログラムの展開対象となっているデバイス グループを除外していただく必要があります。展開対象のデバイス グループを除外していくには、各更新プログラムの展開状態が「はい」になっているものを確認しながら、デバイス グループを戻していく作業が必要になります。 なお、こちらは一括で設定を変更することができず、各更新プログラム点で設定をご変更いただく必要がありますので、ご留意ください。

 

<手順>

Windows Intune 管理コンソール https://admin.manage.microsoft.com

左メニュー ツリー – [更新プログラム]

– [すべての更新プログラム ]

  

– 表示画面、左から 4 列目の「承認済み」タイトルをクリックし、

   表示項目を昇順降順に揃えます。 「承認済み」ステータスが「はい」になっている更新プログラムを表示します。

  

– 「承認済み」ステータスが「はい」の更新プログラムの一つを選択し、    メニュー バー上の「承認」ボタンをクリックします。

   

– 新しい画面にて、「グループの選択」タブが表示されます。

   2 つのウィンドウが表示されていますが、右側の「選択したグループ」にて 選択しているデバイス グループ (例: すべてのデバイスなど) を中央の「削除」ボタンを使用し、左ウィンドウへ戻します。

   

   画面右下、「次へ」ボタンをクリックします。

  

– 「削除しますか?」を示すメッセージが表示されます。

   「はい」ボタンを選択します。

   

– 「展開アクション」タブにて、「完了」ボタンをクリックします。

 

– 「すべての更新プログラム」にて、上記手順までの処理を行った更新プログラムを探し、「承認済み」列のステータスが「いいえ」になっていることを確認します。

 

 

 

上記の情報を基に、更新プログラムの管理、展開方法をご検討、テストいただいた上で、各管理対象の端末へ更新プログラムを展開してください。

 

Skip to main content