Windows Autopatch を使用してホットパッチ品質更新プログラムを展開する
Windows Autopatch を使用すると、Microsoft Entra テナント内のデバイスに Windows 更新プログラムを展開できます。 現在、Windows Autopatch では、Windows 10/11 機能更新プログラム、ホットパッチ品質更新プログラム、迅速な品質更新プログラム、ドライバー更新プログラムの展開がサポートされています。 このトピックでは、ホットパッチ品質更新プログラムのデプロイに焦点を当てます。 機能更新プログラムを展開する方法については、「機能更新プログラム のデプロイ」を参照してください。 迅速な品質更新プログラムを展開する方法については、「迅速 な品質更新プログラムをデプロイする」を参照してください。 ドライバーの更新プログラムを展開する方法については、「ドライバーの 更新プログラムを管理する」を参照してください。
ホットパッチ更新プログラムは、デバイスを再起動しなくてもインストールできる、毎月リリースされるセキュリティ更新プログラムです。 ダウンタイムと中断を減らすための設計です。 再起動の必要性を最小限に抑えることで、これらの更新プログラムを使用すると、デバイスのセキュリティを迅速に保護できるため、組織はワークフローを中断せずにセキュリティを維持しやすくなります。
既存の更新リング構成に変更は必要ありません。 既存のリング構成は、ホットパッチ ポリシーと共に適用されます。
前提条件
- デバイスは 、Windows Autopatch の前提条件を満たしています。
- オペレーティング システム: デバイスは 24H2 以降Windows 11実行する必要があります。
- VBS (仮想化ベースのセキュリティ): ホットパッチ更新プログラムを安全にインストールするには、VBS を有効にする必要があります。
手順 1: (省略可能) ホットパッチ更新プログラムの一覧を取得する
Windows Autopatch カタログ API にクエリを実行して、展開のコンテンツとしてデバイスに展開できるホットパッチ可能な更新プログラムの一覧を取得できます。
qualityUpdateCatalogEntry 型は品質更新プログラムを表します。
すべての品質更新プログラムは、 製品のリビジョンの一覧を参照します。 要求 URL に $expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions を追加して、各品質更新プログラムが影響を与えるオペレーティング システムビルドを特定します。
"isHotpatchUpdate": "true" プロパティは、ホットパッチ更新プログラムが使用可能な場合に識別します。
次の例では、短縮されたすべての Windows 品質更新プログラムを照会してホットパッチ更新プログラムを表示する方法を示します。
要求
次の例は要求を示しています。
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=1&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions/any(p:p/isHotpatchUpdate eq true)&$expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions&$orderby=releaseDateTime desc
応答
次の例は応答を示しています。
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries(microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves(),microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions(knowledgeBaseArticle()))",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "894b1ab760d378438d23b4992466c716627f4dfcff64b31ccb311861ed081f24",
"displayName": "09/10/2024 - 2024.09 B SecurityUpdate for Windows 10 and later",
"releaseDate": "2024-09-10T00:00:00Z",
"deployableUntilDateTime": null,
"releaseDateTime": "2024-09-10T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2024-09 Cumulative Update for Windows 10 and later",
"shortName": "2024.09 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 10,
"exploitedCves": [
{
"number": "CVE-2024-38014",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014"
},
{
"number": "CVE-2024-38217",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38217"
},
{
"number": "CVE-2024-38226",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38226"
},
{
"number": "CVE-2024-43461",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461"
},
{
"number": "CVE-2024-43491",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491"
}
]
},
"productRevisions": [
{
"id": "10.0.22000.3197",
"displayName": "Windows 11, version 21H2, build 22000.3197",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22000,
"updateBuildRevision": 3197
},
"knowledgeBaseArticle": {
"id": "KB5043067",
"url": "https://support.microsoft.com/help/5043067"
}
},
{
"id": "10.0.19044.4894",
"displayName": "Windows 10, version 21H2, build 19044.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19044,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.19045.4894",
