Active Directory 環境では、グループ ポリシーを使用して、コンピューターとユーザーが Windows Update と対話して Windows Server Update Services (WSUS) から自動更新を取得する方法を定義できます。 この記事では、これらのコンピューターとユーザーを "WSUS クライアント" と呼びます。
この記事は 2 つの主要セクションで構成されます。
「WSUS クライアント更新用のグループ ポリシー設定」では、WSUS クライアントが Windows Update と対話して自動更新を取得する方法を制御するグループ ポリシーの Windows Update およびメンテナンス スケジューラの設定に関する規範的なガイダンスと動作の詳細について説明します。
「補足情報」には、次のサブセクションがあります。
「グループ ポリシーの Windows Update 設定にアクセスする」では、グループ ポリシー管理エディター (GPME) の使用に関する一般的なガイダンスを提供します。 また、更新サービスのためのグループ ポリシー内のポリシー拡張機能とメンテナンス スケジューラの設定へのアクセスに関する情報も提供されています。
「用語と定義」には、WSUS および更新サービスに関連する用語が定義されています。
WSUS クライアント更新用のグループ ポリシー設定
ここでは、グループ ポリシーの以下の 3 つの拡張機能について説明します。 これらの拡張機能には、WSUS クライアントが自動更新を受信するために Windows Update と対話する方法の構成に使用できる設定があります。
- [コンピューターの構成] > [Windows Update] ポリシー設定
- [コンピューターの構成] > [メンテナンス スケジューラの設定]
- [ユーザーの構成] > [Windows Update] ポリシー設定
注
この記事は、既にグループ ポリシーを使用して、よく理解していることを前提としています。 グループ ポリシーに慣れていない場合は、WSUS のポリシー設定を構成する前に、この記事の 補足情報 セクションの情報を確認することをお勧めします。
WSUS サーバーの役割は Windows Server と統合されています。 既定では、WSUS クライアントのグループ ポリシー設定はグループ ポリシーに含まれます。
[コンピューターの構成] > [Windows Update] ポリシー設定
ここでは、次のコンピューターベースのポリシー設定について詳しく説明します。
- 自動更新を直ちにインストールすることを許可する
- 非管理者による更新の通知の受信を許可する
- イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する
- スケジュールされた時刻に常に自動的に再起動する
- 自動更新の検出頻度
- 自動更新を構成する
- スケジュールされたインストールの再起動の遅延
- [Windows のシャットダウン] ダイアログ ボックスで既定のオプションを [更新プログラムのインストールとシャットダウン] に調整しない
- インターネット上の Windows Update に接続しない
- [Windows のシャットダウン] ダイアログ ボックスに [更新プログラムのインストールとシャットダウン] オプションを表示しない
- クライアント側のターゲットを有効にする
- Enabling Windows Update Power Management to automatically wake up the computer to install scheduled updates (Windows Update の電源管理を有効にして、コンピューターのスリープ状態が自動的に解除され、スケジュールされた更新がインストールされるようにする)
- スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない
- スケジュールされたインストール時の再起動を再確認する
- 自動更新のインストールの予定を変更する
- イントラネットの Microsoft 更新サービスの場所を指定する
- 推奨される更新の自動更新を有効にする
- ソフトウェアの通知を有効にする
GPME では、コンピューターベースの構成の Windows Update ポリシーは、パス <policy-name>>Computer Configuration>Policies>Administrative Templates>Windows Components>Windows Update にあります。
注
これらの設定は、既定では構成されていません。
自動更新を直ちにインストールすることを許可する
この設定を使用すると、Windows サービスを中断したり Windows を再起動したりしない更新プログラムを自動更新で自動的にインストールするかどうかを指定できます。
注
[自動更新を構成する] ポリシー設定が [無効] に設定されている場合、このポリシーによる影響はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | 更新プログラムはすぐにはインストールされません。 ローカル管理者は、ローカル グループ ポリシー エディターを使用してこの設定を変更できます。 |
| 有効 | 自動更新は、ダウンロードしてインストールする準備ができたら、すぐに更新プログラムをインストールします。 |
| 無効 | 更新プログラムはすぐにはインストールされません。 |
オプション: この設定にオプションはありません。
非管理者による更新の通知の受信を許可する
この設定を使用すると、[ 自動更新の構成] ポリシー設定に基づいて、管理者以外のユーザーが更新通知を受け取るかどうかを指定できます。
注
[自動更新を構成する] ポリシー設定が [無効]、または[未構成] の場合、このポリシー設定による影響はありません。
重要
このポリシー設定は既定で有効になっています。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | ユーザーには常に ユーザー アカウント制御 の同意プロンプトが表示され、更新プログラムを管理するには昇格されたアクセス許可が必要です。 ローカル管理者は、ローカル グループ ポリシー エディターを使用してこの設定を変更できます。 Windows Vista では、更新プログラムの非表示、復元、取り消し時にも ユーザー アカウント制御 の同意プロンプトが表示され、更新プログラムを非表示、復元、または取り消すには昇格されたアクセス許可が必要です。 |
| 有効 | Windows Update と Microsoft Update には、どのサインインユーザーが更新通知を受け取ったかを判断する際に管理者以外が含まれます。 管理者以外のユーザーは、通知を受信するすべてのオプション、推奨、および重要な更新コンテンツをインストールできます。 ユーザーは ユーザー アカウント制御 の同意プロンプトを表示しません。 ユーザー インターフェイス、Microsoft ソフトウェア ライセンス条項、または Windows Update の設定の変更を含む更新プログラムを除き、これらの更新プログラムをインストールするために管理者特権のアクセス許可は必要ありません。 Windows 8 以降および Windows RT では、このポリシー設定は無効です。 |
