Microsoftは、Windows 11のデバイスが最初にエンタープライズおよび教育の顧客向けに設定される方法を変更するように設定されています。 2025年9月から、最初のログイン前に、最新のWindows品質の更新がインストールされます(OOBE)。
このシフトの背後にある同社の理論的根拠は、最初からセキュリティと安定性を高めることであり、それにより、展開後の更新の数を減らすことです。
機能的には、最終的なOOBEページで、デバイスはWindowsの更新を自動的に確認し、利用可能な品質アップデートをインストールします。これにより、ユーザーが最初にログインするときに、システムに最新のバグ修正と改善がパッチされます。
「プロビジョニング中に品質の更新動作に対するシームレスな制御を維持することができ、組織のセキュリティとコンプライアンスの要件との整合性を確保することができます」とMicrosoftは発表で述べました。
このアップデートは、管理されていない消費者デバイスに影響しません。 Windows 11バージョン22H2以降を実行しているMicrosoft Entra結合またはハイブリッド接合PCに適用されます。これは、Autopilot登録ステータスページ(ESP)プロファイルを備えたIntuneまたはサポートされたモバイルデバイス管理(MDM)ソリューションを介して管理されます。
IT管理者は、デバイスに移動することにより、Intune Admin Centerを介してこのプロセスを管理できます。登録|登録ステータスページと「Windows Qualityの更新をインストールする(デバイスを再起動する可能性がある)」というラベルの設定の調整。新しいESPプロファイルにはデフォルトでこのオプションが有効になりますが、既存のプロファイルは手動で変更されない限り「いいえ」に設定されたままになります。
ただし、特定の条件があります。デバイスにESPプロファイルが割り当てられていない場合、更新は自動的にインストールされ、無効にすることはできません。これは、更新がデフォルトで実施されるため、オートパイロットデバイスの準備ポリシーに依存する組織に影響を与える可能性があります。
また、これらの設定が更新リングで正しく構成され、ESPプロファイルと同じグループに割り当てられている場合、更新は一時停止および延期ルールに付着します。 Microsoftは、設定の一貫性のない適用がこの整合なしで発生する可能性があると警告しています。
この変更により、展開直後にパッチングデバイスの負担が軽減されますが、セットアップ時間が長くなる可能性があります。一部のレポートは、デスクトップにアクセスできるようになるまでにOOBEプロセスに最大20分かかる可能性があることを示唆しています。
業界のオブザーバーは、この機能がセキュリティを強化するが、以前はエンタープライズ管理者にとって懸念事項であった更新配信に対するMicrosoftの制御を増加させることに注目しています。
それとは別に、Black Hat 2025で、Microsoftは、セキュリティチームがハッカーを積極的にカウンターし、攻撃のエスカレートを防ぐためにどのように取り組んでいるかを詳しく説明しました。
