2025年版Windows Autopatchの実装
WSUSが非推奨になる中、Intuneを利用した更新プログラム管理は注目を浴びています。
そのIntuneを利用した更新プログラム管理方法のひとつにWindows Autopatchというのがあります。更新プログラムの展開に関わる設定をIntune経由で行うときに、その設定を自動的に行ってくれるものです。2022年のこの投稿でその方法を解説しましたが、ホントに全自動な感じでした。
ところがこの仕様が変わってしまい、これって自動なの?って感じになっているので、色々な疑問を解き明かすべく一緒に見ていきましょう。
事前設定
最近のIntuneはIntuneのライセンスだけ持っていても利用できない機能が色々あります。
Windows Autopatchもそのひとつです。Windows AutopatchはMicrosoft 365 E3などに含まれるWindows E3ライセンスが必要になるので、そのライセンスを持っている場合は「持ってます」宣言が必要になります。設定はIntune管理センターの以下のメニューからどうぞ。
テナント管理 > コネクタとトークン > Windows データ
それができたらWindows Autopatchそのものの有効化をしましょう。設定はIntune管理センターの以下のメニューからどうぞ。
テナント管理 > Windows Autopatch
自動パッチグループ
Windows Autopatchは更新プログラムを適用する単位をグループ化して運用します。
そのため、デバイス > 更新プログラムの管理 > Windowsの更新プログラム から [自動パッチグループ] をクリックして開始します。
自動パッチグループの作成ウィザードでは更新リングを自分で必要な数だけ作成します。
以前は4つまたは5つと決まっていましたが、今度のAutopatchでは好きなだけ更新リングを作成し、分割して更新プログラムの適用ができるようになっています。
上の画面ではそれぞれの更新リングを利用するグループを指定していますが (HQ-Frist, HQ-Second と書かれている部分) これだと、どのリングにどのメンバーが配属されるかは固定されます。それに対して下の画面では [ダイナミックグループ配布] というのを使ってグループを指定しています。
この方法ではすべてのリングの中からどのリングに配属されるかはAutopatchの設定により自動的に決定されます。下の画面ではRing1に10%、Ring2に90%という振り分けを設定していますので、それに合わせてグループのメンバーが自動的に配属されるようになります。
こっちの設定のほうがいままでのAutopatchっぽい動きですね。ウィザードを進めるとそれぞれのリングで設定される更新プログラム適用の延期期間と
ドライバー更新プログラム適用の手動・自動や延期期間がそれぞれ確認・編集できます。
これでウィザードを最後まで進めれば更新リングとそのメンバーが構成され、その設定に基づくパッチ適用の運用がスタートするようになるのです。
なんでこんな面倒な実装になったの?
ここから先は私の完全な憶測です。
更新リングを複数作って、みんながバラバラなタイミングで更新プログラムを適用したいと思って始めたAutopatchですが、そもそもやりたいことはインターネット回線への負荷を軽減することです。下の図のように事業所ごとにインターネット回線が別々になっているのであれば、それぞれの事業所ごとに更新リングの設計をしなければならないのです。そうしないとRing1に特定の事業所に配置されたデバイスばかりが集中してしまう可能性があるからです。
このような構成に合わせて事業所Aの更新リング群と事業所Bの更新リング群、、のように設計できるようAutopatchではすべてを勝手に作ってしまうのではなく、私たちに更新リング群を作らせるような実装方法に変更したのではないかと思います。
