Windows Clientでもホットパッチが利用可能に！

この記事の内容

ホットパッチとは、Windows を再起動することなくセキュリティパッチを適用できる機能です。これまでサーバー向けに提供されていましたが、今回 Windows クライアント向けにも利用できるようになりました。

通常の Windows Update では、パッチを完全に適用するために再起動が必要です。組織によっては再起動のタイミングを取りにくく、再起動するまでの間は脆弱性が残った状態になってしまうという課題がありました。ホットパッチはこの課題を解消する仕組みです。

ホットパッチを使えば、常に再起動なしでいられるわけではありません。「ベースライン」と呼ばれる更新を定期的に適用する必要があり、このベースライン適用時には再起動が必要です。

サイクルは以下のようになります。

つまり、3ヶ月に1回の再起動だけで済むようになります。再起動に伴うトークンの再取得や業務中断といった手間を大幅に削減できます。

ホットパッチを利用するには、以下の条件をすべて満たす必要があります。

以下のいずれかのライセンスが必要です。

エンタープライズ向けのライセンスが必要な点にご注意ください。

なお、ARM64 デバイスについては現時点でパブリックプレビューの段階です。レジストリ変更や CHPCS の無効化が必要になるなど追加の手順があるため、注意が必要です。

技術的な制約というよりも Microsoft のポリシーとして、Intune（クラウド管理）経由でホットパッチを有効化する設計になっています。

Intune 管理センターから以下の手順で設定します。

この設定を有効にすることで、対象デバイスに対して再起動なしでパッチが適用されるようになります。

ホットパッチはオプトイン機能です。明示的に有効化しない限り、従来の Windows Update の動作は変わりません。現在の運用を続けたい組織はそのままで問題ありません。

また、ポリシーを有効化した状態で前提条件を満たしていないデバイスがあった場合でも、通常の方法でパッチが適用されます。対象外のデバイスが混在していても問題なく動作するため、とりあえず有効化してみるという形でも安心して試せます。

Intune 管理を導入済みで対象ライセンスをお持ちの組織であれば、デメリットはほぼなく、すぐに有効化を検討できます。

今回のホットパッチもそうですが、オートパッチをはじめ多くの高度な機能が Intune 管理を前提とするようになっています。Microsoft はクラウドからデバイスを管理する方向へ機能を集約しており、この流れは今後も続くと考えられます。

まだ Intune 管理に移行できていない組織にとっては一つのハードルとなりますが、利用できる機能の幅を考えると、移行を検討する良い機会とも言えます。

Windows クライアント向けのホットパッチが利用可能になりました。3ヶ月に1回の再起動だけで済むこの機能は、セキュリティパッチの適用遅れを減らし、運用負荷を軽減する効果が期待できます。

利用するには Windows 11 Enterprise 24H2 以降・対象ライセンス・Intune 管理・VBS 有効化が必要ですが、オプトイン機能なので既存の環境に影響を与えず試せます。前提条件を満たしている組織は、ぜひホットパッチの有効化を検討してみてください。