熟練システム管理者もお手上げ？――Windows 10後のWindows Updateがカオスな件：その知識、ホントに正しい？ Windowsにまつわる都市伝説（74）（2/2 ページ）

[山市良，テクニカルライター]

企業におけるWindows 10とWindows Server 2016の更新管理

　「デスクトップエクスペリエンス」（従来の「GUI使用サーバー」）オプションでインストールされたWindows Server 2016のWindows Updateは、Proエディション以上のWindows 10 バージョン1607と共通です。違いは、Windows Updateの既定が「自動」ではなく、「インストールを通知」になっている点です。なお、「Server Core」インストールのWindows Server 2016は、Windows 10の新しいWindows Updateの機能を搭載していません。

　マイクロソフトは「Windows as a Service」に基づいて、Windows 10の複数のバージョン（ビルド）に対して、「品質更新プログラム」と「機能更新プログラム」（旧称、機能アップグレード）のサポートを提供しています。

　過去3つのバージョン（ビルド）がサポートされるため、現在、Windows 10初期リリース（「バージョン1507」と呼ぶこともあります）、Windows 10 バージョン1511、Windows 10 バージョン1607の3つのバージョン（ビルド）がサポート対象になっています。2017年春に予定されている「Windows 10 Creators Update」がリリースされれば、Windows 10初期リリースはサポート対象から外れることになります。

　Windows 10の新しいバージョン（ビルド）は、まず「Current Branch（CB）」に提供され、おおむね、その4カ月後に「Current Branch for Business（CBB）」に対して提供が始まります。Windows 10の既定はCBですが、Windows 10の詳細オプションの「アップグレードを延期する（バージョン1607以降は「機能の更新を延期する」）」を選択することでCBBに切り替えることが可能です。

　「Windows Update for Business」と呼ばれるポリシー設定を利用すれば、CBBへの新しいバージョン（ビルド）の提供をさらに延期することが可能です。CBとCBB、CBBのさらなる延期により、サポート対象のバージョン（ビルド）が複数（バージョン1607のCB提供以降は常に3つ）存在することになります。

　Windows 10の3つのバージョン（ビルド）、Windows Server 2016の2つのインストールオプションの違い（もう1つ「Nano Server」がありますが、Nano Serverは手動更新のみ）、これに以前のバージョンのWindowsが加われば、それだけでも更新管理が複雑になることは容易に想像できるでしょう。Windows 10のWindows Updateの機能はバージョン（ビルド）アップごとに変更が加えられており、さらに状況を複雑にしています。

Windows 10の複数バージョン混在環境はポリシー管理が大変

　Windows 10のWindows Updateの仕様は、バージョン（ビルド）アップごとに変更が加えられています。個人向けの部分は既に紹介した通りです。企業向けの機能も継続的に変更が加えられています。

　例えば、Windows Update for Business（CBBのさらなる延期、アップグレードおよび更新の一時停止）は、Windows 10 バージョン1511に追加されたポリシー設定であり、ローカルコンピューターポリシーやグループポリシーを使用して、以下のポリシーで構成できます。CBBへの機能アップグレードの提供は、CBBへの配布開始後さらに最大8カ月延期できます。その他の更新については最大4週間延期できます（画面5）。また、緊急時には、このポリシーにある「アップグレードおよび更新を一時停止する」オプションを有効にすることで、次に新しい機能アップグレードや更新プログラムが公開されるまで、問題のある機能アップグレードや更新をブロックできるそうです。きちんと動作するのかは未確認です。

• コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\アップグレードおよび更新を延期する

画面5　Windows 10 バージョン1511のWindows Update for Businessのポリシー設定

　Windows 10 バージョン1607では、ポリシー設定が以下の場所に変更されました。ポリシーの場所や名称だけでなく、機能的にも変更が加えられています。機能更新プログラムは最大180日、品質更新プログラムは最大30日延期できます。また、CBBだけでなく、CBに対する機能更新プログラムの延期も可能になりました（画面6）。緊急時にはこれらのポリシーにある「機能更新プログラムの一時停止」や「品質更新プログラムの一時停止」オプションを有効にすることで、機能更新プログラムを最大60日、品質更新プログラムを最大35日間、受信しないようにブロックすることができます。この一時停止の仕様もまた、Windows 10 バージョン1511とは変わっています。

• コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Updateの延期\機能更新プログラムをいつ受信するかを選択してください
• コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Updateの延期\品質更新プログラムをいつ受信するかを選択してください

画面6　Windows 10 バージョン1607のWindows Update for Businessのポリシー設定

　Windows 10のWindows Updateのポリシー設定を編集するには、Windows 10のバージョン（ビルド）に一致した「管理用テンプレート」（C:\Windows\PolicyDefinitions\WindowsUpdate.admx）を使用する必要があります。

　グループポリシーで管理する場合は、Windows 10のバージョン（ビルド）ごとにグループ化して、別々にポリシーを管理する必要があります。また、Windows 10のバージョン（ビルド）ごとにWindows Updateの管理用テンプレート（C:\Windows\PolicyDefinitions\WindowsUpdate.admx）が異なるため、あるバージョン（ビルド）のグループポリシーを編集できる端末を別々に用意する必要があります。ドメインコントローラーの「グループポリシーエディター」で全てを編集するというわけにはいきません。

新しいポリシー設定は今後も続々と追加されるかも……

　Windows 10 バージョン1607では、Windows Update for Business以外にも、以下のWindows Updateのポリシー設定が増えています。

• コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\アクティブ時間内の更新プログラムの自動再起動をオフにします
• コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\更新プログラムをインストールするための自動再起動の期限を指定してください
• コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Update のすべての機能へのアクセスを削除する
• コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Update からドライバーを除外する

　「アクティブ時間内の更新プログラムの自動再起動をオフにします」ポリシーは、アクティブ時間をポリシーで設定するためのものです。

　「更新プログラムをインストールするための自動再起動の期限を指定してください」ポリシーは再起動のオプション（前出の画面4）で、ユーザーが再スケジュール可能な期間を2日から最大14日に変更するポリシー設定です。このポリシーによって、自動再起動までの期限が自動的に延長されるわけではありません。

　「Windows Updateのすべての機能へのアクセスを削除する」ポリシーは、2016年10月の累積的な更新プログラム「KB3197954」で追加された、ビルド14393.351以降で利用可能なポリシー設定です。このポリシーを有効にすると、Windows Updateの「更新プログラムをチェック」「ダウンロード」「インストール」ボタンが無効になり、ユーザーによる手動操作が制限されます（画面7）。

画面7　「Windows Updateのすべての機能へのアクセスを削除する」ポリシーは、ユーザーによる手動更新を制限する

　最後の「Windows Updateからドライバーを除外する」ポリシーは、品質更新プログラムとして配布されるデバイスドライバーのインストールを除外するポリシー設定です。

　ポリシー設定の「サポートされるバージョン」は「Windows Server 2016以降またはWindows 10以降」となっていますが、これらのポリシーを利用できるのはWindows 10 バージョン1607およびWindows Server 2016です。確認したわけではありませんが、Windows 10 バージョン1511以前では利用できないと思います。「サポートされるバージョン」で判断することができないのは、不親切だとは思いませんか。

　Windows 10 Insider Previewで配布されている開発中のビルドで確認すると、さらなる仕様変更や新しいポリシーの追加が行われるようです。これらのポリシーがWindows 10の次のバージョン（ビルド）で使えるかどうかは、次のバージョン（ビルド）が出るまでは分かりません。

　Windows 10 Insider Previewのさらに新しい未公開ビルドでは、Windows Updateによる自動更新を、「Windows Defender」の更新を除いて最大35日間一時停止できるオプションが追加されるという話もあります。「35日」というキーワードからすると、Windows 10 バージョン1607のポリシーの「品質更新プログラムの一時停止」オプションと同じ機能を持つ設定オプションがWindows 10側に追加されるようなイメージでしょうか。

Windows Update for BusinessとWSUSの共存は可能？　不可能？

　Windows 10は、Windows Server 2012以降の「Windows Server Update Services（WSUS）」のクライアントとして、Windows 8.1以前と同じようにWSUSサーバから更新プログラムを受け取ることができます。Windows Server 2012以降のWSUSは品質更新プログラムと機能更新プログラム（機能アップグレード）の両方の配布に対応しており、WSUSクライアントの構成もWindows 8.1以前と同じようにポリシー設定で構成できます。

　Windows 10 バージョン1511からはWindows Update for Businessが利用可能になりましたが、Windows Update for BusinessとWSUSは併用できないと考えている人は多いと思います。実際、マイクロソフトはそう説明してきましたし、Windows 10 バージョン1511の「アップグレードおよび更新を延期する」ポリシーの説明には、以下のように併用できないことが明記されています。

“Note: If the "Specify intranet Microsoft update service location" policy is enabled, then the "Defer upgrades by", "Defer updates by" and "Pause Updates and Upgrades" settings have no effect.”

　ただし、これはWindows 10 バージョン1511でのこと。Windows 10 バージョン1607からは併用できるようになりました。そのことは以下の公式ドキュメントに明記されています。

• Manage updates using Windows Update for Business［英語］（Windows IT Center）

“Specifically, Windows Update for Business allows for: （中略）・Integration with existing management tools such as Windows Server Update Services（WSUS）, System Center Configuration Manager, and Microsoft Intune.”

　筆者が以下の個人ブログで検証したことから考えると、実は、Windows 10 バージョン1511でも併用ができなかったわけではなく、併用したらどうなるか分からないというのが本当のところだと想像しています。

• Windows 10 の更新方法、WSUS と Windows Update for Business は共存できるかも（筆者の個人ブログ：山市良のえぬなんとかわーるど）

　Windows 10 バージョン1607からは併用できるようになったはずですが、併用した場合、以下のようなトラブルが発生することがあるようです。作っているマイクロフト自身が、まだ併用したらどうなるのか分かっていなさそうですね。

• Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまう事象について（Japan WSUS Support Team Blog）

　既に解決済みのトラブルですが、WSUSからの更新プログラムのダウンロードが進まなくなるというトラブルもあったようです。修正されるまでのトラブルの解消方法は、更新プログラムのダウンロードと手動インストールでした。これでは、WSUSを導入している意味が全くありませんね。

• Windows 10 バージョン 1607 および Windows Server 2016 の環境で、更新プログラムのダウンロードが途中から進まなくなる問題について（Japan WSUS Support Team Blog）

　何が言いたかったのかというと、Windows Updateにお任せするのも、WSUSで管理するのも、一筋縄ではいかないということです。なお、WSUSの管理者ならおなじみの「wuauclt /detectnow」コマンドや「wuauclt /updatenow」コマンドは、Windows 10では全く機能しないのでご注意ください。詳しくは、以下の記事をご覧ください。

• 一瞬で消え去る怪しいウィンドウ、「ウソクライアント（usoclient.exe）」のホントの仕事は？（本連載 第61回）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。