次の方法で共有

デバイスを Autopatch グループに登録する

重要

Autopatch を初めて使用する場合、デバイスが Autopatch グループ メンバーシップ レポートに [登録済み] として表示されるまでに最大 48 時間かかる場合があります。 この 48 時間の間、デバイスは登録済みとして表示される前に必要なオンボード プロセスを受けます

Autopatch グループは、複数のMicrosoft Entra グループとソフトウェア更新ポリシーをグループ化する論理コンテナーまたはユニットです。 詳細については、「Windows Autopatch グループ」を参照してください。

Autopatch グループを作成したり、Autopatch グループを編集したりすると、使用するデバイス ベースのMicrosoft Entra グループが継続的にスキャンされ、新しいデバイスを Autopatch グループに追加する必要があるかどうかを確認できます。

デバイス登録ワークフローの詳細図

次の詳細なワークフロー図を参照してください。 この図では、Windows Autopatch デバイス登録プロセスについて説明します。

デバイス登録ワークフローの図。

ステップ 説明
手順 1: Entra グループを割り当てる IT 管理者は、自動パッチ グループの作成時または自動パッチ グループの編集時に割り当てるMicrosoft Entra グループを識別します。
手順 2: デバイスを検出する Windows Autopatch Discover Devices 関数は、手順 1 で自動パッチ グループで使用されたMicrosoft Entra グループから、IT 管理者によって以前に追加されたデバイス (時間単位) を検出します。 Microsoft Entra デバイス ID は、デバイスをサービスに登録するときに、Microsoft Intune と Microsoft Entra ID の両方でデバイス属性を照会するために Windows Autopatch によって使用されます。
  1. Microsoft Entra グループからデバイスが検出されると、同じ関数によって追加のデバイス属性が収集され、検出操作中にメモリに保存されます。 この手順では、次のデバイス属性Microsoft Entra ID から収集されます。
    1. AzureADDeviceID
    2. OperatingSystem
    3. DisplayName (デバイス名)
    4. AccountEnabled
    5. RegistrationDateTime
    6. ApproximateLastSignInDateTime
  2. この同じ手順では、Windows Autopatch discover devices 関数は、デバイスの前提条件チェック関数である別の関数を呼び出します。 デバイスの前提条件チェック関数は、登録前に Windows Autopatch デバイスの準備要件に準拠するために、ソフトウェア ベースのデバイス レベルの前提条件を評価します。
手順 3: 前提条件を確認する Windows Autopatch の前提条件関数は、Intune Graph API呼び出しを行って、登録プロセスに必要なデバイスの準備属性を順番に検証します。 詳細については、「ワークフローダイアグラムの詳細な前提条件チェック」セクションを参照してください。 サービスは、次のデバイス準備属性や前提条件を確認します。
  1. デバイスが Intune で管理されているかどうか。
    1. Windows Autopatch は、Microsoft Entra デバイス ID に Intune デバイス ID が関連付けられているかどうかを確認します。
      1. はいの場合は、このデバイスが Intune に登録されていることを意味します。
      2. そうでない場合は、デバイスが Intune に登録されていないことを意味するため、Windows Autopatch サービスで管理することはできません。
    2. デバイスが Intune によって管理されていない場合、Windows Autopatch サービスは、オペレーティング システムのバージョン、Intune 登録日、デバイス名、その他の属性などのデバイス属性を収集できません。 この場合、Windows Autopatch サービスは、手順 3a で収集してメモリに保存したMicrosoft Entraデバイス属性を使用します。
      1. 手順 3a でMicrosoft Entra ID から収集されたデバイス属性が取得されると、デバイスに [前提条件の失敗] 状態のフラグが設定され、デバイスの [自動パッチの準備状態] が [自動パッチ グループ メンバーシップ レポート未登録] と表示されます。 IT 管理者は、デバイスが Windows Autopatch に登録されなかった理由を確認できます。 IT 管理者は、これらのデバイスを修復します。 この場合、IT 管理者は、デバイスが Intune に登録されていない理由をチェックする必要があります。
      2. 一般的な理由は、Microsoft Entraデバイス ID が古くなっている場合、Intune デバイス ID が関連付けられていないことです。 修復するには、テナントから古いMicrosoft Entraデバイス レコードをクリーンします
    3. デバイスが Intune によって管理されている場合、Windows Autopatch の前提条件チェック関数は、次の前提条件のチェックに進み、デバイスが過去 28 日間に Intune にチェックインされたかどうかを評価します。
  2. デバイスが Windows デバイスかどうか。
    1. Windows Autopatch は、デバイスが Windows および企業所有のデバイスであるかどうかを確認します。
      1. はいの場合は、Windows 企業所有のデバイスであるため、このデバイスをサービスに登録できることを意味します。
      2. そうでない場合は、デバイスが Windows 以外のデバイスであるか、Windows デバイスですが個人用デバイスであることを意味します。
  3. Windows Autopatch は、Windows SKU ファミリをチェックします。 SKU は次のいずれかである必要があります。
    1. Enterprise
    2. プロ
    3. Pro Workstation
    4. Education
    5. Pro Education
  4. デバイスがオペレーティング システムの要件を満たしている場合、Windows Autopatch はデバイスが次のいずれかであるかどうかを確認します。
    1. Intune によってのみ管理されます。
      1. デバイスが Intune によってのみ管理されている場合、デバイスは [すべての前提条件に合格] としてマークされます。
    2. Configuration Managerと Intune の両方によって共同管理されます。
      1. デバイスがConfiguration Managerと Intune の両方で共同管理されている場合は、追加の前提条件のチェックが評価され、共同管理状態でデバイスを管理するために Windows Autopatch で必要な共同管理が有効なワークロードをデバイスが満たしているかどうかを判断します。 この手順で評価される必要な共同管理ワークロードは次のとおりです。
        1. Windows Updates ポリシー
        2. デバイス構成
        3. Office クリックして実行する
      2. Windows Autopatch によって、これらのワークロードのいずれかがデバイスで有効になっていないと判断された場合、サービスはデバイスを [前提条件に失敗しました] としてマークし、デバイスの自動パッチの準備状態が [自動パッチ グループ メンバーシップ レポート登録されていません] と表示されます。
手順 4: 動的分散を計算し、デバイスを割り当てる 展開リングに直接割り当てられているMicrosoft Entra グループは、その展開リングに対して Autopatch によって作成されるMicrosoft Entra グループにそれらのデバイスを追加します。

