Digital Trust Summit 2022 - イマドキの Windows の更新管理 ~ アップデートの仕組みから Windows Autopatch まで ~
25.4K Views
April 21, 23
スライド概要
Digital Trust Summit 2022 というイベントでお話ししました、Windows Update のセッションです。Windows が更新プログラムの仕組やそれを管理するためのインフラや最適化のための関連技術、そして最新の Windows Autopatch までを紹介していきます。
動画はこちらにあります
https://info.microsoft.com/JA-ZTF-VDEO-FY23-11Nov-02-Imadoki-s-Windows-Update-Management-From-How-Updates-Work-to-Windows-Autopatch-SRGCM8169_LP01-Registration---Form-in-Body.html
関連スライド
各ページのテキスト
#digitaltrust 2-4 イマドキの Windows の更新管理 ~ アップデートの仕組みから Windows Autopatch まで ~ 日本マイクロソフト株式会社 クラウド&ソリューション事業本部 太田 卓也
本セッションの位置づけ LV100 – 200 : 基本から概要紹介 「Windows の更新プログラムの管理」を ✓ 基本から知りたい方 ✓ 今一度復習をしたい方 ✓ 最新情報の 「概要」 を抑えておきたい方 25 分に “凝縮” してお話させていただきます!
イマドキの Windows の更新管理 ~ アップデートの仕組みから Windows Autopatch まで ~ 1. Windows の更新管理とは 2. Windows Update のしくみ 3. 更新を支える機能・インフラ 4. イマドキの更新管理 5. まとめ ~ Next Step 導入に向けて
サイバーセキュリティ・ベルカーブ Cybersecurity bell curve サイバーハイジーンの実現で 98 % の攻撃を防御する 脆弱性への対処の重要性はご存じの通り! 多要素認証の適用 最小権限ポリシー 最新環境の維持 アンチマルウェア 多要素認証の適用に よってクレデンシャルの 悪用を防ぐ。ゼロ トラ スト環境によってさらに 効果を高めることがで きる 攻撃の影響を低減す るために最小権限ポリ シーを採用する。さらに リスクベースの権限管 理に よ っ て デ ータ の 保 護と利用を実現する 最新状態にし、脆弱 性をなくすことで攻撃 を防ぐ。エンドポイント セキュリティソリューショ ンでいつも最新の状態 を維持する 従来のアンチマルウェア ソリューションに加えて、 クラウドベースのアンチ マルウェアソリューション を利用することで、効 果を上げる データ保護 全てのデータは把握し、 どこにあるか、誰がアク セスできるかなどを管 理する。データをいつで もコントロールできるよう な状態にしておく
Windows の更新プログラムの種類 機能 更新プログラム 品質 更新プログラム 年に 1 回 月に 1 回 Windows に新機能を 追加しバージョンアップする ※ セキュリティと既知の問題を 修正するプログラム ドライバー 更新プログラム Microsoft 製品 更新プログラム 不定期 不定期 製品による 更新プログラムの インストールを実行する コンポーネント自体の更新 使用しているデバイスに 適用される更新プログラム Office や Microsoft Edge などのその他の製品の更新 サービス スタック 更新プログラム ※ 問題や緊急性により、複数回リリースされる場合もあります
Windows の更新とサポート期間 年に 2 回から 変更されました! 年に 1 回の機能更新 月に 1 回の品質更新 年に 1 回の機能更新 月に 1 回の品質更新 サポート期間 サポート期間 Enterprise / Education : 30 ヵ月(秋) Enterprise / Education : 36 ヵ月 Pro / Home : 18 ヵ月 Pro / Home : 24 ヵ月 ライフサイクルに関する FAQ - Windows | Microsoft Docs https://docs.microsoft.com/ja-jp/lifecycle/faq/windows ※ 問題や緊急性により、複数回リリースされる場合もあります
アップデートは避けられない事実
イマドキの Windows の更新管理 ~ アップデートの仕組みから Windows Autopatch まで ~ 1. Windows の更新管理とは 2. Windows Update のしくみ 3. 更新を支える機能・インフラ 4. イマドキの更新管理 5. まとめ ~ Next Step 導入に向けて
やぁ僕は Window Update Orchestrator Windows OS のコンポーネントの 1 つだ
僕に与えられているミッションは 大きく分けて 4 つ、これを繰り返してる
② ダウンロード ③ インストール ④ コミット ① スキャン 新しい更新プログラムが出ていないか、 約 22 時間に 1 度 (既定) チェックをする
① スキャン ③ インストール ④ コミット ② ダウンロード もし新しい更新プログラムがあったなら、 ダウンロードの指示を出す
① スキャン ② ダウンロード ④ コミット ③ インストール ダウンロードが完了した後、 インストールができることをユーザーに通知する オプションによってはインストールもしておくよ
① スキャン ② ダウンロード ③ インストール ④ コミットト インストールしたモジュールの反映を行うために、 再起動を促す & もしくは実行するよ
僕の動作はグループ ポリシーや Microsoft Intune で変更できるよ グループ ポリシー! 構成プロファイル!
