その他の Windows Update 設定の管理

ユーザー向けの情報を探している場合、Windows Update: FAQ」をご覧ください。

グループ ポリシー設定またはモバイル デバイス管理 (MDM) を使用して、Windows 10 デバイスでの Windows Update の動作を構成できます。 更新プログラムの検出頻度の構成、更新プログラムを受信するタイミング、更新サービスの場所の指定などを行うことができます。

Windows Update の設定の概要

グループ ポリシー設定 MDM 設定 サポートされるバージョン
イントラネットの Microsoft 更新サービスの場所を指定する UpdateServiceUrl および UpdateServiceUrlAlternate すべて
自動更新の検出頻度 DetectionFrequency 1703
Windows Update のすべての機能へのアクセスを削除する Update/SetDisableUXWUAccess すべて
インターネット上の Windows Update に接続しない すべて
クライアント側のターゲットを有効にする すべて
イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する AllowNonMicrosoftSignedUpdate すべて
Windows Update からドライバーを除外する ExcludeWUDriversInQualityUpdate 1607
自動更新を構成する AllowAutoUpdate すべて
Windows Update通知には、organization名 *組織名

が既定で表示されます。 レジストリ値は、この動作を無効にすることができます。
参加または登録Microsoft EntraデバイスのWindows 11
初期ユーザー サインイン前の Windows 更新プログラムのインストールを許可する (レジストリのみ) Windows 11 バージョン 22H2 と 2023-04 累積的な更新プログラムプレビュー、またはそれ以降の累積的な更新プログラム

重要

デバイスの再起動と更新プログラムの再起動通知を管理するための設定の詳細については、「更新 後のデバイスの再起動を管理する」を参照してください。

機能更新プログラムと品質更新プログラムを受信したときに構成するその他の設定については、「Windows Update for Business の構成」を参照してください。

更新プログラムのスキャン

管理者は、デバイスでの更新プログラムのスキャン方法や受信方法を柔軟に構成することができます。

[イントラネットの Microsoft 更新サービスの場所を指定する] を利用すると、管理者は、内部の Microsoft 更新サービスの場所を参照するようにデバイスに対して指示することができます。また、[インターネット上の Windows Update に接続しない] オプションを利用すると、デバイスが内部更新サービスのみを参照するように制限できます。 [自動更新の検出頻度] は、デバイスが更新プログラムをスキャンする頻度を制御します。

クライアント側のターゲット設定を有効にするを使用して、Microsoft の内部更新サービスで動作するカスタム デバイス グループを作成できます。 また、イントラネットの Microsoft 更新サービスの場所から署名された更新プログラムを許可するを通じて、Microsoft の内部更新サービスから Microsoft によって 署名されていない更新プログラムをデバイスが受け取るようにすることもできます。

最後に、更新エクスペリエンスは管理者によって完全に制御されることを確認するために、ユーザーに対して [Windows Update のすべての機能へのアクセスを削除する] を使用することができます。

機能更新プログラムと品質更新プログラムの受信タイミングを構成する追加設定については、「Windows Update for Business の構成」をご覧ください。

イントラネットの Microsoft 更新サービスの場所を指定する

Microsoft Update からの更新プログラムをホストするイントラネット サーバーを指定します。 この更新サービスを使用して、ネットワーク上のコンピューターを自動的に更新できます。 この設定を使うと、内部の更新サービスとして機能する、ネットワーク上のサーバーを指定できます。 自動更新のクライアントは、このサービスにアクセスし、ネットワーク上のコンピューターに適用できる更新プログラムを検索します。

グループ ポリシーでこの設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの場所を指定する] の順に移動します。 次に、2 つのサーバー名を設定する必要があります。それらのサーバーは、自動更新クライアントが更新プログラムを検出してダウンロードするためのサーバー、および更新が完了したワークステーションが統計情報をアップロードするためのサーバーです。 両方に同じサーバーを指定することもできます。 オプションのサーバー名を指定して、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーから更新プログラムをダウンロードするように構成することができます。

