Update Complianceの新機能、機能更新プログラムのセーフガードホールド情報へのアクセスが可能に：Microsoft Azure最新機能フォローアップ（126）

Windows 10の機能更新プログラムをWindows Updateから直接的に取得する場合、既知の問題の影響を受けるPCには問題が解決されるまで配布がストップされる「セーフガードホールド（Safeguard hold）」という仕組みがあります。これまではその詳細を知ることができませんでしたが、Azureの「更新プログラムのコンプライアンス（Update Compliance）」サービスがセーフガードホールドに関する追加情報を提供するようになりました。

[山市良，テクニカルライター]

Microsoft Azure最新機能フォローアップ

セーフガードホールド機能の対象はWindows Updateによる更新

　「Windows 10」の機能更新プログラム（や品質更新プログラム）は、Windows Updateを利用しているPCに対して提供されます。リリース直後は「設定」アプリの「Windows Update」で「更新プログラムのチェック」ボタンをクリックした上級者（いち早く試してみたいユーザー）の限定された範囲に対し機能更新プログラムが利用可能になっていることが案内され、「ダウンロードしてインストール」をクリックした場合にのみインストールが進みます。その後、提供範囲が広げられ、より広範囲のPCで利用可能になります。そして、数カ月後には、自動更新の対象としてブロード展開されます。

　Windows Updateのこのようなロールアウト方式は、Windows 10 バージョン1903がリリースされた際、Windows 10 バージョン1803以降に対して導入されました。Microsoftは段階的なロールアウトを通じて収集した診断データを分析し、機能更新プログラムのインストールの失敗やロールバックの原因を特定し、影響を受ける互換性問題のあるハードウェアやソフトウェア、システム設定、特定のWindows機能を使用するなどのPCに対し、問題が解決されるまで配布をストップするという「セーフガードホールド（Safeguard hold）」を適用します（画面1）。

画面1　セーフガードホールド機能により機能更新プログラムを受け取れない状態。問題が解決されるまでセーフガードホールドは解除されないが、理由までは示されない

　セーフガードホールドは、Windows 10のダウンロードサイトから開始した「アップデートアシスタント」による更新にも適用されるようです（画面2）。しかし、セーフガードホールドの対象となったPCは、対象になったことは分かりますが、その詳細な理由についての情報提供はありませんでした。

画面2　セーフガードホールドは、Windows 10のダウンロードサイトから開始するアップデートアシスタントによる更新にも適用される

safeguard IDによる詳細情報へのアクセスが可能に

　「Windows 10 バージョン20H2（October 2020 Update）」が正式リリースされましたが、このタイミングでセーフガードホールドに関する追加情報へのアクセス手段が利用可能になりました。

　以下の公式ブログのアナウンスにあるように、Microsoft Azureの「Log Analytics」サービスの一部である「更新プログラムのコンプライアンス（Update Compliance）」サービスが、セーフガードホールドの対象PCについて「safeguard ID」を報告するようになり、またWindows 10 release informationサイトにあるバージョンごとの既知の問題（Known issues）ページにも「safeguard ID」が公開されるようになりました。これらの情報を付け合わせることで、セーフガードホールドの対象になった理由を追跡できます（画面3、画面4）。

• Access safeguard hold details with Update Compliance［英語］（Windows IT Pro Blog）
• Windows 10 release information［英語］（Microsoft Docs）

画面3　「更新プログラムのコンプライアンス（Update Compliance）」サービスは、Windows 10 Pro／Education／Enterpriseに対応した品質および機能更新プログラムの適用状況監視サービス

画面4　Windows 10 release informationの既知の問題のリストに「safeguard ID」が公開されるようになった

　「更新プログラムのコンプライアンス（Update Compliance）」サービスでは、問題の検出された対象に対する「Devices with a safeguard hold」クエリなどで「safeguard ID」を確認できます（画面5）。

画面5　セーフガードホールド対象のPCが検出された場合、「Devices with a safeguard hold」クエリなどで「safeguard ID」を確認できる

　「更新プログラムのコンプライアンス（Update Compliance）」サービスの利用方法については、以下の公式ドキュメントを参照してください。機械翻訳が分かりにくい場合は「英語で読む」をオンにしてオリジナルの英語で確認してください。Azureサブスクリプションへのサービスの追加と商用ID（業務用ID）の確認、更新サービスとしてWindows Updateを利用するWindows 10 PCの構成（ポリシー設定と提供スクリプトの実行）が必要です。また、Windows 10 PCの評価結果へのアクセスは、サービス追加から少なくとも72時間待つ必要があることにも注意してください。

• 準拠している更新の概要（Get started with Update Compliance）（Microsoft Docs）

　IT担当者は、セーフガードホールドの対象になっているPCへの影響を調査するために、そのPCのセーフガードホールドを解除し、機能更新プログラムの受け取りを可能にすることもできます。それには「ローカルコンピューターポリシー」で以下のポリシーを「有効」に設定します。このポリシーは、Windows 10 バージョン1809以降で、2020年9月のオプションの品質更新プログラム（Cリリース）以降に更新されている場合に利用可能です。

• コンピューターの構成\管理用テンプレート\Windows Update\Windows Update for Business\機能更新プログラムに対するセーフガードを無効にする：有効

　なお、このポリシーの「サポートされるバージョン」欄には「Windows Server 2016、Windows 10 バージョン1903以降」と記載されていますが、「Windows Server 2016」は明らかに誤りです。Windows 10の対象バージョンは、以下のドキュメントで2020年10月のセキュリティ更新（10月のBリリース）がインストールされたWindows 10 バージョン1809以降となっています。

• Opt out of safeguard holds［英語］（Microsoft Docs）

WSUSで更新管理の場合は、管理対象に影響する可能性のある既知の問題に敏感に

　最初に指摘したようにセーフガードホールド機能は、Windows Update（Windows Update for Businessを含む）から直接的に機能更新プログラムを受け取るWindows 10 PCに適用されます。「Windows Server Update Services（WSUS）」などその他の更新チャネルを使用するWindows 10 PCには適用されません。「更新プログラムのコンプライアンス（Update Compliance）」サービスによるセーフガードホールド情報へのアクセスも同様に、WSUSで管理されている場合は利用できません。

　WSUSなどで更新を管理しているIT担当者は、Windows 10 release informationのサイトで公開されている既知の問題が、自身が管理する環境の中に存在しないかどうかについて注意を払ってください。企業内で標準的な構成のクライアントPCの一部をWindows Updateと「更新プログラムのコンプライアンス（Update Compliance）」サービスを利用して評価しながら、運用環境に適用していくという方法も選択肢の一つです。

　なお、公式ブログのアナウンスで説明されていますが、Microsoftは広範囲にわたる影響がある場合にセーフガードホールド情報を公開します。サードベンダーが提供する特定のハードウェアやソフトウェアの互換性に起因する問題については、ベンダーの開示許可がない限り、守秘義務があるため公開されないとのことです。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2020-2021）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。