どうも、Tです。
Windows Updateの更新プログラムのダウンロード・インストールの動作を制御する以下のグループポリシーの検証の備忘録です。
- 自動更新と再起動の期限を指定する
目次
環境バージョン
検証環境については、下記記事の「環境」をご参照ください。
検証目的と構成
検証目的
今回の検証の目的は「自動更新と再起動の期限を指定する(Specify deadlines for automatic updates and restarts)」ポリシーの挙動を確認することです。
このポリシーは、Learnで以下のように説明されています。引用部分は私が訳したものです。
このポリシーを使用すると、品質および機能の更新プログラムがデバイスに自動的にインストールされるまでの日数と、必要な再起動が自動的に行われるまでの猶予期間を指定できます。このポリシーには、猶予期間の終了に達するまで自動再起動をオプトアウトするオプションが含まれています。
実際、全文を読んでもパッと理解できません。
また、このポリシーは2019年6月にWindows 10 1709以降に導入された比較的新しいポリシーのためか、現在インターネットにもそんなに情報がなかったため確認していきます。
検証パターン
「自動更新と再起動の期限を指定する」ポリシーの名前からWindows Updateに関わる更新や再起動に関連するものだとわかりますが、更新や再起動に関するポリシーは他にもあります。
今回は、似ているような指定を行う「自動更新を構成する」ポリシーとどのような違いがあるか、下記の検証パターン分けて確認します。
| 検証パターン | |||||||
|---|---|---|---|---|---|---|---|
| No | GPO | ポリシー名 | 設定概要 | test1 | test2 | test3 | test4 |
| 1 | windowsupdate-14 | イントラネットのMicrosoft更新サービスの場所を指定する | WSUSサーバーを指定 | 〇 共通で適用するポリシー | |||
| 2 | windowsupdate-15 | 自動更新の検出頻度 | 間隔時間:1時間 | ||||
| 3 | windowsupdate-19 | インターネット上のWindows Updateに接続しない | 有効 | ||||
| 4 | windowsupdate-12_3 | 自動更新を構成する | 3 – 自動ダウンロードしインストールを通知 | 〇 | × | × | × |
| 5 | windowsupdate-12_4 | 自動更新を構成する | 4 – 自動ダウンロードしインストール日時を指定 | × | 〇 | × | 〇 |
| 6 | windowsupdate-13 | 自動更新と再起動の期限を指定する | 期限(日数):3 猶予期間(日数):1 ■猶予期間が終了するまで自動的に再起動しない | × | × | 〇 | 〇 |
GPO名のwindowsupdate-xxの番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。
個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。
各ポリシーの詳細設定などは、後述しますが各GPOや検証パターンについて説明しておきます。
No1~3は、WSUS環境で検証が行いやすいようにすべてのパターンで使うポリシーです。
検証パターン:test1
windowsupdate-12_3(自動更新を構成する 3 – 自動ダウンロードしインストールを通知)を挙動確認を行うものです。
検証パターン:test2
windowsupdate-12_4(自動更新を構成する 4 – 自動ダウンロードしインストール日時を指定)の挙動確認を行うものです。
検証パターン:test3
windowsupdate-13(自動更新と再起動の期限を指定する)の挙動確認を行うものです。
本記事の主な目的のポリシーになります。
検証パターン:test4
windowsupdate-12_4(自動更新を構成する 4 – 自動ダウンロードしインストール日時を指定)とwindowsupdate-13(自動更新と再起動の期限を指定する)のポリシーが同時に設定されている場合の挙動確認を行うものです。
「自動更新と再起動の期限を指定する」を指定すると「自動更新を構成する」の設定は無視されるため、検証パターン3と同じ結果になる想定です。
検証環境概要
環境が少々複雑なのでADやWSUS、仕様するOUやグループポリシーの環境を図解します。
AD、WSUSクライアント、WSUSサーバーは同じADドメインに所属しており、上図のようなGPO・OU構成になっています。
WSUSサーバー側のコンピューターグループは同じグループにし同じ更新パッチを適用するようにしています。
WSUSクライアントが、検証パターン3台ずつなのは同じパターン内で異なるような挙動があった場合の切り分けのために用意しているだけです。
ポリシー設定詳細
各GPOの設定について記載します。GPOの作り方などは煩雑になるため割愛し、スクリーンショットのみ記載します。
設定しているグループポリシーは、「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」配下にあるものです。
windowsupdate-14(イントラネットのMicrosoft更新サービスの場所を指定する)
以下の記事にもまとめています。
windowsupdate-15(自動更新の検出頻度)
以下の記事にもまとめています。
windowsupdate-19(インターネット上のWindows Updateに接続しない)
以下の記事にもまとめています。
windowsupdate-12_3(自動更新を構成する 3 – 自動ダウンロードしインストールを通知)
以下の記事にもまとめています。
windowsupdate-12_4(自動更新を構成する 4 – 自動ダウンロードしインストール日時を指定)
