検索
連載

Windows Updateの新ポリシー「オプションの更新プログラムを有効にする」の効果を検証検証! Microsoft&Windowsセキュリティ(7)

Windowsの新機能はまれに、従来の動作に意図しない影響を与えることがあります。今回は、別の連載で紹介したWindows Updateの企業向けの新しいポリシー設定が期待通りに、つまり、その仕様通りに機能するのかどうかを検証した結果をお伝えします。

[山市良,テクニカルライター] PC用表示 関連情報
Share
Tweet
LINE
Hatena
「検証! Microsoft&Windowsセキュリティ」のインデックス

検証! Microsoft&Windowsセキュリティ

管理されたデバイスにオプションの更新とCFRを展開できる新しいポリシー

 以下の連載記事では、Windows Updateの企業向けの新しいポリシー設定「オプションの更新プログラムを有効にする」について説明しました。今回は、このポリシー設定が仕様通りに機能するのかどうかを検証します。

 「Windows Server Update Services(WSUS)」や「Microsoft Intune」の更新リング、「Windows Update for Business展開サービス」、機能/品質更新プログラムを受け取るまでの延期ポリシー設定(旧称、Windows Update for Businessポリシー)などを使用して、企業で管理されているデバイスは、更新プログラムの「プレビュー」や「Cリリース」「非セキュリティ更新プログラム」とも呼ばれるオプションの更新プログラムの提供対象外です(インターネットアクセスが有効なWSUSクライアントについてはMicrosoft Updateから手動でオプションの更新プログラムを取得することはできます)。

 2023年5月のCリリース以降に導入された「制御された機能ロールアウト(Controlled Feature Rollout、CFR)」による新機能の段階的なロールアウトについても、管理されたデバイスでは新機能を有効化する「Windows構成更新プログラム」を先行的に利用することはできませんでした。CFRをWindows Update経由で先行的に入手するための「利用可能になったらすぐに最新の更新プログラムを入手する」トグルスイッチは、管理されたデバイスでは管理されたデバイスではグレーアウトされた状態でオフになります(つまり、オンにすることはできません)。

 Microsoftは、2023年8月のオプションの更新プログラム(更新プログラムのプレビュー、Cリリース)から「Windows 11バージョン22H2」(OSビルド22621.2215以降)で利用可能になった以下のポリシー設定によって、管理されたデバイスについてもCリリースを受け取ったり、CFRのWindows構成更新プログラムを先行的にインストールしたりして新機能を有効化できるようにしました。

  • コンピューターの構成\(ポリシー\)管理用テンプレート\Windows コンポーネント\Windows Update\Windows Updateから提供される更新プログラムの管理\オプションの更新プログラムを有効にする

 このポリシーを使用しない場合、つまり既定の状態では、管理されたデバイスはBリリースおよび定例外の更新プログラムのみを受け取ることになりますが、このポリシーを利用すれば、コンシューマー向けと同じ更新プログラムを全て受け取ることができ、新機能を先行導入できるようになります。

 「オプションの更新プログラムを有効にする」を有効にする場合、以下の3つのいずれかのオプションを選択することで、選択したものに応じてオプションの更新プログラムを自動または手動で受け取るようにできます(画面1)。

  • オプションの更新プログラム(CFRを含む)を自動的に受信する:CFRを含むオプションの更新プログラムを、品質更新プログラムの延期設定に従って自動インストールする
  • オプションの更新プログラムを自動的に受信する:CFRを除くオプションの更新プログラムを、品質更新プログラムの延期設定に従って自動インストールする
  • ユーザーは、受信するオプションの更新プログラムを選択できます:Windows Updateの「詳細オプション|オプションの更新プログラム」から手動でCFRを除くオプションの更新プログラムを選択的にインストールすることを可能にする

画面1
画面1 「オプションの更新プログラムを有効にする」ポリシーの設定と、「利用可能になったらすぐに最新の更新プログラムを入手する」トグルスイッチの対応

 幾つかの異なる管理された環境で「オプションの更新プログラムを有効にする」ポリシーを実際に構成し、2023年9月27日(日本時間)に提供されたCリリースおよびWindows構成更新プログラム(KB5030509、Copilot in Windowsプレビューなどの新機能の有効化)がどのように扱われるのかを検証してみました。なお、新機能は2023年11月のBリリースまでに、全てのデバイスに広範囲にロールアウトされました。今回の検証は2023年9月末までに行ったものです。

「オプションの更新プログラムを自動的に受信する」と品質更新プログラムの受け取り延期設定

 1つ目の環境は、「Windows Update\Windows Updateから提供される更新プログラム\品質更新プログラムをいつ受信するかを選択してください」ポリシーを有効にし、「品質更新プログラムがリリースされた後、受信を延期する日数」を「1」日に設定して、「オプションの更新プログラムを有効にする」ポリシーを「オプションの更新プログラムを自動的に受信する」に設定した環境です。

 2023年9月のオプションの更新プログラムが提供された9月27日(日本時間)の時点では、Windows Updateで「更新プログラムのチェック」をクリックしても「最新の状態です」と表示されます(画面2)。

画面2
画面2 品質更新プログラムの受け取りを1日延期したデバイスでは、オプションの更新プログラムのリリース日に「更新プログラムのチェック」をクリックしてもその更新プログラムを受け取ることはない

 通常の管理されたデバイス、つまり、「オプションの更新プログラムを有効にする」ポリシーが未構成のデバイスの場合、オプションの更新プログラムは提供対象外であるため、延期した日数(この例では「1日」)を経過しても利用可能な更新プログラムとしてオプションの更新プログラムが検出されることはありません。

 「オプションの更新プログラムを有効にする」ポリシーを有効にした管理されたデバイスの場合、品質更新プログラムの受け取りの延期日数を経過(この例では「翌日」)してから「更新プログラムのチェック」をクリックすると、9月のオプションの更新プログラム(KB5030310)およびその他の更新プログラムが検出され、自動的にダウンロード、インストールと進みました(画面3)。

画面3
画面3 品質更新プログラムの受け取りの延期設定と「オプションの更新プログラムを有効にする」ポリシーの選択に従って、オプションの更新プログラムが自動ダウンロードおよびインストールされた

 「オプションの更新プログラムを有効にする」ポリシーを「オプションの更新プログラムを自動的に受信する」にした場合、CFRは除外されるため、Windows構成更新プログラムがインストールされ、新機能が有効化されることはありません(画面4)。

画面4
画面4 2023年9月のオプションの更新プログラムにより、OSビルドは22621.2361に更新されたが、新機能を有効化するためのWindows構成更新プログラムがインストールされることはない

 また、Windows Updateの「利用可能になったらすぐに最新の更新プログラムを入手する」トグルスイッチはオフの状態でグレーアウトされるため、ユーザー側で新機能を有効化することもできません。

「オプションの更新プログラム(CFRを含む)を自動的に受信する」とWSUSクライアント

 次に、WSUSクライアントとして構成されたデバイスで「オプションの更新プログラムを有効にする」ポリシーを構成した場合の動作を見てみましょう。

 オプションの更新プログラムは、WSUSサーバに同期されませんが、手動(PowerShellスクリプトを使用)でインポートすることで、WSUSを使用してWSUSクライアントのデバイスに承認、自動更新で配布できます。ただし、この方法ではCFRのWindows構成更新プログラムを先行的に提供することはできません。管理されたデバイスは、「オプションの更新プログラムを有効にする」ポリシーが利用可能になるまで、CFRの対象外だったからです。

 WSUSクライアントのデバイスにCFRのWindows構成更新プログラムを可能な限りすぐに提供するには、「オプションの更新プログラムを有効にする」ポリシーで「オプションの更新プログラム(CFRを含む)を自動的に受信する」に選択します。

 WSUSサーバにオプションの更新プログラムをインポートして承認している場合は、WSUSで配布する通常の更新プログラムと同じように自動ダウンロード、インストールされるはずです。インポートされない場合、WSUSからオプションの更新プログラムをダウンロードし、インストールすることはできません。その場合でもWindows Updateから「Microsoft Updateの更新プログラムをオンラインで確認する」を手動で実行することで、オプションの更新プログラムをダウンロード、インストールすることができます(画面5)。

画面5
画面5 Microsoft Updateから更新プログラムを手動で確認し、2023年9月のオプションの更新プログラムのダウンロードとインストールを実行

 そして、「オプションの更新プログラムを有効にする」ポリシーで「オプションの更新プログラム(CFRを含む)を自動的に受信する」が選択されているため、2023年9月のオプションの更新プログラムのインストールに再起動すると、Windows Updateの「更新の履歴」には、その他の更新プログラムとして「Windows構成更新プログラム(KB5030509)」がインストールされていることが記録されます(画面6)。これにより、CFRで段階的にロールアウトされる新機能がすぐに有効化されます。

画面6
画面6 2023年9月のオプションの更新プログラムと同時にWindows構成更新プログラムがインストールされ、新機能が有効になった

 なお、「オプションの更新プログラムを有効にする」ポリシーが未構成の場合でも、「Microsoft Updateの更新プログラムをオンラインで確認する」を実行すればオプションの更新プログラムを検出してくれます。違いは“CFRのWindows構成更新プログラムが同時にインストールされるか否か”です。

 この検証は、WSUSクライアントからMicrosoft Updateに接続できる環境で、手動で更新プログラムを確認したときのものです。自動更新による配布や、デバイスからMicrosoft Updateへのアクセスに制限がある環境については、オプションの更新プログラムをWSUSサーバにインポートしておくことで対応できると思われます。

 ただし、WSUSと「Windows 10」以降の新しいWindows Updateと併用は複雑です。Windows 10の初期バージョンでは併用は不可能でした。その後、限定された環境での併用もできるようになり、「Windows 11」ではさらに詳細な構成が可能になりました(「Windows Update\Windows Server Update Service から提供される更新プログラムの管理\Windows Update の特定のクラスにソースサービスを指定する」ポリシーなど)。そのため、実際の利用環境での動作検証が重要になるでしょう。

