その他の Windows Update 設定の管理
ユーザー向けの情報を探している場合、 「Windows Update: FAQ」をご覧ください。
グループ ポリシー設定またはモバイル デバイス管理 (MDM) を使用して、Windows 10 デバイスでの Windows Update の動作を構成できます。 更新プログラムの検出頻度の構成、更新プログラムを受信するタイミング、更新サービスの場所の指定などを行うことができます。
Windows Update の設定の概要
グループ ポリシー設定 | MDM 設定 | サポートされるバージョン |
---|---|---|
イントラネットの Microsoft 更新サービスの場所を指定する | UpdateServiceUrl および UpdateServiceUrlAlternate | すべて |
自動更新の検出頻度 | DetectionFrequency | 1703 |
Windows Update のすべての機能へのアクセスを削除する | Update/SetDisableUXWUAccess | すべて |
インターネット上の Windows Update に接続しない | すべて | |
クライアント側のターゲットを有効にする | すべて | |
イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する | AllowNonMicrosoftSignedUpdate | すべて |
Windows Update からドライバーを除外する | ExcludeWUDriversInQualityUpdate | 1607 |
自動更新を構成する | AllowAutoUpdate | すべて |
Windows Update通知にはorganization名が表示されます *組織名は既定で表示されます。 レジストリ値は、この動作を無効にすることができます。 |
参加または登録Microsoft EntraデバイスのWindows 11 | |
初期ユーザー サインイン前の Windows 更新プログラムのインストールを許可する (レジストリのみ) | Windows 11 バージョン 22H2 と 2023-04 累積的な更新プログラムプレビュー、またはそれ以降の累積的な更新プログラム |
重要
デバイスの再起動と更新プログラムの再起動通知を管理するための設定の詳細については、「更新 後のデバイスの再起動を管理する」を参照してください。
機能と品質の更新プログラムを受信するタイミングを構成するその他の設定については、「Windows Update for Business の構成」を参照してください。
更新プログラムのスキャン
管理者は、デバイスで更新プログラムをスキャンおよび受信する方法を柔軟に構成できます。
[イントラネットの Microsoft 更新サービスの場所を指定する] を利用すると、管理者は、内部の Microsoft 更新サービスの場所を参照するようにデバイスに対して指示することができます。また、[インターネット上の Windows Update に接続しない] オプションを利用すると、デバイスが内部更新サービスのみを参照するように制限できます。 [自動更新の検出頻度] は、デバイスが更新プログラムをスキャンする頻度を制御します。
クライアント側のターゲット設定を有効にするを使用して、Microsoft の内部更新サービスと連携するカスタム デバイス グループを作成できます。 また、イントラネットの Microsoft 更新サービスの場所から署名された更新プログラムを許可するを通じて、Microsoft の内部更新サービスから Microsoft によって 署名されていない更新プログラムをデバイスが受け取るようにすることもできます。
最後に、更新エクスペリエンスが完全に管理されていることを確認するには、アクセス権を削除して、ユーザーのすべてのWindows Update機能を使用できます。
機能と品質の更新プログラムを受信するタイミングを構成するその他の設定については、「Windows Update for Business を構成する」を参照してください。
イントラネットの Microsoft 更新サービスの場所を指定する
Microsoft Update からの更新プログラムをホストするイントラネット サーバーを指定します。 この更新サービスを使用して、ネットワーク上のコンピューターを自動的に更新できます。 この設定を使うと、内部の更新サービスとして機能する、ネットワーク上のサーバーを指定できます。 自動Updates クライアントは、ネットワーク上のコンピューターに適用される更新プログラムをこのサービスで検索します。
グループ ポリシーでこの設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの場所を指定する] の順に移動します。 次の 2 つのサーバー名の値を設定する必要があります。
- 自動Updates クライアントが更新プログラムを検出してダウンロードするサーバー
- 更新されたワークステーションが統計をアップロードするサーバー両方の値を同じサーバーに設定できます。 オプションのサーバー名を指定して、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーから更新プログラムをダウンロードするように構成することができます。
この設定が [有効] と指定されている場合、自動更新クライアントは Windows Update ではなく、指定されたイントラネットの Microsoft 更新サービス (または代替ダウンロード サーバー) に接続し、更新プログラムの検索およびダウンロードを実行します。 この設定を有効にすると、組織内のエンド ユーザーはファイアウォール経由で更新プログラムを入手する必要がなくなります。また、管理者は更新プログラムを展開した後でテストできるようになります。 設定が [無効] または [未構成] に設定されていて、ポリシーまたはユーザー設定によって自動Updatesが無効になっていない場合、自動Updates クライアントはインターネット上のWindows Update サイトに直接接続します。
