グループ ポリシーを使用して既知の問題のロールバックをデプロイする方法

この記事では、マネージド デバイスで KIR をアクティブ化する既知のイシュー ロールバック (KIR) ポリシー定義を使用するようにグループ ポリシーを構成する方法について説明します。

適用対象:Windows Server 2019 バージョン 1809 以降のバージョン。Windows 10 Version 1809 以降のバージョン

概要

Microsoft は、WINDOWS Server 2019 および Windows 10 バージョン 1809 以降の KIR という名前の新しい Windows サービス テクノロジを開発しました。 サポートされているバージョンの Windows の場合、KIR は、セキュリティ以外のWindows Updateリリースの一部として適用された特定の変更をロールバックします。 そのリリースの一部として行われたその他のすべての変更はそのまま残ります。 このテクノロジを使用すると、Windows 更新プログラムによって回帰やその他の問題が発生した場合は、更新プログラム全体をアンインストールして、システムを最新の正常な構成に戻す必要はありません。 問題の原因となった変更のみをロールバックします。 このロールバックは一時的なものです。 Microsoft が問題を修正する新しい更新プログラムをリリースした後、ロールバックは不要になります。

重要

KIR は、セキュリティ以外の更新プログラムにのみ適用されます。 これは、セキュリティ以外の更新プログラムの修正プログラムをロールバックしても、潜在的なセキュリティの脆弱性が生じないためです。

Microsoft は、エンタープライズ以外のデバイスの KIR 展開プロセスを管理します。 エンタープライズ デバイスの場合、Microsoft は KIR ポリシー定義 MSI ファイルを提供します。 企業は、グループ ポリシーを使用して、ハイブリッド Microsoft Entra ID または Active Directory Domain Services (AD DS) ドメインに KIR を展開できます。

注:

このグループ ポリシー変更を適用するには、影響を受けるコンピューターを再起動する必要があります。

KIR プロセス

Microsoft がセキュリティ以外の更新プログラムに重大な回帰または同様の問題があると判断した場合、Microsoft は KIR を生成します。 Microsoft は Windows 正常性ダッシュボードで KIR を読み上げ、次の場所に情報を追加します。

非エンタープライズのお客様の場合、Windows Update プロセスによって KIR が自動的に適用されます。 ユーザーの操作は必要ありません。

エンタープライズのお客様向けに、Microsoft はポリシー定義 MSI ファイルを提供します。 エンタープライズのお客様は、エンタープライズ グループ ポリシー インフラストラクチャを使用して、KIR をマネージド システムに伝達できます。

KIR MSI ファイルの例を確認するには、Windows 10 (2004 & 20H2) の既知の問題ロールバック 031321 01.msiをダウンロードします。

KIR ポリシー定義の有効期間は限られています (最大で数か月)。 Microsoft が元の問題に対処するために修正された更新プログラムを公開した後、KIR は不要になります。 その後、ポリシー定義をグループ ポリシーインフラストラクチャから削除できます。

グループ ポリシーを使用して、1 つのデバイスに KIR を適用する

グループ ポリシーを使用して 1 つのデバイスに KIR を適用するには、次の手順に従います。

  1. デバイスに KIR ポリシー定義 MSI ファイルをダウンロードします。

    重要

    .msi ファイル名に一覧表示されているオペレーティング システムが、更新するデバイスのオペレーティング システムと一致していることを確認します。

  2. デバイスで .msi ファイルを実行します。 このアクションにより、管理用テンプレートに KIR ポリシー定義がインストールされます。
  3. ローカル グループ ポリシー エディターを開きます。 これを行うには、[ スタート] を選択し、「 gpedit.msc」と入力します。
  4. [ローカル コンピューター ポリシー>コンピューター構成>管理テンプレート>] KB ####### Issue XXX Rollback>Windows 10 バージョン YYMM を選択します。

    注:

    この手順では、 ####### 問題の原因となった更新プログラムの KB アーティクル番号を指定します。 XXX は問題番号で、YYMM はWindows 10バージョン番号です。

  5. ポリシーを右クリックし、[無効な OK の編集>>]を選択します
  6. デバイスを再起動します。

ローカル グループ ポリシー エディターの使用方法の詳細については、「ローカル グループ ポリシー エディターを使用した管理用テンプレート ポリシー設定の操作」を参照してください。

