Workspace ONE UEM の Windows 10 更新プログラム管理 〜 更新プログラムの確認・承認 〜

前回に引き続き、” Workspace ONE UEM の Windows 10 更新プログラム管理”をテーマに、Workspace ONE UEM で Windows 10 の更新プログラム管理がどの様に行えるかをご紹介します。

【前回までの記事はこちら】
概要編
更新プロファイル作成編
配信最適化(P2P配信)設定編
プロファイルの適用編 

 

今回は、実際にWorkspace ONE UEMで管理されたWindows 10デバイスに対し、Workspace ONE UEMの管理コンソールで更新プログラムの管理がどのように行えるかを具体的に以下の流れで確認します。

1.管理者がデバイスの更新プログラム適用状態を確認
2.管理者がインストールを行うように承認
3.更新プログラムがデバイスにインストールされる
4.管理者が更新プログラムがインストールされたことを確認
 
 
※前回に引き続き、vExpertの特典で使用可能になったTestDriveのサンドボックス環境を使用します。vExpertの特典以外にも、VMwareのパートナー企業であれば、指定のVTSPを取得すれば利用可能になります。エンドユーザーの場合はパートナー企業やVMware社員から招待があれば期間限定ですが利用可能になります。
また、VMUG Advantage メンバーの方も使えるようです。

・Getting Started with TestDrive
https://kb.vmtestdrive.com/hc/en-us/articles/360001372254-Getting-Started-with-TestDrive

 

 

■今回のデモ環境・更新プログラム プロファイルの設定概要

前回のブログで紹介したように、Workspace ONE UEMでWindows 10 ver1909(仮想マシン)×3台を管理し、更新プログラム プロファイルを適用した環境を使用します。更新プログラム プロファイルの設定内容は前回のブログをご確認ください。

 

 

■更新プログラムの状態確認

Workspace ONE UEMの管理コンソールからデバイスの更新プログラム適用状態を確認します。
Workspace ONE UEMのデバイスリスト画面を表示し、確認したいデバイスをクリックします。

 

 

デバイス詳細画面が表示されます。画面上部のフレンドリ名(ホスト名)の下に表示されている”10.0.18363”はWindows 10のOS build を表しており、この値の場合、ver1909であることが示されています。（バージョンとOSのビルド番号はこちらのMicrosoftのドキュメントで確認できます。）

[更新]タブをクリックして表示すると、このデバイスにインストール済み更新プログラム、承認済みの更新プログラム、新たに利用可能な更新プログラムの一覧が表示されます。

※承認についてはこの後で補足します。

 これらの情報は管理デバイスから報告された情報を元に表示しています。
 
また、デバイス単位での確認ではたくさんのデバイスがある場合に管理しきれないかと思います。
Workspace ONE UEMでは更新プログラム単位での確認もできます。
管理コンソールで[デバイス]-[デバイス更新]の順にクリックします。
Windows更新プログラムの一覧が表示され、画面右側の[表示]をクリックすると、選択した更新プログラムに対する状態とデバイス数が確認できます。例えば下記画面では、Feature update to Windows 10, version 2004(Windows 10 ver2004の機能更新プログラム)がインストール保留状態(処理中)であることがわかります。

 

 
この状態表示(上記画面だと[インストール保留中]の文字)をクリックすると、その状態のデバイスがリスト表示されるので、台数だけでなく、対象デバイスが何なのかもドリルダウンで確認ができます。

 

■更新プログラムの承認について

次にWorkspace ONE UEMの管理コンソールから更新プログラムの承認を行い、デバイスに更新プログラムを適用してみますが、その前に、更新プログラムの承認について少し補足をしたいと思います。(概要編でも少し記載していますが)
通常Windows 10の標準機能として提供される” Windows Update for Business”では、機能更新プログラムや品質更新プログラムの適用延期日数を指定して管理します。そのため、延期日数が来ると自動的にMicrosoftのUpdate Serverや配信最適化の仕組みを使ってデバイスが更新プログラムを取得します。
 
Workspace ONE UEMの更新プログラム管理では、上記” Windows Update for Business”の設定をデバイスに適用して管理する方法にプラスして、管理者が更新プログラムをWorkspace ONE UEMの管理コンソールで”承認”することでデバイスがダウンロード、インストール処理を開始する、従来のWSUS管理に近い仕組みを利用できます。
 
この承認機能を使う場合、管理手法として大きく分けて2つのパターンがあります。
<1>すべての更新プログラムに対して管理者の承認を必要とする
<2>指定した種類の更新プログラムは自動承認とし、一部の更新プログラムは管理者の承認を必要とする
 
上記のような承認の設定は、更新プログラム プロファイルで設定します。

 

まず、[更新の承認が必要]を”有効化”した場合は、承認機能が有効になります。
（”無効化”にすると承認を使わないことになるので、Windows Update for Businessの延期日数が来たら自動でインストール開始となります）

次の[自動承認された更新プログラム]を”許可しない”にした場合はパターン<1>の、 すべての更新プログラムに対して管理者の承認を必要とする管理パターンになります。