オンプレミス グループ ポリシー : Active Directory クラウド 構成プロファイル : Microsoft Intune
Microsoft Intune クラウド型 – モバイル デバイス/アプリ管理 (MDM/MAM) サービス モバイルデバイスの管理 (MAM) Windows 10/11 や iOS, Android を一元管理 管理下のデバイスに対する、ポリシーの一括設定や ワイプや端末の探索などのアクションが可能 アプリの管理 (MAM) 端末やユーザーに応じたアプリの配布・設定が可能 またアプリ保護ポリシー対応アプリであれば、 さらに厳密にセキュリティ設定を行うことがが可能 クラウドサービスとの連携 (アクセス制御等) Azure AD の条件付きアクセスと連携し、 管理されたデバイスやポリシーに準拠したデバイスのみ アクセス可能といったような制御が可能
WSUS アップデート場所の指定 ちなみに更新プログラムの スキャン・入手先も指定可能
Windows Update のしくみ – まとめ • Window OS のコンポーネントの 1 つが活躍 • 「スキャン」「ダウンロード」「インストール」「コミット」といった4 つの動作を繰り返している • 各動作はグループ ポリシーや Intune により変更が可能 • アップデートの接続先も指定することが可能
イマドキの Windows の更新管理 ~ アップデートの仕組みから Windows Autopatch まで ~ 1. Windows の更新管理とは 2. Windows Update のしくみ 3. 更新を支える機能・インフラ 4. イマドキの更新管理 5. まとめ ~ Next Step 導入に向けて
インフラ • • • • Windows Update Server Service Configuration Manager Windows Update Windows Update for Business レポート • • • • Windows Update Server Service Configuration Manager Microsoft Intune Update Compliance 負荷分散 • 配信グループ (リング) • ピアツーピア (P2P) • ネットワーク帯域制限
Windows Update の管理 オンプレミス Windows Update Server Service (WSUS) クラウド Windows Update (WU)
Windows Update Server Service (WSUS) Windows Update (WU) クラウド サービス インターネット上のサービスに接続 自動的に配信 Windows Update for Business による 配信タイミングの調整が可能
オンプレミス Configuration Manager (MECM) ◼ サーバー設置型の PC 管理製品 ◼ 別途 MECM 用ライセンスが必要 ◼ 配信動作に詳細な制御が可能 Windows Update Server Service (WSUS) ◼ Windows Server の標準機能 ◼ Windows Server 利用ライセンス ◼ 配信する更新プログラムを選択 クラウド Windows Update (WU) ◼ インターネット上のサービス ◼ 無償にて利用が可能 ◼ 常に最新にアップデート Windows Update for Business (WUfB) ◼ Windows Update を利用 ◼ 無償にて利用が可能 ◼ 管理者によって タイミングを制御 Windows Update for Business 展開サービス Windows Autopatch
Windows Update (WU) Windows Update for Business (WUfB) Windows Update Server Service (WSUS) Configuration Manager (MECM)
インフラ • • • • Windows Update Server Service Configuration Manager Windows Update Windows Update for Business レポート • • • • Windows Update Server Service Configuration Manager Microsoft Intune Update Compliance 負荷分散 • 配信グループ (リング) • ピアツーピア (P2P) • ネットワーク帯域制限
オンプレミス Windows Update Server Service (WSUS) Configuration Manager (MECM)
クラウド Microsoft Intune Windows Update for Business を Intune から 利用することにより、ステータスの確認が可能 Update Compliance Windows の Pro 以上で利用可能な、更新プロ グラムの適用状況の把握が可能なクラウド サービス