グループ ポリシーを使用してハイブリッド Microsoft Entra IDまたは AD DS ドメイン内のデバイスに KIR を適用する

ハイブリッド Microsoft Entra IDまたは AD DS ドメインに属するデバイスに KIR ポリシー定義を適用するには、次の手順に従います。

  1. KIR MSI ファイルをダウンロードしてインストールする
  2. グループ ポリシー オブジェクト (GPO) を作成します
  3. GPO を適用する WMI フィルターを作成して構成します
  4. GPO と WMI フィルターをリンクします
  5. GPO を構成します
  6. GPO の結果を監視します

1. KIR MSI ファイルをダウンロードしてインストールする

  1. KIR リリース情報または既知の問題の一覧を確認して、更新する必要があるオペレーティング システムのバージョンを特定します。
  2. ドメインのグループ ポリシーを管理するために使用するコンピューターに更新する必要があるファイル .msi KIR ポリシー定義をダウンロードします。
  3. .msi ファイルを実行します。 このアクションにより、管理用テンプレートに KIR ポリシー定義がインストールされます。

    注:

    ポリシー定義は C:\Windows\PolicyDefinitions フォルダーに インストールされます。 グループ ポリシーセントラル ストアを実装している場合は、.admx ファイルと .adml ファイルを中央ストアにコピーする必要があります。

2. GPO を作成する

  1. グループ ポリシー管理コンソールを開き、[フォレスト: DomainName>Domains] を選択します。
  2. ドメイン名を右クリックし、[ このドメインに GPO を作成する] を選択し、ここにリンクします
  3. 新しい GPO の名前 ( 例: KIR Issue XXX) を入力し、[OK] を選択 します

GPO を作成する方法の詳細については、「グループ ポリシー オブジェクトを作成する」を参照してください。

3. GPO を適用する WMI フィルターを作成して構成する

  1. [WMI フィルター] を右クリックし、[新規] を選択します。

  2. 新しい WMI フィルターの名前を入力します。

  3. すべてのWindows 10バージョン 2004 デバイスへのフィルターなど、WMI フィルターの説明を入力します。

  4. [追加] を選択します。

  5. [ クエリ] に、次のクエリ文字列を入力します。

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>
    

    重要

    この文字列の VersionNumber> は、<GPO を適用する Windows バージョンを表します。 バージョン番号は、次の形式を使用する必要があります (文字列で数値を使用する場合は角かっこを除外します)。

    10.0.xxxxx

    ここで、xxxxx は 5 桁の数字です。 現在、KIR では次のバージョンがサポートされています。

    バージョン ビルド番号
    Windows 10バージョン 20H2 10.0.19042
    Windows 10バージョン 2004 10.0.19041
    Windows 10 バージョン1909 10.0.18363
    バージョン 1903 Windows 10 10.0.18362
    Windows 10 Version 1809 10.0.17763

    Windows リリースとビルド番号の最新の一覧については、「Windows 10 - リリース情報」を参照してください。

    重要

    Windows 10 リリース情報ページに一覧表示されているビルド番号には、10.0 プレフィックスは含まれません。 クエリでビルド番号を使用するには、 10.0 プレフィックスを追加する必要があります。

WMI フィルターを作成する方法の詳細については、「 GPO の WMI フィルターを作成する」を参照してください。

  1. 前に作成した GPO を選択し、[WMI フィルター] メニューを開き、先ほど作成した WMI フィルターを選択します。
  2. [ はい] を 選択してフィルターを受け入れます。

5. GPO を構成する

GPO を編集して、KIR アクティブ化ポリシーを使用します。

  1. に作成した GPO を右クリックし、[編集] を選択します
  2. グループ ポリシー エディターで、[GPOName>Computer Configuration>Administrative Templates>KB ####### Issue XXX Rollback>Windows 10 version YYMM] を選択します。
  3. ポリシーを右クリックし、[無効な OK の編集>>]を選択します

GPO を編集する方法の詳細については、「GPMC からグループ ポリシー オブジェクトを編集する」を参照してください。

6. GPO の結果を監視する

グループ ポリシーの既定の構成では、マネージド デバイスは 90 から 120 分以内に新しいポリシーを適用する必要があります。 このプロセスを高速化するには、影響を受けるデバイスでを実行gpupdateして、更新されたポリシーを手動でチェックできます。

影響を受ける各デバイスが、ポリシーを適用した後に再起動することを確認します。

重要

この問題が発生した修正プログラムは、デバイスがポリシーを適用してから再起動した後に無効になります。

MICROSOFT INTUNE ADMX ポリシー インジェストを使用してマネージド デバイスに KIR ライセンス認証をデプロイする

注:

このセクションのソリューションを使用するには、 2022 年 7 月 26 日以降にリリースされた累積的な更新プログラムをコンピューターにインストールする必要があります。

