ソフトウェア更新プログラムの設定を管理する

適用対象: Configuration Manager (Current Branch)

Configuration Manager でソフトウェア更新プログラムを同期した後、次のセクションで設定を構成および確認します。

ソフトウェア更新プログラムのクライアント設定

ソフトウェア更新プログラム ポイントをインストールすると、クライアントでソフトウェア更新プログラムが既定で有効になり、クライアント設定の [ソフトウェア更新プログラム] ページの設定が既定値になります。 クライアント設定はサイト全体で使用され、ソフトウェア更新プログラムがコンプライアンスのためにスキャンされるタイミング、およびソフトウェア更新プログラムがクライアント コンピューターにインストールされる方法とタイミングに影響します。 ソフトウェア更新プログラムを展開する前に、クライアント設定がサイトのソフトウェア更新プログラムに適していることを確認してください。

重要

• [クライアントでソフトウェア更新プログラムを有効にする] 設定は、既定で有効になっています。 この設定をクリアすると、Configuration Manager は既存の展開ポリシーをクライアントから削除します。

• 2020 年 9 月の累積的な更新プログラム以降、HTTP ベースの WSUS サーバーは既定でセキュリティ保護されます。 HTTP ベースの WSUS に対して更新プログラムをスキャンするクライアントは、既定でユーザー プロキシを利用できなくなります。 セキュリティのトレードオフにもかかわらずユーザー プロキシが必要な場合は、これらの接続を許可するための新しいソフトウェア更新プログラムのクライアント設定を使用できます。 WSUS をスキャンするための変更の詳細については、「WSUS をスキャンする Windows デバイスのセキュリティを向上させるための 2020 年 9 月の変更」を参照してください。 最適なセキュリティ プロトコルを確実に導入するには、TLS/SSL プロトコルを使用してソフトウェア更新プログラム インフラストラクチャを保護することを強くお勧めします。

クライアント設定を構成する方法については、「クライアント設定を構成する方法」を参照してください。

クライアント設定の詳細については、「クライアント設定について」を参照してください。

ソフトウェア更新プログラムのグループ ポリシー設定

クライアント コンピューター上の Windows Update Agent (WUA) が、ソフトウェア更新プログラム ポイントで実行される WSUS に接続するために使用する特定のグループ ポリシー設定があります。 これらのグループ ポリシー設定は、ソフトウェア更新プログラムのコンプライアンスを正常にスキャンし、ソフトウェア更新プログラムと WUA を自動的に更新するためにも使用されます。

イントラネット Microsoft Update サービスの場所のローカル ポリシーの指定

サイトのソフトウェア更新プログラム ポイントが作成されると、クライアントは、ソフトウェア更新プログラム ポイント サーバー名を提供し、コンピューター上でイントラネット Microsoft Update サービスの場所のローカル ポリシーの指定を構成する、マシン ポリシーを受け取ります。 WUA は、[更新プログラムを検出するためのイントラネット更新プログラム サービスの設定] 設定で指定されたサーバー名を取得し、ソフトウェア更新プログラムのコンプライアンスをスキャンするときにこのサーバーに接続します。 [イントラネット Microsoft Update サービスの場所の指定] 設定のドメイン ポリシーが作成されると、ローカル ポリシーが上書きされ、WUA がソフトウェア更新プログラム ポイント以外のサーバーに接続する場合があります。 これが発生した場合、クライアントは、さまざまな製品、分類、および言語に基づいて、ソフトウェア更新プログラムのコンプライアンスをスキャンする可能性があります。 したがって、クライアント コンピューターの Active Directory ポリシーを構成する必要はありません。

イントラネット Microsoft Update サービスの場所のグループ ポリシーからの署名付きコンテンツの許可

コンピューター上の WUA が System Center Updates Publisher で作成および公開されたソフトウェア更新プログラムをスキャンする前に、[イントラネット Microsoft Update サービスの場所からの署名されたコンテンツを許可する] グループ ポリシー設定を有効にする必要があります。 ポリシー設定が有効になっているとき、ソフトウェア更新プログラムがローカル コンピューターの信頼される公開元証明書ストアで署名されている場合、WUA はイントラネットの場所を通じて受信されるソフトウェア更新プログラムを受け入れます。 Updates Publisher に必要なグループ ポリシー設定の詳細については、「Updates Publisher 2011 ドキュメント ライブラリ」を参照してください。

