Windows Server Update Services (WSUS) を使った Windows クライアント更新プログラムの展開
適用対象
- Windows 10
- Windows 11
ユーザー向けの情報を探している場合、 「Windows Update: FAQ」をご覧ください。
WSUS は、Windows Server オペレーティング システムで利用可能な Windows サーバーの役割です。 これによって、組織内の Windows 更新プログラムに関する単一のハブを提供されます。 WSUS を使うと、更新プログラムを保留できるだけでなく、選択的に承認したり配信時期を選択したりすることができ、更新プログラムを受信するデバイスまたはデバイス グループを決定することができます。 WSUS では、Windows Update for Business に対して追加の制御が提供されますが、Microsoft Configuration Managerが提供するすべてのスケジュール オプションと展開の柔軟性は提供されません。
Windows 更新プログラムのソースとして WSUS を選択した場合は、グループ ポリシーを使って Windows クライアント デバイスを WSUSサーバーに向けます。 そこから、更新プログラムが定期的に WSUS サーバーにダウンロードされ、WSUS 管理コンソールまたはグループ ポリシーを通じて管理、承認、および展開され、企業の更新プログラムの管理が合理化されます。 現在、環境内で WSUS を使って Windows 更新プログラムを管理している場合は、Windows 11 でも続けて使うことができます。
WSUS による Windows クライアント サービスの要件
WSUS を使用して Windows の機能更新プログラムを管理および展開するには、サポートされている WSUS バージョンを使用する必要があります。
- WSUS 10.0.14393 (Windows Server 2016 のロール)
- WSUS 10.0.17763 (Windows Server 2019 のロール)
- WSUS 6.2 および 6.3 (Windows Server 2012 および Windows Server 2012 R2 のロール)
- KB 3095113 および KB 3159706 (または相当する更新プログラム) が WSUS 6.2 および 6.3 にインストールされている必要があります。
重要
2017 年 7 月以降、KB 3095113 および KB 3159706 は両方ともセキュリティの毎月の品質ロールアップに含まれています。 これは、KB 3095113 と KB 3159706 は、ロールアップでインストールされている可能性があるため、インストールされた更新プログラムとして表示されない場合があることを意味します。 ただし、これらのいずれかの更新プログラムが必要な場合、2017 年 10 月以降にリリースされたセキュリティの毎月の品質ロールアップをインストールすることをお勧めします。これには、WSUS の clientwebservice でのメモリ使用量を削減するための追加の WSUS 更新プログラムが含まれています。 セキュリティの毎月の品質ロールアップの前にこれらのいずれかの更新プログラムを同期した場合、問題が発生することがあります。 回復するには、WSUS でアップグレードを削除する方法に関する記事をご覧ください。
WSUS のスケーラビリティ
WSUS を使ってすべての Windows 更新プログラムを管理するために、一部の組織では境界ネットワークから WSUS にアクセスすることが必要になる場合があります。組織によっては、他の複雑なシナリオがある場合もあります。 WSUS はスケーラビリティが高く構成範囲が広いため、さまざまな規模やサイト レイアウトの組織に対応できます。 アップ ストリームおよびダウン ストリームのサーバー構成、ブランチ オフィス、WSUS の負荷分散、その他の複雑なシナリオなど、WSUS のスケーリングに関する情報については、WSUS 展開の種類の選択に関するページをご覧ください。
自動更新を構成し、サービスの場所を更新する
Windows クライアント デバイスで WSUS を使って更新プログラムを管理するときは、まず環境のグループ ポリシー設定、[自動更新を構成する] および [イントラネットの Microsoft 更新サービスの場所] を構成します。 こうすることで、影響を受けるクライアントを強制的に WSUS サーバーに接続させて管理できるようにします。 次のプロセスで、これらの設定を指定し、設定をドメイン内のすべてのデバイスに展開する方法について説明します。
環境のグループ ポリシーの設定、[自動更新を構成する] および [イントラネットの Microsoft 更新サービスの場所] を構成するには
グループ ポリシー管理コンソール (gpmc.msc) を開きます。
[Forest\Domains\Your_Domain] を展開します。
ドメイン名を右クリックして、[このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。