グループ ポリシーと GPO は、Microsoft Intuneなどのモバイル デバイス管理 (MDM) ベースのソリューションと互換性がありません。 次の手順では、ADMX インジェストIntuneカスタム設定を使用し、GPO を必要とせずに KIR ライセンス認証を実行するように ADMX でサポートされる MDM ポリシーを構成する方法について説明します。

Intuneマネージド デバイスで KIR ライセンス認証を実行するには、次の手順に従います。

  1. ADMX ファイルを取得するには、KIR MSI ファイルをダウンロードしてインストールします
  2. Microsoft Intuneでカスタム構成プロファイルを作成します。
  3. KIR のアクティブ化を監視します

1. ADMXファイルを取得するためにKIR MSIファイルをダウンロードしてインストールする

  1. KIR リリース情報または既知の問題の一覧を確認して、更新する必要があるオペレーティング システム (OS) のバージョンを特定します。

  2. Microsoft Intuneへのサインインに使用するコンピューター上のファイル .msi 必要な KIR ポリシー定義をダウンロードします。

    注:

    KIR ライセンス認証 ADMX ファイルの内容にアクセスする必要があります。

  3. ファイルを実行します .msi 。 このアクションにより、管理用テンプレートに KIR ポリシー定義がインストールされます。

    注:

    ポリシー定義は C:\Windows\PolicyDefinitions フォルダーに インストールされます。

    ADMX ファイルを別の場所に抽出する場合は、TARGETDIR プロパティで コマンドを使用msiexecします。 例:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx
    

2. Microsoft Intuneでカスタム構成プロファイルを作成する

KIR ライセンス認証を実行するようにデバイスを構成するには、マネージド デバイスの OS ごとにカスタム構成プロファイルを作成する必要があります。 カスタム プロファイルを作成するには、次の手順に従います。

  1. プロパティを選択し、プロファイルの基本情報を追加します
  2. カスタム構成設定を追加して、KIR アクティブ化のために ADMX ファイルを取り込みます
  3. カスタム構成設定を追加して、新しい KIR アクティブ化ポリシーを設定します
  4. デバイスを KIR ライセンス認証のカスタム構成プロファイルに割り当てます
  5. 適用規則を使用してデバイスをターゲットにして、OS 別の KIR カスタム構成設定を受け取ります
  6. KIR アクティブ化カスタム構成プロファイルを確認して作成します

A. プロパティを選択し、プロファイルに関する基本情報を追加する

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス]>[構成プロファイル]>[プロファイルの作成] の順に選択します。

  3. 次のプロパティを選択します。

    • プラットフォーム: Windows 10以降
    • プロファイル: テンプレートの>カスタム
  4. [作成] を選択します。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名は "04/30 KIR Activation – Windows 10 21H2" です。
    • [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、おすすめされています。

    注:

    プラットフォームプロファイルの種類 には、既に値が選択されている必要があります。

  6. [次へ] を選択します。

注:

カスタム構成プロファイルと構成設定の作成の詳細については、「Microsoft Intuneでカスタム デバイス設定を使用する」を参照してください。

次の 2 つの手順に進む前に、ファイルが抽出されたテキスト エディター (メモ帳など) で ADMX ファイルを開きます。 MSI ファイルとしてインストールした場合、ADMX ファイルは パス C:\Windows\PolicyDefinitions に含まれている必要があります。

ADMX ファイルの例を次に示します。

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

parentCategoryの値をpolicy name記録します。 この情報は、ファイルの末尾にある "ポリシー" ノードにあります。

B. KIR アクティブ化のために ADMX ファイルを取り込むためのカスタム構成設定を追加する

この構成設定は、ターゲット デバイスに KIR アクティブ化ポリシーをインストールするために使用されます。 ADMX インジェスト設定を追加するには、次の手順に従います。

  1. [構成設定] で、[追加] を選択します。

  2. 次のプロパティを入力します。

    • [名前]: 構成設定のわかりやすい名前を入力します。 後で簡単に識別できるように、設定に名前を付けます。 たとえば、適切な設定名は "ADMX インジェスト: 04/30 KIR Activation – Windows 10 21H2" です。

    • 説明: 設定の説明を入力します。 この設定は省略可能ですが、おすすめされています。

    • OMA-URI: 文字列 ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX ポリシー名を入力します>

      注:

      ADMX ポリシー名>を、ADMX ファイルから記録されたポリシー名の値に置き換えます<。 たとえば、"KB5011563_220428_2000_1_KnownIssueRollback" です。

