Intuneでは、更新リングという設定で、Windows Updateの配信内容やタイミングを管理することができます。今回はこれをやってみようと思います。
ちなみに更新リングの設定は、先日書いたセキュリティベースラインの設定には含まれておりません。
手順
Microsoft Endpoint Manager管理センターにログインし、デバイス、Windows、プロファイルの作成の順にクリックします。
更新リングの設定の名前を入力します。ここでは「本番用」という名前にしました。次へをクリックします。
更新リングの設定を入力していきます。私は以下のような設定としました。
- 品質更新プログラムの延期期間…0日
- 機能更新プログラムの延期期間…30日
その他はデフォルト設定としています。次へをクリックします。
割り当ては簡単のために「すべてのデバイス」としました。次へをクリックします。
設定を確認して、問題なければ作成をクリックします。
以上で設定は完了です。
その他
コインチェックさんでは、セキュリティパッチの含むアップデートが配信されてから1週間以内に適用するよう従業員にお願い・監視をしているそうです。
コインチェックにおけるゼロトラストモデル - coincheck tech blog
今回は、更新リングの設定のみとなってしまいましたが、
- 条件付きアクセスを利用して、1週間以内にアップデートしないとサービスにアクセスできないようにする
- アップデート配信後、1週間たっても更新されていないデバイスの使用者に自動で連絡をする。さらにアップデートされていないユーザーの一覧を自動生成する
などの仕組みがあると良いかもしれないと思いました。