この設定が [有効] と指定されている場合、自動更新クライアントは Windows Update ではなく、指定されたイントラネットの Microsoft 更新サービス (または代替ダウンロード サーバー) に接続し、更新プログラムの検索およびダウンロードを実行します。 この設定を有効にすると、組織内のエンド ユーザーはファイアウォール経由で更新プログラムを入手する必要がなくなります。また、管理者は更新プログラムを展開した後でテストできるようになります。 設定が [無効] または [未構成] に設定されており、ポリシーまたはユーザー設定によって自動更新が無効になっていない場合、自動更新 クライアントはインターネット上のWindows Update サイトに直接接続します。

代替ダウンロード サーバーを利用すると、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーからファイルをダウンロードするように構成することができます。 URL が示されていないファイルをダウンロードするためのオプションを利用すると、ファイルのダウンロード URL が更新プログラムのメタデータに含まれていない場合、代替ダウンロード サーバーからコンテンツをダウンロードすることができます。 このオプションは、イントラネット更新サービスが代替ダウンロード サーバーに存在するファイルの更新メタデータにダウンロード URL を提供しない場合にのみ使用する必要があります。

[自動更新を構成する] ポリシーが無効になっている場合、このポリシーは効果はありません。

"代替ダウンロード サーバー" が設定されていない場合、更新プログラムのダウンロードには、既定でイントラネットの更新サービスが使用されます。

"URL が示されていないファイルをダウンロードする" ためのオプションは、"代替ダウンロード サーバー" が設定されている場合にのみ使用します。

このポリシーを MDM で構成するには、UpdateServiceUrlUpdateServiceUrlAlternate を使用します。

自動更新の検出頻度

利用可能な更新プログラムを確認するまでの待機時間を Windows で判別するための時間数を指定します。 正確な待機時間は、ここで指定した時間から 0 ~ 20% の時間を差し引いた時間になります。 たとえば、このポリシーで検出頻度が 20 時間に指定されている場合、このポリシーが適用されるすべてのクライアントでは 16 ~ 20 時間の間で更新が確認されます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[自動更新の検出頻度] の順に移動します。

設定が [有効] と指定されている場合、Windows では指定した間隔で使用可能な更新プログラムが確認されます。 設定が [無効] または [未構成] と指定されている場合、Windows では既定の間隔である 22 時間で利用可能な更新プログラムが確認されます。

このポリシーを有効にするには、[イントラネットの Microsoft 更新サービスの場所を指定する] の設定も有効にする必要があります。

[自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。

このポリシーを MDM で構成するには、DetectionFrequency を使用します。

Windows Update のすべての機能へのアクセスを削除する

管理者は、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows update]、[Windows Update のすべての機能へのアクセスを削除する] の下でグループ ポリシー設定を有効にして、ユーザーの [更新プログラムの確認] をオフにすることができます。 バック グラウンドでの更新プログラムのスキャン、ダウンロード、インストールは引き続き構成どおりに実行されます。

インターネット上の Windows Update に接続しない

Windows Update は、イントラネットの更新サービスから更新プログラムを受信するように構成されている場合でも、Windows Update やその他のサービス (Microsoft Update、Microsoft Store、ビジネス向け Microsoft Store など) に将来接続できるように、公開されている Windows Update サービスから情報を定期的に取得しています。

このポリシーを有効にするには、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[インターネット上の Windows Update に接続しない] の順に移動します。 このポリシーが有効になっている場合、上で説明した機能が無効になります。また、公開されているサービス (Microsoft Store、ビジネス向け Microsoft Store、Windows Update For Business、配信の最適化など) への接続が停止することがあります。

このポリシーは、[イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーを使用してイントラネットの更新サービスに接続するようにデバイスが構成されているときにのみ適用されます。