自動更新の構成

自動更新を使用すると、セキュリティ更新プログラムやその他の重要なダウンロードをクライアント コンピューターで受信できます。 自動更新は、[自動更新の構成] グループ ポリシー設定またはローカル コンピューターのコントロール パネルを通じて構成されます。 自動更新が有効になっている場合、クライアント コンピューターは更新通知を受信し、構成された設定に応じて、クライアント コンピューターは必要な更新プログラムをダウンロードしてインストールします。 自動更新がソフトウェア更新プログラムと共存する場合、各クライアント コンピューターは、同じ更新プログラムの通知アイコンとポップアップ表示通知を表示する場合があります。 また、再起動が必要な場合、各クライアント コンピューターに同じ更新プログラムの再起動ダイアログ ボックスが表示される場合があります。

自己更新

クライアント コンピューターで自動更新が有効になっている場合、新しいバージョンが利用可能になったとき、または WUA コンポーネントに問題が発生したときに、WUA は自動的に自己更新を実行します。 自動更新が構成されていないか無効になっていて、クライアント コンピューターに以前のバージョンの WUA がある場合、クライアント コンピューターは WUA インストール ファイルを実行する必要があります。

ソフトウェア更新プログラムのプロパティ

ソフトウェア更新プログラムのプロパティは、ソフトウェア更新プログラムと関連コンテンツに関する情報を提供します。 これらのプロパティを使用して、ソフトウェア更新プログラムの設定を構成することもできます。 複数のソフトウェア更新プログラムのプロパティを開くと、[最大実行時間] タブと [カスタム重大度] タブのみが表示されます。

次の手順を使用して、ソフトウェア更新プログラムのプロパティを開きます。

ソフトウェア更新プログラムのプロパティを開くには

1. Configuration Manager コンソールで、[ソフトウェア ライブラリ] をクリックします。

2. ソフトウェア ライブラリ ワークスペースで、[ソフトウェア更新プログラム] を展開し、[すべてのソフトウェア更新プログラム] をクリックします。

3. 1 つ以上のソフトウェア更新プログラムを選択し、[ホーム] タブで、[プロパティ] グループの [プロパティ] をクリックします。

   注:

   [すべてのソフトウェア更新プログラム] ノードで、Configuration Manager は、[クリティカル] と [セキュリティ] の分類があり、過去 30 日間にリリースされた、ソフトウェア更新プログラムのみを表示します。

ソフトウェア更新プログラム情報を確認する

ソフトウェア更新プログラムのプロパティでは、ソフトウェア更新プログラムに関する詳細情報を確認できます。 複数のソフトウェア更新プログラムを選択した場合、詳細情報は表示されません。 次のセクションでは、選択したソフトウェア更新プログラムで利用できる情報について説明します。

ソフトウェア更新プログラムの詳細

[更新プログラムの詳細] タブで、選択したソフトウェア更新プログラムに関する次の要約情報を表示できます。

• Bulletin ID: セキュリティ ソフトウェア更新プログラムに関連付けられている Bulletin ID を指定します。 セキュリティ情報の詳細は、Microsoft Security Response Center Web ページで Bulletin ID を検索して見つけることができます。

注:

Microsoft がセキュリティ更新プログラムを文書化する方法は変化しています。 以前のモデルでは、セキュリティ情報の Web ページが使用され、セキュリティ情報の ID 番号 (MS16-XXX など) がピボット ポイントとして含まれていました。 Bulletin ID 番号を含むこの形式のセキュリティ更新プログラムのドキュメントは廃止され、セキュリティ更新プログラム ガイドに置き換えられています。 新しいガイドでは、Bulletin ID の代わりに、脆弱性 ID 番号と KB 記事 ID 番号を基にしています。 詳細については、「セキュリティ更新プログラム ガイドの FAQ」を参照してください。

