グループ ポリシーを使用して既知の問題ロールバックを展開する方法

この記事では、管理対象デバイスで KIR をアクティブ化する既知の問題ロールバック (KIR) ポリシー定義を使用するグループ ポリシーを構成する方法について説明します。

適用対象:  WindowsServer 2019 バージョン 1809 以降のバージョン。Windows 10 Version 1809以降のバージョン

概要

Microsoft は、Windows Server 2019 および Windows 10 バージョン 1809 以降のバージョンのKIRという名前の新しい Windows サービス テクノロジを開発しました。 サポートされているバージョンの更新プログラムWindows、KIR は Update リリースのセキュリティ以外の部分として適用された特定の変更をロールバックWindowsします。 そのリリースの一部として行われたその他のすべての変更はそのまま残ります。 このテクノロジを使用すると、Windows 更新プログラムによって回帰などの問題が発生した場合、更新プログラム全体をアンインストールして、システムを最後に既知の良好な構成に戻す必要はありません。 問題の原因となる変更のみをロールバックします。 このロールバックは一時的なものです。 Microsoft が問題を修正する新しい更新プログラムをリリースした後、ロールバックは不要になります。

重要

KIRs はセキュリティ以外の更新プログラムにのみ適用されます。 これは、セキュリティ以外の更新プログラムの修正プログラムをロールバックしても、潜在的なセキュリティの脆弱性が生じないのでです。

Microsoft は、企業以外のデバイスの KIR 展開プロセスを管理します。 エンタープライズ デバイスの場合、Microsoft は KIR ポリシー定義 MSI ファイルを提供します。 その後、エンタープライズはグループ ポリシーを使用して、ハイブリッド Azure Active Directory (Azure AD) または Active Directory ドメイン サービス (AD DS) ドメインに KIRs を展開できます。

注意

このグループ ポリシーの変更を適用するには、影響を受けるコンピューターを再起動する必要があります。

KIR プロセス

セキュリティ以外の更新プログラムに重大な回帰または類似の問題が発生したと Microsoft が判断した場合、Microsoft は KIR を生成します。 Microsoft は、正常性ダッシュボードで KIR Windowsし、次の場所に情報を追加します。

エンタープライズ以外のお客様の場合、更新プロセスWindows KIR が自動的に適用されます。 ユーザーの操作は必要ありません。

エンタープライズのお客様に対して、Microsoft はポリシー定義 MSI ファイルを提供します。 Enterpriseユーザーは、エンタープライズ グループ ポリシー インフラストラクチャを使用して KIR を管理システムに伝達できます。

KIR MSI ファイルの例を確認するには、Windows 10 (2004 & 20H2) 既知の問題ロールバック 031321 01.msi。

KIR ポリシー定義の寿命は限られています (数か月、多く)。 Microsoft が修正された更新プログラムを発行して元の問題に対処した後、KIR は不要になります。 その後、ポリシー定義をグループ ポリシー インフラストラクチャから削除できます。

グループ ポリシーを使用して 1 つのデバイスに KIR を適用する

グループ ポリシーを使用して 1 つのデバイスに KIR を適用するには、次の手順を実行します。

  1. KIR ポリシー定義 MSI ファイルをデバイスにダウンロードします。

    重要

    ファイル名に一覧表示されているオペレーティング システム.msi、更新するデバイスのオペレーティング システムと一致します。

  2. デバイスで.msiファイルを実行します。 このアクションは、管理用テンプレートに KIR ポリシー定義をインストールします。
  3. ローカル グループ ポリシー エディターを開きます。 これを行うには、[スタート] を選択、gpedit.msc と入力します
  4. [ローカル コンピューター ポリシー > コンピューター構成管理 用テンプレート] KB [ > > ####### 問題] XXX ロールバック > Windows 10 バージョン YYMM を選択します。

    注意

    この手順では ####### 、問題の原因となる更新プログラムの KB 記事番号を指定します。 XXX は問題番号で 、YYMM はWindows 10番号です。

  5. ポリシーを右クリックし、[無効な OK の編集] > > 選択します
  6. デバイスを再起動します。

ローカル グループ ポリシー エディターの使用方法の詳細については、「ローカル グループ ポリシー エディターを使用した管理用テンプレート ポリシー設定の操作 」を参照してください

グループ ポリシーを使用して、ハイブリッド ドメインまたは DS ドメイン内Azure ADデバイスAD適用する

ハイブリッド ドメインまたは DS ドメインに属するデバイスに KIR Azure AD定義AD、次の手順を実行します。

  1. KIR MSI ファイルをダウンロードしてインストールする
  2. グループ ポリシー オブジェクト (GPO) を作成します
  3. GPO を適用する WMI フィルターを作成して構成します
  4. GPO と WMI フィルターをリンクします
  5. GPO を構成します
  6. GPO の結果を監視します

1. KIR MSI ファイルをダウンロードしてインストールする

  1. KIR のリリース情報または既知の問題の一覧を確認して、更新する必要があるオペレーティング システムのバージョンを特定します。
  2. KIR ポリシー定義をダウンロード.msiグループ ポリシーの管理に使用するコンピューターに更新する必要があるファイルをダウンロードします。
  3. ファイルを.msiします。 このアクションは、管理用テンプレートに KIR ポリシー定義をインストールします。

    注意

    ポリシー定義は 、C:\Windows\PolicyDefinitions フォルダーにインストール されます。 グループ ポリシー セントラル ストアを実装している場合は、.admx ファイルと .adml ファイルをセントラル ストアにコピーする必要があります。

2. GPO を作成する

  1. [グループ ポリシー管理コンソール] を開き、[フォレスト : DomainName ドメイン] > を選択します
  2. ドメイン名を右クリックし、[このドメインに GPO を作成する] を選択し、 ここにリンクします
  3. 新しい GPO の名前 (KIR Issue XXXなど) を入力し 、[OK] を選択します

GPO を作成する方法の詳細については、「グループ ポリシー オブジェクトの作成 」を参照してください

3. GPO を適用する WMI フィルターを作成および構成する

  1. [WMI フィルター] を右クリックし、[新規] を 選択します

  2. 新しい WMI フィルターの名前を入力します。

  3. すべてのデバイス、バージョン 2004 デバイスへのフィルター Windows 10 WMI フィルターの説明を入力します。

  4. [追加] を選択します。

  5. [ クエリ] に、次のクエリ文字列を入力します。

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>
    

    重要

    この文字列では <VersionNumber> 、GPO をWindowsするバージョンを表します。 バージョン番号では、次の形式を使用する必要があります (文字列で数値を使用する場合は角かっこを除外します)。

    10.0.xxxxx

    xxxxx は 5 桁の数字です。 現在、KIRs は次のバージョンをサポートしています。

    バージョン ビルド番号
    Windows 10バージョン 20H2 10.0.19042
    Windows 10バージョン 2004 10.0.19041
    Windows 10バージョン 1909 10.0.18363
    Windows 10バージョン 1903 10.0.18362
    Windows 10 Version 1809 10.0.17763

    リリースとビルド番号の最新のWindowsについては、「Windows 10 - リリース情報」を参照してください

    重要

    [リリース情報] ページにWindows 10ビルド番号には 、10.0 プレフィックスは含 めされません。 クエリでビルド番号を使用するには 、10.0 プレフィックスを追加する必要 があります。

WMI フィルターを作成する方法の詳細については 、「CREATE WMI Filters for the GPO」を参照してください

  1. 前に作成した GPO を選択し 、[WMI フィルター] メニューを開き、作成した WMI フィルターを選択します。
  2. [ はい] を 選択してフィルターを受け入れる。

5. GPO を構成する

GPO を編集して KIR ライセンス認証ポリシーを使用する

  1. 前に作成した GPO を右クリックし [、編集] を 選択します
  2. グループ ポリシー エディターで 、[GPOName_> _ Computer Configuration >管理用テンプレート > **KB  *####### *** Issue XXX Rollback > Windows 10 バージョン YYMM] を選択します。
  3. ポリシーを右クリックし、[無効な OK の編集] > > 選択します

GPO を編集する方法の詳細については、「GPMC からグループ ポリシー オブジェクトを編集する」 を参照してください

6. GPO の結果を監視する

グループ ポリシーの既定の構成では、管理対象デバイスは 90 ~ 120 分以内に新しいポリシーを適用する必要があります。 このプロセスを高速化するには、影響を受けるデバイスで実行して gpupdate 、更新されたポリシーを手動で確認できます。

ポリシーを適用した後、影響を受ける各デバイスが再起動します。

重要

この問題が発生した修正プログラムは、デバイスがポリシーを適用してから再起動した後で無効になります。

詳細情報