チュートリアル: グループ ポリシーを使った Windows Update for Business の構成

適用対象

  • Windows10

ユーザー向けの情報をお探しの場合は、Windows Update: FAQ」をご覧ください。

重要

名称の変更が行われましたが、CB、CBB、LTSB などこれまで使用されていた用語が、弊社製品の一部にまだ表示される場合があります。

以下の設定では、CB は半期チャネル (対象指定) を表し、CBB は半期チャネルを表します。

グループ ポリシーの使用による Windows Update for Business の管理は、シンプルでなじみのある作業です。環境内の他のデバイスやユーザー ポリシー設定を管理する場合と同じグループ ポリシー管理コンソール (GPMC) を使用します。 Windows Update for Business のグループ ポリシー設定を構成する前に、ご使用環境での更新プログラムと機能更新プログラムの展開方法を検討してください。

Windows 10 Version 1511 で延期できるのは、Current Branch for Business (CBB) アップグレードのみです。この場合は Current Branch (CB) ビルドが単一の展開リングに制限されます。 Windows 10 Version 1607 には、CB と CBB の両方で機能更新プログラムを延期できる新しいグループ ポリシー設定があります。これにより、CB サービス ブランチの使用が拡張されます。

[!ノート] 条項機能更新プログラム品質更新プログラムは Windows 10 バージョン 1607 では、条件のアップグレードおよびバージョン 1511 での更新プログラムに対応しています。

この記事の指示に従ってをダウンロードして、Windows 10 バージョンに関連する ADMX テンプレートをインストールする必要があります。 環境内で ADMX テンプレートには、手順については、次の記事を参照してください。

ご使用環境で品質更新プログラムと機能更新プログラムをグループ ポリシーによって管理するには、構築した展開リングに合わせて、まず Active Directory セキュリティ グループを作成する必要があります。 お客様のほとんどが多数の展開リングを環境内に既に設定しており、これらのリングは、現在の修正プログラムとオペレーティング システム アップグレードを段階的にロールアウトする既存の設定に合わせてある可能性があります。

Windows 10 Version 1511 での Windows Update for Business の構成

この例では、「Windows 10 更新プログラムの展開リングの構築」の表 1 にある "リング 4 一般ビジネス ユーザー" および "リング 5 一般ビジネス ユーザー #2" という 2 つのセキュリティ グループを使用して更新プログラムを管理します。

  • "リング 4 一般ビジネス ユーザー" グループには、更新プログラムをテストする IT メンバーの PC が含まれています。IT メンバーは、Current Branch for Business (CBB) サービス ブランチで Windows クライアントに対する更新プログラムがリリースされたら、すぐにこれらの更新プログラムをテストします。 このフェーズは、Current Branch (CB) デバイスのテスト後に生じることが一般的です。
  • "リング 5 一般ビジネス ユーザー #2" グループは、最初の基幹業務 (LOB) ユーザーから成っています。これらのユーザーは、CBB リリースから 1 週間後に品質更新プログラムを使用し、1 か月後に機能更新プログラムを使用します。

注意

展開リングのサンプルでは、リング 5 の機能更新プログラムの延期は 2 週間と明記していますが、Windows 10 バージョン 1511 での延期は月単位のみです。

Windows 10 Version 1511 では Windows 10 の CB ビルドの延期がサポートされていないため、設定できるのは 1 つの CB 展開リングのみです。 Version 1607 以降では、CB ビルドを延期できるため、複数の CB 展開リングを設定できます。

リモート サーバー管理ツールを実行している PC またはドメイン コントローラーで、以下の手順を実行してください。

CBB 用の "リング 4 一般ビジネス ユーザー" 展開リングの構成 (延期なし)

  1. GPMC (gpmc.msc) を開きます。

  2. [フォレスト] > [ドメイン] > [ドメイン名] の順に展開します。

  3. [ドメイン名] を右クリックして、[このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。

    GPO 作成メニューの UI

  4. [新しい GPO] ダイアログ ボックスで、新しい GPO の名前として「Windows Update for Business - CBB1」と入力します。

    注意

    この例では、GPO を最上位のドメインにリンクします。 この操作は必須ではありません。Windows Update for Business の GPO は、お使いの Active Directory Domain Services (AD DS) 構造において適切な任意の組織単位 (OU) にリンクできます。

  5. [Windows Update for Business - CBB1] という GPO を右クリックし、[編集] をクリックします。

    GPO 編集の UI

  6. グループ ポリシー管理エディターで、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Update] を開きます。

