その他の Windows Update 設定の管理

ユーザー向けの情報を探している場合、 「Windows Update: FAQ」をご覧ください。

グループ ポリシー設定またはモバイル デバイス管理 (MDM) を使用して、Windows 10 デバイスでの Windows Update の動作を構成できます。 更新プログラムの検出頻度の構成、更新プログラムを受信するタイミング、更新サービスの場所の指定などを行うことができます。

Windows Update の設定の概要

更新プログラムのスキャン

管理者は、デバイスで更新プログラムをスキャンおよび受信する方法を柔軟に構成できます。

[イントラネットの Microsoft 更新サービスの場所を指定する] を利用すると、管理者は、内部の Microsoft 更新サービスの場所を参照するようにデバイスに対して指示することができます。また、[インターネット上の Windows Update に接続しない] オプションを利用すると、デバイスが内部更新サービスのみを参照するように制限できます。 [自動更新の検出頻度] は、デバイスが更新プログラムをスキャンする頻度を制御します。

クライアント側のターゲット設定を有効にするを使用して、Microsoft の内部更新サービスと連携するカスタム デバイス グループを作成できます。 また、イントラネットの Microsoft 更新サービスの場所から署名された更新プログラムを許可するを通じて、Microsoft の内部更新サービスから Microsoft によって 署名されていない更新プログラムをデバイスが受け取るようにすることもできます。

最後に、更新エクスペリエンスが完全に管理されていることを確認するには、アクセス権を 削除して、ユーザーのすべての Windows Update 機能を使用 できます。

機能更新プログラムと品質更新プログラムを受信するタイミングを構成するその他の設定については、「 Windows Update for Business の構成」を参照してください。

イントラネットの Microsoft 更新サービスの場所を指定する

Microsoft Update からの更新プログラムをホストするイントラネット サーバーを指定します。 この更新サービスを使用して、ネットワーク上のコンピューターを自動的に更新できます。 この設定を使うと、内部の更新サービスとして機能する、ネットワーク上のサーバーを指定できます。 自動更新クライアントは、ネットワーク上のコンピューターに適用される更新プログラムをこのサービスで検索します。

グループ ポリシーでこの設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの場所を指定する] の順に移動します。 次の 2 つのサーバー名の値を設定する必要があります。

• 自動更新クライアントが更新プログラムを検出してダウンロードするサーバー
• 更新されたワークステーションが統計をアップロードするサーバー両方の値を同じサーバーに設定できます。 オプションのサーバー名を指定して、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーから更新プログラムをダウンロードするように構成することができます。

この設定が [有効] と指定されている場合、自動更新クライアントは Windows Update ではなく、指定されたイントラネットの Microsoft 更新サービス (または代替ダウンロード サーバー) に接続し、更新プログラムの検索およびダウンロードを実行します。 この設定を有効にすると、組織内のエンド ユーザーはファイアウォール経由で更新プログラムを入手する必要がなくなります。また、管理者は更新プログラムを展開した後でテストできるようになります。 設定が [無効] または [未構成] に設定されていて、ポリシーまたはユーザー設定によって自動更新が無効になっていない場合、自動更新クライアントはインターネット上の Windows Update サイトに直接接続します。

代替ダウンロード サーバーを利用すると、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーからファイルをダウンロードするように構成することができます。 URL が見つからないファイルをダウンロードするオプションを使用すると、更新メタデータにファイルのダウンロード URL がない場合に、代替ダウンロード サーバーからコンテンツをダウンロードできます。 このオプションは、イントラネット更新サービスが代替ダウンロード サーバーに存在するファイルの更新メタデータにダウンロード URL を提供しない場合にのみ使用する必要があります。

このポリシーを MDM で構成するには、UpdateServiceUrl と UpdateServiceUrlAlternate を使用します。

自動更新の検出頻度

利用可能な更新プログラムを確認するまでの待機時間を Windows で判別するための時間数を指定します。 正確な待機時間は、ここで指定した時間から 0 ～ 20% の時間を差し引いた時間になります。 たとえば、このポリシーで検出頻度が 20 時間に指定されている場合、このポリシーが適用されるすべてのクライアントでは 16 ～ 20 時間の間で更新が確認されます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[自動更新の検出頻度] の順に移動します。

