May 14, 2021 12:35 am

Windows Update を管理する Microsoft Graph API のパブリック プレビューを開始

※ 本 Blog は米国時間 2021 年 4 月 28 日に公開された Public preview of Microsoft Graph APIs to manage Windows updates の日本語抄訳です。

このたび、新しい Microsoft Graph API のパブリック プレビューを開始しました。これにより、Windows Update で配信されるコンテンツの承認、スケジュールの設定、保護において詳細な制御が行えます。Windows Update for Business 展開サービス用のこれらの API を使用すると、IT 担当者やアプリ開発者の皆様は、以下のことが可能となります。

  • Windows Update で配信される特定の機能更新プログラムを承認し、展開スケジュールを設定する (機能更新プログラムのスキップや適用除外を含む)
  • 高度な条件式を使用して、日単位や週単位で段階的に展開する (例: 20H2 を 2021 年 5 月 11 日から 1 日あたり 500 台のデバイスに展開)
  • 事前構成済みの Windows Update for Business ポリシーをバイパスして、セキュリティ更新プログラムを直ちに組織全体に展開する
  • 任意の展開に対して自動操作を行い、より安全に更新プログラムを適用する

Microsoft Graph は Microsoft 365 のゲートウェイとなるもので、組織、ユーザー、デバイス全体を対象とするアプリを容易に構築できます。展開サービスの機能を Microsoft Graph と連携すると、アプリ開発者は高機能な更新管理ツールを簡単に構築し、そのエクスペリエンスをコンテキストに応じたユーザー データに拡張することができます (更新プログラムのスケジュール設定時にユーザーの予定表データを使用するなど)。

Windows または Microsoft 365 の以下のいずれかのサブスクリプションをお持ちのお客様は、この展開サービスをすぐにご利用いただけます。

  • Windows 10 Enterprise E3/E5 (Microsoft 365 F3/E3/E5 に含まれる)
  • Windows 10 Education A3/A5 (Microsoft 365 A3/A5 に含まれる)
  • Windows Virtual Desktop Access E3/E5
  • Microsoft 365 Business Premium

Windows Update for Business 展開サービスとは

Windows Update for Business 展開サービス (英語) は、ユーザーと Windows Update の仲介役となり、更新プログラムの適用をスムーズに行えるようにします。コンテンツの承認や展開スケジュールの設定を、サービス間アーキテクチャを通じて、ユーザーが直接行うことができます。

Windows Update for Business 展開サービス

展開サービスの一般的なシナリオをご紹介します。

  1. 管理ツールから対象デバイスを選択し、展開するコンテンツを承認します。管理ツールには PowerShell、Microsoft Graph アプリ、または Microsoft Endpoint Manager のような完全なエンドポイント管理ソリューションを使用できます。
  2. 承認の内容や詳細なスケジュール、選択されたデバイスが、管理ツールから展開サービスに伝達されます。
  3. 展開サービスがコンテンツの承認を処理し、前回承認されたコンテンツとの比較を行います。最終的な更新プログラムの適用性が判断され、Windows Update に伝達された後、次回の更新プログラムを確認するときに、承認されたコンテンツがデバイスに配信されます。

このサービス間アーキテクチャは既存の Windows Update for Business のポリシーを補完しつつ、次のような独自のメリットをもたらします。

  • 個々のデバイスにとどまらない更新管理 – 自社に適用可能な更新プログラムや、段階的な展開を行う最適な方法を簡単に把握可能
  • 更新に関する問題への対処を迅速化 – 展開の一時停止、展開の促進のどちらにも対応
  • サポート対象となる全バージョンの Windows に新機能を即座に配信 – オペレーティング システムの操作は不要

Windows Update for Business 展開サービスは、管理コンテンツを完全に制御するエンタープライズ クラスのソリューションで、ISO 27001、FedRAMP High、HITRUST、SOC 2 をはじめとするコンプライアンスに関する複数の業界標準に準拠し、認定を受けています。

サービスの使用を開始するには

今回のパブリック プレビューの開始に伴い、Windows Update for Business 展開サービスを Microsoft Graph API とその関連 SDK、および Azure PowerShell から直接使用できるようになります。IT 担当者の方は、社内ソリューション内でこれらの API や SDK を利用できます。管理ツール ベンダーの方は、顧客にマルチテナント アプリを通じて展開サービス機能を提供する際に、これらの API や SDK を利用できます。

展開サービスの使用を開始するには、まず Microsoft Graph エクスプローラーや、Postman などの実績のある業界ソリューションを使用することをお勧めします。

Microsoft Graph エクスプローラーで展開サービスを操作する

Microsoft Graph エクスプローラーは、Microsoft Graph への要求の作成や応答の確認を簡単に行えるツールです。Microsoft Graph エクスプローラーで展開サービスの使用を開始するには、まずお客様のテナントでサインインします。

次に、自社に代わって Graph エクスプローラーが展開サービスにアクセスすることに同意します。サインイン後に [Permissions] を選択し、アカウント名の横に表示されている歯車の設定アイコンをクリックします。[WindowsUpdates.ReadWrite.All] をクリックしてから [Consent] アクションを選択します。

これでサービスを使用する準備は完了です。左側のウィンドウの [Windows Updates] に複数のサンプルが表示されます。[list catalog entries] などの基本的な操作から始めましょう。

Microsoft Graph エクスプローラーによる Windows Update for Business 展開サービスの操作画面

Microsoft Graph エクスプローラーによる Windows Update for Business 展開サービスの操作画面

展開に利用可能なコンテンツなど、展開サービスで提供されるデータは即座に照会できますが、展開などその他のコンテンツの照会については、自社のテナント向けに作成された内容によります。Microsoft Graph エクスプローラーでは、展開サービスで提供される機能を参照し、自社アプリに組み込む方法を理解できます。たとえば、以下のようなことが可能です。

  • 更新管理への登録。[enrollmentUpdateCategory] を有効化すると、機能更新プログラムの管理機能にデバイスを登録できます。登録したデバイスでは、展開サービスで明示的に承認されるまで機能更新プログラムの提供が停止されます。
  • 展開の作成 (優先度の高いセキュリティ更新プログラム)重大なセキュリティ更新プログラムが新たにリリースされ、できる限り迅速にコンプライアンスを確保する必要がある場合、その更新プログラムを優先的に展開し、デバイスの再起動を求めるまでの日数などの設定を管理することが可能です。
  • 展開の作成 (速度ベースの段階的ロールアウト)ある程度の時間をかけて段階的に展開します。一定の間隔で、1 回につき指定した台数のデバイスに対して機能更新プログラムを適用します。
  • 展開の作成 (日付ベースの段階的ロールアウト)ある程度の時間をかけて段階的に展開します。指定した終了日時までにすべてのデバイスが更新されるように、一定の間隔で更新プログラムを適用します。また、任意の展開に対して開始日時を指定し、更新プログラムの配信を開始するタイミングを制御することもできます。
  • 更新プログラムの展開 (監視ルールの変更)任意の展開に対して、ロールバック回数などの問題のしきい値を検出する監視ルールを適用し、展開の一時停止や、問題発生時のアラート送信を行うことができます。

上記のような運用や関連機能の詳細については、Microsoft Graph API のドキュメントをご覧ください。

Postman で展開サービスを操作する

Graph エクスプローラーと同様に Postman でも展開サービスを簡単に操作できます。これは、サポートされている操作に慣れるうえでも便利です。詳細な手順については、Microsoft Graph API で Postman を使用する方法をご覧ください。

メモ
ステップ 3.9 まで進んだら、委任されたアクセス許可 [WindowsUpdates.ReadWrite.All] を追加し、承認します。
ステップ 6 まで進んだら、Postman コレクションの [Windows Updates (beta)] フォルダーを展開して、展開サービスで実行可能な操作を表示します。

[List catalog entries] などの要求を選択し、必要な変数が入力されていることを確認してから [Send] をクリックすると、サービスを操作できます。

Postman による Windows Update for Business 展開サービスの操作画面

Postman による Windows Update for Business 展開サービスの操作画面

関連情報

Windows Update for Business 展開サービスを自社アプリにご活用いただき、ぜひご意見・ご感想をお寄せください。このサービスの詳細については、Windows Update for Business 展開サービスの概要Microsoft Graph API のドキュメントをご覧ください。

Join the conversation