グループ ポリシーを使用して既知の問題のロールバックを展開する方法
この記事では、マネージド デバイスで KIR をアクティブ化する既知の問題ロールバック (KIR) ポリシー定義を使用するようにグループ ポリシーを構成する方法について説明します。
適用対象: Windows Server (サポートされているすべてのバージョン)、Windows クライアント (サポートされているすべてのバージョン)
まとめ
Microsoft は、Windows Server 2019 および Windows 10 バージョン 1809 以降のバージョンの KIR という名前の新しい Windows サービス テクノロジを開発しました。 サポートされているバージョンの Windows の場合、KIR は、セキュリティ以外の Windows Update リリースの一部として適用された特定の変更をロールバックします。 そのリリースの一部として行われた他のすべての変更はそのまま残ります。 このテクノロジを使用すると、Windows 更新プログラムによって回帰やその他の問題が発生した場合、更新プログラム全体をアンインストールし、システムを最新の正常な構成に戻す必要はありません。 問題の原因となった変更のみをロールバックします。 このロールバックは一時的なものです。 問題を修正する新しい更新プログラムを Microsoft がリリースした後、ロールバックは不要になります。
重要
KIR は、セキュリティ以外の更新プログラムにのみ適用されます。 これは、セキュリティ以外の更新プログラムの修正プログラムをロールバックしても、潜在的なセキュリティの脆弱性が発生しないためです。
Microsoft は、エンタープライズ以外のデバイスの KIR 展開プロセスを管理します。 エンタープライズ デバイスの場合、Microsoft は KIR ポリシー定義 MSI ファイルを提供します。 その後、企業はグループ ポリシーを使用して、ハイブリッド Microsoft Entra ID または Active Directory ドメイン Services (AD DS) ドメインに KIR を展開できます。
Note
このグループ ポリシーの変更を適用するには、影響を受けるコンピューターを再起動する必要があります。
KIR プロセス
セキュリティ以外の更新プログラムに重大な回帰または同様の問題があると判断された場合、Microsoft は KIR を生成します。 Microsoft は Windows 正常性ダッシュボードで KIR を読み上げ、次の場所に情報を追加します。
- 該当する Windows Update KB 記事の「既知の問題」セクション
- 影響を受けるバージョンの Windows (Windows 10、バージョン 20H2、Windows Server バージョン 20H2 など) のhttps://aka.ms/windowsreleasehealthの Windows 正常性リリース ダッシュボードの既知の問題の一覧
企業以外のお客様の場合、Windows Update プロセスによって KIR が自動的に適用されます。 ユーザーによる操作は不要です。
企業のお客様向けに、Microsoft はポリシー定義 MSI ファイルを提供しています。 企業のお客様は、エンタープライズ グループ ポリシー インフラストラクチャを使用して、KIR をマネージド システムに伝達できます。
KIR MSI ファイルの例を表示するには、 Windows 10 (2004 および 20H2) の既知の問題のロールバック 031321 01.msiをダウンロードします。
KIR ポリシー定義の有効期間は限られています (最大で数か月)。 Microsoft が修正された更新プログラムを発行して元の問題に対処した後、KIR は不要になります。 その後、ポリシー定義をグループ ポリシー インフラストラクチャから削除できます。
グループ ポリシーを使用して 1 つのデバイスに KIR を適用する
グループ ポリシーを使用して 1 つのデバイスに KIR を適用するには、次の手順に従います。
- デバイスに KIR ポリシー定義 MSI ファイルをダウンロードします。
重要
.msi ファイル名に一覧表示されているオペレーティング システムが、更新するデバイスのオペレーティング システムと一致していることを確認します。
- デバイスで.msi ファイルを実行します。 このアクションにより、管理用テンプレートに KIR ポリシー定義がインストールされます。
- ローカル グループ ポリシー エディターを開きます。 これを行うには、 Start を選択し、「 gpedit.msc」と入力します。
- ローカル コンピューター ポリシー>コンピューター の構成>管理者テンプレート>KB #######問題 XXXロールバック>Windows 10 バージョン YYMM を選択します。
Note
この手順では、 ####### は、問題の原因となった更新プログラムの KB アーティクル番号です。 XXX は問題番号で、 YYMM は Windows 10 のバージョン番号です。
- ポリシーを右クリックし、 Edit>Disabled>OK を選択します。
- デバイスを再起動します。
ローカル グループ ポリシー エディターの使用方法の詳細については、「 ローカル グループ ポリシー エディターを使用した管理用テンプレート ポリシー設定の操作を参照してください。
グループ ポリシーを使用してハイブリッド Microsoft Entra ID または AD DS ドメイン内のデバイスに KIR を適用する
