次の方法で共有

ホットパッチ更新プログラム

ホットパッチ更新プログラムを使用すると、ユーザーの中断を最小限に抑えながら、進化するサイバー攻撃からorganizationを保護するための対策をすばやく実行できます。 ホットパッチ更新プログラムは、デバイスの再起動を必要とせずにインストールして有効にする 、毎月の B リリースのセキュリティ更新プログラム です。 再起動の必要性を最小限に抑えることで、これらの更新プログラムはコンプライアンスの高速化に役立ち、組織はワークフローを中断せずにセキュリティを維持しやすくなります。

ホットパッチはWindows Updateの拡張機能であり、自動パッチ品質更新ポリシーに登録されているデバイスにホットパッチを作成して展開する必要があります。

主な利点

  • ホットパッチ更新プログラムは、インストール プロセスを合理化し、コンプライアンス効率を高めます。
  • 既存の更新リング構成に変更は必要ありません。 既存のリング構成は、ホットパッチ ポリシーと共に適用されます。
  • ホットパッチ品質更新レポートは、ホットパッチ更新プログラムを受け取るすべてのデバイスの現在の更新状態のポリシー レベルごとのビューを提供します。

前提条件

ホットパッチ更新プログラムを利用するには、デバイスが次の前提条件を満たしている必要があります。

  • 対象ライセンスの 1 つ: Windows 11 Enterprise E3 または E5、Microsoft 365 F3、Windows 11 Education A3 または A5、Microsoft 365 Business Premium、またはWindows 365 Enterprise
  • バージョン 24H2 以降Windows 11 Enterprise
  • ホットパッチ更新プログラムの対象となるには、デバイスが最新のベースライン リリース バージョンである必要があります。 Microsoft は、標準の累積的な更新プログラムとしてベースライン更新プログラムを四半期ごとにリリースします。 これらのリリースの最新のスケジュールの詳細については、「 Hotpatch のリリース ノート」を参照してください。
  • ホットパッチがオンになっている Windows 品質更新プログラム ポリシーを使用してホットパッチ更新プログラムの展開を管理するMicrosoft Intune。

オペレーティング システム構成の前提条件

ホットパッチ更新プログラムを受信するようにデバイスを準備するには、デバイスで次のオペレーティング システム設定を構成します。 ホットパッチ更新プログラムを提供し、すべてのホットパッチ更新プログラムを適用するには、デバイスに対してこれらの設定を構成する必要があります。

仮想化ベースのセキュリティ (VBS)

デバイスでホットパッチ更新プログラムを提供するには、VBS をオンにする必要があります。 VBS が有効かどうかを設定して検出する方法については、「 仮想化ベースのセキュリティ (VBS)」を参照してください。

VBS が有効になっていないか、最新のベースライン リリースに存在していないため、デバイスが一時的に不適格になる可能性があります。 すべての Windows デバイスがホットパッチ更新プログラムの対象になるように正しく構成されていることを確認するには、「 ホットパッチ更新プログラムのトラブルシューティング」を参照してください。

Arm 64 デバイスでは、コンパイル済みのハイブリッド PE 使用率 (CHPE) を無効にする必要があります (Arm 64 CPU のみ)

Arm 64 デバイスのホットパッチ更新プログラムは、同じ リリース サイクルに従います。

この要件は、ホットパッチ更新プログラムを使用する場合にのみ Arm 64 CPU デバイスに適用されます。 ホットパッチ更新プログラムは、 %SystemRoot%\SyChpe32 フォルダーにあるサービス CHPE OS バイナリと互換性がありません。

すべてのホットパッチ更新プログラムが確実に適用されるようにするには、CHPE 無効化フラグを設定し、デバイスを再起動して CHPE の使用を無効にする必要があります。 このフラグは 1 回だけ設定する必要があります。 レジストリ設定は、更新プログラムによって適用されたままです。

重要

この設定は、オペレーティング システムが Arm 64 デバイス上の CHPE バイナリではなくエミュレーション x86 専用バイナリを強制的に使用するために必要です。 CHPE バイナリには、パフォーマンスを向上させるためのネイティブ Arm 64 コードが含まれています。CHPE バイナリを除くと、パフォーマンスや互換性に影響する可能性があります。 Arm 64 CPU ベースのデバイスでホットパッチ更新プログラムを広くロールアウトする前に、アプリケーションの互換性とパフォーマンスをテストしてください。