windowsupdate-13(自動更新と再起動の期限を指定する)
検証で短期間で確認できるように下記の値へ変更しています。
| 種類 | 項目 | デフォルト | 設定値 |
|---|---|---|---|
| 品質更新プログラム | 期限(日数) | 7 | 3 |
| 品質更新プログラム | 猶予期間(日数) | 2 | 1 |
| 機能更新プログラム | 期限(日数) | 7 | 3 |
| 機能更新プログラム | 猶予期間(日数) | 2 | 1 |
| ー | 猶予期間が終了するまで自動的に再起動しない | 無効 | 有効 |
1. 更新プログラムをインストールするための自動再起動の期限を指定する
2. 更新プログラムのための掛かり状態の再起動を移行および通知するスケジュールを指定します
3. スケジュールされた時刻に常に自動的に再起動する
4. 自動更新を構成する
検証結果
それぞれの検証パターンに分けて結果を見ていきます。
検証パターン:test1
デスクトップ右下の通知アイコンをクリックすると「更新プログラムを利用できます」が表示されます。
Windows Update画面を見ると更新プログラムはダウンロードされインストール待ちです。
「コンピュータの管理」->「イベント ビューア」->「アプリケーションとサービスログ」->「Microsoft」->「Windows」->「WindowsUpdateClient」->「Operational」のログを確認すると、WindowsUpdateClientソースのイベントID 26で更新プログラムを検知していることがわかります。
イベントID 41は更新プログラムのダウンロードを意味します。
検証パターン:test1では、更新プログラムがダウンロードされインストールは手動で行う想定通りの動きになりました。
検証パターン:test2
このパターンでは通知はされませんが、タスクバーを見ると再起動待ちであることがわかります。
Windows Update画面を見ると更新プログラムがインストールされ再起動待ちなっています。
更新の履歴画面を見ると、再起動の必要のない更新プログラムは適用されています。
電源操作では、「更新してシャットダウン」「更新して再起動」も表示されます。
「コンピュータの管理」->「イベント ビューア」->「Windows ログ」->「システムログ」でWindowsUpdateClientソースだけをフィルタして表示しました。
グループポリシーに指定していた15:00ごろからインストールが開始されていました。
WindowUpdateClientソースのイベントID 43は、更新プログラムのインストールの開始を表しています。
ここで見ると9時ごろ(OSを起動して少ししてから)にも更新プログラムのインストールが開始されています。この更新プログラムは、「Microsoft Defender Antivirusのセキュリティ インテリジェンス更新プログラム – KB2267602」でした。
「インターネット上のWindows Updateに接続しない」ポリシーは有効なためWSUSから更新プログラムをダウンロードはしていますが、インストールタイミングは、「自動更新を構成する」ポリシーでは制御できないようです。
マルウェアアンチパターンの更新プログラムのため神経質になる必要はないように思いますが、留意事項です。
ただ、この「Microsoft Defender Antivirusのセキュリティ インテリジェンス更新プログラム – KB2267602」を除いては想定通りの結果になりました。
未検証ですが、Microsoft Defender Antivirusについて調べたので記載しておきます。
下記の記事にある[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[セキュリティインテリジェンスの更新]->「セキュリティインテリジェンスの更新をチェックする間隔を指定する」ポリシーというものもあります。
Windows デバイスの Microsoft Defender ウイルス対策(MDAV) のセキュリティインテリジェンス(定義ファイル)更新設定について
公式資料ではありませんが、インテリジェンスの更新に2~3時間ごとに更新されているようです。
今回の検証では、WSUSに「Microsoft Defender Antivirusのセキュリティ インテリジェンス更新プログラム – KB2267602」をダウンロードしていましたが、「セキュリティインテリジェンスの更新をチェックする間隔を指定する」ポリシーは設定していませんでした。
アクティブ時間による再起動の違い
今回の環境ではWSUSクライアントのアクティブ時間を8:00-17:00に設定しており、更新プログラムのインストールはアクティブ時間内の15:00にインストールを行いました。
アクティブ時間外も起動状態で放置していたWSUSクライアントは、夜中に再起動されて更新プログラムが適用されていました。
検証パターン:test3
ログインすると上図のようなポップアップが表示されました。「後で通知する」をするとそのあとは、再起動が必要になる当日になるまでOSを更新せずに再起動などしても表示されなくなりました。
「自動更新と再起動の期限を指定する」の「猶予期間が終了するまで自動的に再起動しない」を「有効」にしていましたが、これを「無効(デフォルト)」のままにすると、通知内容の一番右のボタンの表示が異なりました。
- 「有効」の場合は、「後で通知する」
- 「無効」の場合は、「デバイスを後で再起動できるようにする」
「考察」の章で記載していますが、「デバイスを後で再起動できるようにする」は、アクティブ時間外に自動的な再起動を許可する意味かと思われます。
Windows Update画面を見ると更新プログラムがインストールされ再起動待ちであることがわかります。また設定した日付までに再起動が必要となる日付も表示されます。
