セキュリティ パッチおよび更新管理のための Microsoft Intune の構成

セキュリティ パッチおよび更新管理のための Microsoft Intune の構成

2025/02/08

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Intune を構成および使用して、Windows デバイス上のセキュリティ パッチと更新プログラムを効果的に管理する方法をガイドすることを目的としています。絶えず進化するサイバー脅威の状況において、オペレーティング システムとアプリケーションを最新の状態に保つことは、脆弱性を軽減し、攻撃から組織を保護するための最も重要なセキュリティ対策の 1 つです。 Microsoft Intune は、統合エンドポイント管理 (UEM) ソリューションとして、更新プロセスを自動化および制御するための強力なツールを提供します [1]。

はじめに

セキュリティ パッチやアップデートの欠如は、セキュリティ侵害の主な原因の 1 つです。オペレーティング システムやソフトウェアの既知の脆弱性は攻撃者によって頻繁に悪用されるため、効率的で自動化されたパッチ管理プロセスが不可欠となっています。従業員が分散し、さまざまなデバイスが存在する現代の企業環境では、手動による更新管理は非現実的であり、エラーが発生しやすくなっています。ここで Microsoft Intune が威力を発揮し、Windows デバイスの更新を管理および展開するための一元的なプラットフォームを提供し、デバイスの安全性と準拠性を確保します [2]。

Microsoft Intune を使用すると、セキュリティおよびセキュリティ以外の修正を提供する 品質更新 や、新機能や改善を提供する 機能更新 など、さまざまな種類の Windows 更新プログラムを管理できます。管理者は、アップデート リング ポリシーと機能アップデート プロファイルを通じて、アップデートをいつどのように展開するかを制御し、段階的なロールアウトを可能にしてリスクを最小限に抑え、互換性を確保できます。さらに、Intune は、更新プログラムのコンプライアンス状態を監視し、問題をトラブルシューティングする機能を提供します [3]。

このハウツー ガイドでは、Intune での更新リングと機能更新プログラムのプロファイルの設定、Windows デバイスへの更新プログラムの展開、更新プログラムのコンプライアンスの監視、問題を特定して解決するためのレポートの使用方法について説明します。読者がこれらの機能を実装、テスト、検証できるように、段階的な手順、実践的な例、および簡潔な説明が提供されます。さらに、効果的、自律的、専門的かつ信頼性の高いパッチおよびセキュリティ更新管理を確保するための、セキュリティのヒント、コンプライアンスのチェック、ベスト プラクティスについても説明します。

Microsoft Intune がパッチ管理に重要なのはなぜですか?

  • 自動化と効率: アップデートの配信を自動化し、管理上の負担を軽減し、デバイスを常に最新の状態に保ちます。
  • 粒度の高い制御: 管理者は、アップデートをいつ、どのように、どのデバイスに適用するかに関する詳細なポリシーを設定でき、段階的なロールアウトをサポートします。
  • セキュリティの強化: 最新のセキュリティ修正が迅速に適用され、脆弱性が軽減され、既知のエクスプロイトから保護されます。
  • コンプライアンス: デバイスを内部セキュリティ ポリシーおよび規制要件に準拠した状態に保つのに役立ちます。
  • 可視性とレポート: 更新ステータスを監視し、非準拠デバイスを特定し、問題をトラブルシューティングするためのダッシュボードとレポートを提供します。
  • ユーザー エクスペリエンス: アクティブな時間枠を構成し、期限を再起動して、更新によるユーザーの生産性への影響を最小限に抑えることができます。

前提条件

セキュリティ パッチと更新を管理するために Microsoft Intune を構成するには、次のものが必要です。

  1. ライセンス: Microsoft Intune ライセンス (通常、Microsoft 365 E3/E5、Enterprise Mobility + Security E3/E5 サブスクリプションに含まれています) [4]。
  2. 管理アクセス: Microsoft Intune 管理センター (https://intune.microsoft.com) の「グローバル管理者」または「Intune サービス管理者」のロールを持つアカウント。
  3. 登録された Windows デバイス: 登録された Windows 10/11 デバイスMicrosoft Intune で作成されました。デバイスは、Windows Update (Windows Update for Business) から更新プログラムを受信するように構成されている必要があります [5]。

