チュートリアル: グループ ポリシーを使用してビジネス向けWindows Updateを構成する
ユーザー向けの情報を探している場合、 「Windows Update: FAQ」をご覧ください。
概要
グループ ポリシー管理コンソール (GPMC) でグループ ポリシーを使用して、Windows Update for Business のしくみを制御できます。 ビジネス設定のWindows Updateを変更する前に、更新プログラムの展開戦略を検討し、工夫する必要があります。 詳細については、「 Windows クライアント更新プログラムのサービス戦略を準備する 」を参照してください。
IT 管理者は、グループ ポリシーを使用して Windows Update for Business のポリシーを設定することも、ローカル (デバイスごとに) 設定することもできます。 関連するすべてのポリシーは、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント] > Windows Updateのパスにあります。
この記事で説明されているように、Windows Update for Business を使用して更新プログラムを管理するには、次の手順をまだ準備しておく必要があります。
- Create更新プログラムの展開を段階的に展開するために使用する展開リングと一致する Active Directory セキュリティ グループ。
- Windows Update サービスへのアクセスを許可します。
- WINDOWS 10 バージョンに適した ADMX テンプレートをダウンロードしてインストールします。 詳細については、「Windows で管理用テンプレートをグループ ポリシー中央ストアを作成および管理する方法」および「ステップ バイ ステップ: 管理用テンプレートを使用したWindows 10の管理」を参照してください。
ビジネス向けのWindows Updateを設定する
この例では、1 つのセキュリティ グループを使用して更新プログラムを管理します。 通常、少なくとも 3 つのリング (プレリリース ビルドの初期テスト担当者、リリースの広範な展開、成熟したリリースの重要なデバイス) をデプロイすることをお勧めします。
リモート サーバー管理ツールを実行しているデバイスまたはドメイン コントローラーで、次の手順を実行します。
リングを設定する
管理コンソール (gpmc.msc) グループ ポリシー起動します。
[**フォレスト > ドメイン] ドメイン<を展開します>。>
ドメインを右クリック<し、このドメイン>Create GPO を選択し、ここにリンクします。
[新しい GPO] ダイアログ ボックスで、新しいグループ ポリシー オブジェクトの名前として「Windows Update for Business - Group 1」と入力します。
"Windows Update for Business - Group 1" オブジェクトを右クリックし、[編集] を選択します。
[グループ ポリシー管理] エディターで、[コンピューター構成>ポリシー>] [管理用テンプレート>] [Windows コンポーネント] > Windows Updateに移動します。 これで、デバイスのこのリング (グループ) へのポリシーの割り当てを開始する準備ができました。
Windows Updateオファリングを管理する
更新プログラムを適用するタイミングを制御できます。たとえば、更新プログラムがデバイスにインストールされたタイミングを延期したり、一定期間更新プログラムを一時停止したりします。
デバイスに提供する更新プログラムを決定する
機能と品質の両方の更新プログラムは、Windows Update for Business ポリシーを使用してWindows Updateに接続されているデバイスに自動的に提供されます。 ただし、デバイスに他の Microsoft Updatesを追加で受信するか、そのデバイスに適用できるドライバーを受け取るかを選択できます。
Microsoft Updatesを有効にするには、グループ ポリシー管理コンソールを使用して、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント] > Windows Update > [自動Updatesの構成] に移動し、[他の Microsoft 製品の更新プログラムをインストールする] を選択します。 更新される可能性があるその他の Microsoft 製品の一覧については、「 他の Microsoft 製品を更新する」を参照してください。
ドライバーはデバイス システムにとって有益であるため、自動的に有効になります。 ドライバーを手動で管理する場合は、ドライバーポリシーでドライバーの更新を許可することをお勧めします (既定)。 何らかの理由でドライバーの更新プログラムを無効にする場合は、グループ ポリシー管理コンソールを使用して、[コンピューター構成>管理テンプレート>] [Windows コンポーネント] > Windows Update > [Windows Updatesにドライバーを含めず、ポリシーを有効にします。
また、前に説明したように、Microsoft 製品の更新プログラムを許可することもお勧めします。
デバイスが機能と品質の更新プログラムを受信するタイミングを設定する
