Microsoft Update カタログの活用法について

  • [アーティクル]
  • 読み終わるまで 10 分

こんにちは。マイクロソフトの伊藤です。

WSUS 管理者のみなさまは、Microsoft Update カタログをご利用でしょうか。

https://catalog.update.microsoft.com/

このカタログ サイトは WSUS を運用する上で、とても便利な情報を参照することが出来ます。
以下に代表的な活用法について、ご紹介します。

A. 特定の更新プログラムのみ WSUS へインポートしたい B. ある更新プログラムの属するクラスが知りたい C. 更新プログラムの置き換え関係を調べたい D. 更新プログラムのインストーラー収集

A. 特定の更新プログラムのみ WSUS へインポートしたい

===========================
例えば Internet Explorer 9 を社内に配布したいが、WSUS ではクラス "修正プログラム集" を同期していない場合、その WSUS には IE9 の情報がありません。
クラス "修正プログラム集" を同期対象に含めれば問題は解決されますが、IE9 以外の更新も意図せず同期されてしまいます。

そういった場合には、下記手順にて Microsoft Update カタログより、配信対象の更新プログラムのみをインポートする方法がお勧めです。

1. WSUS 管理コンソールを開き、画面左のツリーを展開して [更新] を右クリックします。

2. [更新のインポート] をクリックするとブラウザが起動し、Microsoft Update カタログ サイトが開きます。
(※ 初回アクセス時のみ、Microsoft Update Catalog アドオンのインストールが必要です。)

3. 更新プログラムの名前、KB 番号などで検索し、WSUS へインポートしたい更新について [追加] ボタンをクリックします。

4. [バスケットの表示] をクリックすると、追加した更新プログラムが表示されます。
11

5. [インポート] ボタンをクリックすると、更新プログラムの情報が WSUS へインポートされます。

※ 注意 : Windows Server 2016 の WSUS を利用している場合には、エラー「この更新プログラムは Windows Server Update Services にインポートできません (理由: お使いのバージョンの WSUS と互換性がありません) 」が発生する問題が報告されています。本問題については対処方法を含め、以下のブログで紹介しておりますため、エラーが発生した場合は、こちらを参照ください。

Windows Server 2016 の WSUS で更新プログラムのインポート時に互換性の問題が発生する事象
https://blogs.technet.microsoft.com/jpwsus/2018/04/11/2016-import-fail/

6. インポート後に WSUS 管理コンソールを開いて、更新プログラムが追加されたことをご確認ください。
その後のインストール承認処理などは、通常の方法で同期した更新プログラムと同じです。

B. ある更新プログラムの属するクラスが知りたい

===========================
先ほどの IE9 の例では IE9 がクラス "修正プログラム集" に属すると書きましたが、このクラスが何なのかが分からない場合もあります。
そういった場合には Microsoft Update カタログで対象の更新プログラムを検索し、更新プログラムの "タイトル" をクリックします。

表示されたポップアップの [概要] タブ内に [分類] として、WSUS のクラスに関する情報が表示されます。

なお、Microsoft Update カタログ サイトで検索を行ってもヒットしない更新は、Microsoft Update カタログに未登録です。
カタログに未登録の更新は、WSUS サーバーへ同期させることが出来ません。
よくご相談いただく、特定の問題を修正する hotfix は、一般的にカタログ未登録です。

C. 更新プログラムの置き換え関係を調べたい

===========================
毎月リリースされるセキュリティ更新プログラムによくある話題として、更新の置換関係があります。
例えば定期的にリリースされる Internet Explorer の累積更新プログラムは、最新版が以前の修正内容を含むため、置換関係が設定されています。

マイクロソフト セキュリティ情報 MS12-010 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (2647516)
https://technet.microsoft.com/ja-jp/security/bulletin/ms12-010

本 URL を開くと、MS12-010 は MS11-099 を置き換えることがわかります。
ただ、将来的にもっと新しい累積更新プログラムがリリースされた時に本 URL は更新されないため、"そのセキュリティ更新が最新かどうか" を把握することは出来ません。

こういった場合に、Microsoft Update カタログで当該の更新に関する詳細情報を表示すると、下記を確認することが出来ます。

[パッケージの詳細] タブを開くと、置換関係に関連する情報が表示されます。

"この更新プログラムは、次の更新プログラムで置き換えられました"
--> もっと新しい更新が存在する場合に、その更新に関する情報が入ります

"この更新プログラムは、次の更新プログラムを置き換えます"
--> この更新が置き換える古い更新プログラムに関する情報が入ります

ある KB 番号のセキュリティ更新を適用したいが Windows Update で適用対象として検出されない、というお問い合わせをいただくことがあります。
そういった場合には当該の KB を置き換えるより新しい更新の有無をチェックし、既に新しい更新が適用済みであれば古い更新は検出されないことを回答しています。

D. 更新プログラムのインストーラー収集

===========================
インターネットへ接続できないオフライン環境へ更新を適用する際には、オンラインの別環境でインストーラーをダウンロードする必要があります。
ダウンロード センターを使用して個別にダウンロードする方法もありますが、Microsoft Update カタログを使って一括ダウンロードも出来ます。

パターン A の例としてステップ 6 で [インポート] ボタンをクリックしましたが、オプション [直接インポート Windows Server Update Services] をオフにすることで、ダウンロードが可能です。

なお、WSUS サーバー以外の端末で Microsoft Update カタログを開く場合には、WSUS サーバーへのインポートは出来ず、ダウンロードのみ可能です。