ステップバイステップ: パッチ管理用に Microsoft Intune を構成する

Windows デバイスの更新ポリシーを構成しましょう。

1. Windows 用のアップデート リングの作成

アップデート リングは、品質アップデートとセキュリティ以外のアップデートをいつどのようにデバイスに適用するかを管理するポリシーです。

  1. ブラウザーを開き、Microsoft Intune 管理センター (https://intune.microsoft.com) に移動します。
  2. 必要な権限を持つアカウントでログインします。
  3. 左側のナビゲーション ペインで、デバイス > プラットフォーム別 > Windows を選択します。
  4. 「更新の管理」で、Windows Update リング を選択します。

  5. 「+ プロファイルの作成」をクリックします。

  6. 基本:

    • 名前: 意味のある名前を付けます (例: Anel_Atualizacao_Piloto_Windows)。
    • 説明: 明確な説明を入力します (例: 「最小限の遅延でパイロット グループの呼び出し音を更新します。」)。

  7. 「次へ」をクリックします。

  8. リング設定を更新:

    • 品質アップデート設定:
      • 品質アップデートのメンテナンス レベル: 「一般提供チャネル」。
      • 品質更新の延期期間 (日): 0 (パイロット グループの場合、できるだけ早く更新を受信するため)。大人数のグループの場合は、「3」日から「7」日を設定できます。
      • ドライバー更新延期期間 (日): 0 (ドライバーをテストする場合はより大きな値)。
    • 機能更新設定:
      • 機能更新メンテナンス レベル: 「一般提供チャネル」。
      • 機能更新延期期間 (日): 0 (パイロット グループの場合)。大規模なグループの場合は、「30」日から「60」日を設定できます。
    • エンド ユーザー エクスペリエンスの設定:
      • 自動更新動作: メンテナンス時に自動的にインストールして再起動します
      • インストール後の再起動: メンテナンス時に自動的に再起動
      • アクティブ時間: 「ユーザーが制御するアクティブ時間」。
      • 再起動の期限 (日): 2 (パイロット グループの場合)。大人数の場合は「5」~「7」日。

  9. 「次へ」をクリックします。

  10. スコープ タグ: 必要に応じてスコープ タグを追加します。 「次へ」をクリックします。

  11. 割り当て: この更新リングを Azure AD デバイス グループ (例: Pilot_Device_Group) に割り当てます。

  12. 「次へ」をクリックします。

  13. 確認+作成: 設定を確認し、作成をクリックします。

    • 説明: 更新プログラムの段階的なロールアウトを可能にして、互換性問題のリスクを最小限に抑えるには、延期期間が異なる複数の更新リング (パイロット、高速、低速など) を作成する必要があります。

2. Windows の機能更新プログラム プロファイルの作成 (Windows 10 以降の機能更新プログラム)

機能更新プロファイルを使用すると、デバイスのターゲットを Windows の特定のバージョン (Windows 11 22H2 など) に設定できます。

  1. Microsoft Intune 管理センターの左側のナビゲーション ウィンドウで、デバイス > プラットフォーム別 > Windows を選択します。
  2. [更新の管理] で、Windows 10 以降の機能更新 を選択します。

  3. 「+ プロファイルの作成」をクリックします。

  4. 基本:

    • 名前: 意味のある名前を付けます (例: Atualizacao_Recurso_Windows11_23H2)。
    • 説明: 明確な説明を入力します (例: 「対象デバイスへの Windows 11 23H2 の展開」)。

  5. 「次へ」をクリックします。

  6. 機能アップデートの設定:

    • デプロイするリソースのバージョン: 必要なバージョンを選択します (例: 「Windows 11、バージョン 23H2」)。
    • 利用可能日: デバイスにアップデートが利用可能になる日付を設定します。
    • 終了日: オプションで、アップグレード特典の終了日を設定します。