注
この例では、ドメイン全体に対してグループ ポリシーの設定、[自動更新を構成する] および [イントラネットの Microsoft 更新サービスの場所] を指定しています。 これは必須ではありません。セキュリティ フィルター処理や特定の OU を使って、これらの設定の対象を任意のセキュリティ グループにすることができます。
[新しい GPO] ダイアログ ボックスで、新しい GPO に「WSUS – Auto Updates and Intranet Update Service Location」という名前を付けます。
[WSUS – Auto Updates and Intranet Update Service Location] GPO を右クリックし、[編集] をクリックします。
グループ ポリシー管理エディターで、[コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update] の順に進みます。
[自動更新を構成する] 設定を右クリックし、[編集] をクリックします。
[自動更新を構成する] ダイアログ ボックスで、[有効にする] を選択します。
[オプション] で、[自動更新を構成する] 一覧から [3 - 自動ダウンロードしインストールを通知] を選択し、[OK] をクリックします。
重要
Regedit.exe を使用して、次のキーが有効になっていないことを確認します。これは、Windows ストアの接続を切断する可能性があるためです。Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations
注
更新プログラムの自動ダウンロードおよびインストールの日時には、他に 3 つの設定があります。 これはこの例で使うオプションです。 自動更新とその他の関連ポリシーを制御する方法の例については、「グループ ポリシーを使用して自動更新を構成する」をご覧ください。
[イントラネットの Microsoft 更新サービスの場所を指定する] 設定を右クリックし、[編集] を選択します。
[イントラネットの Microsoft 更新サービスの場所を指定する] ダイアログ ボックスで、[有効にする] を選択します。
[オプション] で、[更新プログラムを検出するためのイントラネットの更新サービスを設定する] および [イントラネット統計サーバーの設定] オプションに「
http://Your_WSUS_Server_FQDN:PortNumber
」と入力し、[OK] をクリックします。注
以下の画像のURL、
http://CONTOSO-WSUS1.contoso.com:8530
は 1 つの例です。 それぞれの環境で、WSUS インスタンスのサーバー名とポート番号を使ってください。注
WSUS の既定の HTTP ポートは 8530、既定の HTTPS (HTTP over Secure Sockets Layer) ポートは 8531 です。 (その他のオプションは 80 と 443 で、その他のポートはサポートされません)。
Windows クライアントがコンピューター ポリシー (既定のグループ ポリシー更新設定は 90 分で、コンピューターの再起動時にも更新されます) を更新するにつれて、徐々に WSUS にコンピューターが表示されます。 クライアントが WSUS サーバーと通信するようになったので、次に展開リングに沿ったコンピューター グループを作成します。
WSUS 管理コンソールでコンピューター グループを作成する
注
次の手順では、例として「Windows クライアント 更新プログラムの展開リングの構築」の表 1 のグループを使います。
コンピューター グループを使うと、特定の品質および機能の更新プログラムがあるデバイスのサブセットを対象とすることができます。 これらのグループは、WSUS によって制御される展開リングを表します。 WSUS 管理コンソールを使って手動で、またはグループ ポリシーを通じて自動的にグループを設定することができます。 どちらの方法でも、まず WSUS 管理コンソールでグループを作成する必要があります。
WSUS 管理コンソールでコンピューター グループを作成するには
WSUS 管理コンソールを開きます。
[サーバー名\コンピューター\すべてのコンピューター] に移動し、[コンピューター グループの追加] をクリックします。
名前に「Ring 2 Pilot Business Users」(リング 2 パイロット ビジネス ユーザー) と入力し、[追加] をクリックします。
これらの手順を繰り返して、Ring 3 Broad IT (リング 3 一般 IT) および Ring 4 Broad Business Users (リング 4 一般ビジネス ユーザー) グループを追加します。 終了したら、3 つの展開リング グループが追加されています。
グループが作成されたので、次に目的の展開リングに沿ったコンピューター グループにコンピューターを追加します。 これは、グループ ポリシーを通じて行うか、WSUS 管理コンソールを使って手動で行います。
WSUS 管理コンソールを使って展開リングを設定する
