【WSUS】「更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する」グループポリシー

どうも、Tです。

WSUSを使うとき、WSUSクライアントからWindows Update関連の以下のグループポリシーの検証の備忘録です。

更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する

バージョン

検証環境については、下記記事の「環境」をご参照ください。

事前に設定しているグループポリシー

以下のグループポリシーは事前に設定済みの環境で確認しています。

イントラネットのMicrosoft更新サービスの場所を指定する
自動更新と再起動の期限を指定する
自動更新の検出頻度
インターネット上のWindows Updateに接続しない

設定の詳細は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の検証結果を参照してください。

「自動更新の検出頻度」「インターネット上のWindows Updateに接続しない」ポリシーは、設定しなくとも動作に関係ありませんが検証を行いやすくするために設定しています。

事前準備

今回のWSUSクライアントは仮想マシンのWindows 11を使用しているため、通常接続されているネットワークは従量制課金接続がオフになっているため、オンにします。

「設定」->「ネットワークとインターネット」画面を開き、使用しているネットワークを確認（上図ではEthernet0）を確認し「イーサネット」をクリックします。

「従量制課金接続」のトグルボタンをクリックし「オン」にします。

GPOが未構成の場合

GPOが未構成の場合上記のようになっています。

WSUSクライアントの「設定」->「Windows Update」->「詳細オプション」画面の「従量制課金接続で更新プログラムをダウンロードする」はデフォルトでオフになっており、ユーザー側でトグルボタンの操作が可能になっています。

Windows Update画面から「更新プログラムのチェック」をクリックします。

「利用可能な更新プログラムがあります。更新プログラムは、量制課金接続を使っていないときにダウンロードされます。または、現在のデータ接続を使って、今すぐダウンロードできます（料金がかかることがあります）。一部の更新プログラムでは、従量制課金が行われていないWi-Fiを利用する必要があります。」が表示され自動ではダウンロードされません。

※KB5035853がダウンロード中-0%のまま停止しています。複数台で試しましたが、同じ事象だったため、この更新プログラム特有の動作かと思われます。どちらにしろダウンロードはされていません。

個別に「ダウンロードをインストール」をクリックします。

個別にダウンロードとインストールが完了します。

「すべてダウンロードしてインストール」がグレーアウトしていたものが押下できるようになっていますが、このタイミングはよくわかりませんでした。

複数台で試したところ、ウインドウを閉じて開きなおせば押せるようになる場合や、個別にダウンロードとインストールを行ったのちに押せるようになるなど安定していませんでした。

このように、「更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する」ポリシーがない場合、ダウンロードがされないような挙動になります。

GPO設定

「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する」をダブルクリックします。

「有効」を選択し「OK」をクリックします。

細かい手順は省略していますが、GPO「windowsupdate-6」で「更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する」が有効になっています。

6の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。

https://t-dilemma.info/wsus-gpo-point-on-w2k22/

個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。

GPO設定後

GPO設定後、WSUSクライアントを再起動するか「gpupdate /foce」コマンドでグループポリシーを反映します。

WSUSクライアントの「設定」->「Windows Update」->「詳細オプション」画面の「従量制課金接続で更新プログラムをダウンロードする」がオンになり、ユーザー側でトグルボタンの操作ができなくなります。

Windows Update画面で「更新プログラムのチェック」をクリックします。

従量課金制接続でも更新プログラムのダウンロードとインストールが行われます。

再起動スケジュールの画面が出ているのは、「自動更新と再起動の期限を指定する」ポリシーによるもので、「更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する」ポリシーによるものではありません。

注意

「自動更新と再起動の期限を指定する」ポリシーと「自動更新の検出頻度」ポリシーを設定しているにもかかわらず、手動でWindows Updateを実施した経緯について説明しておきます。

WSUSクライアント設定後、「自動更新と再起動の期限を指定する」ポリシーによる更新プログラムの検知が行われなかったため手動でWindows Updateを実施しています。

WSUSコンソールを見ると従量制課金接続の設定を行っていないWSUSクライアントは状態レポートがされていましたが、従量制課金接続を設定したWSUSクライアントは状態レポートがずっとされない挙動でした。（手動でWindows Updateを実施すると状態レポートがされました。）

Windows Update画面では時間が更新されて更新プログラムのチェックが行われているように見受けられます。

しかし、Windows Updateのイベントログを見ると更新プログラムは検知されていません。

これが、従量制課金接続時の挙動なのか、WSUS環境によるための挙動なのか明確な説明資料はありませんでしたが、従量制課金接続環境では、グループポリシーによる自動ダウンロード・インストールは行えなさそうです。

まとめ

従量制課金接続してWSUSを使うというパターンはなさそうなので、「更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する」ポリシーを使用することはなさそうです。

そもそも、公式からも下記のような抽象的なひどく簡素な説明しかなく、挙動がつかみにくいため使いたくないポリシーというのが正直なところです。

https://support.microsoft.com/ja-jp/windows/windows-%E3%81%A7%E3%81%AE%E6%B8%AC%E5%AE%9Awindows-7b33928f-a144-b265-97b6-f2e95a87c408

測定されたネットワーク接続では、ネットワーク上のデータ使用量を制御および削減しようとするので、一部のアプリは、測定された接続で異なる方法で動作する可能性があります。また、Windows の更新プログラムの一部は自動的にインストールされません。