Intune による管理で Windows Update による再起動を減らす ~Windows ホットパッチ~
明けましておめでとうございます。引き続き本年も変わらぬご愛顧のほどよろしくお願いいたします。
今回のブログ記事担当は新宅です。
先日、弊社 HP がリニューアルされました。分かりやすい点としては見た目がモダンになりましたが、その他、コンテンツの充実やパフォーマンスの向上など、多岐にわたる改善を内部的に実施しているようです。
さて、HP リニューアル後の初となる、そして 2025 年の私の最初の記事はタイトルにもあります通り 「Windows ホットパッチ」 に関する内容になります。
「Windows ホットパッチ」 とは?
「Windows ホットパッチ」 は、Windows Update の特別な品質更新プログラムで、1 月・4 月・7 月・10 月を除く月例 (いわゆる B リリース) の品質更新プログラム適用時の再起動を不要にする仕組みです。通常の環境では毎月 1 回以上 Windows Update による再起動をユーザーに要求しますが、このホットパッチの機能が有効になっている環境では再起動要求が 3 か月に 1 回のみ発生するようになり、ユーザーが作業を中断せざるを得ないタイミングを減らすことが可能です。
この説明では、毎日始業前に PC を起動し、終業後にシャットダウンしているような環境では、あまり利点が無いように思えるかもしれませんが、管理者目線で見れば決してそうではありません。
通常の再起動が必要な品質更新プログラムは、ユーザーまたはシステムによって再起動が完了するまで、脆弱性 (セキュリティ ホール) が修正されることはなく、実質的に未対策な状況のままです。つまり、セキュリティの修正を含む品質更新プログラムが配信された後、実際に適用されるのが早くとも 「翌営業日の朝」 になってしまい、配信日の業務中は未対策であるという、時間的なギャップが発生するのです。
ホットパッチを使用することで、再起動が必要な 1 月・4 月・7 月・10 月を除き、ホットパッチ版の品質更新プログラムの適用が完了次第、すぐに対策済みの状態になります。年 4 回だけは従来通りの注意が必要にはなるものの、管理者にとって、この時間的ギャップを気にする必要があるタイミングを減らせるという利点があります。
もちろん、ユーザーが就業後もシャットダウンせずに作業を維持したままにするような運用であれば、ユーザー目線としても 「一旦閉じて、再起動して、開いていたものを開きなおす」 という面倒な手順が発生する回数を減らせるため、より効果的なシナリオになることが考えられます。
この「Windows ホットパッチ」 という仕組みは、元々は Windows Server 2022 Datacenter Azure Edition という OS で提供されていました。Azure VM としてのみデプロイ可能な Windows Server の特別なエディションで、通常の Windows Server 2022 に Azure 固有の追加機能が利用可能になるように提供されています。そのため、Windows Server 向けにある程度実績がある状態で、Windows クライアント向けにも提供が開始された形となり、2025/1 現在は 「パブリック プレビューだが運用環境でテスト可能」 と謳っているため、通常のパブリック プレビュー機能よりも自信がある状況のようです。
参考
ホットパッチの前提条件 (2025/1 現在)
Windows クライアントにてホットパッチを利用するためには、下記の前提条件をすべて満たしている必要があります。ひとつでも満たしていないものがあると、通常の再起動が必要な品質更新プログラムを受け取ります。
- Windows 11, version 24H2 以上であること
- Microsoft 365 Business Premium または Microsoft 365 E3/A3/E5/A5 のライセンスを持っていること (重要)
※VL 版の Windows 11 Enterprise デバイス ライセンスと、Microsoft Intune ライセンスの組み合わせでのみの実施は不可です。 - Windows 11 のエディションが Enterprise であること (重要)
※各ユーザーに [Windows 10/11 Enterprise] のサービス プランを有効化し、Microsoft Entra Join (Hybrid Join 含む) にて、ライセンスが有効なユーザーでサインインして Windows 11 Enterprise の認証を通してください。Enterprise の認証が通るまでには、少し時間が掛かることも多いためご注意ください。 - Intune で管理され、適切なポリシーが適用されていること
- 仮想化ベースのセキュリティ (VBS) が有効であること
※何もしていなければ有効なはずですが、Windows 10 環境からアップグレードを続けてきた環境では注意が必要かもしれません。[システム情報] (msinfo32) にて、[仮想化ベースのセキュリティ] が [実行中] であることを確認してください。 - 最新のベースライン リリースが適用されていること
※ベースライン リリースは、ホットパッチ利用中でも再起動が必要となる 1 月・4 月・7 月・10 月の品質更新プログラムのことを指します。 - 2025/1 現在最新の Surface Pro や Surface Laptop などの ARM64 デバイスでは、公式ドキュメントの手順を使用して CHPE を無効にしている こと
ホットパッチの動作の検証
Windows ホットパッチは 2024 年 11 月から既に提供が開始されています。なお、2024 年 11 月および 12 月のベースライン リリースは 2024 年 10 月のものになります。
検証その 1: 2024 年 10 月 B リリース適用状態から 2024 年 12 月のホットパッチを受け取る
Microsoft Entra Join と同時に Intune MDM 登録を実施した、2024-10B の品質更新プログラムを適用した状態 (Build 26100.2033) の検証環境です。
