その他の Windows Update 設定の管理

適用対象

  • Windows 10
  • Windows 11

ユーザー向けの情報を探している場合、Windows Update: FAQ」をご覧ください。

グループ ポリシー設定またはモバイル デバイス管理 (MDM) を使用して、Windows 10 デバイスでの Windows Update の動作を構成できます。 更新プログラムの検出頻度の構成、更新プログラムを受信するタイミング、更新サービスの場所の指定などを行うことができます。

Windows Update の設定の概要

グループ ポリシー設定 MDM 設定 サポートされるバージョン
イントラネットの Microsoft 更新サービスの場所を指定する UpdateServiceUrl および UpdateServiceUrlAlternate すべて
自動更新の検出頻度 DetectionFrequency 1703
Windows Update のすべての機能へのアクセスを削除する Update/SetDisableUXWUAccess すべて
インターネット上の Windows Update に接続しない すべて
クライアント側のターゲットを有効にする すべて
イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する AllowNonMicrosoftSignedUpdate すべて
Windows Update からドライバーを除外する ExcludeWUDriversInQualityUpdate 1607
自動更新を構成する AllowAutoUpdate すべて

重要

デバイスの再起動を管理する設定についてのその他の情報、および更新プログラムが利用可能になったことを伝える再起動通知については、「更新後のデバイスの再起動の管理」をご覧ください。

機能更新プログラムと品質更新プログラムの受信タイミングを構成する追加設定は、「Windows Update for Business の構成」で説明されています。

更新プログラムのスキャン

管理者は、デバイスでの更新プログラムのスキャン方法や受信方法を柔軟に構成することができます。

[イントラネットの Microsoft 更新サービスの場所を指定する] を利用すると、管理者は、内部の Microsoft 更新サービスの場所を参照するようにデバイスに対して指示することができます。また、[インターネット上の Windows Update に接続しない] オプションを利用すると、デバイスが内部更新サービスのみを参照するように制限できます。 [自動更新の検出頻度] は、デバイスが更新プログラムをスキャンする頻度を制御します。

[クライアント側のターゲットを有効にする] を使用すると、内部の Microsoft 更新サービスを利用するカスタム デバイス グループを作成できます。 また、[イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する] を使用して、Microsoft による署名が行われていない更新プログラムを、デバイスが内部の Microsoft 更新サービスから 受信するように構成することもできます。

最後に、更新エクスペリエンスは管理者によって完全に制御されることを確認するために、ユーザーに対して [Windows Update のすべての機能へのアクセスを削除する] を使用することができます。

機能更新プログラムと品質更新プログラムの受信タイミングを構成する追加設定については、「Windows Update for Business の構成」をご覧ください。

イントラネットの Microsoft 更新サービスの場所を指定する

Microsoft Update からの更新プログラムをホストするイントラネット サーバーを指定します。 この更新サービスを使用して、ネットワーク上のコンピューターを自動的に更新できます。 この設定を使うと、内部の更新サービスとして機能する、ネットワーク上のサーバーを指定できます。 自動更新のクライアントは、このサービスにアクセスし、ネットワーク上のコンピューターに適用できる更新プログラムを検索します。

グループ ポリシーでこの設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの場所を指定する] の順に移動します。 次に、2 つのサーバー名を設定する必要があります。それらのサーバーは、自動更新クライアントが更新プログラムを検出してダウンロードするためのサーバー、および更新が完了したワークステーションが統計情報をアップロードするためのサーバーです。 両方に同じサーバーを指定することもできます。 オプションのサーバー名を指定して、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーから更新プログラムをダウンロードするように構成することができます。

この設定が [有効] と指定されている場合、自動更新クライアントは Windows Update ではなく、指定されたイントラネットの Microsoft 更新サービス (または代替ダウンロード サーバー) に接続し、更新プログラムの検索およびダウンロードを実行します。 この設定を有効にすると、組織内のエンド ユーザーはファイアウォール経由で更新プログラムを入手する必要がなくなります。また、管理者は更新プログラムを展開した後でテストできるようになります。 この設定が [無効] または [未構成] と指定されており、ポリシーやユーザー設定で自動更新が無効になっていない場合は、自動更新クライアントは直接インターネットの Windows Update サイトにアクセスします。

