System Center Configuration Manager のソフトウェア更新プログラムの概要Introduction to software updates in System Center Configuration Manager

適用対象: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

System Center Configuration Manager のソフトウェア更新プログラムには、企業のソフトウェア更新プログラムを追跡し、クライアント コンピューターにプログラムを適用する複雑なタスクの管理に役立つツールとリソースのセットが用意されています。Software updates in System Center Configuration Manager provides a set of tools and resources that can help manage the complex task of tracking and applying software updates to client computers in the enterprise. 運用効率を維持し、セキュリティ上の問題を解決し、さらにネットワーク インフラストラクチャの安定性を維持するには、効果的なソフトウェア更新プログラムの管理プロセスが必要です。An effective software update management process is necessary to maintain operational efficiency, overcome security issues, and maintain the stability of the network infrastructure. ただし、テクノロジは常に変化し、新しいセキュリティ上の脅威が絶え間なく出現するために、効果的なソフトウェア更新プログラムの管理には、一貫した継続的な注意が必要です。However, because of the changing nature of technology and the continual appearance of new security threats, effective software update management requires consistent and continual attention.

ご使用の環境でのソフトウェア更新プログラムの展開方法を示したサンプル シナリオについては、「Example scenario to deploy security software updates」(セキュリティ ソフトウェア更新プログラムを展開するためのサンプル シナリオ) を参照してください。For an example scenario that shows how you might deploy software updates in your environment, see Example scenario to deploy security software updates.

ソフトウェア更新プログラムの同期Software updates synchronization

Configuration Manager でのソフトウェア更新プログラムの同期では、Microsoft Update に接続してソフトウェア更新プログラムのメタデータを取得します。Software updates synchronization in Configuration Manager connects to Microsoft Update to retrieve software updates metadata. 最上位サイト (中央管理サイトまたはスタンドアロン プライマリ サイト) は、スケジュールに従って、または Configuration Manager コンソールで手動で同期を開始した際に、Microsoft Update と同期します。The top-level site (central administration site or stand-alone primary site) synchronizes with Microsoft Update on a schedule or when you manually start synchronization from the Configuration Manager console. Configuration Manager で、最上位サイトでのソフトウェア更新プログラムの同期が完了すると、子サイトでのソフトウェア更新プログラムの同期が開始されます (子サイトが存在する場合)。When Configuration Manager finishes software updates synchronization at the top-level site, software updates synchronization starts at child sites, if they exist. 各プライマリ サイトまたはセカンダリ サイトで同期が完了すると、クライアント コンピューターにソフトウェアの更新ポイントの場所を通知するサイト全体のポリシーが作成されます。When synchronization is complete at each primary site or secondary site, a site-wide policy is created that provides to client computers the location of the software update points.

注意

ソフトウェア更新プログラムは、既定ではクライアント設定で有効です。Software updates are enabled by default in client settings. ただし、 [クライアントのソフトウェア更新プログラムを有効にする] クライアント設定を [いいえ] に設定して、コレクションまたは既定の設定でソフトウェア更新プログラムを無効にすると、ソフトウェアの更新ポイントの場所は、関連付けられたクライアントに送信されません。However, if you set the Enable software updates on clients client setting to No to disable software updates on a collection or in the default settings, the location for software update points are not sent to associated clients. 詳細については、「software updates client settings」(ソフトウェア更新プログラムのクライアント設定) を参照してください。For details, see software updates client settings.

ポリシーを受信した後、クライアントは、ソフトウェア更新プログラムのコンプライアンス対応スキャンを開始し、情報を Windows Management Instrumentation (WMI) に書き込みます。After the client receives the policy, the client starts a scan for software updates compliance and writes the information to Windows Management Instrumentation (WMI). コンプライアンス情報は、次に管理ポイントに送信され、そこからサイト サーバーに送信されます。The compliance information is then sent to the management point that then sends the information to the site server. コンプライアンス対応評価の詳細については、このトピックの「 Software updates compliance assessment 」セクションを参照してください。For more information about compliance assessment, see the Software updates compliance assessment section in this topic.

1 つのプライマリ サイトに複数のソフトウェアの更新ポイントをインストールできます。You can install multiple software update points at a primary site. インストールする最初のソフトウェアの更新ポイントは、同期ソースとして構成されます。The first software update point that you install is configured as the synchronization source. 同期は、Microsoft Update、または、Configuration Manager 階層内にない WSUS サーバーから行われます。This synchronizes from Microsoft Update or a WSUS server not in your Configuration Manager hierarchy. サイトのその他のソフトウェアの更新ポイントは、最初のソフトウェアの更新ポイントを同期ソースとして使用します。The other software update points at the site use the first software update point as the synchronization source.

注意

最上位のサイトでソフトウェア更新プログラムの同期プロセスが完了すると、データベースのレプリケーションを使用して、ソフトウェア更新プログラムのメタデータが子サイトにレプリケートされます。When the software updates synchronization process is complete at the top-level site, the software updates metadata is replicated to child sites by using database replication. 子サイトに Configuration Manager コンソールを接続すると、Configuration Manager にソフトウェア更新プログラムのメタデータが表示されます。When you connect a Configuration Manager console to the child site, Configuration Manager displays the software updates metadata. ただし、サイトでソフトウェアの更新ポイントをインストールして構成するまで、クライアントはソフトウェア更新プログラムのコンプライアンス対応スキャンを実行せず、Configuration Manager にコンプライアンス情報をレポートしません。また、ソフトウェア更新プログラムを正常に展開できません。However, until you install and configure a software update point at the site, clients will not scan for software updates compliance, clients will not report compliance information to Configuration Manager, and you cannot successfully deploy software updates.

最上位サイトでの同期Synchronization on the top-level site

最上位サイトでのソフトウェア更新プログラムの同期プロセスでは、[ソフトウェアの更新ポイント コンポーネント] プロパティで指定した条件に合ったソフトウェア更新プログラムのメタデータを、Microsoft Update から取得します。The software updates synchronization process at the top-level site retrieves from Microsoft Update the software updates metadata that meet the criteria that you specify in Software Update Point Component properties. この条件は、最上位サイトでのみ構成します。You configure the criteria only at the top-level site.

