2019年12月13日金曜日

Workspace ONE UEM の Windows 10 更新プログラム管理 〜 更新プロファイル作成編 〜

このブログは、vExperts Advent Calendar 2019の14日目です。



こんにちは。
一昨日のブログに引き続き” Workspace ONE UEM の Windows 10 更新プログラム管理”と題して、Workspace ONE UEM で Windows 10 の更新プログラム管理がどの様に行えるかをご紹介します。
前回の「概要編」では Workspace ONE UEM では、なぜUEMで更新プログラム管理を行ったほうがいいのか? どのような仕組みで管理しているか? といった情報をご紹介しました。

今回は「更新プロファイル作成編」です。Workspace ONE UEM で Windows 10 の更新プログラムの適用管理をする場合、まず管理コンソールから更新プロファイル(設定)を作成してのWindows 10 に割り当てる必要があります。その更新プロファイルにどのような設定項目があるかをご紹介を致します。

※今回、Workspace ONE の操作を確認した環境はVMwareのハンズオンラボを使用させて頂きました。
HOL-2051-09-UEM - Workspace ONE UEM - Getting Started


■更新プロファイルを作成

では 更新プログラムの管理プロファイルを作成していきます。
Workspace ONE UEM の管理コンソールを開き、[デバイス]-[プロファイルとリソース]-
[プロファイル]-[追加]-[プロファイルを追加]をクリックします。



プラットフォームの選択から[ Windows ]を選択します。



次に[Windows デスクトップ]を選択します。このWindows デスクトップが Windows 10の設定の項目です。


[デバイスプロファイル] を選択します。


[全般]の設定項目から"名前"と"割り当てるグループ"を選択します。



[Windows 更新プログラム]をクリックし、[構成]をクリックします。



ここから制御したい項目を選び、設定を変更します。



この設定項目を開いてもらうとわかるのですが、たくさんの設定項目があります。下記リンクのVMwareのドキュメントに各設定項目の説明が記載されていますが、一部解説がない項目や背景も踏まえてご説明したい点もあるので、ポイントとなる項目を次から説明していきます。
・Windows 更新プログラム プロファイルを構成する (Windows デスクトップ)
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/1910/Windows_Desktop_Device_Management/GUID-AWT-PROFILE-WAU-CONFIGWD.html


■Windows更新プログラム プロファイルの設定項目

では、プロファイルの設定項目について説明します。Workspace ONE UEMで更新プログラムプロファイルを作成する際の参考になればいいなと思っています。

●ブランチを作成して延期

【Windows 更新ソース】
Windows 10 クライアントPCが更新プログラムのデータをどこから取得するか選択します。
[MICROSOFTアップデートサービス]を選択した場合、Microsoft の更新サーバーが取得します。
[WSUS]を選択した場合は、Windows Server Update Services (WSUS)から取得します。次の項目でWSUSからのURLを入力します。
※今回のブログの解説では基本的に [MICROSOFTアップデートサービス]を選択したことを前提としています。

【ブランチを更新】
Windows 10 の更新プログラム適用管理におけるチャネルを設定します。

ちょっと補足して説明すると、 Windows 10 では新しい更新プログラムの適用を、社内のデバイスをグループ分けし、グループ毎に徐々に適用していくように設計することを推奨しています。
例えば、[フェーズ1:IT管理者のデバイスに更新プログラムを適用]⇒[フェーズ2:一部のユーザーに適用]⇒[フェーズ3: 社内全体に適用]といった感じです。こういった管理を展開リングと呼びます。

・Windows 10 更新プログラムの展開リングの構築
https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-deployment-rings-windows-10-updates


この展開リングにそった管理を行う場合、機能更新プログラム適用タイミング( Windows 10 のOSバージョン更新タイミング)をチャネル(以前はブランチという名前でした)という形で指定し、機能更新プログラムの適用を遅延させることできます。(UEM管理コンソールの日本語表記がブランチとチャネルが混在しているのでご注意下さい。)


本題にもどり、この【ブランチを更新】の設定項目では、機能更新プログラムの適用タイミングのチャネルを指定します。

Windows Insider ブランチ - 低速/高速・・・正式リリース前、開発中のOSバージョン、Insider Buildが適用されます。高速(Fast)の場合は開発初期の機能が適用されたOSになり、低速(Slow)の場合は少し問題修正済みのOSとなります。主に開発者やIT管理者が使用するチャネルです。

企業内で多く使われるのが下記のチャネルになると思いますが、これもいろいろと変更があり注意点があります。
半期チャネル (対象指定)  ・・・新しいバージョンのWindows 10正式リリース後すぐに適用されます。Semi-Annual Channel Targeted (SAC-T)
半期チャネル・・・正式リリースから約4か月経過後にリリースされます。比較的安定版として企業の本番展開向け。Semi-Annual Channel(SAC)。

