以前の記事でIntuneでは更新プログラム適用を遅らせることはできるが、適用を完全に止めることはできないとお話しました。

でもここで小さな疑問が一つ。構成プロファイルで更新プログラムの自動更新無効のプロファイルを展開したら止められるのでは？

今ここに、どちらのほうがより強い効力を持つかの大決戦が始まりました！

Intune更新プログラムについて記載した以前の記事はこちらです

アーザスBlog

 

https://a-zs.net/intune-vs-mecm

2023.05.02

IntuneとMECMを徹底比較！更新プログラムの管理はどっちがいいの！？

例のウィルスが流行り始めてはや数年。当ブログでも何度かご紹介いたしましたが、リモートワークを見据えてクラウド管理ゲートウェイやIntuneによる管理を行いたいとの声も増えてきました。なんならMECMからIntuneに移行したいです、なんてお客様もいらっしゃいました。そこで気になる疑問が一つ・・・端末を管理するならIntuneとMECMどっちが良いの？そもそも何が違うの？今回そんな疑問について、今回は多くのお客様が気になる「更新プログラムの管理」に焦点を当てて調査しましたので、是非とも参考にしてみてください。IntuneとMEC...

検証しよう そうしよう

ではではさっそく検証しましょう！

更新リングの設定

Intune管理コンソールの左にある[デバイス] > [Windows10以降向け更新リング]を開き、以下のように選択しました。

• Microsoft 製品の更新プログラム：許可

自動展開オフの構成プロファイルの設定

Intune管理コンソールの左にある[デバイス] > [構成プロファイル]を開き、以下のように選択しました。

• プラットフォーム：Windows10以降
• プロファイルの種類：[構成カタログ]
• 設定ピッカー：Windows Update for Business
• 自動更新をオフにする

それでは

• 更新リング：更新する
• 構成プロファイル：更新しない

という相反する設定をWindows10に展開しましょう！

その結果は・・・

ということで、先述の更新リングが適用している端末に、自動更新をオフにする構成プロファイルを展開しました。
その結果は・・・

自動的に
更新されていました。

どうやら更新リングの方が効力は上のようです！

やっぱりIntuneでは最新のバッチを適用するしかないのかもしれません。

・・・ってちょっと待ってください！

効いていない構成プロファイルの適用状況ってどうなっているんです？

普通に考えれば自動更新が無効になっていないため、恐らく失敗になっているはずです。
なら確認しなくてもいいや！って言ってしまっては検証の意味がありません。
というわけで確認してみると

なんと競合のステータスになっていました。

そこで更新リングの方も確認してみると

こちらも競合のステータスになっていました。

恐らくどちらも更新プログラムの展開に関わる挙動を管理するポリシーのため、同時に適用できずに競合してしまうものと考えられます。

そして競合した結果、先に適用されていた更新リングのみが有効とされて自動更新のオフは適用されなかったのでしょう。

と、なると気になりますよね？もし適用する順番が逆だったら自動更新が無効になるのか否か？という仮説。
ご安心ください！ばっちり確認しました！

もうひと検証行ってみよう！

という訳で逆のケースとして、自動更新無効のプロファイルを先に適用してから更新リングを適用しました。

まずはIntune側で再度ステータスが競合になっているかを確認しました。
こちらは前の検証同様に、自動更新無効化のプロファイル、更新リングどちらもステータスが競合になっていました。

そしてクライアント側では、前の検証では表示されなかった以下の表示がされていました。
*自動更新は組織によって無効にされています。

このメッセージが表示されたということは自動更新が無効化されたことを示しています。

実際更新リングの延期期限を超えても、自動更新は行われませんでした。

以上の結果から、更新リングと自動更新の無効化のプロファイㇽが競合した場合は、先に適用したものが優先されるようです。

最後に

いかがでしたか？

更新プログラムの管理は運用の大きな課題の一つです。

アーザスにはIntuneやMECMを利用した更新プログラムの管理の知見があります。

お困りの際にはぜひご相談ください！