IT管理者によるWindows Updateの制御方法:Computer Weekly製品ガイド
クラウドサービスのおかげで、Windows 10を常に最新の状態に保つという管理者にとっての重要な仕事がやりやすくなった。
Windows管理の在り方が変わりつつある。目指す方向性はMicrosoftが言う「現代的な管理」であり、その鍵を握る複数の要素がある。
まず、クラウドベースのデプロイメントとプロビジョニングが挙げられる。これはシステムイメージではなく設定がベースとなる。2番目のID管理と認証は、「Office 365」に使われている「Azure Active Directory」(Azure AD)か、オンプレミスの「Active Directory」とAzure ADの組み合わせを利用する。第3の要素は設定と構成に関するもので、これはグループポリシーではなくモバイル端末管理(MDM)を通じて行う。
関連記事
- Windows 10のアップデート対策で最もやってはいけないこと
- 優先度高いWindows 10移行と低いDaaS/シンクラ導入意向
- あなたがWindows 10(Sモード)を真剣に検討すべき理由
- WindowsマシンをChromebookにする「CloudReady」の挑戦
- 消費者協会がWindows 10アップグレード戦略に激怒、Microsoftの回答は?
グループポリシーは消滅するわけではなく、依然としてきめ細かいコントロール機能を提供する。だがMDMには効率が良く、Windows端末と非Windows端末を管理でき、Active Directoryに依存しないといったメリットがある。
更新管理
Windows管理の鍵を握る側面のうち、「Windows 10」への移行によって最も大きな影響を受けるのがWindowsの更新管理だ。これをうまくやることの重要性は極めて高い。
更新プログラムを適用しないPCはセキュリティリスクと化し、Windowsに加わった新機能をユーザーに提供しなければ生産性に影響が出かねない。半面、更新プログラムの配信を急ぎ過ぎると重要なアプリケーションとの互換性に悪影響が出る恐れがある。
Windows 10は、約3年ごとのバージョンアップに代わって、新機能を盛り込んだ更新プログラムが定期的に(現時点では年に2回)配信されるようになった。
例外として、「長期的なサービスチャネル(Long-Term Servicing Channel:LTSC)」は更新プログラムを適用するタイミングを管理者がコントロールでき、またコントロールしなければならない。
Quality Updateはセキュリティ問題や不具合を修正するもので、新機能は追加されない。Feature Updateでは、機能の追加や変更、場合によっては削除が行われる。
Microsoftが導入したサービスチャネルの概念では、それぞれのサービスチャネルがFeature Updateの成熟度を反映する。「半期チャネル(Semi-Annual Channel:SAC)」は一般ユーザー向けの通常チャネルで、半年ごとに機能が更新され、設定によって遅らせることもできる。
Microsoftはさらに、慎重姿勢を取るチャネルのSAC(旧「Current Branch for Business」)と、ユーザーに新機能をいち早く紹介する「SAC(ターゲット指定)」(旧「Current Branch」)を区別することもある。
この文脈の「ターゲット指定」には、互換性問題の早期発見のため、限られた数のユーザーにのみ配信するという意味がある。「Windows Insider」は新機能を最も早くリリースするプレビューチャネルで、テストとフィードバックを目的とする。
「ターゲット指定」の言葉は今も目にすることがあるが、必ずしもSACとSAC(ターゲット指定)を区別するものではない。SACに延期が組み込まれている点を除けば、この2つは基本的には同じものだ。
Microsoftはターゲット指定をなくす意向だが、限られた数のユーザーに先行配信することを引き続き推奨している。ブログの中でMicrosoftのジョン・ウィルコックス氏はこう記した。「リリースが公開され次第、組織内でターゲット指定導入を開始し、最初のサービスリングに導入して検証する。まず特定の端末に対象を絞り、広範な導入を行っても安全だと判断したら組織内の全端末を更新する」
Windows管理者は、Feature Updateの導入を最長365日、Quality Updateは最長30日延期できる。エンドポイントセキュリティのための定義更新プログラムは延期できない。Windows 10の本番リリースは、最初のリリース後少なくとも18カ月間、セキュリティ更新プログラムによるサポートの対象となる。
EnterpriseおよびEducationエディションについては、10月のリリース(1809以降)は30カ月間サポートされる。ただしLTSCはWindows as a Serviceではないことから例外となる。LTSCではQuality Updateのみが配信され、Feature Updateは配信されない。
これまでのところ、LTSCには1507、1607、1809の少なくとも3つのリリースが存在する(数字は各リリースの年と月を表す)。LTSCリリースは、少なくとも10年間、Quality Updateのサポート対象となる。
Windows 10更新の3つの方法
Windows 10の更新を管理する方法は3つある。「Windows Server Update Services」(WSUS)は、ドメイン参加したPCのWindows 10をオンプレミスで一元的に管理でき、更新を延期できるWindows 10のオプションを利用できる。