代替ダウンロード サーバーを利用すると、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーからファイルをダウンロードするように構成することができます。 URL が見つからないファイルをダウンロードするオプションを使用すると、更新メタデータにファイルのダウンロード URL がない場合に、代替ダウンロード サーバーからコンテンツをダウンロードできます。 このオプションは、イントラネット更新サービスが代替ダウンロード サーバーに存在するファイルの更新メタデータにダウンロード URL を提供しない場合にのみ使用する必要があります。
注
[自動更新を構成する] ポリシーが無効になっている場合、このポリシーは効果はありません。
"代替ダウンロード サーバー" が設定されていない場合、更新プログラムのダウンロードには、既定でイントラネットの更新サービスが使用されます。
"URL が示されていないファイルをダウンロードする" ためのオプションは、"代替ダウンロード サーバー" が設定されている場合にのみ使用します。
このポリシーを MDM で構成するには、UpdateServiceUrl と UpdateServiceUrlAlternate を使用します。
自動更新の検出頻度
利用可能な更新プログラムを確認するまでの待機時間を Windows で判別するための時間数を指定します。 正確な待機時間は、ここで指定した時間から 0 ~ 20% の時間を差し引いた時間になります。 たとえば、このポリシーで検出頻度が 20 時間に指定されている場合、このポリシーが適用されるすべてのクライアントでは 16 ~ 20 時間の間で更新が確認されます。
グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[自動更新の検出頻度] の順に移動します。
設定が [有効] に設定されている場合、Windows は指定された間隔で利用可能な更新プログラムを確認します。 設定が [無効] または [未構成] に設定されている場合、Windows は既定の 22 時間間隔で利用可能な更新プログラムをチェックします。
注
このポリシーを有効にするには、[イントラネットの Microsoft 更新サービスの場所を指定する] の設定も有効にする必要があります。
[自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。
このポリシーを MDM で構成するには、DetectionFrequency を使用します。
Windows Update のすべての機能へのアクセスを削除する
管理者は、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows update]、[Windows Update のすべての機能へのアクセスを削除する] の下でグループ ポリシー設定を有効にして、ユーザーの [更新プログラムの確認] をオフにすることができます。 バックグラウンド更新プログラムのスキャン、ダウンロード、インストールは、構成どおりに引き続き機能します。
インターネット上の Windows Update に接続しない
イントラネットの更新サービスから更新プログラムを受信するように Windows Update が構成されている場合でも、公開されている Windows Update サービスから情報を定期的に取得して、Windows Update やその他のサービス (Microsoft Update や Microsoft Store など) に今後接続できるようにします。
このポリシーを有効にするには、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[インターネット上の Windows Update に接続しない] の順に移動します。 このポリシーを有効にすると、上記の機能が無効になり、Microsoft Store、Windows Update for Business、配信の最適化などのパブリック サービスへの接続が停止する可能性があります。
注
このポリシーは、[イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーを使用してイントラネットの更新サービスに接続するようにデバイスが構成されているときにのみ適用されます。
クライアント側のターゲットを有効にする
イントラネットの Microsoft 更新サービスから更新プログラムを受信するために使用されるターゲットのグループ名を指定します。 これにより、管理者は WSUS やConfiguration Managerなどのソースから異なる更新プログラムを受け取るデバイス グループを構成できます。
このグループ ポリシー設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[クライアント側のターゲットを有効にする] の順に移動します。 設定が [有効] に設定されている場合、指定したターゲット グループ情報がイントラネット Microsoft 更新サービスに送信されます。この情報を使用して、このコンピューターに展開する更新プログラムを決定します。 設定が [無効] または [未構成] に設定されている場合、ターゲット グループ情報はイントラネット Microsoft 更新サービスに送信されません。
イントラネットの Microsoft 更新サービスが複数のターゲット グループに対応している場合、このポリシーでは、グループ名をセミコロンで区切り、複数のグループ名を指定できます。 サポートされていない場合は、指定できるグループは 1 つだけです。
注
このポリシーは、デバイスの接続先となるイントラネットの Microsoft 更新サービスが、クライアント側のターゲットをサポートするように構成されているときにのみ適用されます。 [イントラネットの Microsoft の更新サービスの場所を指定する] ポリシーが無効か構成されていない場合、このポリシーは有効にはなりません。
イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する
このポリシー設定では、Microsoft 以外のエンティティによって署名された更新プログラムがイントラネットの Microsoft 更新サービスの場所で見つかったときに、自動更新がその更新プログラムを受け入れるかどうかを管理できます。
グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する] の順に移動します。