インフラ • • • • Windows Update Server Service Configuration Manager Windows Update Windows Update for Business レポート • • • • Windows Update Server Service Configuration Manager Microsoft Intune Update Compliance 負荷分散 • 配信グループ (リング) • ピアツーピア (P2P) • ネットワーク帯域制限
ネットワーク負荷分散・軽減機能 オンプレミス Microsoft Endpoint Configuration Manager 配信グループ (リング) YES ピア ツー ピア (P2P) YES ネットワーク帯域制限 YES コレクション BranchCache ピア キャッシュ BITS 配信の最適化 クラウド Windows Server Update Services YES YES YES グループ分け 配信の最適化 BranchCache BITS 配信の最適化 Windows Update NO YES YES 配信の最適化 BITS 配信の最適化 Windows Update for Business YES グループ分け YES 配信の最適化 YES BITS 配信の最適化
配信グループ分け グループを分けて配信 クライアントをいくつかのグループに分け 配信を段階的に行う テスト ダウンロードを行うクライアントの台数を制限するこ とで、ネットワーク圧迫のピークを分散させる グループ A 管理インフラ グループ B WUfB グループ ポリシー : OU などの AD のグループ Microsoft Intune : Azure AD のグループ WSUS WSUS コンソール上のコンピューターグループ MECM CM コンソール上でコレクションを作成 グループ C グループを分ける単位
ネットワーク負荷分散・軽減機能 オンプレミス Microsoft Endpoint Configuration Manager 配信グループ (リング) YES ピア ツー ピア (P2P) YES ネットワーク帯域制限 YES コレクション BranchCache ピア キャッシュ BITS 配信の最適化 クラウド Windows Server Update Services YES YES YES グループ分け 配信の最適化 BranchCache BITS 配信の最適化 Windows Update NO YES YES 配信の最適化 BITS 配信の最適化 Windows Update for Business YES グループ分け YES 配信の最適化 YES BITS 配信の最適化
ピア ツー ピアー (P2P) Windows Server Update Services ◼ BranchCache ◼ 配信の最適化 オンプレミス環境であれば BranchCache の使用が一般的 Microsoft Endpoint Configuration Manager ◼ BranchCache ◼ 配信の最適化 ◼ クライアントのピアキャッシュ クライアントのピアキャッシュにて、柔 軟な構成や条件の設定が可能 Windows Update Windows Update for Business ◼ 配信の最適化 Windows 10 以降では「配信の 最適化」 を利用するのが一般的
ネットワーク負荷分散・軽減機能 オンプレミス Microsoft Endpoint Configuration Manager 配信グループ (リング) YES ピア ツー ピア (P2P) YES ネットワーク帯域制限 YES コレクション BranchCache ピア キャッシュ BITS 配信の最適化 クラウド Windows Server Update Services YES YES YES グループ分け 配信の最適化 BranchCache BITS 配信の最適化 Windows Update NO YES YES 配信の最適化 BITS 配信の最適化 Windows Update for Business YES グループ分け YES 配信の最適化 YES BITS 配信の最適化
ネットワーク帯域制限 Windows Server Update Services ◼ BITS ◼ 配信の最適化 オンプレミス環境であれば BITS による帯域制限が一般的 Microsoft Endpoint Configuration Manager ◼ BITS ◼ サーバー側帯域制限など Configuration Manager にて、 より柔軟な構成や条件の設定が可能 Windows Update Windows Update for Business ◼ 配信の最適化 Windows 10 以降では「配信の 最適化」 を利用するのが一般的
「配信の最適化」 によるネットワーク制限とキャッシュ共有