  7. [アップグレードおよび更新を延期する] を右クリックし、[編集] をクリックします。

    アップグレードと更新の延期を編集する UI

    [アップグレードおよび更新を延期する] というグループ ポリシー設定構成には、以下のオプションがあります。

    • [アップグレードを延期する] の有効/無効: このポリシー設定を有効にすると、受信側クライアントが CBB サービス ブランチに設定されます。 このポリシーを明確に無効化すると、クライアントが CB サービス ブランチに設定され、ユーザーによる変更が不可能になります。
    • [以下についてアップグレードを延期する]: このオプションでは、機能更新プログラムを最大 8 か月延期できます。この数値が、CBB の既定の延期 (CB から約 4 か月) に加算されます。 Windows Update for Business を使用すると、このオプションを指定して CBB 機能更新を調整できます (オフセットの合計は CB から最大 12 か月)。
    • [以下について更新を延期する]: このオプションでは、Windows 10 デバイスへの品質更新プログラムのインストールを最大 4 週間延期できます。これにより、企業内で更新プログラムを段階的にロールアウトすることが可能になりますが、このオプションですべての品質更新プログラムを延期することはできません。 表 1 は、更新プログラムの種類による延期の可否を示しています。
    • [アップグレードおよび更新を一時停止する]: 機能更新プログラムで問題が発生した場合、このオプションを使用すると、その月の品質更新プログラムと機能更新プログラムをスキップできます。 品質更新プログラムは 35 日後、機能更新プログラムは 60 日後に再開されます。 たとえば、緊急時にはこの設定をスタンドアロン ポリシーとして組織全体に展開することができます。

      表 1 は、Windows 10 の更新プログラムの種類と、Windows Update for Business でインストールを延期できる長さを示しています。

      表 1

      カテゴリ 延期の最長期間 延期の単位 分類タイプ 分類 GUID
      OS アップグレード 8 か月 1 か月 アップグレード 3689BDC8-B205-4AF4-8D4A-A63924C5E9D5
      OS 更新プログラム 4 週間 1 週間 セキュリティ更新プログラム 0FA1201D-4330-4FA8-8AE9-B877473B6441
      ドライバー EBFC1FC5-71A4-4F7B-9ACA-3B9A503104A0
      更新プログラム CD5FFD1E-E932-4E3A-BF74-18BF0B1BBD83
      その他または延期不可 延期なし 延期なし 定義の更新 E0789628-CE08-4437-BE74-2495B842F43B

      [アップグレードおよび更新を延期する] ポリシーを有効にしただけの場合は、受信側クライアントが CBB サービス ブランチに設定されます。最初の展開リング "リング 4 一般ビジネス ユーザー" ではこれを使用します。

  8. [アップグレードおよび更新を延期する] 設定を有効にして、[OK] をクリックします。

  9. グループ ポリシー管理エディターを閉じます。

[Windows Update for Business – CBB1] という GPO にはコンピューター ポリシーが含まれていますが、その適用対象は "リング 4 一般ビジネス ユーザー" グループのコンピューターのみであるため、[セキュリティ フィルター処理] を使用してポリシーの適用範囲を指定します。

ポリシーの適用範囲として "リング 4 一般ビジネス ユーザー" グループを指定する

  1. GPMC で、[Windows Update for Business - CBB1] ポリシーを選択します。

  2. [スコープ] タブの [セキュリティ フィルター処理] で、既定の [AUTHENTICATED USERS] セキュリティ グループを削除し、[Ring 4 Broad business users] (リング 4 一般ビジネス ユーザー) グループを追加します。

    ポリシーの適用範囲としてグループを指定する

これで "リング 4 一般ビジネス ユーザー" 展開リングが構成されました。 次は、"リング 5 一般ビジネス ユーザー #2" を構成して、品質更新プログラムの 1 週間の延期、機能更新プログラムの 2 週間の延期を指定する必要があります。

CBB 用の "リング 5 一般ビジネス ユーザー #2" 展開リングの構成 (延期あり)

  1. GPMC (gpmc.msc) を開きます。

  2. [フォレスト] > [ドメイン] > [ドメイン名] の順に展開します。

  3. [ドメイン名] を右クリックして、[このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。

    GPO 作成メニューの UI

  4. [新しい GPO] ダイアログ ボックスで、新しい GPO の名前として「Windows Update for Business - CBB2」と入力します。

  5. [Windows Update for Business - CBB2] という GPO を右クリックし、[編集] をクリックします。

    GPO 編集の UI

  6. グループ ポリシー管理エディターで、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Update] を開きます。