動的配布を使用する場合は、選択したデバイスが自動パッチ サービスによって配布されます。 このサービスは、動的プール内のデバイスの割合を受け取り、関連するMicrosoft Entra グループに追加します。 直接割り当てられているMicrosoft Entra グループのメンバーであるデバイスは、動的プールには含まれません。

Autopatch グループ内のデバイス数が 100 未満の場合、ディストリビューションが選択したデバイスと一致しない可能性があります。
手順 5: デバイス登録後 Windows Autopatch クライアント ブローカーを展開した場合、デバイス登録後のアクションが発生します。 詳細については、 デバイス登録後の準備チェックWindows Autopatch Client Broker に関するページを参照してください。
手順 6: デバイスの登録状態を確認する IT 管理者は、デバイスの自動パッチの準備状態を確認します。 デバイスは、Autopatch グループ メンバーシップ レポート登録されているか、未登録です。
  1. デバイスが正常に登録された場合、デバイスの自動パッチの準備状態は、Autopatch グループ メンバーシップ レポート[登録済み] として表示されます。
  2. 登録されていない場合は、デバイスの自動パッチの準備状態が [自動パッチ グループ のメンバーシップ レポート登録されていません] と表示されます。
手順 7: 登録ワークフローの終了 これは、Windows Autopatch デバイス登録ワークフローの最後です。

ワークフローダイアグラムチェック前提条件の詳細

前の詳細なデバイス登録ワークフロー図手順 3 で説明したように、次の図は、Windows Autopatch デバイス登録プロセスの前提条件コンストラクトを視覚的に表したものです。 前提条件のチェックは順番に実行されます。

前提条件のチェックワークフローの図。

自動パッチ グループ メンバーシップ レポート

Windows Autopatch には、Autopatch グループ メンバーシップ レポートがあり、次の情報が提供されます。

  • 自動パッチ グループ メンバーシップ (デバイスが Autopatch グループに追加されている場合のみ)
  • 更新の状態
  • 各デバイスを対象とするポリシー

さまざまなデバイス アクションを含め、Autopatch グループ メンバーシップ レポートにアクセスするようにカスタム ロールを構成できます。

[呼び出しを割り当てる] には、最小限の Windows Autopatch グループ/読み取りアクセス許可が必要です。 ドロップダウン メニューを使用して、デバイスを移動する展開リングを選択します。メニューには、ユーザーのスコープ内の展開リングのみが表示されます。

デバイスのプロパティを表示するには、必要な最小限のアクセス許可は [デバイスの管理/読み取り] です

スコープ付き管理者は、同じスコープ タグを持つ同じ Autopatch グループ内の展開リング間でのみデバイスを移動できます。

詳細については、「 Windows Autopatch ロールベースのアクセス制御」を参照してください。

Autopatch グループメンバーシップ レポートを表示する

自動パッチ グループ メンバーシップ レポートを表示するには:

  1. Intune 管理センターで、左側のウィンドウで [デバイス] を選択します。
  2. [ 更新プログラムの管理] で、[ Windows 更新プログラム] を選択します。
  3. [ モニター ] タブを選択し、[ デバイスの自動パッチ] を選択します。

