Windows の展開を準備する

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

計画フェーズでアクティビティを行った後は、環境を準備し、Windows クライアントを展開するプロセスを適切な立場に置く必要があります。 計画フェーズでは、次の役に立つ項目が表示されます。

これで、実際に環境に変更を加え始めて、デプロイの準備を整える準備ができました。

インフラストラクチャと環境を準備する

  • Configuration Managerのサイト サーバーの更新プログラムを展開します。
  • セキュリティ エージェントやサーバーなどの Microsoft 以外のセキュリティ ツールを更新します。
  • データ損失防止エージェントなどの Microsoft 以外の管理ツールを更新します。

インフラストラクチャには、多くの異なるコンポーネントとツールが含まれている可能性があります。 インフラストラクチャのさまざまな部分に加えた変更により、環境が問題の影響を受けないようにする必要があります。 次の手順に従います。

  1. 計画で特定したすべてのインフラストラクチャの変更を確認します。 行う必要がある変更を理解し、それらを実装する方法を詳しく説明することが重要です。 このプロセスにより、後で問題が発生するのを防ぐことができます。

  2. 変更を検証します。 インフラストラクチャのコンポーネントとツールの変更を検証して、変更が運用環境に与える影響を理解するのに役立ちます。

  3. 変更を実装します。 変更が検証されたら、広範なインフラストラクチャに変更を実装できます。

また、organizationの環境の構成を確認し、更新プログラムをサポートするために計画フェーズで以前に特定した必要な変更を実装する方法を概説する必要があります。 現在環境を支えているさまざまな設定とポリシーに対して何を行う必要があるかを検討してください。 次に、例を示します。

  • 新しいドラフト セキュリティ ガイダンスを実装します。 新しいバージョンの Windows には、環境のセキュリティを向上させる新機能が含まれる場合があります。 セキュリティ チームは、セキュリティ関連の構成に適切な変更を加える必要があります。

  • セキュリティ ベースラインを更新します。 セキュリティ チームは、関連するセキュリティ ベースラインを理解し、すべてのベースラインが準拠する必要があるガイダンスに適合するように作業する必要があります。

ただし、構成はさまざまな設定とポリシーで構成されます。 必要な場所と明確な改善が得られる場所にのみ変更を適用することが重要です。 そうしないと、環境で更新プロセスの速度が低下する問題が発生する可能性があります。 変更が加えられたため、環境が悪影響を受けないようにする必要があります。 次に、例を示します。

  1. 新しいセキュリティ設定を確認します。 セキュリティ チームは、新しいセキュリティ設定を確認して、更新プログラムを容易にするために最適に設定できる方法を理解し、環境に与える可能性がある潜在的な影響も調査します。

  2. セキュリティ ベースラインで変更を確認します。 また、セキュリティ チームは、必要なすべてのセキュリティ ベースラインを確認して、変更を実装できることを確認し、環境が準拠していることを確認します。

  3. セキュリティ設定とベースラインの変更を実装して検証します。 その後、セキュリティ チームは、潜在的な未処理の問題に対処して、すべてのセキュリティ設定とベースラインを実装します。

アプリケーションとデバイスを準備する

今後のパイロット展開フェーズでアプリの検証に使用する検証方法を決定しました。 今は、個々のデバイスの準備が整い、次の更新プログラムを問題なくインストールできるようにする良い時期です。

更新プログラムが利用可能であることを確認する

デバイスで更新サービスを有効にします。 すべてのデバイスが、依存しているすべてのサービスWindows Update実行されていることを確認します。 ユーザーやマルウェアが、正常に動作するために必要なサービスWindows Update無効にすることがあります。 次のサービスが実行されていることを確認します。

  • バックグラウンド インテリジェント転送サービス
  • バックグラウンド タスク インフラストラクチャ サービス
  • BranchCache (更新プログラムの展開にこの機能を使用する場合)
  • タスク シーケンス エージェントのConfigMgr (Configuration Managerを使用して更新プログラムを展開する場合)
  • 暗号化サービス
  • DCOM サーバー プロセス 起動ツール
  • デバイスのインストール
  • 配信の最適化
  • デバイス セットアップ マネージャー
  • ライセンス マネージャー
  • Microsoft アカウント サインイン アシスタント
  • Microsoft Software Shadow Copy Provider
  • リモート プロシージャ コール (RPC)
  • リモート プロシージャ コール (RPC) ロケーター
  • RPC エンドポイント マッパー
  • Service Control Manager
  • タスク スケジューラ
  • トークン ブローカー
  • Orchestrator Service の更新
  • ボリューム シャドウ コピー サービス
  • Windows 自動更新サービス
  • Windows バックアップ
  • Windows Defender ファイアウォール
  • Windows Management Instrumentation
  • Windows 管理サービス
  • Windows モジュール インストーラー
  • Windows プッシュ通知
  • Windows セキュリティ サービス
  • Windows タイム サービス
  • Windows Update
  • Windows Updateメディックサービス

これらのサービスは、Services.msc を使用するか、PowerShell スクリプトまたはその他の方法を使用して手動でチェックできます。

ネットワーク構成

デバイスが、必要な Windows Update エンドポイントにファイアウォール経由でアクセスできることを確認します。 たとえば、Windows 10 バージョン 2004 では、次のプロトコルがこれらの個々のエンドポイントにアクセスできる必要があります。

