連載
» 2018年03月26日 05時00分 公開

企業ユーザーに贈るWindows 10への乗り換え案内(20):Windows 10/Office 365 ProPlusの企業向け更新管理まとめ(2018年春版)−中編− (3/3)

[山市良,テクニカルライター]
前のページへ 1|2|3       

WSUSを利用する場合、基本的にWUfBは不要

 企業内ネットワークに「Windows Server Update Services(WSUS)」サーバを展開すると、Windows 10を含むWindowsクライアントとWindows Serverの更新プログラム、Microsoft製品の更新プログラムをMicrosoft Updateサービスと同期して、社内クライアントへの配布ポイントとして利用できます(図2)。

図2 図2 WSUSを使用したWindows 10の更新管理。インターネットからのダウンロードの効率化と、承認/拒否とコンピュータグループを使用した配布の対象化が可能

 WSUSでは、コンピュータのグループ化と更新の承認/拒否/自動承認に基づいて更新プログラムを配布することができます。これにより、更新プログラムをパイロット展開してシステムへの影響を調査し、その後、検証済みまたは必要な更新プログラムだけを選択的に配布したり、Windows Updateポリシーを使用して自動インストールしたりすることができます(画面2)。また、WSUSに対応したサードパーティー製品の更新プログラムやドライバを、WSUSにインポートして配布することもできます。

画面2 画面2 Windows 10の機能更新プログラムを承認に基づいてコンピュータグループに配布する

 WSUSのクライアント側の構成は、グループポリシー(またはローカルコンピューターポリシー)の主に以下のポリシー設定を使用して行います。

  • コンピューターの構成\Windowsコンポーネント\Windows Update\イントラネットのMicrosoft更新サービスの場所を指定する
  • コンピューターの構成\Windowsコンポーネント\Windows Update\自動更新を構成する
  • コンピューターの構成\Windowsコンポーネント\Windows Update\Windows Updateからドライバーを除外する
  • コンピューターの構成\Windowsコンポーネント\Windows Update\Windows Updateのすべての機能へのアクセスを削除する
  • コンピューターの構成\Windowsコンポーネント\Windows Update\インターネット上のWindows Updateに接続しない、または、コンピューターの構成\管理用テンプレート\システム\インターネット通信の管理\インターネット通信の設定\Windows Update のすべての機能へのアクセスをオフにする

 WSUSでは、管理者の承認/拒否に基づいて更新プログラムを配布する/しないを選択できるため、基本的にWUfBと併用するものではありません(併用するシナリオについては次に説明します)。WSUSのポリシーとWUfBのポリシーを同時に設定した場合、あるいはWSUSのポリシーで制御されたWSUSクライアントであるにもかかわらず、クライアント側の「詳細オプション」でWUfBが有効化された場合は、Windows 10の品質更新プログラムと機能更新プログラムについてはWUfBが優先され、意図せずMicrosoft Updateに接続してしまうことがあります。

 企業内のクライアントに対し、WSUSからのみ更新プログラムを配布する場合は、WUfBポリシーを使用しないことが重要です。また、「Windows Update\インターネット上のWindows Updateに接続しない」ポリシー(注意:ストアアプリのインストールと更新も制限されます)、または「Windows Update\Windows Update のすべての機能へのアクセスをオフにする」ポリシーおよび「\インターネット通信の設定\Windows Updateのすべての機能へのアクセスを削除する」を利用して、ユーザーがクライアント側の操作でMicrosoft Updateに接続することがないようにします。

 Windows 10 バージョン1607からは、次のポリシー設定が利用可能になりました(品質更新プログラムで追加)。

Windows 10 バージョン1607(14393.1532以降)およびバージョン1703(15063.674以降)およびバージョン1709:

  • コンピューターの構成\Windowsコンポーネント\Windows Update\Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない

 この新しいポリシーを有効にすると、WSUSクライアントとして構成された環境で、自動更新または「更新プログラムのチェック」のユーザーのクリックによるWUfBポリシーに従ったMicrosoft Updateの検索を行いません。

 Windows 10 バージョン1607の場合は、ユーザーがクライアント側の「詳細オプション」を操作してWUfBを有効化できないように、WUfBポリシーと組み合わせて使用します(WUfBポリシーの有効化により、クライアント側のUIがグレーアウトされます)。バージョン1703以降では、WSUSポリシーの設定によりクライアント側のUIは非表示になるため、WUfBポリシーの設定は不要です。

 WSUSに同期され、承認されたWindows 10の品質更新プログラムおよび機能更新プログラムは、WUfBポリシーに関係なく、全てのWSUSクライアントに適用されます。しかし、WUfBポリシーが有効になっている場合、またはクライアント側で有効化した場合は、WUfBポリシーに従ってMicrosoft Updateに対する検索も行われます。

 なお、WSUSクライアントのインターネット上のWindows Updateに接続させないポリシーは、WUfBポリシーに基づいたMicrosoft Updateの検索をブロックしません。このWSUSに対する検索とWUfBポリシーに従うMicrosoft Updateの2つの検索動作を「デュアルスキャン(問題)」と呼びます。

 上記ポリシーは、デュアルスキャンを止めるためのものです。このポリシーは、社内ではWSUSから更新プログラムを配布し、外出時はMicrosoft Updateから手動で品質更新プログラムを取得できるようにしたい場合に、意図せず、WSUSで承認していない機能更新プログラムでアップグレードされるのを防止するのにも役立ちます。

 このポリシーが有効になっている場合でも、ユーザーが「オンラインでMicrosoft Updateから更新プログラムを確認します」をクリックすると、WUfBポリシーに従ったMicrosoft Updateの検索が行われます。WUfBポリシーで機能更新プログラムを最大限に延期しておくことで、意図せずWSUSで承認していない機能更新プログラムによるアップグレードが行われるのを防止できます。

WUfBとWSUSの併用シナリオは限定的

 WUfBとWSUSの併用は、Windows 10の品質更新プログラムおよび機能更新プログラムをWUfBポリシーに従ってMicrosoft Updateから取得し、その他の更新プログラムをWSUSから配布するというシナリオでの利用を想定したものです(図3)。

図3 図3 WUfBとWSUSを併用する場合、WUfBはMicrosoft Updateを検索し、更新プログラムをダウンロードする

 Microsoft製品の更新プログラムとMicrosoft Updateで提供されるドライバを、Microsoft UpdateとWSUSのどちらで配布するかは、「自動更新を構成する」ポリシーの「他のMicrosoft製品の更新プログラムのインストール」オプションと「Windows Updateからドライバを除外する」ポリシーの設定で制御できます。

 なお、前述したように、WSUSにWindows 10の品質更新プログラムおよび機能更新プログラムが同期され、承認されている場合、それらの更新プログラムはWUfBポリシーに関係なく、全てWSUSクライアントに適用されます。その上で、WUfBに対する検索が行われることに注意が必要です。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。