ハイブリッド Microsoft Entra ID または AD DS ドメインに属するデバイスに KIR ポリシー定義を適用するには、次の手順に従います。
- KIR MSI ファイルをダウンロードしてインストールする
- グループ ポリシー オブジェクト (GPO) を作成します。
- GPO を適用する WMI フィルターを作成して構成します。
- GPO と WMI フィルターをリンクします。
- GPO を構成。
- GPO の結果を監視。
1. KIR MSI ファイルをダウンロードしてインストールする
- KIR リリース情報または既知の問題の一覧を確認して、更新する必要があるオペレーティング システムのバージョンを特定します。
- ドメインのグループ ポリシーの管理に使用するコンピューターに更新する必要があるファイル.msi、KIR ポリシー定義をダウンロードします。
- .msi ファイルを実行します。 このアクションにより、管理用テンプレートに KIR ポリシー定義がインストールされます。
Note
ポリシー定義は、 C:\Windows\PolicyDefinitions フォルダーにインストールされます。 グループ ポリシー セントラル ストアを実装している場合は、.admx ファイルと .adml ファイルをセントラル ストアにコピーする必要があります。
2. GPO を作成する
- グループ ポリシー管理コンソールを開き、 Forest: DomainName>Domains を選択します。
- ドメイン名を右クリックし、[ このドメインに GPO を作成し、ここにリンクします。
- 新しい GPO の名前 (例: KIR Issue XXX) を入力し、 OK を選択します。
GPO の作成方法の詳細については、「 グループ ポリシー オブジェクトの作成」を参照してください。
3. GPO を適用する WMI フィルターを作成して構成する
[
WMI フィルター を右クリックし、[新しい] を選択。新しい WMI フィルターの名前を入力します。
すべての Windows 10 バージョン 2004 デバイスの Filter など、WMI フィルターの説明を入力。
[追加] を選択します。
Queryで、次のクエリ文字列を入力します。
SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>
重要
この文字列では、 <VersionNumber> は、GPO を適用する Windows のバージョンを表します。 バージョン番号は、次の形式を使用する必要があります (文字列内の数値を使用する場合は、角かっこを除外します)。
10.0.xxxxx
ここで、 xxxxx は 5 桁の数字です。 現在、KIR では次のバージョンがサポートされています。
バージョン ビルド番号 Windows 10 Version 20H2 10.0.19042 Windows 10, version 2004 10.0.19041 Windows 10 Version 1909 10.0.18363 Windows 10 Version 1903 10.0.18362 Windows 10 Version 1809 10.0.17763 Windows リリースとビルド番号の最新の一覧については、「 Windows 10 - リリース情報を参照してください。
重要
Windows 10 のリリース情報ページに一覧表示されているビルド番号には、 10.0 プレフィックスは含まれません。 クエリでビルド番号を使用するには、 10.0 プレフィックスを追加する必要があります。
WMI フィルターを作成する方法の詳細については、「
4. GPO と WMI フィルターをリンクする
- 以前 作成した GPO を選択、 WMI フィルター処理 メニューを開き、先ほど作成した WMI フィルターを選択します。
- Yes を選択してフィルターを受け入れます。
5. GPO を構成する
GPO を編集して、KIR アクティブ化ポリシーを使用します。
- 作成した GPO 右クリックし編集 選択。
- グループ ポリシー エディターで、 GPOName>Computer Configuration>Administrative Templates>KB ####### Issue XXX Rollback>Windows 10 version YYMM を選択します。
- ポリシーを右クリックし、 Edit>Disabled>OK を選択します。
GPO の編集方法の詳細については、「 GPMC からグループ ポリシー オブジェクトを編集するを参照してください。
6. GPO の結果を監視する
グループ ポリシーの既定の構成では、マネージド デバイスは 90 ~ 120 分以内に新しいポリシーを適用する必要があります。 このプロセスを高速化するために、影響を受けるデバイスで gpupdate
を実行して、更新されたポリシーを手動で確認できます。
ポリシーを適用した後、影響を受ける各デバイスが再起動することを確認します。
重要
この問題が発生した修正プログラムは、デバイスがポリシーを適用してから再起動した後に無効になります。
Microsoft Intune ADMX ポリシー インジェストを使用して、マネージド デバイスに KIR ライセンス認証を展開する
Note
このセクションのソリューションを使用するには、 July 26、2022 以降でリリースされた累積的な更新プログラムをコンピューターにインストールする必要があります。