「System Center Configuration Manager」(SCCM)はWSUSの全機能に加え、帯域幅と導入時刻の管理ができる。
3番目の選択肢の「Windows Update for Business」の場合、更新プログラムはMicrosoftから直接配信されるが(P2Pデリバリーによって高速化される)、管理者によるコントロールが可能だ。
Windows Update for Businessはグループポリシー、SCCM、WSUSとの連携、あるいは「Intune」で管理できる。Windows Update for BusinessはWindows 10 1511で最初に導入され、その後のエディションで機能が強化された。例えば1809には、ユーザーによる更新プログラム適用の中断を防止できるオプションがある。
Intuneを使ったUpdate for Business管理のメリット
IntuneはMicrosoftが提供するクラウドベースの端末管理製品で、現在のIntuneは「Intune Classic」とも呼ばれる最初のバージョンとは異なる。
Intune Classicはモバイル端末ではなくPC向けで、グループポリシーをベースとしていた。Windows 7や1607以前のWindows 10は今もIntune Classicを必要とする。
対照的に、現在のIntuneはPCとモバイル端末を管理できる。Azure ADに依存し、端末の登録は手作業で行う方法(ユーザーが自分のPCに業務用のAzure ADアカウントを追加する)と、PCがAzure ADに参加している場合に自動的に行う方法がある。
「ハイブリッドAzure AD」は、ドメイン参加サーバにインストールされたIntune Connectorコンポーネント経由で、Active DirectoryとAzure ADの両方に参加する。
Intuneを使った更新管理はWindows 10の更新リングをベースとする。更新リングはコンピュータやユーザーのグループに割り当てられた設定で、特定の更新チャネルをベースにして通常は半期チャネルか半期チャネル(ターゲット指定)のいずれかを割り当てる。Windows管理者がWindows Insiderチャネルを設定することもできる。
更新リングを設定することで、Windows管理者はQuality UpdateとFeature Updateの両方について延期する期間を指定できる。
最も慎重を期すポリシーは、半期チャネルをベースにFeature Updateを365日間延期できる。
Microsoft製品やWindowsドライバ、ユーザーエクスペリエンス設定などの更新プログラムを含めるかどうかも、積極姿勢(ユーザーの同意なしの自動インストールと再起動)からユーザーの完全コントロール(ダウンロードを通知)まで、管理者が設定できる。
更新プログラムのインストールを完了するために必要な再起動を、ユーザーがいつまで延期できるかをコントロールすることも可能だ。
Windows管理者はまた、更新プログラムがインストールされないアクティブ時間を設定したり、PCを再起動する前にバッテリー残量をチェックしたりするかどうかを設定することもできる。
IntuneはWSUSやSCCMに比べ、Windows更新の設定がはるかにやりやすい。何よりも、サーバのインストールや設定をする必要がない。
更新ポリシーは比較的単純で、端末のコンプライアンスチェックを組み込むこともできる。
更新プログラムのコンプライアンスをAzureでモニター
いずれの更新手段を選んだとしても、管理者は「Microsoft Azure」で端末を「Windows Analytics」に登録することによってコンプライアンスをチェックできる。この設定には幾つかの手順がある。まずAzureにログ分析のワークスペースを作成する。次に更新プログラムのコンプライアンスのリソースを作成して、それをログ分析のワークスペースに追加する。最後に更新プログラムコンプライアンス監視ツールから個別のCommercial IDキーをコピーして、導入スクリプトかグループポリシーを使ってそれをコンピュータに導入する。
このキーによってMicrosoftに指示を出し、登録したコンピュータからWindows管理者のログ分析ワークスペースにテレメトリーを送信させる。更新プログラムのコンプライアンスでは、少なくともベーシックなテレメトリーをWindows 10端末で有効にする必要がある。
現代の更新管理
Microsoftはまだ、Intune MDMのアプローチを組織の全PCに推奨するには至っていない。デスクトップPCや、既にドメインに参加している端末については、今もSCCMを使った従来型の管理が通常の方法とされる。一方で、ノートPCや私物端末の業務利用(BYOD)または従業員が端末を選ぶChoose Your Own Device(CYOD)で導入されたコンピュータ、あるいはスモールビジネスの場合は、Intune MDMが最も理にかなう。
全般的な方向性がAzure ADやクラウドベース管理に向かっているのは間違いない。System CenterがIntuneを経由してMDMをコントロールする旧式なハイブリッドMDMのアプローチは、段階的に廃止される。
Microsoftの説明によると、「2019年9月1日以降、残るハイブリッドMDM端末にはポリシー、アプリケーション、セキュリティ更新プログラムが配信されなくなる」。
そうした端末はIntuneに移行させる必要がある。
時として手違いが生じることはあっても、モダンなツールを使って更新プログラムを慎重に管理し、更新プログラムを延期できる機能を活用すれば、そうした問題は回避でき、あらゆる規模の企業にとって管理が容易になる。
Copyright © ITmedia, Inc. All Rights Reserved.