前回は、「サービスとしてのWindows(Windows as a Service:WaaS)」における「機能更新プログラム」のリリースサイクルと配布制御について説明しました。今回は、機能更新プログラムの各リリースに対する「品質更新プログラム」のリリースサイクルと配布制御について説明します。
前回説明したように、2017年7月から、つまりWindows 10 Creators Updateの「Current Branch for Business(CBB)」からは、「Current Branch(CB)」が「Semi-Annual Channel(Targeted)」、CBBが「Semi-Annual Channel」という名称に変更されました。Windows 10 Creators UpdateはSemi-Annual Channelとして初めて提供されるリリースで、この秋のWindows 10 Fall Creators UpdateがSemi-Annual Channel(Targeted)として初めて提供されるリリースとなります。
Windows 10のUI(ユーザーインタフェース)やポリシー設定、管理ツールには、現状、Semi-Annual Channelの名称変更は行われておらず、CB/CBBのままであるため、ユーザーだけでなく、Microsoftも含めて、しばらくは混乱することになると思います。本稿では混乱を避けるため、UIや設定と一致しているCB/CBBを使用します。
「機能更新プログラム(Feature Updates)」の各リリース(Windows 10のリリースビルド)には、リリース後18カ月間、「品質更新プログラム(Quality Updates)」が提供されます。
Windows 8.1以前は「Patch Tuesday」や「Update Tuesday」とも呼ばれる“毎月第二火曜日(日本では翌水曜日)”に、更新プログラムがまとめてリリースされるのが定例でした。この定例の更新プログラムのリリースは、Windows 10の品質更新プログラムでも変わりません。しかし、Windows 10ではそれ以外のタイミングでも品質更新プログラムが提供されることがあります。
Windows 10初期リリースでは、品質更新プログラムが随時リリースされ、1カ月に何度もWindows Updateのための再起動が要求されるという状況がありました。これでは、企業利用での安定的なクライアント運用には向きません。
Windows 10 バージョン1703からは、新しいセキュリティ更新を含む「累積的な更新プログラム」が毎月第二火曜日にリリースされ、新しいセキュリティ更新を含まない追加的な品質更新プログラムが毎月1回(通常、第四火曜日)または複数回リリースされるように変更されました。2017年4月からは、この新しいリリースポリシーに基づいて品質更新プログラムが提供されています。
筆者が確認した限り、2017年5月からはWindows 10 バージョン1607についても同様のリリースポリシーで品質更新プログラムが提供されています(図1)。
Windows 10の品質更新プログラムは、基本的に“累積的な更新プログラム”です。新しい累積的な更新プログラムには、過去にリリース済みの累積的な更新プログラムの内容が含まれており、過去の累積的な更新プログラムを置き換えます。
累積的な更新プログラムがWindows Updateでインストールされている場合は、過去の累積的な更新プログラムで更新されていないコンポーネントのみが更新されます。また、Windows 10を新規インストールした場合は、少数の累積的な更新プログラムのインストールだけで最新の状態に更新できます。
新しいリリースポリシーに従うと、セキュリティ更新については、第二火曜日にリリースされる累積的な更新プログラムを毎月インストールすれば、セキュアな状態を維持できるということになります。累積的な更新プログラムであるため、ある月の第二火曜日と次の第二火曜日の間にリリースされた累積的な更新プログラムの適用をスキップしたとしても、第二火曜日の累積的な更新プログラムによって、その間のセキュリティ以外の更新も行われます。
「Windows Server Update Services(WSUS)」では、第二火曜日にリリースされる新しいセキュリティ更新を含む累積的な更新プログラムは「セキュリティ問題の修正プログラム」、新しいセキュリティ更新を含まない累積的な更新プログラムは「重要な更新」として分類されます。
同じく、第二火曜日にリリースされるその他の更新(Adobe Flash Playerの更新など)も「セキュリティ問題の修正プログラム」として分類されます。WSUSで更新しているのであれば、「セキュリティ問題の修正プログラム」として分類される累積的な更新プログラムの方だけを配布すれば最小限の更新機会と更新プログラム数でセキュリティを維持することができます(画面1)。
WSUSを利用せず、Windows 10 Creators Updateを「Windows Update for Business」で運用している環境では、第二火曜日リリースの品質更新プログラムだけをインストールするという運用が可能です。具体的には、以下のポリシー設定で「Current Branch for Business」を選択している場合、そのコンピュータの自動更新では第二火曜日以外にリリースされる、新しいセキュリティ更新を含まない累積的な更新プログラムは検出されなくなります(明示的に「手動で更新」をチェックした場合は検出されるようです)。
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Updateの延期\機能更新プログラムをいつ受信するかを選択してください
それ以外の場合(Windows 10 Anniversary UpdateやCB構成のWindows 10 Creators Updateなど)は、Windows Update for Businessの以下のポリシーを利用することで、品質更新プログラムを延期したり、一時停止したりする方法もあります。しかし、特定の更新プログラムをスキップするための確実な方法ではありません(画面2)。
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Updateの延期\品質更新プログラムをいつ受信するかを選択してください
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Updateの延期\品質更新プログラムをいつ受信するかを選択してください
品質更新プログラムの「受信延期日数」は、品質更新プログラムが利用可能になってから、その更新のインストールを開始するまで延期する日数を指定します。この目的は、品質更新プログラムのリリース後、すぐにインストールするのではなく、更新プログラムの情報を確認してから、あるいはパイロット環境に展開して影響がないことを確認してから全社展開するための猶予を設けることです。
例えば、もし更新プログラムに重大な問題があり、公開が取り消された場合でも、数日間延期するようにしてあれば、問題の更新プログラムがインストールされることはありません。
品質更新プログラムの一時停止は、企業内のPCに配布が開始されてしまったものの、何らかの問題が発覚して緊急措置としてまだ配布されていないPCでの更新を一時停止するために使用します。一時停止を明示的にオフにするか、35日経過して自動的に一時停止が解除された場合、その時点で利用可能な最新の(延期している場合は延期対象外で最新の)累積的な更新プログラムが検出、インストールされます。
この一時停止をうまく活用すれば、新たなセキュリティ更新を含まない累積的な更新プログラムをスキップできますが、これも現実的な運用ではありません。一時停止は永続的な設定ではなく、35日経過後にリセットされます。そのため、毎回、一時停止の設定を行う必要があるからです。
Copyright © ITmedia, Inc. All Rights Reserved.