デバイスが Autopatch グループに追加されると、準備状態が表示されます。 各準備状態は、実行するアクションがあるかどうか、またはデバイスがサービスの準備ができているかどうかを判断するのに役立ちます。

準備状態

Autopatch グループ メンバーシップ レポートの自動パッチの準備状態 Substatus description
登録済み
  • 準備完了: デバイスはすべての前提条件チェックに正常に合格し、Windows Autopatch に正常に登録されました。 さらに、準備完了デバイスは、 デバイス登録後のすべての準備チェック に正常に合格し、それらをターゲットとするアクティブなアラートがありません。
  • 準備ができていない: これらのデバイスは、Windows Autopatch に正常に登録されました。 ただし、これらのデバイスは次のとおりです。
    • 1 つ以上 のデバイス登録後の準備チェックに合格できませんでした。
    • サービスによって 1 つ以上のソフトウェア更新ワークロードを管理する準備ができていない。
    • デバイスが過去 28 日間に Microsoft Intune と通信しなかった
    • デバイスがポリシーまたは Autopatch グループ メンバーシップと競合している
未登録
  • 自動パッチ グループの競合: デバイスが Autopatch グループ メンバーシップと競合している
  • 前提条件に失敗しました: デバイスが 1 つ以上の デバイス登録後の準備チェックに合格できませんでした。
  • 除外: この状態のデバイスは、Windows Autopatch サービスからのみ削除されます。 Microsoft では、これらのデバイスを何らかの容量で自分で管理することを前提としています。

他のMicrosoft Entra グループを入れ子にする場合にサポートされるシナリオ

Windows Autopatch では、次のMicrosoft Entra入れ子になったグループ シナリオもサポートされています。

Microsoft Entraグループは次の場所から同期されます。

Windows 365 Enterprise ワークロードでの Windows Autopatch

Windows 365 Enterpriseを使用すると、IT 管理者は、Windows 365 プロビジョニング ポリシーの作成の一環として、デバイスを Windows Autopatch サービスに登録できます。 このオプションは、管理者とユーザーがクラウド PC を常に最新の状態に保つシームレスなエクスペリエンスを提供します。 IT 管理者が Windows Autopatch を使用してWindows 365クラウド PC を管理することにした場合、Windows 365 プロビジョニング ポリシー作成プロセスでは、Windows Autopatch デバイス登録 API が呼び出され、IT 管理者に代わってデバイスが登録されます。

Windows 365 プロビジョニング ポリシーから新しいWindows 365 クラウド PC デバイスを Windows Autopatch に登録するには:

  1. Intune 管理センターに移動します。
  2. 左側のウィンドウで、[デバイス] を選択 します
  3. [プロビジョニング >Windows 365] に移動します。
  4. [プロビジョニング ポリシー] > [ポリシーの作成] を選択します
  5. ポリシー名を指定し、[ Join Type]\(参加の種類\) を選択します。 詳細については、「 デバイス結合の種類」を参照してください。
  6. [次へ] を選択します。
  7. 目的のイメージを選択し、[ 次へ] を選択します。
  8. [ Microsoft マネージド サービス ] セクションで、 Windows Autopatch が選択されていることを確認します。
  9. それに応じてポリシーを割り当て、[ 次へ] を選択します。
  10. [作成] を選択します。 これで、新しくプロビジョニングされたWindows 365 Enterpriseクラウド PC が自動的に登録され、Windows Autopatch によって管理されます。

詳細については、「Windows 365 プロビジョニング ポリシーの作成」を参照してください。

Azure Virtual Desktop ワークロードでの Windows Autopatch

Windows Autopatch は、Azure Virtual Desktop ワークロードで使用できます。 エンタープライズ管理者は、既存のデバイス登録プロセスを使用して、Windows Autopatch によって管理される Azure Virtual Desktop ワークロードをプロビジョニングできます。

Windows Autopatch は、 物理デバイスと同じサービス スコープを仮想マシンに提供します。 ただし、Windows Autopatch は、特に指定がない限り、Azure Virtual Desktop 固有のサポートをAzure サポートに延期します。

前提条件

Azure Virtual Desktop の Windows Autopatch は、Windows Autopatch と同じ 前提条件Azure Virtual Desktop の前提条件に従います。

このサービスでは、次がサポートされています。

  • 個人用永続仮想マシン

次の Azure Virtual Desktop 機能はサポートされていません。

  • マルチセッション ホスト
  • プールされた非永続的仮想マシン
  • リモート アプリ ストリーミング

Azure Virtual Desktop に Autopatch をデプロイする

Azure Virtual Desktop ワークロードは、物理デバイスと同じ方法を使用して Windows Autopatch に登録できます。

デプロイを容易にするために、Autopatch デバイス登録グループに動的デバイス グループを入れ子にすることをお勧めします。 動的デバイス グループは、セッション ホストで定義されている 名前 プレフィックスをターゲットにしますが、マルチセッション セッション ホストは 除外 します。 以下に例を示します。