注意

Microsoft Update の代わりに、Configuration Manager 階層にない既存の WSUS サーバーを同期ソースとして指定できます。You can specify an existing WSUS server that is not in the Configuration Manager hierarchy instead of Microsoft Updates as the synchronization source.

次の一覧では、最上位サイトでの同期プロセスの基本的な手順について説明します。The following list describes the basic steps for the synchronization process on the top-level site:

  1. ソフトウェア更新プログラムの同期が開始されます。Software updates synchronization starts.

  2. WSUS 同期マネージャーが、ソフトウェアの更新ポイントで実行されている WSUS に対し、Microsoft Update との同期を開始するように要求を送信します。WSUS Synchronization Manager sends a request to WSUS running on the software update point to start synchronization with Microsoft Update.

  3. ソフトウェア更新プログラムのメタデータが Microsoft Update から同期され、すべての変更が WSUS データベースに挿入または更新されます。The software updates metadata is synchronized from Microsoft Update, and any changes are inserted or updated in the WSUS database.

  4. WSUS で同期が完了すると、WSUS 同期マネージャーが、ソフトウェア更新プログラムのメタデータと、前回の同期でサイト データベースに挿入または更新された後に行われたすべての変更を、WSUS データベースから Configuration Manager データベースに同期します。When WSUS has finished synchronization, WSUS Synchronization Manager synchronizes the software updates metadata from the WSUS database to the Configuration Manager database, and any changes after the last synchronization are inserted or updated in the site database. ソフトウェア更新プログラムのメタデータは、構成項目としてサイト データベースに保存されます。The software updates metadata is stored in the site database as a configuration item.

  5. ソフトウェア更新プログラムの構成項目は、データベースのレプリケーションを使用して子サイトに送信されます。The software updates configuration items are sent to child sites by using database replication.

  6. 同期が正常に完了すると、WSUS 同期マネージャーはステータス メッセージ 6702 を作成します。When synchronization has finished successfully, WSUS Synchronization Manager creates status message 6702.

  7. WSUS 同期マネージャーがすべての子サイトに同期要求を送信します。WSUS Synchronization Manager sends a synchronization request to all child sites.

  8. WSUS 同期マネージャーは、サイトのその他のソフトウェアの更新ポイントで実行されている WSUS に、一度に 1 つの要求を送信します。WSUS Synchronization Manager sends a request one at a time to WSUS running on other software update points at the site. その他のソフトウェアの更新ポイントの WSUS サーバーは、サイトの既定のソフトウェアの更新ポイントで実行されている WSUS のレプリカとして構成されています。The WSUS servers on the other software update points are configured to be replicas of WSUS running on the default software update point at the site.

子プライマリ サイトとセカンダリ サイトでの同期Synchronization on child primary and secondary sites

最上位のサイトでソフトウェア更新プログラムの同期プロセス中、データベースのレプリケーションを使用して、ソフトウェア更新プログラムの構成項目が子サイトにレプリケートされます。During the software updates synchronization process on the top-level site, the software updates configuration items are replicated to child sites by using database replication. 処理の最後に、最上位のサイトが子サイトに同期要求を送信し、子サイトが WSUS 同期を開始します。At the end of the process, the top-level site sends a synchronization request to the child site, and the child site starts the WSUS synchronization. 次のリストでは、子プライマリ サイトまたはセカンダリ サイトでの同期プロセスの基本的な手順について説明します。The following list provides the basic steps for the synchronization process on a child primary site or secondary site:

  1. WSUS 同期マネージャーは、最上位のサイトから同期要求を受信します。WSUS Synchronization Manager receives a synchronization request from the top-level site.

  2. ソフトウェア更新プログラムの同期が開始されます。Software updates synchronization starts.

  3. WSUS 同期マネージャーがソフトウェアの更新ポイントで実行されている WSUS に対し、Microsoft Update との同期を開始するように要求を作成します。WSUS Synchronization Manager makes a request to WSUS running on the software update point to start synchronization.

  4. 子サイトのソフトウェア更新ポイントで実行されている WSUS が、親サイトのソフトウェア更新ポイントで実行されている WSUS からソフトウェア更新プログラムのメタデータを同期します。WSUS running on the software update point on the child site synchronizes software updates metadata from WSUS running on the software update point on the parent site.

  5. 同期が正常に完了すると、WSUS 同期マネージャーはステータス メッセージ 6702 を作成します。When synchronization has finished successfully, WSUS Synchronization Manager creates status message 6702.

  6. プライマリ サイトから、WSUS 同期マネージャーがすべての子セカンダリ サイトに同期要求を送信します。From a primary site, WSUS Synchronization Manager sends a synchronization request to any child secondary sites. セカンダリ サイトは、親プライマリ サイトとのソフトウェア更新プログラムの同期を開始します。The secondary site starts the software updates synchronization with the parent primary site. セカンダリ サイトは、親サイトで実行されている WSUS のレプリカとして構成されています。The secondary site is configured as a replica of WSUS running on the parent site.

  7. WSUS 同期マネージャーは、サイトのその他のソフトウェアの更新ポイントで実行されている WSUS に、一度に 1 つの要求を送信します。WSUS Synchronization Manager sends a request one at a time to WSUS running on other software update points at the site. その他のソフトウェアの更新ポイントの WSUS サーバーは、サイトの既定のソフトウェアの更新ポイントで実行されている WSUS のレプリカとして構成されています。The WSUS servers on the other software update points are configured to be replicas of WSUS running on the default software update point at the site.

Software updates compliance assessmentSoftware updates compliance assessment

ソフトウェアの更新プログラムを Configuration Manager 内のクライアント コンピューターに展開する前に、クライアント コンピューター上でソフトウェア更新プログラムのコンプライアンス対応状態のスキャンを開始します。Before you deploy software updates to client computers in Configuration Manager, start a scan for software updates compliance on client computers. ソフトウェア更新プログラムごとに、コンプライアンス対応状態を示す状態メッセージが作成されます。For each software update, a state message is created that contains the compliance state for the update. 状態メッセージは一括して管理ポイントに送信されてからサイト サーバーに送信され、そこでコンプライアンス対応状態がサイト データベースに挿入されます。The state messages are sent in bulk to the management point and then to the site server, where the compliance state is inserted into the site database. ソフトウェア更新プログラムのコンプライアンス対応状態が Configuration Manager コンソールに表示されます。The compliance state for software updates is displayed in the Configuration Manager console. 更新プログラムが必要なコンピューターでソフトウェア更新プログラムを展開してインストールできます。You can deploy and install software updates on computers that require the updates. 次の各セクションには、コンプライアンス対応状態に関する情報を示し、ソフトウェア更新プログラムのコンプライアンス対応のスキャン手順について説明します。The following sections provide information about the compliance states and describe the process for scanning for software updates compliance.