• 記事 ID: ソフトウェア更新プログラムの記事 ID を指定します。 参照されている記事には、ソフトウェア更新プログラムと、ソフトウェア更新プログラムによって修正または改善される問題に関する詳細情報が記載されています。

• 改訂日: ソフトウェア更新プログラムが最後に変更された日付を指定します。

• 最大重大度: ソフトウェア更新プログラムのベンダー定義の重大度を指定します。

• 説明: ソフトウェア更新プログラムが修正または改善する条件の概要を示します。

• 該当する言語: ソフトウェア更新プログラムが該当する言語を一覧表示します。

• 影響を受ける製品: ソフトウェア更新プログラムが適用される製品を一覧表示します。

コンテンツ情報

[コンテンツ情報] タブで、選択したソフトウェア更新プログラムに関連付けられているコンテンツに関する次の情報を確認します。

• コンテンツ ID: ソフトウェア更新プログラムのコンテンツ ID を指定します。

• ダウンロード済み: Configuration Manager がソフトウェア更新ファイルをダウンロードしたかどうかを示します。

• 言語: ソフトウェア更新プログラムの言語を指定します。

• ソース パス: ソフトウェア更新プログラム ソース ファイルへのパスを指定します。

• サイズ (MB): ソフトウェア更新プログラム ソース ファイルのサイズを指定します。

カスタム バンドル情報

[カスタム バンドル情報] タブで、ソフトウェア更新プログラムのカスタム バンドル情報を確認します。 選択したソフトウェア更新プログラムに、ソフトウェア更新プログラム ファイルに含まれているバンドルされたソフトウェア更新プログラムが含まれている場合、それらは [バンドル情報] セクションに表示されます。 このタブには、さまざまな言語の更新ファイルなど、[コンテンツ情報] タブに表示されるバンドルされたソフトウェア更新プログラムは表示されません。

置き換え情報

[置き換え情報] タブで、ソフトウェア更新プログラムの置き換えに関する次の情報を表示できます。

• この更新プログラムは、次の更新プログラムに置き換えられました: この更新プログラムを置き換えるソフトウェア更新プログラムを指定します。これは、リストされている更新プログラムが新しいことを意味します。 ほとんどの場合、ソフトウェア更新プログラムを置き換えるソフトウェア更新プログラムの 1 つを展開します。 リストに表示されるソフトウェア更新プログラムには、ソフトウェア更新プログラムに関する詳細情報を提供する Web ページへのハイパーリンクが含まれています。 この更新プログラムが置き換えられない場合、None が表示されます。

• この更新プログラムは、次の更新プログラムを置き換えます: このソフトウェア更新プログラムに置き換えられるソフトウェア更新プログラムを指定します。これは、このソフトウェア更新プログラムが新しいことを意味します。 ほとんどの場合、このソフトウェア更新プログラムを展開して、置き換えられたソフトウェア更新プログラムを置換します。 リストに表示されるソフトウェア更新プログラムには、ソフトウェア更新プログラムに関する詳細情報を提供する Web ページへのハイパーリンクが含まれています。 この更新プログラムが他の更新プログラムを置き換えない場合、None が表示されます。

ソフトウェア更新プログラム設定を構成する

プロパティでは、1 つ以上のソフトウェア更新プログラムのソフトウェア更新プログラム設定を構成できます。 ほとんどのソフトウェア更新プログラム設定は、中央管理サイトまたはスタンドアロンのプライマリ サイトでのみ構成できます。 次のセクションは、ソフトウェア更新プログラムの設定を構成するのに役立ちます。

最大実行時間を設定する

[最大実行時間] タブで、クライアント コンピューターでソフトウェア更新プログラムを完了するために割り当てられる最大時間を設定します。 更新に実行時の最大値よりも時間がかかる場合、Configuration Manager はステータス メッセージを作成し、ソフトウェア更新プログラムのインストールを停止します。 この設定は、中央管理サイトまたはスタンドアロンのプライマリ サイトでのみ構成できます。