グループ ポリシーと GPO は、Microsoft Intune などのモバイル デバイス管理 (MDM) ベースのソリューションと互換性がありません。 これらの手順では、
Intune マネージド デバイスで KIR ライセンス認証を実行するには、次の手順に従います。
1. ADMXファイルを取得するためにKIR MSIファイルをダウンロードしてインストールする
KIR リリース情報または既知の問題の一覧を確認して、更新する必要があるオペレーティング システム (OS) のバージョンを特定します。
Microsoft Intune へのサインインに使用するコンピューターに、必要な KIR ポリシー定義.msiファイルをダウンロードします。
Note
KIR アクティベーション ADMX ファイルの内容にアクセスする必要があります。
.msi
ファイルを実行します。 このアクションにより、管理用テンプレートに KIR ポリシー定義がインストールされます。Note
ポリシー定義は、 C:\Windows\PolicyDefinitions フォルダーにインストールされます。
ADMX ファイルを別の場所に抽出する場合は、TARGETDIR プロパティと共に
msiexec
コマンドを使用します。 例えば次が挙げられます。msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx
2. Microsoft Intune でカスタム構成プロファイルを作成する
KIR ライセンス認証を実行するようにデバイスを構成するには、マネージド デバイスの OS ごとにカスタム構成プロファイルを作成する必要があります。 カスタム プロファイルを作成するには、次の手順に従います。
- プロパティを選択し、プロファイルの基本情報を追加します。
- カスタム構成設定を追加して、KIR アクティブ化のために ADMX ファイルを取り込みます。
- カスタム構成設定を追加して、新しい KIR アクティブ化ポリシーを設定します。
- デバイスを KIR アクティブ化カスタム構成プロファイルに割り当てます。
- 適用規則を使用して、デバイスをターゲットにして、OS 別の KIR カスタム構成設定を受け取。
- KIR アクティブ化カスタム構成プロファイルを確認して作成します。
A. プロパティを選択し、プロファイルに関する基本情報を追加する
Microsoft Intune 管理センターにサインインします。
Devices>Configuration profiles>Create profile を選択します。
次のプロパティを選択します。
- プラットフォーム: Windows 10 以降
- Profile: Templates>Custom
[作成] を選択します
[基本] で、次のプロパティを入力します。
- 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるように、ポリシーに名前を付けます。 たとえば、適切なポリシー名は "04/30 KIR Activation – Windows 10 21H2" です。
- 説明: ポリシーの説明を入力します。 この設定は省略可能ですが、推奨されます。
Note
Platform と Profile の種類 には既に値が選択されている必要があります。
[次へ] を選択します。
Note
カスタム構成プロファイルと構成設定の作成の詳細については、「 Microsoft Intune でカスタム デバイス設定を使用する」を参照してください。
次の 2 つの手順に進む前に、ファイルが抽出されたテキスト エディター (メモ帳など) で ADMX ファイルを開きます。 ADMX ファイルは、MSI ファイルとしてインストールした場合 C:\Windows\PolicyDefinitions パス内に存在する必要があります。
ADMX ファイルの例を次に示します。
<policies>
<policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >
<parentCategory ref="KnownIssueRollback_Win_11" />
<supportedOn ref="SUPPORTED_Windows_11_0_Only" />
<enabledList…> … </enabledList>
<disabledList…>…</disabledList>
</policy>
</policies>
policy name
とparentCategory
の値を記録します。 この情報は、ファイルの末尾にある "ポリシー" ノードにあります。
B. KIR アクティブ化のために ADMX ファイルを取り込むためのカスタム構成設定を追加する
この構成設定は、ターゲット デバイスに KIR アクティブ化ポリシーをインストールするために使用されます。 ADMX インジェスト設定を追加するには、次の手順に従います。
構成設定で、追加を選択します。
次のプロパティを入力します:
名前: 構成設定のわかりやすい名前を入力します。 後で簡単に識別できるように、設定に名前を付けます。 たとえば、適切な設定名は "ADMX Ingestion: 04/30 KIR Activation – Windows 10 21H2" です。
説明: 設定の説明を入力します。 この設定は省略可能ですが、推奨されます。
OMA-URI: 文字列 ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX ポリシー名>を入力します。
