グループ ポリシーを使用して既知の問題のロールバックをデプロイする方法

この記事では、マネージド デバイスで、1 つの 3 つのデバイスで、1 つの 3 つの問題をアクティブにする、既知の問題ロールバック (KIR) ポリシー定義を使用するようにグループ ポリシーを構成する方法について説明します。

適用対象:  Windows Server 2019 バージョン 1809 以降。Windows 10 Version 1809 以降のバージョン

概要

Microsoft は、Windows Server 2019 および Windows 10 バージョン 1809 以降のバージョン用に、KIR という名前の新しい Windows サービス テクノロジを開発しました。 サポートされているバージョンの Windows では、セキュリティ以外のWindows Update リリースの一部として適用された特定の変更が、その変更をロールバックします。 そのリリースの一部として行われた他のすべての変更は、そのまま残ります。 このテクノロジを使用すると、Windows 更新プログラムによって回帰やその他の問題が発生した場合、更新プログラム全体をアンインストールし、システムを最後の既知の良好な構成に戻す必要はありません。 問題の原因となった変更のみをロールバックします。 このロールバックは一時的なものです。 Microsoft が問題を修正する新しい更新プログラムをリリースした後、ロールバックは不要になります。

重要

KIR はセキュリティ以外の更新にのみ適用されます。 これは、セキュリティ以外の更新プログラムの修正プログラムをロールバックしても、潜在的なセキュリティの脆弱性が発生しないためです。

Microsoft は、エンタープライズ以外のデバイスに対する、KIR 展開プロセスを管理します。 エンタープライズ デバイスの場合、MICROSOFT は、キル ポリシー定義 MSI ファイルを提供します。 その後、企業はグループ ポリシーを使用して、ハイブリッド Azure Active Directory (Azure AD) または Active Directory Domain Services (AD DS) ドメインに KIR をデプロイできます。

注意

このグループ ポリシー変更を適用するには、影響を受けるコンピューターを再起動する必要があります。

KIR プロセス

セキュリティ以外の更新プログラムに重大な回帰や同様の問題があると Microsoft が判断した場合、MICROSOFT は、KIR を生成します。 Microsoft は Windows Health ダッシュボードでKIR を発表し、次の場所に情報を追加します。

企業以外のお客様の場合、Windows Update プロセスによって、そのKIRが自動的に適用されます。 ユーザーの操作は必要ありません。

企業のお客様向けに、Microsoft はポリシー定義 MSI ファイルを提供します。 エンタープライズのお客様は、エンタープライズ グループ ポリシー インフラストラクチャを使用して、マネージド システムに対して、そのKIR を伝達できます。

KIR MSI ファイルの例を確認するには、Windows 10 (2004 & 20H2) の既知の問題ロールバック 031321 01.msiをダウンロードします。

KIR ポリシー定義の有効期間は限られています (最大で数か月)。 Microsoft が修正された更新プログラムを発行して元の問題に対処した後、そのKIR は不要になります。 その後、ポリシー定義を グループ ポリシー インフラストラクチャから削除できます。

グループ ポリシーを使用して単一のデバイスに対して、次の 1 つのデバイスに対して、次のグループ ポリシーを適用します。

グループ ポリシーを使用して単一のデバイスに対してKIR を適用するには、次の手順に従います。

  1. デバイスに、KIR ポリシー定義 MSI ファイルをダウンロードします。

    重要

    .msi ファイル名に一覧表示されているオペレーティング システムが、更新するデバイスのオペレーティング システムと一致していることを確認します。

  2. デバイスで.msi ファイルを実行します。 このアクションにより、管理用テンプレートにKIR ポリシー定義がインストールされます。
  3. ローカル グループ ポリシー エディターを開きます。 これを行うには、[ スタート] を選択し、 gpedit.msc と入力します。
  4. ローカル コンピューター ポリシー > コンピューター構成 > 管理用テンプレート > KB ####### 問題 XXX ロールバック > Windows 10、バージョン YYMM を選択します。

    注意

    この手順では、 ####### 問題の原因となった更新プログラムの KB アーティクル番号を指定します。 XXX は問題番号で、YYMM はWindows 10バージョン番号です。

  5. ポリシーを右クリックし、[無効な > 編集 > ] を選択します
  6. デバイスを再起動します。

ローカル グループ ポリシー エディターを使用する方法の詳細については、「ローカル グループ ポリシー エディターを使用した管理用テンプレート ポリシー設定の操作」を参照してください。

