Enterprise Mobility + Security(EMS) Advent Calendar 2021 の1日目として参加させていただきました。
Update Compliance は、Azure Monitor の 機能である Azure Monitor Logs(旧名:Azure Log Analytics)を利用する機能です。
Azure Monitor Logs を利用するためには、Azure テナントにサブスクリプション が登録されている必要があります。
Azure Monitor Logs は、Azure 上の様々な SaaS、PaaS、IaaS といった各リソースのログを集約して可視化することができるサービスです。
この Azure Monitor Logs を 展開し、「Update Compliance」ソリューションを追加することで、各Windows クライアントPC のテレメトリ情報を格納し可視化することができるようになります。
過去の経緯
この 「Update Compliance」 サービスですが、以前は「Windows Analytics」と呼ばれる機能の1つでした。
「Windows Analytics」 には、「Update Compliance」 「Upgrade Readiness」「デバイスの正常性」の3つで構成されていましたが、2020年1月31日をもって提供が終了しました。
現在はその後継サービスとして「Desktop Analytics」がリリースされていましたが、「Desktop Analytics」も 2022年11月30日で終了する予定です。
もともと、「Desktop Analytics」 は、Microsoft Endpoint Configuration Manager と連携して提供する機能であり、Intune で管理するクラウド管理モデルでは利用できませんでした。
現在は、Microsoft Endpoint Admin Center のレポートブレード内にある「エンドポイント分析(Endpoint Analytics)」 という機能にて提供されるようになっています。。
詳しくは以下のURLを参照ください。
参考: A data-driven approach to managing devices in your organization – Microsoft Tech Community
「エンドポイント分析(Endpoint Analytics)」 は2020年6月25日にパブリックプレビューされ、「スタートアップ パフォーマンス」、「アプリケーションの信頼性」、「プロアクティブな修復」などが利用できるようになりました。
その後、エンドポイント分析は2020年09月23日にGAされ、「どこからでも作業できる」(ひどい訳ですが)などの機能が拡張されました。
エンドポイント分析を利用する場合、Intune の 構成ポリシーから有効化ができるようになっています。
一部の機能は、Windows 10/11 Pro でも利用することができますが、すべての機能を利用するためには Windows 10 Enterprise / Education が必要な点に注意してください。
Update Compliance の利用条件
「Update Compliance」 は、Windows 10 または Windows 11 で利用ができます。
エディションはPro / Enterprise / Education であれば利用できるため、企業が管理する端末であれば基本的に利用が可能です。
Update Compliance でできること
Update Compliance を展開すると、下のようなソリューション画面を確認することができるようになります。
セキュリティの更新プログラムの状態や機能の更新状態を1日に1度の頻度で更新される情報をもとに以下のような情報レポートを確認することができるようになります。
対処が必要
セキュリティ更新プログラムの状態
機能更新プログラムの状態
セーフガード保持レポート
“セーフガードホールド”(Safeguard holds)とはアップグレードするとトラブルになることが確認されているハードウェアやソフトウェアがインストールされている環境に対し、不具合の修正が完了するまでの間、アップデートの提供を一時的に停止(ブロック)する措置のことです。
配信の最適化の状態
Azure Monitor Logsに格納されたデータは、Microsoft Sentinel などでも利用できるため 分析ルールなどを作成しても良いかもしれません。
Update Compliance の展開方法
Update Compliance は、GPO または Intune などから展開することが可能です。
以下のような管理テンプレートを作成し割り当てれば、約1日(実際には2日程度)で確認できるようになります。
以上のように、Update Compliance は Azure のサブスクリプションさえあれば、各クライアントのWindows Updateに関する情報を収集し監視することができる機能です。
「WSUSがない」、「Intune」がないそんな環境やリモート環境の可視化にご利用いただければ良いかと思います。
