OS の更新

  • [アーティクル]

接続されたデバイスには新しいセキュリティ上の脅威があります。更新プログラムはこの問題に対処するための重要なツールです。

Microsoft Security Response Center (MSRC) は、Defender コミュニティの一部であり、セキュリティ対応の進化の最前線にいます。 MSRC のミッションは、Microsoft の製品やサービスに存在するセキュリティ上の脆弱性による被害からお客様を守ることです。 Windows IoT Enterprise でソリューションを構築することで、Microsoft Security Response Center のセキュリティに対するコミットメントを得ることができます。 セキュリティ更新ガイドを参照して、お使いのデバイスが最新で安全であることを確認してください。

Windows Update の利点:

  • 重要なセキュリティ ソフトウェア更新プログラムを使用してデバイスを最新の状態に保つ
  • Microsoft が実証した、拡張性の高いインフラストラクチャを利用する
  • 更新プログラムは、デバイスの所有者が簡単に管理し制御できます

Windows IoT Enterprise を使用すると、デバイスと組織の要件に従って更新プログラムを管理し制御できます。

Windows Update の制御

デバイス パートナーからの最も一般的な要求の 1 つは、Windows IoT Enterprise デバイスの自動更新の制御に関するものです。 IoT デバイスの性質としては、予期しない中断 (計画外の更新など) によって、不適切なデバイス エクスペリエンスが発生する可能性があります。

Windows 更新プログラムの制御方法を検討する際には、次の点を確認する必要があります。

  • ワークフローの中断が許容されないようなデバイス シナリオはありますか?
  • 更新プログラムはデプロイ前にどのように検証されますか?
  • デバイス自体でのユーザー エクスペリエンスの更新について教えてください。

ユーザーエクスペリエンスの中断が許容されないデバイスでは、更新を特定の時間に限定するか、自動更新を無効にするか、手動または制御されたサードパーティ製のデバイス管理ソリューションで更新プログラムをデプロイすることを検討してください。

更新プログラムによる再起動の制限

アクティブ時間のグループ ポリシー、MDM、またはレジストリ設定を使用して、更新を特定の時間に限定できます。

  1. グループ ポリシーを使ってアクティブ時間を構成するには、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update] の順に選択し、[アクティブ時間内の更新プログラムの自動再起動をオフにします] ポリシー設定を開きます。 有効 ポリシーを有効にすると、アクティブ時間の開始時間と終了時間を設定できるようになります。
  2. [アクティブ時間] ウィンドウで、[Start (開始時刻)][End (終了時刻)] を設定します。 たとえば、アクティブ時間の [Start (開始時刻)] を午前 4 時 00 分に設定し、[End (終了時刻)] を午前 2 時 00 分に設定します。 これにより、システムは午前 2 時 00 分と午前 4 時 00 分の間の更新後に再起動できます。

自動 Windows Update を無効にする

IoT プロジェクトを成功させるには、セキュリティと安定性が核となります。また Windows Update に、Windows IoT Enterprise に適用可能な最新のセキュリティと安定性の更新プログラムが含まれていることを確認します。 しかし、Windows の更新を完全に手動で行わなければならないデバイスのシナリオがあるかもしれません。 この種類のシナリオでは、Windows Update を使用した自動更新を無効にすることを推奨します。 以前のバージョンの Windows デバイス パートナーは、Windows Update サービスの停止と無効化ができましたが、これは自動更新を無効にする方法としてはサポートされていません。 Windows には、Windows Update をいくつかの方法で設定できるポリシーがあります。

Windows Update による Windows の自動更新を完全に無効にする手順は次の通りです。

  1. グループ ポリシー (gpedit.msc) を開き、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[自動更新を構成する] の順に移動します。
  2. ポリシーを明示的に無効に設定します。 これが無効に設定されている場合、Windows Update から利用可能なすべての更新プログラムを手動でダウンロードしてインストールする必要があります。これは、設定アプリの [更新とセキュリティ] > [Windows Update] で行います。

Windows Update ユーザー エクスペリエンスへのアクセスを無効にする

場合によっては、自動更新を構成するだけでは、必要なデバイス エクスペリエンスを維持できないことがあります。 たとえば、エンドユーザーは引き続き Windows Update 設定にアクセスできます。これにより、Windows Update を介して手動で更新できます。 設定で Windows Update へのアクセスを禁止するようグループ ポリシーを構成できます。

Windows Update へのアクセスを禁止するには:

  1. グループ ポリシー エディター (gpedit.msc) を開き、[コンピュータの構成]、[管理用テンプレート] から、[Windows コンポーネント] の [Windows Update]、[Windows Update のすべての機能へのアクセスを削除する] を選択します
  2. このポリシーを有効に設定すると、ユーザーは「アップデートを確認する」オプションを使用できなくなります。 注: バック グラウンドでの更新プログラムのスキャン、ダウンロード、インストールは引き続き構成どおりに実行されます。 このポリシーは、ユーザーが手動で設定を確認できないようにするだけです。 スキャン、ダウンロード、およびインストールを無効にするには、前のセクションの手順を使用します。

重要

デバイスに対して適切に設計されたサービス戦略があることを確認してください。 デバイスが別の方法で更新プログラムを取得していない場合、Windows Update 機能を無効にすると、デバイスは脆弱な状態のままになります。

Windows Update を完全にオフにする

Windows Update はいくつかの方法で構成できます。 原則として、IoT デバイスは、デバイスに使用されるサービスおよび管理戦略に特別な注意を払う必要があります。 サービス戦略がすべての Windows Update 機能を無効にする場合、2 つの可能なアプローチがあります。 グループ ポリシーまたはレジストリを使用して、更新プログラムをオフにできます。

Note

このポリシーを設定すると、ローカル ネットワーク上の他のコンピューターからの更新プログラムの実行も停止します。 この動作を確認するには、ローカル ネットワーク上の他のユーザーから更新プログラムを取得するためのサブシステムである配信の最適化をオフにすることもできます。

その他のリソース