OSの更新デバイスポリシー
OSの更新デバイスポリシーを使用すると、次の更新プログラムを展開できます:
-
監視対象のiOSデバイスへの最新のOS更新プログラムの展開。
OSの更新デバイスポリシーは、Apple Deployment Programで登録されている監視対象デバイスのみで機能します。
-
macOS 10.11.5以降を実行しているApple Deployment Program登録済みmacOSデバイスへの、最新のOSとアプリの更新プログラムの展開。
注:
現在Appleは、OSの更新をメジャーバージョンのみに制限しています。管理者はマイナーバージョンの更新を許可されていません。詳しくは、Apple社のドキュメントのこの記事を参照してください。
-
Windows 10またはWindows 11を実行している監視対象のデスクトップおよびタブレットデバイスに対する最新のOSアップデート。
Windows 10(バージョン1607以降)またはWindows 11を実行しているデスクトップとタブレットでは、OSの更新ポリシーを使用して配信の最適化設定を管理することもできます。配信の最適化は、Microsoft社がWindows 10およびWindows 11の更新で提供するピアツーピアクライアント更新サービスです。これは、更新処理中の帯域幅の問題を軽減するために導入されました。帯域幅の削減は、複数のデバイス間でダウンロードタスクを共有することによって実現できます。詳しくは、Microsoftの記事「Windows 10更新プログラムの配信の最適化の構成」を参照してください。
-
管理対象のAndroid Enterpriseデバイス(Android 7.0以降)への最新のOS更新プログラムの展開。
重要:
OSの更新ポリシーでは、更新を完全に無効にすることはできません。更新を最大90日間延期するには、制限ポリシーを作成します。「制限デバイスポリシー」を参照してください。
このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。
iOSの設定
監視対象iOSデバイス向けの設定を以下に示します。
- OSの更新オプション: いずれのオプションでも [OSの更新頻度] に従って、最新のOS更新プログラムが監視対象デバイスにダウンロードされます。デバイスにより、更新プログラムのインストールが促されます。ユーザーがデバイスのロックを解除すると、プロンプトが表示されます。
- OSの更新頻度: Citrix Endpoint ManagementがデバイスのOSをチェックして更新する頻度を決定します。デフォルトは7日です。
-
OSの更新バージョン: 監視対象のiOSデバイスの更新に使用するバージョンを指定します。デフォルトは [最新バージョン] です。
- 最新バージョン: 最新バージョンのOSに更新する場合に選択します。
- 指定バージョンのみ: 特定のOSバージョンに更新する場合は、このオプションを選択してバージョン番号を入力します。
macOS設定
-
ソフトウェアの更新オプション: macOSデバイスが更新をチェックしてインストールする方法を制御します。次のオプションを選択します:
- macOSの更新を自動インストール: 更新を自動的にダウンロードしてインストールします。
- 利用可能な場合は新しい更新プログラムをダウンロード: 更新をダウンロードしますが、手動インストールが必要です。
- 更新プログラムをチェック: 更新が存在するかチェックしますが、更新のダウンロードやインストールは自動で行いません。
- 更新プログラムをチェックしない: 新しい更新のチェック、更新のダウンロードやインストールを自動で行いません。ユーザーは引き続き手動で更新をインストールできます。
- 重要な更新: 重要なmacOS更新の自動インストールを許可します。
- Xproject、MRT、およびGateKeeperの更新を自動インストール: macOSデバイスが、セキュリティソフトウェアの更新を自動的にインストールできるようにします。
- macOSプレリリース版ソフトウェアのインストールを許可する: macOSプレリリース版ソフトウェアのインストールを許可します。
- App Storeアプリの更新を自動インストール: App Storeアプリの自動更新を許可します。
iOSとmacOSの更新操作のステータス取得
iOSとmacOSの場合、Citrix Endpoint ManagementはOS更新の制御ポリシーをデバイスに展開しません。代わりに、Citrix Endpoint Managementはこのポリシーを使用して、次のMDMコマンドをデバイスに送信します:
- OS更新プログラムのスキャンスケジュール:デバイスがOS更新プログラムのバックグラウンドスキャンを実行するように要求します。(iOSではオプション)
- 利用可能なOS更新プログラム:利用可能なOS更新プログラムの一覧をデバイスに問い合わせます。