3. 更新を支えるインフラ・機能 – まとめ インフラ • • • • Windows Update Server Service Configuration Manager Windows Update Windows Update for Business レポート • • • • Windows Update Server Service Configuration Manager Microsoft Intune Update Compliance 負荷分散 • 配信グループ (リング) • ピアツーピア (P2P) • ネットワーク帯域制限
イマドキの Windows の更新管理 ~ アップデートの仕組みから Windows Autopatch まで ~ 1. Windows の更新管理とは 2. Windows Update のしくみ 3. 更新を支える機能・インフラ 4. イマドキの更新管理 5. まとめ ~ Next Step 導入に向けて
オンプレミス Configuration Manager (MECM) ◼ サーバー設置型の PC 管理製品 ◼ 別途 MECM 用ライセンスが必要 ◼ 配信動作に詳細な制御が可能 Windows Update Server Service (WSUS) ◼ Windows Server の標準機能 ◼ Windows Server 利用ライセンス ◼ 配信する更新プログラムを選択 クラウド Windows Update (WU) ◼ インターネット上のサービス ◼ 無償にて利用が可能 ◼ 常に最新にアップデート Windows Update for Business (WUfB) ◼ Windows Update を利用 ◼ 無償にて利用が可能 ◼ 管理者によって タイミングを制御 Windows Update for Business 展開サービス Windows Autopatch
オンプレミス Configuration Manager (MECM) ◼ サーバー設置型の PC 管理製品 ◼ 別途 MECM 用ライセンスが必要 ◼ 配信動作に詳細な制御が可能 Windows Update Server Service (WSUS) ◼ Windows Server の標準機能 ◼ Windows Server 利用ライセンス ◼ 配信する更新プログラムを選択 クラウド Windows Update (WU) ◼ インターネット上のサービス ◼ 無償にて利用が可能 ◼ 常に最新にアップデート Windows Update for Business (WUfB) ◼ Windows Update を利用 ◼ 無償にて利用が可能 ◼ 管理者によって タイミングを制御 Windows Update for Business 展開サービス Windows Autopatch
Windows Update for Business (WUfB) Windows Update の自動更新タイミングの調整機能 Windows Update のタイミングを 管理者により遅延制御が可能 機能更新プログラムの設定 ◼ ◼ 延長設定 - 最大 365 日 プレリリース ビルドの利用 品質更新プログラムの延長設定 ◼ ◼ 延期設定 - 最大 30 日 一時停止 - 最大 35 日 グループ ポリシーによる設定 Microsoft Intune よる設定
オンプレミス Configuration Manager (MECM) ◼ サーバー設置型の PC 管理製品 ◼ 別途 MECM 用ライセンスが必要 ◼ 配信動作に詳細な制御が可能 Windows Update Server Service (WSUS) ◼ Windows Server の標準機能 ◼ Windows Server 利用ライセンス ◼ 配信する更新プログラムを選択 クラウド Windows Update (WU) ◼ インターネット上のサービス ◼ 無償にて利用が可能 ◼ 常に最新にアップデート Windows Update for Business (WUfB) ◼ Windows Update を利用 ◼ 無償にて利用が可能 ◼ 管理者によって タイミングを制御 Windows Update for Business 展開サービス Windows Autopatch
Windows Update for Business 展開サービス Windows Update for Business の拡張版で、 Windows Update から配信される更新プログラムの 承認、スケジュール、および保護に関する制御を提供 前提ライセンス 使用方法 一般的 Windows Update for Business 展開サービス - Windows Deployment | Microsoft Docs
オンプレミス Configuration Manager (MECM) ◼ サーバー設置型の PC 管理製品 ◼ 別途 MECM 用ライセンスが必要 ◼ 配信動作に詳細な制御が可能 Windows Update Server Service (WSUS) ◼ Windows Server の標準機能 ◼ Windows Server 利用ライセンス ◼ 配信する更新プログラムを選択 クラウド Windows Update (WU) ◼ インターネット上のサービス ◼ 無償にて利用が可能 ◼ 常に最新にアップデート Windows Update for Business (WUfB) ◼ Windows Update を利用 ◼ 無償にて利用が可能 ◼ 管理者によって タイミングを制御 Windows Update for Business 展開サービス Windows Autopatch