"displayName": "Windows 10, version 22H2, build 19045.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19045,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.22631.4169",
"displayName": "Windows 11, version 23H2, build 22631.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "23H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22631,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.22621.4169",
"displayName": "Windows 11, version 22H2, build 22621.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22621,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.26100.1656",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1656",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": true,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1656
},
"knowledgeBaseArticle": {
"id": "KB5043088",
"url": "https://support.microsoft.com/help/5043088"
}
},
{
"id": "10.0.26100.1742",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1742",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1742
},
"knowledgeBaseArticle": {
"id": "KB5043080",
"url": "https://support.microsoft.com/help/5043080"
}
}
]
}
]
}
手順 2: デプロイ対象ユーザーを作成する
展開対象ユーザーは、展開するコンテンツ、コンテンツを展開する方法とタイミング、ターゲット デバイスを指定します。 次の例は、デプロイ対象ユーザーを作成する方法を示しています。
要求
次の例は要求を示しています。
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences
Content-Type: application/json
{
}
応答
次の例は応答を示しています。
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deploymentAudiences/$entity",
"id": "f660d844-30b7-46e4-a6cf-47e36164d3cb",
"applicableContent": []
}
手順 3: 展開対象ユーザーにデバイスを割り当てる
デプロイが作成されたら、 展開対象ユーザーにデバイスを割り当てることができます。 展開対象ユーザーが正常に更新されると、Windows Updateは展開設定に従って関連するデバイスに更新プログラムを提供します。
デバイスがデプロイ対象ユーザーのメンバーまたは除外コレクションに追加されると、システムは azureADDevice オブジェクトがまだ存在しない場合に作成することで、デバイスを自動的に登録します。
次の例は、展開対象ユーザーのメンバーとしてMicrosoft Entraデバイスを追加する方法を示しています。
要求
次の例は要求を示しています。
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/f660d844-30b7-46e4-a6cf-47e36164d3cb/updateAudience
Content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b1"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b2"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b3"
}
]
}
応答
次の例は応答を示しています。
HTTP/1.1 202 Accepted
手順 4: デプロイを作成する
展開では、 展開 するコンテンツ、コンテンツを展開する方法とタイミング、ターゲット デバイスを指定します。 ホットパッチ品質更新プログラムの場合、プロセスは対象ユーザーへの最新のセキュリティ更新プログラムのデプロイに優先順位を付けます。 最新のホットパッチ セキュリティ更新プログラムが利用できない場合、またはデバイスが不適格な場合、展開では最新の累積的な更新プログラムが自動的に提供され、デバイスは最新のセキュリティまたは品質の向上を確実に受け取ります。 デバイスでの遅延のクライアント側ポリシーが適用されます。
この手順では、手順 2 で作成したデプロイ対象ユーザー ID が必要です。
"isHotpatchEnabled": "true" プロパティは、対象ユーザーが該当する場合にホットパッチ更新プログラムを受け取ることを選択します。
要求
次の例は要求を示しています。
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.updatePolicy",
"audience": {
"id": " f660d844-30b7-46e4-a6cf-47e36164d3cb "
},
"autoEnrollmentUpdateCategories": [
"quality"
],
"complianceChangeRules": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.contentApprovalRule",
"contentFilter": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateFilter",
"classification": "security",
"cadence": "monthly"
},
"durationBeforeDeploymentStart": "P7D"
}
],
"deploymentSettings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"userExperience": {
"isHotpatchEnabled": true
}
}
}
応答
次の例は応答を示しています。
HTTP/1.1 201 Created
デプロイ後
展開対象ユーザーに割り当てられているすべてのデバイスが最初に更新プログラムを提供された後、デバイスの接続などの要因により、すべてのデバイスが更新プログラムを開始または完了したわけではありません。 デプロイがまだ存在する限り、割り当てられたデバイスが再接続されるたびに、Windows Updateによって更新プログラムが提供されるようになります。