その他の Windows Update 設定の管理

適用対象

  • Windows10
  • Windows 10 Mobile

ユーザー向けの情報をお探しの場合は、Windows Update: FAQ」をご覧ください。

グループ ポリシー設定またはモバイル デバイス管理 (MDM) を使用して、Windows 10 デバイスでの Windows Update (WU) の動作を構成できます。 更新プログラムの検出頻度の構成、更新プログラムを受信するタイミング、更新サービスの場所の指定などを行うことができます。

重要

Windows 10 では、Windows Update に関するグループ ポリシーのユーザー構成の設定値は非推奨となったため、このプラットフォームではサポートされていません。

Windows Update の設定の概要

グループ ポリシー設定 MDM 設定 サポートされるバージョン
イントラネットの Microsoft 更新サービスの場所を指定する UpdateServiceUrl および UpdateServiceUrlAlternate すべての
自動更新の検出頻度 DetectionFrequency 1703
Windows Update のすべての機能へのアクセスを削除する すべての
インターネット上の Windows Update に接続しない すべての
クライアント側のターゲットを有効にする すべての
イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する AllowNonMicrosoftSignedUpdate すべての
Windows Update からドライバーを除外する ExcludeWUDriversInQualityUpdate 1607
自動更新を構成する AllowAutoUpdate すべて

重要

デバイスの再起動を管理する設定についてのその他の情報、および更新プログラムが利用可能になったことを伝える再起動通知については、「更新後のデバイスの再起動の管理」をご覧ください。

機能更新プログラムと品質更新プログラムの受信タイミングを構成する追加設定は、「Windows Update for Business の構成」で説明されています。

更新プログラムのスキャン

Windows 10 では、管理者は、デバイスでの更新プログラムのスキャン方法や受信方法を柔軟に構成することができます。

[イントラネットの Microsoft 更新サービスの場所を指定する] を利用すると、管理者は、内部の Microsoft 更新サービスの場所を参照するようにデバイスに対して指示することができます。また、[インターネット上の Windows Update に接続しない] オプションを利用すると、デバイスが内部更新サービスのみを参照するように制限できます。 [自動更新の検出頻度] は、デバイスが更新プログラムをスキャンする頻度を制御します。

[クライアント側のターゲットを有効にする] を使用すると、内部の Microsoft 更新サービスを利用するカスタム デバイス グループを作成できます。 また、[イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する] を使用して、Microsoft による署名が行われていない更新プログラムを、デバイスが内部の Microsoft 更新サービスから 受信するように構成することもできます。

最後に、更新エクスペリエンスは管理者によって完全に制御されることを確認するために、ユーザーに対して [Windows Update のすべての機能へのアクセスを削除する] を使用することができます。

機能更新プログラムと品質更新プログラムの受信タイミングを構成する追加設定については、「Windows Update for Business の構成」をご覧ください。

イントラネットの Microsoft 更新サービスの場所を指定する

Microsoft Update からの更新プログラムをホストするイントラネット サーバーを指定します。 この更新サービスを使用して、ネットワーク上のコンピューターを自動的に更新できます。 この設定を使うと、内部の更新サービスとして機能する、ネットワーク上のサーバーを指定できます。 自動更新のクライアントは、このサービスにアクセスし、ネットワーク上のコンピューターに適用できる更新プログラムを検索します。

グループ ポリシーでこの設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの場所を指定する] の順に移動します。 次に、2 つのサーバー名を設定する必要があります。それらのサーバーは、自動更新クライアントが更新プログラムを検出してダウンロードするためのサーバー、および更新が完了したワークステーションが統計情報をアップロードするためのサーバーです。 両方に同じサーバーを指定することもできます。 オプションのサーバー名を指定して、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーから更新プログラムをダウンロードするように構成することができます。

この設定が [有効] と指定されている場合、自動更新クライアントは Windows Update ではなく、指定されたイントラネットの Microsoft 更新サービス (または代替ダウンロード サーバー) に接続し、更新プログラムの検索およびダウンロードを実行します。 この設定を有効にすると、組織内のエンド ユーザーはファイアウォール経由で更新プログラムを入手する必要がなくなります。また、管理者は更新プログラムを展開した後でテストできるようになります。 この設定が [無効] または [未構成] と指定されており、ポリシーやユーザー設定で自動更新が無効になっていない場合は、自動更新クライアントは直接インターネットの Windows Update サイトにアクセスします。