このポリシー設定を有効にした場合、ローカル コンピューターの "信頼された発行元" 証明書ストアにある証明書によって署名されている場合、[イントラネット Microsoft 更新サービスの場所の指定] で指定されているように、イントラネット Microsoft 更新サービスの場所を介して受信した更新プログラムが自動Updatesによって受け入れられます。 このポリシー設定を無効にした場合、または構成しない場合は、イントラネットの Microsoft 更新サービスの場所からの更新プログラムが Microsoft によって署名されている必要があります。
注
イントラネットの Microsoft 更新サービス以外のサービスからダウンロードする更新プログラムには、このポリシー設定に関係なく Microsoft による署名が常に必要です。
このポリシーを MDM で構成するには、AllowNonMicrosoftSignedUpdate を使用します。
更新プログラムのインストール
更新プロセスの柔軟性をさらに高めるために、更新プログラムのインストールを制御する設定を利用できます。
自動Updatesの構成には、自動更新のインストールに 4 つの異なるオプションが用意されていますが、Windows Updatesにドライバーを含めないでください。これにより、受信した更新プログラムの残りの部分でドライバーがインストールされていないことが確認されます。
Windows Update からドライバーを除外する
管理者は、更新中に Windows Update ドライバーを除外することができます。
グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[Windows Update からドライバーを除外する] の順に移動します。 Windows 品質更新プログラムにドライバーを含めないようにするには、このポリシーを有効にします。 このポリシーを無効にした場合、または構成していない場合は、ドライバーの分類を持つ更新プログラムが含Windows Update。
自動更新を構成する
IT 管理者は、更新プログラムのスキャン、ダウンロード、およびインストールに関する自動更新の動作を管理できます。
グループ ポリシーを使用して自動更新を構成する
[コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Windows update]\[自動Updatesの構成] で、次のいずれかのオプションを選択する必要があります。
2 - ダウンロードと自動インストールを通知 する - Windows がこのデバイスに適用される更新プログラムを検出すると、更新プログラムをダウンロードする準備ができていることがユーザーに通知されます。 [設定] > [更新 & セキュリティ > Windows Update] に移動すると、ユーザーは利用可能な更新プログラムをダウンロードしてインストールできます。
3 - [インストール] の自動ダウンロードと通知 - Windows は、デバイスに適用される更新プログラムを検出し、バックグラウンドでダウンロードします (このプロセス中にユーザーに通知または中断されることはありません)。 ダウンロードが完了すると、インストールの準備ができていることがユーザーに通知されます。 [設定] > [Update & security > Windows Update] に移動すると、ユーザーはそれらをインストールできます。
[4 - 自動ダウンロードしインストール日時を指定] - グループ ポリシー設定のオプションを使用してスケジュールを指定します。 この設定について詳しくは、「更新プログラムのインストールのスケジュール設定」をご覧ください。
5 - ローカル管理者による設定の選択を許可する - このオプションを使用すると、ローカル管理者は設定アプリを使用して任意の構成オプションを選択できます。 ローカル管理者は、自動Updatesの構成を無効にすることはできません。 このオプションは、Windows 10以降のバージョンでは使用できません。
7 - インストールを通知し、再起動を通知する (Windows Server 2016以降のみ) - このオプションを使用すると、Windows がこのデバイスに適用される更新プログラムを検出すると、ダウンロードされ、更新プログラムがインストールされる準備ができていることがユーザーに通知されます。 更新プログラムがインストールされると、デバイスを再起動するための通知がユーザーに表示されます。
この設定が [無効] と指定されている場合は、Windows Update に利用可能な更新プログラムがあれば、手動でダウンロードしインストールする必要があります。 これを行うには、ユーザーは [設定] > [Update & security > Windows Update] に移動する必要があります。
この設定が [未構成] に設定されている場合でも、[設定] > [セキュリティの更新] > Windows Update > [詳細オプション] で、設定アプリを使用して自動Updates & 構成できます。
レジストリを編集して自動更新を構成する
注
レジストリ エディターなどを使用してレジストリを誤って変更すると、重大な問題が発生する場合があります。 このような問題では、オペレーティング システムの再インストールが必要になることもあります。 Microsoft では、このような問題の解決に関しては保証できません。 レジストリの変更は各自の責任で行ってください。
Active Directory が展開されていない環境では、レジストリ設定を編集して、自動更新のグループ ポリシーを構成できます。
これを行うためには、次の手順を実行します。
[スタート] を選択し、「regedit」を検索して、レジストリ エディターを開きます。
次のレジストリ キーを開きます。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
自動更新を構成するには、次のいずれかのレジストリ値を追加します。
NoAutoUpdate (REG_DWORD):
0: 自動更新は有効になっています (既定)。
1: 自動更新は無効になっています。
AUOptions (REG_DWORD):
1: コンピューターを最新の状態に保つ設定が自動更新で無効になっています。
2: ダウンロードとインストールを通知します。
3: 自動的にダウンロードし、インストールを通知します。
4: 自動的にダウンロードし、スケジュールされている時間にインストールします。
5: ローカル管理者が構成モードを選択できるようにします。 このオプションは、Windows 10以降のバージョンでは使用できません。
7: インストールを通知し、再起動を通知します。 (Windows Server 2016以降のみ)
ScheduledInstallDay (REG_DWORD):
0: 毎日。
1~ 7: 日曜日 (1) から土曜日 (7) までの曜日。
ScheduledInstallTime (REG_DWORD):
n、ここで n は 24 時間形式 (0 ~ 23) の時間となります。
UseWUServer (REG_DWORD)
この値を 1 に設定すると、自動更新で、Windows Update ではなく Software Update Services を実行しているサーバーを使用するように構成できます。
RescheduleWaitTime (REG_DWORD)
m、ここで m は、自動更新が開始されてから、スケジュールした時間が経過してインストールが開始されるまでの待機時間となります。 時刻は、1 ~ 60 (1 分~ 60 分) の分単位で設定されます。
注
この設定は、クライアントが SUS SP1 クライアント バージョンまたはそれ以降のバージョンに更新された後のクライアント動作にのみ影響します。
NoAutoRebootWithLoggedOnUsers (REG_DWORD):
0 (false) または 1 (true)。 1 に設定した場合、自動Updatesはユーザーのログオン中にコンピューターを自動的に再起動しません。
注
この設定は、クライアントが SUS SP1 クライアント バージョンまたはそれ以降のバージョンに更新された後のクライアントの動作に影響します。
Windows ソフトウェア更新サービス (WSUS) を実行しているサーバーで自動Updatesを使用するには、Microsoft Windows Server Update Servicesの展開に関するガイダンスを参照してください。
ポリシーのレジストリ キーを使用して自動更新を直接構成すると、ポリシーによって、ローカル管理者ユーザーがクライアントを構成するために設定した基本設定が上書きされます。 管理者が後でレジストリ キーを削除した場合、ローカル管理者ユーザーによって設定された基本設定が再び使用されます。
クライアント コンピューターとサーバーが更新のために接続する WSUS サーバーを確認するには、次のレジストリ値をレジストリに追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
WUServer (REG_SZ)
この値は、WSUS サーバーを HTTP 名で設定します (たとえば、 http://IntranetSUS).
WUStatusServer (REG_SZ)
この値は、SUS 統計サーバーを HTTP 名で設定します (例: http://IntranetSUS).
Windows Update通知にorganization名を表示する
Windows 11クライアントがMicrosoft Entra テナントに関連付けられている場合、Windows Update通知にorganization名が表示されます。 たとえば、Windows Update for Business に対してコンプライアンス期限が構成されている場合、Contoso と同様のメッセージがユーザー通知に表示されます。重要な更新プログラムをインストールする必要があります。 organization名は、[Windows 11の設定]の [Windows Update] ページにも表示されます。
organization名は、次のいずれかの方法でMicrosoft Entra IDに関連付けられているWindows 11 クライアントに対して自動的に表示されます。
Windows Update通知でorganization名の表示を無効にするには、レジストリに次の値を追加または変更します。
-
レジストリ キー:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations
- DWORD 値名: UsoDisableAADJAttribution
- 値データ: 1
次の PowerShell スクリプトが例として提供されます。
$registryPath = "HKLM:\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations"
$Name = "UsoDisableAADJAttribution"
$value = "1"
if (!(Test-Path $registryPath))
{
New-Item -Path $registryPath -Force | Out-Null
}
New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null
初期ユーザー サインイン前の Windows 更新プログラムのインストールを許可する
(Windows 11 以降、バージョン 22H2 と 2023-04 累積的な更新プログラム プレビュー、またはそれ以降の累積的な更新プログラム)
新しいデバイスでは、ユーザーが Out of Box Experience (OOBE) を完了して初めてサインインするまで、Windows Updateはバックグラウンド更新プログラムのインストールを開始しません。 多くの場合、ユーザーは OOBE を完了した直後にサインインします。 ただし、一部の VM ベースのソリューションでは、デバイスがプロビジョニングされ、最初のユーザー エクスペリエンスが自動化されます。 これらの VM はユーザーにすぐに割り当てられない可能性があるため、数日後まで初期サインインは表示されません。
初期サインインが遅れるシナリオでは、次のレジストリ値を設定すると、ユーザーが最初にサインインする前にデバイスがバックグラウンド更新作業を開始できるようになります。
- レジストリ キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator
- DWORD 値名: ScanBeforeInitialLogonAllowed
- 値データ: 1
Warning
この値は、遅延初期ユーザー サインインを使用するシナリオにのみ使用するように設計されています。 初期ユーザー サインインが遅れないデバイスでこの値を設定すると、ユーザーが初めてサインインするときに更新作業が発生する可能性があるため、パフォーマンスに悪影響を及ぼす可能性があります。