ソフトウェア更新プログラムのコンプライアンス対応状態Software updates compliance states

次の表に、Configuration Manager コンソールに表示される、ソフトウェア更新プログラムの各対応状態とその説明を示します。The following lists and describes each compliance state that is displayed in the Configuration Manager console for software updates.

  • 必須Required

    ソフトウェア更新プログラムが適用可能で、クライアント コンピューターで必須であることを指定します。Specifies that the software update is applicable and required on the client computer. ソフトウェア更新プログラムの状態が [必須] である場合、次の状況のいずれかに該当します。Any of the following conditions could be true when the software update state is Required:

    • クライアント コンピューターにソフトウェア更新プログラムが展開されていない。The software update was not deployed to the client computer.

    • クライアント コンピューターにソフトウェア更新プログラムがインストールされているが、The software update was installed on the client computer. サイト サーバーのデータベースに最新の状態メッセージがまだ挿入されていない。However, the most recent state message has not yet been inserted into the database on the site server. インストールが完了した後、クライアント コンピューターが更新プログラムを再スキャンする。The client computer rescans for the update after the installation has finished. 更新された状態がクライアントから管理ポイントに送信されるまで、最大 2 分の遅延が発生する可能性があり、その後、更新された状態がサイト サーバーへと転送されます。There might be a delay of up to two minutes before the client sends the updated state to the management point that then forwards the updated state to the site server.

    • クライアント コンピューターにソフトウェア更新プログラムがインストールされているが、The software update was installed on the client computer. ソフトウェア更新プログラムのインストールを完了するには、コンピューターを再起動する必要がある。However, the software update installation requires a computer restart before the update is completed.

    • ソフトウェア更新プログラムがクライアント コンピューターに展開されたが、まだインストールされていない。The software update was deployed to the client computer but has not yet been installed.

  • 必要なしNot Required

    ソフトウェア更新プログラムがクライアント コンピューターで適用可能でないことを指定します。Specifies that the software update is not applicable on the client computer. このため、ソフトウェア更新プログラムは不要です。Therefore, the software update is not required.

  • インストール済みInstalled

    クライアント コンピューターがソフトウェア更新プログラムの適用対象で、クライアント コンピューターには既にソフトウェア更新プログラムがインストールされていることを示します。Specifies that the software update is applicable on the client computer and that the client computer already has the software update installed.

  • 不明Unknown

    サイト サーバーがクライアント コンピューターから状態メッセージを受信していないことを示します。一般に、次のいずれかの原因が考えられます。Specifies that the site server has not received a state message from the client computer, typically because one of the following:

    • クライアント コンピューターでソフトウェア更新プログラムのコンプライアンス対応を正常にスキャンできなかった。The client computer did not successfully scan for software updates compliance.

    • クライアント コンピューターでのスキャンは正常に完了したが、The scan finished successfully on the client computer. おそらく状態メッセージのバックログのため、サイト サーバー上で状態メッセージがまだ処理されていない。However, the state message has not yet been processed on the site server, possibly because of a state message backlog.

    • クライアント コンピューターでのスキャンは正常に完了したが、状態メッセージが子サイトからまだ受信されていない。The scan finished successfully on the client computer, but the state message has not been received from the child site.

    • クライアント コンピューターでのスキャンは正常に完了したが、何らかの操作で状態メッセージ ファイルが破れ、処理できなかった。The scan finished successfully on the client computer, but the state message file was corrupted in some way and could not be processed.

ソフトウェア更新プログラムのコンプライアンス対応のスキャン手順Scan for software updates compliance process

ソフトウェアの更新ポイントがインストールおよび同期されている場合、Configuration Manager ソフトウェア更新プログラムがサイトで有効になったことをクライアント コンピューターに通知する、サイト全体のコンピューター ポリシーが作成されます。When the software update point is installed and synchronized, a site-wide machine policy is created that informs client computers that Configuration Manager software updates was enabled for the site. クライアントがコンピューター ポリシーを受信すると、コンプライアンス対応評価スキャンが次の 2 時間以内にランダムで開始するようスケジュールされます。When a client receives the machine policy, a compliance assessment scan is scheduled to start randomly within the next two hours. スキャンが開始されると、ソフトウェアの更新クライアント エージェントはスキャン履歴をクリアし、スキャンで使用すべき WSUS サーバーを探す要求を送信して、WSUS サーバーの場所をローカルのグループ ポリシーで更新します。When the scan is started, a Software Updates Client Agent process clears the scan history, submits a request to find the WSUS server that should be used for the scan, and updates the local Group Policy with the WSUS server location.

注意

インターネット ベースのクライアントは、SSL を使用して WSUS に接続する必要があります。Internet-based clients must connect to the WSUS server by using SSL.

スキャン要求は、Windows Update エージェント (WUA) に渡されます。A scan request is passed to the Windows Update Agent (WUA). その後、WUA はローカル ポリシーの一覧にある WSUS サーバーの場所に接続し、WSUS サーバー上で同期したソフトウェア更新プログラムのメタデータを取得して、更新プログラムが必要かどうかをクライアント コンピューターでスキャンします。The WUA then connects to the WSUS server location that is listed in the local policy, retrieves the software updates metadata that has been synchronized on the WSUS server, and scans the client computer for the updates. ソフトウェアの更新クライアント エージェントは、コンプライアンス対応のスキャンが完了したことを検知し、最後にスキャンしたときからコンプライアンス対応状態が変更された各ソフトウェア更新プログラムの状態メッセージを作成します。A Software Updates Client Agent process detects that the scan for compliance has finished, and it creates state messages for each software update that changed in compliance state after the last scan. 状態メッセージは、15 分ごとに一括して管理ポイントに送信されます。The state messages are sent to the management point in bulk every 15 minutes. その後、管理ポイントは状態メッセージをサイト サーバーへ転送し、状態メッセージはサイト サーバー データベースへ挿入されます。The management point then forwards the state messages to the site server, where the state messages are inserted into the site server database.