代替ダウンロード サーバーを利用すると、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーからファイルをダウンロードするように構成することができます。 URL が示されていないファイルをダウンロードするためのオプションを利用すると、ファイルのダウンロード URL が更新プログラムのメタデータに含まれていない場合、代替ダウンロード サーバーからコンテンツをダウンロードすることができます。 このオプションは、イントラネットの更新サービスから提供されるファイルの更新プログラムのメタデータにダウンロード URL が含まれておらず、そのファイルが代替ダウンロード サーバー上に存在する場合にのみ使用してください。

注意

[自動更新を構成する] ポリシーが無効になっている場合、このポリシーは効果はありません。

"代替ダウンロード サーバー" が設定されていない場合、更新プログラムのダウンロードには、既定でイントラネットの更新サービスが使用されます。

"URL が示されていないファイルをダウンロードする" ためのオプションは、"代替ダウンロード サーバー" が設定されている場合にのみ使用します。

このポリシーを MDM で構成するには、UpdateServiceUrlUpdateServiceUrlAlternate を使用します。

自動更新の検出頻度

利用可能な更新プログラムを確認するまでの待機時間を Windows で判別するための時間数を指定します。 正確な待機時間は、ここで指定した時間から 0 ~ 20% の時間を差し引いた時間になります。 たとえば、このポリシーで検出頻度が 20 時間に指定されている場合、このポリシーが適用されるすべてのクライアントでは 16 ~ 20 時間の間で更新が確認されます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[自動更新の検出頻度] の順に移動します。

設定が [有効] と指定されている場合、Windows では指定した間隔で使用可能な更新プログラムが確認されます。 設定が [無効] または [未構成] と指定されている場合、Windows では既定の間隔である 22 時間で利用可能な更新プログラムが確認されます。

注意

このポリシーを有効にするには、[イントラネットの Microsoft 更新サービスの場所を指定する] の設定も有効にする必要があります。

[自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。

このポリシーを MDM で構成するには、DetectionFrequency を使用します。

Windows Update のすべての機能へのアクセスを削除する

管理者は、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows update]、[Windows Update のすべての機能へのアクセスを削除する] の下でグループ ポリシー設定を有効にして、ユーザーの [更新プログラムの確認] をオフにすることができます。 バック グラウンドでの更新プログラムのスキャン、ダウンロード、インストールは引き続き構成どおりに実行されます。

インターネット上の Windows Update に接続しない

イントラネットの更新サービスから更新プログラムを受信するように Windows Update が構成されている場合でも、公開されている Windows Update サービスから情報を定期的に取得して、Windows Update やその他のサービス (Microsoft Update や Microsoft Store など) に今後接続できるようにします。

このポリシーを有効にするには、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[インターネット上の Windows Update に接続しない] の順に移動します。 このポリシーが有効になっている場合、上で説明した機能が無効になります。また、公開されているサービス (Microsoft Store、Windows Update For Business、配信の最適化など) への接続が停止することがあります。

注意

このポリシーは、[イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーを使用してイントラネットの更新サービスに接続するようにデバイスが構成されているときにのみ適用されます。

クライアント側のターゲットを有効にする

イントラネットの Microsoft 更新サービスから更新プログラムを受信するために使用されるターゲットのグループ名を指定します。 これにより、管理者は WSUS や Configuration Manager などのソースから異なる更新プログラムを受信するデバイス グループを構成できます。

このグループ ポリシー設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[クライアント側のターゲットを有効にする] の順に移動します。 設定が [有効] と指定されている場合、指定されたターゲット グループの情報がイントラネットの Microsoft 更新サービスに送信されます。Microsoft 更新サービスはグループの情報を使用して、このコンピューターに展開する必要がある更新プログラムを決定します。 設定が [無効] または [未構成] と指定されている場合は、イントラネットの Microsoft 更新サービスにはターゲット グループの情報は送信されません。