Note
ADMX ポリシー名> ADMX ファイルの記録されたポリシー名の値に置き換えます。 たとえば、"KB5011563_220428_2000_1_KnownIssueRollback" などです。 データ型: Stringを選択します。
値: テキスト エディター (メモ帳など) を使用して ADMX ファイルを開きます。 このフィールドに取り込む ADMX ファイルの内容全体をコピーして貼り付けます。
[保存] を選択します。
C: カスタム構成設定を追加して新しい KIR アクティブ化ポリシーを設定する
この構成設定は、前の手順で定義した KIR アクティブ化ポリシーを構成するために使用されます。
以下の手順に従って、KIR アクティブ化構成設定を追加します。
構成設定で、追加を選択します。
次のプロパティを入力します:
名前: 構成設定のわかりやすい名前を入力します。 後で簡単に識別できるように、設定に名前を付けます。 たとえば、適切な設定名は "KIR Activation: 04/30 KIR Activation – Windows 10 21H2" です。
説明: 設定の説明を入力します。 この設定は省略可能ですが、推奨されます。
OMA-URI: 文字列 ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name> を入力します。
Note
<親カテゴリ>を前の手順で記録した親カテゴリ文字列に置き換えます。 たとえば、"KnownIssueRollback_Win_11" などです。
ADMX ポリシー名>前の手順で使用したのと同じポリシー名に置き換えます。 データ型: Stringを選択します。
値: 「 <disabled/>」と入力します。
[保存] を選択します。
[次へ] を選択します。
D. KIR アクティブ化カスタム構成プロファイルにデバイスを割り当てる
カスタム構成プロファイルの動作を定義したら、次の手順に従って、構成するデバイスを特定します。
- Assignmentsで、[すべてのデバイスの追加]選択。
- [次へ] を選択します。
E. 適用規則を使用してデバイスをターゲットにして、OS 別の KIR カスタム構成設定を受け取る
GP に適用できる OS 別のデバイスを対象にするには、この構成を適用する前に、デバイスの OS バージョン (ビルド) を確認する適用規則を追加します。 次のページで、サポートされている OS のビルド番号を検索できます。
ページに表示されるビルド番号は、MMMMM.mmmm (M= メジャー バージョンと m= マイナー バージョン) として書式設定されます。 OS バージョンのプロパティでは、メジャー バージョンの数字が使用されます。 適用規則に入力された OS バージョンの値は、"10.0.MMMMM" として書式設定する必要があります。 たとえば、"10.0.22000" などです。
以下の手順に従って、KIR ライセンス認証の適切な適用規則を設定します。
アプリケーションルールで、ページに既に存在する空白のルールに次のプロパティを入力して、適用ルールを作成します。
- ルール: ドロップダウン リストから [プロファイル 割り当て を選択します。
- プロパティ: ドロップダウン リストから OS バージョン を選択します。
- 値: "10.0.MMMMM" として書式設定された最小および最大 OS バージョン番号を入力します。
[次へ] を選択します。
Note
デバイスの OS バージョンは、スタート メニューから winver
コマンドを実行することで確認できます。 "."で区切られた 2 部構成のバージョン番号が表示されます。 たとえば、"22000.613" などです。 最小 OS バージョンでは、左側の番号を "10.0" に追加できます。 最小 OS バージョン番号の最後の桁に 1 を追加して、最大 OS バージョン番号を取得します。 この例では、次の値を使用できます。
最小 OS バージョン: "10.0.22000"
最大 OS バージョン: "10.0.22001"
F. KIR アクティブ化カスタム構成プロファイルを確認して作成する
カスタム構成プロファイルの設定を確認し、 Create を選択します。
3. KIR のアクティブ化を監視する
これで、KIR のアクティブ化が進行中です。 構成プロファイルの進行状況を監視するには、次の手順に従います。
Devices>Configuration プロファイルに移動し、既存のプロファイルを選択します。 たとえば、macOS プロファイルを選択します。
Overview タブを選択します。このビューでは、Profile 割り当ての状態次の状態が含まれます。
- 成功: ポリシーが正常に適用されます。
- エラー: ポリシーの適用に失敗しました。 通常、メッセージには説明にリンクするエラー コードが表示されます。
- 競合: 同じデバイスに 2 つの設定が適用され、Intune では競合を整理できません。 管理者は競合を確認する必要があります。
- 保留中: デバイスがまだポリシーを受信するために Intune にチェックインされていません。
- 適用できません: デバイスはポリシーを受信できません。 たとえば、ポリシーは iOS 11.1 に固有の設定を更新しますが、デバイスは iOS 10 を使用しています。
詳細については、「Microsoft Intune のデバイス構成プロファイルの監視を参照してください。