Windows 品質更新プログラムのポリシーを迅速化する

迅速化ポリシーを使用すると、Microsoft Intuneで管理するデバイスへの特定の Windows セキュリティ更新プログラムのインストールを高速化できます。 迅速な更新プログラムは、既存の月次更新ポリシーを一時停止または変更することなく、遅延設定と通常の展開タイミングをバイパスして、できるだけ早くインストールします。

迅速なポリシーを使用して、標準の更新プロセスで更新プログラムがすぐにデプロイされない場合に、重大なセキュリティの脆弱性をすばやく軽減できます。 迅速化ポリシーは、対象となる期限付きシナリオ用に設計されており、将来の品質更新プログラムの展開方法は変更されません。

すべての更新プログラムが迅速化の対象となるわけではありません。 迅速化できるのは、サポートされている Windows セキュリティ更新プログラムのみです。 定期的な毎月の品質更新プログラムを管理するには、更新リングや Windows 品質更新プログラム ポリシーなどの標準的なWindows Updateメカニズムを引き続き使用します。

開始する前に

正常性ツールの更新

24H2 より前の Windows バージョンの場合、迅速な更新プログラムをサポートするには、デバイスで Update Health Tools が必要です。 ツールは、 KB4023057 または Microsoft ダウンロード センターから手動でインストールできます。

デバイス上に Update Health Tools が存在することを確認するには:

• フォルダー C:\Program Files\Microsoft Update Health Tools を探すか、[サービス] または [Microsoft Update Health Tools のプログラムの追加] を確認します。
• 管理 (または Intune から) として、次の PowerShell スクリプトを実行します。

### Check for the Microsoft Update Health Service; if found, no remediation is needed.
if (Get-Service -Name "Microsoft Update Health Service" -ErrorAction SilentlyContinue) {
    Write-Host "Microsoft Update Health Service is present."
    Exit 0
} else {
    Write-Host "Microsoft Update Health Service is missing."
    Exit 1
}

スクリプトが 1を返す場合、デバイスには UHS クライアントがあります。 スクリプトから 0が返された場合、デバイスには UHS クライアントがありません。

迅速な更新プログラムのしくみ

迅速なポリシーを作成する場合は、サポートされている 1 つの Windows セキュリティ更新プログラムを選択して展開します。 更新プログラムはリリース日によって識別されます。これにより、バージョン固有のポリシーを作成することなく、サポートされている複数の Windows バージョンに対して 1 つのポリシーを適用できます。

ポリシーが割り当てられた後、Windows Updateは対象となる各デバイスを評価して、適用性を判断します。 評価では、デバイスの現在のビルド、アーキテクチャ、更新状態を考慮し、Windows Update必要に応じて適切なバージョンの更新プログラムを提供します。

更新プログラムを必要とするデバイスのみが受け取ります。

• 既に同じ更新プログラムまたは新しい適用可能な更新プログラムを持っているデバイスは、迅速な更新プログラムを受け取りません。

• 以前のビルド上のデバイスの場合、Windows Updateは、インストール前に更新プログラムが適用されたままであることを確認します。

  重要

  一部のシナリオでは、Windows Updateは、迅速ポリシーで指定された更新プログラムよりも新しい更新プログラムをインストールする場合があります。 この動作により、デバイスは適用可能な最新のセキュリティ更新プログラムを確実に受け取ります。 詳細については、「適用される最新の更新プログラムのインストールについて」を参照してください。

デバイスが次の更新スキャンを完了し、サービスと通信した後、迅速な更新プログラムのインストールが開始されます。 インストールの開始に必要な時間は、デバイス接続、スキャンタイミング、サービス処理などの要因によって異なる場合があります。

再起動が必要な場合は、適用前にユーザーがデバイスを再起動する必要がある期間を定義する再起動期限を構成できます。 ユーザーは、すぐに再起動したり、再起動のスケジュールを設定したり、Windows でアクティブ時間外の時間を選択したりできます。 通知は、保留中の再起動と期限をユーザーに通知します。

期限前にデバイスが再起動しない場合は、稼働時間中に再起動が発生する可能性があります。 詳細については、「 更新プログラムのコンプライアンス期限の適用」を参照してください。

迅速化ポリシーは、今後の品質更新プログラムの展開方法に影響しません。 継続的な月次サービスを管理するには、更新リング ポリシーまたは Windows 品質更新プログラム ポリシーとその期限設定を使用します。

迅速な品質更新プログラムを作成して割り当てる

1. Microsoft Intune管理センターで、[デバイス>Windows Updates] を選択します。

2. [ 品質更新プログラム] を選択します。

3. [ 作成>Expedite ポリシー] を選択します。

4. [設定]で、このプロファイルを識別するための次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。
   • [ 優先する品質更新プログラムを選択する ] ドロップダウン リストから、迅速化する更新プログラムを選択します。 リストには、迅速化できる更新プログラムのみが含まれます。

   ヒント

   省略可能な Windows 品質更新プログラムは迅速化できないため、使用できません。

   更新プログラムを選択する場合:

