Configuration Managerでのソフトウェア更新プログラムの計画

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Configuration Manager運用環境でソフトウェア更新プログラムを使用する前に、計画プロセスを実行することが重要です。 ソフトウェア更新ポイント インフラストラクチャの適切な計画を立てるのは、ソフトウェア更新プログラムの実装を成功させる上で重要です。 ソフトウェア更新プログラムの容量計画の詳細については、「 サイズとスケール番号」を参照してください。

ソフトウェアの更新ポイント インフラストラクチャを決定する

このセクションには、次のサブトピックが含まれています。

中央管理サイトとすべての子プライマリ サイトには、ソフトウェアの更新ポイントが必要です。 ソフトウェアの更新ポイント インフラストラクチャを計画するときに、次の依存関係を決定します。

  • サイトのソフトウェア更新ポイントをインストールする場所
  • インターネット ベースのクライアントからの通信を受け入れるソフトウェア更新ポイントが必要なサイト
  • セカンダリ サイトでソフトウェアの更新ポイントが必要かどうか

重要

ソフトウェア更新プログラムに必要な内部依存関係と外部依存関係の詳細については、「ソフトウェア更新プログラム の前提条件」を参照してください。

フォールト トレランスを提供するために、Configuration Manager プライマリ サイトに複数のソフトウェア更新ポイントを追加します。 ソフトウェア更新ポイントのフェールオーバー設計は、管理ポイントの設計で使用される純粋なランダム化モデルとは異なります。 管理ポイントの設計とは異なり、クライアントが新しいソフトウェアの更新ポイントに切り替えると、ソフトウェアの更新ポイントの設計にはクライアントとネットワークのパフォーマンス コストが発生します。 クライアントが新しい WSUS サーバーに切り替えてソフトウェア更新プログラムをスキャンすると、カタログ サイズが増加し、クライアント側とネットワークのパフォーマンスに関する要求が増加します。 そのため、クライアントは、スキャンに成功した最後のソフトウェア更新ポイントとのアフィニティを保持します。

プライマリ サイトにインストールする最初のソフトウェア更新ポイントは、プライマリ サイトで追加するすべてのソフトウェア更新ポイントの同期ソースです。 ソフトウェアの更新ポイントを追加し、同期を開始したら、[監視] ワークスペースの [ソフトウェア更新ポイントの同期状態] ノードからソフトウェアの更新ポイントと同期ソースの状態を表示します。

サイトの同期ソースとして構成されているソフトウェア更新ポイントの障害が発生した場合は、失敗したロールを手動で削除します。 次に、同期ソースとして使用する新しいソフトウェア更新ポイントを選択します。 詳細については、「 サイト システムの役割を削除する」を参照してください。

ソフトウェアの更新ポイントの一覧

Configuration Managerは、次のシナリオでクライアントにソフトウェアの更新ポイントの一覧を提供します。

  • 新しいクライアントは、ソフトウェア更新プログラムを有効にするポリシーを受け取ります

  • クライアントは割り当てられたソフトウェアの更新ポイントに接続できないため、別のソフトウェアの更新ポイントに切り替える必要があります

クライアントは、一覧からソフトウェアの更新ポイントをランダムに選択します。 同じフォレスト内のソフトウェア更新ポイントに優先順位を付ける。 Configuration Managerは、クライアントの種類に応じて異なるリストをクライアントに提供します。

  • イントラネット ベースのクライアント: イントラネットからの接続のみを許可するように構成できるソフトウェア更新ポイントの一覧、またはインターネットとイントラネットのクライアント接続を許可するソフトウェア更新ポイントの一覧を受け取ります。

  • インターネット ベースのクライアント: インターネットからの接続のみを許可するように構成したソフトウェア更新ポイントの一覧、またはインターネットとイントラネットのクライアント接続を許可するソフトウェア更新ポイントの一覧を受け取ります。

ソフトウェアの更新ポイントの切り替え

注:

クライアントは境界グループを使用して、新しいソフトウェアの更新ポイントを検索します。 現在のソフトウェアの更新ポイントにアクセスできなくなった場合は、境界グループを使用してフォールバックし、新しい更新ポイントを見つけることもできます。 個々のソフトウェア更新ポイントを異なる境界グループに追加して、クライアントが見つけることができるサーバーを制御します。 詳細については、「 ソフトウェアの更新ポイント」を参照してください。

サイトに複数のソフトウェア更新ポイントがあり、障害が発生した場合、または使用できなくなった場合、クライアントは別のソフトウェアの更新ポイントに接続します。 この新しいサーバーでは、クライアントは最新のソフトウェア更新プログラムをスキャンし続けます。 クライアントが最初にソフトウェアの更新ポイントを割り当てられると、スキャンに失敗しない限り、そのソフトウェアの更新ポイントに割り当てられたままになります。

ソフトウェア更新プログラムのスキャンは、さまざまな再試行エラー コードと非再試行エラー コードで失敗する可能性があります。 再試行エラー コードでスキャンが失敗すると、クライアントはソフトウェアの更新ポイントでソフトウェア更新プログラムをスキャンする再試行プロセスを開始します。 通常、再試行エラー コードが発生する大まかな条件は、WSUS サーバーが使用できないか、一時的に過負荷になっているためです。 クライアントがソフトウェア更新プログラムのスキャンに失敗すると、次のプロセスが使用されます。

  1. クライアントは、ソフトウェア更新プログラムをスキャンします。

    • スケジュールされた時刻
    • クライアントのコントロール パネルから手動で実行する場合
    • クライアント通知アクションを使用してConfiguration Manager コンソールから手動で実行する場合
    • Configuration Manager SDK メソッドから実行される場合

  2. スキャンが失敗した場合、クライアントは 30 分待機してスキャンを再試行します。 同じソフトウェアの更新ポイントを使用します。

  3. クライアントは、30 分ごとに少なくとも 4 回再試行します。 4 番目の障害が発生した後、さらに 2 分待つと、クライアントはリスト内の次のソフトウェア更新ポイントに移動します。

  4. クライアントは、新しいソフトウェアの更新ポイントでこのプロセスを繰り返します。 スキャンが成功すると、クライアントは引き続き新しいソフトウェアの更新ポイントに接続します。

