企業内ネットワークに「Windows Server Update Services(WSUS)」サーバを展開すると、Windows 10を含むWindowsクライアントとWindows Serverの更新プログラム、Microsoft製品の更新プログラムをMicrosoft Updateサービスと同期して、社内クライアントへの配布ポイントとして利用できます(図2)。
WSUSでは、コンピュータのグループ化と更新の承認/拒否/自動承認に基づいて更新プログラムを配布することができます。これにより、更新プログラムをパイロット展開してシステムへの影響を調査し、その後、検証済みまたは必要な更新プログラムだけを選択的に配布したり、Windows Updateポリシーを使用して自動インストールしたりすることができます(画面2)。また、WSUSに対応したサードパーティー製品の更新プログラムやドライバを、WSUSにインポートして配布することもできます。
WSUSのクライアント側の構成は、グループポリシー(またはローカルコンピューターポリシー)の主に以下のポリシー設定を使用して行います。
WSUSでは、管理者の承認/拒否に基づいて更新プログラムを配布する/しないを選択できるため、基本的にWUfBと併用するものではありません(併用するシナリオについては次に説明します)。WSUSのポリシーとWUfBのポリシーを同時に設定した場合、あるいはWSUSのポリシーで制御されたWSUSクライアントであるにもかかわらず、クライアント側の「詳細オプション」でWUfBが有効化された場合は、Windows 10の品質更新プログラムと機能更新プログラムについてはWUfBが優先され、意図せずMicrosoft Updateに接続してしまうことがあります。
企業内のクライアントに対し、WSUSからのみ更新プログラムを配布する場合は、WUfBポリシーを使用しないことが重要です。また、「Windows Update\インターネット上のWindows Updateに接続しない」ポリシー(注意:ストアアプリのインストールと更新も制限されます)、または「Windows Update\Windows Update のすべての機能へのアクセスをオフにする」ポリシーおよび「\インターネット通信の設定\Windows Updateのすべての機能へのアクセスを削除する」を利用して、ユーザーがクライアント側の操作でMicrosoft Updateに接続することがないようにします。
Windows 10 バージョン1607からは、次のポリシー設定が利用可能になりました(品質更新プログラムで追加)。
この新しいポリシーを有効にすると、WSUSクライアントとして構成された環境で、自動更新または「更新プログラムのチェック」のユーザーのクリックによるWUfBポリシーに従ったMicrosoft Updateの検索を行いません。
Windows 10 バージョン1607の場合は、ユーザーがクライアント側の「詳細オプション」を操作してWUfBを有効化できないように、WUfBポリシーと組み合わせて使用します(WUfBポリシーの有効化により、クライアント側のUIがグレーアウトされます)。バージョン1703以降では、WSUSポリシーの設定によりクライアント側のUIは非表示になるため、WUfBポリシーの設定は不要です。
WSUSに同期され、承認されたWindows 10の品質更新プログラムおよび機能更新プログラムは、WUfBポリシーに関係なく、全てのWSUSクライアントに適用されます。しかし、WUfBポリシーが有効になっている場合、またはクライアント側で有効化した場合は、WUfBポリシーに従ってMicrosoft Updateに対する検索も行われます。
なお、WSUSクライアントのインターネット上のWindows Updateに接続させないポリシーは、WUfBポリシーに基づいたMicrosoft Updateの検索をブロックしません。このWSUSに対する検索とWUfBポリシーに従うMicrosoft Updateの2つの検索動作を「デュアルスキャン(問題)」と呼びます。
上記ポリシーは、デュアルスキャンを止めるためのものです。このポリシーは、社内ではWSUSから更新プログラムを配布し、外出時はMicrosoft Updateから手動で品質更新プログラムを取得できるようにしたい場合に、意図せず、WSUSで承認していない機能更新プログラムでアップグレードされるのを防止するのにも役立ちます。
このポリシーが有効になっている場合でも、ユーザーが「オンラインでMicrosoft Updateから更新プログラムを確認します」をクリックすると、WUfBポリシーに従ったMicrosoft Updateの検索が行われます。WUfBポリシーで機能更新プログラムを最大限に延期しておくことで、意図せずWSUSで承認していない機能更新プログラムによるアップグレードが行われるのを防止できます。
WUfBとWSUSの併用は、Windows 10の品質更新プログラムおよび機能更新プログラムをWUfBポリシーに従ってMicrosoft Updateから取得し、その他の更新プログラムをWSUSから配布するというシナリオでの利用を想定したものです(図3)。
Microsoft製品の更新プログラムとMicrosoft Updateで提供されるドライバを、Microsoft UpdateとWSUSのどちらで配布するかは、「自動更新を構成する」ポリシーの「他のMicrosoft製品の更新プログラムのインストール」オプションと「Windows Updateからドライバを除外する」ポリシーの設定で制御できます。
なお、前述したように、WSUSにWindows 10の品質更新プログラムおよび機能更新プログラムが同期され、承認されている場合、それらの更新プログラムはWUfBポリシーに関係なく、全てWSUSクライアントに適用されます。その上で、WUfBに対する検索が行われることに注意が必要です。
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.