Special
» 2019年03月29日 10時00分 公開

Microsoft 365で実現! Windows 10のモダン管理(第2回):Windows 10のメンテナンス 更新プログラムの管理もMicrosoft 365におまかせ

本稿では、Windows 10の「モダン管理」を3回にわたって解説します。前回は、Windows 10をモダン管理するにあたり、最初のハードルとなる「展開と設定」について解説しました。今回は、管理者が最も関心を寄せる「更新プログラム」について考えていきたいと思います。

[PR/@IT]
PR

更新プログラム、これまでと同じ管理をする必要ある?

 企業のIT部門で「Microsoft Intune」を活用した“モダン管理”の話をすると、かなりの確率で次のような質問を受けます。

  「今までのパッチ管理と同じことができますか?」
  「パッチ適用のタイミングはコントロールできますか?」

 モダン管理の場合、答えは「No!」です。そのために“トラディショナル管理”方式が残っているのです。

 モダン管理では、修正モジュールは自動的に適用されます。モダン管理でできることは、更新モジュールの適用タイミングを適切に遅らせるだけです。しかし、それだけで本当に管理が実現できるのでしょうか?

 モダン管理で最新の更新を素早く適用するのは、セキュリティ面でも重要なことです。また、新機能をいち早く取り入れるには、更新プログラムの適用が必要です。例えば、新元号への対応も更新プログラムの適用で行われます。

 今回は、モダン管理のためにWindows 10に用意された仕組みを幾つか紹介します。従って、先述の質問の答えは諦めてください。もし、細かいコントロールが本当に必要なら、今までの管理方法を選択してください。また、イントラネットのシステムがバージョンアップで動かなくなることについての対策を後述しますので、その方法を検討してください。

自立を目指す更新プログラム

 これまで、更新プログラムを適用する種類やタイミングは、管理者が細かく決めてコントロールするのが一般的でした。また、更新による影響度を考え、できるだけ更新を引き延ばしているという企業も多いのではないかと思います。しかし、セキュリティの観点から見ると、それはお勧めできません。もし、更新を忘れてその脆弱(ぜいじゃく)性から標的型攻撃の対象になってしまっては、その損害額の方が膨大になります。

 Windows 10では、更新プログラムをOSが自動的に確認、適用します。つまり、放っておいても更新プログラムが適用されていく「自立型のプロセス」がとられています。本来、ユーザーも管理者もほとんど管理する必要がないのです。

 しかし、管理者の立場としては、さまざまな問題があって更新プログラムの適用をためらいます。以下のような問題点をよく指摘いただきます。

  • モバイル通信だとデータ通信が足りない
  • イントラのネットワークを圧迫する
  • 社内システムが動かなくなる

 確かに、これらは管理者の立場では頭の痛い問題です。しかし、Windows 10は日々さまざまな改良が行われており、こうした課題は緩和されてきています。また、過去の情報から誤解を抱いている可能性もあります。では、いまはどのような状況か明確にしておきましょう。

まずはアップデートの内容整理

 Windows 10には、大きく2つの「更新チャネル」があります。

  • Semi-Annual Channel(SAC:半期チャネル)
  • Long-Time Servicing Channel(LTSC:長期サービスチャネル)

 SACは、毎月の「品質更新プログラム(QU)」と、半年ごとの「機能更新プログラム(FU)」が提供されます。一方、LTSCには10年間、品質更新プログラムは提供されますが、機能更新プログラムは提供されません。

 SACでは、半年ごとに提供される機能更新プログラムによってバージョンが上がります。それぞれのバージョンのサポート期間は18カ月で、その間、品質更新プログラムが提供されます。ただし、Enterprise EditionとEducation Editionでは、毎年後半に出すバージョンは30カ月のサポートが提供されます。このスケジュールを頭に入れておいてください。

知っていましたか? アップデートのファイルサイズ

 前述しましたが、Windows 10の更新は以下の2種類があります。

  • 品質更新プログラム(QU)
  • 機能更新プログラム(FU)

 この2つの更新プログラムには、明確にファイルサイズの差があります。また、常に最適化され、クライアントへのダウンロード量が減っています。

 品質更新プログラム(QU)は、いままでは差分更新で月におおよそ100〜200MB程度でした。それが最近のビルドであるバージョン1809では、新しいモデルに変更されました。今までように最新のものを適用すれば全ての問題が修正されることには変わりませんが、モジュールのサイズが大きく変化しないように最適化されています。差分更新ではなく、毎月100MB程度(実績値)が適用されることになります。

図1 図1 機能更新プログラムの実際のサイズの実績《クリックで拡大します》

 機能更新プログラム(FU)は、やはりサイズが大きくなります。おおよそ4GB近くあるのですが、機能更新プログラムの差分更新を利用すると2GB程度まで圧縮されます。

 この事実は、品質更新プログラムの適用くらいなら、普段利用している通信から比べれば大したことがないということです。この程度なら、動画を2本か3本見るのと同じくらいではないでしょうか。