次の一覧では、ソフトウェアの更新ポイントの再試行と切り替えのシナリオについて考慮する必要がある追加情報を示します。

  • クライアントがイントラネットから切断され、ソフトウェア更新プログラムのスキャンに失敗した場合、別のソフトウェアの更新ポイントに切り替わりません。 クライアントが内部ネットワークまたはイントラネットからの接続を許可するソフトウェアの更新ポイントに到達できないため、このエラーが予想されます。 Configuration Manager クライアントは、イントラネット ソフトウェアの更新ポイントの可用性を決定します。

  • インターネット上のクライアントを管理していて、インターネット上のクライアントからの通信を受け入れるように複数のソフトウェア更新ポイントを構成している場合、切り替えプロセスは前に説明した標準の再試行プロセスに従います。

  • スキャン プロセスが開始されても、スキャンが完了する前にクライアントがオフになっている場合、スキャンエラーとは見なされないため、4 回の再試行の 1 つとしてカウントされません。

Configuration Managerは、次のいずれかのWindows Update エージェント エラー コードを受け取ると、クライアントは接続を再試行します。

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

エラー コードの意味を確認するには、10 進数のエラー コードを 16 進数に変換し、サイトで 16 進数の値 (Windows Update エージェント - エラー コード Wiki など) を検索します。 たとえば、10 進数のエラー コード2149842970は 16 進数の 8024001A です。つまり、ポリシー値が設定されなかったWU_E_POLICY_NOT_SET意味します。

クライアントを新しいソフトウェアの更新ポイントに手動で切り替える

アクティブなソフトウェアの更新ポイントに問題がある場合は、クライアントConfiguration Manager新しいソフトウェアの更新ポイントに切り替えます。 この変更は、クライアントが管理ポイントから複数のソフトウェア更新ポイントを受信した場合にのみ発生します。

重要

新しいサーバーを使用するようにデバイスを切り替えると、デバイスはフォールバックを使用してその新しいサーバーを見つけます。 クライアントは、次のソフトウェア更新プログラムのスキャン サイクル中に新しいソフトウェアの更新ポイントに切り替えます。

この変更を開始する前に、境界グループの構成を確認して、ソフトウェアの更新ポイントが正しい境界グループにあることを確認してください。 詳細については、「 ソフトウェアの更新ポイント」を参照してください。

新しいソフトウェア更新ポイントに切り替えると、追加のネットワーク トラフィックが生成されます。 トラフィックの量は、同期された分類や製品、共有 WSUS データベースの使用など、WSUS 構成設定によって異なります。 複数のデバイスを切り替える予定の場合は、メンテナンス期間中に行うことを検討してください。 このタイミングにより、クライアントが新しいソフトウェア更新ポイントでスキャンするときのネットワークへの影響が軽減されます。

ソフトウェアの更新ポイントを切り替えるプロセス

デバイス コレクションでこの変更を開始します。 トリガーされると、クライアントは次のスキャンで別のソフトウェアの更新ポイントを検索します。

  1. Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[デバイス コレクション] ノードを選択します。

  2. ターゲット コレクションを選択します。 リボンの [ ホーム ] タブの [ コレクション ] グループで、[ クライアント通知] を選択し、[ 次のソフトウェア更新ポイントに切り替える] を選択します。

信頼されていないフォレスト内のソフトウェアの更新ポイント

信頼されていないフォレスト内のクライアントをサポートするために、サイトに 1 つ以上のソフトウェア更新ポイントを作成します。 別のフォレストにソフトウェアの更新ポイントを追加するには、まず、そのフォレストに WSUS サーバーをインストールして構成します。 次に、ウィザードを起動して、ソフトウェアの更新ポイント サイト システムの役割を持つConfiguration Manager サイト サーバーを追加します。 ウィザードで、信頼されていないフォレスト内の WSUS に正常に接続するように次の設定を構成します。

  • 信頼されていないフォレスト内の WSUS サーバーにアクセスできる サイト システム インストール アカウント を指定します。

  • WSUS サーバーに接続する WSUS サーバー接続アカウントを指定します。

たとえば、フォレスト A に 2 つのソフトウェア更新ポイント (SUP01 と SUP02) があるプライマリ サイトがあるとします。 同じプライマリ サイトの場合、フォレスト B には 2 つのソフトウェア更新ポイント (SUP03 と SUP04) もあります。次のソフトウェア更新ポイントに切り替えると、クライアントは同じフォレストのサーバーに優先順位を付けます。

最上位サイトの同期ソースとして既存の WSUS サーバーを使用する

通常、階層内の最上位サイトは、ソフトウェア更新プログラムのメタデータを Microsoft Update と同期するように構成されます。 組織のセキュリティ ポリシーでトップレベル サイトがインターネットへのアクセスを許可していない場合は、最上位サイトの同期ソースを構成して、既存の WSUS サーバーを使用します。 この WSUS サーバーは、Configuration Manager階層内にありません。 たとえば、インターネットに接続されたネットワーク (DMZ) に WSUS サーバーがありますが、最上位サイトはインターネットにアクセスせずに内部ネットワーク内にあります。 DMZ 内の WSUS サーバーを、ソフトウェア更新プログラムのメタデータの同期ソースとして構成します。 CONFIGURATION MANAGERで必要な条件と同じ条件でソフトウェア更新プログラムを同期するように DMZ 内の WSUS サーバーを構成します。 それ以外の場合、最上位のサイトでは、予期したソフトウェア更新プログラムが同期されない可能性があります。 ソフトウェアの更新ポイントをインストールするときは、WSUS サーバー接続アカウントを構成します。 このアカウントは、DMZ 内の WSUS サーバーにアクセスする必要があります。 また、ファイアウォールで適切なポートのトラフィックが許可されていることを確認します。 詳細については、 ソフトウェアの更新ポイントで同期ソースに使用されるポートに関するページを参照してください