次の機能更新プログラムのプレリリース バージョンを受け取りたい
Windows Insider Program for Business に登録されていることを確認します。 これは、商用のお客様がリリースされる前に機能更新プログラムの検証を支援するために利用できる無料プログラムです。 プログラムに参加すると、リリース前に更新プログラムを受け取り、次の更新プログラムに関連するメールやコンテンツを受信できます。
グループ ポリシー管理コンソールを使用して、「コンピューター構成>管理テンプレート > Windows コンポーネント > Windows Update > Windows Update for Business > Manage プレビュー ビルド」に移動し、プレリリース ビルドをインストールするテスト デバイスのプレビュー ビルドを有効にするポリシーを設定します。
グループ ポリシー管理コンソールを使用して、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント] > Windows Update > [Windows Update for Business Select]\(プレビュー ビルドと機能の更新プログラムが受信されたときに選択する\>) に移動します。 [ オプション ] ウィンドウで、プルダウン メニューを使用してプレビュー ビルドのいずれかを選択します。 検証用のプレリリース ビルドを使用して、商用のお客様向けに Windows Insider Program Slow を再コメントします。
[OK] を選択します。
デバイスが受け取るリリース済み機能更新プログラムを管理する
ビジネス管理者向けのWindows Updateは、更新プログラムを延期または一時停止できます。 機能更新プログラムを最大 365 日間延期し、品質更新プログラムを最大 30 日間延期できます。 遅延とは、指定した遅延日数 (オファー日 = リリース日 + 延期日) が少なくともリリースされるまで更新プログラムを受け取らないということです。 指定した特定の開始日から最大 35 日間、機能更新プログラムまたは品質更新プログラムを一時停止できます。
- 機能更新プログラムを延期または一時停止するには: [コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント] > Windows Update > [プレビュー ビルドと機能の更新プログラムを受信したときにビジネス>用にWindows Updateを選択する]
- 品質更新プログラムを延期または一時停止する: コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Windows Update > Windows Update for Business > 品質Updatesが受信されたときに選択する
例
この例では、品質更新のためのリングが 3 つあります。 最初のリング ("パイロット") の遅延期間は 0 日です。 2 つ目のリング ("fast") には、5 日間の遅延があります。 3 つ目のリング ("slow") の遅延は 10 日です。
品質更新プログラムがリリースされると、次回更新プログラムをスキャンするときにパイロット リング内のデバイスに提供されます。
5 日後
高速リング内のデバイスには、次回更新プログラムをスキャンする際に品質更新プログラムが提供されます。
10 日後
品質更新プログラムがリリースされてから 10 日後、次回更新プログラムをスキャンすると、低速リング内のデバイスに提供されます。
問題が発生しない場合、更新プログラムをスキャンするすべてのデバイスは、リリースから 10 日以内に 3 つのウェーブで品質更新プログラムが提供されます。
更新プログラムで問題が発生した場合はどうすればよいですか?
この例では、"パイロット" リングへの更新プログラムのデプロイ中にいくつかの問題が検出されます。
この時点で、IT 管理者は更新プログラムを一時停止するポリシーを設定できます。 この例では、管理者は [品質更新プログラムの一時停止] チェックボックスを選択します。
これで、すべてのデバイスが 35 日間更新から一時停止されます。 一時停止が削除されると、 次 の品質更新プログラムが提供されます。これは、理想的には同じ問題はありません。 それでも問題が解決しない場合、IT 管理者は更新プログラムをもう一度一時停止できます。
特定のバージョンを維持したい
次のバージョンの遅延が経過する時点を超えてデバイスをバージョンに維持する必要がある場合、またはバージョンをスキップする必要がある場合は、機能更新プログラムの遅延の [プレビュー ビルドと機能更新プログラムを受信するタイミングを指定する] 設定を使用する代わりに、[ターゲット機能の更新プログラムのバージョンを選択する] 設定を使用します。 このポリシーを使用する場合は、デバイスで使用するバージョンを指定します。 デバイスがサービス終了に達する前にこれを更新しないと、そのエディションのサービス終了から 60 日が経過すると、デバイスが自動的に更新されます。
ターゲット バージョン ポリシーを設定するときに、現在のバージョンより古い機能更新プログラムのバージョンを指定した場合、または無効な値を設定した場合、ポリシーが更新されるまでデバイスは機能更新プログラムを受け取りません。 ターゲット バージョン ポリシーを指定した場合、機能更新プログラムの遅延は有効になりません。