予め、Intune にてホットパッチを利用するための有効化作業を実施しており、2024/12/20 に検証を実施したため 2024-12B が最新の状態となります。
予め winver で元の OS ビルド番号を表示しておき、この状態で [更新プログラムのチェック] を実施すると、[2024-12 x64 ベースのシステム (Hotpatch 対応) (KB5048794) の Windows 11 Version 24H2 の累積的な更新プログラム] という明らかに特別であることを示す名称の更新プログラムが検出され、ダウンロードとインストールが行われました。
再起動を要求することなく、[完了] と表示されました。
![再起動を要求することなく、ホットパッチのインストールが完了し、更新プログラムの状態が [完了] になっている状態](/wp-content/uploads/スクリーンショット-2024-12-20-172549_2024-12ホットパッチ適用直後-650x486.jpg)
この状態で、もうひとつ winver を実行してバージョン情報を表示してみると、元は 26100.2033 だったものが 26100.2528 に変化していることが分かります。
※適用前後で OS を再起動していないため、このように異なる OS ビルドの winver のウィンドウを 2 個並べるという、一見奇妙な状態のスクリーンショットを撮ることができます。
検証その 2: 2024 年 11 月 B リリース適用状態から 2024 年 12 月のホットパッチを受け取る
こちらは 2024-11B の品質更新プログラムを適用した状態 (Build 26100.2314) の検証環境です。
それ以外は 「検証その 1」 と同じ条件での検証となります。
結果としては、2024-10B の状態とは異なり、[2024-12 x64 ベース システム用 Windows 11 Version 24H2 の累積更新プログラム (KB5048667)] という、通常の再起動が必要な品質更新プログラムがダウンロード・インストールされました。
この場合、再起動が必要な通常の更新プログラムのため、通常通り再起動をユーザーに要求します。
つまり、ホットパッチの受信がされなかったということになります。
PC を再起動すると、ビルド番号が 26100.2605 に変化し、適用が完了しました。
動作検証結果
この結果から、公式ドキュメントにもある通り、ベースライン リリースの状態でなければ、初回のホットパッチ版の品質更新プログラム受信ができないことが分かりました。そのため、タイミングによっては、キッティングをして端末を配布した直後や、Intune でホットパッチを有効化した直後は、ホットパッチを受信しないという事象が発生することが考えられますが、このような事情があるため、次のベースライン リリースの翌月に確認する必要があります。
同様の動作が他の月でも見られるということを想定して表にまとめると、下記の通りになります。これを満たしていない場合は、通常の最新の品質更新プログラムを受け取るようです。
| ホットパッチの配信月 | ホットパッチ配信有無 | ホットパッチ受信に必要な品質更新プログラムの適用状態条件 |
|---|---|---|
| 1 月 | × | ホットパッチ配信無し・常に通常の品質更新プログラム配信 (再起動を要求) |
| 2 月 | ○ | 1 月分の通常更新 適用済み環境 |
| 3 月 | ○ | 1 月分の通常更新 または 2 月のホットパッチ 適用済み環境 |
| 4 月 | × | ホットパッチ配信無し・常に通常の品質更新プログラム配信 (再起動を要求) |
| 5 月 | ○ | 4 月分の通常更新 適用済み環境 |
| 6 月 | ○ | 5 月分の通常更新 または 6 月のホットパッチ 適用済み環境 |
| 7 月 | × | ホットパッチ配信無し・常に通常の品質更新プログラム配信 (再起動を要求) |
| 8 月 | ○ | 7 月分の通常更新 適用済み環境 |
| 9 月 | ○ | 7 月分の通常更新 または 8 月のホットパッチ 適用済み環境 |
| 10 月 | × | ホットパッチ配信無し・常に通常の品質更新プログラム配信 (再起動を要求) |
| 11 月 | ○ | 10 月分の通常更新 適用済み環境 |
| 12 月 | ○ | 10 月分の通常更新 または 11 月のホットパッチ 適用済み環境 |
また、前述の通り、通常の 2024-12B は Build 26100.2605 でしたが、ホットパッチ版の 2024-12B は Build 26100.2528 となっており、異なるビルド番号が付与されていることが分かります。Microsoft サポートのドキュメントもそれぞれでページが分かれていることからも、含まれる内容も通常のものと異なるようです。そのため、ホットパッチを有効化する場合、Microsoft Intune などで OS ビルド番号を確認する方法にて品質更新プログラムの適用状態を定期的に確認している管理者は、このことを考慮して確認を行う必要があります。
参考
- 2024-12B ホットパッチの品質更新プログラム KB5048794 (Build 26100.2528) に関するドキュメント – Microsoft サポート (en-US)
- 2024-12B 通常の品質更新プログラム KB5048667 (Build 26100.2605) に関するドキュメント – Microsoft サポート (ja-JP)
終わりに
この機能はまだパブリック プレビューですが、一般公開 (GA) に移行される確率はかなり高い機能になっているのではないかと考えております。一般公開 (GA) された際には、この機能の利用を積極的に検討されてはいかがでしょうか。
なお、弊社では Microsoft 365 導入支援サービス にて、お客様環境の Microsoft Intune のクラウド側の設定・支援を Microsoft 365 の導入支援と合わせて実施しております。
※申し訳ございませんが、端末自体の展開などの現地作業については対象外とさせていただいております。
Microsoft Intune および Microsoft 365 での管理にお困りの方は、お気軽に弊社 HP の お問い合わせ フォームまでご連絡ください。