グループ名 動的メンバーシップ名
Windows Autopatch - ホスト プール セッション ホスト
  • (device.displayName -contains "AP")
  • (device.deviceOSType -ne "Windows 10 Enterprise for Virtual Desktops")

Microsoft Entra テナントMicrosoft Entraハイブリッド参加済みデバイスと Azure 登録済みデバイスのデュアル状態をクリーンアップする

Microsoft Entraデュアル状態は、デバイスが最初にMicrosoft Entra登録済みデバイスとしてMicrosoft Entra ID に接続されている場合に発生します。 ただし、ハイブリッド参加Microsoft Entra有効にすると、同じデバイスが MICROSOFT ENTRA ID に 2 回接続されますが、ハイブリッド Microsoft Entra デバイスとして接続されます。

デュアル状態では、同じデバイスに対して異なる結合の種類を持つ 2 つのMicrosoft Entra デバイス レコードが作成されます。 この場合、ハイブリッド Microsoft Entra デバイス レコードは、Microsoft Entra ID の認証の任意の種類のMicrosoft Entra登録済みデバイス レコードよりも優先され、登録されたデバイス レコードMicrosoft Entra古くなります。

Windows Autopatch にデバイスを登録する前に、Microsoft Entra ID で古いデバイスを検出してクリーンすることをお勧めします。「方法: Microsoft Entra ID で古いデバイスを管理する」を参照してください。

Warning

Windows Autopatch にデバイスを登録する前に、Microsoft Entra ID で古いデバイスをクリーンしていない場合、デバイスが Intune または Cloud-Attached (デバイスは Intune で管理されているか共同管理されている必要があります) の前提条件のチェックが [準備ができていない] タブに表示されることがあります。これらの古いMicrosoft Entraデバイスは Intune サービスに登録されなくなりました。

サポートは、Windows 365、またはデバイス登録関連のインシデントの Windows Autopatch Service Engineering チームを通じて利用できます。

  • Windows 365サポートについては、「サポートを受ける」を参照してください。
  • Azure Virtual Desktop のサポートについては、「 サポートの取得」を参照してください。
  • Windows Autopatch のサポートについては、「 サポート リクエストを送信する」を参照してください。 サポート リクエストは、E3+ または F3 ライセンスがある場合にのみ送信できます。 詳細については、「機能と特長」を参照してください。

デバイス管理ライフサイクルのシナリオ

Autopatch グループにデバイスを登録する際に考慮すべきデバイス管理ライフサイクル シナリオがいくつかあります。

デバイスの更新

デバイスが以前に Autopatch グループに登録されていたが、再イメージ化する必要がある場合は、Microsoft Intune で利用可能なデバイス プロビジョニング プロセスのいずれかを実行してデバイスを再イメージ化する必要があります。

デバイスは、Microsoft Entra ID (ハイブリッドまたはMicrosoft Entraのみ) に再参加されます。 次に、Intune にも再登録します。 そのデバイスのMicrosoft Entraデバイス ID レコードは同じであるため、ユーザーまたは Windows Autopatch サービスからそれ以上の操作は必要ありません。

デバイスの修復とハードウェアの交換

以前に Windows Autopatch サービスに登録されているデバイスを修復する必要がある場合は、マザーボード、移動不可のネットワーク インターフェイス カード (NIC)、またはハード ドライブを交換して、次のような主要なハードウェア変更が発生したときに新しいハードウェア ID が生成されるため、デバイスを Windows Autopatch サービスに再登録する必要があります。

  • SMBIOS UUID (マザーボード)
  • MAC アドレス (取り外し可能な NIC)
  • OS ハード ドライブのシリアル、モデル、製造元情報

これらのハードウェアの変更のいずれかが発生すると、Microsoft Entra ID は、技術的に同じデバイスであっても、そのデバイスの新しいデバイス ID レコードを作成します。

重要

技術的に同じデバイスであっても、以前に Windows Autopatch サービスに登録されたデバイスに対して新しいMicrosoft Entraデバイス ID が生成された場合、新しいMicrosoft Entraデバイス ID は、デバイスダイレクト メンバーシップまたは Windows Autopatch グループ エクスペリエンスの入れ子になったMicrosoft Entra動的/割り当てグループを介して追加する必要があります。 このプロセスにより、新しく生成されたMicrosoft Entraデバイス ID が Windows Autopatch に登録され、デバイスは引き続きソフトウェア更新プログラムがサービスによって管理されます。