セカンダリ サイトのソフトウェア更新ポイント

セカンダリ サイトでは、ソフトウェアの更新ポイントは省略可能です。 セカンダリ サイトにインストールするソフトウェアの更新ポイントは 1 つだけです。 ソフトウェアの更新ポイントがセカンダリ サイトにインストールされていない場合、セカンダリ サイトの境界内のデバイスは、割り当てられたプライマリ サイトでソフトウェアの更新ポイントを使用します。 通常、セカンダリ サイト内のデバイスと親プライマリ サイトのソフトウェア更新ポイントの間にネットワーク帯域幅が制限されている場合は、セカンダリ サイトにソフトウェアの更新ポイントをインストールします。 また、プライマリ サイトのソフトウェア更新ポイントが容量制限に近づくと、この構成を使用することもできます。 セカンダリ サイトにソフトウェアの更新ポイントを正常にインストールして構成すると、クライアントのサイト全体のポリシーが更新され、新しいソフトウェアの更新ポイントの使用が開始されます。

インターネット ベースのクライアントの計画

ネットワークからインターネットにローミングするデバイスを管理する必要がある場合は、これらのデバイスでソフトウェア更新プログラムを管理する方法の計画を立てます。 Configuration Managerでは、このシナリオのいくつかのテクノロジがサポートされています。 必要に応じて 1 つまたは複数の組み合わせを使用して、organizationの要件を満たします。

クラウド管理ゲートウェイ

Microsoft Azure でクラウド管理ゲートウェイを作成し、少なくとも 1 つのオンプレミス ソフトウェア更新ポイントを有効にして、インターネット ベースのクライアントからのトラフィックを許可します。 クライアントがインターネットにローミングすると、ソフトウェアの更新ポイントに対してスキャンが続行されます。 すべてのインターネット ベースのクライアントは、常に Microsoft Update クラウド サービスからコンテンツを取得します。

詳細については、「 クラウド管理ゲートウェイの概要 」および「 境界グループの構成」を参照してください。

注:

バージョン 2203 以降では、クライアントがオンプレミスの SUP 経由でクラウド管理ゲートウェイ (CMG) ソフトウェア更新ポイント (SUP) に対してスキャンすることを好むよう設定できます。 この動作は、境界グループの [ オンプレミスソースよりもクラウドベースのソースを優先 する] オプションによって制御されます。 この変更によるパフォーマンスへの影響を軽減するために、既存のクライアントは SUP をクラウドベースの SUP に自動的に 切り替える わけではありません。 現在の SUP が失敗するか、クライアントが新しい SUP に手動で切り替えなければ、クライアントは現在の SUP に割り当てられたままです。

インターネット ベースのクライアント管理

インターネットに接続するネットワークにソフトウェアの更新ポイントを配置し、インターネット ベースのクライアントからのトラフィックを許可できるようにします。 クライアントがインターネットにローミングすると、スキャンのためにこのソフトウェアの更新ポイントに切り替わります。 すべてのインターネット ベースのクライアントは、常に Microsoft Update クラウド サービスからコンテンツを取得します。

インターネット ベースのクライアント管理の長所と短所の詳細については、「インターネット上のクライアントを 管理する」を参照してください。

Windows Update for Business

Windows Update for Business を使用すると、Windows 10以降のデバイスを常に最新の状態に保ち、最新の品質と機能の更新を行うことができます。 これらのデバイスは、Windows Update クラウド サービスに直接接続します。 Configuration Managerは、ソフトウェア更新プログラムを取得するために WUfB と WSUS を使用する Windows コンピューターを区別できます。

詳細については、「Windows Update for Business との統合」を参照してください。

ソフトウェア更新プログラムのコンテンツを計画する

クライアントは、ソフトウェア更新プログラムをインストールするためにコンテンツ ファイルをダウンロードする必要があります。 Configuration Managerには、このコンテンツの管理と配信をサポートするいくつかのテクノロジが用意されています。 または、クライアントが Microsoft Update クラウド サービスから直接コンテンツを取得できるように、またはクライアントに要求するようにソフトウェア更新プログラムの展開を構成します。

注:

2023 年 3 月 28 日以降、オンプレミスのWindows 11バージョン 22H2 デバイスは、統合更新プログラム プラットフォーム (UUP) を介して品質更新プログラムを受け取ります。 UUP オンプレミスは、WSUS と Microsoft Configuration Managerと相互運用します。 UUP 品質更新プログラムは引き続き累積的であり、リリースされたすべての Windows 品質とセキュリティ修正プログラムが含まれています。 Unified Update Platform (UUP) を使用したオンプレミスの更新管理には、Windows バージョンごとに 10 GB の領域と、各バージョンのプロセッサ アーキテクチャが必要です。 詳細については、「 UUP に関する考慮事項 」セクションを参照してください。

コンテンツのダウンロードと配布

既定では、Configuration Managerのソフトウェア更新プログラム管理プロセスでは、組み込みのコンテンツ管理機能が使用されます。 これらの機能には、集中型の単一インスタンス ストア コンテンツ ライブラリと、配布ポイント サイト システムの役割の分散設計が含まれます。 これらの機能は、ソフトウェア更新プログラムの展開パッケージをダウンロードして配布するときに使用します。

詳細については、「 ソフトウェア更新プログラムのダウンロード」を参照してください。

Windows 10以降の高速インストール ファイルを管理する

Configuration Managerでは、Windows 更新プログラムの高速インストール ファイルの使用がサポートされています。 高速更新ファイルや配信の最適化などのサポート テクノロジは、クライアントにダウンロードする大きなコンテンツ ファイルのネットワークへの影響を軽減するのに役立ちます。

詳細については、「 Windows 更新プログラムの配信を最適化する」を参照してください。

クライアントがインターネットからコンテンツをダウンロードする

クライアントにソフトウェア更新プログラムを展開する場合は、Microsoft Update クラウド サービスからコンテンツをダウンロードするようにクライアントの展開を構成します。 クライアントが別のコンテンツ ソースからコンテンツをダウンロードできない場合でも、インターネットからコンテンツをダウンロードできます。

ソフトウェア更新プログラムを展開するときに、展開パッケージを作成する必要はありません。 [展開パッケージなし] オプションを選択しても、クライアントはローカル ソースからコンテンツをダウンロードできますが、通常は Microsoft Update サービスからダウンロードできます。

