Windows 11 Enterprise でホットパッチ・サポートが開始:メモリ内でのコード操作で再起動が不要に?

Microsoft adds hotpatching support to Windows 11 Enterprise

2025/04/03 BleepingComputer — Microsoft が発表したのは、x64 (AMD/Intel) システムで Windows 11 Enterprise 24H2 を使用している、ビジネス ・カスタマー向けのホットパッチ・アップデートが、4月2日付で利用可能になったことだ。ホットパッチが利用可能なデバイス上の Windows は、デバイスを再起動せずにバックグラウンドでダウンロード/インストールすることで、ユーザーによる OS セキュリティ・アップデートのインストールが可能になる。

つまり、Windows は、各インストール後に再起動することなく、実行中のプロセスのメモリ内コードにパッチを適用することで、セキュリティ・アップデートを展開する。

4月2日 (水) のメッセージ・センター更新において Microsoft は、「このホットパッチ・アップデートを使用すると、ユーザーの混乱を最小限に抑えながら、サイバー攻撃から組織を保護するための対策を、迅速に講じることが可能になる。まず、Microsoft Intune コンソールを介して、Windows Autopatch でホットパッチ対応の品質更新ポリシーを作成してほしい」と述べている。

同社は、「このポリシーにより管理されるデバイスには、四半期ごとにホットパッチ・アップデートが提供される。したがって、1年間のうちの8ヶ月は、セキュリティ・アップデートを有効化するための、デバイスの再起動が不要になる」と付け加えている。

このポリシーで管理対象となる Windows 11 Enterprise 24H2 デバイスには、標準の更新プログラムと同じリング・デプロイメント・スケジュールに従って、四半期ごとにホットパッチ更新プログラムが提供される。

Windows hotpatch timeline
Windows hotpatch timeline (Microsoft)

Windows クライアント・デバイスのホットパッチを有効化するためには、Microsoft サブスクリプション (Windows 11 Enterprise E3/E5/F3、Windows 11 Education A3/A5、Windows 365 Enterprise) と、最新のベースライン更新プログラムがインストールされた、Windows 11 Enterprise 24H2 PC が必要となる。

その他の要件として含まれるのは、x64 AMD64 または Intel CPU および、Virtualization-based Security (VBS)  の有効化である。さらに Microsoft Intune により、ホットパッチ対応の Windows 品質更新ポリシーを用いて、ホットパッチ更新プログラムの展開が管理される。

Microsoft によると、このホットパッチ更新プログラムは、現時点の Arm64 デバイスではパブリック・プレビュー段階にあるという。ただし管理者は、 HotPatchRestrictions レジストリ・キーを設定して CHPE サポートを OFF にすることで、この機能が利用可能になるまで、それらのデバイスを対象に取り込むことが可能になる。

▪ Path: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
▪ DWORD Key value: HotPatchRestrictions=1

ホットパッチ更新を受け取るための、すべての前提条件が満たされている場合には、Microsoft Intune 管理センターで Devices > Windows updates> Create Windows quality update policy へと移動し、以下のスクリーン・ショットが示すように Windows 品質更新ポリシーを作成することで、ホットパッチ更新の有効化/無効化を選択できる。

Enabling hotpatching via Intune admin center
Enabling hotpatching via Intune admin center (Microsoft)

​4月2日付のコメントで Microsoft は、「Windows 品質更新ポリシーは、対象デバイスがホットパッチ更新の対象かどうかを自動検出できる。Windows 10/Windows 11 バージョン 23H2 以前を実行しているデバイスは、引き続き標準の月例セキュリティ更新を受け取り、エコシステムの保護と維持に役立てほしい」と述べている。

今回の Windows ホットパッチのサポートだが、Microsoft は 2022年2 月の時点で、Windows Server Azure Edition コア仮想マシンに取り込み、Windows Server 2022 Datacenter: Azure Edition を実行しているシステム向けに提供を開始している。

さらに同社は、2024年9月の時点で、Windows Server 2025 のパブリック・プレビューで、また、2024年11月の時点で、Windows 11 24H2/Windows 365 でテストを開始している。

これは、とても有り難い展開ですね。それぞれのユーザー組織では、すべての従業員にパッチを当てさせる方法に悩んでいるはずです。この問題が、一挙に解決する日が来たようです。ただし、サポートされるのは、Windows 11 Enterprise 24H2 だけなので、その点について、注意が必要です。よろしければ、Windows で検索も、ご参照ください。