ソフトウェア更新プログラムのコンプライアンス対応状態の最初のスキャン後は、構成されたスキャン スケジュールに従ってスキャンが開始されます。After the initial scan for software updates compliance, the scan is started at the configured scan schedule. ただし、クライアントが有効期限 (TTL) の値で示される時間帯内でソフトウェア更新プログラムのコンプライアンス対応をスキャンした場合、クライアントはローカルに保存されているソフトウェア更新プログラムのメタデータを使用します。However, if the client has scanned for software updates compliance in the time frame indicated by the Time to Live (TTL) value, the client uses the software updates metadata that is stored locally. 前回のスキャンが TTL 範囲外の場合、クライアントがソフトウェアの更新ポイントで実行されている WSUS に接続して、クライアントに保存されているソフトウェア更新プログラムのメタデータを更新する必要があります。When the last scan is outside the TTL, the client must connect to WSUS running on the software update point and update the software updates metadata stored on the client.

スキャン スケジュールも含め、ソフトウェア更新プログラムのコンプライアンス対応のスキャンは、次の方法で開始できます。Including the scan schedule, the scan for software updates compliance can start in the following ways:

  • ソフトウェア更新プログラムのスキャンのスケジュール: ソフトウェア更新プログラムのコンプライアンス対応のスキャンは、ソフトウェアの更新クライアント エージェント設定で構成されるスキャン スケジュールで指定された時刻に実行されます。Software updates scan schedule: The scan for software updates compliance starts at the configured scan schedule that is configured in the Software Updates Client Agent settings. ソフトウェア更新プログラムのクライアント設定の構成方法の詳細については、「software updates client settings」(ソフトウェア更新プログラムのクライアント設定) を参照してください。For more information about how to configure the Software Updates client settings, see software updates client settings.

  • Configuration Manager のプロパティの操作: ユーザーは、クライアント コンピューターの [Configuration Manager のプロパティ] ダイアログ ボックスの [操作] タブから [ソフトウェア更新プログラムのスキャン サイクル] 操作または [ソフトウェア更新プログラムの展開評価サイクル] 操作を開始できます。Configuration Manager Properties action: The user can start the Software Updates Scan Cycle or Software Updates Deployment Evaluation Cycle action on the Action tab in the Configuration Manager Properties dialog box on the client computer.

  • 展開の再評価スケジュール: ソフトウェア更新プログラムのコンプライアンス対応の展開評価とスキャンは、ソフトウェアの更新クライアント エージェント設定で構成される展開再評価スケジュールで指定された時刻に実行されます。Deployment reevaluation schedule: The deployment evaluation and scan for software updates compliance starts at the configured deployment reevaluation schedule, which is configured in the Software Updates Client Agent settings. ソフトウェア更新プログラムのクライアント設定の詳細については、「software updates client settings」(ソフトウェア更新プログラムのクライアント設定) を参照してください。For more information about the Software Updates client settings, see software updates client settings.

  • 更新プログラム ファイルのダウンロード前: クライアント コンピューターが新しい必須の展開の割り当てポリシーを受信すると、ソフトウェア更新クライアント エージェントは、ソフトウェア更新プログラム ファイルをローカル クライアント キャッシュにダウンロードします。Prior to downloading update files: When a client computer receives an assignment policy for a new required deployment, the Software Updates Client Agent downloads the software update files to the local client cache. ソフトウェア更新プログラム ファイルをダウンロードする前に、クライアント エージェントは、スキャンを開始し、ソフトウェア更新プログラムがまだ必要であることを確認します。Before downloading the software update files, the client agent starts a scan to verify that the software update is still required.

  • ソフトウェア更新プログラムのインストール前: ソフトウェア更新プログラムをインストールする直前に、ソフトウェア更新クライアント エージェントは、スキャンを開始し、ソフトウェア更新プログラムがまだ必要であることを確認します。Prior to software update installation: Just before the software update installation, the Software Updates Client Agent starts a scan to verify that the software updates are still required.

  • ソフトウェア更新プログラムのインストール後: ソフトウェア更新プログラムのインストール直後、ソフトウェア更新クライアント エージェントは、スキャンを開始してソフトウェア更新プログラムが現在必要でないことを確認し、ソフトウェア更新プログラムがインストールされたことを示す新しい状態メッセージを作成します。After software update installation: Just after a software update installation is complete, the Software Updates Client Agent starts a scan to verify that the software updates are no longer required and creates a new state message that states that the software update is installed. インストールの完了後に再起動が必要な場合は、クライアント コンピューターが再起動を保留中であることが状態メッセージに示されます。When the installation has finished, but a restart is necessary, the state message indicates that the client computer is pending a restart.

  • システムの再起動後: ソフトウェア更新プログラムのインストールを完了するためにクライアント コンピューターがシステムの再起動を保留している場合は、再起動後にソフトウェア更新クライアント エージェントがスキャンを開始してソフトウェア更新プログラムが必要でないことを確認し、ソフトウェア更新プログラムがインストールされたことを示す状態メッセージを作成します。After system restart: When a client computer is pending a system restart for the software update installation to finish, the Software Updates Client Agent starts a scan after the restart to verify that the software update is no longer required and creates a state message that states that the software update is installed.

Time to Live の値Time to live value

ソフトウェアの更新プログラムのコンプライアンス対応のスキャンに必要なソフトウェア更新プログラムのメタデータは、ローカル クライアント コンピューターに保存され、既定で最大 24 時間保持されます。The software updates metadata that is required for the scan for software updates compliance is stored on the local client computer, and by default, is relevant for up to 24 hours. この値は待機時間 (TTL) とも呼ばれます。This value is known as the Time to Live (TTL).