グループ ポリシーを使用してハイブリッド Azure AD または AD DS ドメイン内のデバイスに対して、そのデバイスに対して、次の操作を行います。

ハイブリッド Azure AD または AD DS ドメインに属するデバイスに対して、次の手順に従って、KIR ポリシー定義を適用します。

  1. KIR MSI ファイルをダウンロードしてインストールする
  2. グループ ポリシー オブジェクト (GPO) を作成します
  3. GPO を適用する WMI フィルターを作成して構成します
  4. GPO と WMI フィルターをリンクします
  5. GPO を構成します
  6. GPO の結果を監視します

1. KIR MSI ファイルをダウンロードしてインストールする

  1. 更新する必要があるオペレーティング システムのバージョンを特定するには、そのKIR リリース情報または既知の問題の一覧を確認してください。
  2. ドメインのグループ ポリシーを管理するために使用するコンピューターに更新する必要がある.msiファイルをダウンロードします。
  3. .msi ファイルを実行します。 このアクションにより、管理用テンプレートにKIR ポリシー定義がインストールされます。

    注意

    ポリシー定義は C:\Windows\PolicyDefinitions フォルダーに インストールされます。 グループ ポリシーセントラル ストアを実装している場合は、.admx ファイルと .adml ファイルを中央ストアにコピーする必要があります。

2. GPO を作成する

  1. グループ ポリシー管理コンソールを開き、[フォレスト: DomainName > Domains] を選択します。
  2. ドメイン名を右クリックし、[ このドメインに GPO を作成する] を選択し、ここにリンクします
  3. 新しい GPO の名前 (例: KIR Issue XXX) を入力し、OK を選択 します

GPO を作成する方法の詳細については、「グループ ポリシー オブジェクトの作成」を参照してください。

3. GPO を適用する WMI フィルターを作成して構成する

  1. [WMI フィルター] を右クリックし、[新規] を選択します。

  2. 新しい WMI フィルターの名前を入力します。

  3. WMI フィルターの説明 (すべてのWindows 10バージョン 2004 デバイスへのフィルター など) を入力します。

  4. [追加] を選択します。

  5. クエリ で、次のクエリ文字列を入力します。

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>
    

    重要

    この文字列では、 <VersionNumber> GPO を適用する Windows バージョンを表します。 バージョン番号は次の形式を使用する必要があります (文字列内の数値を使用する場合は角かっこを除外します)。

    10.0.xxxxx

    ここで 、xxxxx は 5 桁の数字です。 現時点では、KIR は次のバージョンをサポートしています。

    バージョン ビルド番号
    Windows 10バージョン 20H2 10.0.19042
    Windows 10バージョン 2004 10.0.19041
    Windows 10 バージョン1909 10.0.18363
    Windows 10バージョン 1903 10.0.18362
    Windows 10 Version 1809 10.0.17763

    Windows リリースとビルド番号の最新の一覧については、「Windows 10 - リリース情報」を参照してください。

    重要

    Windows 10リリース情報ページに表示されるビルド番号には 、10.0 プレフィックスは含まれません。 クエリでビルド番号を使用するには、 10.0 プレフィックスを追加する必要があります。

WMI フィルターを作成する方法の詳細については、「 GPO の WMI フィルターの作成」を参照してください。

  1. に作成した GPO を選択し、WMI フィルター メニューを 開き、作成した WMI フィルターを選択します。
  2. [ はい ] を選択してフィルターを受け入れます。

5. GPO を構成する

GPO を編集して、次のキル アクティブ化ポリシーを使用します。

  1. に作成した GPO を右クリックし、[編集] を選択します。
  2. グループ ポリシー エディターで、GPOName _ > _ Computer Configuration >管理用テンプレート > *KB ######### * Issue XXX Rollback > Windows 10, version YYMM を選択します。
  3. ポリシーを右クリックし、[無効な > 編集 > ] を選択します

GPO を編集する方法の詳細については、「GPMC から グループ ポリシー オブジェクトを編集する」を参照してください。

6. GPO の結果を監視する

グループ ポリシーの既定の構成では、マネージド デバイスは 90 ~ 120 分以内に新しいポリシーを適用する必要があります。 このプロセスを高速化するために、影響を受けるデバイスで実行 gpupdate して、更新されたポリシーを手動で確認できます。

影響を受ける各デバイスがポリシーを適用した後で再起動されることを確認します。

重要

この問題が発生した修正プログラムは、デバイスがポリシーを適用してから再起動した後で無効になります。

MICROSOFT INTUNE ADMX ポリシー インジェストを使用して、マネージド デバイスに対して、KIR アクティブ化を展開する

注意

このセクションのソリューションを使用するには、 2022 年 7 月 26 日またはそれ以降にリリースされた累積的な更新プログラムをコンピューターにインストールする必要があります。