Configuration Manager は、この設定を使用して、構成されたメンテナンス ウィンドウ内でソフトウェア更新プログラムのインストールを開始するかどうかも決定します。 実行時の最大値がメンテナンス ウィンドウで利用可能な残り時間よりも大きい場合、ソフトウェア更新プログラムのインストールは次のメンテナンス ウィンドウの開始まで延期されます。 メンテナンス ウィンドウ (時間枠) が構成されたクライアント コンピューターにインストールするソフトウェア更新プログラムが複数ある場合は、最大実行時間が最も短いソフトウェア更新プログラムが最初にインストールされ、次に、最大実行時間が次に短いソフトウェア更新プログラムが次にインストールされ、以下同様に続きます。 クライアントは、各ソフトウェア更新プログラムをインストールする前に、利用可能なメンテナンス ウィンドウがソフトウェア更新プログラムをインストールするのに十分な時間を提供することを確認します。 ソフトウェア更新プログラムのインストールが開始された後、インストールがメンテナンス ウィンドウの終了を超えても、インストールは続行されます。 メンテナンス ウィンドウの詳細については、「メンテナンス ウィンドウの使用方法」を参照してください。

[最大実行時間] タブでは、次の設定を表示および構成できます。

• 最大実行時間: Configuration Manager によってインストールが停止される前に、ソフトウェア更新プログラムのインストールが完了するために割り当てられる最大分数を指定します。 この設定は、メンテナンス ウィンドウが終了する前に更新プログラムをインストールするのに十分な時間が残っているかどうかを判断するためにも使用されます。 サービス パックの既定の設定は 60 分です。 その他のソフトウェア更新プログラムの種類の場合、Configuration Manager バージョン 1511 以降を新規インストールした場合は既定で 10 分、以前のバージョンからアップグレードした場合は既定で 5 分です。 値の範囲は 5 - 9999 分です。

重要

構成されたメンテナンス ウィンドウ時間よりも小さい最大実行時間値を設定するか、最大実行時間よりも大きい値にメンテナンス ウィンドウ時間を増やしてください。 そうしないと、ソフトウェア更新プログラムのインストールが開始されません。

カスタム重大度を設定する

ソフトウェア更新プログラムのプロパティで、[カスタム重大度] タブを使用して、ソフトウェア更新プログラムのカスタム重大度の値を構成できます。 これは、事前定義された重大度の値がニーズを満たさない場合に必要になることがあります。 カスタム値は、Configuration Manager コンソールの [カスタムの重大度] 列に一覧表示されます。 定義されたカスタム重大度の値でソフトウェア更新プログラムを並べ替えることができ、これらの値でフィルター処理できるクエリとレポートを作成することもできます。 この設定は、中央管理サイトまたはスタンドアロンのプライマリ サイトでのみ構成できます。

[カスタム重大度] タブで次の設定を構成できます。

• カスタム重大度: ソフトウェア更新プログラムのカスタム重大度の値を設定します。 リストから [クリティカル]、[重要]、[中]、または [低] を選択します。 既定では、カスタム重大度の値は空です。

ソフトウェア更新プログラムの CRL チェック

既定では、Configuration Manager ソフトウェア更新プログラムで署名を検証するときに、証明書失効リスト (CRL) はチェックされません。 証明書を使用するたびに CRL をチェックすると、失効した証明書を使用することに対するセキュリティが強化されますが、接続の遅延が発生し、CRL チェックを実行するコンピューターで追加の処理が発生します。

使用する場合は、ソフトウェア更新プログラムを処理する Configuration Manager コンソールで CRL チェックを有効にする必要があります。

CRL チェックを有効にするには

CRL チェックを実行しているコンピューターで、製品 DVD から、コマンド プロンプトから次を実行します: \SMSSETUP\BIN\X64\<language>\UpdDwnldCfg.exe /checkrevocation。

たとえば、英語 (米国) の場合は、\SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation を実行します