ソフトウェア更新プログラムのコンプライアンス対応スキャンの種類Scan for software updates compliance types

クライアントは、ソフトウェア更新プログラムのコンプライアンス対応スキャンが開始された方法により、オンライン スキャンまたはオフライン スキャンおよび強制スキャンまたは非強制スキャンを使用します。The client scans for software updates compliance by using an online or offline scan and a forced or non-forced scan, depending on the way the scan for software updates compliance is started. 次に、スキャンの開始方法に対応するオンラインとオフラインの別、および強制と非強制の別を示して説明します。The following describes which methods for starting the scan are online or offline and whether the scan is forced or non-forced.

  • ソフトウェア更新プログラムのスキャンのスケジュール (非強制オンライン スキャン)Software updates scan schedule (non-forced online scan)

    構成済みのスキャン スケジュールに従って、前回のスキャンが TTL 外の場合のみ、クライアントはソフトウェア更新ポイントで実行されている WSUS に接続して、ソフトウェア更新プログラムのメタデータを取得します。At the configured scan schedule, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • ソフトウェア更新プログラムのスキャン サイクルまたはソフトウェア更新プログラムの展開評価サイクル (強制オンライン スキャン)Software Updates Scan Cycle or Software Updates Deployment Evaluation Cycle (forced online scan)

    クライアント コンピューターは常に、ソフトウェア更新プログラムのコンプライアンス対応のスキャンの前に、アクティブなソフトウェアの更新ポイントで実行されている WSUS に接続して、ソフトウェア更新プログラムのメタデータを取得します。The client computer always connects to WSUS running on the software update point to retrieve the software updates metadata before the client computer scans for software updates compliance. スキャンが完了すると、TTL カウンターがリセットされます。After the scan is complete, the TTL counter is reset. たとえば、TTL が 24 時間の場合、ユーザーがソフトウェア更新プログラムのコンプライアンス対応のスキャンを開始した後、TTL は 24 時間にリセットされます。For example, if the TTL is 24 hours, after a user starts a scan for software updates compliance, the TTL is reset to 24 hours.

  • 展開の再評価スケジュール (非強制オンライン スキャン)Deployment reevaluation schedule (non-forced online scan)

    構成済みの展開の再評価スケジュールに従って、前回のスキャンが TTL 外の場合のみ、クライアントはソフトウェアの更新ポイントで実行されている WSUS に接続して、ソフトウェア更新プログラムのメタデータを取得します。At the configured deployment reevaluation schedule, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • 更新プログラム ファイルのダウンロード前 (非強制オンライン スキャン)Prior to downloading update files (non-forced online scan)

    必須の展開に含まれる更新プログラム ファイルをダウンロードするには、その前に、前回のスキャンが TTL 外の場合のみ、クライアントはソフトウェアの更新ポイントで実行されている WSUS に接続して、ソフトウェア更新プログラムのメタデータを取得する必要があります。Before the client can download update files in required deployments, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • ソフトウェア更新プログラムのインストール前(非強制オンライン スキャン)Prior to software update installation (non-forced online scan)

    必須の展開に含まれるソフトウェア更新プログラムをインストールするには、その前に、前回のスキャンが TTL 外の場合のみ、クライアントはソフトウェアの更新ポイントで実行されている WSUS に接続して、ソフトウェア更新プログラムのメタデータを取得する必要があります。Before the client installs software updates in required deployments, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • ソフトウェア更新プログラムのインストール後(強制オフライン スキャン)After software update installation (forced offline scan)

    ソフトウェア更新プログラムがインストールされた後、ソフトウェアの更新クライアント エージェントは、ローカル メタデータを使用してスキャンを開始します。After a software update is installed, the Software Updates Client Agent starts a scan by using the local metadata. クライアントが、ソフトウェアの更新ポイントで実行されている WSUS に接続して、ソフトウェア更新プログラムのメタデータを取得することはありません。The client never connects to WSUS running on the software update point to retrieve software updates metadata.

  • システムの再起動後 (強制オフライン スキャン)After system restart (forced offline scan)

    ソフトウェア更新プログラムがインストールされ、コンピューターが再起動された後、ソフトウェアの更新クライアント エージェントは、ローカル メタデータを使用してスキャンを開始します。After a software update is installed and the computer is restarted, the Software Updates Client Agent starts a scan by using the local metadata. クライアントが、ソフトウェアの更新ポイントで実行されている WSUS に接続して、ソフトウェア更新プログラムのメタデータを取得することはありません。The client never connects to WSUS running on the software update point to retrieve software updates metadata.

ソフトウェア更新プログラムの展開パッケージSoftware update deployment packages

ソフトウェア更新プログラムの展開パッケージは、ソフトウェア更新プログラムをネットワーク共有フォルダーにダウンロードし、サイト サーバーと展開で定義される配布ポイント上のコンテンツ ライブラリに、ソフトウェア更新プログラムのソース ファイルをコピーするためのツールです。A software update deployment package is the vehicle used to download software updates to a network shared folder, and copy the software update source files to the content library on site servers and on distribution points that are defined in the deployment. 更新プログラムのダウンロード ウィザードを使用して、ソフトウェア更新プログラムをダウンロードし、展開する前に展開パッケージに追加できます。By using the Download Updates Wizard, you can download software updates and add them to deployment packages before you deploy them. このウィザードでは、ソフトウェア更新プログラムをクライアントに展開する前に、配布ポイント上でソフトウェア更新プログラムをプロビジョニングし、その部分の展開プロセスが正常に行われることを確認できます。This wizard lets you provision software updates on distribution points and verify that this part of the deployment process is successful before you deploy the software updates to clients.

ソフトウェア更新プログラムの展開ウィザードを使用してダウンロード済みのソフトウェア更新プログラムを展開する場合は、展開で各ソフトウェア更新プログラムが含まれる展開パッケージが自動的に使用されます。When you deploy downloaded software updates by using the Deploy Software Updates Wizard, the deployment automatically uses the deployment package that contains the software updates. ダウンロードしていないソフトウェア更新プログラムを展開する場合は、ソフトウェア更新プログラムの展開ウィザードで新規または既存の展開パッケージを指定する必要があります。ウィザードの完了時にソフトウェア更新プログラムがパッケージにダウンロードされます。When software updates that have not been downloaded are deployed, you must specify a new or existing deployment package in the Deploy Software Updates Wizard, and the software updates are downloaded when the wizard is finished.