クライアント側のターゲットを有効にする

イントラネットの Microsoft 更新サービスから更新プログラムを受信するために使用されるターゲットのグループ名を指定します。 これにより、管理者は WSUS や Configuration Manager などのソースから異なる更新プログラムを受信するデバイス グループを構成できます。

このグループ ポリシー設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[クライアント側のターゲットを有効にする] の順に移動します。 設定が [有効] に設定されている場合、指定したターゲット グループ情報がイントラネット Microsoft 更新サービスに送信されます。この情報を使用して、このコンピューターに展開する更新プログラムを決定します。 設定が [無効] または [未構成] と指定されている場合は、イントラネットの Microsoft 更新サービスにはターゲット グループの情報は送信されません。

イントラネットの Microsoft 更新サービスが複数のターゲット グループに対応している場合、このポリシーでは、グループ名をセミコロンで区切り、複数のグループ名を指定できます。 サポートされていない場合は、指定できるグループは 1 つだけです。

このポリシーは、デバイスの接続先となるイントラネットの Microsoft 更新サービスが、クライアント側のターゲットをサポートするように構成されているときにのみ適用されます。 [イントラネットの Microsoft の更新サービスの場所を指定する] ポリシーが無効か構成されていない場合、このポリシーは有効にはなりません。

イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する

このポリシー設定では、Microsoft 以外のエンティティによって署名された更新プログラムがイントラネットの Microsoft 更新サービスの場所で見つかったときに、自動更新がその更新プログラムを受け入れるかどうかを管理できます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する] の順に移動します。

このポリシー設定を有効にした場合、ローカル コンピューターの "信頼された発行元" 証明書ストアにある証明書によって署名されている場合、[イントラネット Microsoft 更新サービスの場所の指定] で指定されているように、イントラネット Microsoft 更新サービスの場所を介して受信した更新プログラムが自動更新によって受け入れられます。 このポリシー設定を無効にした場合、または構成しない場合は、イントラネットの Microsoft 更新サービスの場所からの更新プログラムが Microsoft によって署名されている必要があります。

イントラネットの Microsoft 更新サービス以外のサービスからダウンロードする更新プログラムには、このポリシー設定に関係なく Microsoft による署名が常に必要です。

このポリシーを MDM で構成するには、AllowNonMicrosoftSignedUpdate を使用します。

更新プログラムのインストール

更新プロセスの柔軟性をさらに高めるために、更新プログラムのインストールを制御する設定を利用できます。

自動更新を構成すると、自動更新のインストールに 4 つの異なるオプションが提供されますが、Windows 更新にドライバーを含めないでください。これにより、受信した更新プログラムの残りの部分でドライバーがインストールされていないことが確認されます。

Windows Update からドライバーを除外する

管理者は、更新中に Windows Update ドライバーを除外することができます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[Windows Update からドライバーを除外する] の順に移動します。 Windows 品質更新プログラムにドライバーを含めないようにするには、このポリシーを有効にします。 このポリシーを無効にするか、構成しない場合、Windows Updateにはドライバー分類を持つ更新プログラムが含まれます。

自動更新を構成する

IT 管理者は、更新プログラムのスキャン、ダウンロード、およびインストールに関する自動更新の動作を管理できます。

グループ ポリシーを使用して自動更新を構成する

[コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Windows update]\[自動更新の構成] で、次のいずれかのオプションを選択する必要があります。

2 - ダウンロードと自動インストールを通知 する - Windows がこのデバイスに適用される更新プログラムを検出すると、更新プログラムをダウンロードする準備ができていることがユーザーに通知されます。 [設定の更新] > & [セキュリティ > Windows Update] に移動すると、ユーザーは利用可能な更新プログラムをダウンロードしてインストールできます。

3 - [インストール] の自動ダウンロードと通知 - Windows は、デバイスに適用される更新プログラムを検出し、バックグラウンドでダウンロードします (このプロセス中にユーザーに通知または中断されることはありません)。 ダウンロードが完了すると、インストールの準備ができていることがユーザーに通知されます。 [設定の更新] > & セキュリティ > Windows Updateに移動すると、ユーザーはそれらをインストールできます。

[4 - 自動ダウンロードしインストール日時を指定] - グループ ポリシー設定のオプションを使用してスケジュールを指定します。 この設定について詳しくは、「更新プログラムのインストールのスケジュール設定」をご覧ください。

[5 - ローカルの管理者の設定選択を許可] - このオプションを使用すると、ローカルの管理者は設定アプリを使用して、このオプションに対応した構成オプションを選択できます。 ローカル管理者は、自動更新の構成を無効にすることはできません。 このオプションは、Windows 10以降のバージョンでは使用できません。

7 - インストールを通知し、再起動を通知する (Windows Server 2016以降のみ) - このオプションを使用すると、Windows がこのデバイスに適用される更新プログラムを検出すると、ダウンロードされ、更新プログラムをインストールする準備ができていることがユーザーに通知されます。 更新プログラムがインストールされると、デバイスを再起動するための通知がユーザーに表示されます。

この設定が [無効] と指定されている場合は、Windows Update に利用可能な更新プログラムがあれば、手動でダウンロードしインストールする必要があります。 これを行うには、ユーザーは [設定の更新] > & セキュリティ > Windows Updateに移動する必要があります。

この設定が [未構成] に設定されている場合、管理者は[設定の更新] & [セキュリティ>の更新] Windows Update [詳細設定] の下で、設定>アプリを使用して自動更新を>構成できます。

レジストリを編集して自動更新を構成する

レジストリ エディターなどを使用してレジストリを誤って変更すると、重大な問題が発生する場合があります。 このような問題では、オペレーティング システムの再インストールが必要になることもあります。 Microsoft では、このような問題の解決に関しては保証できません。 レジストリの変更は各自の責任で行ってください。

Active Directory が展開されていない環境では、レジストリ設定を編集して、自動更新のグループ ポリシーを構成できます。

これを行うためには、次の手順を実行します。

  1. [スタート] を選択し、「regedit」を検索して、レジストリ エディターを開きます。

  2. 次のレジストリ キーを開きます。

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
    
  3. 自動更新を構成するには、次のいずれかのレジストリ値を追加します。

    • NoAutoUpdate (REG_DWORD):

      • 0: 自動更新は有効になっています (既定)。

      • 1: 自動更新は無効になっています。

    • AUOptions (REG_DWORD):

      • 1: コンピューターを最新の状態に保つ設定が自動更新で無効になっています。

      • 2: ダウンロードとインストールを通知します。

      • 3: 自動的にダウンロードし、インストールを通知します。

      • 4: 自動的にダウンロードし、スケジュールされている時間にインストールします。

      • 5: ローカル管理者が構成モードを選択できるようにします。 このオプションは、Windows 10以降のバージョンでは使用できません。

      • 7: インストールを通知し、再起動を通知します。 (Windows Server 2016以降のみ)

    • ScheduledInstallDay (REG_DWORD):

      • 0: 毎日。

      • 17: 日曜日 (1) から土曜日 (7) までの曜日。

    • ScheduledInstallTime (REG_DWORD):

      n、ここで n は 24 時間形式 (0 ~ 23) の時間となります。

    • UseWUServer (REG_DWORD)

      この値を 1 に設定すると、自動更新で、Windows Update ではなく Software Update Services を実行しているサーバーを使用するように構成できます。

    • RescheduleWaitTime (REG_DWORD)

      m、ここで m は、自動更新が開始されてから、スケジュールした時間が経過してインストールが開始されるまでの待機時間となります。 時刻は、1 ~ 60 (1 分~ 60 分) の分単位で設定されます。