代替ダウンロード サーバーを利用すると、Windows Update エージェントが、イントラネットの更新サービスではなく代替ダウンロード サーバーからファイルをダウンロードするように構成することができます。 URL が示されていないファイルをダウンロードするためのオプションを利用すると、ファイルのダウンロード URL が更新プログラムのメタデータに含まれていない場合、代替ダウンロード サーバーからコンテンツをダウンロードすることができます。 このオプションは、イントラネットの更新サービスから提供されるファイルの更新プログラムのメタデータにダウンロード URL が含まれておらず、そのファイルが代替ダウンロード サーバー上に存在する場合にのみ使用してください。

注意

[自動更新を構成する] ポリシーが無効になっている場合、このポリシーは効果はありません。

"代替ダウンロード サーバー" が設定されていない場合、更新プログラムのダウンロードには、既定でイントラネットの更新サービスが使用されます。

"URL が示されていないファイルをダウンロードする" ためのオプションは、"代替ダウンロード サーバー" が設定されている場合にのみ使用します。

このポリシーを MDM で構成するには、UpdateServiceUrlUpdateServiceUrlAlternate を使用します。

自動更新の検出頻度

利用可能な更新プログラムを確認するまでの待機時間を Windows で判別するための時間数を指定します。 正確な待機時間は、ここで指定した時間から 0 ~ 20% の時間を差し引いた時間になります。 たとえば、このポリシーで検出頻度が 20 時間に指定されている場合、このポリシーが適用されるすべてのクライアントでは 16 ~ 20 時間の間で更新が確認されます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[自動更新の検出頻度] の順に移動します。

設定が [有効] と指定されている場合、Windows では指定した間隔で使用可能な更新プログラムが確認されます。 設定が [無効] または [未構成] と指定されている場合、Windows では既定の間隔である 22 時間で利用可能な更新プログラムが確認されます。

注意

このポリシーを有効にするには、[イントラネットの Microsoft 更新サービスの場所を指定する] の設定も有効にする必要があります。

[自動更新を構成する] ポリシーが無効になっている場合、このポリシーは効果はありません。

このポリシーを MDM で構成するには、DetectionFrequency を使用します。

Windows Update のすべての機能へのアクセスを削除する

管理者は、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows update]、[Windows Update のすべての機能へのアクセスを削除する] の下でグループ ポリシー設定を有効にして、ユーザーの [更新プログラムの確認] をオフにすることができます。 バック グラウンドでの更新プログラムのスキャン、ダウンロード、インストールは引き続き構成どおりに実行されます。

インターネット上の Windows Update に接続しない

イントラネットの更新サービスから更新プログラムを受信するように Windows Update が構成されている場合でも、公開されている Windows Update サービスから情報を定期的に取得して、Windows Update やその他のサービス (Microsoft Update や Microsoft Store など) に今後接続できるようにします。

このポリシーを有効にするには、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[インターネット上の Windows Update に接続しない] の順に移動します。 このポリシーが有効になっている場合、上で説明した機能が無効になります。また、公開されているサービス (Microsoft Store、Windows Update For Business、配信の最適化など) への接続が停止することがあります。

注意

このポリシーは、[イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーを使用してイントラネットの更新サービスに接続するようにデバイスが構成されているときにのみ適用されます。

クライアント側のターゲットを有効にする

イントラネットの Microsoft 更新サービスから更新プログラムを受信するために使用されるターゲットのグループ名を指定します。 これにより、管理者は、WSUS や SCCM などのソースからまざまな更新プログラムを受信するデバイス グループを構成できます。

このグループ ポリシー設定を使用するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[クライアント側のターゲットを有効にする] の順に移動します。 設定が [有効] と指定されている場合、指定されたターゲット グループの情報がイントラネットの Microsoft 更新サービスに送信されます。Microsoft 更新サービスはグループの情報を使用して、このコンピューターに展開する必要がある更新プログラムを決定します。 設定が [無効] または [未構成] と指定されている場合は、イントラネットの Microsoft 更新サービスにはターゲット グループの情報は送信されません。

イントラネットの Microsoft 更新サービスが複数のターゲット グループに対応している場合、このポリシーでは、グループ名をセミコロンで区切り、複数のグループ名を指定できます。 サポートされていない場合は、指定できるグループは 1 つだけです。

注意

このポリシーは、デバイスの接続先となるイントラネットの Microsoft 更新サービスが、クライアント側のターゲットをサポートするように構成されているときにのみ適用されます。 [イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーが無効になっているか構成されていない場合、このポリシーは効果はありません。

イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する

このポリシー設定では、Microsoft 以外のエンティティによって署名された更新プログラムがイントラネットの Microsoft 更新サービスの場所で見つかったときに、自動更新がその更新プログラムを受け入れるかどうかを管理できます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する] の順に移動します。

このポリシー設定を有効にすると、更新プログラムがイントラネットの Microsoft 更新サービスの場所 ([イントラネットの Microsoft 更新サービスの場所を指定する] で指定) に保存されており、ローカル コンピューターの "信頼された発行元" の証明書ストアに含まれている証明書によって署名されている場合、自動更新はその更新プログラムの受信を受け入れます。 このポリシー設定を無効にした場合、または構成しなかった場合、イントラネットの Microsoft 更新サービスの場所からダウンロードする更新プログラムは、Microsoft によって署名されている必要があります。

注意

イントラネットの Microsoft 更新サービス以外のサービスからダウンロードする更新プログラムには、このポリシー設定に関係なく Microsoft による署名が常に必要です。

このポリシーを MDM で構成するには、AllowNonMicrosoftSignedUpdate を使用します。

更新プログラムのインストール

更新プロセスの柔軟性をさらに高めるために、更新プログラムのインストールを制御する設定を利用できます。

[自動更新を構成する] には、更新プログラムの自動インストールに利用できる 4 種類のオプションが用意されています。また、[Windows Update からドライバーを除外する] を使用すると、ドライバーは、受信した他の更新プログラムと一緒にはインストールされなくなります。

Windows Update からドライバーを除外する

管理者は、更新中に Windows Update (WU) ドライバーを除外することができます。

グループ ポリシーでこの設定を構成するには、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[Windows Update からドライバーを除外する] の順に移動します。 Windows 品質更新プログラムにドライバーを含めないようにするには、このポリシーを有効にします。 このポリシーを無効にした場合、または構成しなかった場合は、Windows Update にドライバー分類の更新プログラムが含まれます。

自動更新を構成する

IT 管理者は、更新プログラムのスキャン、ダウンロード、およびインストールに関する自動更新の動作を管理できます。

グループポリシーを使用して自動更新を構成する

[コンピューターの構成 \ 管理用テンプレート \Windows コンポーネント Components\Windows Update\Configure 自動更新] では、次の4つのオプションのいずれかを選択する必要があります。

[2 - ダウンロードと自動インストールを通知] - このデバイスに適用する更新プログラムが Windows で見つかると、ユーザーには、ダウンロードできる更新プログラムがあることが通知されます。 [設定] > [更新とセキュリティ]> [Windows Update] の順に移動すると、使用可能なすべての更新プログラムをダウンロードしてインストールできます。

[3 - 自動ダウンロードしインストールを通知] - デバイスに適用できる更新プログラムが Windows で見つかると、これらの更新プログラムがバックグラウンドでダウンロードされます (ユーザーには通知されず、作業も中断されません)。 ダウンロードが完了すると、ユーザーには、更新プログラムをインストールする準備ができたことが通知されます。 [設定] > [更新とセキュリティ]> [Windows Update] の順に移動すると、ユーザーは更新プログラムをインストールすることができます。

[4 - 自動ダウンロードしインストール日時を指定] - グループ ポリシー設定のオプションを使用してスケジュールを指定します。 この設定について詳しくは、「更新プログラムのインストールのスケジュール設定」をご覧ください。