WSUS 管理コンソールでコンピューター グループにコンピューターを追加するのは簡単ですが、グループ ポリシーでメンバーシップを管理するよりも長い時間がかかることがあります。特に、追加するコンピューターの数が多い場合に時間がかかります。 WSUS 管理コンソールでコンピューター グループにコンピューターを追加することを、サーバー側のターゲットと呼びます。
この例では、2 つの異なる方法でコンピューターをコンピューター グループに追加します。割り当てられていないコンピューターを手動で割り当てる方法と、複数のコンピューターを検索する方法です。
割り当てられていないコンピューターを手動でグループに割り当てる
新しいコンピューターが WSUS と通信すると、それらは [割り当てられていないコンピューター] グループに表示されます。 そこから、次の手順で適切なグループにコンピューターを追加することができます。 これらの例では、2 台の Windows 10 PC (WIN10-PC1 と WIN10-PC2) をコンピューター グループに追加します。
手動でコンピューターを割り当てるには
WSUS 管理コンソールで、[サーバー名\コンピューター\すべてのコンピューター\割り当てられていないコンピューター] に移動します。
ここに、前のセクションで作成した GPO を受信し、WSUS との通信を開始した新しいコンピューターが表示されています。 この例ではコンピューターが 2 台だけですが、ポリシーを展開する範囲が広い場合、ここに多数のコンピューターが表示されます。
両方のコンピューターを選択して、選択範囲を右クリックし、[メンバーシップの変更] をクリックします。
[コンピューター グループ メンバーシップの設定] ダイアログ ボックスで、[Ring 2 Pilot Business Users] (リング 2 パイロット ビジネス ユーザー) 展開リングを選択し、[OK] をクリックします。
これらのコンピューターはグループに割り当てられたので、[割り当てられていないコンピューター] グループには表示されなくなります。 [Ring 2 Pilot Business Users] コンピューター グループを選択すると、そこに両方のコンピューターが表示されます。
グループに追加する複数のコンピューターを検索する
WSUS 管理コンソールで展開リングに複数のコンピューターを追加するもう 1 つの方法は、検索機能を使うことです。
複数のコンピューターを検索するには
WSUS 管理コンソールで、[サーバー名\コンピューター\すべてのコンピューター] に移動し、[すべてのコンピューター] を右クリックして [検索] をクリックします。
検索ボックスに「WIN10」と入力します。
検索結果からコンピューターを選択し、選択範囲を右クリックして、[メンバーシップの変更] をクリックします。
[Ring 3 Broad IT] (リング 3 一般 IT) 展開リングを選択し、[OK] をクリックします。
これらのコンピューターが、[Ring 3 Broad IT] コンピューター グループに表示されています。
グループ ポリシーを使って展開リングを設定する
WSUS 管理コンソールには、Windows 10 の品質および機能の更新プログラムを管理するための使いやすいインターフェイスが備わっています。 しかし、多数のコンピューターをそれぞれ適切な WSUS 展開リングに追加する必要がある場合、WSUS 管理コンソールで手動で行うと時間がかかります。 そのような場合は、グループ ポリシーを使って適切なコンピューターをターゲットに設定し、Active Directory のセキュリティ グループに基づいて、それらを適切な WSUS 展開リングに自動的に追加する方法を検討してください。 このプロセスはクライアント側のターゲットと呼ばれます。 グループ ポリシーでクライアント側のターゲット設定を有効にする前に、グループ ポリシーのコンピューターの割り当てを受け入れるように WSUS を構成する必要があります。
グループ ポリシーからのクライアント側のターゲットを許可するように WSUS を構成するには
WSUS 管理コンソールを開き、[サーバー名\オプション] に移動して、[コンピューター] をクリックします。
[コンピューター] ダイアログ ボックスで、[コンピュータのグループ ポリシーまたはレジストリを使用する] を選択し、[OK] をクリックします。
注
このオプションは排他的な二者択一です。 WSUS がグループの割り当てにグループ ポリシーを使うことを有効にすると、オプションを元に戻すまで、WSUS 管理コンソールを使って手動でコンピューターを追加することはできません。
これで、WSUS はクライアント側のターゲットの準備ができたので、次の手順でグループ ポリシーを使ってクライアント側のターゲットを構成します。
クライアント側のターゲットを構成するには
ヒント
クライアント側のターゲットを使う場合は、セキュリティ グループの名前を展開リングと同じ名前にすることを検討してください。 そうすると、ポリシー作成プロセスが簡単になり、間違ったリングにコンピューターを追加することを防げます。