Microsoft にお任せください 最新の状態によるセキュリティ向上 新機能導入による生産性向上 自動化による IT 管理リソースの削減 Windows Autopatch Windows および Microsoft 365 の更新 プログラムの管理とロールアウトのプロセスを 自動化して、組織全体のセキュリティと 生産性を強化するためのサービス
Windows Autopatch Windows と Microsoft 365 のエコシステムを活用して、 アップデート展開を最適化し、常に最新の状態で提供する、 新たに設計されたサービス 前提ライセンス Windows Enterprise E3 ※ A3 / F3 は対象外 Microsoft Intune Azure AD Premium デバイスの前提条件 Azure AD 参加 or ハイブリッド Azure AD 参加 更新プログラム – 管理対象 Windows Microsoft 365 Apps Microsoft Edge Microsoft Teams
最新化と その状態の維持を 簡単に 希少な IT リソースの関与を 最小限に抑えることができます お客様 更新プログラムの評価と選択 スケジュールの策定と実行 更新プログラムの展開 テスト用リングの決定と維持 更新プログラムの監視、一時停止、 ロールバック Microsoft 更新プログラムのリリース
最新化と その状態の維持を 簡単に 希少な IT リソースの関与を 最小限に抑えることができます お客様 新しいエンドポイントの登録 Microsoft 更新プログラムのリリース 更新プログラムの評価と選択 スケジュールの策定と実行 更新プログラムの展開 テスト用リングの決定と維持 更新プログラムの監視、一時停止、 ロールバック
Windows Autopatch による自動設定・運用 Microsoft Intune で使用開始
Windows Autopatch による自動設定・運用 ❶ 4 つのグループの自動生成とデバイスの登録 Test ❷ 各構成プロファイルの自動作成・自動調整 Windows • • • • • • Update 設定 テレメトリ設定 Update Test Update First Update Fast Update Broad Edge • Update 設定 • Channel Beta • Channel Stable M365 Apps • • • • • Office 設定 Update Test Update First Update Fast Update Broad Teams • Office 設定
デバイスの登録 Windows Autopatch による自動設定・運用 ❶ 4 つのグループの自動生成とデバイスの登録 Test ❷ 各構成プロファイルの自動作成・自動調整 Windows • • • • • • Update 設定 テレメトリ設定 Update Test Update First Update Fast Update Broad Edge • Update 設定 • Channel Beta • Channel Stable M365 Apps • • • • • Office 設定 Update Test Update First Update Fast Update Broad Teams • Office 設定
Windows Autopatch へのデバイス登録 管理用デバイス グループへ登録 Windows Autopatch に管理されるデバイスを Azure AD のグループ “Windows Autopatch Device Registration” グループに追加 Windows Autopatch の管理対象となる条件 Windows 10 /11 Enterprise or Professional エディション Azure AD 参加 or ハイブリッド Azure AD 参加 Microsoft Intune にて管理 過去 28 日以内に Intune へのチェックイン (共同管理の場合は以下のワークロードを Intune に設定) • Windows Updates ポリシー • デバイスの構成 • Office クイック実行 シリアル番号、モデル、および製造元の情報
デバイスの登録 Windows Autopatch による自動設定・運用 ❶ 4 つのグループの自動生成とデバイスの登録 Test ❷ 各構成プロファイルの自動作成・自動調整 Windows • • • • • • Update 設定 テレメトリ設定 Update Test Update First Update Fast Update Broad Edge • Update 設定 • Channel Beta • Channel Stable M365 Apps • • • • • Office 設定 Update Test Update First Update Fast Update Broad Teams • Office 設定