| 無効 | サインインした管理者のみが更新通知を受け取ります。 |
オプション: この設定にオプションはありません。
イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する
この設定を使用して、イントラネットの Microsoft 更新サービスの場所で更新プログラムが見つかった場合に、Microsoft 以外のエンティティによって署名された更新プログラムを自動更新で受け入れるかどうかを指定できます。
注
イントラネットの Microsoft 更新サービス以外のサービスからダウンロードする更新プログラムには、Microsoft による署名が常に必要です。 このポリシー設定は、これらの更新プログラムには影響しません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | イントラネットの Microsoft 更新サービスの場所にある更新プログラムは、Microsoft によって署名されている必要があります。 |
| 有効 | 自動更新は、ローカル コンピューターの信頼された発行元の証明書ストアにある証明書によって署名されている場合、イントラネットの Microsoft 更新サービスの場所を通じて受信した更新プログラムを受け入れます。 |
| 無効 | イントラネットの Microsoft 更新サービスの場所にある更新プログラムは、Microsoft によって署名されている必要があります。 |
オプション: この設定にオプションはありません。
スケジュールされた時刻に常に自動的に再起動する
この設定を使用すると、最初にサインイン画面で少なくとも 2 日間ユーザーに通知するのではなく、Windows Update が重要な更新プログラムをインストールした直後に再起動タイマーを常に開始するかどうかを指定できます。
注
[スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない] ポリシー設定が有効になっている場合は、このポリシーによる影響はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | Windows Update では、コンピューターの再起動動作は変更されません。 |
| 有効 | 再起動タイマーは、ユーザーが最初にサインイン画面に少なくとも 2 日間通知されるのではなく、Windows Update が重要な更新プログラムをインストールした直後に常に開始されます。 再起動のタイマーは、15 ~ 180 分の任意の値から開始するように構成できます。 タイマーが切れると、コンピューターにサインインしているユーザーがいる場合でも再起動が進められます。 |
| 無効 | Windows Update では、コンピューターの再起動動作は変更されません。 |
オプション: この設定を有効にした場合、更新プログラムがインストールされてからコンピューターの再起動が強制的に開始されるまでの経過時間を指定できます。
自動更新の検出頻度
この設定を使用して、利用可能な更新プログラムを確認するまでの待機時間を Windows が決定するために使用する時間を指定できます。 正確な待機時間は、この頻度で指定された時間の 80 ~ 100% です。 たとえば、このポリシーを使用して 20 時間の検出頻度を指定する場合、このポリシーを適用するすべてのクライアントは、更新プログラムを確認する前に 16 ~ 20 時間待機します。
注
- このポリシーを有効にするには、[イントラネットの Microsoft 更新サービスの場所を指定する] 設定を [有効] に設定する必要があります。
- [自動更新を構成する] ポリシー設定が [無効] の場合、このポリシーによる影響はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | Windows では、22 時間の既定の間隔で利用可能な更新プログラムがチェックされます。 |
| 有効 | Windows は、指定された間隔で利用可能な更新プログラムをチェックします。 |
| 無効 | Windows では、22 時間の既定の間隔で利用可能な更新プログラムがチェックされます。 |
オプション: この設定が有効になっている場合、更新プログラムをチェックするまでの Windows Update の待機時間の間隔を時間単位で指定できます。
自動更新を構成する
この設定を使用して、このコンピューターで自動更新を有効にするかどうかを指定できます。
[ コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[エンド ユーザー エクスペリエンスの管理]、[自動更新の構成] で自動更新を構成できます。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | 自動更新の使用は、グループ ポリシー レベルでは指定されていません。 管理者は引き続き、設定アプリを使用して、[設定]>[更新とセキュリティ]>[Windows Update]>[詳細オプション] の順に移動して自動更新を構成できます。 |
| 有効 | Windows は、コンピューターがオンラインであることを認識し、インターネット接続を使用して Windows Update で利用可能な更新プログラムを検索します。 この設定を使用するには、この表の後に表示される 5 つのオプションのいずれかを選択する必要があります。 ローカル管理者は、Windows Update コントロール パネルを使用して、任意の構成オプションを選択できます。 ただし、ローカル管理者が自動更新の構成を [無効] に設定することはできません。 |
| 無効 | ユーザーは>> に移動して、パブリック Windows Update サービスから利用可能なクライアント更新プログラムを手動でダウンロードしてインストールする必要があります。 |
オプション: この設定が有効な場合は、次のいずれかのオプションを選択する必要があります。
| オプション | 動作 |
|---|---|
| 2 - ダウンロードと自動インストールを通知 | コンピューターに適用する更新プログラムが Windows Update で見つかると、ユーザーには、ダウンロードできる更新プログラムがあることが通知されます。 Windows Update を実行して、使用可能なすべての更新プログラムをダウンロードしてインストールできます。 |
| 3 - 自動ダウンロードしインストールを通知 | このオプションが既定の設定です。 Windows Update によって該当する更新プログラムが検出され、バックグラウンドでダウンロードされます。 このプロセス中、ユーザーに通知されることはなく、中断されることもありません。 ダウンロードが完了すると、ユーザーには、更新プログラムをインストールする準備ができたことが通知されます。 その後、Windows Update を実行して、ダウンロードした更新プログラムをインストールできます。 |