  7. [アップグレードおよび更新を延期する] を右クリックし、[編集] をクリックします。

  8. [アップグレードおよび更新を延期する] 設定を有効にして、[以下についてアップグレードを延期する] オプションで 1 か月の延期、[以下について更新を延期する] オプションで 1 週間の延期を構成します。

    ポリシー設定の例

  9. [OK] をクリックしてグループ ポリシー管理エディターを閉じます。

ポリシーの適用範囲として "リング 5 一般ビジネス ユーザー #2" グループを指定する

  1. GPMC で、[Windows Update for Business - CBB2] ポリシーを選択します。

  2. [スコープ] タブの [セキュリティ フィルター処理] で、既定の [AUTHENTICATED USERS] セキュリティ グループを削除し、[Ring 5 Broad business users #2] (リング 5 一般ビジネス ユーザー #2) グループを追加します。

Windows 10 バージョン 1607 での Windows Update for Business の構成

ご使用環境で品質更新プログラムと機能更新プログラムをグループ ポリシーによって管理するには、構築した展開リングに合わせて、まず Active Directory セキュリティ グループを作成する必要があります。 お客様のほとんどが多数の展開リングを環境内に既に設定しており、これらのリングは、現在の修正プログラムとオペレーティング システム アップグレードを段階的にロールアウトする既存の設定に合わせてある可能性があります。

この例では、「Windows 10 更新プログラムの展開リングの構築」の表 1 にある 3 つのセキュリティ グループを使用して更新プログラムを管理します。

  • "リング 2 パイロット ビジネス ユーザー" には、ビジネス ユーザーの PC が含まれています。これらのユーザーはパイロット テスト プロセスに含まれ、リリースから 4 週間後に CB ビルドを受け取ります。
  • "リング 4 一般ビジネス ユーザー" は、Microsoft から CBB サービス ブランチへの Windows 10 ビルドがリリースされた後で更新プログラムを受け取る IT メンバーで構成されます。
  • "リング 5 一般ビジネス ユーザー #2" は、CBB の LOB ユーザーから成っています。これらのユーザーは、品質更新プログラムを 7 日後に使用し、機能更新プログラムを 14 日後に受け取ります。

この例では、これら 3 つのグループすべてに対して、更新スケジュールを構成し、適用範囲を指定します。

"リング 2 パイロット ビジネス ユーザー" ポリシーの構成

  1. GPMC (gpmc.msc) を開きます。

  2. [フォレスト] > [ドメイン] > [ドメイン名] の順に展開します。

  3. [ドメイン名] を右クリックして、[このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。

    GPO 作成メニューの UI

  4. [新しい GPO] ダイアログ ボックスで、新しい GPO の名前として「Windows Update for Business - CB2」と入力します。

    注意

    この例では、GPO を最上位のドメインにリンクします。 この操作は必須ではありません。Windows Update for Business の GPO は、お使いの Active Directory Domain Services (AD DS) 構造において適切な任意の組織単位 (OU) にリンクできます。

  5. [Windows Update for Business - CB2] という GPO を右クリックし、[編集] をクリックします。

    この GPO の編集メニュー

  6. グループ ポリシー管理エディターで、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Update] > [Windows Update の延期] を開きます。

  7. [機能更新プログラムをいつ受信するかを選択してください] を右クリックし、[編集] をクリックします。

  8. [機能更新プログラムをいつ受信するかを選択してください] ポリシーで、有効化を選択し、ブランチ準備レベルとして CB を選択します。機能更新プログラムの延期として 28 日間を指定し、[OK] をクリックします。

    この GPO の設定

    表 3 は、Windows 10 バージョン 1607 の更新プログラムの種類と、Windows Update for Business でインストールを延期できる長さを示しています。

    表 3

    カテゴリ 延期の最長期間 延期の単位 分類 GUID
    機能更新プログラム 180 日 Windows 10 Version 1511 から Version 1607 3689BDC8-B205-4AF4-8D4A-A63924C5E9D5
    品質更新プログラム 30 日 セキュリティ更新プログラム 0FA1201D-4330-4FA8-8AE9-B877473B6441
    ドライバー (オプション) EBFC1FC5-71A4-4F7B-9ACA-3B9A503104A0
    セキュリティ以外の更新プログラム CD5FFD1E-E932-4E3A-BF74-18BF0B1BBD83
    Microsoft の更新プログラム (Office、Visual Studio など)状況により異なる
    延期不可 延期なし 延期なし 定義の更新 E0789628-CE08-4437-BE74-2495B842F43B
  9. グループ ポリシー管理エディターを閉じます。