グループ ポリシー管理コンソール (gpmc.msc) を開きます。
[Forest\Domains\Your_Domain] を展開します。
[ドメイン名] を右クリックし、[このドメインに GPO を作成し、このコンテナーにリンクする] をクリックします。
[新しい GPO] ダイアログ ボックスで、新しい GPO の名前として「WSUS – Client Targeting – Ring 4 Broad Business Users」と入力します。
[WSUS – Client Targeting – Ring 4 Broad Business Users] GPO を右クリックし、[編集] をクリックします。
グループ ポリシー管理エディターで、[コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update] の順に進みます。
[クライアント側のターゲットを有効にする] を右クリックし、[編集] をクリックします。
[クライアント側のターゲットを有効にする] ダイアログ ボックスで、[有効にする] を選択します。
[このコンピューターのグループ名をターゲットにする] ボックスに、「Ring 4 Broad Business Users」(リング 4 一般ビジネス ユーザー) と入力します。 これは、これらのコンピューターの追加先になる WSUS の展開リングの名前です。
Warning
ターゲット グループの名前は、コンピューター グループの名前と一致している必要があります。
- グループ ポリシー管理エディターを閉じます。
これで、この GPO を リング 4 一般ビジネス ユーザー 展開リングの適切なコンピューターのセキュリティ グループに展開する準備ができました。
GPO を 1 つのグループに限定するには
GPMC で、[WSUS – Client Targeting – Ring 4 Broad Business Users] ポリシーを選択します。
[スコープ] タブをクリックします。
[セキュリティ フィルター処理] で、既定値の [AUTHENTICATED USERS] セキュリティ グループを削除し、[Ring 4 Broad Business Users] (リング 4 一般ビジネス ユーザー) グループを追加します。
次回、"リング 4 一般ビジネス ユーザー" セキュリティ グループのクライアントが、それらのコンピューターのポリシーを受信して WSUS にアクセスすると、それらは "リング 4 一般ビジネス ユーザー" 展開リングに追加されますします。
機能の更新プログラムを自動的に承認して展開する
機能更新プログラムが利用可能になるとすぐに承認する必要があるクライアントの場合は、WSUS で自動承認規則を構成できます。
注
WSUS はクライアント デバイスのサービス ブランチを引き継ぎます。 機能更新プログラムが、Insider Preview などの 1 つのブランチにある間に承認すると、WSUS はそのサービス ブランチにあるデバイスにのみ更新プログラムをインストールします。 Microsoft が「一般提供チャネル」のビルドをリリースすると、その中のデバイスが「一般提供チャネル」をインストールします。 Windows Update for Business ブランチの設定は、WSUS 経由で機能更新プログラムに適用されません。
Windows クライアント機能更新プログラムの自動承認規則を構成し、Ring 3 Broad IT 展開リング向けにそれらを承認します。この例では Windows 10 を使用していますが、プロセスはWindows 11 でも同じです。
WSUS 管理コンソールで、Update Services\Server_Name\Options に移動し、[ 自動承認] を選択します。
[更新規則] タブで、[新しい規則] をクリックします。
[規則の追加] ダイアログ ボックスで、[更新が特定の分類に含まれる場合]、[更新が特定の製品に含まれる場合]、および [承認の期日の設定] チェック ボックスをオンにします。
[プロパティの編集] で、[任意の分類] を選択します。 [アップグレード] 以外をすべてオフにし、[OK] をクリックします。
[プロパティの編集] で、[任意の製品] リンクをクリックします。 [Windows 10] 以外のすべてのチェック ボックスをオフにし、[OK] をクリックします。
Windows 10 は、[すべての製品\Microsoft\Windows] の下にあります。
[プロパティの編集] で、[すべてのコンピューター] リンクをクリックします。 [Ring 3 Broad IT] 以外のすべてのコンピューター グループのチェック ボックスをオフにし、[OK] をクリックします。
期限は [7 days after the approval at 3:00 AM] (承認 7 日後の午前 3 時 00 分) の設定のままにします。
[ステップ 3: 名前を指定します] ボックスに「Windows 10 Upgrade Auto-approval for Ring 3 Broad IT」と入力し、[OK] をクリックします。
