その他の Windows Update 設定の管理
(適用対象: Windows 11 & Windows 10)
ユーザー向けの情報を探している場合、 「Windows Update: FAQ」をご覧ください。
グループ ポリシー設定またはモバイル デバイス管理 (MDM) を使用して、Windows 10 デバイスでの Windows Update の動作を構成できます。 更新プログラムの検出頻度の構成、更新プログラムを受信するタイミング、更新サービスの場所の指定などを行うことができます。
Windows Update の設定の概要
| グループ ポリシー設定 | MDM 設定 | サポートされるバージョン |
|---|---|---|
| イントラネットの Microsoft 更新サービスの場所を指定する | UpdateServiceUrl および UpdateServiceUrlAlternate | すべて |
| 自動更新の検出頻度 | DetectionFrequency | 1703 |
| Windows Update のすべての機能へのアクセスを削除する | Update/SetDisableUXWUAccess | すべて |
| インターネット上の Windows Update に接続しない | すべて | |
| クライアント側のターゲットを有効にする | すべて | |
| イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する | AllowNonMicrosoftSignedUpdate | すべて |
| Windows Update からドライバーを除外する | ExcludeWUDriversInQualityUpdate | 1607 |
| 自動更新を構成する | AllowAutoUpdate | すべて |
| Windows Update通知に組織名が表示される*組織名は既定で表示されます。 レジストリ値は、この動作を無効にすることができます。 | Azure Active Directory に参加または登録されているデバイスのWindows 11 |
重要
デバイスの再起動と更新プログラムの再起動通知を管理するための設定の詳細については、「更新 後のデバイスの再起動を管理する」を参照してください。
機能更新プログラムと品質更新プログラムを受信するときに構成するその他の設定については、「Windows Update for Business の構成」を参照してください。
更新プログラムのスキャン
管理者は、デバイスでの更新プログラムのスキャン方法や受信方法を柔軟に構成することができます。
[イントラネットの Microsoft 更新サービスの場所を指定する] を利用すると、管理者は、内部の Microsoft 更新サービスの場所を参照するようにデバイスに対して指示することができます。また、[インターネット上の Windows Update に接続しない] オプションを利用すると、デバイスが内部更新サービスのみを参照するように制限できます。 [自動更新の検出頻度] は、デバイスが更新プログラムをスキャンする頻度を制御します。
[クライアント側のターゲットを有効にする] を使用すると、内部の Microsoft 更新サービスを利用するカスタム デバイス グループを作成できます。 また、[イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する] を使用して、Microsoft による署名が行われていない更新プログラムを、デバイスが内部の Microsoft 更新サービスから 受信するように構成することもできます。
最後に、更新エクスペリエンスは管理者によって完全に制御されることを確認するために、ユーザーに対して [Windows Update のすべての機能へのアクセスを削除する] を使用することができます。
機能更新プログラムと品質更新プログラムの受信タイミングを構成する追加設定については、「Windows Update for Business の構成」をご覧ください。
イントラネットの Microsoft 更新サービスの場所を指定する
Microsoft Update からの更新プログラムをホストするイントラネット サーバーを指定します。 この更新サービスを使用して、ネットワーク上のコンピューターを自動的に更新できます。 この設定を使うと、内部の更新サービスとして機能する、ネットワーク上のサーバーを指定できます。 自動更新のクライアントは、このサービスにアクセスし、ネットワーク上のコンピューターに適用できる更新プログラムを検索します。
グループ ポリシーでこの設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの場所を指定する] の順に移動します。 次に、2 つのサーバー名を設定する必要があります。それらのサーバーは、自動更新クライアントが更新プログラムを検出してダウンロードするためのサーバー、および更新が完了したワークステーションが統計情報をアップロードするためのサーバーです。 両方に同じサーバーを指定することもできます。 オプションのサーバー名を指定して、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーから更新プログラムをダウンロードするように構成することができます。
この設定が [有効] と指定されている場合、自動更新クライアントは Windows Update ではなく、指定されたイントラネットの Microsoft 更新サービス (または代替ダウンロード サーバー) に接続し、更新プログラムの検索およびダウンロードを実行します。 この設定を有効にすると、組織内のエンド ユーザーはファイアウォール経由で更新プログラムを入手する必要がなくなります。また、管理者は更新プログラムを展開した後でテストできるようになります。 この設定が [無効] または [未構成] と指定されており、ポリシーやユーザー設定で自動更新が無効になっていない場合は、自動更新クライアントは直接インターネットの Windows Update サイトにアクセスします。