| 4 - 自動ダウンロードしインストール日時を指定 | このグループ ポリシー オプションを使用して、インストール スケジュールを指定できます。 スケジュールが指定されていない場合、すべてのインストールに、既定のスケジュール (毎日午前 3 時) が使用されます。 更新プログラムのインストールを完了するために再起動が必要な場合、コンピューターは Windows によって自動的に再起動されます。 Windows の再起動が準備できた時点でユーザーがコンピューターにサインインしている場合は、ユーザーに通知が表示され、後で再起動するためのオプションが表示されます。 Windows 8 以降では、特定の Windows Update スケジュールを使用しないで、自動メンテナンス時にインストールするように更新プログラムを設定できます。 自動メンテナンスでは、コンピューターが使用されていないときに更新プログラムがインストールされます。コンピューターがバッテリで動作している場合は、更新プログラムはインストールされません。 自動メンテナンスで更新プログラムを数日以内にインストールできない場合は、更新プログラムは Windows Update によってすぐにインストールされます。 その後、ユーザーに、再起動の保留中であることが通知されます。 再起動は、偶発的なデータ損失の可能性がない場合にのみ行われます。 |
| 5 - ローカルの管理者の設定選択を許可 | ローカル管理者は、自動更新コントロール パネルを使用して構成オプションを選択できます。 たとえば、ローカル管理者は、スケジュールされたインストール時間を選択できます。 ローカル管理者は自動更新の構成を [無効] に設定することはできません。 |
| 7 - 自動ダウンロード、インストール時に通知、再起動を通知 | このオプションは、Windows Server 2016 以降でのみ使用できます。 ローカル管理者は、Windows Update を使用してインストールを続行したり、手動で再起動したりすることができます。 Windows は、該当する更新プログラムをデバイスにダウンロードし、更新プログラムをインストールする準備ができていることをユーザーに通知します。 更新プログラムがインストールされると、デバイスを再起動するようにユーザーに通知されます。 |
注
Windows Server では、[ 自動更新の構成 ] ポリシー設定オプションが既定でレジストリで 3 に構成されています。 この値は GPO エディターには反映されません。 管理者がオプションを別の設定に構成した場合、新しい設定が有効になります。 [ 自動更新の構成 ] ポリシー設定を [未構成] に設定すると、更新プログラムを自動的にダウンロードしてインストールする動作になります。
スケジュールされたインストールの再起動を遅らせる
この設定を使用して、スケジュールされた再起動を続行する前に自動更新を待機する時間の長さを指定できます。
注
このポリシーは、スケジュールされた更新プログラムのインストールを行うように自動更新を構成している場合にのみ適用されます。 [自動更新を構成する] ポリシー設定が [無効] の場合、このポリシーによる影響はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | 更新プログラムがインストールされると、スケジュールされた再起動が行われる前に、既定の待機時間 15 分が経過します。 |
| 有効 | インストールが完了すると、指定した分数の有効期限が切れると、スケジュールされた再起動が発生します。 |
| 無効 | 更新プログラムがインストールされると、スケジュールされた再起動が行われる前に、既定の待機時間 15 分が経過します。 |
オプション: この設定を有効にすると、スケジュールされた再起動を続行するまでの自動更新の待機時間を分単位で指定できます。
[Windows シャットダウン] ダイアログ ボックスの既定のオプションを [更新をインストールしてシャットダウン] に調整しない
この設定を使用して、[Windows のシャットダウン] ダイアログで既定の選択肢として [更新プログラムとシャットダウンのインストール] オプションを許可するかどうかを指定できます。
注
このポリシー設定は、<policy-name>>コンピューターの構成>ポリシー>管理用テンプレート>Windows コンポーネント>Windows Update>[Windows のシャットダウン] ダイアログ ボックスで「更新プログラムをインストールしてシャットダウン」を表示しないポリシー設定が有効の場合は効果がありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | ユーザー が [シャットダウン] オプションを選択してコンピューターを シャットダウン した時点で更新プログラムをインストールできる場合は、[更新プログラムのインストールとシャットダウン] が [Windows のシャットダウン] ダイアログの 既定のオプション です。 |
| 有効 | ユーザーが最後に選択したシャットダウンは、[ Windows のシャットダウン ] ダイアログの既定のオプションです。 シャットダウンの選択肢の例として、 休止状態 と 再起動があります。 この動作は、[コンピューターの操作] のダイアログで [更新プログラムとシャットダウンのインストール] オプションを使用できるかどうかに関係なく発生します。 |
| 無効 | ユーザー が [シャットダウン] オプションを選択してコンピューターを シャットダウン した時点で更新プログラムをインストールできる場合は、[更新プログラムのインストールとシャットダウン] が [Windows のシャットダウン] ダイアログの 既定のオプション です。 |
オプション: この設定にオプションはありません。
インターネット上の Windows Update に接続しない
この設定を使用して、Windows がパブリック更新サービスに接続しなくなったことを指定できます。 イントラネットの更新サービスから更新プログラムを受信するように Windows Update が構成されている場合でも、パブリック Windows Update サービスから定期的に情報が取得されます。 この情報によって、Windows Update やその他のサービス (Microsoft Update や Microsoft Store など) に今後接続できるようになります。
注
このポリシーは、[イントラネットの Microsoft 更新サービスの場所を指定する] ポリシー設定を使用してイントラネットの更新サービスに接続するようにコンピューターが構成されているときにのみ適用されます。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | コンピューターは、Windows Update や Microsoft Store などのパブリック更新サービスから情報を取得できます。 |
| 有効 | Windows は、Windows Update や Microsoft Store などのパブリック更新サービスに接続しなくなりました。 この設定により、Microsoft Store アプリのほとんどの機能が動作しなくなります。 設定アプリまたはコントロール パネルを使用して更新プログラムを検索するユーザーには、イントラネットの更新サービスからのみ更新プログラムが表示されます。 [ Windows Update からの更新プログラムをオンラインで確認 する] オプションは表示されません。 Windows Update エージェント API を使用するプログラムは、イントラネット更新サービス以外のサービスからの更新プログラムを検索できません。 |
