Microsoft Endpoint ManagerでWindows 10デバイスのWindows Updateを制限する

目次

・はじめに
・前提条件
・設定方法
・Tips

はじめに

こんにちは、パーソル プロセス&テクノロジーの永井です。

突然ですが、、、
組織で管理しているPCにて、ユーザーがWindows 10の機能更新を自由に適用できてしまう状況は以下のようなリスクがあります
・業務で使用するソフトが対応しておらず不具合が起きる、利用が出来なくなる
・最新のバージョンが脆弱性を含んでいてセキュリティリスクが高まる
・システムの要求スペックが上がっており起動に時間がかかる etc
このようなリスクは業務にダイレクトな影響があるので、最新のバージョンをすぐに適用するのではなく
アップデートを適用する前に一度検証をすることが一般的となります。

そこで今回はMicrosoft Endpoint Managerで提供されているWindows 10の機能更新プログラムをご紹介します。
本サービスはWindows10の機能更新を制限するものとなっており、先述のリスクを回避し組織での円滑なデバイス管理/運用を実現できます。
なお動作としては、Microsoft Endpoint Managerで設定した値をデバイスに渡し、
端末の処理にてローカルグループポリシー/レジストリに変更を加えるものとなります。
※現在(2021/1/20)この機能はプレビュー中となっておりSLAの対象外となるため、
 利用はユーザーの責任での利用が前提となっています。

前提条件

Microsoft Endpoint Managerを利用できる以下ライセンスを所持していること(2021/01/20現在)
Microsoft 365 E5
Microsoft 365 E3
Enterprise Mobility + Security E5
Enterprise Mobility + Security E3
Microsoft 365 Business Premium
Microsoft 365 F1
Microsoft 365 F3

対象デバイスがWindows 10 バージョン 1709 以降を実行していること

対象デバイスがIntune MDMへ登録されており、Hybrid AD/Azure AD に参加、登録されていること
参考:Microsoft Intune にデバイスを登録する

設定方法

 Microsoft Endpoint Manager 管理センターにて以下2点の設定が必要となります。
①デバイスの構成プロファイル(テレメトリ)
Windows 10 の機能更新プログラム

なお割当先のデバイスグループや各項目の詳細な設定値については、組織や条件により異なるので参考URLをご確認ください。

デバイスの構成プロファイル(テレメトリ)
メニューより[デバイス]→[構成プロファイル]→[プロファイルの作成]をクリック、
[プラットフォーム]は[Windows10以降]、[プロファイル]は[デバイスの制限]を選択し作成を開始します。
※既に適用先デバイスに対してプロファイルが作成されている場合は設定を変更することでも可です。

名前などを入力後、[基本構成]にて[レポートとテレメトリ]を開き、
[使用状況データの共有]で[基本]を設定します。

[確認および作成]にて構成設定の[使用状況データの共有]が[基本]となっていることを確認し作成します。

Windows 10 の機能更新プログラム
参考:Intune での Windows 10 機能更新プログラム ポリシー
メニューより[デバイス]→[Windows 10 の機能更新プログラム]→[プロファイルの作成]をクリックし作成を開始します。

名前などを入力後、[展開する機能更新プログラム] にて制限対象とするWindows 10のバージョンを選択します。
なお、ここで設定するバージョンが古いものだと、サポートを受けられない可能性があるのでサービスが終了していないバージョンを推奨します。
参考:Windows 10 リリース情報

[確認および作成]にて[機能展開設定]が対象のバージョンとなっていることを確認し作成します。


設定は以上で完了になります。
設定反映後、[デバイス]→[Windows 10 の機能更新プログラム]→[エンドユーザー更新状態]を開くことでデバイスの詳細な状態が閲覧可能です。
※デバイスへ値を渡し処理を行うため一定のタイムラグがあります。



Tips

デバイスにて変更される箇所の確認方法
・グループポリシーの確認
1.[ファイル名を指定して実行]を起動
2.[gpedit.msc]を入力し[OK]を選択
3.[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Update] > [Windows Update for Business] を選択
4.[ターゲット機能更新プログラムのバージョンを選択する]をダブルクリック

・レジストリの確認
※環境設定情報が登録されたデータベースです、レジストリエディタ上での操作にご注意ください
1.[ファイル名を指定して実行]を起動し
2.[regedit] を入力し[OK]を選択
3.HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdateに移動
3.以下の値を確認
TargetReleaseVersion
値 : 1
TargetReleaseVersionInfo
値 : 1803←設定したバージョン

エンドユーザー更新状態の表記について
最終スキャン時刻
→更新プログラムのチェックを行った時刻
最終チェックイン時刻
→結果をIntuneに渡した時刻

更新ステータスが
最新
→情報の取得に成功し、設定の反映が正常に行われている状態
失敗
→何らかの理由により更新プログラムのチェックもしくは更新情報の取得に失敗し、設定の反映が正常に行われていない状態

いいね (この記事が参考になった人の数:2)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください