2022年4月にMicrosoftから発表されたWindowsUpdateを自動化するWindowsAutopatchですが、サービス開始は2022年7月となっています。
この記事では、
- Windows Updateを自動化したい
- Windows Autopatchについて知りたい
- WSUSとの違いを知りたい
こんな方に読んでもらいたいです。
WindowsAutopatchとは
MicrosoftはWindowsOSの不具合や脆弱性を修正したパッチをWindowsUpdateとして毎月公開しています。
WindowsPCを使っている人は、このWindowsUpdateを手動もしくは半自動で行っています。
このWindowsAutopatchはこの作業を自動で行ってくれる機能です。
使い方ですが、システムの管理者はPCを4種類に分けるだけです。
- テスト機
- 最初に適用する装置
- 優先的に適用する装置
- その他
後はパッチが公開されると自動的にテスト機から更新が始まります。
1テスト機の更新が全て終わると、2最初に適用する装置の更新が始まります。その流れで3、4と更新が行われます。
重要なPCは3番目に配置する事で、パッチ更新による動作異常を1や2番で検知できるのでトラブルを予め防ぐ設計になっています。
また、セキュリティ上緊急な更新は早く適用され、ユーザの操作に変更があるような更新はゆっくり適用されるようになっています。
更新期間は番号毎に最大30日あります。
今のところ管理者による更新のカスタマイズはできません。
個別のPCの日時を指定したり番号毎の更新タイミングなど全てWindowsAutopatchに委ねられて操作する事はできないようです。
WSUSとの違い
WSUS(Windows Server Update Services)サーバの主な用途は2つあります。
- 社内のPCが一斉にWindowsUpdateを実行してインターネットの回線が混み合うのを防ぐ
- 適用させたくないパッチをWSUSサーバで指定できる
WSUSサーバはMicrosoftのパッチが公開されるとパッチを全てダウンロードします。そして社内のPCやサーバがWindowsUpdateを実行したらMicrosoftの代わりにパッチを配布します。
そのため、WindowsUpdateを複数のPCが同時に実行してもWSUSサーバにアクセスされるのでインターネット回線に負荷はかかりません。
またシステム管理者はMicrosoftが公開しているパッチ情報を確認します。管理下のPCやサーバに適用するべきパッチかを選別して、問題ないと判断されたパッチが実際に配布されています。
以上がWSUSサーバの動きですが、実際にはAD(ActiveDirectory)サーバと組み合わせる事で決まったスケジュールでWindowsUpdateを実行させることができます。
ADサーバはPCやサーバを管理するサーバでWindowsUpdateの実行タイミングなどを一括で設定することができます。
ADサーバを使えば自動化したとも言えますが、サーバ毎に処理のタイミングが違う場合も多くスケジュール管理が困難です。
WindowsAutopatchが使える環境
使えるOSはこちら。
- Windows10 Enterprise E3
- Windows11 Enterprise E3
クライアントはサブスクのボリュームライセンスのみです。
また、Windows Serverが入っていません。
サーバは自動化できないという事なのでしょうか。
さらにActive Directoryも条件があります。
- Azure Active Directory
- Active Directory(Azure AD Connect)
要するにAzure Active Directoryは必須という事です。
2つ目のAzure AD ConnectはハイブリッドADとも呼ばれ、自前のADサーバでもいいけどそこからAzure Active Directoryに連携させる必要があるという意味です。
ということで、WindowsAutopatchが使えない環境の場合は従来通り手動で対応する必要があります。
まとめ
WindowsAutopatchはAzureADのサブスクライセンスPCのみが利用できるパッチ更新システムということが分かりました。
サーバが入っていないのが残念ですが、サーバの管理工数よりPCの利用者一人一人の手間を合わせた工数の方が大きいかもしれません。
実際にWindowsAutopatchがどれほど影響を与えずパッチ適用できるのかが注目になります。