First (第 1) リング ベースのテストにより より多くの稼働時間を確保 Fast (高速) Broad (広範) リングの作成と展開は自動で • リング メンバーシップを自動定義 • リング グループを自動再調整 TEST (テスト) 1% 9% 90% Windows Autopatch / Introduction / How it works 60
デバイスの登録 Windows Autopatch による自動設定・運用 ❶ 4 つのグループの自動生成とデバイスの登録 Test ❷ 各構成プロファイルの自動作成・自動調整 Windows • • • • • • Update 設定 テレメトリ設定 Update Test Update First Update Fast Update Broad Edge • Update 設定 • Channel Beta • Channel Stable M365 Apps • • • • • Office 設定 Update Test Update First Update Fast Update Broad Teams • Office 設定
デバイスの登録 Windows Autopatch による自動設定・運用 ❶ 4 つのグループの自動生成とデバイスの登録 Test ❷ 各構成プロファイルの自動作成・自動調整 Windows • • • • • • Update 設定 テレメトリ設定 Update Test Update First Update Fast Update Broad Edge • Update 設定 • Channel Beta • Channel Stable M365 Apps • • • • • Office 設定 Update Test Update First Update Fast Update Broad Teams • Office 設定
Windows Autopatch による自動設定・運用 ❶ 4 つのグループの自動生成とデバイスの登録 Test ❷ 各構成プロファイルの自動作成・自動調整 Windows • • • • • • Update 設定 テレメトリ設定 Update Test Update First Update Fast Update Broad Edge • Update 設定 • Channel Beta • Channel Stable Teams M365 Apps • • • • • Office 設定 Update Test Update First Update Fast Update Broad • Office 設定 ❸ 登録されたデバイスの自動監視・アップデート Test First Fast Broad
段階的な展開により スピードと安全性を両立 より広範な対象に円滑な アップデートが行われるよう支援 • 安全で効率的なロールアウト のための品質測定 • 停止とロールバックのサポート • 品質更新プログラムと 機能更新プログラム Windows Autopatch / Introduction / How it works 68
Windows Autopatch による自動設定・運用 ❶ 4 つのグループの自動生成とデバイスの登録 Test ❷ 各構成プロファイルの自動作成・自動調整 Windows • • • • • • Update 設定 テレメトリ設定 Update Test Update First Update Fast Update Broad Edge • Update 設定 • Channel Beta • Channel Stable Teams M365 Apps • • • • • Office 設定 Update Test Update First Update Fast Update Broad • Office 設定 ❸ 登録されたデバイスの自動監視・アップデート Test First Fast Broad
Windows Autopatch による自動設定・運用 ❶ 4 つのグループの自動生成とデバイスの登録 Test ❷ 各構成プロファイルの自動作成・自動調整 Windows • • • • • • Update 設定 テレメトリ設定 Update Test Update First Update Fast Update Broad Edge • Update 設定 • Channel Beta • Channel Stable Teams M365 Apps • • • • • Office 設定 Update Test Update First Update Fast Update Broad • Office 設定 ❸ 登録されたデバイスの自動監視・アップデート Test First Fast Broad デバイスの解除