  7. 「次へ」をクリックします。

  8. スコープ タグ: 必要に応じてスコープ タグを追加します。 「次へ」をクリックします。

  9. 割り当て: このプロファイルを Azure AD デバイス グループ (例: Windows11_Device_Group) に割り当てます。

  10. 「次へ」をクリックします。

  11. レビューと作成:設定を確認し、[作成] をクリックします。

    • 説明: このプロファイルは、割り当てられたグループ内のデバイスが特定のバージョンの Windows 11 23H2 を確実に受信できるようにします。機能の更新を広範囲に展開する前に、小規模なグループでテストすることが重要です。

3. 更新ステータスの監視

Intune は、更新の進行状況とコンプライアンスを監視するためのダッシュボードとレポートを提供します。

  1. Microsoft Intune 管理センターの左側のナビゲーション ウィンドウで、デバイス > プラットフォーム別 > Windows を選択します。
  2. 「更新の管理」で、Windows Update リング を選択します。
  3. 監視したいアップデートリングをクリックします (例: Anel_Atualizacao_Piloto_Windows)。

  4. アップデート リングの概要では、「デバイス展開ステータス」と「ユーザー更新ステータス」を確認できます。これらには、準拠しているデバイスの数、エラーのあるデバイスの数などが表示されます。

  5. さらに詳細なレポートを表示するには、Intune 管理センターの左側のナビゲーション ウィンドウで、レポート > Windows Updates を選択します。

  6. ここには、「Windows Update コンプライアンス レポート」や「Windows 機能更新レポート」などのレポートがあり、組織内の更新プログラムのステータスを包括的に把握できます。

検証とテスト

更新ポリシーをテストして、期待どおりに機能し、デバイスが更新を正しく受信することを確認することが重要です。

1. アップデートリングのテスト (品質アップデート)

  1. シナリオ: テスト Windows デバイスを Intune に登録し、「Pilot_Device_Group」に割り当てます。
  2. 期待されるアクション: デバイスは、「Anel_Atualizacao_Piloto_Windows」ポリシーに従って品質更新プログラムを受信して​​インストールする必要があります (遅延は 0 日、つまりすぐに)。
  3. 検証:
    • テスト デバイスで、「設定」 > 「Windows Update」に移動し、更新履歴を確認します。
    • Intune 管理センターで、「Anel_Atualizacao_Piloto_Windows」の「デバイス展開ステータス」と「Windows Update コンプライアンス レポート」をチェックして、デバイスが準拠していることを確認します。
    • デバイス上のコマンド (管理者として PowerShell): ```パワーシェル Get-WindowsUpdateLog 「」
      • 説明: このコマンドは、トラブルシューティングに役立つ Windows Update アクティビティの詳細なログを生成します。

2. リソース更新プロファイルのテスト

  1. シナリオ: テスト Windows デバイスを Intune に登録し、「Windows11_Device_Group」に割り当てます。
  2. 予想されるアクション: デバイスは「Windows 11 機能更新プログラム、バージョン 23H2」を受信して​​インストールする必要があります。
  3. 検証:
    • テスト デバイスで、「設定」 > 「システム」 > 「バージョン情報」に移動し、「Windows バージョン」を確認します。
    • Intune 管理センターで、「Atualizacao_Recurso_Windows11_23H2」プロファイルの「デバイス展開ステータス」と「Windows 機能更新レポート」を確認します。