重要

ウィザードで指定する前に、展開パッケージのソース ファイル用の共有ネットワーク フォルダーを手動で作成する必要があります。You must manually create the shared network folder for the deployment package source files before you specify it in the wizard. 展開パッケージごとに異なる共有ネットワーク フォルダーを使用する必要があります。Each deployment package must use a different shared network folder.

重要

ソフトウェアの更新プログラムを実際にダウンロードする SMS プロバイダー コンピューター アカウントと管理者ユーザーのどちらにも、パッケージ ソースへの 書き込み アクセス許可が必要です。The SMS Provider computer account and the administrative user who actually downloads the software updates both require Write permissions to the package source. パッケージ ソースへのアクセスを制限して、パッケージ ソース内のソフトウェア更新プログラムのソース ファイルが攻撃者により改ざんされるリスクを低減します。Restrict access to the package source to reduce the risk of an attacker tampering with the software updates source files in the package source.

新しい展開パッケージを作成すると、ソフトウェア更新プログラムがダウンロードされるまではコンテンツ バージョンが 1 に設定されます。When a new deployment package is created, the content version is set to 1 before any software updates are downloaded. パッケージを使用してソフトウェアの更新ファイルをダウンロードすると、コンテンツ バージョンは 2 に上がります。When the software update files are downloaded by using the package, the content version is incremented to 2. そのため、すべての新しい展開パッケージは、コンテンツ バージョン 2 から開始します。Therefore, all new deployment packages start with a content version of 2. 展開パッケージでコンテンツが変更されるたびに、コンテンツ バージョンは 1 ずつ上がります。Every time that the content changes in a deployment package, the content version is incremented by 1. 詳しくは、「コンテンツ管理の基本的な概念」を参照してください。For more information, see Fundamental concepts for content management.

クライアントでは、展開パッケージに関係なく、ソフトウェア更新プログラムが利用可能な任意の配布ポイントを使用して、展開内のソフトウェア更新プログラムをインストールします。Clients install software updates in a deployment by using any distribution point that has the software updates available, regardless of the deployment package. アクティブな展開の展開パッケージが削除された場合でも、各更新プログラムが他の展開パッケージの少なくとも 1 つにダウンロードされており、クライアントからアクセスできる配布ポイントで利用可能である限り、クライアントで展開のソフトウェア更新プログラムをインストールできます。Even if a deployment package is deleted for an active deployment, clients still can install the software updates in the deployment as long as each update was downloaded to at least one other deployment package and is available on a distribution point that can be accessed from the client. ソフトウェア更新プログラムを含む最後の展開パッケージが削除されると、ソフトウェア更新プログラムが再度展開パッケージにダウンロードされるまで、クライアント コンピューターはソフトウェア更新プログラムを取得できません。When the last deployment package that contains a software update is deleted, client computers cannot retrieve the software update until the update is downloaded again to a deployment package. 更新プログラム ファイルがどの展開パッケージにもない場合、ソフトウェア更新プログラムは Configuration Manager コンソールに赤い矢印付きで表示されます。Software updates appear with a red arrow in the Configuration Manager console when the update files are not in any deployment packages. このような状態の更新プログラムを含む展開には赤色の二重矢印が表示されます。Deployments appear with a double red arrow if they contain any updates in this condition.

ソフトウェア更新プログラムの展開ワークフローSoftware update deployment workflows

環境にソフトウェア更新プログラムを展開する主な方法には、手動展開と自動展開の 2 種類があります。There are two main scenarios for deploying software updates in your environment, manual deployment and automatic deployment. 通常、ソフトウェア更新プログラムを手動で展開してクライアント コンピューターのベースラインを作成し、次に、自動展開を使用してクライアントのソフトウェア更新を管理します。Typically, you deploy software updates manually to create a baseline for client computers, and then you manage software updates on clients by using automatic deployment. 以下のセクションで、ソフトウェア更新プログラムの手動展開と自動展開のワークフローの概要を説明します。The following sections provide a summary for the workflow for manual and automatic deployment for software updates.

ソフトウェア更新プログラムの手動展開Manual deployment of software updates

ソフトウェア更新プログラムの手動展開は、Configuration Manager コンソールでソフトウェア更新プログラムを選択し、展開プロセスを手動で開始するプロセスです。Manual deployment of software updates is the process of selecting software updates in the Configuration Manager console and manually starting the deployment process. 継続的な月ごとのソフトウェア更新プログラムの展開を管理する自動展開規則を作成する前に、必要なソフトウェア更新プログラムでクライアントを最新の状態にする場合と、帯域外のソフトウェア更新プログラム要件を展開する場合は、通常、この展開方法を使用します。You typically use this method of deployment to get the client computers up-to-date with required software updates before you create automatic deployment rules that manage ongoing monthly software update deployments, and to deploy out of band software update requirements. 次の一覧に、ソフトウェア更新プログラムの手動展開の一般的なワークフローを示します。The following list provides the general workflow for manual deployment of software updates:

  1. 特定の要件を使用するソフトウェア更新プログラムをフィルター処理します。Filter for software updates that use specific requirements. たとえば、50 を超えるクライアント コンピューターで必要なすべてのセキュリティまたは重要なソフトウェア更新プログラムを取得する条件を指定できます。For example, you could provide criteria that retrieves all security or critical software updates that are required on more than 50 client computers.

  2. ソフトウェア更新プログラムを格納するソフトウェア更新プログラム グループを作成します。Create a software update group that contains the software updates.

  3. ソフトウェア更新プログラム グループにソフトウェア更新プログラムのコンテンツをダウンロードします。Download the content for the software updates in the software update group.

  4. 手動でソフトウェア更新プログラム グループを展開します。Manually deploy the software update group.