 また、機能更新プログラムも秋に公開されるH2の更新であれば、30カ月の猶予期間があります。30カ月あれば2年ごとの機能更新(24カ月で更新を開始して半年以内に更新を終了させる)でも十分対応できるため、無理なスケジュールではなく、また計画も立てやすいです(※)。

【※】現在、Microsoft Intuneからの更新プログラム適用の延長期間の最大値は
「365日」となっています。



図2 図2 Microsoft Intuneの更新プログラムの設定画面《クリックで拡大します》

イントラネットの負荷を下げる通信の最適化とスケジュール

 イントラネットからの更新の通信を心配する声もよく聞きます。過去には一斉にクライアントのWindows Updateが実行され、企業のインターネットへの通信をパンクさせたということもありました。しかし、この課題にもWindows 10では2つの機能で対応に取り組んでいます。

 1つ目は「配信の最適化」機能です。「配信の最適化」は、近くにいる端末が自分の適用するモジュールを既に持っていた場合、これを融通し合う仕組みです。例えば、隣の端末が先にアップデート済みであれば、そこからモジュールを受け取り、インターネットには取りにいかないというものです。

図3 図3 「配信の最適化」機能《クリックで拡大します》

 「配信の最適化」の設定は、Microsoft Intuneを利用することで簡単に配布することができます。この機能を利用することで、通信量を最大70%削減できたという報告もあります。

図4 図4 Microsoft Intuneによる「配信の最適化」設定の配布《クリックで拡大します》

 2つ目は「更新リング」です。これは分かりやすく言うと、“更新プログラムを配るタイミングを決めるグループ”になります。このグループを幾つか作成して段階的に導入することで、インターネットへのアクセスを最小化できます。

図5 図5 更新プログラムのリングと設定画面《クリックで拡大します》

 更新プログラムの適用は2段階で行われます。まずはプログラムのダウンロードで、それが終わるとWindows 10に設定されたワークタイムを避けて適用が開始されます(もしくは再起動のタイミングで適用されます)。

 適用を管理者がコントロールすると、更新プログラムのダウンロードまでコントロールし、ダウンロードが一斉に行われる傾向があるようです。Windows 10にダウンロードを任せればある程度分散化が行われ、通信の負荷を下げられます。そして最も重要なことは、夏休みの宿題のように「適用を溜めない」ということです。先述の通り、1回100MB程度のアップデートですので毎月確実に適用しましょう。

 このようにアップデートはWindows 10が持つ自立型の適用スケジュールに任せ、管理者は各企業に合わせた適用のスケジュールとタイミングを検討すればよいことになります。

更新の影響を最小限にする方法

 更新プログラムを適用したら、アプリアプリケーションやサイトが動かなくなった――これは避けて通れません。しかし、毎月の更新プログラムの適用ごとに互換性を検証するのは事実上不可能です。

  そこで、先に紹介した更新リングのうち、最初のリングで影響度を図ります。更新の猶予期間は1カ月間あるので、一部のみ即時適用でしばらく様子を見ます。その後、適用の範囲を広げていきます。

 ほとんどのシステムはWindows 10のアップデートでは問題ないと思いますが、どうしても影響が出てしまった場合の最終手段として、今後提供される「Windows Virtual Desktop」が利用できます。

 これは、今までもあったクラウド環境を利用したVirtual DesktopやRemote Appsです。特徴として、ライセンスはMicrosoft 365 E3以上に含まれているので、必要なのは仮想環境が動作するMicrosoft Azureのインスタンスだけです。しかも、何かあったときにだけ立ち上げ、修正が行われる間だけ利用すればよいので、普段から多大なコストをかける必要がありません。

適用の確認と適用されないPCへの対応

 更新プログラムやWindows Defenderのパターンファイルの適用状況を確認するには、「Windows Analytics Update Compliance」が利用できます。無償で利用でき、更新プログラムの適用状況が確認できます。しかし、Windows 10を「自動更新」に設定しておけば、日頃から何台適用されているかを確認する必要はほとんどないでしょう。

図6 図6 「Windows Analytics Update Compliance」による更新プログラムの確認《クリックで拡大します》

 むしろ、何らかの理由で適用されない端末の方が問題です。その場合は、社内リソースへのアクセスを止めてしまうのが最適です。Microsoft Intuneの「コンプライアンスポリシー」で、一定以下のバージョンのWindows 10デバイスを「非準拠」の状態にできます。それにより、Azure ADの「条件付きアクセス」から端末をOffice 365などのリソースに接続しないようにコントロールすることができます。

図7 図7 Microsoft Intuneの「コンプライアンスポリシー」《クリックで拡大します》

まとめ

 いかがでしたでしょうか。モダン管理でのWindows 10の更新ですが、かなり大胆な考え方の変更が必要なことが分かります。

 しかし、Windows Server Update Services(WSUS)を利用して、自動適用を行っている企業ではすんなり受け入れられるのではないでしょうか。Windows 10導入の機会とともに少しずつ更新プログラムを自動適用に切り替えていってみてください。そして、自立型の管理のいらない環境を試してみてください。

 次回は、持ち運びするPC内の情報保護について紹介していきたいと思います。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年4月28日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。