代替ダウンロード サーバーを利用すると、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーからファイルをダウンロードするように構成することができます。 URL が示されていないファイルをダウンロードするためのオプションを利用すると、ファイルのダウンロード URL が更新プログラムのメタデータに含まれていない場合、代替ダウンロード サーバーからコンテンツをダウンロードすることができます。 このオプションは、イントラネットの更新サービスから提供されるファイルの更新プログラムのメタデータにダウンロード URL が含まれておらず、そのファイルが代替ダウンロード サーバー上に存在する場合にのみ使用してください。
注
[自動更新を構成する] ポリシーが無効になっている場合、このポリシーは効果はありません。
"代替ダウンロード サーバー" が設定されていない場合、更新プログラムのダウンロードには、既定でイントラネットの更新サービスが使用されます。
"URL が示されていないファイルをダウンロードする" ためのオプションは、"代替ダウンロード サーバー" が設定されている場合にのみ使用します。
このポリシーを MDM で構成するには、UpdateServiceUrl と UpdateServiceUrlAlternate を使用します。
自動更新の検出頻度
利用可能な更新プログラムを確認するまでの待機時間を Windows で判別するための時間数を指定します。 正確な待機時間は、ここで指定した時間から 0 ~ 20% の時間を差し引いた時間になります。 たとえば、このポリシーで検出頻度が 20 時間に指定されている場合、このポリシーが適用されるすべてのクライアントでは 16 ~ 20 時間の間で更新が確認されます。
グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[自動更新の検出頻度] の順に移動します。
設定が [有効] と指定されている場合、Windows では指定した間隔で使用可能な更新プログラムが確認されます。 設定が [無効] または [未構成] と指定されている場合、Windows では既定の間隔である 22 時間で利用可能な更新プログラムが確認されます。
注
このポリシーを有効にするには、[イントラネットの Microsoft 更新サービスの場所を指定する] の設定も有効にする必要があります。
[自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。
このポリシーを MDM で構成するには、DetectionFrequency を使用します。
Windows Update のすべての機能へのアクセスを削除する
管理者は、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows update]、[Windows Update のすべての機能へのアクセスを削除する] の下でグループ ポリシー設定を有効にして、ユーザーの [更新プログラムの確認] をオフにすることができます。 バック グラウンドでの更新プログラムのスキャン、ダウンロード、インストールは引き続き構成どおりに実行されます。
インターネット上の Windows Update に接続しない
Windows Update は、イントラネットの更新サービスから更新プログラムを受信するように構成されている場合でも、Windows Update やその他のサービス (Microsoft Update、Microsoft Store、ビジネス向け Microsoft Store など) に将来接続できるように、公開されている Windows Update サービスから情報を定期的に取得しています。
このポリシーを有効にするには、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[インターネット上の Windows Update に接続しない] の順に移動します。 このポリシーが有効になっている場合、上で説明した機能が無効になります。また、公開されているサービス (Microsoft Store、ビジネス向け Microsoft Store、Windows Update For Business、配信の最適化など) への接続が停止することがあります。
注
このポリシーは、[イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーを使用してイントラネットの更新サービスに接続するようにデバイスが構成されているときにのみ適用されます。
クライアント側のターゲットを有効にする
イントラネットの Microsoft 更新サービスから更新プログラムを受信するために使用されるターゲットのグループ名を指定します。 これにより、管理者は WSUS や Configuration Manager などのソースから異なる更新プログラムを受信するデバイス グループを構成できます。
このグループ ポリシー設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[クライアント側のターゲットを有効にする] の順に移動します。 設定が [有効] と指定されている場合、指定されたターゲット グループの情報がイントラネットの Microsoft 更新サービスに送信されます。Microsoft 更新サービスはグループの情報を使用して、このコンピューターに展開する必要がある更新プログラムを決定します。 設定が [無効] または [未構成] と指定されている場合は、イントラネットの Microsoft 更新サービスにはターゲット グループの情報は送信されません。
イントラネットの Microsoft 更新サービスが複数のターゲット グループに対応している場合、このポリシーでは、グループ名をセミコロンで区切り、複数のグループ名を指定できます。 サポートされていない場合は、指定できるグループは 1 つだけです。
注
