更新プログラムのコンプライアンス、アクティビティ、ユーザー エクスペリエンスに関するポリシー
デバイスを最新の状態に保つことが、スムーズかつ安全に動作し続ける最良の方法です。
更新プログラムのコンプライアンスの期限
更新期限ポリシーを使用して、デバイスが必要な更新スケジュールを確実に維持する必要がある方法を制御できます。 Windows コンポーネントは、これらの期限に基づいて調整されます。 また、必要な更新期限を満たすために、ユーザー エクスペリエンスと速度のトレードオフを行うこともできます。 たとえば、期限が近づく前にユーザー エクスペリエンスに優先順位を付け、期限が近づくにつれて速度に優先順位を付け、ユーザーに何らかの制御を与えることができます。
期限
Windows 10 バージョン 1903 以降、および 2019 年 8 月のWindows 10のセキュリティ更新プログラムバージョン 1709 以降 (Windows 11を含む) では、期限に似た古いポリシーを置き換える新しいポリシーが導入されました。自動更新と再起動の期限を指定します。
以前のポリシーでは、デバイスが更新プログラムの状態に達すると、期限の restart pending
適用が開始されました。 新しいポリシーは、更新プログラムが発行されたときから、更新プログラムのインストール期限のカウントダウンと遅延を開始します。 さらに、このポリシーには構成可能な猶予期間と、期限に達するまで自動再起動をオプトアウトするオプションが含まれています (ただし、常に最大更新速度の自動再起動を許可することをお勧めします)。
期限は次のように設定することをお勧めします。
- 品質更新期限 (日数): 2
- 機能更新プログラムの期限 (日数): 2
通知は適切な時刻にユーザーに自動的に表示され、ユーザーは期限の近くに応じて、後で通知するか、再スケジュールするか、すぐに再起動するかを選択できます。 通知ポリシーは適切な既定値で自動的に構成されるため、設定 しないことを お勧めします。 キオスクまたはデジタル サイネージがある場合は例外です。
品質更新プログラムの場合は 3 日間、機能更新プログラムの場合は 7 日間をお勧めしますが、organizationとその要件に応じて多かれ少なかれ必要と判断する場合があり、このポリシーは少なくとも 2 日間まで構成できます。
重要
デバイスがインターネットに到達できない場合、Microsoft が更新プログラムをいつ公開したのかを判断できないため、期限を適用することはできません。 アクティビティの少ないデバイスについて詳しくは、こちらをご覧ください。
猶予期間
再起動が適用される前に、Windows で最小限の中断を伴う自動再起動時間を検出する期間を設定できます。 これは、ユーザーが何日間も離れている (休暇中など) 場合に特に便利です。これにより、ユーザーが戻ったときにデバイスがすぐに更新されないようにします。
以下を設定することをお勧めします。
- 猶予期間 (日数): 5
期限と猶予期間が経過すると、更新プログラムが自動的に適用され、 アクティブ時間に関係なく再起動が行われます。
再起動するタイミングを Windows で選択できるようにする
Windows では、ユーザー操作を使用して、自動再起動の中断が最も少ない時間を動的に識別できます。 この機能を利用するには、 ConfigureDeadlineNoAutoReboot が [無効] に設定されていることを確認します。
デバイス アクティビティ ポリシー
通常、Windows では、システム更新プログラムを正常に完了するために、デバイスがアクティブで、少なくとも 6 時間はインターネットに接続されており、少なくとも 2 つの継続的なアクティビティが必要です。 デバイスには、更新プログラムの正常なインストールを妨げる他の物理的な状況がある可能性があります。たとえば、ノート PC のバッテリー残量が少ない場合や、ユーザーがアクティブ時間が終了する前にデバイスをシャットダウンしていて、デバイスが期限に準拠できない場合などです。
このセクションの設定を使用して、更新プログラムのコンプライアンス期間中にデバイスが更新プログラムをインストールできることを確認できます。
アクティブ時間
"アクティブ時間" は、デバイスが使用されると予想される期間を識別します。 通常、再起動はこれらの時間外に発生します。 Windows 10バージョン 1903 では、管理者がorganizationを決定したり、システムが更新プログラムをインストールできる期間を最小限に抑えるアクティブ時間を選択したりするのではなく、ユーザーのアクティビティに基づいてアクティブ時間をシステムが学習できるようにする "インテリジェントなアクティブ時間" が導入されました。
重要
以前のバージョンのWindows 10で [アクティブ時間の構成] 設定を使用した場合、インテリジェントなアクティブ時間を利用するには、これらのオプションを無効にする必要があります。
アクティブ時間を設定する場合は、更新速度を上げるために、次のポリシーを [無効] に設定することをお勧めします。
自動再起動を遅らせる。 ログインしているユーザーの再起動を遅延するようにシステムを設定することもできますが、ユーザーが常にログインまたはシャットダウンしている場合、この設定は更新を無期限に遅らせる可能性があります。 代わりに、次のポリシーを [無効] に設定することをお勧めします。
アクティブ時間中に自動再起動をオフにする
スケジュールされた自動更新のログオン ユーザーによる自動再起動なし