ソフトウェア更新プログラムの自動展開Automatic deployment of software updates

ソフトウェア更新プログラムの自動展開は自動展開規則 (ADR) を使用して構成します。Automatic software updates deployment is configured by using an automatic deployment rule (ADR). 月ごとのソフトウェア更新プログラム (一般的に、月例修正ファイルとして知られています) と、定義の更新の管理には、通常、この展開方法を使用します。You typically use this method of deployment for your monthly software updates (generally known as Patch Tuesday) and for managing definition updates. ルールの実行時、ソフトウェアの更新プログラムがソフトウェアの更新プログラム グループから削除され (既存グループを使用する場合)、指定した基準 (たとえば、先週リリースされたすべてのセキュリティ ソフトウェア更新プログラム) を満たすソフトウェアの更新プログラムがソフトウェアの更新プログラム グループに追加され、ソフトウェアの更新プログラムのコンテンツ ファイルがダウンロードされ、配布ポイントにコピーされ、ソフトウェアの更新プログラムがターゲット コレクションのクライアント コンピューターに展開されます。When the rule runs, software updates are removed from the software update group (if using an existing group), the software updates that meet a specified criteria (for example, all security software updates released in the last week) are added to a software update group, the content files for the software updates are downloaded and copied to distribution points, and the software updates are deployed to client computers in the target collection. 次の一覧に、ソフトウェア更新プログラムの自動展開の一般的なワークフローを示します。The following list provides the general workflow for automatic deployment of software updates:

  1. 次のような展開設定を指定する ADR を作成します。Create an ADR that specifies deployment settings such as the following:

    • ターゲット コレクションTarget collection

    • 展開を有効にするか、ターゲット コレクションに含まれるクライアント コンピューターのソフトウェア更新プログラム対応についてレポートするかを決定します。Decide whether to enable the deployment or report on software updates compliance for the client computers in the target collection

    • ソフトウェア更新条件Software updates criteria

    • 評価および展開のスケジュールEvaluation and deployment schedules

    • ユーザー側の表示と操作User experience

    • ダウンロードのプロパティDownload properties

  2. ソフトウェア更新プログラムがソフトウェア更新プログラム グループに追加されます。The software updates are added to a software update group.

  3. ソフトウェア更新プログラム グループは、ターゲット コレクションが指定されている場合、そのターゲット コレクションのクライアント コンピューターに展開されます。The software update group is deployed to the client computers in the target collection, if it is specified.

    環境で使用する展開戦略を決定する必要があります。You must determine what deployment strategy to use in your environment. たとえば、ADR を作成して、テスト用クライアントのコレクションをターゲットにします。For example, you might create the ADR and target a collection of test clients. ソフトウェア更新プログラムがテスト グループにインストールされることを確認した後で、規則に新しい展開を追加したり、この既存の展開規則に指定したコレクションを、さらに多くのクライアントが含まれるターゲット コレクションに変更したりすることができます。After you verify that the software updates are installed on the test group, you can add a new deployment to the rule or change the collection in the existing deployment to a target collection that includes a larger set of clients. ADR で作成されるソフトウェア更新プログラムのオブジェクトは双方向です。The software update objects that are created by the ADRs are interactive.

  • ADR を使用して展開されたソフトウェア更新プログラムは、ターゲット コレクションに追加された新しいクライアントに自動的に展開されます。Software updates that were deployed by using an ADR are automatically deployed to new clients added to the target collection.

  • ソフトウェア更新プログラム グループに追加された新しいソフトウェア更新プログラムは、ターゲット コレクションのクライアントに自動的に展開されます。New software updates added to a software update group are automatically deployed to the clients in the target collection.

  • ADR では、展開をいつでも有効または無効にできます。You can enable or disable deployments at any time for the ADR.

    ADR を作成した後、ルールにさらに他の展開を追加できます。After you create an ADR, you can add additional deployments to the rule. これにより、コレクションごとに異なる更新プログラムを展開する複雑さが軽減されます。This can help you manage the complexity of deploying different updates to different collections. それぞれの新しい展開がさまざまな機能と展開監視エクスペリエンスを備え、追加するそれぞれの新しい展開には次の機能があります。Each new deployment has the full range of functionality and deployment monitoring experience, and each new deployment that you add:

  • ADR を初めて実行したときに作成されたものと同じ更新グループとパッケージを使用します。Uses the same update group and package which is created when the ADR first runs

  • 別のコレクションを指定することができます。Can specify a different collection

  • 次のような独自の展開プロパティをサポートします。Supports unique deployment properties including:

    • アクティベーション時間Activation time

    • 期限Deadline

    • エンド ユーザー エクスペリエンスの表示/非表示Show or hide end user experience

    • この展開の個別のアラートSeparate alerts for this deployment

ソフトウェア更新プログラムの展開プロセスSoftware update deployment process

ソフトウェア更新プログラムを展開した後、または、自動展開規則が実行されソフトウェア更新プログラムが展開されるときに、展開割り当てポリシーがサイトのコンピューター ポリシーに追加されます。After you deploy software updates or when an automatic deployment rule runs and deploys software updates, a deployment assignment policy is added to the machine policy for the site. ソフトウェア更新プログラムは、ダウンロード先、インターネット、または、ネットワーク共有フォルダーからパッケージ ソースにダウンロードされます。The software updates are downloaded from the download location, the Internet, or network shared folder, to the package source. ソフトウェア更新プログラムはパッケージ ソースからサイト サーバーのコンテンツ ライブラリにコピーされ、次に、配布ポイントのコンテンツ ライブラリにコピーされます。The software updates are copied from the package source to the content library on the site server, and then copied to the content library on the distribution point.

展開のターゲット コレクションのクライアント コンピューターがコンピューター ポリシーを受け取ると、ソフトウェア更新クライアント エージェントが評価スキャンを開始します。When a client computer in the target collection for the deployment receives the machine policy, the Software Update Client Agent starts an evaluation scan. クライアント エージェントが、展開に設定された [ソフトウェアが使用可能な時間] に必要なソフトウェア更新プログラムのコンテンツを配布ポイントからローカルのクライアント キャッシュにダウンロードすると、そのソフトウェア更新プログラムがインストールに使用できるようになります。The client agent downloads the content for required software updates from a distribution point to the local client cache at the Software available time setting for the deployment and then the software updates are available to install. オプションの展開 (インストールの期限がない展開) のソフトウェア更新プログラムはユーザーが手動でインストールを開始するまでダウンロードされません。The software updates in optional deployments (deployments that do not have an installation deadline) are not downloaded until a user manually starts the installation.