プロトコル Endpoint URL (エンドポイント URL)
TLS 1.2 *.prod.do.dsp.mp.microsoft.com
HTTP emdl.ws.microsoft.com
HTTP *.dl.delivery.mp.microsoft.com
HTTP *.windowsupdate.com
HTTPS *.delivery.mp.microsoft.com
TLS 1.2 *.update.microsoft.com
TLS 1.2 tsfe.trafficshaping.dsp.mp.microsoft.com

HTTP を指定しているエンドポイントには HTTPS を使わないでください。また、その逆も同様です。 接続に失敗します。

特定のエンドポイントは、Windows のバージョンによって異なる場合があります。 たとえば、「Windows 10 2004 Enterprise の接続エンドポイント」などを参照してください。 その他の Windows クライアント バージョンについては、近くの目次でも同様の記事を参照できます。

ダウンロード帯域幅を最適化する

ピア ネットワーク共有または Microsoft 接続キャッシュの 配信の最適化 を設定します。

異常なデバイスに対処する

デバイスの人口を調査する過程で、更新プログラムのインストールを妨げる可能性のあるシステム上の問題があるデバイスが見つかる場合があります。 次に、これらの問題を解決します。

  • ディスク領域の不足: 品質更新プログラムを正常にインストールするには、少なくとも 2 GB が必要です。 機能更新プログラムは、構成に応じて 8 GB から 15 GB の間で必要です。 バージョン 1903 以降 (および Windows 11) Windows 10では、ディスク領域の不足を回避するために、(ワイプと読み込み、再構築、新しいビルド用の) "予約ストレージ" 機能を事前に使用できます。 ディスク領域が不足しているデバイスのグループが見つかると、多くの場合、ログ ファイルをクリーンアップし、必要に応じてユーザーにデータのクリーンを要求することで、問題を解決できます。 まず、次のファイルを削除することをお勧めします。

    • C:\Windows\temp
    • C:\Windows\cbstemp (ただし、このファイルは更新エラーを調査するために必要な場合があります)
    • C:\Windows\WindowsUpdate.log (ただし、このファイルは更新エラーを調査するために必要な場合があります)
    • C:\Windows.Old (これらのファイルは 10 日後に自動的にクリーンされるか、ディスク領域に制約がある場合に、デバイス ユーザーにクリーンのアクセス許可を求める場合があります)

スクリプトを作成して実行して、管理者権限を持つデバイスに対して追加のクリーンアップ 操作を実行したり、グループ ポリシー設定を使用したりすることもできます。

  • C:\Windows\sytem32\wsreset.exe を実行して Windows ストア キャッシュをクリーンアップします。

  • /online /Cleanup-Image /StartComponentCleanupDism.exe を使用して、クライアント コンピューター上の WinSxS フォルダーを最適化します。

  • /CompactOS:always を実行してオペレーティング システムCompact.exe 圧縮します。

  • ユーザーが必要としない Windows 機能オンデマンドを削除します。 詳細については、「 オンデマンド機能」を参照してください。

  • Windows 既知のフォルダーを OneDrive に移動します。 詳細については、「グループ ポリシーを使用してOneDrive 同期設定を制御する」を参照してください。

  • [ソフトウェア配布] フォルダーをクリーンアップします。 Windows 更新のダウンロード状態をリセットするには、これらのコマンドをバッチ ファイルとして展開して、デバイスで実行してみてください。

    net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution C:\Windows\SoftwareDistribution.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver

  • アプリケーションとドライバーの更新: 古いアプリまたはドライバー ソフトウェアは、デバイスが正常に更新されないようにすることができます。 問題のあるアプリケーションまたはドライバーのバージョンのベンダーから更新プログラムを展開して、問題を解決します。

  • 破損: まれに、インストール エラーが繰り返されるデバイスが、システムが新しい更新プログラムを適用できないように破損する可能性があります。 別のソースから Component-Based ストアを修復する必要がある場合があります。 この問題は、 システム ファイル チェッカーで解決できます。

準備機能

計画フェーズでは、環境に新しい機能を追加するために実装する必要がある特定のインフラストラクチャと構成の変更を決定しました。 これで、計画フェーズで定義された変更の実装に進むことができます。 これらの新機能を取得するには、次のより高いレベルのタスクを完了する必要があります。

  • 変更を実装して、環境全体で機能を有効にします。 たとえば、関連する ADMX テンプレートの更新を Active Directory に実装します。 新しい Windows バージョンには、ADMX テンプレートの更新に使用する新しいポリシーが付属しています。

  • 新しい変更を検証して、それらがより広い環境にどのように影響するかを理解します。

  • 検証によって特定された潜在的な問題を修復します。

ユーザーを準備する

多くの場合、ユーザーはデバイスをランダムに更新することを強制されたと感じます。 多くの場合、更新プログラムが必要な理由が完全には理解されておらず、更新プログラムがデバイスに事前に適用されるタイミングはわかりません。 今後の更新プログラムが明確かつ適切な警告と共に確実に伝達されるようにすることをお勧めします。

この目標を達成するために、次のようにさまざまな手段を使用できます。

  • 更新プログラムとその展開方法に関する概要メールをorganization全体に送信します。
  • 特定の詳細を含む更新プログラムに関する個人用メールをユーザーに送信します。
  • ビジネスニーズのために、現在のバージョンを少し長く維持する必要がある従業員のオプトアウト期限を設定します。
  • ユーザーの都合の良い時点で自発的に更新する機能を提供します。
  • 更新プログラムがすべてのデバイスにインストールされる必須のインストール日をユーザーに通知します。