デバイスの登録 Windows Autopatch による自動設定・運用 ❶ 4 つのグループの自動生成とデバイスの登録 Test ❷ 各構成プロファイルの自動作成・自動調整 Windows • • • • • • Update 設定 テレメトリ設定 Update Test Update First Update Fast Update Broad Edge • Update 設定 • Channel Beta • Channel Stable Teams M365 Apps • • • • • Office 設定 Update Test Update First Update Fast Update Broad • Office 設定 ❸ 登録されたデバイスの自動監視・アップデート Test First Fast Broad デバイスの解除
4. イマドキの更新管理 – まとめ オンプレミス Configuration Manager (MECM) ◼ サーバー設置型の PC 管理製品 ◼ 別途 MECM 用ライセンスが必要 ◼ 配信動作に詳細な制御が可能 Windows Update Server Service (WSUS) ◼ Windows Server の標準機能 ◼ Windows Server 利用ライセンス ◼ 配信する更新プログラムを選択 クラウド Windows Update (WU) ◼ インターネット上のサービス ◼ 無償にて利用が可能 ◼ 常に最新にアップデート Windows Update for Business (WUfB) ◼ Windows Update を利用 ◼ 無償にて利用が可能 ◼ 管理者によって タイミングを制御 Windows Update for Business 展開サービス Windows Autopatch
イマドキの Windows の更新管理 ~ アップデートの仕組みから Windows Autopatch まで ~ 1. Windows の更新管理とは 2. Windows Update のしくみ 3. 更新を支える機能・インフラ 4. イマドキの更新管理 5. まとめ ~ Next Step 導入に向けて
1. Windows の更新管理とは 年に 2 回から 変更されました! 年に 1 回の機能更新 月に 1 回の品質更新 年に 1 回の機能更新 月に 1 回の品質更新 サポート期間 サポート期間 Enterprise / Education : 30 ヵ月(秋) Enterprise / Education : 36 ヵ月 Pro / Home : 18 ヵ月 Pro / Home : 24 ヵ月 ライフサイクルに関する FAQ - Windows | Microsoft Docs https://docs.microsoft.com/ja-jp/lifecycle/faq/windows ※ 問題や緊急性により、複数回リリースされる場合もあります
2. Windows Update のしくみ 僕に与えられているミッションは 大きく分けて 4 つ、これを繰り返してる
3. 更新を支えるインフラ オンプレミス Configuration Manager (MECM) ◼ サーバー設置型の PC 管理製品 ◼ 別途 MECM 用ライセンスが必要 ◼ 配信動作に詳細な制御が可能 Windows Update Server Service (WSUS) ◼ Windows Server の標準機能 ◼ Windows Server 利用ライセンス ◼ 配信する更新プログラムを選択 クラウド Windows Update (WU) ◼ インターネット上のサービス ◼ 無償にて利用が可能 ◼ 常に最新にアップデート Windows Update for Business (WUfB) ◼ Windows Update を利用 ◼ 無償にて利用が可能 ◼ 管理者によって タイミングを制御 Windows Update for Business 展開サービス Windows Autopatch
4. イマドキの更新管理 オンプレミス Configuration Manager (MECM) ◼ サーバー設置型の PC 管理製品 ◼ 別途 MECM 用ライセンスが必要 ◼ 配信動作に詳細な制御が可能 Windows Update Server Service (WSUS) ◼ Windows Server の標準機能 ◼ Windows Server 利用ライセンス ◼ 配信する更新プログラムを選択 クラウド Windows Update (WU) ◼ インターネット上のサービス ◼ 無償にて利用が可能 ◼ 常に最新にアップデート Windows Update for Business (WUfB) ◼ Windows Update を利用 ◼ 無償にて利用が可能 ◼ 管理者によって タイミングを制御 Windows Update for Business 展開サービス Windows Autopatch
Windows Autopatch Windows と Microsoft 365 のエコシステムを活用して、 アップデート展開を最適化し、常に最新の状態で提供する、 新たに設計されたサービス 前提ライセンス Windows Enterprise E3 ※ A3 / F3 は対象外 Microsoft Intune Azure AD Premium (共同管理) 登録デバイスの前提条件 Azure AD 参加 or ハイブリッド Azure AD 参加 更新プログラム – 管理対象 Windows Microsoft 365 Apps Microsoft Edge Microsoft Teams