ユーザーエクスペリエンスの更新プログラムを管理する
更新後にデバイスをダウンロード、インストール、再起動するタイミングを管理する
自動更新を許可することをお勧めします。これは既定の動作です。 自動更新ポリシーを設定しない場合、デバイスはインテリジェントなアクティブ時間などの組み込みのインテリジェンスを使用して、ユーザーに最適な時期にダウンロード、インストール、再起動を試みます。
詳細な制御を行うには、[コンピューター構成>管理用テンプレート>] [Windows コンポーネント>] Windows Update [自動再起動のアクティブ時間範囲を指定する] でユーザーが>設定できるアクティブ時間の最大期間を設定できます。
自動更新が無効になっていない場合は既定で有効になり、ユーザーが自分のアクティブ時間を設定できる場合のエクスペリエンスが向上するため、アクティブ時間ポリシーの設定は控えるのが最善です。 アクティブ時間を設定する場合は、[コンピューター構成>の管理用テンプレート>] [Windows コンポーネント] > Windows Update > [アクティブ時間中の更新プログラムの自動再起動をオフにする] を使用します。
アクティブ時間外に更新するには、追加の設定を設定する必要はありません。自動再起動を無効にしないでください。 さらに詳細な制御を行う場合は、自動更新を使用してインストール時間、日、または週をスケジュールすることを検討してください。 これを行うには、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント] > Windows Update > [自動Updatesの構成] を使用し、[自動ダウンロード] を選択してインストールをスケジュールします。 この設定は、デバイスに更新プログラムをインストールする時間に合わせてカスタマイズできます。
これらのポリシーを設定すると、指定した時刻に自動的にインストールが実行され、インストールが完了した 15 分後にデバイスが再起動されます (ユーザーによって中断されない限り)。
デバイスをセキュリティで保護し、更新期限に準拠させたい
コンピューター構成>の管理用テンプレート>の Windows コンポーネント>を使用することをお勧めしますWindows Update > デバイスが Windows 10 バージョン 1709 以降でセキュリティで保護されるように、機能と品質の更新プログラムの自動更新と再起動の期限を指定します。 これは、更新プログラムをインストールする前にデバイスに提供された後に経過できる日数を指定できるようにすることで機能します。 また、ユーザーが強制的に再起動されるまでの保留中の再起動後に経過できる日数を設定することもできます。
このポリシーでは、期限が実際に期限切れになるまで "エンゲージされた再起動エクスペリエンス" を提示することで、期限に達するまで自動再起動をオプトアウトするオプションも提供されます。 その時点で、デバイスはアクティブ時間に関係なく自動的に再起動をスケジュールします。
これらの通知は、選択した設定に応じてユーザーに表示されます。
[自動更新と再起動の期限を指定する] が設定されている場合 (Windows 10バージョン 1709 以降の場合)。
再起動が保留中の間、期限が発生する前に、次の手順を実行します。
最初の数日間、ユーザーはトースト通知を受け取ります
この期間が経過すると、ユーザーはこのダイアログを受け取ります。
ユーザーが再起動をスケジュールした場合、または自動再起動がスケジュールされている場合は、スケジュールされた時刻の 15 分前に、再起動が発生しようとしているという通知をユーザーが受け取ります。
期限が過ぎた後も再起動が保留中の場合:
期限が過ぎる 12 時間以内に、ユーザーは期限が近づいているという通知を受け取ります。
期限が過ぎると、ユーザーはデバイスをコンプライアンスに保つために再起動を強制され、次の通知を受け取ります。
通知のエンド ユーザー設定
適用対象:
- Windows 11バージョン 23H2 (KB5037771 以降)
- Windows 11バージョン 22H2(KB5037771以降)
ユーザーは、[設定]> で更新の保留中の再起動に関する通知の設定を設定できますWindows Update>[詳細設定] オプション> 更新を完了するために再起動が必要になったときに通知します。 この設定はエンド ユーザーが制御し、IT 管理者が制御または構成することはできません。
[ 更新を完了するために再起動が必要な場合に通知 する] 設定には、次のオプションがあります。
オフ (既定値): デバイスが更新プログラムの再起動待ち状態になると、再起動通知は 24 時間抑制されます。 最初の 24 時間は、アクティブ時間外でも自動再起動が発生する可能性があります。 通常、ユーザーは、期限が近づいている間に、今後の再起動に関する通知が少なくなります。
- 期限が 1 日に設定されている場合、ユーザーは強制再起動の 15 分前に期限に関する通知と最後の通知のみを受け取ります。