インターネット ベースのクライアントは、常に Microsoft Update クラウド サービスからコンテンツをダウンロードします。 コンテンツが有効なクラウド管理ゲートウェイ (CMG) にソフトウェア更新プログラムの展開パッケージを配布しないでください。

サード パーティの更新プログラムを計画する

Configuration Manager WSUS と統合されます。これは、Microsoft によって公開されたソフトウェア更新プログラムをネイティブにサポートします。 ほとんどのお客様は、更新プログラムも必要な他のサード パーティ製アプリケーションを使用しています。 サード パーティ製アプリケーションを最新の状態に保つために考慮すべきいくつかのオプションがあります。

更新するアプリケーションを置き換える

既存のアプリケーションをアップグレードまたは置き換えるには、Configuration Managerのアプリケーション管理機能との置き換え関係を使用します。 アプリケーションを置き換える場合は、置き換えられるアプリケーションの展開の種類を置き換える新しい展開の種類を指定します。 また、置き換えられたアプリケーションをアップグレードするかアンインストールしてから、スーパースティング アプリケーションをインストールするかを決定します。

詳細については、「 アプリケーションの修正と置き換え」を参照してください。

サード パーティ製のソフトウェア更新プログラム

Configuration Manager コンソールの [サード パーティ製ソフトウェア更新プログラム カタログ] ノードを使用して、サード パーティのカタログをサブスクライブし、その更新プログラムをソフトウェアの更新ポイントに発行してから、クライアントに展開できます。

詳細については、「 サード パーティ製ソフトウェアの更新プログラム」を参照してください。

システム センター 更新プログラム パブリッシャー

System Center 更新 Publisher (SCUP) は、独立したソフトウェア発行元または基幹業務アプリケーション開発者がカスタム更新プログラムを管理できるようにするスタンドアロン ツールです。 これらの更新プログラムには、ドライバーや更新プログラム バンドルなどの依存関係を持つ更新プログラムが含まれます。 SCUP は、コンソールで直接使用できないサード パーティの更新プログラム カタログにも使用できます。

詳細については、「System Center 更新 Publisher」を参照してください。

ソフトウェアの更新ポイントのインストールを計画する

このセクションには、次のサブトピックが含まれています。

このセクションでは、ソフトウェアの更新ポイントのインストールを正常に計画して準備するために実行する手順について説明します。 Configuration Managerでソフトウェアの更新ポイントのサイト システムの役割を作成する前に、考慮すべきいくつかの要件があります。 特定の要件は、Configuration Manager インフラストラクチャによって異なります。 HTTPS を使用して通信するようにソフトウェア更新ポイントを構成する場合は、このセクションを確認することが特に重要です。 HTTPS 対応サーバーが正常に動作するには、追加の手順が必要です。

ソフトウェアの更新ポイントの要件

WSUS の最小要件と、Configuration Manager サイト システムでサポートされている構成を満たすサイト システムにソフトウェアの更新ポイントの役割をインストールします。

WSUS のインストールを計画する

ソフトウェアの更新ポイントの役割用に構成したすべてのサイト システム サーバーに、サポートされているバージョンの WSUS をインストールします。 サイト サーバーにソフトウェアの更新ポイントをインストールしない場合は、サイト サーバーに WSUS 管理コンソールをインストールします。 このコンポーネントを使用すると、サイト サーバーはソフトウェアの更新ポイントで実行される WSUS と通信できます。

Windows Server 2012以降で WSUS を使用する場合は、Configuration Managerの WSUS Configuration Manager コンポーネントが WSUS に接続できるように追加のアクセス許可を構成します。 このコンポーネントは、定期的な正常性チェックを実行します。 次のいずれかのオプションを選択して、必要なアクセス許可を構成します。

  • WSUS Administrators グループに SYSTEM アカウントを追加する

  • WSUS データベース (SUSDB) のユーザーとして NT AUTHORITY\SYSTEM アカウントを追加します。 WebService データベース ロールメンバーシップの最小を構成します。

Windows Server に WSUS をインストールする方法の詳細については、「 WSUS サーバーの役割をインストールする」を参照してください。

プライマリ サイトに複数のソフトウェア更新ポイントをインストールする場合は、同じ Active Directory フォレスト内のソフトウェア更新ポイントごとに同じ WSUS データベースを使用します。 同じデータベースを共有すると、クライアントが新しいソフトウェアの更新ポイントに切り替えたときのパフォーマンスが向上します。 詳細については、「 ソフトウェアの更新ポイントに共有 WSUS データベースを使用する」を参照してください。

WSUS コンテンツ ディレクトリ パスの構成

WSUS をインストールするときは、コンテンツ ディレクトリ パスを指定する必要があります。 WSUS コンテンツ ディレクトリは、スキャン中にクライアントが必要とする Microsoft Software License Terms ファイルを保存するために主に使用されます。 Configuration Manager WSUS コンテンツ ディレクトリは、Configuration Managerソフトウェア展開パッケージのコンテンツ ソース ディレクトリと重複しないようにしてください。 WSUS コンテンツ ディレクトリとConfiguration Manager パッケージ ソースが重複すると、WSUS コンテンツ ディレクトリから正しくないファイルが削除されます。

カスタム Web サイトを使用するように WSUS を構成する

WSUS をインストールする場合は、既存の IIS 既定の Web サイトを使用するか、カスタム WSUS Web サイトを作成するかを選択できます。 IIS が専用の仮想 Web サイトで WSUS サービスをホストできるように、WSUS 用のカスタム Web サイトを作成します。 それ以外の場合は、他のConfiguration Managerサイト システムまたはアプリケーションで使用されているものと同じ Web サイトを共有します。 この構成は、サイト サーバーにソフトウェアの更新ポイントの役割をインストールする場合に特に必要です。 Windows Server 2012以降で WSUS を実行する場合、WSUS は既定で HTTP の場合はポート 8530、HTTPS にはポート 8531 を使用するように構成されます。 サイトでソフトウェアの更新ポイントを作成するときに、これらのポートを指定します。

WSUS をレプリカ サーバーとして構成する

プライマリ サイト サーバーにソフトウェア更新ポイントの役割を追加する場合、レプリカとして構成されている WSUS サーバーを使用することはできません。 WSUS サーバーがレプリカとして構成されている場合、CONFIGURATION MANAGER WSUS サーバーの構成に失敗し、WSUS 同期は失敗します。 プライマリ サイトにインストールする最初のソフトウェア更新ポイントは、既定のソフトウェア更新ポイントです。 サイトの追加のソフトウェア更新ポイントは、既定のソフトウェア更新ポイントのレプリカとして構成されます。

SSL を使用するように WSUS を構成するかどうかを決定する

SSL プロトコルを使用してソフトウェアの更新ポイントをセキュリティで保護することを強くお勧めします。 WSUS では、クライアント コンピューターとダウンストリーム WSUS サーバーを WSUS サーバーに対して認証するために SSL を使用します。 WSUS では、SSL を使用してソフトウェア更新プログラムのメタデータも暗号化します。 SSL で WSUS をセキュリティで保護する場合は、ソフトウェアの更新ポイントをインストールする前に WSUS サーバーを準備します。

ソフトウェアの更新ポイントをインストールして構成するときは、[ WSUS サーバーの SSL 通信を有効にする] オプションを選択します。 それ以外の場合、Configuration Managerは SSL を使用しないように WSUS を構成します。 ソフトウェアの更新ポイントで SSL を有効にする場合は、SSL を使用するように子サイトのソフトウェア更新ポイントも構成します。 詳細については、「 PKI 証明書で TLS/SSL を使用するようにソフトウェア更新ポイントを構成する」チュートリアルを参照してください。

注:

最適なセキュリティ プロトコルを確実に導入するには、TLS/SSL プロトコルを使用してソフトウェア更新プログラム インフラストラクチャを保護することを強くお勧めします。 2020 年 9 月の累積的な更新プログラム以降、HTTP ベースの WSUS サーバーは既定でセキュリティ保護されます。 HTTP ベースの WSUS に対して更新プログラムをスキャンするクライアントは、既定でユーザー プロキシを利用できなくなります。 セキュリティのトレードオフにもかかわらずユーザー プロキシが必要な場合は、これらの接続を許可するための新しいソフトウェア更新プログラムのクライアント設定を使用できます。 WSUS をスキャンするための変更の詳細については、「WSUS をスキャンする Windows デバイスのセキュリティを向上させるための 2020 年 9 月の変更」を参照してください。

ファイアウォールを構成する

Configuration Manager中央管理サイトのソフトウェア更新ポイントは、ソフトウェアの更新ポイントで WSUS と通信します。 WSUS は同期ソースと通信し、ソフトウェア更新プログラムのメタデータを同期します。 子サイトのソフトウェア更新ポイントは、親サイトのソフトウェア更新ポイントと通信します。 プライマリ サイトに複数のソフトウェア更新ポイントがある場合、追加のソフトウェア更新ポイントは既定のソフトウェア更新ポイントと通信します。 既定の役割は、サイトにインストールされる最初のソフトウェア更新ポイントです。

次のシナリオで WSUS が使用する HTTP または HTTPS トラフィックを許可するようにファイアウォールを構成する必要がある場合があります。

  • ソフトウェアの更新ポイントとインターネットの間
  • ソフトウェアの更新ポイントとそのアップストリーム同期ソースの間
  • 追加のソフトウェア更新ポイント間

Microsoft Update への接続は、HTTP の場合はポート 80、HTTPS の場合はポート 443 を使用するように常に構成されます。 子サイトのソフトウェア更新ポイントの WSUS から、親サイトのソフトウェア更新ポイントの WSUS への接続にカスタム ポートを使用します。 セキュリティ ポリシーで接続が許可されていない場合は、エクスポートとインポートの同期方法を使用します。 詳細については、この記事の 「同期ソース 」セクションを参照してください。 WSUS が使用するポートの詳細については、「Configuration Managerで WSUS によって使用されるポート設定を確認する方法」を参照してください。

特定のドメインへのアクセスを制限する

organizationがファイアウォールまたはプロキシ デバイスを使用してインターネットとのネットワーク通信を制限する場合は、アクティブなソフトウェア更新ポイントがインターネット エンドポイントにアクセスできるようにする必要があります。 その後、WSUS と自動更新は Microsoft Update クラウド サービスと通信できます。

詳細については、「 インターネット アクセスの要件」を参照してください。

同期設定を計画する

このセクションには、次のサブトピックが含まれています。

Configuration Managerのソフトウェア更新プログラムの同期では、構成した条件に基づいてソフトウェア更新プログラムのメタデータがダウンロードされます。 階層内の最上位サイトは、Microsoft Update からソフトウェア更新プログラムを同期します。 最上位サイトのソフトウェア更新ポイントを構成して、Configuration Manager階層ではなく、既存の WSUS サーバーと同期するオプションがあります。 子プライマリ サイトは、中央管理サイトのソフトウェア更新ポイントからソフトウェア更新プログラムのメタデータを同期します。 ソフトウェアの更新ポイントをインストールして構成する前に、このセクションを使用して同期設定を計画します。

同期ソース

ソフトウェア更新ポイントの同期ソース設定では、ソフトウェアの更新ポイントがソフトウェア更新プログラムのメタデータを取得する場所を指定します。 また、同期プロセスで WSUS レポート イベントを作成するかどうかを指定します。

  • 同期ソース: 既定では、最上位サイトのソフトウェア更新ポイントによって、Microsoft Update の同期ソースが構成されます。 最上位サイトを既存の WSUS サーバーと同期するオプションがあります。 子プライマリ サイトのソフトウェア更新ポイントは、中央管理サイトのソフトウェア更新ポイントとして同期ソースを構成します。

    • プライマリ サイトにインストールする最初のソフトウェア更新ポイント (既定のソフトウェア更新ポイント) は、中央管理サイトと同期されます。 プライマリ サイトの追加のソフトウェア更新ポイントは、プライマリ サイトの既定のソフトウェア更新ポイントと同期されます。

    • ソフトウェアの更新ポイントが Microsoft Update またはアップストリームの更新サーバーから切断された場合は、構成された同期ソースと同期しないように同期ソースを構成します。 代わりに、 WSUSUtil ツールのエクスポートおよびインポート機能を使用してソフトウェア更新プログラムを同期するように構成します。 詳細については、「 切断されたソフトウェアの更新ポイントからソフトウェア更新プログラムを同期する」を参照してください。

  • WSUS レポート イベント:クライアント コンピューター上のWindows Update エージェントは、WSUS レポート用のイベント メッセージを作成できます。 これらのイベントは、Configuration Managerでは使用されません。 そのため、[ WSUS レポート イベントを作成しない] オプションは既定で選択されています。 これらのイベントが作成されない場合、クライアントが WSUS サーバーに接続する必要がある唯一の時間は、ソフトウェア更新プログラムの評価とコンプライアンス スキャン中です。 これらのイベントがConfiguration Manager以外のレポートに必要な場合は、WSUS レポート イベントを作成するようにこの設定を変更します。

重要

最上位サイトの複数のソフトウェア更新ポイント間で WSUS データベース (SUSDB) を共有している場合は、これらの WSUS サーバーのそれぞれがソフトウェア更新プログラムの インターネット アクセス要件 を満たしていることを確認してください。 データベースが最上位サイトと共有されている場合、Configuration Managerは、Microsoft Update と同期する WSUS サーバーのいずれかを選択できます。

同期スケジュール

同期スケジュールは、Configuration Manager階層内の最上位サイトのソフトウェア更新ポイントでのみ構成します。 同期スケジュールを構成すると、ソフトウェアの更新ポイントは、指定した日時に同期ソースと同期されます。 カスタム スケジュールを使用すると、ソフトウェア更新プログラムを同期して環境に合わせて最適化できます。 WSUS サーバー、サイト サーバー、およびネットワークのパフォーマンスの要求を考慮してください。 たとえば、1 週間に 1 回午前 2:00 です。 または、Configuration Manager コンソールの [すべてのソフトウェア 更新] ノードまたは [ソフトウェア更新グループ] ノードの [同期ソフトウェア] 更新 アクションを使用して、最上位サイトで同期を手動で開始します。

ヒント

環境に適した時刻を使用して、ソフトウェア更新プログラムの同期を実行するようにスケジュールします。 一般的なシナリオの 1 つは、毎月第 2 火曜日に Microsoft の通常のソフトウェア更新プログラムがリリースされた直後に実行されるように同期スケジュールを設定することです。 この日は通常、 パッチ 火曜日と呼ばれます。 Configuration Managerを使用して Endpoint Protection とWindows Defender定義とエンジンの更新プログラムを配信する場合は、同期スケジュールを毎日実行するように設定することを検討してください。

ソフトウェアの更新ポイントが正常に同期されると、同期要求が子サイトに送信されます。 プライマリ サイトに追加のソフトウェア更新ポイントがある場合は、各ソフトウェア更新ポイントに同期要求が送信されます。 このプロセスは、階層内のすべてのサイトで繰り返されます。

分類の更新

すべてのソフトウェア更新プログラムは、さまざまな種類の更新プログラムを整理するのに役立つ更新プログラムの分類で定義されます。 同期プロセス中に、サイトは指定された分類のメタデータを同期します。

Configuration Managerでは、次の更新プログラム分類の同期がサポートされています。

  • 重要な更新: セキュリティに関連しない重大なバグに対処する特定の問題の広範にリリースされた更新プログラム。

  • 定義更新: ウイルスやその他の定義ファイルの更新。

  • 機能パック: 製品リリースの外部に配布され、通常は次の完全な製品リリースに含まれる新しい製品機能。

  • セキュリティ 更新: 製品固有のセキュリティ関連の問題に関する広範にリリースされた更新プログラム。

  • Service Pack: OS またはアプリケーションに適用される修正プログラムの累積的なセット。 これらの修正プログラムには、セキュリティ更新プログラム、重要な更新プログラム、およびソフトウェア更新プログラムが含まれます。

  • ツール: 1 つ以上のタスクを完了するのに役立つユーティリティまたは機能。

  • 更新プログラムのロールアップ: 簡単に展開できるようにパッケージ化された修正プログラムの累積的なセット。 これらの修正プログラムには、セキュリティ更新プログラム、重要な更新プログラム、およびソフトウェア更新プログラムが含まれます。 更新プログラムのロールアップは、通常、セキュリティや製品コンポーネントなどの特定の領域に対処します。

  • 更新: 現在インストールされているアプリケーションまたはファイルの更新。

  • アップグレード: 新しいバージョンの Windows への機能更新。

最上位サイトでのみ更新プログラムの分類設定を構成します。 ソフトウェア更新プログラムのメタデータはトップレベル サイトからレプリケートされるため、更新プログラムの分類設定は子サイトのソフトウェア更新ポイントでは構成されません。 更新プログラムの分類を選択する場合は、選択した分類が多いほど、ソフトウェア更新プログラムのメタデータの同期にかかる時間が長くなります。

警告

ベスト プラクティスとして、初めて同期する前にすべての分類をクリアします。 初期同期の後、目的の分類を選択し、同期を再実行します。

製品

各ソフトウェア更新プログラムのメタデータは、更新プログラムが適用される 1 つ以上の製品を定義します。 製品は、OS またはアプリケーションの特定のエディションです。 製品の例として、Microsoft Windows 10があります。 製品ファミリは、個々の製品の派生元となる基本 OS またはアプリケーションです。 製品ファミリの例としては、Microsoft Windows があり、そのうちのWindows 10とWindows Server 2016がメンバーです。 製品ファミリまたは製品ファミリ内の個々の製品を選択します。

ソフトウェア更新プログラムが複数の製品に適用され、少なくとも 1 つの製品が同期のために選択されている場合、一部の製品が選択されていない場合でも、すべての製品が Configuration Manager コンソールに表示されます。 たとえば、Windows Server 2012製品のみを選択します。 ソフトウェア更新プログラムが Windows Server 2012 および Windows Server 2012 Datacenter Edition に適用される場合、両方の製品がサイト データベースに存在します。

最上位サイトでのみ製品設定を構成します。 ソフトウェア更新プログラムのメタデータはトップレベル サイトからレプリケートされるため、製品設定は子サイトのソフトウェア更新ポイントで構成されていません。 選択する製品が多いほど、ソフトウェア更新プログラムのメタデータの同期にかかる時間は長くなります。