[自動承認された更新プログラム]を”許可する”にした場合は、パターン<2>の管理パターンになり、更新プログラムの種類毎に、自動で許可済み(自動承認)にするか、許可しない(管理者の承認が必要)の状態にするか、を選択ことができます。
例えば、デフォルトの設定では、重要・ウイルス定義・セキュリティ更新は自動で承認される設定になっており、機能更新プログラムなどのその他更新プログラムは管理者の承認が必要な設定になっています。
 
どういった管理パターンが良いかは、企業の社内システムや規模、管理者の有無によっても変わってきます。
私の個人意見としてはすべての更新プログラムの承認を管理者が行うのは大変な場合が多いと思うので、デフォルトの設定のように機能更新プログラムなどの影響度の大きい一部の更新プログラムは管理者の承認を必要とし、その他の更新プログラムは自動で承認される管理パターン<2>が良いかなと思います。

 

■更新プログラムの承認操作について

では、実際にWorkspace ONE UEMの管理コンソールでの更新プログラム承認動作を確認してみたいと思います。

今回は管理デバイスに対して承認が必要になっている"2020-01 Update for Windows 10 Version 1909 for x64-based Systems (KB4497165)"の更新プログラムを承認してみます。(下記リストの一番上に表示されている更新プログラムです)

 

先程確認した、デバイス単位での更新プログラム一覧確認画面で対象の更新プログラムを選択し、上部の[承認]をクリックします。これだけです。

 

  

この承認以降に、Windows 10クライアント側で更新プログラムのチェック処理が開始されると更新プログラムのダウンロード、インストールが実施されます。

 

 

インストール、再起動完了後に、デバイスがWorkspace ONE UEMと通信をし、更新プログラムの状態を報告すると、Workspace ONE UEM管理コンソールで承認した更新プログラムがデバイスにインストールされていることが確認できるようになります。

 

 ※更新プログラム名左側のアイコンかグリーンになり、インストール済みのステータスになってます。

 

 

また、更新プログラムの状態確認と同様に更新プログラム単位で確認し、グループに対してまとめて承認することも可能です。実際の運用としてはこちらのほうが多いかと思います。

管理コンソールで[デバイス]-[デバイス更新]の順にクリックし、Windows更新プログラムの一覧を表示します。

※グループに対しての承認は、最上位組織グループである”カスタマー組織”のみで実施できます。下部組織で管理している場合は最上位組織グループに移動が必要です。

適用したい更新プログラムを選択し、[割り当て]をクリックします。

 

 

更新プログラムを承認するグループ(スマートグループ)を選択し、追加します。

[デバイス割り当て表示]をクリックすると対象の管理デバイスが表示されます。 

割り当てが完了すると、更新プログラムの一覧表示に割り当て済みのグループが表示されるようになります。

 

■まとめ

以上でWorkspace ONE UEMによる更新プログラム管理の確認・承認は終わりです。
管理しているデバイスの状態を確認し、管理者が更新プログラムの適用を許可(承認)、デバイスが更新プログラムをインストール、インストールされたことを管理社が確認する、といった一連の流れがご紹介できたと思います。
次は、同じ環境を使用し他のWindows 10デバイス間で配信最適化機能を使用して配信していることを確認したいと思います。

■Appendix

ついでに、機能更新プログラムを適用した場合を紹介します。
ちょっと、他の更新プログラムと結果表示が違う場合があるようなので…
Feature update to Windows 10, version 2004(Windows 10 ver2004の機能更新プログラム)を承認してみます。
 
デバイス単位での更新プログラム一覧確認画面で、Feature update to Windows 10, version 2004を選択し、上部の[承認]をクリックします。

 

 

 

この承認以降に、Windows 10クライアント側で更新プログラムのチェック処理が開始されると更新プログラムのダウンロード、インストールが実施されます。

 

 

インストール、再起動完了後に、デバイスがWorkspace ONE UEMと通信をすると、機能更新プログラムの場合OSのbuild番号が変わるので、画面上部のフレンドリ名(ホスト名)の下に表示されている”10.0.19041”になっており、ver2004に更新されていることがわかります。

ここを確認することで「機能更新プログラムが適用されOSがバージョンアップされたな」ということがわかります。

ただ、ちょっとここからが注意が必要で…

更新プログラムのリスト表示を確認すると、ぱっと見わかりにくいですが、Feature update to Windows 10, version 2004(Windows 10 ver2004の機能更新プログラム)自体がリストから表示されなくなり、このブログ記事の本章で紹介したようにここのリストからは「インストール済み」なのかどうかがわからなくなってしまいます。

リスト表示左側のフィルタで[交換済み]を表示するように選択すると、先程承認したFeature update to Windows 10, version 2004が表示されます。（リストの真ん中あたり）

これはおそらくですが、クライアントデバイスから報告される更新プログラムの情報(何の更新がインストールされていて、新しくインストール可能な更新があるのか、など)が、OSのバージョンの更新により変更され、Workspace ONE UEMの管理コンソール的に承認済みや、インストール済みのステータスになっていた更新プログラムの状態が判断できなくなってしまったために、[交換済み(Replaced)]の表記になっているのかなと思います。

私個人の見解で確証はないのでご注意ください。

（明確に案内されているドキュメントが見つけられませんでした…）

 

前述のようにOS build番号を確認することで、機能更新プログラムがインストール済みであることは確認が可能かと思いますが、このように一部の更新プログラムについてインストール完了確認方法が違う場合があり注意が必要ですね。