再起動の遅延を制限します。 コンプライアンスの期限を使用すると、ユーザーは更新が行われるという通知を受け取ります。そのため、コンプライアンス期限を許可するために、このポリシーを [無効] に設定することをお勧めします。これにより、コンプライアンス期限の設定外で再起動を遅延させるユーザーの機能が排除されます。
ユーザーが更新プログラムと再起動を承認できないようにします。 期限ポリシーの範囲外でユーザーが更新プロセスを承認または関与できるようにすることで、更新速度が低下し、リスクが増加します。 これらのポリシーは 無効に設定する必要があります。
自動更新を構成します。 自動更新を構成するポリシーを適切に設定することで、クライアントがWindows Server Update Services (WSUS) サーバーに接続して管理できるようにすることで、更新速度を向上させることができます。 このポリシーを [無効] に設定することをお勧めします。 ただし、値を指定する必要がある場合は、グループ ポリシーを 4 に設定して、ダウンロードを自動的にインストールするように設定してください。 Microsoft Intuneを使用している場合は、値を [既定値にリセット] に設定します。
従量制課金ネットワーク経由での自動Windows Updateのダウンロードを許可します。 主に携帯データネットワークを使用するデバイスが多く、Wi-Fi アクセスがないため、従量制課金ネットワークから更新プログラムを自動的にダウンロードすることをユーザーに許可することを検討してください。 既定の設定では従量制課金ネットワーク経由でのダウンロードは許可されませんが、この値を 1 に設定すると、携帯ネットワーク サービスがある場合に、ユーザーがインターネットに接続しているかどうかに関係なく更新プログラムを取得できるため、速度が向上する可能性があります。
重要
以前のバージョンの Windows では、インテリジェントなアクティブ時間はサポートされていません。 Windows 10バージョン 1903 より前のバージョンの Windows をデバイスで実行する場合は、次のポリシーを設定することをお勧めします。
- アクティブ時間を構成します。 バージョン 1703 Windows 10以降、アクティブ時間の開始時刻からカウントされる最大アクティブ時間範囲を指定できます。 この値を 10 に設定することをお勧めします。
-
更新プログラムのインストールをスケジュールします。 [自動Updates設定の構成] には、指定したインストール時間後に強制再起動を制御する 2 つの方法があります。
スケジュール更新プログラムのインストールを使用する場合は、競合する可能性が最も高いため、両方の設定を有効にしないでください。
- 自動メンテナンス時間を指定します。 この設定を使用すると、更新プログラムのメンテナンス期間を広く設定でき、このスケジュールがアクティブ時間と競合しないようにすることができます。 この値は 3 (午前 3 時に対応) に設定することをお勧めします。 午前 3 時が勤務シフトの途中にある場合は、スケジュールされた作業時間が始まる少なくとも数時間前に別の時刻を選択します。
- インストール時間をスケジュールします。 この設定を使用すると、再起動のインストール時間をスケジュールできます。 アクティブ時間と競合する可能性があるため、これを [無効] に設定することはお勧めしません。
電源ポリシー
更新を行うには、非アクティブ時間中にデバイスを実際に使用できる必要があります。 電源ポリシーによってウェイクアップが妨げられない場合は、この操作を実行できません。 organizationでは、セキュリティと環境に優しい構成のバランスを取ります。 適切なトレードオフと感じるものを実現するには、次の設定をお勧めします。
ユーザーにとって、デバイスはオンまたはオフですが、Windows の場合は、更新を実行できる状態 (アクティブ) と、(非アクティブではない) 状態があります。 一部の状態はアクティブ (スリープ) と見なされますが、ユーザーはデバイスがオフになっていると考える場合があります。 また、Windows が更新プログラムを開始する前に確認する電源状態 (電源の接続/バッテリー) もあります。
既定の設定をオーバーライドし、ユーザーが変更できないようにして、非アクティブ時間中にデバイスが更新プログラムに使用できることを確認できます。
注
必要なときにデバイスが更新プログラムをインストールできるようにする 1 つの方法は、非アクティブ時間中にデバイスを接続したままにしておくようユーザーを教育することです。 最適なポリシーでも、スリープ モードでも、接続されていないデバイスは更新されません。
次の電源管理設定をお勧めします。
- スリープ モード (S1 または S0 低電力アイドルまたは モダン スタンバイ)。 デバイスがスリープ モードの場合、システムはオフになっているように見えますが、更新プログラムが利用可能な場合は、更新プログラムを実行するためにデバイスをスリープ解除できます。 スリープ モードの電力消費量は、動作中 (システムが完全に使用可能) と休止状態 (S4 - シャットダウン前の最小電力レベル) の間です。 デバイスが使用されていない場合、システムは通常、休止状態になる前にスリープ モードに移行します。 速度の問題は、スリープと休止時間の間の時間が短すぎて、Windows に更新を完了する時間がない場合に発生します。 スリープ モードは、十分な電力がある限り、更新プロセスを開始するためにシステムがスリープ状態から復帰できるため、重要な設定です。