グループ ポリシーと GPO は、モバイル デバイス管理 (MDM) ベースのソリューション (Microsoft Intuneなど) と互換性がありません。 これらの手順では、ADMX インジェストIntuneカスタム設定を使用し、GPO を必要とせずに、ADMX によってサポートされる MDM ポリシーを構成して、KIR アクティブ化を実行する方法について説明します。

マネージド デバイスでINTUNEのKIR ライセンス認証を実行するには、次の手順に従います。

  1. ADMX ファイルを取得するために、そのKIR MSI ファイルをダウンロードしてインストールします
  2. Microsoft エンドポイント マネージャーでカスタム構成プロファイルを作成します
  3. MONITOR アクティブ化を監視します

1. ADMX ファイルを取得するために、KIR MSI ファイルをダウンロードしてインストールする

  1. 更新する必要があるオペレーティング システム (OS) のバージョンを特定するには、そのKIR リリース情報または既知の問題の一覧を確認してください。

  2. Microsoft エンドポイント マネージャーへのサインインに使用するコンピューターに、必要な.msiのKIR ポリシー定義ファイルをダウンロードします。

    注意

    キル アクティブ化 ADMX ファイルの内容にアクセスする必要があります。

  3. ファイルを実行します .msi 。 このアクションにより、管理用テンプレートにKIR ポリシー定義がインストールされます。

    注意

    ポリシー定義は C:\Windows\PolicyDefinitions フォルダーにインストールされます。

    ADMX ファイルを別の場所に抽出する場合は、TARGETDIR プロパティでmsiexecコマンドを使用します。 以下に例を示します。

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx
    

2. Microsoft エンドポイント マネージャーでカスタム構成プロファイルを作成する

デバイスを構成して、キル アクティブ化を実行するには、マネージド デバイスの OS ごとにカスタム構成プロファイルを作成する必要があります。 カスタム プロファイルを作成するには、次の手順に従います。

  1. プロパティを選択し、プロファイルの基本情報を追加します
  2. カスタム構成設定を追加して、ADMX ファイルを取り込んで、キル アクティブ化します
  3. 新しいKIR アクティブ化ポリシーを設定するカスタム構成設定を追加します。
  4. デバイスを、KIR アクティブ化カスタム構成プロファイルに割り当てます
  5. 適用規則を使用して、デバイスをターゲットにして、OS によるKIR カスタム構成設定を受け取ります
  6. KIR アクティブ化カスタム構成プロファイルを確認して作成します

回答。 プロパティを選択し、プロファイルに関する基本情報を追加する

  1. Microsoft エンドポイント マネージャー管理センターにサインインします。

  2. [ デバイス > 構成プロファイル] [プロファイルの > 作成] を選択します

  3. 次のプロパティを選択します。

    • プラットフォーム: Windows 10 以降
    • プロファイル: テンプレート > のカスタム
  4. [作成] を選択します。

  5. [Basics](基本) で次のプロパティを入力します。

    • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名は "04/30 のKIR アクティブ化 – Windows 10 21H2" です。
    • [説明]: ポリシーの説明を入力します。 この設定は省略可能ですが、おすすめされています。

    注意

    プラットフォームプロファイルの種類 には、既に値が選択されている必要があります。

  6. [次へ] を選択します。

注意

カスタム構成プロファイルと構成設定の作成の詳細については、「Microsoft Intuneでカスタム デバイス設定を使用する」を参照してください。

次の 2 つの手順に進む前に、ファイルが抽出されたテキスト エディター (メモ帳など) で ADMX ファイルを開きます。 MSI ファイルとしてインストールした場合、ADMX ファイルは C:\Windows\PolicyDefinitions のパスに含まれている必要があります。

ADMX ファイルの例を次に示します。

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

の値 policy name を記録します parentCategory。 この情報は、ファイルの末尾にある "ポリシー" ノードにあります。

B. カスタム構成設定を追加して、ADMX ファイルを取り込んで、KIR のアクティブ化を行う

この構成設定は、ターゲット デバイスにKIR アクティブ化ポリシーをインストールするために使用されます。 ADMX インジェスト設定を追加するには、次の手順に従います。

  1. [構成設定] で、[追加] を選択します。

  2. 次のプロパティを入力します。

    • 名前: 構成設定のわかりやすい名前を入力します。 後で簡単に識別できるように、設定に名前を付けます。 たとえば、適切な設定名は"ADMX インジェスト: 04/30 のKIR アクティブ化 - Windows 10 21H2" です。

    • 説明: 設定の説明を入力します。 この設定は省略可能ですが、おすすめされています。

    • OMA-URI: 文字列 ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name> を入力します。

      注意

      ADMX ファイルから記録されたポリシー名の値に置き換えます <ADMX Policy Name> 。 たとえば、"KB5011563_220428_2000_1_KnownIssueRollback" とします。