オン: デバイスが更新プログラムの再起動保留中の状態になると、ユーザーはすぐにトースト通知を受け取ります。 更新プログラムの自動再起動は、最初の通知の後 24 時間ブロックされ、ユーザーが再起動の準備をする時間が与えられます。 24 時間が経過すると、自動再起動が発生する可能性があります。 この設定は、今後の再起動について通知を受け取るユーザーに推奨されます。
- 期限が 1 日に設定されると、最初の通知が発生し、自動再起動が 24 時間ブロックされ、ユーザーは期限の前に別の通知を受け取り、強制再起動の 15 分前に最後の通知を受け取ります。
期限が 0 日間に設定されている場合、どのオプションが選択されても、ユーザーが受け取る通知は、強制再起動の 15 分前の最後の通知です。
コンプライアンスの期限が使用されている場合、通知のユーザー設定が適用されます。 コンプライアンス期限のポリシーは、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>Windows Update>自動更新と再起動の期限を指定する] にあります。
ユーザーに表示される通知を管理する
通知に影響を与える追加の設定があります。
既定の通知は、設定したコンプライアンス ポリシーに合わせて調整しながら、最適なユーザー エクスペリエンスを提供することを目的として使用することをお勧めします。 既定の通知設定で満たされていない追加のニーズがある場合は、次の値で更新通知の [コンピューター構成>管理用テンプレート>] [Windows コンポーネント>] Windows Update > [表示] オプションを使用できます。
0 (既定値) - 既定のWindows Update通知
を使用する 1 - 再起動警告を除くすべての通知をオフにする 2 - 再起動警告
を含むすべての通知をオフにする
オプション 2 では、個人用デバイスのエクスペリエンスが低下します。自動再起動が無効になっているキオスク デバイスにのみ推奨されます。
注
バージョン 22H2 Windows 11以降、更新通知の表示オプションの追加オプションとして、アクティブ時間中にのみ適用が追加されました。 [ アクティブな時間のみ適用する ] が選択されている場合、通知はオプション 1
または 2
が使用されているアクティブな時間帯にのみ無効になります。 デバイスが確実に更新されるようにするには、[アクティブな時間帯 にのみ適用する] が選択されている場合はアクティブ時間中に通知が表示され、[ 自動更新と再起動の期限を指定 する] が構成されている場合に期限に達すると通知が表示されます。
[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント] > Windows Update > [再起動の自動再起動の警告通知スケジュールを構成する] で、さらに多くのオプションを使用できます。 この設定を使用すると、更新前の自動再起動警告アラーム通知の期間 (2 から 24 時間、既定値は 4 時間) を指定し、自動再起動の差し迫った警告通知の期間を指定できます (既定は 15 分から 60 分)。 既定の通知を使用することをお勧めします。
ユーザーがアクセスできる更新設定を管理する
すべての Windows デバイスは、Windows Updatesの管理に使用できるさまざまなコントロールをユーザーに提供します。 これらのコントロールに Search でアクセスして Windows Updatesを見つけたり、[設定] で [Updatesとセキュリティ] を選択したりできます。 ユーザーがアクセスできるさまざまなコントロールを無効にする機能を提供します。
更新の一時停止設定にアクセスできるユーザーは、機能更新プログラムと品質更新プログラムの両方を 7 日間防ぐことができます。 [コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>] Windows Update [更新プログラムの一時停止] へのアクセスの削除を使用して、[>Windows Update設定] ページを使用して、ユーザーが更新プログラムを一時停止できないようにすることができます。 この設定を無効にすると、一部の設定がorganizationによって管理され、更新の一時停止設定が灰色表示されます。
Windows Server Update Server (WSUS) を使用する場合、ユーザーがWindows Updateスキャンできないようにすることができます。 これを行うには、コンピューター構成>管理用テンプレート > Windows コンポーネント > Windows Update>アクセスを削除して、すべてのWindows Update機能を使用します。
オプションの更新プログラムを有効にする
適用対象:
- Windows 11 バージョン 22H2 (KB5029351 以降)
- Windows 10、バージョン 22H2 とKB5032278、またはそれ以降の累積的な更新プログラムがインストールされている