- OS更新プログラムのスケジュール:デバイスがmacOSの更新プログラム、アプリの更新プログラム、またはその両方を実行するように要求します。したがって、デバイスOSは、OSおよびアプリの更新プログラムをダウンロードまたはインストールするタイミングを決定します。
[管理]>[デバイス]>[デバイス詳細(全般)] ページには、スケジュールされた使用可能なOS更新プログラムスキャンのステータスと、スケジュールされたmacOSとアプリの更新プログラムが表示されます。
更新操作のステータスについて詳しくは、[管理]>[デバイス]>[デバイス詳細(デリバリーグループ)] ページを参照してください。
利用可能なOS更新プログラムや最後のインストールの試行などについて詳しくは、[管理]>[デバイス]>[デバイス詳細(プロパティ)] ページを参照してください。
Windowsデスクトップとタブレットの設定
- アクティブ時間モードを選択: OSの更新を実行するアクティブ時間の構成モードを選択します。時間の範囲を指定するか、開始時刻と終了時刻を指定します。モードを選択すると、[アクティブ時間の最大範囲を指定] 設定または [アクティブ時間の開始] と [アクティブ時間の終了] の各設定が追加表示されます。[未構成] を指定した場合、WindowsでいつでもOSの更新を実行できます。デフォルトは [未構成] です。
-
自動更新の動作:ユーザーデバイス上のWindows Updateサービスのダウンロード、インストール、再起動の動作を構成します。デフォルトは [自動でインストールして再起動] です。
- 更新をダウンロードする前にユーザーに通知する: 更新プログラムが利用可能な場合、Windowsからユーザーに通知されます。Windowsが自動で更新プログラムをダウンロードしてインストールすることはありません。ユーザーがダウンロードおよびインストール操作を開始する必要があります。
- 自動でインストールしてデバイスの再起動スケジュールを通知:Windowsは定額制課金接続で更新プログラムを自動的にダウンロードします。Windowsは、デバイスが使用されておらず、バッテリー電源で動作していない時の自動メンテナンス中に更新をインストールします。自動メンテナンスで2日間更新プログラムをインストールできない場合、Windows Updateは更新プログラムを直ちにインストールします。インストールで再起動が必要な場合、Windowsは再起動時間をスケジュールするようユーザーに求めます。ユーザーは再起動を7日までの範囲でスケジュールする必要があります。7日が経過すると、Windowsはデバイスを強制的に再起動します。ユーザーが開始時刻を制御できるようにすることで、アプリが再起動時に正常にシャットダウンされないことで生じる不慮のデータ損失のリスクを抑えられます。
- 自動でインストールして再起動: デフォルト設定。Windowsは定額制課金接続で更新プログラムを自動的にダウンロードします。Windowsは、デバイスが使用されておらず、バッテリー電源で動作していない時の自動メンテナンス中に更新をインストールします。自動メンテナンスで2日間更新プログラムをインストールできない場合、Windows Updateは更新プログラムを直ちにインストールします。インストールに再起動が必要な場合、Windowsはデバイスが非アクティブの時にデバイスを自動的に再起動します。
- 指定した時間に自動でインストールして再起動: このオプションを選択すると、日付と時刻を指定するための詳細設定が表示されます。デフォルトは毎日午前3時です。指定された時刻に自動インストールが行われ、15分のカウントダウン後にデバイスが再起動します。Windowsを再起動する準備ができている場合、ログインしているユーザーは15分のカウントダウンを中断して再起動を遅らせることができます。
- エンドユーザーの制御なしで自動でインストールして再起動: Windowsは定額制課金接続で更新プログラムを自動的にダウンロードします。Windowsは、デバイスが使用されておらず、バッテリー電源で動作していない時の自動メンテナンス中に更新をインストールします。自動メンテナンスで2日間更新プログラムをインストールできない場合、Windows Updateは更新プログラムを直ちにインストールします。インストールに再起動が必要な場合、Windowsはデバイスが非アクティブの時にデバイスを自動的に再起動します。また、このオプションでは、ユーザーコントロールパネルが読み取り専用になります。
- 自動更新を無効にする:デバイスのWindows自動更新を無効にします。
-
Microsoft Updateからアプリの更新をスキャンする: WindowsがMicrosoft Updateサービスの他のMicrosoftアプリの更新を受け入れるかどうかを指定します。デフォルトは [未構成] です。
- 未構成: 動作を構成しない場合は、この設定を使用します。Windowsはユーザーデバイス上の関連UIを変更しません。ユーザーは他のMicrosoftアプリの更新を承認または拒否できます。
- はい: Windowsで、Windows Updateサービスからアプリの更新プログラムをインストールできます。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
- いいえ: Windowsで、Windows Updateサービスからアプリの更新プログラムをインストールすることはできません。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
-
更新分岐の指定: 更新に使用するWindows Updateサービスのブランチを指定します。デフォルトは [未構成] です。
- 未構成: 動作を構成しない場合は、この設定を使用します。Windowsはユーザーデバイス上の関連UIを変更しません。ユーザーはWindows Updateサービスのブランチを選択できます。
- 現在のブランチ: Windowsは現在のブランチから更新プログラムを受け取ります。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
- 会社の現在のブランチ: Windowsは会社の現在のブランチから更新プログラムを受け取ります。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
- 機能の更新を保留する日数を構成する: [オン] の場合、Windowsは機能の更新を指定された日数だけ延期し、ユーザーは設定を変更できません。[オフ] の場合、ユーザーは機能の更新を延期する日数を変更できます。デフォルトは、[オフ] です。
- 機能の更新を保留する日数を構成する: [オン] の場合、Windowsは品質の更新を指定された日数だけ延期し、ユーザーは設定を変更できません。[オフ] の場合、ユーザーは品質の更新を延期する日数を変更できます。デフォルトは、[オフ] です。
-
品質更新の一時停止: 品質の更新を35日間一時停止するかどうかを指定します。デフォルトは [未構成] です。
- 未構成: 動作を構成しない場合は、この設定を使用します。Windowsはユーザーデバイス上の関連UIを変更しません。ユーザーは35日間、品質の更新を一時停止することができます。
- はい: Windowsは35日間、Windows Updateサービスからの品質の更新プログラムのインストールを一時停止します。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
- いいえ: Windowsは、Windows Updateサービスからの品質の更新プログラムをインストールを一時停止することはできません。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
-
承認一覧の更新のみを許可: MDMサーバーが承認する更新のみをインストールするかどうかを指定します。Citrix Endpoint Managementでは、更新の承認一覧の構成はサポートしていません。デフォルトは [未構成] です。
- 未構成: 動作を構成しない場合は、この設定を使用します。Windowsはユーザーデバイス上の関連UIを変更しません。ユーザーは、許可する更新プログラムを選択できます。
- はい。承認された更新のみをインストールします: 承認された更新のみをインストールできます。
- いいえ。すべての更新をインストールします: 該当する更新をデバイスにインストールできます。
-
内部更新サーバーを使用する: Windows Updateサービスまたは内部更新サーバーからWindows Server Update Services(WSUS)を使用して更新を取得するかどうかを指定します。[オフ] の場合、デバイスはWindows Updateサービスを使用します。[オン] の場合、デバイスは指定されたWSUSサーバーに接続して更新を行います。デフォルトは、[オフ] です。
- Microsoft以外のエンティティが署名した更新を承認する: Microsoft以外のサードパーティエンティティによって署名された更新を受け入れるかどうかを指定します。この機能を使用するには、デバイスがサードパーティのベンダー証明書を信頼する必要があります。デフォルトは、[オフ] です。
- Microsoft Updateサービスへの接続を許可する: デバイスがWSUSサーバーから更新プログラムを取得するように構成されている場合でも、デバイス上のWindows更新プログラムをMicrosoft Updateサービスに定期的に接続できるようにします。デフォルトは、[オン] です。
- WSUSサーバー: WSUSサーバーのサーバーURLを指定します。
- 更新をホストする代替イントラネットサーバー: 更新をホストし、レポート情報を受け取る代替のイントラネットサーバーURLを指定します。
- 配信の最適化を構成する: Windows 10およびWindows 11更新プログラムの配信の最適化を使用するかを指定します。デフォルトは「オフ」です。
- キャッシュサイズ: 配信の最適化キャッシュの最大サイズ。0に設定すると、キャッシュサイズは無制限になります。デフォルトは10(GB)です。