構成した期限が過ぎると、ソフトウェア更新クライアント エージェントはスキャンを実行して、まだソフトウェア更新プログラムが必要かどうかを検証します。When the configured deadline passes, the Software Updates Client Agent performs a scan to verify that the software updates are still required. その後、クライアント コンピューターのローカル キャッシュを確認して、ソフトウェア更新プログラムのソース ファイルがまだ利用可能かどうかを検証します。Then it checks the local cache on the client computer to verify that the software update source files are still available. 最後に、クライアントがソフトウェア更新プログラムをインストールします。Finally, the client installs the software updates. 別の展開用の空き領域を確保するためにコンテンツがクライアント キャッシュから削除された場合、クライアントはソフトウェア更新プログラムを配布ポイントからクライアント キャッシュに再ダウンロードします。If the content was deleted from the client cache to make room for another deployment, the client re-downloads the software updates from the distribution point to the client cache. 構成された最大クライアント キャッシュ サイズに関係なく、ソフトウェア更新プログラムは常にクライアント キャッシュにダウンロードされます。Software updates are always downloaded to the client cache regardless of the configured maximum client cache size. インストールが完了すると、クライアント エージェントはソフトウェア更新プログラムが必要なくなったことを検証し、ソフトウェア更新プログラムがクライアントにインストールされたことを示す状態メッセージを管理ポイントに送信します。When the installation is complete, the client agent verifies that the software updates are no longer required, and then sends a state message to the management point to indicate that the software updates are now installed on the client.

必要なシステムの再起動Required system restart

既定では、必要な展開からのソフトウェア更新プログラムがクライアント コンピューターにインストールされたときに、インストールを完了するためにシステムの再起動が必要な場合、システムの再起動が開始されます。By default, when software updates from a required deployment are installed on a client computer and a system restart is required for the installation to finish, the system restart is started. 期限の前にインストールされたソフトウェア更新プログラムの場合、コンピューターが他の理由で期限の前に再起動されない限り、自動でのシステムの再起動は期限まで延期されます。For software updates that were installed before the deadline, the automatic system restart is postponed until the deadline, unless the computer is restarted before that for some other reason. サーバーおよびワークステーションに対しては、システムの再起動を抑制できます。The system restart can be suppressed for servers and workstations. これらの設定は、ソフトウェア更新プログラムの展開ウィザードまたは自動更新規則の作成ウィザードの [ユーザー側の表示と操作] ページで構成します。These settings are configured in the User Experience page of the Deploy Software Updates Wizard or Create Automatic Updates Rule Wizard.

展開再評価サイクルDeployment reevaluation cycle

既定では、クライアント コンピューターは、展開再評価サイクルを 7 日ごとに開始します。By default, client computers start a deployment reevaluation cycle every 7 days. この評価サイクル中に、クライアント コンピューターは、以前に展開およびインストールされたソフトウェア更新プログラムをスキャンします。During this evaluation cycle, the client computer scans for software updates that were previously deployed and installed. 不足しているソフトウェア更新プログラムがある場合、そのソフトウェア更新プログラムがローカル キャッシュから再インストールされます。If any software updates are missing, the software updates are reinstalled from the local cache. ソフトウェア更新プログラムがローカル キャッシュで利用できなくなっている場合、配布ポイントからダウンロードされ、インストールされます。If a software update is no longer available in the local cache, it is downloaded from a distribution point and then installed. サイトのクライアント設定の [ソフトウェア更新プログラム] ページで、再評価のスケジュールを構成できます。You can configure the reevaluation schedule on the Software Updates page in client settings for the site.

書き込みフィルターを使用する Windows Embedded デバイスのサポートSupport for Windows embedded devices that use write filters

書き込みフィルターが有効にされた Windows Embedded デバイスにソフトウェア更新プログラムを展開するときに、展開中にデバイスで書き込みフィルターを無効にし、展開後にデバイスを再起動するかどうかを指定できます。When you deploy software updates to Windows Embedded devices that are write filter-enabled, you can specify whether to disable the write filter on the device during the deployment and then restart the device after the deployment. 書き込みフィルターが有効な場合、ソフトウェアは一時オーバーレイに展開され、別の展開によって変更の保持が強制されない限り、デバイスの再起動時にインストールされません。If the write filter is not disabled, the software is deployed to a temporary overlay and the software will no longer be installed when the device restarts unless another deployment forces changes to be persisted.

注意

ソフトウェア更新プログラムを Windows Embedded デバイスに展開する場合、デバイスが、メンテナンス期間が構成されたコレクションのメンバーであることを確認します。When you deploy a software update to a Windows Embedded device, make sure that the device is a member of a collection that has a configured maintenance window. これにより、書き込みフィルターを無効または有効にするタイミングと、デバイスを再起動するタイミングを管理できます。This lets you manage when the write filter is disabled and enabled, and when the device restarts.

書き込みフィルターの動作を制御するユーザー エクスペリエンス設定は、 [メンテナンスの期限または期間中の変更を確定する (再起動が必要)] という名前のチェック ボックスです。The user experience setting that controls the write filter behavior is a check box named Commit changes at deadline or during a maintenance windows (requires restarts).

書き込みフィルターを使用する内蔵デバイスを Configuration Manager が管理するしくみの詳細については、「Planning for client deployment to Windows Embedded devices」(Windows Embedded デバイスへのクライアント展開の計画) を参照してください。For more information about how Configuration Manager manages embedded devices that use write filters, see Planning for client deployment to Windows Embedded devices.

Configuration Manager でのソフトウェア更新プログラムの拡張Extend software updates in Configuration Manager

Microsoft Update から利用できないソフトウェア更新プログラムを管理するには、System Center Updates Publisher を使用します。Use System Center Updates Publisher to manage software updates that are not available from Microsoft Update. ソフトウェア更新プログラムを更新サーバーに公開し、Configuration Manager でソフトウェア更新プログラムを同期した後で、そのソフトウェア更新プログラムを Configuration Manager クライアントに展開できます。After you publish the software updates to the update server and synchronize the software updates in Configuration Manager, you can deploy the software updates to Configuration Manager clients. Updates Publisher の詳細については、「Updates Publisher 2011」を参照してください。For more information about Updates Publisher, see Updates Publisher 2011.

次のステップNext steps

ソフトウェア更新プログラムの計画Plan for software updates