毎月の累積的な更新プログラムに加えて、オプションの更新プログラムを使用して、新機能とセキュリティ以外の変更を提供できます。 ほとんどのオプションの更新プログラムは、月の第 4 火曜日にリリースされます。これはオプションのセキュリティ以外のプレビュー リリースと呼ばれます。 オプションの更新プログラムには、徐々にロールアウトされる機能 (制御された機能ロールアウト (CPR) と呼ばれる) も含めることができます。 Windows Update for Business を使用して更新プログラムを受信するデバイスでは、オプションの更新プログラムのインストールは既定では有効になっていません。 ただし、[コンピューター構成>管理用テンプレート>] [Windows コンポーネント>] Windows Update [オプションの更新プログラムを有効にする] ポリシーから>提供される更新プログラムを管理Windows Update>使用して、デバイスのオプションの更新プログラムを有効にできます。
更新のタイミングを一貫性を保つために、[ オプションの更新プログラムを有効にする] ポリシーでは 、品質更新プログラムの延期期間が考慮されます。 このポリシーを使用すると、オプションのセキュリティ以外のプレビュー リリースに加えて、デバイスが CPR を受け取る必要があるかどうか、またはエンド ユーザーがオプションの更新プログラムのインストールを決定できるかどうかを選択できます。 このポリシーは、[& 設定>の更新] [セキュリティ>の更新] *Windows Update>[最新の更新プログラムをすぐに入手する] オプションの動作を変更できます。
ポリシーでは、次のオプションを使用できます。
オプションの更新プログラム (CPR を含む) を自動的に受信します。
- オプションのセキュリティ以外の更新プログラムと CFR は、デバイスに自動的にインストールされます。 品質更新プログラムの遅延期間は、これらの更新プログラムのインストールに適用されます。
- [ 利用可能になったらすぐに最新の更新プログラムを取得 する] オプションが選択され、ユーザーは設定を変更できません。
- デバイスは、ロールアウトの初期段階で CPR を受け取ります。
オプションの更新プログラムを自動的に受信します。
- 最新のオプションのセキュリティ以外の更新プログラムは、デバイスに自動的にインストールされますが、CPR はインストールされません。 品質更新プログラムの遅延期間は、これらの更新プログラムのインストールに適用されます。
- [ 利用可能になったらすぐに最新の更新プログラムを取得 する] オプションが選択されていないため、ユーザーは設定を変更できません。
ユーザーは、受信するオプションの更新プログラムを選択できます。
- ユーザーは、[設定>の更新]& セキュリティ>>Windows Update[>オプションの更新] からインストールするオプションの更新プログラムを選択できます。
- オプションの更新プログラムはデバイスに提供されますが、[ 利用可能になったらすぐに最新の更新プログラムを取得 する] オプションも有効になっていない限り、インストールするにはユーザーの操作が必要です。
- CPR はデバイスに提供されますが、必ずしもロールアウトの初期段階では提供されません。
- ユーザーは、[設定の更新] & セキュリティ > *Windows Update>[Advanced オプション] で[利用可能になったらすぐに最新の更新プログラムを取得する]> オプションを有効にすることができます。 ユーザーが 利用可能になるとすぐに [最新の更新プログラムを取得する] を有効にした場合は、次の手順を実行します。
- デバイスは、ロールアウトの初期段階で CFR を受け取ります。
- オプションの更新プログラムは、デバイスに自動的にインストールされます。
- ユーザーは、[設定>の更新]& セキュリティ>>Windows Update[>オプションの更新] からインストールするオプションの更新プログラムを選択できます。
未構成 (既定値):
- オプションの更新プログラムはデバイスにインストールされず、[利用可能になったら すぐに最新の更新プログラムを入手 する] オプションが無効になります。
既定でオフになっているサービスを使用して導入された機能を有効にしたい
(Windows 11 バージョン 22H2 以降以降)
毎月の累積的な更新プログラムを通じて新機能と拡張機能が導入され、Windows 11に継続的なイノベーションが提供されます。 組織が計画と準備をする時間を与えるために、これらの新機能の一部は既定で一時的にオフになっています。 既定でオフになっている機能は、毎月の累積的な更新プログラムの KB 記事に記載されています。 通常、機能はユーザー エクスペリエンスまたは IT 管理者に大きな影響を与えるため、既定でオフに選択されます。
サービス更新プログラムから既定でオフになっている機能は、次回の年次機能更新プログラムで有効になります。 組織は、自分のペースで機能更新プログラムを展開し、準備が整うまでこれらの機能を遅延させることができます。
これらの機能を有効にするには、[コンピューター構成>の管理用テンプレート>] [Windows コンポーネント] > Windows Update > [エンド ユーザー エクスペリエンス>の管理] 既定でオフになっているサービスを使用して導入された機能を有効にします。 次のオプションを使用できます。
-
有効: 最新の月次累積更新プログラムのすべての機能が有効になります。
- ポリシーが [有効] に設定されている場合、デバイスの次回再起動時に現在オフになっているすべての機能がオンになります
- 無効 - 出荷時の機能が既定でオフのまま
- [未構成] - 既定でオフのまま出荷される機能