April 21, 2020 5:52 am

リモート デバイスへの Windows 月例更新プログラムの展開を最適化

※ 本ブログは、米国時間 4/15 に公開された “Optimize Windows monthly update deployment for remote devices” の抄訳です。

この記事では、組織のリモート デバイスへの Windows 月例品質更新プログラム (パッチ) の配信と展開を最適化する方法をご紹介します。更新プログラムのサイズと帯域幅消費を最小限に抑え、更新のスピードと一貫性を高め、エンド ユーザーへの影響と依存度を軽減するためにはどうすればよいか、具体的な推奨事項をお伝えします。

マイクロソフトでは、IT 担当者リモート ワーカーの安全、セキュリティ、生産性を確保するために活用できるソリューションのガイダンスを公開しています。詳細は弊社の COVID-19 対応ページをご覧ください。たとえば、Rob York のブログ記事「Microsoft Endpoint Configuration Manager のクラウド管理ゲートウェイを使用してリモート マシンを管理 (英語)」と「リモート ワーク環境で Configuration Manager を使用してパッチ チューズデーに対応 (英語)」では、リモート ワーク環境の Windows の更新管理に役立つ、仮想プライベート ネットワーク (VPN) 構成の規範的なガイダンスを紹介しています。また、Microsoft Endpoint Configuration Manager のクラウド管理ゲートウェイ (CMG) とクラウド配布ポイント (CDP) を使用して組織がリモート デバイスを管理する際に、スプリットトンネル VPN がある場合とない場合のシナリオについて解説しています。

組織に合わせた更新プログラムの管理

最適化された状態とは、すべてのデバイスで最新またはほぼ最新のバージョンの Windows 10 を実行し、インターネットから直接、またはスプリットトンネル VPN のインターネット側を経由して、Windows Update で毎月の品質更新プログラムを受信できることです。

現在 Windows Update for Business を使用して Windows 10 バージョン 1903 以降を実行しているお客様ならば、最適化された Windows 品質更新プログラムのサービスを受けられているため、特別な対応は必要ありません。

しかし、ほとんどの組織ではさまざまなバージョンの Windows 10 が混在しているため、更新プログラムをデバイス エコシステム全体で適切に管理できるようにする必要があります。また、スプリットトンネル VPN を使用していない組織も少なくありません。現状として、展開プロセスに大きな変更を加えるのは大きなリスクがあると判断されるケースもあるでしょう。そうした点を踏まえつつ、マイクロソフトは皆様がリモート ワーカーとデバイスをより適切にサポートできるよう支援していきたいと考えています。

Windows 10 はこの 5 年間で大きく進化しています。更新プログラムをリリースするたびに、Windows 10 の更新プロセスをさらに簡略化できるよう積極的に取り組んできました。お客様からのフィードバックを基に、更新プロセスの改善 (英語) や更新プログラム パッケージのサイズ ダウンを進めています。ここからは、改善点やその利用方法について説明します。

更新プログラムのサイズと帯域幅消費を最小化

Windows Server Update Service (WSUS) や Configuration Manager などのオンプレミス ツールを使用して、組織のネットワークまたは VPN 経由で更新プログラムを管理、配布する場合、帯域幅の消費が大きな懸念事項となります。

帯域幅の消費を抑制する鍵は、各デバイスで毎月ダウンロードされる更新プログラムのサイズを最小限に抑えることです。累積更新プログラム全体をダウンロードするのではなく、デバイス状態を最新に維持し、パッチを適用したり保護したりするのに必要な変更のみをダウンロードします。マイクロソフトは「高速インストール」で特定のデバイスに必要な変更のみをダウンロードできるようにしており、ダウンロード サイズを最大で 80 ~ 85% 削減できます。実際に帯域幅の消費を抑制する手順を説明します。

メモ: Windows Update for Business などの Windows Update サービスから月例更新プログラムを直接受信するようデバイスを構成している場合、既定でファイルが自動的に高速インストールを使用します。

Windows の更新の最適化

クラウドベースのアップデート方法をまだ活用しておらず、Configuration Manager でオンプレミスの WSUS や BranchCache を使用して更新プログラムをデバイスに展開しているお客様は、以下を参考にしてみてください。

バージョン 1809 より前の Windows 10 を実行している組織では、更新プログラムの高速インストールを有効化することで、各クライアント デバイスのダウンロード帯域幅を大幅に節約できます。ただし、配布ポイントとサーバーで必要になる記憶域スペースは増加します。Windows 10 バージョン 1809 以降ではサービスが改善されており、クライアントのダウンロード サイズだけでなく配布サーバーの記憶域スペースの使用量も大幅に削減されます。

1: 更新プログラム全体のサイズと高速インストール ファイルのサイズを比較したグラフ

Windows 10 バージョン 1809 以降のデバイスの場合

Windows 10 バージョン 1809 から、サービス スタックのテクノロジが改善され、使用する管理ツールに関係なく、すべてのデバイスでクライアントのダウンロードが最小限に抑えられると共に、WSUS や BranchCache に配布されるファイルのサイズも削減できるようになりました。これらの改善点は、「自社開発」のアプリケーションやプロセスをはじめ、あらゆるマイクロソフト製およびサードパーティ製の展開管理ツールで活用できます。Windows 10 バージョン 1809 以降 (Windows Server の場合は Windows Server 2019 以降) を実行するだけで対応できます。