「ユーザーは、受信するオプションの更新プログラムを選択できます」の場合

 管理されたデバイスで、「オプションの更新プログラムを有効にする」ポリシーを「ユーザーは、受信するオプションの更新プログラムを選択できます」に設定した場合、管理されていないデバイスと同様、Windows Update(Windows向けオプションの更新プログラム)やWindows Updateの「詳細オプション\オプションの更新プログラム」(.NET Framework向けオプションの更新プログラムなど)から、オプションの更新プログラムやその他の更新プログラムを選択的にダウンロード、インストールすることができます(画面7)。

画面7
画面7 管理されたデバイスであっても、管理されていないデバイスと同じようにオプションの更新プログラムをインストールできる

 また、既定では「利用可能になったらすぐに最新の更新プログラムを入手する」トグルスイッチはオフになっていますが、グレーアウトされることがないため、ユーザーがトグルスイッチをオンに切り替えれば、利用可能であれば(例えば、2023年9月のオプションの更新プログラムのインストール以降)、Windows構成更新プログラムをすぐにインストールして、新機能を有効化できます(画面8)。

画面8
画面8 ユーザー自身で「利用可能になったらすぐに最新の更新プログラムを入手する」トグルスイッチをオンに切り替えれば、利用可能な場合、Windows構成更新プログラムをインストールできる

 Windows構成更新プログラムは、このタイミングでダウンロードされるものではなく、2023年9月のオプションの更新プログラム以降の品質更新プログラムに同梱(どうこん)されており、Windows構成更新プログラムを先行的にインストールしていない場合は、10月のCリリースまたは11月のBリリースで自動的にインストールされ、広範囲にロールアウトされることになります。

「オプションの更新プログラム(CFRを含む)を自動的に受信する」とMicrosoft Updateカタログからのダウンロードとインストール

 管理されたデバイスの「オプションの更新プログラムを有効にする」ポリシーで「オプションの更新プログラム(CFRを含む)を自動的に受信する」が選択されている場合、Microsoft Updateカタログからダウンロードした2023年9月のオプションの更新プログラムを手動でインストールした場合でも、再起動後にWindows構成更新プログラムが検出され、再起動待ちとなり、再起動後に新機能が有効になりました(画面9)。

画面9
画面9 ダウンロードした9月のオプションの更新プログラムをインストールする場合でも、「オプションの更新プログラムを有効にする」ポリシーによるCFRの新機能の有効化は実施される

 前述したように、Windows構成更新プログラムはWindows Updateから個別にダウンロードされるものではありませんが、CFRが機能するためにはWindows Updateによる確認プロセスが必要なようです。つまり、完全にインターネットから遮断されたデバイスでは確認プロセスがエラーで失敗するため、新機能を先行的に有効にすることはできません。また、当然のことですが、Microsoft Store経由で更新される新機能を含むアプリ(今後、数週間のうちに提供される予定のAI機能搭載の「ペイント」や「Snipping Tool」など)も取得できません。

 そもそも、インターネットから遮断された環境で、Windows 10/11を使用するのは困難です。なぜなら、Windows 10/11にはインターネットやクラウドへの接続を前提とする機能が多く存在するからです。インターネット接続はWindows 10/11のシステム要件の一つです。

 インターネットから遮断された環境でWindowsを使用する場合は、機能が固定された「長期サービスチャネル(LTSC)」版を使用すべきでしょう。最新バージョンは「Windows 10 Enterprise LTSC 2021(バージョン21H2)」で、「Windows 11 Enterprise LTSC」は2024年後半にリリースされる予定です。

「オプションの更新プログラムを有効にする」ポリシーの用途

 このように、「オプションの更新プログラムを有効にする」ポリシーは、品質更新プログラムを受け取る延期設定に対応しながら、一方で、更新プログラムの取得方法(Windows Update、Microsoft Update、WSUS、Microsoft Updateカタログ)には関係なく、管理されたデバイスでCFRをすぐに利用可能にするように動作するようです。

 つまり、Microsoft以外の他のパッチ管理システムとともに機能する可能性が高いといえるでしょう。ただし、更新プログラムの管理の柔軟性は増えたわけですが、それが更新プログラムの管理を複雑化してしまい、適切な管理のコントロールを失わせるリスクもあります。

 どちらかというと、Windows 11のPro以上のエディションを使用している個人ユーザーが、遅延ポリシーを利用してデバイスの更新頻度を自らコントロールしている環境において、今後も数カ月の単位でリリースされるであろう、CFRの新機能についてはいち早く導入したいという場合に利用するのに適しているのではないでしょうか。

 「利用可能になったらすぐに最新の更新プログラムを入手する」トグルスイッチと「オプションの更新プログラムを有効にする」ポリシーは、間もなくWindows 10にも導入される予定のようです。製品サポートの終了まで2年を切った、いわば余命宣告されたWindows 10の更新機能に、Windows 11のまだ謎が多い機能がバックポートされることは少し不安です。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP 2008 to 2024(Cloud and Datacenter Management)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る