設定が [有効] に設定されている場合、Windows は指定された間隔で利用可能な更新プログラムを確認します。 設定が [無効] または [未構成] に設定されている場合、Windows は既定の 22 時間間隔で利用可能な更新プログラムをチェックします。

このポリシーを MDM で構成するには、DetectionFrequency を使用します。

Windows Update のすべての機能へのアクセスを削除する

管理者は、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows update]、[Windows Update のすべての機能へのアクセスを削除する] の下でグループ ポリシー設定を有効にして、ユーザーの [更新プログラムの確認] をオフにすることができます。 バックグラウンド更新プログラムのスキャン、ダウンロード、インストールは、構成どおりに引き続き機能します。

インターネット上の Windows Update に接続しない

Windows Update は、イントラネットの更新サービスから更新プログラムを受信するように構成されている場合でも、Windows Update やその他のサービス (Microsoft Update、Microsoft Store、ビジネス向け Microsoft Store など) に将来接続できるように、公開されている Windows Update サービスから情報を定期的に取得しています。

このポリシーを有効にするには、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[インターネット上の Windows Update に接続しない] の順に移動します。 このポリシーが有効になっている場合、上で説明した機能が無効になります。また、公開されているサービス (Microsoft Store、ビジネス向け Microsoft Store、Windows Update For Business、配信の最適化など) への接続が停止することがあります。

クライアント側のターゲットを有効にする

イントラネットの Microsoft 更新サービスから更新プログラムを受信するために使用されるターゲットのグループ名を指定します。 これにより、管理者は WSUS や Configuration Manager などのソースから異なる更新プログラムを受け取るデバイス グループを構成できます。

このグループ ポリシー設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[クライアント側のターゲットを有効にする] の順に移動します。 設定が [有効] に設定されている場合、指定したターゲット グループ情報がイントラネット Microsoft 更新サービスに送信されます。この情報を使用して、このコンピューターに展開する更新プログラムを決定します。 設定が [無効] または [未構成] に設定されている場合、ターゲット グループ情報はイントラネット Microsoft 更新サービスに送信されません。

イントラネットの Microsoft 更新サービスが複数のターゲット グループに対応している場合、このポリシーでは、グループ名をセミコロンで区切り、複数のグループ名を指定できます。 サポートされていない場合は、指定できるグループは 1 つだけです。

イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する

このポリシー設定では、Microsoft 以外のエンティティによって署名された更新プログラムがイントラネットの Microsoft 更新サービスの場所で見つかったときに、自動更新がその更新プログラムを受け入れるかどうかを管理できます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する] の順に移動します。

このポリシー設定を有効にした場合、ローカル コンピューターの "信頼された発行元" 証明書ストアにある証明書によって署名されている場合は、[ イントラネット Microsoft 更新サービスの場所の指定] で指定されているように、イントラネット Microsoft 更新サービスの場所を介して受信した更新プログラムが自動更新によって受け入れられます。 このポリシー設定を無効にした場合、または構成しない場合は、イントラネットの Microsoft 更新サービスの場所からの更新プログラムが Microsoft によって署名されている必要があります。

このポリシーを MDM で構成するには、AllowNonMicrosoftSignedUpdate を使用します。

更新プログラムのインストール

更新プロセスの柔軟性をさらに高めるために、更新プログラムのインストールを制御する設定を利用できます。

自動更新の構成 には、自動更新のインストールに 4 つの異なるオプションが用意されていますが、 Windows 更新プログラムにドライバーを含めないように すると、受信した更新プログラムの残りの部分でドライバーがインストールされていないことが確認されます。

Windows Update からドライバーを除外する

管理者は、更新中に Windows Update ドライバーを除外することができます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[Windows Update からドライバーを除外する] の順に移動します。 Windows 品質更新プログラムにドライバーを含めないようにするには、このポリシーを有効にします。 このポリシーを無効にするか、構成しない場合、Windows Update にはドライバーの分類を含む更新プログラムが含まれます。

自動更新を構成する

IT 管理者は、更新プログラムのスキャン、ダウンロード、およびインストールに関する自動更新の動作を管理できます。

グループ ポリシーを使用して自動更新を構成する

[ コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Windows Update]\[自動更新の構成] で、次のいずれかのオプションを選択する必要があります。

2 - ダウンロードと自動インストールを通知 する - Windows がこのデバイスに適用される更新プログラムを検出すると、更新プログラムをダウンロードする準備ができていることがユーザーに通知されます。 [設定] > [Update & セキュリティ > Windows Update] に移動すると、ユーザーは利用可能な更新プログラムをダウンロードしてインストールできます。

3 - [インストール] の自動ダウンロードと通知 - Windows は、デバイスに適用される更新プログラムを検出し、バックグラウンドでダウンロードします (このプロセス中にユーザーに通知または中断されることはありません)。 ダウンロードが完了すると、インストールの準備ができていることがユーザーに通知されます。 [設定] > [更新] & [セキュリティ] > Windows Update に移動した後、ユーザーはそれらをインストールできます。

[4 - 自動ダウンロードしインストール日時を指定] - グループ ポリシー設定のオプションを使用してスケジュールを指定します。 この設定について詳しくは、「更新プログラムのインストールのスケジュール設定」をご覧ください。

5 - ローカル管理者による設定の選択を許可する - このオプションを使用すると、ローカル管理者は設定アプリを使用して任意の構成オプションを選択できます。 ローカル管理者は、自動更新の構成を無効にすることはできません。 このオプションは、Windows 10 以降のバージョンでは使用できません。

7 - インストールを通知し、再起動を通知 する (Windows Server 2016 以降のみ) - このオプションを使用すると、Windows がこのデバイスに適用される更新プログラムを検出すると、ダウンロードされ、更新プログラムをインストールする準備ができていることがユーザーに通知されます。 更新プログラムがインストールされると、デバイスを再起動するための通知がユーザーに表示されます。

この設定が [無効] と指定されている場合は、Windows Update に利用可能な更新プログラムがあれば、手動でダウンロードしインストールする必要があります。 これを行うには、ユーザーは [設定] > [更新] & [セキュリティ] > [Windows Update] に移動する必要があります。

この設定が [未構成] に設定されている場合、管理者は[ 設定] > [Update & セキュリティ] > [Windows Update > 詳細オプション] で、設定アプリを使用して自動更新を構成できます。

レジストリを編集して自動更新を構成する

Active Directory が展開されていない環境では、レジストリ設定を編集して、自動更新のグループ ポリシーを構成できます。

これを行うためには、次の手順を実行します。

1. [スタート] を選択し、「regedit」を検索して、レジストリ エディターを開きます。

2. 次のレジストリ キーを開きます。

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
   

3. 自動更新を構成するには、次のいずれかのレジストリ値を追加します。

   • NoAutoUpdate (REG_DWORD):

     • 0: 自動更新は有効になっています (既定)。

     • 1: 自動更新は無効になっています。

   • AUOptions (REG_DWORD):

     • 1: コンピューターを最新の状態に保つ設定が自動更新で無効になっています。

     • 2: ダウンロードとインストールを通知します。

     • 3: 自動的にダウンロードし、インストールを通知します。

     • 4: 自動的にダウンロードし、スケジュールされている時間にインストールします。

     • 5: ローカル管理者が構成モードを選択できるようにします。 このオプションは、Windows 10 以降のバージョンでは使用できません。

     • 7: インストールを通知し、再起動を通知します。 (Windows Server 2016 以降のみ)

   • ScheduledInstallDay (REG_DWORD):

     • 0: 毎日。

     • 1～ 7: 日曜日 (1) から土曜日 (7) までの曜日。

   • ScheduledInstallTime (REG_DWORD):

     n、ここで n は 24 時間形式 (0 ～ 23) の時間となります。

   • UseWUServer (REG_DWORD)

     この値を 1 に設定すると、自動更新で、Windows Update ではなく Software Update Services を実行しているサーバーを使用するように構成できます。

   • RescheduleWaitTime (REG_DWORD)

     m、ここで m は、自動更新が開始されてから、スケジュールした時間が経過してインストールが開始されるまでの待機時間となります。 時刻は、1 ～ 60 (1 分～ 60 分) の分単位で設定されます。

     注

     この設定は、クライアントが SUS SP1 クライアント バージョンまたはそれ以降のバージョンに更新された後のクライアント動作にのみ影響します。

   • NoAutoRebootWithLoggedOnUsers (REG_DWORD):

     0 (false) または 1 (true)。 1 に設定すると、ユーザーのログオン中に自動更新によってコンピューターが自動的に再起動されることはありません。

     注

     この設定は、クライアントが SUS SP1 クライアント バージョンまたはそれ以降のバージョンに更新された後のクライアントの動作に影響します。

Windows Software Update Services (WSUS) を実行しているサーバーで自動更新を使用するには、 Microsoft Windows Server Update Services の展開 に関するガイダンスを参照してください。

ポリシーのレジストリ キーを使用して自動更新を直接構成すると、ポリシーによって、ローカル管理者ユーザーがクライアントを構成するために設定した基本設定が上書きされます。 管理者が後でレジストリ キーを削除した場合、ローカル管理者ユーザーによって設定された基本設定が再び使用されます。

クライアント コンピューターとサーバーが更新のために接続する WSUS サーバーを確認するには、次のレジストリ値をレジストリに追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

• WUServer (REG_SZ)

  この値は、WSUS サーバーを HTTP 名で設定します (たとえば、 http://IntranetSUS).

• WUStatusServer (REG_SZ)

  この値は、SUS 統計サーバーを HTTP 名で設定します (例: http://IntranetSUS).

Windows Update 通知に組織名を表示する

Windows 11 クライアントが Microsoft Entra テナントに関連付けられている場合、組織名が Windows Update 通知に表示されます。 たとえば、Windows Update for Business に対してコンプライアンス期限が構成されている場合、ユーザー通知には、Contoso のようなメッセージが表示 され、重要な更新プログラムをインストールする必要があります。 組織名は、Windows 11 の [設定] の [Windows Update] ページにも表示されます。

組織名は、次のいずれかの方法で Microsoft Entra ID に関連付けられている Windows 11 クライアントに対して自動的に表示されます。

• Microsoft Entra 参加済み
• Microsoft Entra 登録済み
• Microsoft Entra ハイブリッド参加済み

Windows Update 通知での組織名の表示を無効にするには、レジストリで次の値を追加または変更します。

• レジストリ キー: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations
• DWORD 値名: UsoDisableAADJAttribution
• 値データ: 1

次の PowerShell スクリプトが例として提供されます。

$registryPath = "HKLM:\Software\Microsoft\WindowsUpdate\Orchestrator\Configurations"
$Name = "UsoDisableAADJAttribution"
$value = "1" 

if (!(Test-Path $registryPath)) 
{
  New-Item -Path $registryPath -Force | Out-Null
}

New-ItemProperty -Path $registryPath -Name $name -Value $value -PropertyType DWORD -Force | Out-Null

初期ユーザー サインイン前の Windows 更新プログラムのインストールを許可する

(Windows 11 以降、バージョン 22H2 と 2023-04 累積的な更新プログラム プレビュー、またはそれ以降の累積的な更新プログラム)

新しいデバイスでは、ユーザーが Out of Box Experience (OOBE) を完了し、初めてサインインするまで、Windows Update はバックグラウンド更新プログラムのインストールを開始しません。 多くの場合、ユーザーは OOBE を完了した直後にサインインします。 ただし、一部の VM ベースのソリューションでは、デバイスがプロビジョニングされ、最初のユーザー エクスペリエンスが自動化されます。 これらの VM はユーザーにすぐに割り当てられない可能性があるため、数日後まで初期サインインは表示されません。

初期サインインが遅れるシナリオでは、次のレジストリ値を設定すると、ユーザーが最初にサインインする前にデバイスがバックグラウンド更新作業を開始できるようになります。

• レジストリ キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator
• DWORD 値名: ScanBeforeInitialLogonAllowed
• 値データ: 1