重要

Configuration Managerは、最初にソフトウェアの更新ポイントをインストールするときに選択した製品と製品ファミリの一覧を格納します。 Configuration Managerがリリースされた後にリリースされる製品と製品ファミリは、同期を完了するまで選択できない場合があります。 同期プロセスでは、選択できる利用可能な製品と製品ファミリの一覧が更新されます。 ソフトウェア更新プログラムを初めて同期する前に、すべての製品をクリアします。 初期同期の後、目的の製品を選択し、同期を再実行します。

置き換え規則

通常、別のソフトウェア更新プログラムを置き換えるソフトウェア更新プログラムは、次の 1 つ以上のアクションを実行します。

  • 以前にリリースされた 1 つ以上の更新プログラムによって提供された修正プログラムを強化、改善、または更新します。

  • 更新プログラムのインストールが承認された場合にクライアントにインストールされる、置き換えられた更新ファイル パッケージの効率が向上します。 たとえば、置き換えられた更新プログラムには、修正プログラムや新しい更新プログラムでサポートされているオペレーティング システムに関連しなくなったファイルが含まれている場合があります。 これらのファイルは、更新プログラムのスーパーシング ファイル パッケージには含まれません。

  • 新しいバージョンの製品を更新します。 つまり、古いバージョンや製品の構成に適用されなくなったバージョンが更新されます。 更新は、言語サポートを拡張するために変更が加えられた場合に、他の更新プログラムよりも優先される場合もあります。 たとえば、Microsoft 365 Appsの製品更新プログラムの後のリビジョンでは、古い OS のサポートが削除される可能性がありますが、初期更新リリースでは新しい言語のサポートが追加される場合があります。

ソフトウェアの更新ポイントのプロパティで、置き換えられたソフトウェア更新プログラムの有効期限がすぐに切れたことを指定します。 この設定により、新しいデプロイに含めなくなります。 また、既存の展開にフラグを設定して、期限切れのソフトウェア更新プログラムが 1 つ以上含まれていることを示します。 または、置き換えられたソフトウェア更新プログラムの有効期限が切れるまでの期間を指定します。 このアクションを使用すると、引き続きデプロイできます。

置き換えられたソフトウェア更新プログラムを展開する必要がある可能性がある次のシナリオを検討してください。

  • スーパースティング ソフトウェア更新プログラムでは、新しいバージョンの OS のみがサポートされます。 一部のクライアント コンピューターでは、以前のバージョンの OS が実行されます。

  • スーパースティング ソフトウェア更新プログラムは、置き換えるソフトウェア更新プログラムよりも適用性が制限されています。 この動作によって、一部のクライアントでは不適切になります。

  • ソフトウェアの更新プログラムが運用環境での展開に対して承認されなかった場合。

Configuration Managerは、選択したスケジュールに基づいて置き換えられた更新プログラムの有効期限を自動的に切ることができます。 機能更新プログラムの置き換えルールの動作は、機能以外の更新プログラムとは別に指定できます。 既定の設定では、置き換えられた更新プログラムの有効期限が切れるまで 3 か月待ちます。 3 か月の既定値は、更新プログラムがクライアント コンピューターで不要になっていることを確認する時間を提供することです。 置き換えられた更新プログラムは、新しいスーパーセディング更新プログラムを優先してすぐに期限切れになるとは想定しないことをお勧めします。 ソフトウェア更新プログラムのプロパティの [置き換え情報] タブに、ソフトウェア更新プログラムを 置き換える ソフトウェア更新プログラムの一覧を表示できます。

言語

ソフトウェアの更新ポイントの言語設定を使用すると、次の構成を行うことができます。

  • ソフトウェア更新プログラムの概要の詳細 (ソフトウェア更新プログラムのメタデータ) が同期される言語
  • ソフトウェア更新プログラム用にダウンロードされるソフトウェア更新プログラム ファイルの言語

ソフトウェア更新プログラム ファイル

ソフトウェアの更新ポイントのプロパティで、[ ソフトウェア更新プログラム ファイル ] 設定の言語を構成します。 この設定は、サイトでソフトウェア更新プログラムをダウンロードするときに使用できる既定の言語を提供します。 ソフトウェア更新プログラムがダウンロードまたは展開されるたびに、既定で選択されている言語を変更します。 ダウンロード プロセス中に、構成された言語のソフトウェア更新プログラム ファイルが展開パッケージのソースの場所にダウンロードされます (ソフトウェア更新ファイルが選択した言語で使用可能な場合)。 次に、サイト サーバー上のコンテンツ ライブラリにコピーされます。 その後、パッケージ用に構成された配布ポイントに配布されます。

環境で最も頻繁に使用される言語を使用して、ソフトウェア更新ファイルの言語設定を構成します。 たとえば、サイト内のクライアントは、Windows やアプリケーションで英語と日本語をほとんど使用します。 サイトで使用される他の言語はほとんどありません。 ソフトウェア更新プログラムをダウンロードまたは展開するときに、[ ソフトウェア更新プログラム ファイル ] 列で英語と日本語のみを選択します。 このアクションを使用すると、展開ウィザードとダウンロード ウィザードの [言語の選択] ページで既定の設定を使用できます。 このアクションにより、不要な更新ファイルがダウンロードされるのも防ぎます。 この設定は、Configuration Manager階層内の各ソフトウェア更新ポイントで構成します。

概要の詳細

同期プロセス中に、指定した言語のソフトウェア更新プログラムの概要詳細情報 (ソフトウェア更新プログラムのメタデータ) が更新されます。 メタデータは、次のようなソフトウェア更新プログラムに関する情報を提供します。

  • 名前
  • 説明
  • 更新プログラムがサポートする製品
  • 更新の分類
  • アーティクル ID
  • URL のダウンロード
  • 適用性ルール