1つ気になったのは、検証パターン:test2では再起動が必要だったはずの「.NET Framework 3.5および4.8.1の累積的な更新プログラム(x64向け Windows 11. version23H2用)(KB5037591)」が再起動なく適用されされていました。
WSUSサーバー側で更新プログラムを説明を見ると「コンピュータの再起動が必要になる場合があります。」なので、必要ない場合もあるのかな…。ポリシー以外は全く同じ環境なので腑に落ちない部分もありますが、大きな問題ではなさそうです。
電源操作では、「更新してシャットダウン」「更新して再起動」も表示されます。
「コンピュータの管理」->「イベント ビューア」->「Windows ログ」->「システムログ」でWindowsUpdateClientソースだけをフィルタして表示しました。
「自動更新と再起動の期限を指定する」ポリシーでは、更新プログラムを検知しダウンロード後にすぐインストールされています。
検証パターン:test3では、更新プログラムがダウンロードされ、すぐにインストールされる想定通りの動きになりました。
再起動スケジュールについて
Windows Update画面から「今すぐ再起動」横の三角矢印->「再起動のスケジュール」をクリックすることでユーザー側で再起動スケジュールの設定が行えます。
期限に設定した日数の中でスケジュールが行えます。
デフォルト(ポリシー設定なし)は再起動スケジュールを7日間の間で指定できます。後述しますが、ポリシーを設定した場合は、期限(最大30日)か猶予期間(最大7日)の長い方になります。ただ、期限を8日以上指定した場合も、この画面に表示されるのは7日先までです。8日以上を設定している場合は、翌日以降に新しい日付が1つ追加され選択できるようになります。
アクティブ時間による違い
「自動更新と再起動の期限を指定する」ポリシーでは、ポリシーの設定内容とアクティブ時間に密接な関係があります。
「自動更新と再起動の期限を指定する」の「猶予期間が終了するまで自動的に再起動しない」を「有効」にしている場合、アクティブ時間外に起動をしていても自動的に再起動されませんが、「無効」にしている場合、期限内であってもアクティブ時間外に自動再起動が行われます。
検証パターン:test4
検証パターン:test4では、「自動更新と再起動の期限を指定する」ポリシーで「自動更新を構成する」が上書きされ検証パターン:test3と同じ結果だったため主要な内容だけ記載します。
ログインすると上図のようなポップアップが表示されました。
Windows Update画面を見ると更新プログラムがインストールされ再起動待ちであることがわかります。
「コンピュータの管理」->「イベント ビューア」->「Windows ログ」->「システムログ」でWindowsUpdateClientソースだけをフィルタして表示しました。
「自動更新と再起動の期限を指定する」ポリシーでは、更新プログラムを検知しダウンロード後にすぐインストールされています。「自動更新と再起動の期限を指定する」ポリシーで「自動更新を構成する」が上書きされて動作していることがわかります。
考察
これまでの検証結果から「自動更新と再起動の期限を指定する」ポリシーについての詳細について記載していきます。
設定振り返り
本検証では上記の設定を行いましたが「自動更新と再起動の期限を指定する」ポリシーには、ピンク枠で囲った大きく3つの設定があります。
- 品質更新プログラムの期限と猶予期間の設定
- 機能更新プログラムの期限と猶予期間の設定
- 「猶予期間が終了するまで自動的に再起動しない」の有効/無効
このあたりの関係が非常にわかりにくかったため、説明していきます。
品質更新プログラムと機能更新プログラムの違い
現在のところ、機能更新プログラム(Feature Update)は年1回更新される23H2のような大きなアップデートで、品質更新プログラム(Quality Update)は、毎月第2火曜日(アメリカ時間)にリリースされる更新プログラムを指します。
このあたりは、以下の記事がわかりやすくまとめてくれていました。
Leanでは、以下のように説明されています。
Windows 11 には、年間機能更新プログラムのタイミングがあります。機能更新プログラムは、暦年の後半にリリースされ、Home、Pro、Pro for Workstations、および Pro Education エディションの 24 か月のサポート、Enterprise および Education エディションの 36 か月間のサポートが付属します。詳しくは、「Windows ライフサイクルに関する FAQ」 をご覧ください。
Windows 11 では、毎月第 2 火曜日に毎月のセキュリティ更新プログ ラムもリリースされます。これらのリリースは累積的であり、デバイスの保護と生産性を維持するために、以前のすべての更新プログラムが含まれています。
Windows 11のWindows Updateの更新履歴を見ると上図のように機能更新プログラムと品質更新プログラムが表示されます。
留意が必要なのは、上図の「その他の更新プログラム」項目に含まれるような「悪意あるソフトウェアの削除ツール」なども「自動更新と再起動の期限を指定する」ポリシーの「品質更新プログラム」に含まれるため、Windows Updateの更新履歴の画面項目とは一致しないことです。
また、ドライバやWindowsOS以外のMicrosoft製品が含まれてくるのかなどの明確に説明している資料がないため動作確認が必要そうです。
期限と猶予期間と自動再起動の関係
期限と猶予期間の考え方はこのポリシーで一番難しいところでした。
これから記載する内容はWindows 11 バージョン22H2以降に関する期限と猶予期間の説明です。
Learnの内容と検証の結果から、判明した期限・猶予期間・自動再起動の関係を図にしました。
※期限と猶予期間は検証で用いた日数だと短すぎてわかりにくいので、デフォルトの期限7日、猶予期間2日で記載しています。