| 無効 | コンピューターは、パブリック更新サービスから情報を取得できます。 |
オプション: この設定にオプションはありません。
[Windows シャットダウン] ダイアログ ボックスで [更新をインストールしてシャットダウン] オプションを表示しない
この設定を使用すると、[Windows のシャットダウン] ダイアログに [更新プログラムとシャットダウンのインストール] オプションを表示するかどうかを指定できます。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | [更新プログラムのインストールとシャットダウン] オプションは、ユーザーが [シャットダウン] オプションを選択してコンピューターをシャットダウンしたときに更新プログラムが利用可能な場合、[Windows のシャットダウン] ダイアログ で使用できます。 ローカル管理者は、ローカル ポリシーを使用してこの設定を変更できます。 |
| 有効 | ユーザーが [シャットダウン] オプションを選択してコンピューターをシャットダウンした場合でも、更新プログラムのインストールとシャットダウンは 、[Windows のシャットダウン] ダイアログボックスに選択肢として表示されません。 |
| 無効 | [ 更新プログラムのインストールとシャットダウン ] オプションは、ユーザーが [シャットダウン] オプションを選択してコンピューターをシャットダウンしたときに更新プログラムをインストールできる場合、[ Windows のシャットダウン] ダイアログの 既定のオプション です。 |
オプション: この設定にオプションはありません。
クライアント側のターゲットを有効にする
この設定を使用すると、WSUS から更新プログラムを受信する WSUS コンソールで構成されているターゲット グループ名または名前を指定できます。
注
このポリシーは、WSUS で指定したターゲット グループ名をサポートするようにこのコンピューターが構成されている場合にのみ適用されます。 ターゲット グループ名が WSUS に存在しない場合、作成されるまで無視されます。 [イントラネットの Microsoft 更新サービスの場所を指定する] ポリシー設定が無効になっているか構成されていない場合、このポリシーによる影響はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | ターゲット グループ情報は WSUS に送信されません。 ローカル管理者は、ローカル ポリシーを使用してこの設定を変更できます。 |
| 有効 | 指定したターゲット グループ情報が WSUS に送信されます。この情報を使用して、このコンピューターに展開する更新プログラムを決定します。 WSUS で複数のターゲット グループがサポートされている場合は、WSUS のコンピューター グループの一覧にターゲット グループ名を追加する場合、このポリシーを使用して複数のグループ名をセミコロンで区切って指定できます。 サポートされていない場合は、指定できるグループは 1 つだけです。 |
| 無効 | ターゲット グループ情報は WSUS に送信されません。 |
オプション: このスペースを使用して、1 つ以上のターゲット グループ名を指定します。
Windows Update Power Management を有効にしてコンピューターを自動的にウェイク アップして、スケジュールされた更新プログラムをインストールする
この設定を使用すると、更新プログラムのインストールがスケジュールされている場合に、Windows Update で Windows Power Management 機能または電源オプション機能を使用して、コンピューターを休止状態から自動的に起動するかどうかを指定できます。
更新プログラムを自動的にインストールするように Windows Update が構成されている場合にのみ、コンピューターが自動的に起動します。 スケジュールされたインストール時間が発生したときにコンピューターが休止状態にあり、更新プログラムが適用される場合、Windows Update は Windows Power Management または電源オプション機能を使用して、コンピューターを自動的に起動して更新プログラムをインストールします。 また、Windows Update はコンピューターを起動し、インストール期限が発生した場合に更新プログラムをインストールします。
インストールする更新プログラムがない限り、コンピューターは起動しません。 コンピューターのバッテリ電源がオンの場合、Windows Update が起動しても更新プログラムはインストールされません。 コンピューターは 2 分後に自動的に休止状態に戻ります。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | Windows Update は、更新プログラムをインストールするために休止状態からコンピューターを起動しません。 ローカル管理者は、ローカル ポリシーを使用してこの設定を変更できます。 |
| 有効 | Windows Update は、コンピューターを休止状態から復帰し、前述の条件に基づき更新プログラムをインストールします。 |
| 無効 | Windows Update は、更新プログラムをインストールするために休止状態からコンピューターを起動しません。 |
オプション: この設定にオプションはありません。
スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない
この設定を使用すると、スケジュールされたインストールを完了するために、コンピューターが自動的に再起動されるのではなく、サインインしているユーザーがコンピューターを再起動するまで自動更新が待機するように指定できます。
注
このポリシーは、スケジュールされた更新プログラムのインストールを行うように自動更新を構成している場合にのみ適用されます。 [自動更新を構成する] ポリシー設定が [無効] の場合、このポリシーによる影響はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | 自動更新により、コンピューターの再起動が 5 分後に自動的にユーザーに通知され、インストールが完了します。 |
| 有効 | ユーザーがコンピューターにサインインしている場合、スケジュールされたインストール中に自動更新によってコンピューターが自動的に再起動されることはありません。 代わりに、コンピューターが再起動されるまで更新プログラムを有効にできない場合は、自動更新によってユーザーにコンピューターの再起動が通知されます。 |
| 無効 | 自動更新により、コンピューターの再起動が 5 分後に自動的にユーザーに通知され、インストールが完了します。 |
オプション: この設定にオプションはありません。
スケジュールされたインストール時の再起動を再確認する
この設定を使用すると、スケジュールされた再起動で再びプロンプトが表示されるまでに自動更新が待機する時間を指定できます。
重要
このポリシーは、スケジュールされた更新プログラムのインストールを行うように自動更新を構成している場合にのみ適用されます。 [自動更新を構成する] ポリシー設定が [無効] の場合、このポリシーによる影響はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | スケジュールされた再起動は、再起動メッセージのプロンプトが閉じられてから 10 分後に実行されます。 ローカル管理者は、ローカル ポリシーを使用してこの設定を変更できます。 |