CHPE を無効にするには、次の DWORD レジストリ キーを作成または設定します。パス: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD キーの値: HotPatchRestrictions=1

CSP DisableCHPE を使用することもできます。 詳細については、「 DisableCHPE」を参照してください。

CHPE が有効になっている Arm64 デバイスでホットパッチ更新プログラムをサポートする予定はありません。 CHPE の無効化は、Arm64 デバイスでのみ必要です。 AMD と Intel の CPU には CHPE がありません。

ホットパッチ更新プログラムを使用しなくなった場合は、CHPE 無効化フラグ (HotPatchRestrictions=0) をオフにしてから、デバイスを再起動して CHPE の使用を有効にします。

不適格なデバイス

1 つ以上の前提条件を満たしていないデバイスは、代わりに最新の累積的な更新プログラム (LCU) を自動的に受け取ります。 最新の累積的な更新プログラム (LCU) には、セキュリティリリースとセキュリティ以外のリリースの両方を含む前月の更新プログラムに置き換わる毎月の更新プログラムが含まれています。

LCU ではデバイスを再起動する必要がありますが、LCU はデバイスが完全にセキュリティで保護され、準拠していることを保証します。

デバイスがホットパッチ更新プログラムの対象でない場合、これらのデバイスには LCU が提供されます。 LCU は構成済みの更新リング設定を保持しますが、設定は変更されません。

リリース サイクル

ホットパッチ更新プログラムのリリース カレンダーの詳細については、「 Hotpatch のリリース ノート」を参照してください。

  • ベースライン: 最新のセキュリティ修正プログラム、累積的な新機能、および拡張機能が含まれています。 再起動が必要です。
  • ホットパッチ: セキュリティ更新プログラムが含まれています。 再起動は必要ありません。
四半期 ベースライン更新プログラム (再起動が必要) ホットパッチ (再起動は必要ありません)
1 1 月 2 月と 3 月
2 4 月 5 月と 6 月
3 7 月 8 月と 9 月
4 10 月 11 月と 12 月

Windows 11 Enterprise または Windows Server 2025 のホットパッチ

ホットパッチは、Windows ServerとWindows 365でも使用できます。 詳細については、「Windows Server Azure Edition のホットパッチ」を参照してください。

ホットパッチ更新プログラムは、Windows 11 と Windows Server 2025 の間で似ています。

  • Windows Autopatch は、Windows 11更新プログラムを管理します
  • Windows 2025 Datacenter/Standard Editions (オンプレミス) 用のAzure Update Managerおよびオプションの Azure Arc サブスクリプションは、Windows Server 2025 Datacenter Azure Edition を管理します。 Windows ServerとWindows 365の詳細については、「Windows Server Azure Edition のホットパッチ」を参照してください。

毎年計画されているカレンダーの日付、8 つのホットパッチ月、および 4 つの基準月は、ホットパッチでサポートされるすべてのオペレーティング システム (OS) で同じです。 1 つの OS (たとえば、Windows Server 2022) に対して追加のベースライン月が発生する可能性がありますが、Server 2025 や Windows 11 バージョン 24H2 などの別の OS にはホットパッチ月があります。 最新の状態に保つために 、Windows リリース正常性のリリース ノートを確認します。

ホットパッチ更新プログラムを受信するデバイスを登録する

自動パッチ グループを使用していて、デバイスでホットパッチ更新プログラムを受信する場合は、ホットパッチ ポリシーを作成してデバイスを割り当てる必要があります。 ホットパッチ更新プログラムをオンにしても、自動パッチ グループ内のデバイスに適用される遅延設定は変更されません。

ホットパッチ更新プログラムを受信するデバイスを登録するには:

  1. Intune管理センターに移動します。
  2. 左側のナビゲーション メニューから [ デバイス ] を選択します。
  3. [ 更新プログラムの管理 ] セクションで、[ Windows 更新プログラム] を選択します。
  4. [ 品質の更新 ] タブに移動します。
  5. [ 作成] を選択し、[ Windows 品質更新プログラム ポリシー] を選択します。
  6. [ 基本 ] セクションで、新しいポリシーの名前を入力し、[次へ] を選択します。
  7. [ 設定] セクションで、[ 使用可能な場合は、デバイスを再起動せずに適用する ("ホットパッチ") オプションが [許可] に設定されていることを確認します。 [次へ] を選択します。
  8. 適切なスコープ タグを選択するか、[既定値] のままにします。 [次へ] を選択します。
  9. デバイスをポリシーに割り当て、[ 次へ] を選択します。
  10. ポリシーを確認し、[ 作成] を選択します。
  11. また、既存の Windows 品質更新プログラム ポリシー編集、[使用可能な場合は、デバイスを再起動せずに適用する ("ホットパッチ") を[許可] に設定することもできます。

