[Intune]FUのアンインストールは不可能!?実は有効化パッケージならできます!!

Intune/Autopilot

Intuneには更新リングという機能があり、この機能を使用するとQU(Quality Update)配信だけでなくFU(Feature Update)配信もWindows Updateを介して自動で行うことが可能です。

ただし、Windows Updateの仕様上、最新の更新が勝手に適用されてしまいます。

そんな時には更新リングのアンインストール機能!これで適用された更新プログラムの削除が行えます!

これで上がりすぎたFUも・・・アンインストールできない?なぜにWHY!?

そもそも更新リングのアンインストールって何?

Intuneの更新リングの概要左上にその機能はあります。

更新リングのアンインストール

これは更新リングの対象となっているグループの端末に適用された最新の更新プログラムをアンインストールすることが出来る機能です。

アンインストール対象は機能と品質に分かれている

また、アンインストールの対象は「機能」と「品質」に分かれています。

「品質」は期限に関係なくアンインストールできますが、「機能」は更新リングで指定した2~60日の期間内でないとアンインストールが効きません。

更新リングのアンインストール2

そこで、更新リングを使用してFUがアンインストールできない場合は、まずこの期間を過ぎていないかを確認しましょう。

イネーブルメント(有効化)パッケージという落とし穴

もしも更新リングの期間を過ぎていないのに更新リングを使用してFUがアンインストールできない場合・・・それは高確率でイネーブルメントパッケージを使用してFUを行っていることが原因です!

イネーブルメントパッケージとは?

イネーブルメントパッケージとはWindows10 1909リリース時に実装された新しいFUの方法です。

従来のFUは容量の大きな機能更新プログラムを対象の端末に適用する必要があり、多くの時間とネットワーク帯域が必要でした。

しかし1903から1909へアップデートする際、1903に入ってはいたけれど使用していなかった一部機能のアンロックで機能更新を行うという方式がとられました。

この機能のアンロックを行うのがイネーブルメント(有効化)パッケージとなります。

なお1809以前のバージョンから1909にする場合は従来通りの機能更新プログラムを使用します。
また、Windows 11のFUでは、現状イネーブルメントパッケージは使用されていません。

このイネーブルメントパッケージは従来の機能更新プログラムと比較して以下のようなメリットがあげられます。

  • 容量が軽い!
  • 適用が早い!

そのため1903から1909へのFU、及び2004からそれ以降のバージョンへのFU等にはイネーブルメントパッケージが使用されており、Windows Updateを使用したFUでも使用されています。

イネーブルメントパッケージのデメリット

そんなユーザーに優しいイネーブルメントパッケージですが、今回のIntuneの更新リングを使用した更新プログラムのアンインストールだと少々厄介なことになります。

というのも、バージョンを上げる更新プログラムなのでQUを行うための更新プログラムではありません。

イネーブルメントパッケージはコアとなるバージョンから機能をアンロックするという形式のため、機能更新プログラムと同様のアンインストール方法を使用できない可能性があるものと思われます。

以上のことからイネーブルメントパッケージでFUを行った端末はIntuneの更新リングを使用してアンインストールを行うことが出来ないものと考えられます。

なお、イネーブルメントパッケージが更新リングのアンインストールを使用できない件は、公式ドキュメントにも記載されています。

イネーブルメントパッケージを使用して機能更新プログラムが適用された場合、アンインストールは成功しません。 イネーブルメントパッケージは、Windows Update for Business を使用して、Windows 10 2004、20H2、21H2 から Windows 10 22H2 にデバイスを更新する最も一般的な方法です。

Intune での Windows 10 以降のポリシー用の更新リング – アンインストール

イネーブルメントパッケージはPowerShellでアンインストール!

ではイネーブルメントパッケージをアンインストールしたい場合はどうすればよいのでしょう?

そのためには・・・PowerShellを使用します。

実際の手順紹介

1.まずは更新プログラムのアンインストール処理を行うps1ファイルを作成します。

※今回は例として「Uninstall FU.ps1」という名前で以下の処理を作成しました。

if (!([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole("Administrators")) { Start-Process powershell.exe "-File `"$PSCommandPath`"" -Verb RunAs; exit }
Remove-WindowsPackage -Online -PackageName "Package_for_KB5015684~31bf3856ad364e35~amd64~~19041.1799.1.2"

ps1ファイル

2.Intuneの管理コンソールを起動し、[デバイス]>[スクリプト]に移動します。

3.[追加]をクリックし、プルダウンリストから[Windows 10以降]を押下します。
プルダウンリスト

4.任意の名前を入力し、[次へ]を押下します。
名前

5.[スクリプトの場所]で事前に作成したps1ファイルを選択し、その他オプションも任意の設定を行います。

▼今回はこのように設定しました。
スクリプトの場所

6.スコープタグは適宜設定します。
スコープタグ

7.対象のグループに割り当てて[次へ]をクリックします。
グループに割り当て

8.展開が成功したが否かはIntuneのコンソールにて確認が可能です。
コンソール

この方法はイネーブルメントパッケージを使用してFUが行われた端末でのみ有効です。
工場出荷状態でWindows 10 22H2以降の端末の場合、この方法ではダウングレードできませんので注意してください。

最後に

このようにIntuneだけではなかなか難しい更新プログラムの管理ですが、共同管理を駆使すればより効率的な運用が可能です。

アーザスではMECM、Intune、共同管理についての知識があります。

運用設計、運用サポートがご入用の際には、ぜひご連絡下さい!

これまでのIntune更新プログラムについて記載した記事

アーザスBlog
 
https://a-zs.net/intune-vs-mecm
2023.05.02
IntuneとMECMを徹底比較!更新プログラムの管理はどっちがいいの!?
例のウィルスが流行り始めてはや数年。当ブログでも何度かご紹介いたしましたが、リモートワークを見据えてクラウド管理ゲートウェイやIntuneによる管理を行いたいとの声も増えてきました。なんならMECMからIntuneに移行したいです、なんてお客様もいらっしゃいました。そこで気になる疑問が一つ・・・端末を管理するならIntuneとMECMどっちが良いの?そもそも何が違うの?今回そんな疑問について、今回は多くのお客様が気になる「更新プログラムの管理」に焦点を当てて調査しましたので、是非とも参考にしてみてください。IntuneとMEC...
アーザスBlog
 
https://a-zs.net/updaterings-vs-profile
2023.08.24
[Intune]更新リングの更新許可と自動更新無効のプロファイル、どちらが優先される!?
以前の記事でIntuneでは更新プログラム適用を遅らせることはできるが、適用を完全に止めることはできないとお話しました。でもここで小さな疑問が一つ。構成プロファイルで更新プログラムの自動更新無効のプロファイルを展開したら止められるのでは?今ここに、どちらのほうがより強い効力を持つかの大決戦が始まりました!Intune更新プログラムについて記載した以前の記事はこちらです検証しよう そうしようではではさっそく検証しましょう!更新リングの設定Intune管理コンソールの左にある > を開き、以下のように選択しました。...