| 有効 | 再起動のプロンプトが延期されると、指定した分数が経過すると、スケジュールされた再起動が発生します。 |
| 無効 | スケジュールされた再起動は、再起動メッセージのプロンプトが閉じられてから 10 分後に実行されます。 |
オプション:: この設定を有効にすると、スケジュールされた再起動についてユーザーに再度プロンプトが表示されるまでの経過時間を分単位で指定できます。
自動更新のインストールの予定を変更する
この設定を使用すると、コンピューターの起動後に自動更新が一定時間待機し、以前のスケジュールにあったが見逃されたインストールをどのタイミングで続行するかを指定できます。
注
このポリシーは、スケジュールされた更新プログラムのインストールを行うように自動更新を構成している場合にのみ適用されます。 [自動更新を構成する] ポリシー設定が [無効] の場合、このポリシーによる影響はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | スケジュールされていないインストールは、次にコンピューターが起動した 1 分後に発生します。 |
| 有効 | スケジュールされていないインストールは、コンピューターが次に起動されてから指定した分数だけ実行されます。 |
| 無効 | 予定されていたが実行されなかったインストールは、次回の予定されたインストールとともに行われます。 |
オプション: このポリシー設定を有効にすると、コンピューターが次に起動してから、スケジュールされていないインストールが発生するまで待機する時間 (分) を指定できます。
イントラネットの Microsoft 更新サービスの場所を指定する
この設定を使用して、Microsoft Update からの更新プログラムをホストするイントラネット サーバーを指定できます。 サーバーを指定すると、WSUS を使用してネットワーク上のコンピューターを自動的に更新できます。
この設定を使用して、内部更新サービスとして機能するネットワーク上の WSUS サーバーを指定できます。 WSUS クライアントでは、インターネット上のパブリック Windows Update サービスや Microsoft Update サービスを使用する代わりに、このサービスで、適用される更新プログラムを検索します。 この設定を有効にすると、組織内のユーザーはファイアウォール経由で更新プログラムを取得する必要がなくなります。 また、管理者は更新プログラムをデプロイする前にテストできるようになります。
この設定を使用するには、2 つのサーバー名の値を設定する必要があります。それらのサーバーは、クライアントが更新プログラムを検出してダウンロードするためのサーバー、および更新が完了したワークステーションが統計情報をアップロードするためのサーバーです。 両方のサービスが同じサーバー上で構成されている場合、異なる値にする必要はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | クライアントは Windows Update Web サイトに直接接続します。 |
| 有効 | クライアントは、Windows Update ではなく、指定された WSUS サーバーに接続して、更新プログラムを検索してダウンロードします。 ポリシーまたはユーザー設定によって自動更新が無効になっていない場合、自動更新では、Windows Update ではなく、指定された WSUS サーバーから更新プログラムを検索、ダウンロード、インストールします。 Windows Update の [設定]ページ (または以前のバージョンの Windows の Windows Update コントロール パネル ページ) のユーザーには通常、Windows Update からではなく、指定された WSUS サーバーからの更新プログラムが表示されます。 ユーザーには、インターネット上のパブリック更新サービスを使用する方法を提供する [Windows Update からの更新 プログラムをオンラインで確認する] オプションも表示されます。 このオプションを削除するには、[ Windows Update インターネットの場所に接続しない ] ポリシー設定を使用します。 Windows Update エージェント API を使用して更新プログラムを検索、ダウンロード、インストールするアプリケーションは、通常、指定された WSUS サーバーに対して動作します。 アプリケーションは、インターネットでのパブリック更新サービスの使用を特別に要求できます。 このオプションを削除するには、[ Windows Update インターネットの場所に接続しない ] ポリシー設定を使用します。 |
| 無効 | クライアントは Windows Update Web サイトに直接接続します。 |
オプション: このポリシー設定を有効する場合、WSUS クライアントで更新を検出するときに使用されるイントラネット更新サービスと、更新された WSUS クライアントが統計をアップロードするインターネット統計サーバーを指定する必要があります。 次の表に、値の例を示します。
| 設定オプション | 値の例 |
|---|---|
| 更新を検出するためのイントラネットの更新サービスを設定する | https://wsus01:8531 |
| イントラネット統計サーバーの設定 | https://IntranetUpd01 |
推奨される更新の自動更新を有効にする
この設定を使用して、自動更新が WSUS から重要で推奨される更新プログラムを提供するかどうかを指定できます。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | 自動更新が既に構成されている場合、重要な更新プログラムは引き続き配信されます。 |
| 有効 | 自動更新では、WSUS から推奨される更新プログラムと重要な更新プログラムがインストールされます。 |
| 無効 | 自動更新が既に構成されている場合、重要な更新プログラムは引き続き配信されます。 |
オプション: この設定にオプションはありません。
ソフトウェアの通知を有効にする
この設定を使用して、Microsoft Update サービスから注目のソフトウェアに関する詳細な拡張通知メッセージをユーザーに表示するかどうかを指定できます。 拡張通知メッセージによってこの値が送られると、オプションのソフトウェアをインストールして使用するように促されます。 このポリシー設定は、ユーザーが Microsoft Update サービスにアクセスできる、管理が厳密でない環境向けです。
Microsoft Update サービスを使用しない場合、[ソフトウェアの通知] ポリシー設定による影響はありません。
[自動更新を構成する] ポリシー設定が [無効] または[未構成] の場合、[ソフトウェアの通知] ポリシー設定による影響はありません。
注
既定では、このポリシー設定は無効になっています。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | ユーザーには、オプションのアプリケーションのメッセージは提供されません。 ローカル管理者は、コントロール パネルまたはローカル ポリシーを使用してこの設定を変更できます。 |