これらの手順により、ホットパッチ更新プログラムを受け取る 資格がある ターゲット デバイスが正しく構成されます。 不適格なデバイス には、最新の累積的な更新プログラム (LCU) が提供されます。

ホットパッチ更新プログラムをオンにしても、マネージド デバイス上の既存の期限駆動型またはスケジュールされたインストール構成は変更されません。 遅延時間とアクティブ時間の設定は引き続き適用されます。

ホットパッチ更新プログラムをロールバックする

ホットパッチ更新プログラムの自動ロールバックはサポートされていませんが、アンインストールすることはできます。 ホットパッチ更新プログラムで予期しない問題が発生した場合は、ホットパッチ更新プログラムをアンインストールし、最新の標準累積的な更新プログラム (LCU) をインストールして再起動することで調査できます。 ホットパッチ更新プログラムのアンインストールは簡単ですが、デバイスを再起動する必要があります。

ホットパッチ更新プログラムのトラブルシューティング

手順 1: ホットパッチ更新プログラムがインストールされる前に、デバイスがホットパッチ更新プログラムとホットパッチ ベースラインの対象であることを確認する

ホットパッチは、ホットパッチ リリース サイクルに従います。 前提条件を確認して、デバイスがホットパッチ更新プログラムの 対象であることを 確認します。 前提条件を満たしていないデバイスについては、「 不適格デバイス」を参照してください。

最新のリリース スケジュールについては、 ホットパッチのリリース ノートを参照してください。 Windows 更新履歴の詳細については、「Windows 11バージョン 24H2 更新履歴」を参照してください。

手順 2: デバイスで仮想化ベースのセキュリティ (VBS) が有効になっていることを確認する

  1. [ スタート] を選択し、[検索] に「 System information 」と入力します。
  2. 結果から [システム情報 ] を選択します。
  3. [ システムの概要] の [ 項目] 列で、[ 仮想化ベースのセキュリティ] を見つけます。
  4. [ 値] 列で、[ 実行中] と表示されていることを確認します。

手順 3: ホットパッチ更新プログラムを有効にするようにデバイスが正しく構成されていることを確認する

  1. Intuneで、Autopatch 内で構成されているポリシーを確認し、[Windows Update>Quality Updates] ページに移動して、ホットパッチ ポリシーを対象とするデバイスのグループを確認します。
  2. ホットパッチ更新ポリシーが [許可] に設定されていることを確認します。
  3. デバイスで、[スタート>Settings>Windows Update>Advanced オプション>構成された更新ポリシー] を選択し>利用可能な場合は [ホットパッチを有効にする] を探します。 この設定は、デバイスが Autopatch によって構成されたホットパッチ更新プログラムに登録されていることを示します。

手順 4: コンパイル済みハイブリッド PE 使用量 (CHPE) を無効にする (Arm64 CPU のみ)

詳細については、「 Arm 64 デバイスでコンパイル済みハイブリッド PE 使用率 (CHPE) を無効にする必要があります (Arm 64 CPU のみ)」を参照してください。

手順 5: イベント ビューアーを使用して、デバイスにホットパッチ更新プログラムが有効になっていることを確認する

  1. [スタート] メニューを右クリックし、[イベント ビューアー] を選択します。
  2. フィルターで AllowRebootlessUpdates を検索します。 AllowRebootlessUpdates が 1 に設定されている場合、デバイスは自動パッチ更新ポリシーに登録され、ホットパッチ更新プログラムが有効になります。

"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

手順 6: ホットパッチ エラーがないか Windows ログを確認する

ホットパッチ更新プログラムは、デバイスにインストールされている更新プログラムの正常性をチェックする受信トレイ モニター サービスを提供します。 モニター サービスでエラーが検出された場合、サービスは Windows アプリケーション ログにイベントを記録します。 重大なエラーが発生した場合、デバイスは標準 (LCU) 更新プログラムをインストールして、デバイスが完全にセキュリティで保護されていることを確認します。

  1. [スタート] メニューを右クリックし、[イベント ビューアー] を選択します。
  2. フィルターで ホットパッチ を検索してログを表示します。