    • データ型: [文字列] を選択します。

    • : テキスト エディター (メモ帳など) で ADMX ファイルを開きます。 取り込む ADMX ファイルの内容全体をコピーして、このフィールドに貼り付けます。

  3. [保存] を選択します。

C. カスタム構成設定を追加して、新しい KIR アクティブ化ポリシーを設定する

この構成設定は、前の手順で定義した KIR アクティブ化ポリシーを構成するために使用されます。

以下の手順に従って、KIR アクティブ化構成設定を追加します。

  1. [構成設定] で、[追加] を選択します。

  2. 次のプロパティを入力します。

    • [名前]: 構成設定のわかりやすい名前を入力します。 後で簡単に識別できるように、設定に名前を付けます。 たとえば、適切な設定名は"KIR Activation: 04/30 KIR Activation – Windows 10 21H2" です。

    • 説明: 設定の説明を入力します。 この設定は省略可能ですが、おすすめされています。

    • OMA-URI: 文字列 ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name を入力します>

      注:

      親カテゴリ>を、前の手順で記録した親カテゴリ文字列に置き換えます<。 たとえば、"KnownIssueRollback_Win_11" です。 ADMX ポリシー名>を、前の手順で使用したのと同じポリシー名に置き換えます<。

    • データ型: [文字列] を選択します。

    • : disabled/と入力します<>

  3. [保存] を選択します。

  4. [次へ] を選択します。

D. デバイスを KIR ライセンス認証のカスタム構成プロファイルに割り当てる

カスタム構成プロファイルの動作を定義したら、次の手順に従って、構成するデバイスを特定します。

  1. [ 割り当て] で、[ すべてのデバイスの追加] を選択します。
  2. [次へ] を選択します。

E. 適用規則を使用してデバイスをターゲットにして、OS 別の KIR カスタム構成設定を受信する

GP に適用される OS 別のデバイスを対象にするには、この構成を適用する前に、デバイス OS バージョン (ビルド) をチェックするための適用規則を追加します。 サポートされている OS のビルド番号は、次のページで確認できます。

ページに表示されるビルド番号は、MMMMM.mmmm (M= メジャー バージョンと m= マイナー バージョン) として書式設定されます。 OS Version プロパティでは、メジャー バージョンの数字が使用されます。 適用規則に入力された OS バージョンの値は、"10.0.MMMMM" として書式設定する必要があります。 たとえば、"10.0.22000" です。

以下の手順に従って、KIR ライセンス認証の適切な適用規則を設定します。

  1. [ 適用性ルール] で、ページに既に存在する空白ルールに次のプロパティを入力して、適用ルールを作成します。

    • ルール: ドロップダウン リストから [ プロファイルの割り当て ] を選択します。
    • プロパティ: ドロップダウン リストから [OS バージョン ] を選択します。
    • : "10.0.MMMMM" として書式設定された最小および最大 OS バージョン番号を入力します。
  2. [次へ] を選択します。

注:

デバイスの OS バージョンは、[スタート] メニューからコマンドを winver 実行することで確認できます。 "." で区切られた 2 部構成のバージョン番号が表示されます。 たとえば、"22000.613" です。 最小 OS バージョンでは、左側の番号を "10.0" に追加できます。 最小 OS バージョン番号の最後の桁に 1 を追加して、最大 OS バージョン番号を取得します。 この例では、次の値を使用できます。
最小 OS バージョン: "10.0.22000"
最大 OS バージョン: "10.0.22001"

F。 KIR アクティブ化のカスタム構成プロファイルを確認して作成する

カスタム構成プロファイルの設定を確認し、[ 作成] を選択します。

3. KIR のアクティブ化を監視する

これで、KIR のアクティブ化が進行中です。 構成プロファイルの進行状況を監視するには、次の手順に従います。

  1. [デバイス>構成プロファイル] に移動し、既存のプロファイルを選択します。 たとえば、macOS プロファイルを選びます。

  2. [概要] タブを選択します。このビューでは、[プロファイルの割り当て状態] として、以下の状態があります。

    • 成功: ポリシーが正常に適用されました。
    • エラー: ポリシーを適用できませんでした。 メッセージには通常、説明にリンクするエラー コードが表示されます。
    • 競合: 2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者は競合を確認する必要があります。
    • 保留中: デバイスはまだ、ポリシーを受信するために Intune でチェックインしていません。
    • 適用できない: デバイスがポリシーを受信できません。 たとえば、ポリシーで iOS 11.1 に特有の設定が更新されるが、デバイスが iOS 10 を使用している場合です。

詳細については、「Microsoft Intuneでのデバイス構成プロファイルの監視」を参照してください。

詳細