      この設定は、クライアントが SUS SP1 クライアント バージョンまたはそれ以降のバージョンに更新された後のクライアント動作にのみ影響します。

    • NoAutoRebootWithLoggedOnUsers (REG_DWORD):

      0 (false) または 1 (true)。 1 に設定した場合、自動更新は、ユーザーのログオン中にコンピューターを自動的に再起動しません。

      この設定は、クライアントが SUS SP1 クライアント バージョンまたはそれ以降のバージョンに更新された後のクライアントの動作に影響します。

Windows ソフトウェア更新サービス (WSUS) を実行しているサーバーで自動更新を使用するには、Microsoft Windows Server Update Servicesの展開に関するガイダンスを参照してください。

ポリシーのレジストリ キーを使用して自動更新を直接構成すると、ポリシーによって、ローカル管理者ユーザーがクライアントを構成するために設定した基本設定が上書きされます。 管理者が後でレジストリ キーを削除した場合、ローカル管理者ユーザーによって設定された基本設定が再び使用されます。

クライアント コンピューターとサーバーが更新のために接続する WSUS サーバーを確認するには、次のレジストリ値をレジストリに追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
  • WUServer (REG_SZ)

    この値は、WSUS サーバーを HTTP 名で設定します (たとえば、 http://IntranetSUS).

  • WUStatusServer (REG_SZ)

    この値は、SUS 統計サーバーを HTTP 名で設定します (例: http://IntranetSUS).

Windows Update通知にorganization名を表示する

Windows 11クライアントがMicrosoft Entra テナントに関連付けられている場合、Windows Update通知にorganization名が表示されます。 たとえば、Windows Update for Business に対してコンプライアンス期限が構成されている場合、Contoso のようなメッセージがユーザー通知に表示されます。重要な更新プログラムをインストールする必要があります。 organization名は、[Windows 11の設定]の [Windows Update] ページにも表示されます。

organization名は、次のいずれかの方法でMicrosoft Entra ID に関連付けられているWindows 11 クライアントに対して自動的に表示されます。

Windows Update通知でorganization名の表示を無効にするには、レジストリで次を追加または変更します。

  • レジストリ キー: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations
  • DWORD 値名: UsoDisableAADJAttribution
  • 値データ: 1

次の PowerShell スクリプトが例として提供されます。

$registryPath = "HKLM:\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations"
$Name = "UsoDisableAADJAttribution"
$value = "1" 

if (!(Test-Path $registryPath)) 
{
  New-Item -Path $registryPath -Force | Out-Null
}

New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null

初期ユーザー サインイン前の Windows 更新プログラムのインストールを許可する

(Windows 11 以降、バージョン 22H2 と 2023-04 累積的な更新プログラム プレビュー、またはそれ以降の累積的な更新プログラム)

新しいデバイスでは、ユーザーが Out of Box Experience (OOBE) を完了して初めてサインインするまで、Windows Updateはバックグラウンド更新プログラムのインストールを開始しません。 多くの場合、ユーザーは OOBE を完了した直後にサインインします。 ただし、一部の VM ベースのソリューションでは、デバイスがプロビジョニングされ、最初のユーザー エクスペリエンスが自動化されます。 これらの VM はユーザーにすぐに割り当てられない可能性があるため、数日後まで初期サインインは表示されません。

初期サインインが遅れるシナリオでは、次のレジストリ値を設定すると、ユーザーが最初にサインインする前にデバイスがバックグラウンド更新作業を開始できるようになります。

  • レジストリ キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator
  • DWORD 値名: ScanBeforeInitialLogonAllowed
  • 値データ: 1

Warning

この値は、遅延初期ユーザー サインインを使用するシナリオにのみ使用するように設計されています。 初期ユーザー サインインが遅れないデバイスでこの値を設定すると、ユーザーが初めてサインインするときに更新作業が発生する可能性があるため、パフォーマンスに悪影響を及ぼす可能性があります。