| 有効 | おすすめのソフトウェアが利用可能になると、ユーザーのコンピューターに通知メッセージが表示されます。 ユーザーは、この通知を選択して Windows Update を開くことができ、ソフトウェアに関する詳細情報を取得したり、ソフトウェアをインストールしたりできます。 また、[このメッセージを閉じる] または [後で表示する] を選択すると、必要に応じて通知の表示を保留できます。 |
| 無効 | ユーザーは、オプションのアプリケーションや更新プログラムの詳細な通知メッセージを提供されません。 |
オプション: この設定にオプションはありません。
[コンピューターの構成] > [メンテナンス スケジューラ] 設定
[ 自動更新の構成 ] 設定で、[ 4 - 自動ダウンロードとインストールのスケジュール 設定] オプションを選択した場合は、グループ ポリシー管理コンソール (GPMC) でメンテナンス スケジューラの設定を指定できます。 [自動更新の構成] 設定でオプション 4 を選択しない場合は、自動更新用にこれらの設定を構成する必要はありません。
メンテナンス スケジューラの設定は、パス [コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[メンテナンス スケジューラ] にあります。 グループ ポリシーのメンテナンス スケジューラ拡張機能には、次の設定が含まれています。
自動メンテナンス アクティブ化境界
この設定を使用して、自動メンテナンス アクティブ化境界を構成できます。
アクティブ化の境界は、自動メンテナンスが開始される 1 日のスケジュールされた時刻です。
注
この設定は、[自動更新を構成する] のオプション [4] に関連しています。 [ 自動更新の構成] でオプション 4 を選択しない場合は、この設定を構成する必要はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | スケジュールされた毎日の時刻は、[ 自動メンテナンス ] ページのコントロール パネルのクライアント コンピューターで指定されます。 |
| 有効 | [ 自動メンテナンス ] ページ (または一部のクライアント バージョンでは [メンテナンス ] ページ) のコントロール パネルのクライアント コンピューターで構成されている既定または変更された設定はすべてオーバーライドされます。 |
| 無効 | 毎日スケジュールされた時刻は、コントロールパネルの[ 自動メンテナンス ] ページで指定された時刻が使用されます。 |
自動メンテナンス ランダム遅延
この設定を使用して、メンテナンスの自動アクティブ化のランダムな遅延を構成できます。
メンテナンスランダム遅延は、自動メンテナンスに適用される遅延の最大長であり、アクティブ化境界から開始されます。 この設定は、パフォーマンス上の要件からメンテナンスをランダムに開始する必要がある仮想マシンで有用です。
注
この設定は、[自動更新を構成する] のオプション [4] に関連しています。 [自動更新の構成] でオプション 4 を選択しない場合は、この設定を構成する必要はありません。
既定では、この設定を有効にすると、定期メンテナンス ランダム遅延は [PT4H] です。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | 自動メンテナンスには、4 時間のランダム遅延が適用されます。 |
| 有効 | 指定した時間まで続くランダムな遅延が、自動メンテナンスに適用されます。 |
| 無効 | 自動メンテナンスにはランダムな遅延は適用されません。 |
自動スリープ解除ポリシー
この設定を使用して、自動メンテナンス用のウェイクアップ ポリシーを構成できます。
ウェイクアップ ポリシーは、自動メンテナンスが、毎日のスケジュールされたメンテナンスのためにオペレーティング コンピューターにウェイクアップ要求を行うかどうかを指定します。
注
オペレーティング コンピューターの電源スリープ解除ポリシーが明示的に無効にされている場合、この設定も無効になります。 この設定は、[自動更新を構成する] のオプション [4] に関連しています。 [自動更新の構成] でオプション 4 を選択しない場合は、この設定を構成する必要はありません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | ウェイクアップ設定は、コントロールパネルの[自動メンテナンス]ページで指定されたものが適用されます。 |
| 有効 | 自動メンテナンスでは、オペレーティング システムのウェイクアップ ポリシーを設定し、必要に応じて毎日のスケジュールされた時刻に対してウェイクアップ要求を行います。 |
| 無効 | ウェイクアップ設定は、コントロールパネルの[自動メンテナンス]ページで指定されたものが適用されます。 |
[ユーザーの構成] > [Windows Update] ポリシー設定
ここでは、次のユーザーベースのポリシー設定について詳しく説明します。
- [Windows のシャットダウン] ダイアログ ボックスに [更新プログラムのインストールとシャットダウン] オプションを表示しない
- [Windows のシャットダウン] ダイアログ ボックスで既定のオプションを [更新プログラムのインストールとシャットダウン] に調整しない
- Windows Update のすべての機能へのアクセスを削除する
GPME では、コンピューターの自動更新のユーザー設定は、パス <policy-name>>User Configuration>Policies>Administrative Templates>Windows コンポーネント>Windows Update にあります。 これらの設定は、[Windows Update] ポリシーの [設定] タブが選択されて設定がアルファベット順に並べ替えられている場合、グループ ポリシーの [コンピューターの構成] および [ユーザーの構成] 拡張機能の表示と同じ順序で一覧表示されます。
注
既定では、特に明記されていない限り、これらの設定は構成されていません。
これらの設定ごとに、次の手順を使用して、設定を有効または無効にしたり、設定間を移動したりすることができます。
[Windows シャットダウン] ダイアログ ボックスで [更新をインストールしてシャットダウン] オプションを表示しない
この設定を使用すると、[Windows のシャットダウン] ダイアログに [更新プログラムとシャットダウンのインストール] オプションを表示するかどうかを指定できます。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | [更新プログラムのインストールとシャットダウン] オプションは、ユーザーが [シャットダウン] オプションを選択してコンピューターをシャットダウンしたときに更新プログラムが使用可能な場合、[Windows のシャットダウン] ダイアログボックスに表示されます。 |
| 有効 | ユーザーが [シャットダウン] オプションを選択してコンピューターをシャットダウンした場合でも、更新プログラムのインストールとシャットダウンは 、[Windows のシャットダウン] ダイアログボックスに選択肢として表示されません。 |