   • 更新プログラムは、リリース日で識別され、ポリシーごとに選択できる更新プログラムは 1 つだけです。
   • 名前に文字 B が含まれている更新プログラムは、"月例パッチ" イベントの一部としてリリースされた更新プログラムであることを示します。 文字 B は、更新プログラムが月の第 2 火曜日にリリースされたことを示します。
   • 火曜日のパッチから帯域外にリリースされる Windows のセキュリティ更新プログラムを迅速化できます。 帯域外パッチ リリースには、文字 B ではなく別の識別子が含まれます。
   • 更新プログラムが展開されると、Windows Updateは、ポリシーを受け取る各デバイスが、そのデバイス アーキテクチャとその現在の Windows バージョン (バージョン 24H2、25H2 など) に適用される更新プログラムのバージョンをインストールするようにします。

   セキュリティ以外の迅速Updates: 以前の B/Security リリース後の品質修正が含まれています。 管理者は、延期期間を待たずに、デバイスに適用できる最新の品質更新プログラムのインストールを迅速に行うことができます。

   • SecurityUpdate という単語を使用しないUpdatesは、セキュリティ更新プログラムではないことを示します。 名前に文字 D を含むUpdatesは、最新のパッチ火曜日のセキュリティ週間以降にリリースされた更新プログラムを識別します。 2024.01 OOB Update (帯域外 パッチ リリース) も表示される場合があります。 Windows の月次更新プログラムの説明

   • セキュリティ以外の更新プログラムは、最新のリリースの場合にのみ表示されます。 ドロップダウン リストが更新され、最新の 2 つのセキュリティ更新プログラム (1 つが帯域外の更新プログラムの場合など) が表示されます。 最新のセキュリティ以外の更新プログラムが最新のセキュリティ更新プログラムよりも新しい場合は、セキュリティ以外の更新プログラムもドロップダウン リストに含まれます。 その結果、場合によっては 2 つの更新プログラムが表示され、それ以外の場合は 3 つの更新プログラムが表示されます。

     ヒント

     詳細については、ブログ「Windows Update サービスの間隔 - Microsoft Tech Community」を参照してください。

   • セキュリティ以外の迅速な更新プログラムは、Windows 11デバイスに適用されます。 Windows 10デバイスが D リリースを設定する Expedite ポリシーに割り当てられている場合、それらのデバイスは迅速化されず、次のレポートにアラートが表示されます。

5. [ 設定] で、[ 再起動が必要な場合] を構成し、適用されるまでの日数を選択します。 この設定では、更新プログラムのインストール後、更新プログラムのインストールを完了するためにデバイスが自動的に再起動されるまでの期間を選択します。 0 日間から 2 日間までを選択できます。 期限前にデバイスが手動で再起動された場合、自動再起動は取り消されます。 更新に再起動が必要ない場合、この設定は適用されません。

   • [0 日間] の設定は、デバイスに更新プログラムがインストールされた直後に、ユーザーに再起動が通知され、ユーザーが作業を保存する時間が限られていることを意味します。

     重要

     このエクスペリエンスは、ユーザーの生産性に影響を与える危険性があります。 これは、可能な限りすばやく完了し、デバイスを再起動する必要があるデバイスまたは更新プログラムに対して使用することを検討してください。

   • 1 日または 2 日の設定により、デバイス ユーザーは強制的に再起動する前に柔軟に再起動を管理できます。 これらの設定は、更新プログラムがデバイスにインストールされてから自動再起動までの 24 時間または 48 時間の遅延に対応します。

6. [割り当て] で、[グループの追加] を選択し、ポリシーを割り当てるデバイスまたはユーザーのグループを選択します。

7. レビューと作成ページで、[作成] を選択します。 ポリシーが作成されると、割り当てられたグループに展開されます。

最新の適用可能な更新プログラムを特定する

更新プログラムを迅速化するポリシーによって、ポリシーで指定されているよりも新しい更新プログラムがインストールされるシナリオがいくつかあります。 このような結果は、新しい更新プログラムに、指定された更新プログラムが含まれており、その新しい更新プログラムが、指定された更新プログラムを上回るものであり、デバイスがチェックインして、迅速な更新プログラムのポリシーで指定された更新プログラムをインストールする前に利用できる場合に発生します。 このシナリオの詳細な例については、この記事で後ほど説明します。

最新の品質更新プログラムをインストールすると、目的の更新プログラムのベネフィットを適用しながら、デバイスとユーザーの中断を削減することができます。 これにより、それぞれに再起動する必要が生じる可能性のある複数の更新プログラムをインストールする必要がなくなります。

最新の更新プログラムは、次の条件が満たされた場合に展開されます。

• デバイスは、最新の更新プログラムのインストールをブロックする延期ポリシーの対象ではない。 この場合、インストールされる可能性がある更新プログラムは、延期されていない最新の更新プログラムです。

• 更新プログラムを迅速化するプロセスの実行中、デバイスでは、新しい更新プログラムを検出する新しいスキャンが実行されます。 これは、次のタイミングで発生する可能性があります。