デバイスでスリープ モードを使用できるようにするには、次のポリシーを [有効] または [ 構成不可 ] に設定します。
次のポリシーを 1 (スリープ) に設定して、ユーザーがデバイスのふたを閉じると、システムがスリープ モードになり、デバイスが更新プログラムを受け取る機会を得ることができるようにします。
休止状態。 デバイスが休止状態の場合、電力消費量が少なく、電源ボタンを押すなど、ユーザーの介入なしにシステムを起動することはできません。 デバイスがこの状態の場合は、ACPI 時刻とアラーム デバイス (TAD) をサポートしていない限り更新できません。 つまり、従来のスリープ (S3) をサポートするデバイスが接続されていて、Windows 更新プログラムが利用可能な場合、更新が完了するまで休止状態が遅延します。
注
これは、モダン スタンバイ (S0 低電力アイドル) をサポートするデバイスには適用されません。 コマンド プロンプトでを実行powercfg /a
することで、デバイスがサポートするシステム スリープ状態 (S3 または S0 低電力アイドル) をチェックできます。 詳細については、「 Powercfg オプション」を参照してください。
従来のスリープをサポートするデバイスの既定のタイムアウトは 3 時間に設定されています。 休止状態に送信する前にデバイスを再起動する機会Windows Update許可するために、これらのポリシーを減らさないようにすることをお勧めします。
古いポリシーまたは競合するポリシー
Windows クライアントの各リリースでは、管理者とその組織の両方のエクスペリエンスを向上させるために、新しいポリシーを導入できます。 新しいクライアント ポリシーをリリースする場合は、そのリリース以降に対して純粋にリリースするか、ポリシーをバックポートして以前のバージョンで使用できるようにします。
重要
グループ ポリシーを使用している場合は、古い ADMX テンプレートは更新されないため、新しいポリシーを使用するには、新しい (1903) ADMX テンプレートを使用する必要があることに注意してください。 また、MDM ツール (Microsoft または Microsoft 以外) を使用している場合は、ツール インターフェイスで使用できるようになるまで、新しいポリシーを使用できません。
管理者は、特定の動作を設定して想定しているため、特定のユース ケースに対して設定された古いポリシーは明示的に削除されません。 ただし、同様の古いポリシーを無効にせずに新しいポリシーを設定すると、競合する動作が発生し、更新プログラムが期待どおりに動作しない可能性があります。
重要
管理者が、Microsoft Intuneなどの MDM サーバーからグループ ポリシー設定と MDM 設定の両方を取得するようにデバイスを設定している場合があります。 ポリシーの競合は、最終的に設定される方法に応じて、異なる方法で処理されます。
- Windows 更新プログラム: グループ ポリシー設定が MDM よりも優先されます。
- Microsoft Intune: 2 つの異なるグループに対して同じポリシーに異なる値を設定すると、アラートが表示され、競合が解決されるまでどちらのポリシーも設定されなくなります。 organization内のデバイスが期待どおりに更新を行うには、競合するポリシーを無効にすることが重要です。 たとえば、デバイスが MDM ポリシーの変更に反応していない場合は、チェック、値が異なるグループ ポリシーで同様のポリシーが設定されているかどうかを確認します。 更新速度が予想以上に速くない場合や、一部のデバイスが他のデバイスよりも遅い場合は、すべてのポリシーと設定をクリアし、推奨される更新ポリシーのみを指定する必要があります。 推奨されるポリシーの統合リストについては、「ポリシーと設定のリファレンス」を参照してください。
更新速度が低下する可能性がある、または競合する可能性があるより適切なポリシーがあるため、無効にしたいポリシーを次に示します。
- 機能Updates期間を日数で延期します。 更新速度を最大限に高めるためには、機能更新プログラムが完了し、毎月のセキュリティ更新プログラムが再び提供されるように、これを 0 (遅延なし) に設定することをお勧めします。 迅速に展開する必要がある緊急の品質更新プログラムがある場合でも、遅延ポリシーを設定するのではなく、機能の一時停止Updatesを使用することをお勧めします。 最新の機能更新プログラムを最新の状態に保ちたくない場合は、より長い期間を選択できます。
- 品質Updates期間を日数で延期します。 リスクを最小限に抑え、更新速度を最大化するために、デバイスの異なるリングを使用して更新プログラムを評価する際に考慮する必要がある最大時間は 2 日から 3 日です。
- 機能Updates開始時刻を一時停止します。 解決に時間が必要な既知の問題がない限り、[ 無効] に設定します。
- 品質Updates開始時刻を一時停止します。 解決に時間が必要な既知の問題がない限り、[ 無効] に設定します。
- 期限自動再起動なし。 既定値は [無効] - 0 に設定 します。 更新プログラムが受信されたときに、デバイスが自動的に再起動を試みるようにすることをお勧めします。 Windows では、ユーザーの操作を使用して、再起動する最も中断の少ない時間を動的に識別します。
サポートされなくなった、または置き換えられた追加のポリシーもあります。