| 無効 | [更新プログラムのインストールとシャットダウン] オプションは、ユーザーが [シャットダウン] オプションを選択してコンピューターをシャットダウンしたときに更新プログラムが使用可能な場合、[Windows のシャットダウン] ダイアログボックスに表示されます。 |
オプション: この設定にオプションはありません。
[Windows シャットダウン] ダイアログ ボックスの既定のオプションを [更新をインストールしてシャットダウン] に調整しない
この設定を使用して、[Windows のシャットダウン] ダイアログで既定の選択肢として [更新プログラムとシャットダウンのインストール] オプションを許可するかどうかを指定できます。
注
このポリシー設定は、<policy-name>>User Configuration>Policies>Administrative Templates>Windows コンポーネント>Windows Update>[Windows のシャットダウン] ダイアログボックスに [更新プログラムのインストールとシャットダウン] オプションを表示しない場合は無効です。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | [ 更新プログラムのインストールとシャットダウン ] オプションは、ユーザーが [シャットダウン] オプションを選択してコンピューターをシャットダウンしたときに更新プログラムをインストールできる場合、[ Windows のシャットダウン] ダイアログの 既定のオプション です。 |
| 有効 | ユーザーが最後に選択したシャットダウンは、[ Windows のシャットダウン ] ダイアログの既定のオプションです。 シャットダウンの選択肢の例として、 休止状態 と 再起動があります。 この動作は、[コンピューターの操作] のダイアログで [更新プログラムとシャットダウンのインストール] オプションを使用できるかどうかに関係なく発生します。 |
| 無効 | [ 更新プログラムのインストールとシャットダウン ] オプションは、ユーザーが [シャットダウン] オプションを選択してコンピューターをシャットダウンしたときに更新プログラムをインストールできる場合、[ Windows のシャットダウン] ダイアログの 既定のオプション です。 |
オプション: この設定にオプションはありません。
Windows Update のすべての機能へのアクセスを削除する
この設定を使用して、Windows Update への WSUS クライアント アクセスを削除できます。
注
この設定は、Windows 10 以降のバージョンおよび Windows Server 2016 以降のバージョンではサポートされていません。
| ポリシー設定の状態 | 動作 |
|---|---|
| 未構成 | ユーザーは Windows Update Web サイトに接続できます。 |
| 有効 | Windows Update のすべての機能が削除されます。 Windows Update Web サイトへのアクセスがブロックされます。 Windows 自動更新も無効になります。 ユーザーは重要な更新プログラムについて通知されず、Windows Update から重要な更新プログラムを受け取りません。 この表の後に表示される通知オプションのいずれかを構成できます。 デバイス マネージャーで Windows Update Web サイトからドライバーの更新プログラムを自動的にインストールすることもしません。 |
| 無効 | ユーザーは Windows Update Web サイトに接続できます。 |
オプション: この設定が有効になっている場合は、次のいずれかのオプションを選択できます。
| オプション | 動作 |
|---|---|
| 0 - 通知を表示しない | Windows Update の機能へのアクセスはすべて削除され、通知は表示されません。 |
| 1 - 再起動が必要であることを示す通知を表示する | インストールを完了するために必要な再起動に関する通知が表示されます。 |
補足情報
このセクションでは、グループ ポリシーで WSUS 設定を使用、開く、保存する方法について詳しく説明します。 このセクションでは、この記事で使用される用語の定義についても説明します。 WSUS の過去のバージョン (WSUS 3.2 以前のバージョン) をよく理解している管理者のために、WSUS のバージョン間の違いをまとめた表があります。
グループ ポリシーの Windows Update 設定にアクセスする
次の手順では、グループ ポリシー オブジェクト (GPO) とその他のグループ ポリシー設定を操作する方法について説明します。
注
この手順を実行するには、Domain Admins グループ (または同等のグループ) のメンバーである必要があります。
グループ ポリシー オブジェクトを作成する
ドメイン コントローラーで、[サーバー マネージャー]>[ツール]>[グループ ポリシーの管理] に移動します。 GPMC が開きます。
サイド ウィンドウで、フォレストを展開します。 たとえば、[ フォレスト: example.com] をダブルクリックします。
サイド ウィンドウで[ ドメイン]をダブルクリックし、グループ ポリシー オブジェクトを管理するドメインをダブルクリックします。 たとえば、 [example.com] をダブルクリックします。
次のいずれかのステップを使用します。
既存のドメインレベルの GPO を編集対象として開くには
- 管理するグループ ポリシー オブジェクトが含まれているドメインをダブルクリックします。
- 管理するドメイン ポリシーを右クリックし、[編集] を選択 します。 GPME が開きます。
新しいグループ ポリシー オブジェクトを作成して編集対象として開くには
- 新しいグループ ポリシー オブジェクトを作成するドメインを右クリックし、[ このドメインに GPO を作成する] を選択し、ここにリンクします。
- [ 新しい GPO ] ダイアログボックスの [ 名前] で、新しいグループ ポリシー オブジェクトの名前を入力し、[ OK] を選択します。
- 新しいグループ ポリシー オブジェクトを右クリックし、[編集] を選択 します。 GPME が開きます。
グループ ポリシーの Windows Update またはメンテナンス スケジューラの拡張機能を開くには
GPME で、次のいずれかの手順を実行します。
[コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Update] の順に展開します。
[ユーザーの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Update] の順に展開します。
[コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[メンテナンス スケジューラ] の順に展開します。
グループ ポリシーの詳細については、「グループ ポリシーの概要」を参照してください。
グループ ポリシー設定を構成する方法
目的のグループ ポリシーの拡張機能を開いた後、次の手順を使用して、設定を有効、無効、または移動できます。
表示または変更する設定をダブルクリックします。
次のいずれかのステップを使用します。