このポリシーは、デバイスの接続先となるイントラネットの Microsoft 更新サービスが、クライアント側のターゲットをサポートするように構成されているときにのみ適用されます。 [イントラネットの Microsoft の更新サービスの場所を指定する] ポリシーが無効か構成されていない場合、このポリシーは有効にはなりません。
イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する
このポリシー設定では、Microsoft 以外のエンティティによって署名された更新プログラムがイントラネットの Microsoft 更新サービスの場所で見つかったときに、自動更新がその更新プログラムを受け入れるかどうかを管理できます。
グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する] の順に移動します。
このポリシー設定を有効にすると、更新プログラムがイントラネットの Microsoft 更新サービスの場所 ([イントラネットの Microsoft 更新サービスの場所を指定する] で指定) に保存されており、ローカル コンピューターの "信頼された発行元" の証明書ストアに含まれている証明書によって署名されている場合、自動更新はその更新プログラムの受信を受け入れます。 このポリシー設定を無効にした場合、または構成しなかった場合、イントラネットの Microsoft 更新サービスの場所からダウンロードする更新プログラムは、Microsoft によって署名されている必要があります。
注
イントラネットの Microsoft 更新サービス以外のサービスからダウンロードする更新プログラムには、このポリシー設定に関係なく Microsoft による署名が常に必要です。
このポリシーを MDM で構成するには、AllowNonMicrosoftSignedUpdate を使用します。
更新プログラムのインストール
更新プロセスの柔軟性をさらに高めるために、更新プログラムのインストールを制御する設定を利用できます。
[自動更新を構成する] には、更新プログラムの自動インストールに利用できる 4 種類のオプションが用意されています。また、[Windows Update からドライバーを除外する] を使用すると、ドライバーは、受信した他の更新プログラムと一緒にはインストールされなくなります。
Windows Update からドライバーを除外する
管理者は、更新中に Windows Update ドライバーを除外することができます。
グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[Windows Update からドライバーを除外する] の順に移動します。 Windows 品質更新プログラムにドライバーを含めないようにするには、このポリシーを有効にします。 このポリシーを無効にした場合、または構成しなかった場合は、Windows Update にドライバー分類の更新プログラムが含まれます。
自動更新を構成する
IT 管理者は、更新プログラムのスキャン、ダウンロード、およびインストールに関する自動更新の動作を管理できます。
グループ ポリシーを使用して自動更新を構成する
[コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Windows update]\[自動更新の構成] で、次のいずれかのオプションを選択する必要があります。
2 - ダウンロードと自動インストールを通知 する - Windows がこのデバイスに適用される更新プログラムを検出すると、更新プログラムをダウンロードする準備ができていることがユーザーに通知されます。 [設定] [更新プログラム&のセキュリティ > Windows Update] >に移動すると、ユーザーは利用可能な更新プログラムをダウンロードしてインストールできます。
[3 - 自動ダウンロードしインストールを通知] - デバイスに適用できる更新プログラムが Windows で見つかると、これらの更新プログラムがバックグラウンドでダウンロードされます (ユーザーには通知されず、作業も中断されません)。 ダウンロードが完了すると、ユーザーには、更新プログラムをインストールする準備ができたことが通知されます。 [設定] [セキュリティ > Windows Updateの更新&] >に移動すると、ユーザーはそれらをインストールできます。
[4 - 自動ダウンロードしインストール日時を指定] - グループ ポリシー設定のオプションを使用してスケジュールを指定します。 この設定について詳しくは、「更新プログラムのインストールのスケジュール設定」をご覧ください。
[5 - ローカルの管理者の設定選択を許可] - このオプションを使用すると、ローカルの管理者は設定アプリを使用して、このオプションに対応した構成オプションを選択できます。 ローカルの管理者が自動更新の構成を無効にすることはできません。 このオプションは、Windows 10以降のバージョンでは使用できません。
7 - インストールを通知し、再起動を通知する (Windows Server 2016以降のみ) - このオプションを使用すると、Windows がこのデバイスに適用される更新プログラムを検出すると、ダウンロードされ、更新プログラムをインストールする準備ができていることがユーザーに通知されます。 更新プログラムがインストールされると、デバイスを再起動するための通知がユーザーに表示されます。
この設定が [無効] と指定されている場合は、Windows Update に利用可能な更新プログラムがあれば、手動でダウンロードしインストールする必要があります。 これを行うには、ユーザーは [設定の>更新] & セキュリティ > Windows Updateに移動する必要があります。
この設定が [未構成] に設定されている場合でも、管理者は[設定] アプリで [セキュリティ>の更新&] Windows Update [詳細設定] > で自動更新>を構成できます。
レジストリを編集して自動更新を構成する
注