[5 - ローカルの管理者の設定選択を許可] - このオプションを使用すると、ローカルの管理者は設定アプリを使用して、このオプションに対応した構成オプションを選択できます。 ローカルの管理者が自動更新の構成を無効にすることはできません。

この設定が [無効] と指定されている場合は、Windows Update に利用可能な更新プログラムがあれば、手動でダウンロードしインストールする必要があります。 そのためには、[設定] > [更新とセキュリティ] > [Windows Update] の順に移動してください。

この設定が [未構成] と指定されていれば、管理者は設定アプリを使用して自動更新を構成できます。構成を行う際は、[設定] > [更新とセキュリティ] > [Windows Update] > [詳細オプション] の順に移動してください。

レジストリを編集して自動更新を構成する

!ノートレジストリエディターまたは別の方法を使用してレジストリを誤って変更した場合、重大な問題が発生する可能性があります。 これらの問題では、オペレーティングシステムの再インストールが必要になることがあります。 Microsoft は、これらの問題を解決できることを保証できません。 レジストリは、自分の責任において変更してください。

Active Directory が展開されていない環境では、レジストリ設定を編集して、自動更新用のグループポリシーを構成することができます。

これを行うには、次の手順に従います。

  1. [スタート] を選択し、"regedit" を検索して、レジストリエディターを開きます。

  2. 次のレジストリキーを開きます。

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
    
  3. 自動更新を構成するために、次のいずれかのレジストリ値を追加します。

    • NoAutoUpdate (REG_DWORD):

      • 0: 自動更新が有効になっています (既定)。

      • 1: 自動更新が無効になっています。

    • Directmusic オプション (REG_DWORD):

      • 1: 自動更新で、コンピューターを最新の状態に保ちます。

      • 2: ダウンロードとインストールの通知。

      • 3: 自動的にインストールをダウンロードして通知します。

      • 4: インストールを自動的にダウンロードしてスケジュールします。

      • ScheduledInstallDay (REG_DWORD):

        • 0: 毎日。

        • 1 ~ 7: 日曜日 (1) から土曜日 (7) までの曜日。

      • ScheduledInstallTime (REG_DWORD):

        nは、 nは24時間形式 (0-23) の時刻と等しくなります。

      • UseWUServer (REG_DWORD)

        この値を1に設定すると、Windows Update ではなく、ソフトウェア更新サービスを実行しているサーバーを使用するように自動更新が構成されます。

      • RescheduleWaitTime (REG_DWORD)

        mは、 **** 自動更新が開始される時刻と、スケジュールされた時刻が経過した時点からインストールが開始されるまでの期間を示すものです。 時刻は、1から60までの分単位で設定されます。1分を60分として表します。

        !ノートこの設定は、クライアントが SUS SP1 クライアントバージョンまたはそれ以降のバージョンに更新された後のクライアント動作にのみ影響します。

      • NoAutoRebootWithLoggedOnUsers (REG_DWORD):

        0 (false) または1 (true)。 1に設定した場合、ユーザーがログオンしている間、自動更新はコンピューターを自動的に再起動しません。

        !ノートこの設定は、クライアントが SUS SP1 クライアントバージョンまたはそれ以降のバージョンに更新された後のクライアントの動作に影響します。

ソフトウェア更新サービスを実行しているサーバーで自動更新を使用するには、「Microsoft Windows Server Update Services の展開に関する2.0 のガイダンス」を参照してください。

ポリシーレジストリキーを使用して自動更新を直接構成すると、ポリシーによって、ローカル管理者のユーザーがクライアントを構成するために設定した環境設定が上書きされます。 管理者が後でレジストリキーを削除した場合、ローカル管理者のユーザーによって設定された環境設定が再利用されます。

クライアントコンピューターとサーバーが更新プログラムに接続する WSUS サーバーを確認するには、次のレジストリ値をレジストリに追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
  • WUServer (REG_SZ)

    この値は、HTTP 名 (など) http://IntranetSUS)で WSUS サーバーを設定します。

  • WUStatusServer (REG_SZ)

    この値は、SUS 統計情報サーバーを HTTP 名で設定しhttp://IntranetSUS)ます (例:)。

関連トピック