セキュリティのヒントとベスト プラクティス

  • アップデート リング戦略: 段階的なアップデート リング戦略 (パイロット、小規模、中規模、大規模など) を実装して、デバイスのサブセットでアップデートをテストしてから、広範囲に展開します。これにより、中断のリスクが最小限に抑えられます。
  • メンテナンス期間: ユーザーの生産性への影響を最小限に抑えながら、アップデートが適時に適用されるように、メンテナンス期間と再起動期限を構成します。
  • 継続的な監視: Intune で更新準拠レポートを定期的に監視し、非準拠デバイスまたは更新エラーのデバイスに対するアラートを設定します。
  • 互換性テスト: 主要な機能アップデートを展開する前に、環境内の重要なアプリケーションおよびハードウェアとの互換性テストを実行します。
  • 配信の最適化: 配信の最適化などの機能を使用して、組織全体にアップデートを配布する際のネットワーク帯域幅の消費を削減します。
  • ドライバー管理: ドライバーの更新には注意してください。問題のあるドライバーはクラッシュを引き起こす可能性があるため、ドライバーの更新を遅らせるか、広範囲に展開する前に広範囲にテストすることを検討してください。システム内の能力。
  • Microsoft Defender for Endpoint との統合: Intune と Defender for Endpoint は連携してエンドポイントのセキュリティを確保します。 Defender for Endpoint は、パッチで修正できる脆弱性に関する洞察を提供します。

一般的なトラブルシューティング

  • デバイスはアップデートを受信しません:
    • デバイスが Intune に登録されていること、および更新/機能リング ポリシーが正しいデバイス グループに割り当てられていることを確認します。
    • デバイスで、Windows Update への接続を確認します。コマンド プロンプトから wuauclt.exe /reportnow (Windows 10 の場合) または usoclient StartScan (Windows 11 の場合) を実行します。
    • PowerShell の「Get-WindowsUpdateLog」を使用して、デバイス上の Windows Update ログを確認します。
    • Intune の「アクティブ時間」設定を確認してください。デバイスが常にアクティブな時間内にある場合、アップデートをインストールするために再起動しないことがあります。
  • アップデートのインストールに失敗します:
    • デバイスの Windows Update ログで特定のエラー コードを確認してください。
    • デバイスに十分なディスク容量があることを確認してください。 ※既存のソフトウェアやドライバーとの互換性の問題が原因である可能性があります。制御された環境でテストします。
    • Windows Update サービスとのデバイスのネットワーク接続を確認します。
  • デバイスは Intune レポートに準拠していると表示されません:
    • コンプライアンス状況が Intune に報告されるまでに時間がかかる場合があります。数時間待ちます。
    • デバイスがアクティブであり、Intune と通信していることを確認してください。
    • コンプライアンス ポリシーがデバイスに正しく割り当てられていることを確認します。
  • 誤検知 (デバイスは非準拠のように見えますが、最新です): ※デバイスのアップデート状況を手動で確認してください。最新の場合は、Intune のレポートが遅れている可能性があります。
    • デバイス上で Intune クライアント管理サービスを再起動します (net stop dmwappushservice && net start dmwappushservice)。

結論

Microsoft Intune は、Windows 環境でセキュリティ パッチとアップデートを管理するために不可欠なツールです。 Intune を使用すると、品質および機能の更新プログラムの展開を自動化し、プロセスをきめ細かく制御できるため、組織はデバイスを安全に保ち、サイバー脅威に対する最新の保護に準拠できるようになります。回復力のある IT 環境を確保するには、継続的な監視とプロアクティブな問題解決とともに、アップデート リング戦略を導入することが重要です。この実用的なガイドにより、セキュリティ専門家と IT 管理者は Microsoft Intune の構成、検証、管理を行うための十分な準備を整え、エンドポイント セキュリティ体制を強化し、組織の資産を保護できるようになります。

参考文献:

[1] Microsoft Learn。 Intune で Windows ソフトウェア更新プログラムを管理。入手可能場所: https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] Microsoft Learn。 Microsoft Intune とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/intune/overview [3] Microsoft Learn。 Intune を使用して Windows 更新プログラムを管理。入手可能場所: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] Microsoft Learn。 Microsoft Intune ライセンス。入手可能場所: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] Microsoft Learn。 Intune で Windows Update リングを設定します。入手可能場所: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] Microsoft Learn。 Intune で Windows 10 以降の機能更新プログラムを構成します。入手可能場所: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updatesテス) [7] Microsoft Learn。 Windows Update は Intune でレポートします。入手可能場所: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports