業務用端末のOSアップデートって難しいですよね。

いや、そうでもないか。

怖いなーって思うのはサーバーのOSアップデートか。

サーバーのWindows OSアップデート

そのビルドでマジで動くのかわからんのと、帯域細い場合はいつまでもダウンロード終わらんからメンテ期間中に終わるかヒヤヒヤするよなー。

一応そういう時のためにGPOでダウンロードだけとかに制限できて、再起動とか要らないワケなんだけどどうしてもドキドキするんだよなー。

あと、再起動延期とか効いちゃってるともし、ダウンロードのパラメータ間違えて再起動にしてたら目も当てられるん。

最悪、6日前にやっておけば強制再起動はかからないっちゃかからないから有りか。

それか特に問題が出てない特定月の累積パッケージをオフライン適用ですかね。

地味に怖いのがドライバー類のアップデートだけどそんなに大きな変更はナシか。

実際、「何のために品質アップデートを当ててるのか」そこをKBから読み解いて意識できてたら無問題なわけだ。

やっぱり毎月のリリース情報は見ておくと吉だなー。

 

RHELのOSアップデート

業務でRedhatも触ってたのでこれも中々ドキドキ。結局MWが動いてればいいし、特に凝ったチューニングもしてないんでいいんですけどどうしても「得体の知れないもの」という意識が離れなくて中々。。アップデート情報も中々頭に入ってこんし。喜んでやりたい作業ではなかったなぁ。

 

Windows 10とか11とかのOSアップデート

これもこれで一筋縄じゃないんだよな。

毎月第2とか第3水曜にリリースされる品質更新プログラムと、今は毎年10月から3月くらいの間にリリースされる機能更新プログラム。これらを制御するわけだけど、みんなどうしてるんだろう。

機能更新プログラムはだいぶ大きい改変があるから待ったかけたくなるけど便利機能も更新されるからなる早でリリースしたい。

品質更新プログラムは脆弱性の更新だからなるべく当てたい。

でもブルスク吐くとか、情報集めてからやりたいよなー。

どういう運用方針だとやりやすいんだろう。

 

1. リリース当日に生贄端末をアップデートして、動作確認する。
2. 問題なければ管理者の端末をアップデートして様子を見る
3. MSのリリースやITmediaとかからバグ情報がなければ他の人宛にリリースする。

みたいな感じかな。

だとするとアップデートの一時停止とかは頻繁にいじらなきゃいけないのめんどくさいな。

あと、WindowsUpdate適用してない端末に適用シロ〜って呪いかけるのもしたいよな。

あ、Intuneのコンプライアンスポリシー、OSビルド指定できるけど、これの自動更新とか組みたいなー。やるか。

 

OSアップデートの考え方、大分運用の話だけどMDMの文脈ではどこまで担保するべきなのかなー。