- VPNピアキャッシュを許可: VPN経由でドメインネットワークに接続する場合、デバイスをピアキャッシュに追加するかを指定します。[オン] にすると、デバイスはVPN上または企業ドメインネットワーク上のどちらでも、他のドメインネットワークデバイスとの間でダウンロードまたはアップロードを実行することができます。デフォルトは「オフ」です。
-
ダウンロード方法: 配信の最適化でWindows Update、アプリ、アプリの更新プログラムのダウンロードに配信の最適化で使用できるダウンロード方法。デフォルトは [HTTPと同じNATでのピアリングの組み合わせ] です。次のオプションがあります:
- HTTPのみ、ピアリングなし: ピアツーピアキャッシュを無効にしますが、配信の最適化で、Windows UpdateサーバーまたはWindows Server Update Services(WSUS)サーバーからコンテンツをダウンロードできるようにします。
- HTTPと同じNATでのピアリングの組み合わせ: 同じネットワーク上でのピア共有を可能にします。配信の最適化クラウドサービスは、ターゲットクライアントと同じパブリックIPアドレスを使用してインターネットに接続する他のクライアントを検出します。次に、これらのクライアントが、プライベートサブネットIPを使用して同じネットワーク上の他のピアに接続しようとします。
- HTTPとプライベートグループでのピアリングの組み合わせ: デバイスのActive Directoryドメインサービス(AD DS)サイトまたはデバイスの認証先のドメインに基づいて、グループを自動的に選択します。ピアリングは、同じグループに属しているデバイス間(リモートオフィス内のデバイスを含む)の内部サブネット間で発生します。
- HTTPとインターネットピアリングの組み合わせ: 配信の最適化でインターネットピアソースを使用可能にします。
- ピアリングなしの簡易ダウンロードモード: 配信の最適化クラウドサービスの使用を無効にします。配信の最適化クラウドサービスが利用できない場合、サービスに接続できない場合、またはコンテンツファイルのサイズが10MB未満の場合、配信の最適化はこのモードに自動的に切り替わります。このモードでは、配信の最適化により、ピアツーピアキャッシュなしでも信頼性の高いダウンロードエクスペリエンスが提供されます。
- 配信の最適化の代わりにBITSを使用する: クライアントでBranchCacheを使用できるようにします。詳しくは、Microsoftの記事「BranchCache」を参照してください。
- 最大ダウンロード帯域幅: 最大ダウンロード帯域幅(KB /秒)。デフォルトは0で、帯域幅を動的に調整します。
- 最大ダウンロード帯域幅の割合: 同時ダウンロード操作のうち配信の最適化で使用可能な最大ダウンロード帯域幅。値は利用可能なダウンロード帯域幅の割合です。デフォルトは0で、動的な調整を行います。
- 最大アップロード帯域幅: 最大アップロード帯域幅(KB /秒)。デフォルト値は0です。値が0の場合、帯域幅は無限になります。
- 月単位のデータアップロード上限: 暦月ごとに配信の最適化でインターネットピアにアップロードできる最大サイズ(GB)す。デフォルトは20(GB)です。値を0にすると、月ごとのアップロードサイズは無制限になります。
Citrix Endpoint ManagementがWindowsデスクトップおよびタブレットデバイスの承認された更新プログラムを処理する方法
承認された更新プログラムのみをインストールするかどうかを指定できます。Citrix Endpoint Managementは、次のように更新プログラムを処理します:
- セキュリティ更新プログラム(Windows Defenderの定義など)については、Citrix Endpoint Managementは更新プログラムを自動的に承認し、次回の同期中にデバイスにインストールコマンドを送信します。
- 他のすべての更新プログラムについては、Citrix Endpoint Managementは管理者の承認を待ってから、インストールコマンドをデバイスに送信します。
前提条件
- Microsoftルート証明書をサーバー証明書としてCitrix Endpoint Managementサーバーにアップロードする必要があります。
- サーバー証明書のインポート方法については、「証明書および認証」の「証明書をインポートするには」を参照してください。
承認された更新のみをインストールには
- [構成]>[デバイスポリシー] に移動して、OSの更新デバイスポリシーを開きます。
- [承認一覧の更新のみを許可] の設定を [はい。承認された更新のみをインストールします] に変更します。
更新プログラムを承認するには
-
OSの更新デバイスポリシーで、[保留中の更新] テーブルに移動します。Citrix Endpoint Managementにより、デバイスのテーブルにある更新が取得されます。
-
[承認ステータス] が [保留中] の更新プログラムを見つけます。
-
