Windows Autopatchについて説明しよう

皆さんこんにちは。国井です。
2022年7月12日はWindows Autopatchによって更新プログラムが管理された、はじめての日です。そのせいか、やたらとWindows Autopatchに関する記事が出てきたんだけど、一方でその説明を読んでもよくわからないという意見も目にしました。
結局のところ、これなんだけど

image

せっかくなので自分なりの言葉でWindows Autopatchとは?を説明してみたいと思います。

更新リングとは

Windows Autopatchの話を理解するためには更新リングという存在を知らなければならないので、先にその話をさせてください。
Microsoft Intuneを利用して更新プログラムを管理する場合、更新リングと呼ばれるものを作って「どのPCに、いつ更新プログラムをインストールするか?」を制御します。
こちらの図を見てください。ちょっと古い図で申し訳ないんだけど、例えば機能更新プログラムをインストールする場合であれば、3月に更新プログラムがリリースされたらすぐにインストールするPCもあれば、ちょっと時間を置いてからインストールするPCもあると思います。
それはなぜかと言えば、いっぺんにインストールしたらトラブったときに大変だから。

image

ということでリングと呼ばれる設定を作って、

更新プログラムが提供されたらすぐにインストールする設定 (リング1)
4か月ぐらい様子を見てからインストールする設定(リング2)
5か月ぐらい様子を見てからインストールする設定(リング3)
6か月ぐらい様子を見てからインストールする設定(リング4)

のように、ちょっとずつ時期をずらしてインストールするような設定を行い、コンピューターごとに異なるリングを割り当ててあげれば分散して更新プログラムがインストールできます。

Windows Autopatchとは

ここまでのところで更新リングについてはわかっていただけたと思います。
そして次に課題になるのは「いつインストールするのがベストか?」だと思います。
これについては「皆さんの会社にとってベストなタイミングを見極めて実装してください」と答えになっていない答えを言い続けてきたわけです。
そこでWindows Autopatchではリングを勝手に作って、Intuneに登録されているデバイスを勝手にどこかのリングに割り当ててくれるのです。

実際の画面を見てみる

実際のIntune画面で見てみると、更新リング設定に4つのリングが勝手に作られていることがわかります。

image

画面が切れちゃっててわかりにくいんだけど、画面上から

Broad (広範)
Fast (高速)
First (第一)
Test (テスト)

の4つのリングが作られています。
そしてテストリングだと品質更新プログラムの延期期間は0日なのに対して、
広範リングだと品質更新プログラムの延期期間は9日になっていることがわかります。

一方、Windows Autopatchのデバイス一覧を見てみると、Intuneに登録されたデバイスの一覧とともにそれぞれのデバイスが第1、広範、高速のいずれかにカテゴリわけされていることがわかります。

image

これらのカテゴリわけはどこで行われているかというと、それぞれのリングに対応するAzure ADグループが作られて、そのグループにランダムにデバイスが振り分けられるようになっています。

image

Modern Workplace Devices-Windows Autopatch-Firstグループって第1リングに対応するグループなんだけど、デバイスAは他のPCに更新プログラムをインストールして問題ないことがわかってからインストールしたい。なんてことがあれば第1リングではなく、更新プログラムのインストールを9日間延期してくれる広範リングに割り当てたいというニーズがあるでしょう。そんなときはデバイスAをModern Workplace Devices-Windows Autopatch-Firstグループから削除し、Modern Workplace Devices-Windows Autopatch-Broadグループに追加すればよいのです。
一方、更新プログラムをインストールしたら問題が起きたから、他のコンピューターにインストールするのはちょっと待って!というときはテナント管理 > リリース管理から一時停止させることもできます。

image

機能更新プログラムの管理

機能更新プログラムについてはデバイス > Windows 10 以降向け機能更新プログラム から定義します。今だとWindows 10 21H2にするか、Windows 11 21H2にするか、などの選択肢があると思いますが、ご覧のようにWindows11, Test, First, Fast, Broadの5種類のポリシーが作ってあることがわかります。

image

それぞれのポリシーはグループとして前に出てきたModern Workplace Devices-Windows Autopatch-xxxxグループが割り当てられています。ちなみにWindows 11のポリシーにはModern Workplace – Windows 11 Pre-Release Test Devicesというグループが割り当てられているのですが、既定ではこのグループのメンバーになっているコンピューターはいないので、誰もWindows 11にはならないように設定してあります。

Microsoft 365 Appsの更新プログラム

Officeアプリケーションの更新プログラム管理は機能更新プログラム、品質更新プログラムとは別のメカニズムで動作します。既定ではMicrosoft 365 Appsをインストールするときに更新プログラムをインストールするタイミングについては定義するのですが、Windows AutopatchではIntuneの構成プロファイルを使ってカスタマイズされた設定が自動的に入るようになっています。

image

設定はOMA-URIを使って./Device/Vendor/MSFT/Policy/Config/Office365ProPlus~で始まる項目を定義し、各種設定をしているのですが、これについては長くなりそうなので別の機会で話をすることにします。

以上のようにWindows Autopatchを利用すると、今までは手動で設定しなければならなかった更新プログラム管理に関わる設定を勝手に行ってくれるようになる、というマネージドサービス的なものを提供してくれるのです。