Next Step ~ 導入に向けて ❶ デバイス管理をみなおす ❷ ネットワーク構成をみなおす ❸ ネットワーク帯域を確保する ❹ 更新プログラムの管理作業をみなおす ❺ アップデートに影響しないアプリにシフトする ❻ テスト・検証・配布方法をみなおす
❶ デバイス管理をみなおす オンプレサーバーでの 端末管理 いままで これから クラウドでの 端末管理 同一構成の PC 多様なデバイス管理 組織内ネットワーク で利用を想定 場所を選ばず管理 オンプレサーバーでの アプリ管理 クラウドでの アプリ管理 組織内の “パソコン” として 組織内で管理 マルチ / モバイル デバイスを クラウドで管理 PC もモバイル デバイスとしての考え方が中心になった いつでもどこでもアップデートができる管理に変えていく
❷ ネットワーク構成をみなおす いままで セキュリティのための ネットワーク機器 回線効率のための ネットワーク機器 接続制限による セキュリティ ファイアウォール Proxy サーバー これから クラウドのセキュリティ DC IDS / IPS インターネット直結 ブレイクアウトなど ロードバランサー スイッチ オフィス ネットワーク構成・境界に頼ったセキュリティ 端末のセキュリティ 回線や場所を選ばず、セキュリティを担保 あらためて、現在のネットワーク コストを考える そしてゼロトラストなどのセキュリティを取り入れていく
❸ ネットワーク帯域を確保する 1200 1,054 905 1000 800 600 489 400 200 240 573 645 677 917 713 989 1200 1000 800 600 326 400 200 49 221 223 228 231 249 263 274 278 289 0 0 Full Update Size (MB) 最大で約 1 GB 強のサイズだった Full Update Size (MB) 約 2 ~ 300 MB 程度のサイズに改善 改善が繰り返され Windows 11 では 2 – 300 MB 程度 さらにキャッシュ共有などで効率化すれば 70% 削減も
❹ 更新プログラムの管理作業をみなおす 毎月 複数でリリース KB XXXXXX 毎月 1 つのみリリース 修正プログラム 1 修正プログラム 1 KB XXXXXX KB XXXXXX 修正プログラム 2 修正プログラム 3 管理者は 「どれを適用するか」 の選択ができた KB XXXXXX 修正プログラム 2 修正プログラム 3 個別には適用できず、まとめて修正のみ この変更により修正のバラツキが無くなり品質が向上した 結果、管理者は 「いつ適用するか」 のみの判断をする
❺ アップデートに影響しないアプリにシフトする ローカルに入れるアプリ Web / SaaS やマルチプラットフォーム対応アプリ クラウドサービスにシフトしたり、プラットフォームに依存しないアプリに シフトをすることにより、OS のアップデートによる影響をなくす
❻ テスト・検証・配布方法をみなおす 対象の絞り込み • アプリ・システムの重要性のみなおし • 技術的類似性をもとにグルーピング • 過去の互換問題に基づく判断 段階的な配布 • リスク軽減・回避を考慮 • ネットワーク負荷・分散の考慮 • 2 バージョン以上のシステム許容 効率化 • テスト自動化ツールの利用 • パイロット ユーザーによるテスト • ユーザー主導によるアップデート 全パターンを毎回テストするような方法を避けるようにし、 効率よくテストをしたり、アップデートのリスクを減らす方法を検討する
Next Step ~ 導入に向けて ❶ デバイス管理をみなおす ❷ ネットワーク構成をみなおす ❸ ネットワーク帯域を確保する ❹ 更新プログラムの管理作業をみなおす ❺ アップデートに影響しないアプリにシフトする ❻ テスト・検証・配布方法をみなおす
#digitaltrust ご清聴ありがとうございました! Next Step に向けて進んでいきましょう! © 2022 Microsoft Corporation. All rights reserved. 本情報の内容 (添付文書、リンク先などを含む) は、Digital Trust Summit 2022 開催日 (2022年9月28日、29日) 時点のものであり、予告なく変更される場合があります。 本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。
#digitaltrust © 2022 Microsoft Corporation. All rights reserved. 本情報の内容 (添付文書、リンク先などを含む) は、Digital Trust Summit 2022 開催日 (2022年9月28日、29日) 時点のものであり、予告なく変更される場合があります。 本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。