[Windows Update for Business – CB2] という GPO にはコンピューター ポリシーが含まれていますが、その適用対象は "リング 2 パイロット ビジネス ユーザー" グループのコンピューターのみであるため、[セキュリティ フィルター処理] を使用してポリシーの適用範囲を指定します。

ポリシーの適用範囲として "リング 2 パイロット ビジネス ユーザー" グループを指定する

  1. GPMC で、[Windows Update for Business - CB2] ポリシーを選択します。

  2. [スコープ] タブの [セキュリティ フィルター処理] で、既定の [AUTHENTICATED USERS] セキュリティ グループを削除し、[Ring 2 Pilot Business Users] (リング 2 パイロット ビジネス ユーザー) グループを追加します。

    ポリシーの適用範囲としてグループを指定する

これで "リング 2 パイロット ビジネス ユーザー" 展開リングが構成されました。 次に、"リング 4 一般ビジネス ユーザー" を構成して、機能プログラムが CBB サービス ブランチで利用可能になればすぐに受信できるように、これらのクライアントを CBB サービス ブランチに設定します。

"リング 4 一般ビジネス ユーザー" ポリシーの構成

  1. GPMC (gpmc.msc) を開きます。

  2. [フォレスト] > [ドメイン] > [ドメイン名] の順に展開します。

  3. [ドメイン名] を右クリックして、[このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。

  4. [新しい GPO] ダイアログ ボックスで、新しい GPO の名前として「Windows Update for Business - CBB1」と入力します。

  5. [Windows Update for Business - CBB1] という GPO を右クリックし、[編集] をクリックします。

  6. グループ ポリシー管理エディターで、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Update] > [Windows Update の延期] を開きます。

  7. [機能更新プログラムをいつ受信するかを選択してください] を右クリックし、[編集] をクリックします。

  8. [機能更新プログラムをいつ受信するかを選択してください] ポリシーで、有効化を選択し、ブランチ準備レベルとして CBB を選択します。[OK] をクリックします。

    この GPO の設定

  9. グループ ポリシー管理エディターを閉じます。

ポリシーの適用範囲として "リング 4 一般ビジネス ユーザー" グループを指定する

  1. GPMC で、[Windows Update for Business - CBB1] ポリシーを選択します。

  2. [スコープ] タブの [セキュリティ フィルター処理] で、既定の [AUTHENTICATED USERS] セキュリティ グループを削除し、[Ring 4 Broad business users] (リング 4 一般ビジネス ユーザー) グループを追加します。

これで "リング 4 一般ビジネス ユーザー" 展開リングが構成されました。 最後に、"リング 5 一般ビジネス ユーザー #2" を構成して、品質更新プログラムの 7 日の延期、機能更新プログラムの 14 日の延期を指定します。

"リング 5 一般ビジネス ユーザー #2" ポリシーの構成

  1. GPMC (gpmc.msc) を開きます。

  2. [フォレスト] > [ドメイン] > [ドメイン名] の順に展開します。

  3. [ドメイン名] を右クリックして、[このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。

  4. [新しい GPO] ダイアログ ボックスで、新しい GPO の名前として「Windows Update for Business - CBB2」と入力します。

  5. [Windows Update for Business - CBB2] という GPO を右クリックし、[編集] をクリックします。

  6. グループ ポリシー管理エディターで、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Update] > [Windows Update の延期] を開きます。

  7. [機能更新プログラムをいつ受信するかを選択してください] を右クリックし、[編集] をクリックします。

  8. [機能更新プログラムをいつ受信するかを選択してください] ポリシーで、有効化を選択し、ブランチ準備レベルとして CBB を選択します。機能更新プログラムの延期として 14 日間を指定し、[OK] をクリックします。

    この GPO の設定

  9. [品質更新プログラムをいつ受信するかを選択してください] を右クリックし、[編集] をクリックします。

  10. [品質更新プログラムをいつ受信するかを選択してください] ポリシーで、有効化を選択します。品質更新プログラムの延期として 7 日間を指定し、[OK] をクリックします。

    この GPO の設定

  11. グループ ポリシー管理エディターを閉じます。

ポリシーの適用範囲として "リング 5 一般ビジネス ユーザー #2" グループを指定する

  1. GPMC で、[Windows Update for Business - CBB2] ポリシーを選択します。

  2. [スコープ] タブの [セキュリティ フィルター処理] で、既定の [AUTHENTICATED USERS] セキュリティ グループを削除し、[Ring 5 Broad business users #2] (リング 5 一般ビジネス ユーザー #2) グループを追加します。

既知の問題

次の記事には、基本の Windows 10 のグループ ポリシーのクライアントを管理するときに発生することが既知の課題がについて説明します。

関連トピック