イントラネットの Microsoft 更新サービスが複数のターゲット グループに対応している場合、このポリシーでは、グループ名をセミコロンで区切り、複数のグループ名を指定できます。 サポートされていない場合は、指定できるグループは 1 つだけです。

注意

このポリシーは、デバイスの接続先となるイントラネットの Microsoft 更新サービスが、クライアント側のターゲットをサポートするように構成されているときにのみ適用されます。 [イントラネットの Microsoft の更新サービスの場所を指定する] ポリシーが無効か構成されていない場合、このポリシーは有効にはなりません。

イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する

このポリシー設定では、Microsoft 以外のエンティティによって署名された更新プログラムがイントラネットの Microsoft 更新サービスの場所で見つかったときに、自動更新がその更新プログラムを受け入れるかどうかを管理できます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する] の順に移動します。

このポリシー設定を有効にすると、更新プログラムがイントラネットの Microsoft 更新サービスの場所 ([イントラネットの Microsoft 更新サービスの場所を指定する] で指定) に保存されており、ローカル コンピューターの "信頼された発行元" の証明書ストアに含まれている証明書によって署名されている場合、自動更新はその更新プログラムの受信を受け入れます。 このポリシー設定を無効にした場合、または構成しなかった場合、イントラネットの Microsoft 更新サービスの場所からダウンロードする更新プログラムは、Microsoft によって署名されている必要があります。

注意

イントラネットの Microsoft 更新サービス以外のサービスからダウンロードする更新プログラムには、このポリシー設定に関係なく Microsoft による署名が常に必要です。

このポリシーを MDM で構成するには、AllowNonMicrosoftSignedUpdate を使用します。

更新プログラムのインストール

更新プロセスの柔軟性をさらに高めるために、更新プログラムのインストールを制御する設定を利用できます。

[自動更新を構成する] には、更新プログラムの自動インストールに利用できる 4 種類のオプションが用意されています。また、[Windows Update からドライバーを除外する] を使用すると、ドライバーは、受信した他の更新プログラムと一緒にはインストールされなくなります。

Windows Update からドライバーを除外する

管理者は、更新中に Windows Update ドライバーを除外することができます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[Windows Update からドライバーを除外する] の順に移動します。 Windows 品質更新プログラムにドライバーを含めないようにするには、このポリシーを有効にします。 このポリシーを無効にした場合、または構成しなかった場合は、Windows Update にドライバー分類の更新プログラムが含まれます。

自動更新を構成する

IT 管理者は、更新プログラムのスキャン、ダウンロード、およびインストールに関する自動更新の動作を管理できます。

グループ ポリシーを使用して自動更新を構成する

[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[自動更新を構成する] の順に移動し、次の 4 つのオプションのいずれかを選択してください。

[2 - ダウンロードと自動インストールを通知] - このデバイスに適用する更新プログラムが Windows で見つかると、ユーザーには、ダウンロードできる更新プログラムがあることが通知されます。 [設定] > [更新とセキュリティ]> [Windows Update] の順に移動すると、使用可能なすべての更新プログラムをダウンロードしてインストールできます。

[3 - 自動ダウンロードしインストールを通知] - デバイスに適用できる更新プログラムが Windows で見つかると、これらの更新プログラムがバックグラウンドでダウンロードされます (ユーザーには通知されず、作業も中断されません)。 ダウンロードが完了すると、ユーザーには、更新プログラムをインストールする準備ができたことが通知されます。 [設定] > [更新とセキュリティ]> [Windows Update] の順に移動すると、ユーザーは更新プログラムをインストールすることができます。

[4 - 自動ダウンロードしインストール日時を指定] - グループ ポリシー設定のオプションを使用してスケジュールを指定します。 この設定について詳しくは、「更新プログラムのインストールのスケジュール設定」をご覧ください。