    • データ型: 文字列を選択 します

    • : テキスト エディター (メモ帳など) を使用して ADMX ファイルを開きます。 取り込む ADMX ファイルの内容全体をコピーして、このフィールドに貼り付けます。

  3. [保存] を選択します。

C. 新しいKIR アクティブ化ポリシーを設定するカスタム構成設定を追加する

この構成設定は、前の手順で定義した、KIR アクティブ化ポリシーを構成するために使用されます。

次の手順に従って、キル アクティブ化構成設定を追加します。

  1. [構成設定] で、[追加] を選択します。

  2. 次のプロパティを入力します。

    • 名前: 構成設定のわかりやすい名前を入力します。 後で簡単に識別できるように、設定に名前を付けます。 たとえば、適切な設定名は "キル アクティブ化: 04/30 のKIR アクティブ化 - Windows 10 21H2" です。

    • 説明: 設定の説明を入力します。 この設定は省略可能ですが、おすすめされています。

    • OMA-URI: 文字列 ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>を 入力します。

      注意

      前の手順で記録した親カテゴリ文字列に置き換えます <Parent Category> 。 たとえば、"KnownIssueRollback_Win_11" とします。 前の手順で使用したのと同じポリシー名に置き換えます <ADMX Policy Name> 。

    • データ型: 文字列を選択 します

    • : 次のように入力 <disabled/> します。

  3. [保存] を選択します。

  4. [次へ] を選択します。

D. デバイスをKIR アクティブ化カスタム構成プロファイルに割り当てる

カスタム構成プロファイルの動作を定義したら、次の手順に従って、構成するデバイスを特定します。

  1. [割り当て] で、[すべてのデバイスの追加] を選択します。
  2. [次へ] を選択します。

E. 適用規則を使用してデバイスをターゲットにし、OS 別のKIR カスタム構成設定を受信する

GP に適用できる OS でデバイスをターゲットにするには、この構成を適用する前に、デバイス OS バージョン (ビルド) を確認する適用規則を追加します。 サポートされている OS のビルド番号は、次のページで確認できます。

ページに表示されるビルド番号は、MMMMM.mmmm (M= メジャー バージョンと m= マイナー バージョン) として書式設定されます。 OS バージョンのプロパティでは、メジャー バージョンの数字が使用されます。 適用規則に入力された OS バージョンの値は、"10.0.MMMMM" として書式設定する必要があります。 たとえば、"10.0.22000" などです。

次の手順に従って、お使いのKIR アクティブ化に適切な適用規則を設定します。

  1. [適用規則] で、ページに既に表示されている空白の規則に次のプロパティを入力して、適用規則を作成します。

    • ルール: ドロップダウン リストから [プロファイルの割り当て ] を選択します。
    • プロパティ: ドロップダウン リストから OS バージョン を選択します。
    • : 最小値と最大 OS バージョン番号を "10.0.MMMMM" として入力します。
  2. [次へ] を選択します。

注意

デバイスの OS バージョンは、[スタート] メニューからコマンドを winver 実行することで確認できます。 "."で区切られた 2 部構成のバージョン番号が表示されます。 たとえば、"22000.613" などです。 左側の番号を "10.0" に追加できます。 最小 OS バージョンの場合。 最小 OS バージョン番号の最後の数字に 1 を追加して、最大 OS バージョン番号を取得します。 この例では、次の値を使用できます。
最小 OS バージョン: "10.0.22000"
最大 OS バージョン: "10.0.22001"

F. KIR アクティブ化カスタム構成プロファイルを確認して作成する

カスタム構成プロファイルの設定を確認し、[ 作成] を選択します。

3. MONITOR のアクティブ化を監視する

今すぐ、お使いのKIR アクティブ化が進行中である必要があります。 構成プロファイルの進行状況を監視するには、次の手順に従います。

  1. [デバイス構成プロファイル] > に移動し、既存のプロファイルを選択します。 たとえば、macOS プロファイルを選びます。

  2. [ 概要 ] タブを選択します。 このビューでは、 プロファイルの割り当て状態 には次の状態が含まれます。

    • 成功: ポリシーが正常に適用されました。
    • エラー: ポリシーを適用できませんでした。 通常、メッセージには説明にリンクするエラー コードが表示されます。
    • 競合: 2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者は競合を確認する必要があります。
    • 保留中: デバイスはまだ、ポリシーを受信するために Intune でチェックインしていません。
    • 適用できない: デバイスがポリシーを受信できません。 たとえば、ポリシーで iOS 11.1 に特有の設定が更新されるが、デバイスが iOS 10 を使用している場合です。

詳細については、「Microsoft Intuneでデバイス構成プロファイルを監視する」を参照してください。

詳細情報