  • インストールを完了するためにデバイスが再起動されるとき
  • デバイスで毎日のスキャンが実行されるとき
  • 新しい更新プログラムが利用可能になったとき

  スキャンで新しい更新プログラムが識別されると、Windows Update により、元の更新プログラムのインストールが停止され、再起動が取り消されて、最新の更新プログラムのダウンロードとインストールが開始されます。

更新プログラムの迅速化ポリシーは、ポリシーで指定されている更新プログラムのバージョンの更新プログラムの遅延をオーバーライドしますが、他の更新プログラム のバージョンに対して配置されている遅延はオーバーライドされません。

迅速な更新プログラムのインストールの例

次の一連のイベントでは、 Test-1 と Test-2 という名前の 2 つのデバイスが、デバイスに割り当てられている品質更新ポリシーに基づいて更新プログラムをインストールする方法の例を示します。

1. 毎月、Intune管理者は、月の第 4 火曜日に最新の Windows 品質更新プログラムを展開します。 これにより、月例パッチ イベントから更新プログラムが強制的にインストールされるまで 2 週間の期間が与えられ、管理者はその間に、環境内の更新プログラムを検証することができます。

2. 1 月 19 日、デバイス Test-1 と Test-2 は、1 月 12 日のパッチ火曜日リリースの最新の品質更新プログラムをインストールします。 翌日、どちらのデバイスも、それぞれ休暇で出かけるユーザーによって電源が切断されます。

3. 2 月 9 日、Intune管理者は、更新プログラムが解決する重大な脅威に対して会社のデバイスをセキュリティで保護するために、Windows 用のパッチのインストールを迅速化するポリシーを作成します。2025 年 2 月 25 日から 2025 年 2 月 2 日の B セキュリティ Updates。 この迅速化ポリシーは、Test-1 と Test-2 の両方を含むデバイスのグループに割り当てられます。 そのグループに含まれるアクティブなすべてのデバイスでは、迅速な更新プログラムのポリシーが受信され、更新プログラムがインストールされます。

4. 3 月 9 日のパッチ火曜日イベントでは、2025 年 3 月 9 日から 2025.03 B Security Updates for Windows として新しい品質更新プログラムがリリースされました。 この更新プログラムには、迅速な展開を必要とする重大な問題はありませんが、管理者は、競合の危険性があることを発見します。 発生するおそれのある問題を確認する時間を提供するために、管理者は Windows 更新リング ポリシーを使用して、7 日間の延期ポリシーを作成します。 すべてのマネージド デバイスでは、3 月 14 日まで、この更新プログラムをインストールできません。

5. ここで、それぞれが再度電源を入れられた Test-1 と Test-2 の次の結果について考えてみましょう。

   • Test-1 - 3 月 12 日、Test-1 は再度電源が入れられ、ネットワークに接続されて、迅速な更新プログラムの通知を受信します。

     1. Windows Update により、Test-1 では、依然としてポリシーごとに更新プログラムのインストールを迅速化する必要があると判断されます。
     2. 3 月 9 日の更新プログラムは、2 月の更新プログラムを置き換えるため、Windows Update により、3 月 9 日の更新プログラムをインストールできました。
     3. 3 月の更新プログラムのアクティブな延期は、3 月 14 日まで期限切れになりません。

     結果: 3 月の更新プログラムの延期ポリシーは依然としてアクティブのままであり、その更新プログラムのインストールはブロックされ、Device-1 では、ポリシーで構成されている 2 月の更新プログラムがインストールされます。

   • Test-2 - 3 月 20 日、Test-2 の電源が再度入れられ、ネットワークに接続されて、迅速な更新プログラムの通知が受信されます。

     1. Windows Update により、Test-2 では、依然としてポリシーごとに更新プログラムのインストールを迅速化する必要があると判断されます。
     2. 3 月 9 日の更新プログラムは、2 月の更新プログラムを置き換えるため、Windows Update により、3 月 9 日の更新プログラムをインストールできました。
     3. 3 月の更新プログラムの延期はアクティブではなくなります。

     結果: 3 月の更新プログラムの延期ポリシーは期限切れになり、Test-2 では、最新の 3 月の更新プログラムがインストールされます。2 月の更新プログラムはスキップされ、ポリシーで指定されたものより後の更新プログラムがインストールされます。

迅速なポリシーを管理する

1. Microsoft Intune管理センターで、[デバイス>Windows Updates] を選択します。
2. [ 品質更新プログラム ] タブを選択し、管理するポリシーを選択します。 ポリシーがその [概要] ウィンドウに表示されます。

このウィンドウから、次の作業を実行できます。

• ポリシーを Intune から削除するには、[削除] を選択します。 ポリシーを削除すると、Intuneから削除されますが、既にインストールが完了している場合、更新プログラムはアンインストールされません。 Windows Updateは進行中のインストールを取り消そうとしますが、進行中のインストールが正常に取り消されることを保証することはできません。
• [プロパティ] を選択して、その展開を変更します。 "[プロパティ]" ウィンドウで、[編集] を選択し、[設定]、[スコープ タグ]、または [割り当て] を開くと、展開を変更できます。

監視とレポート

迅速ポリシーを作成した後は、次のレポートから結果、更新状態、エラーを監視できます。 各タブを選択して、レポートの詳細を確認します。