[5 - ローカルの管理者の設定選択を許可] - このオプションを使用すると、ローカルの管理者は設定アプリを使用して、このオプションに対応した構成オプションを選択できます。 ローカルの管理者が自動更新の構成を無効にすることはできません。

この設定が [無効] と指定されている場合は、Windows Update に利用可能な更新プログラムがあれば、手動でダウンロードしインストールする必要があります。 そのためには、[設定] > [更新とセキュリティ] > [Windows Update] の順に移動してください。

この設定が [未構成] と指定されていれば、管理者は設定アプリを使用して自動更新を構成できます。構成を行う際は、[設定] > [更新とセキュリティ] > [Windows Update] > [詳細オプション] の順に移動してください。

レジストリを編集して自動更新を構成する

注意

レジストリ エディターなどを使用してレジストリを誤って変更すると、重大な問題が発生する場合があります。 このような問題では、オペレーティング システムの再インストールが必要になることもあります。 Microsoft では、このような問題の解決に関しては保証できません。 レジストリの変更は各自の責任で行ってください。

Active Directory が展開されていない環境では、レジストリ設定を編集して、自動更新のグループ ポリシーを構成することができます。

これを行うためには、次の手順を実行します。

  1. [スタート] を選択し、「regedit」を検索して、レジストリ エディターを開きます。

  2. 次のレジストリ キーを開きます。

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
    
  3. 自動更新を構成するには、次のいずれかのレジストリ値を追加します。

    • NoAutoUpdate (REG_DWORD):

      • 0: 自動更新は有効になっています (既定)。

      • 1: 自動更新は無効になっています。

    • AUOptions (REG_DWORD):

      • 1: コンピューターを最新の状態に保つ設定が自動更新で無効になっています。

      • 2: ダウンロードとインストールを通知します。

      • 3: 自動的にダウンロードし、インストールを通知します。

      • 4: 自動的にダウンロードし、スケジュールされている時間にインストールします。

    • ScheduledInstallDay (REG_DWORD):

      • 0: 毎日。

      • 17: 日曜日 (1) から土曜日 (7) までの曜日。

    • ScheduledInstallTime (REG_DWORD):

      n、ここで n は 24 時間形式 (0 ~ 23) の時間となります。

    • UseWUServer (REG_DWORD)

      この値を 1 に設定すると、自動更新で、Windows Update ではなく Software Update Services を実行しているサーバーを使用するように構成できます。

    • RescheduleWaitTime (REG_DWORD)

      m、ここで m は、自動更新が開始されてから、スケジュールした時間が経過してインストールが開始されるまでの待機時間となります。 時刻は、1 ~ 60 (1 分~ 60 分) の分単位で設定されます。

      注意

      この設定は、クライアントが SUS SP1 クライアント バージョンまたはそれ以降のバージョンに更新された後のクライアント動作にのみ影響します。

    • NoAutoRebootWithLoggedOnUsers (REG_DWORD):

      0 (false) または 1 (true)。 1 に設定した場合、ユーザーがログオンしている間、自動更新でコンピューターが自動的に再起動されません。

      注意

      この設定は、クライアントが SUS SP1 クライアント バージョンまたはそれ以降のバージョンに更新された後のクライアントの動作に影響します。

Software Update Services を実行しているサーバーで Automatic Updates を使用するには、「Microsoft Windows Server Update Services 2.0 の展開」ガイダンスを参照してください。

ポリシーのレジストリ キーを使用して自動更新を直接構成すると、ポリシーによって、ローカル管理者ユーザーがクライアントを構成するために設定した基本設定が上書きされます。 管理者が後でレジストリ キーを削除した場合、ローカル管理者ユーザーによって設定された基本設定が再び使用されます。

クライアント コンピューターとサーバーが更新のために接続する WSUS サーバーを確認するには、次のレジストリ値をレジストリに追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
  • WUServer (REG_SZ)

    この値は、HTTP 名 (例: http://IntranetSUS)) で WSUS サーバーを設定します。

  • WUStatusServer (REG_SZ)

    この値は、SUS 統計サーバーを HTTP 名 (例: http://IntranetSUS)) で設定します