これらの改善の詳細については、「前方差分と後方差分を使用した Windows の更新」をご参照ください。

Windows 10 バージョン 1803 以前のデバイスの場合

高速インストール ファイルは、Windows 10 バージョン 1803 以前を実行しているデバイスで利用でき、設定も簡単です。Configuration Manager を使用してオンプレミス デバイスを更新している場合は、Configuration Manager で「高速インストール」を有効化します。詳細と要件については、「Windows 10 更新プログラムに対する高速インストール ファイルの管理」をご確認ください。

Configuration Manager への初期ダウンロード サイズは大きくなり (上のグラフを参照)、配布ポイントにはより多くのディスク ストレージが必要になりますが、個々のエンドポイントのパッケージ ファイル サイズははるかに小さくなります。

すばやい月例更新でユーザーへの影響を最小限に抑える

ダウンロードの最適化は更新管理の一側面にすぎません。多くのお客様から、企業のセキュリティ ポリシーを遵守するために月例パッチをすばやく展開する必要があるという声が聞かれます。

IT 担当者は、ソフトウェア更新の適切なタイミングと生産性の維持のバランスを考慮する必要があります。リモート ワーカーがますます増加している今こそ、サポートや管理のノウハウを得ることが現実の課題となるのではないでしょうか。マイクロソフトでも、Windows 更新プログラムのロールアウトの時期や方法を決定する際に同じような選択を行っており、ユーザー エクスペリエンスの向上と迅速なロールアウトの両立を実現できるよう、さまざまな管理オプションを整備してきました。

デバイスの更新プロセスには次の 4 つのフェーズがあります。

  • スキャン: デバイスが自動的に、Windows Update または WSUS エンドポイントをランダムな間隔でチェックし、前回のチェック以降に追加された更新プログラムがあるかどうかを確認し、管理者が設定した構成 (グループ ポリシーなど) に基づいて更新の必要性を評価します。このプロセスがユーザーの目に触れることはありません。
  • ダウンロード: 更新プログラムが利用可能であるとデバイスが判断すると、更新プログラムがダウンロードされます。このプロセスもユーザーの目には触れません。
  • インストール: ダウンロードの後、デバイスの Windows Update の設定に応じて更新プログラムがシステムにインストールされます。
  • コミットと再起動: インストール後、通常 (例外もあります) デバイスを再起動して、更新プログラムのインストールとそれに含まれる修正や改善の実装を完了します。

それぞれのフェーズにおいて、ポリシーや設定によってプロセスを速められる可能性があります。リモート ワークのユーザー数が増加している場合、デバイスやその使用状況がオンプレミスのシナリオに該当しなくなることが予想されるため、この機会に見直しや調整を行うとよいでしょう。構成オプションの詳細や、更新速度向上に関する推奨事項については、「Windows 10 更新プログラムの展開の最適化 (英語)」をご覧ください。

更新を管理するのはクラウドかオンプレミスか

ここまで説明してきた方法は、デバイスを最新の状態に維持しながら、パッケージのダウンロード サイズと帯域幅への影響をすぐに改善するうえで有用です。さらにその先のステップとして、共同管理を活用してクラウドから更新を管理する手法へ移行することをお勧めします。たとえば、Intune を使用して、Microsoft Connected Cache (英語) やキャッシュに対応した配信の最適化 (英語) と併せてクラウドから更新を管理する方法です。

効率と制御性を向上させるには、Windows Update for BusinessMicrosoft Intune または Configuration Manager を連携させるとよいでしょう。Windows Update for Business では、Configuration Manager または Intune で管理するデバイスを構成し、マイクロソフトから直接更新プログラムを受信してダウンロードすることができます。これにより、トラフィックがネットワークからインターネット経由へと移るため、更新速度が向上し、帯域幅の消費が抑制されます。実際、Windows Update または Windows Update for Business から直接更新プログラムを受信するように構成されたデバイスでは、更新プログラムを受信して最新化するまでのプロセス速度がオンプレミスの場合の 2 倍になります。

また、Windows Update for Business を使用することで、見落としている可能性のある他の更新プログラムやドライバーを確実にデバイスに展開できます。加えて、スプリットトンネル VPN のインターネット アクセスでリモート デバイスを更新 (英語) すると、企業リソースを保護しながら、エンド ユーザーのエクスペリエンスを向上させることができます。スプリットトンネル VPN は、ハイブリッド環境とクラウドベース環境のどちらにも対応しています。

グループ ポリシーやモバイル デバイス管理 (MDM) による Windows Update for Business の設定方法については、「Windows Update for Business の構成」をご覧ください。

また、更新によってリモート ワーカーが高い生産性を発揮しながら最新の機能を活用できるように、Office 365 ProPlus を最新の状態に維持すること (英語) が重要です。これも、クラウドベースの管理手法を取り入れてクラウドから直接更新プログラムを展開すべき理由の 1 つです。組織の WAN や VPN 接続を介してダウンロードする代わりにOffice 展開ツール (英語) や Office CDN を活用することで、帯域幅への影響を最小限に抑えることができます。

まとめ

リモート ワーカーが効果的に業務に取り組めるようにしながらビジネスを運営していくためには、組織全体のデバイスとその基盤となる OS を保護することが基本です。デバイスの安全性を維持しインフラストラクチャのコンプライアンスを確保するには、Windows 10 の月例品質更新プログラムと、新たな脅威に対処する緊急更新プログラムを展開することが重要です。上記でご説明したとおり、クラウドベースの更新管理に移行することで、自宅の接続環境や WAN の構成を問わず、デバイスを最新の状態に保ちながら帯域幅への影響を抑えられるようになります。

Join the conversation