承認する更新プログラムの行をクリックし、その行の [追加] 列にある編集アイコンをクリックします。
-
更新を承認する場合は [承認済み] をクリックし、[保存] をクリックします。
注:
[保留中の更新]テーブルには追加コマンドおよび削除コマンドが表示されますが、これらのコマンドを実行してもCitrix Endpoint Managementデータベースは変更されません。保留中の更新に対して実行できる操作は、承認ステータスの編集のみです。
デバイスのWindows Updateの状態を確認するには、[管理]>[デバイス]>[プロパティ] に移動します。
更新プログラムが公開されると、更新IDがステータス([成功]または[失敗])とともに最初の列に表示されます。更新が失敗したデバイスについて、レポートまたは自動アクションを作成できます。公開日時も表示されます。
初回以降の展開での更新の仕組み
初回展開とデバイス更新後の展開では、デバイスに対するOSの更新デバイスポリシーの影響が異なります。
-
Citrix Endpoint Managementがデバイスに更新の有無を照会できるようにするには、少なくとも1つのOSの更新デバイスポリシーを構成し、デリバリーグループに割り当てる必要があります。
Citrix Endpoint Managementは、デバイスのMDM同期中に、インストール可能な更新プログラムがあるかどうかデバイスに照会します。
- OSの更新デバイスポリシーを初めて展開した後は、デバイスからの報告が行われていないため、Windows更新プログラムの一覧は空になります。
-
割り当て済みのデリバリーグループ内のデバイスが更新プログラムを報告すると、Citrix Endpoint Managementはそれらの更新プログラムをデータベースに保存します。報告された更新プログラムを承認するには、ポリシーを再度編集します。
更新プログラムの承認は、編集中のポリシーにのみ適用されます。あるポリシーで承認された更新が、別のポリシーで承認済みとして表示されることはありません。次回のデバイスの同期時に、Citrix Endpoint Managementは更新プログラムが承認されたことを示すコマンドをデバイスに送信します。
-
2番目のOSの更新デバイスポリシーの更新プログラムの一覧には、Citrix Endpoint Managementデータベースに保存されている更新プログラムが含まれます。各ポリシーの更新を承認します。
更新プログラムがインストールされたとデバイスから報告されるまで、Citrix Endpoint Managementは各デバイスの同期中にデバイスに承認済み更新プログラムの状態を照会します。インストール後に再起動が必要な更新プログラムについては、Citrix Endpoint Managementはデバイスからインストール完了と報告されるまで更新プログラムの状態を照会します。
- Citrix Endpoint Managementのポリシー構成ページに表示される更新プログラムは、デリバリーグループやデバイスで限定されることはありません。一覧には、デバイスから報告された更新プログラムがすべて表示されます。
Android Enterpriseの設定
-
システム更新ポリシー: システムの更新を行うタイミングを指定します。
- 自動: 更新プログラムが利用可能になるとインストールされます。
-
ウィンドウ: [開始時間] と [終了時間] で指定した毎日のメンテナンスウィンドウ内に更新プログラムが自動でインストールされます。
- 開始時間: メンテナンスウィンドウの開始時間(分単位。0~1440)。デバイスのローカル時間の午前0時を基準とします。デフォルト値は0です。
- 終了時間: メンテナンスウィンドウの終了時間(分単位。0~1440)。デバイスのローカル時間の午前0時を基準とします。デフォルトは120です。
- 延期: ユーザーは最大30日間更新を延期できます。
- デフォルト: 更新ポリシーをシステムのデフォルトに設定します。
-
無線アップグレードを許可: 無効にすると、ユーザーデバイスはソフトウェアの更新プログラムをワイヤレスで受信できません。デフォルトは [オン] です。
-
凍結期間: [オン] の場合、[自動]、[延期]、[ウィンドウ] 更新ポリシーについて、下記で指定する日付範囲の期間、OS更新プログラムがデバイスにインストールされません。デバイスに一度に設定できる凍結期間は1つだけです。凍結期間の長さは、90日以内にする必要があります。
- 開始日/終了日: [凍結期間] がオンになっている場合に、OS更新プログラムがインストールされない日付範囲。
-
凍結期間: [オン] の場合、[自動]、[延期]、[ウィンドウ] 更新ポリシーについて、下記で指定する日付範囲の期間、OS更新プログラムがデバイスにインストールされません。デバイスに一度に設定できる凍結期間は1つだけです。凍結期間の長さは、90日以内にする必要があります。
- 開始日/終了日: [凍結期間] がオンになっている場合に、OS更新プログラムがインストールされない日付範囲。