Starting with the May 2026 Windows security update, Windows Autopatch is enabling hotpatch security updates by default because they are the quickest way to get secure. This change in default behavior will impact all eligible Intune devices. Additional controls are expected in April. 

[When this will happen:]

• Devices will start receiving hotpatch updates by default with the May 2026 Windows security update.
• A tenant setting to opt out of hotpatch updates is expected to be available on April 1, 2026, or soon after.

 [How this will affect your organization:]

Devices that meet hotpatch prerequisites will get secure faster because full Windows security updates are applied without waiting for a restart. Devices are secured as soon as the update is installed. You do not need to wait for devices to restart, saving on average three to five days.

Devices will restart during baseline months, which are January, April, July, and October.

[What you need to do to prepare:]

If you already use Windows Autopatch, no action is needed to get hotpatch updates enabled by default. We recommend keeping hotpatch updates enabled for your devices.

To maximize the number of devices receiving hotpatch updates, ensure they meet the prerequisites. Most commonly, this means enabling Virtualization-based Security (VBS) for x86 devices.

If you’re not ready for this change, you can opt out groups of devices using Quality Update policies or the whole tenant.

[Additional information:]

Read the announcement in Securing devices faster with hotpatch updates on by default.

Learn more about hotpatch updates with the following resources:

• Hotpatch updates
• Hotpatch for Windows client now available
• Hotpatching now available for 64-bit Arm architecture
• Hotpatch for client: Frequently asked questions
• Transforming security and compliance at Microsoft
• Hotpatch efficiency unlocked: Smaller update size
• YouTube: Inside hotpatch updates for Windows
• YouTube: Hotpatching 101: Enable virtualization-based security (VBS)

2026年5月のWindowsセキュリティアップデートから、Windows Autopatchはホットパッチセキュリティアップデートをデフォルトで有効化しています。なぜなら、これが最も速いセキュリティ対策だからです。このデフォルトの挙動変更は、すべての対象となるIntuneデバイスに影響を及ぼします。追加の規制は4月に予定されています。 

[いつ起こるか:]

• デバイスは2026年5月のWindowsセキュリティアップデートからデフォルトでホットパッチの更新を受け取り始めます。
• ホットパッチのアップデートからオプトアウトするテナント設定は、2026年4月1日またはその直後に利用可能になる見込みです。

 [これがあなたの組織にどのような影響を与えるか:]

ホットパッチの前提条件を満たすデバイスは、再起動を待たずにWindowsの完全なセキュリティアップデートが適用されるため、より早く安全になります。アップデートがインストールされるとすぐにデバイスは保護されます。デバイスの再起動を待つ必要がなく、平均して3〜5日の節約が可能です。

デバイスは 基準の月である1月、4月、7月、10月に再起動されます。

[準備のためにやるべきこと:]

すでにWindowsのAutopatchを使っている場合、ホットパッチの更新をデフォルトで有効にするのに何の操作も必要ありません。デバイスごとにホットパッチのアップデートを有効にしておくことをお勧めします。

ホットパッチアップデートを受け取るデバイス数を最大化するために、 前提条件を満たしていることを確認してください。最も一般的なのは、x86デバイス向けに仮想化ベースセキュリティ(VBS)を有効にすることを意味します。

この変更にまだ対応できていない場合は、 Quality Updateポリシー を使ってデバイスグループをオプトアウトするか、テナント全体をオプトアウトすることもできます。

[追加情報:]

「 Sesecureing devices fast with hotpatch updates」の発表を読んでください。

ホットパッチのアップデートについては、以下のリソースをご覧ください:

• ホットパッチアップデート
• Windowsクライアント用のホットパッチが利用可能です
• 64ビットArmアーキテクチャ向けにホットパッチが利用可能になりました
• クライアント向けのホットパッチ:よくある質問
• Microsoftにおけるセキュリティとコンプライアンスの変革
• ホットパッチ効率解除:アップデート規模の縮小
• YouTube: Windowsのホットパッチアップデートの内幕
• YouTube: ホットパッチ入門 – 仮想化ベースのセキュリティ(VBS)を有効にする