[自動承認] ダイアログ ボックスで、[OK] をクリックします。
注
WSUS は、既存の月/週/日の保留設定を引き継ぎません。 そのため、WSUS が更新プログラムも管理しているコンピューター向けに Windows Update for Business を使っている場合、WSUS が更新プログラムを承認すると、待機するようにグループ ポリシーを構成していたかどうかに関係なく更新プログラムがコンピューターにインストールされます。
これで、Windows クライアント機能更新プログラムが WSUS に公開されるたびに、1 週間のインストール期限付きで [Ring 3 Broad IT] 展開リング向けに自動的に承認されます。
Warning
同期が行われた後、自動承認規則が実行されます。 これは、Windows クライアントの各バージョンについて、次のアップグレードが承認されることを意味します。 [規則の実行] を選択した場合、条件を満たすすべての更新プログラムが承認されます。これには、実際に必要のない古い更新プログラムが含まれていることがあり、ダウンロード サイズが非常に大きい場合に問題が起きることがあります。
機能更新プログラムを手動で承認して展開する
WSUS 管理コンソール内で、手動で更新プログラムを承認し、インストールの期限を設定することもできます。 パイロット展開が更新された後に、更新規則を手動で承認する方が適している場合があります。
手動の承認プロセスを簡略化するために、まず Windows 10 (この例では) 更新プログラムのみを含むソフトウェア更新プログラム ビューを作成します。 このプロセスは、Windows 11 の更新プログラムでも同じです。
注
コンピューターで複数の機能更新プログラムを承認すると、クライアントでエラーが発生することがあります。 1 台のコンピューターにつき 1 つの機能更新プログラムのみ承認します。
機能更新プログラムを手動で承認して展開するには
WSUS 管理コンソールで、Update Services\Server_Name\更新 に移動します。 [操作] ウィンドウで、[新しい更新ビュー] をクリックします。
[更新ビューの追加] ダイアログ ボックスで、[更新は特定の分類に含まれます] と [更新は特定の製品用です] を選択します。
[ステップ 2: プロパティを変更します] で、[任意の分類] をクリックします。 [アップグレード] 以外のすべてのチェック ボックスをオフにし、[OK] をクリックします。
[ステップ 2: プロパティを変更します] で、[任意の製品] をクリックします。 [Windows 10] 以外のすべてのチェック ボックスをオフにし、[OK] をクリックします。
Windows 10 は、[すべての製品\Microsoft\Windows] の下にあります。
[ステップ 3: 名前を指定します] ボックスに「All Windows 10 Upgrades」と入力し、[OK] をクリックします。
[All Windows 10 Upgrades] ビューが表示されるようになったので、追加の手順を実行して、Ring 4 Broad Business Users 展開リングの更新プログラムを手動で更新します。
WSUS 管理コンソールで、Update Services\Server_Name\更新\All Windows 10 アップグレードに移動します。
展開する機能更新プログラムを右クリックし、[承認] をクリックします。
[更新プログラムの承認] ダイアログ ボックスで、[Ring 4 Broad Business Users] 一覧から [インストールの承認] を選択します。
[更新プログラムの承認] ダイアログ ボックスで、[Ring 4 Broad Business Users] 一覧から [期限] をクリックし、[1 週間]、[OK]の順にクリックします。
[マイクロソフト ソフトウェア ライセンス条項] ダイアログ ボックスが表示された場合は、[承諾] をクリックします。
展開が成功した場合は、成功の進行状況レポートが受信されます。
[承認の進行状況] ダイアログ ボックスで、[閉じる] をクリックします。
Windows クライアントの更新プログラムを管理する手順
![]() |
更新プログラムとサービス チャネルに関する学習 |
![]() |
Windows クライアント更新プログラムのサービス方法の準備 |
![]() |
Windows クライアント更新プログラムの展開リングの構築 |
![]() |
Windows クライアント更新プログラムのサービス チャネルにデバイスを割り当てる |
![]() |
Windows クライアント更新プログラムの更新配信を最適化 |
![]() |
Windows Update for Business を使用して更新プログラムを展開するか、Windows Server Update Servicesを使用して Windows クライアント更新プログラムを展開する (このトピック)、または Microsoft Configuration Manager を使用して Windows クライアント更新プログラムを展開する |