上記の設定、考え方が前提でした
というのもWindows 10 ver 1809以前のものはこの考え方の設定となりますが、ver 1903から Microsoftの考え方的には”半期チャネル (対象指定)”という名称がなくなりました。新しいバージョンのWindows 10正式リリース=[半期チャネル(SAC)]という考え方になり、Windows 10正式リリースされてからの適用はこの後説明する” 機能更新プログラムを延期する期間”の設定のみでコントロールする仕組みになります。


文にするとさらにややこしいのですが、設定の内容的には、[半期チャネル (対象指定)の設定]=[ver1903での半期チャネル]になります。下記CSPの設定を見るとおわかり頂けるかと思いますがどちらも設定値が16{0x10}になります。
・ポリシー CSP-更新プログラム
https://docs.microsoft.com/ja-jp/windows/client-management/mdm/policy-csp-update#update-branchreadinesslevel

また、ver1809以前の[半期チャネル]の設定値は32{0x20}ですが、ver1903以降はこの値が適用対象外となり設定値が16{0x10}の扱い、つまり新しい半期チャネルで設定されるようです。(上記リンクの英文のサイトのほうがわかりやすいかも)

この半期チャネルの設定をまとめると、機能更新プログラム適用(OSアップグレード)のタイミングは下記のような感じになります。
ver1809以前の場合
[半期チャネル (対象指定)]で設定した場合・・・リリースされている最新のOSになる
[半期チャネル]で設定した場合・・・SACリリース日から、設定した機能更新プログラムを延期する日数分遅延される(ver1809からver1903へのアップグレードの場合は延期日数+60日)
※延期日数+60日はver1903でSACの考え方が変わるための特別措置です。

ver1903以降の場合
[半期チャネル (対象指定)]で設定した場合・・・OSリリース日から、設定した機能更新プログラムを延期する日数分延期される
[半期チャネル]で設定した場合・・・上記と同様

Windows 10 のOSリリース情報はこちらをご参考ください。
・Windows 10 リリース情報
https://docs.microsoft.com/ja-jp/windows/release-information/


【機能更新プログラムを延期する期間 (日)】
機能更新プログラムをインストールするまでの延期日数です。上記、SACの設定と合わせて、OSアップグレードを延期します。ver1703以降の場合は最大365日延期可能です。(ver1703以前の場合は最大180日)

【機能更新プログラムを停止】
最大60日間すべての機能更新プログラムを停止します。この設定は一時的に使うもので、一つ前の設定” 機能更新プログラムを延期する期間 (日)”を上書きします。


【品質更新プログラムを延期する期間 (日)】
最大30日間、品質更新プログラムの適用を延期できます。


【品質更新プログラムを停止】
最大60日間すべての品質更新プログラムを停止します。この設定は一時的に使うもので、一つ前の設定” 品質更新プログラムを延期する期間 (日)”を上書きします。

【以前のバージョンの Windows 設定を有効にする】
ver1511以前の古いWindows 10に対する制御設定が表示されます。



●更新プログラムのインストール動作

【自動更新】
更新プログラムのインストール方法を設定します。下記のような選択肢から選択し、更新プログラムをインストールし再起動するときの条件を指定します。
・更新を自動インストールする
・更新を自動インストールし、ユーザーがコンピュータ再起動を自分でスケジュールすることを許可する
・更新を自動インストールし、指定した時間に再起動
・更新を自動インストールし、ユーザーによるコントロールパネルの変更を防止する
・更新を確認するが、ダウンロードとインストールの実行はユーザーが選択する
・更新を全く確認しない

この設定により多少この後の設定項目が変化します。私の印象としては、多くの企業の場合で「更新を自動インストールし、ユーザーがコンピュータ再起動を自分でスケジュールすることを許可する」になるかと思いますので、このブログでは基本的にはこれを選択したことを想定して以降を記載します。

【アクティブ時間 /最大(時間)/(開始)/(終了)】
Windows10のアクティブ時間を指定します。基本的にこの時間の間は更新プログラム適用による再起動が自動的に実行されません。


【品質更新プログラムの自動再起動の期限 (日)】(英語表記: Quality Updates Auto Restart Deadline (Days))
【品質更新プログラムの掛かり状態の再起動の期限 (日)】(英語表記: Quality Updates Engaged Restart Deadline (Days)
【品質更新プログラムの掛かり状態の再起動の保留をスケジュール (日)】(英語表記:Quality Updates Engaged Restart Snooze Schedule (Days))


設定画面の順番とは異なりますが、品質更新プログラムの適用時の再起動について複数似たような設定があるため合わせて説明します。

よくわからないワードとして”品質更新プログラムの掛かり状態の再起動”という記載がありますが、これは英語表記の場合“Quality Updates Engaged Restart”と記載されます。この” Engaged Restart”がポイントです。