レジストリ エディターなどを使用してレジストリを誤って変更すると、重大な問題が発生する場合があります。 このような問題では、オペレーティング システムの再インストールが必要になることもあります。 Microsoft では、このような問題の解決に関しては保証できません。 レジストリの変更は各自の責任で行ってください。
Active Directory が展開されていない環境では、レジストリ設定を編集して、自動更新のグループ ポリシーを構成することができます。
これを行うためには、次の手順を実行します。
[スタート] を選択し、「regedit」を検索して、レジストリ エディターを開きます。
次のレジストリ キーを開きます。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU自動更新を構成するには、次のいずれかのレジストリ値を追加します。
NoAutoUpdate (REG_DWORD):
0: 自動更新は有効になっています (既定)。
1: 自動更新は無効になっています。
AUOptions (REG_DWORD):
1: コンピューターを最新の状態に保つ設定が自動更新で無効になっています。
2: ダウンロードとインストールを通知します。
3: 自動的にダウンロードし、インストールを通知します。
4: 自動的にダウンロードし、スケジュールされている時間にインストールします。
5: ローカル管理者が構成モードを選択できるようにします。 このオプションは、Windows 10以降のバージョンでは使用できません。
7: インストールを通知し、再起動を通知します。 (Windows Server 2016以降のみ)
ScheduledInstallDay (REG_DWORD):
0: 毎日。
1~ 7: 日曜日 (1) から土曜日 (7) までの曜日。
ScheduledInstallTime (REG_DWORD):
n、ここで n は 24 時間形式 (0 ~ 23) の時間となります。
UseWUServer (REG_DWORD)
この値を 1 に設定すると、自動更新で、Windows Update ではなく Software Update Services を実行しているサーバーを使用するように構成できます。
RescheduleWaitTime (REG_DWORD)
m、ここで m は、自動更新が開始されてから、スケジュールした時間が経過してインストールが開始されるまでの待機時間となります。 時刻は、1 ~ 60 (1 分~ 60 分) の分単位で設定されます。
注
この設定は、クライアントが SUS SP1 クライアント バージョンまたはそれ以降のバージョンに更新された後のクライアント動作にのみ影響します。
NoAutoRebootWithLoggedOnUsers (REG_DWORD):
0 (false) または 1 (true)。 1 に設定した場合、ユーザーがログオンしている間、自動更新でコンピューターが自動的に再起動されません。
注
この設定は、クライアントが SUS SP1 クライアント バージョンまたはそれ以降のバージョンに更新された後のクライアントの動作に影響します。
Windows ソフトウェア更新サービス (WSUS) を実行しているサーバーで自動更新を使用するには、Microsoft Windows Server Update Servicesの展開に関するガイダンスを参照してください。
ポリシーのレジストリ キーを使用して自動更新を直接構成すると、ポリシーによって、ローカル管理者ユーザーがクライアントを構成するために設定した基本設定が上書きされます。 管理者が後でレジストリ キーを削除した場合、ローカル管理者ユーザーによって設定された基本設定が再び使用されます。
クライアント コンピューターとサーバーが更新のために接続する WSUS サーバーを確認するには、次のレジストリ値をレジストリに追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
WUServer (REG_SZ)
この値は、WSUS サーバーを HTTP 名で設定します (たとえば、 http://IntranetSUS).
WUStatusServer (REG_SZ)
この値は、SUS 統計サーバーを HTTP 名で設定します (例: http://IntranetSUS).
Windows Update通知に組織名を表示する
Windows 11クライアントが Azure AD テナントに関連付けられている場合、組織名がWindows Update通知に表示されます。 たとえば、Windows Update for Business に対してコンプライアンス期限が構成されている場合、Contoso のようなメッセージがユーザー通知に表示されます。重要な更新プログラムをインストールする必要があります。 組織名は、[Windows 11の設定]の [Windows Update] ページにも表示されます。
組織名は、次のいずれかの方法で Azure AD に関連付けられているWindows 11クライアントに対して自動的に表示されます。
Windows Update通知での組織名の表示を無効にするには、レジストリで次を追加または変更します。
- レジストリ キー:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations - DWORD 値名: UsoDisableAADJAttribution
- 値データ: 1
次の PowerShell スクリプトが例として提供されます。
$registryPath = "HKLM:\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations"
$Name = "UsoDisableAADJAttribution"
$value = "1"
if (!(Test-Path $registryPath))
{
New-Item -Path $registryPath -Force | Out-Null
}
New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null