概要の詳細設定は、最上位サイトでのみ構成します。 ソフトウェア更新プログラムのメタデータはファイル ベースのレプリケーションを使用して中央管理サイトからレプリケートされるため、概要の詳細は子サイトのソフトウェア更新ポイントで構成されません。 概要の詳細言語を選択する場合は、環境内で必要な言語のみを選択します。 選択する言語が多いほど、ソフトウェア更新プログラムのメタデータの同期にかかる時間は長くなります。 Configuration Managerは、Configuration Manager コンソールが実行されている OS のロケールでソフトウェア更新プログラムのメタデータを表示します。 ソフトウェア更新プログラムのローカライズされたプロパティがこの OS のロケールで使用できない場合、ソフトウェア更新プログラムの情報は英語で表示されます。

重要

必要なすべての概要詳細言語を選択します。 最上位サイトのソフトウェア更新ポイントが同期ソースと同期すると、選択した概要の詳細言語によって、取得されるソフトウェア更新プログラムのメタデータが決定されます。 同期の実行後に概要の詳細言語を少なくとも 1 回変更した場合、新しいソフトウェア更新プログラムまたは更新されたソフトウェア更新プログラムに対してのみ、変更された概要詳細言語のソフトウェア更新プログラムのメタデータが取得されます。 同期元のソフトウェア更新プログラムに変更がない限り、既に同期されているソフトウェア更新プログラムは、変更された言語の新しいメタデータで更新されません。

最大実行時間

ソフトウェア更新プログラムのインストールが完了するまでの最大時間を指定できます。 次の最大実行時間を指定できます。

  • Windows 機能更新プログラムの最大実行時間 (分)

    • 機能の更新 - 次の 3 つの分類のいずれかに含まれる更新プログラム。
      • アップグレード
      • 更新プログラムのロールアップ
      • サービス パック

  • windows のOffice 365更新プログラムと機能以外の更新プログラムの最大実行時間 (分)

    • 機能以外の更新プログラム - 機能のアップグレードではなく、その製品が次のいずれかとして表示される更新プログラム。
      • Windows 11
      • Windows 10 (すべてのバージョン)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365

  • サード パーティの更新プログラム (分) など、これらのカテゴリ以外のすべてのソフトウェア更新プログラムの最大実行時間: これらの更新プログラムの既定の最大実行時間は、更新プログラムが最初に環境とConfiguration Managerバージョンに同期されたタイミングによって異なります。 以下のカートを使用して、これらの更新プログラムの最大ランタイム値を決定します。

    2203 以降 2103、2107、または 2111 2010
    他のすべてのソフトウェア更新プログラムの最大実行時間はカスタマイズ可能です。 既定値は 60 分です。 60 分 10 分

    重要

    • この設定では、SUP によって同期される新しい更新プログラムの最大ランタイムのみが変更されます。 ランタイムが変更される前に同期された既存の更新プログラムの実行時間は変更されません。 たとえば、最初に 2111 環境に同期された場合 Update 1 、最大実行時間は 60 分です。 次に、環境をバージョン 2203 にアップグレードし、最大実行時間を 30 分に設定します。 Update 1 は、60 分のランタイムを保持します。 ただし、新しい更新プログラム Update 2である が で同期されると、新しい 30 分の実行時間が与えられる。
    • 更新の最大実行時間を手動で変更する必要がある場合は、 そのソフトウェア更新プログラムの設定を構成 できます。

ソフトウェア更新プログラムのメンテナンス期間を計画する

ソフトウェア更新プログラムのインストール専用のメンテナンス期間を追加します。 このアクションを使用すると、ソフトウェア更新プログラムの一般的なメンテナンス期間と別のメンテナンス期間を構成できます。 一般的なメンテナンス期間とソフトウェア更新プログラムのメンテナンス期間の両方を構成すると、クライアントはソフトウェア更新プログラムのメンテナンス期間中にのみソフトウェア更新プログラムをインストールします。

この動作を変更し、一般的なメンテナンス期間中にソフトウェア更新プログラムをインストールできます。 このクライアント設定の詳細については、「 ソフトウェア更新プログラムのクライアント設定」を参照してください。

メンテナンス期間の詳細については、「メンテナンス期間 の使用方法」を参照してください。

ソフトウェア更新プログラムのインストール後のWindows 10 クライアントの再起動オプション

再起動を必要とするソフトウェア更新プログラムが展開され、Configuration Managerを使用してインストールされると、クライアントは保留中の再起動をスケジュールし、再起動ダイアログ ボックスを表示します。

Configuration Manager ソフトウェア更新プログラムの再起動が保留中の場合は、Windows 電源オプションのWindows 10 コンピューターで [更新と再起動]と [更新とシャットダウン] オプションを使用できます。 これらのオプションのいずれかを使用すると、コンピューターの再起動後に再起動ダイアログが表示されません。 特定の状況では、オペレーティング システムによって保留中の再起動オプションが削除される場合があります。 これは、Windows 10の高速起動機能が有効になっている場合に発生する可能性があります。 詳細については、「Windows 10の高速スタートアップ更新インストールされていない可能性がある」を参照してください。

サービス スタックの更新後にソフトウェア更新プログラムを評価する

バージョン 2002 以降では、サービス スタック更新プログラム (SSU) が複数の更新プログラムのインストールの一部であるかどうかを検出Configuration Manager。 SSU が検出されると、最初にインストールされます。 SSU のインストール後、ソフトウェア更新プログラムの評価サイクルが実行され、残りの更新プログラムがインストールされます。 この変更により、サービス スタックの更新後に依存する累積的な更新プログラムをインストールできます。 インストール間でデバイスを再起動する必要はありません。また、追加のメンテナンス期間を作成する必要はありません。 SU は、ユーザーが開始しないインストールに対してのみ最初にインストールされます。 たとえば、ユーザーがソフトウェア センターから複数の更新プログラムのインストールを開始した場合、最初に SSU がインストールされない可能性があります。 バージョン 2002 を使用している場合、Windows Server オペレーティング システムでは最初Configuration Manager SU をインストールできません。 この機能は、Windows Server オペレーティング システムConfiguration Managerバージョン 2006 で追加されました。

次の手順

ソフトウェア更新プログラムを計画したら、「ソフトウェア更新 プログラムの管理の準備」を参照してください。

サービスとしての Windowsの管理の詳細については、「サービスとしてのConfiguration Managerの基礎」および「サービスとしての Windows」を参照してください。