品質更新プログラムが適用されてからWindows10の再起動が必要となるため再起動保留状態となりますが、この再起動保留状態は「Auto Restart」と「Engaged Restart」の2つの状態があります。
再起動保留状態になるとまず「Auto Restart」の状態になります。「Auto Restart」は、この前の設定で指定したアクティブ時間外で自動的に再起動を試みます。試みる期間は【品質更新プログラムの自動再起動の期限 (日)】で設定した期間です。
もし設定した期間でアクティブ時間外の再起動ができなかった場合、「Engaged Restart」の状態になり、デスクトップ上に再起動の実行タイミングを設定する通知が表示されます。この通知は【品質更新プログラムの掛かり状態の再起動の保留をスケジュール (日)】で設定した日数スヌーズすることができます。また、「Engaged Restart」は【品質更新プログラムの掛かり状態の再起動の期限 (日)】で指定した日数内に実行する必要があります。もし、指定期間を過ぎた場合、再起動が自動的にスケジュールされます。

※この設定は下記リンクなどを参考に記載していますが、詳細はご確認ください。(少し自信がない・・・)
・Enforcing compliance deadlines for updates - Deadline with user engagement
https://docs.microsoft.com/en-us/windows/deployment/update/wufb-compliancedeadlines#deadline-with-user-engagement
(ちなみに日本語のページもありますがとてもわかりにくい・・・)


【自動再起動通知をスケジュール (分)】
Auto Restart(アクティブ時間外で自動的に再起動)が発生する場合、予告が何分前に表示されるかを指定します。

【通知の解除には自動再起動が必要】
Auto Restart(アクティブ時間外で自動的に再起動)の通知を、自動で閉じるか(デフォルト)、ユーザーが閉じるかを指定します。

【再起動警告をスケジュール (時間)】
【再起動開始警告をスケジュール (分)】
スケジュールされた再起動が実行される前に警告を表示するタイミングをしています。


■更新ポリシー

【更新サービスを許可】
一般の Windows Update サービスからの更新プログラムを許可します。通常デフォルトのまま許可にします。

【Windows 更新プログラムを許可】
Microsoft Update からアプリの更新プログラムをスキャンするかどうかを選択します。

【更新スキャン間隔 (時間)】
更新プログラムのスキャン間隔を指定します。1〜22時間の間で指定します。

【デュアル スキャン】
WSUS クライアントが Windows Update サービスから更新プログラムを取得するようになってしまうという事象、デュアルスキャンを制御します。通常デフォルトのまま無効化にします。
・参考
https://blogs.technet.microsoft.com/jpwsus/2016/11/15/windows-10-1607-wufb/

【品質更新プログラムで Windows 更新プログラム ドライバを除外する】
【サードパーティ製の署名された更新プログラムをインストールする】
これらは設定項目がそのまま説明になっているので割愛します。

【モバイル オペレータのアプリ ダウンロード制限】
SIMを使用したデバイスで、アプリとその更新のためにモバイルネットワーク介した無制限のダウンロードを無効にします。

【モバイル オペレータのアップデート ダウンロード制限】
SIMを使用したデバイスで、OSの更新のためにモバイルネットワーク介した無制限のダウンロードを無効にします。

【Insider ビルド】
Windows Insider ビルドのダウンロードを許可します。一般のユーザーが使用するケースは許可しない、にするのが推奨です。


■管理者に承認された更新

【更新の承認が必要】
これを有効化した場合、管理者が更新プログラムの適用をWorkspace ONE UEMの管理コンソールで承認/割り当てしてからWindows10に適用されます。この機能を使用することで、オンプレミスで行っていたWSUSでの管理と同じようなイメージの管理が可能になります。

・Workspace ONE UEMの管理コンソールで更新プログラムの適用を割り当てる(承認)する画面



【自動承認された更新プログラム】
Workspace ONE UEMの管理コンソールによる更新プログラムの承認作業を必要とする更新プログラム種別と、必要としない更新プログラム種別を指定します。
例えば、機能更新プログラムは「許可しない」に設定して管理者による承認作業を必須とし、重要なセキュリティ更新プログラムやWindows Defenderのウイルス定義ファイルは「許可する」に設定して自動的にWindows10に適用されるようする、などの設定ができます。

【配信最適化】
こちらは別のブログに更に詳しく記載したいと思いますので今回は割愛します。

【Windows 8.1】
Windows 8.1に対して更新プログラムの管理設定が適用できます。詳細は割愛します。



以上がWindows 更新プログラムプロファイルの主な設定項目です。大変長文になってしまいました・・・。

このように、Workspace ONE UEMでのWindows 10 更新プログラム設定は、細かく制御が可能です。また、更新プログラムの承認機能によってWSUSでの管理と同じようなイメージの管理もできます。

次にこのブログでは今回割愛した配信最適化機能について記載したいと思います。


明日の vExperts Advent Calendar 2019 - Adventar は私のWorkspace ONE 師匠であるtatsuo8358 さんです。
どうぞ宜しくお願い致します。




0 件のコメント:

コメントを投稿