- 設定の既定の未指定の状態を保持するには、[ 未構成] を選択します。
- 設定を有効にするには、[ 有効] を選択します。
- この設定を無効にするには、[ 無効] を選択します。
[オプション] にいずれかのオプションが表示されている場合は、既定値のままにするか、必要に応じて変更します。
次のいずれかのステップを使用します。
- 変更を保存して次の設定に進むには、[ 適用] を選択し、[ 次の設定] を選択します。
- 変更を保存してダイアログを閉じるには、[ OK] を選択します。
- 保存されていない変更をすべて破棄してダイアログを閉じるには、[ キャンセル] を選択します。
用語と定義
この記事では、次の用語を使用します。
| 任期 | 定義 |
|---|---|
| 自動更新または自動更新 | Windows Update エージェントによる更新プログラムの自動スケジュール設定とダウンロード。 自動更新は、Microsoft Update または Windows Update から更新プログラムを取得するために Windows および Windows Server オペレーティング システムに組み込まれているクライアント コンピューター コンポーネントです。 |
| 自律サーバー | 管理者が WSUS コンポーネントを管理できるダウンストリーム WSUS サーバーです。 |
| ダウンストリーム サーバー | Microsoft Update や Windows Update ではなく別の WSUS サーバーから更新を取得する WSUS サーバーです。 |
| グループ ポリシー拡張機能 (またはグループ ポリシーの拡張機能) | グループ ポリシーの設定のコレクション。ポリシーを適用するユーザーとコンピューターがさまざまな Windows サービスと機能を構成および使用する方法を制御します。 管理者は、WSUS をグループ ポリシーと共に使用して、自動更新クライアントのクライアント側の構成を行うことができるため、ユーザーは、企業の更新ポリシーを無効にしたり、回避したりできなくなります。 WSUS では、Active Directory またはグループ ポリシーを使用する必要はありません。 クライアントの構成は、ローカル グループ ポリシーを使用するか、Windows レジストリを変更することによっても適用できます。 |
| 内部更新サービス | 1 つ以上の WSUS サーバーを使用して更新を配布するネットワーク インフラストラクチャを示す一般的用法です。 |
| レプリカ サーバー | 接続先のアップストリーム サーバーで承認と設定をミラーリングするダウンストリーム WSUS サーバーです。 レプリカ サーバーで WSUS を管理することはできません。 |
| Microsoft Update | Windows コンピューター、デバイス ドライバー、Windows オペレーティング システム、およびその他の Microsoft ソフトウェア製品の更新プログラムを格納および配布する Microsoft インターネット サイト。 |
| ソフトウェア更新サービス (SUS) | WSUS の先行製品です。 |
| 最新情報 | 機能を拡張したり、パフォーマンスとセキュリティを向上させたりするためにコンピューターにインストールできるソフトウェア リビジョン、ホットフィックス、サービス パック、機能パック、およびデバイス ドライバーのコレクション。 |
| ファイルの更新 | 更新をコンピューターにインストールするために必要なファイルです。 |
| 情報の更新またはメタデータの更新 | 更新に関する情報であり、更新パッケージのバイナリ ファイルとは異なります。 たとえば、メタデータは更新プログラムのプロパティに関する情報を提供するため、更新プログラムが何に役立つのかを確認できます。 メタデータには、Microsoft ソフトウェアライセンス条項も含まれます。 更新プログラムのためにダウンロードされたメタデータ パッケージは、更新ファイル パッケージよりもかなり小さくなっています。 |
| ソースを更新 | WSUS サーバーが同期して更新ファイルを取得する場所。 この場所には、Microsoft Update またはアップストリーム WSUS サーバーを指定できます。 |
| アップストリーム サーバー | 別のダウンストリーム WSUS サーバーに更新ファイルを提供する WSUS サーバー。 |
| Windows Server Update Services (WSUS) | 企業ネットワーク上の 1 台以上の Windows Server コンピューターで実行されるサーバーの役割プログラムです。 WSUS インフラストラクチャは、ネットワーク上のコンピューターがインストールする更新プログラムを管理する方法を提供します。 WSUS を使用して、リリース前に更新を承認または拒否したり、特定の日付までに更新を強制的にインストールしたり、ネットワーク上の各コンピューターに必要な更新に関する詳細なレポートを取得したりすることができます。 特定のクラスの更新プログラム (重要な更新プログラム、セキュリティ更新プログラム、サービス パック、ドライバーなど) を自動的に承認するように WSUS を構成できます。 WSUS を使用して検出のみの更新プログラムを承認することもできます。そのため、更新プログラムをインストールしなくても、特定の更新プログラムが必要なコンピューターを確認できます。 WSUS 実装では、利用可能な更新を入手するために、ネットワーク内にある WSUS サーバーのうち少なくとも 1 台を Microsoft Update に接続する必要があります。 管理者は、ネットワークのセキュリティと構成に基づいて、他に何台のサーバーを Microsoft Update に直接接続するかを決定できます。 Microsoft Update、Windows Update、または Microsoft Store からインターネット経由で更新プログラムを取得するように WSUS サーバーを構成できます。 |
| Windows Update(ウィンドウズの更新機能) | Windows コンピューター、デバイス ドライバー、Windows オペレーティング システムの更新プログラムを格納および配布する Microsoft インターネット サイト。 また、Windows Update は、Windows コンピューター上で実行され、更新プログラムを検出、ダウンロード、およびインストールするサービスの名前でもあります。 コンピューターとポリシーの構成に応じて、Windows Update エージェントは次の場所から更新をダウンロードできます。 - Microsoft Update。 - Windows Update。 - Microsoft Store。 - インターネット (ネットワーク) 更新サービス (WSUS)。 WSUS ベースの環境で管理されていないコンピューターは、通常、Windows Update を使用してインターネット経由で Windows Update、Microsoft Update、または Microsoft Store に直接接続し、更新プログラムを取得します。 |
| WSUS クライアント | WSUS イントラネット更新サービスから更新を受信するコンピューターです。 グループ ポリシー設定が自動更新のユーザー操作を制御する場合、WSUS クライアントは WSUS 環境のコンピューターのユーザーです。 |