期限はWSUSクライアントが更新プログラムを検出したタイミングからカウントダウンが開始されます。
猶予期間は、WSUSクライアントに更新プログラムがインストールされ再起動保留になった時点からカウントダウンが開始されます。
「猶予期間が終了するまで自動的に再起動しない」が無効(デフォルト)の場合、更新プログラムがインストールを完了後、アクティブ時間の間は自動再起動されませんが、アクティブ時間外で自動再起動されます。※自動再起動の補足も確認してください。
「猶予期間が終了するまで自動的に再起動しない」が有効の場合、更新プログラムがインストールを完了後も猶予期間の間は、アクティブ時間外も再起動されません。猶予期間を過ぎるとアクティブ時間外で再起動するようになります。
有効期限は設定としては存在しませんが、期限か猶予期間の長い方が有効期限の終わりになります。有効期限が終わった後は、アクティブ時間に関係なく自動再起動が行われます。有効期間後に起動した場合は、起動中に自動再起動が行われます。
※自動再起動補足
未検証ですが、上図の「更新を完了するために再起動が必要な場合に通知を受け取る」の設定によって自動再起動の動作が変わる可能性があります。
Learnでは、「自動更新と再起動の期限を指定する」ポリシーを使用しているときに通知のユーザー設定が使用されるむねが記載されています。
Enforce compliance deadlines with policies - Windows Update for BusinessThis article contains information on how to enforce compliance deadlines using Windows Update for Business.learn.microsoft.com
When these policies are used, user settings for notifications are also used on clients running Windows 11, version 22H2 and later.
通知に関する設定では、以下の説明があり「更新を完了するために再起動が必要な場合に通知を受け取る」がデフォルトのオフの状態だと、アクティブ時間内でも再起動される可能性がありそうです。
Off (default): Once the device enters a pending reboot state for updates, restart notifications are suppressed for 24 hours. During the first 24 hours, automatic restarts can still occur outside of active hours. Typically, users receive fewer notifications about upcoming restarts while the deadline is approaching.
Learnの説明の補足
上記の説明は、Learn「Enforcing compliance deadlines for updates」ページの「Policy setting overview for clients running Windows 11, version 22H2 and later」の説明と異なる部分があります。私も検証で動作確認するまで食い違いに悩んだので補足しておきます。
Enforcing compliance deadlines for updates
原文
As soon as installation is complete and the device reaches pending restart, users are able to schedule restarts during the grace period and Windows can still automatically restart outside of active hours if users choose not to schedule restarts.
筆者訳
インストールが完了し、デバイスが再起動待ちの状態になると、ユーザーは猶予期間中に再起動をスケジュールすることができます。ユーザーが再起動をスケジュールしない場合でも、Windowsはアクティブ時間外に自動的に再起動することがあります。
上記説明では、猶予期間(grace period)の間に再起動スケジュールを設定できるように読み取れましたが、再起動スケジュールは有効期間の間行えます。また、再起動のスケジュール変更も有効期間の間であれば行うことができました。
原文
Once the effective deadline is reached, the device tries to restart during active hours. (The effective deadline is whichever is the later of the restart pending date plus the specified deadline or the restart pending date plus the grace period.)
筆者訳
有効期限に達すると、デバイスはアクティブ時間中に再起動を試みます。(有効期限とは、再起動待ちの日付に指定された期限を加えた日付、または再起動待ちの日付に猶予期間を加えた日付のうち遅い方の日付です。)
上記説明では、再起動保留になった日を期限と猶予期間に1日加えたものが、有効期限のように読み取れましたが、設定日から1日増えるわけではありませんでした。期限も猶予期間も設定は「日」単位で指定していますが、そのカウントダウンと有効期限の終わりは、検証結果を見ている限り「時間(分)」単位で管理されています。
期限で7日を指定してれば、更新プログラムを検出した7日後(168時間後)であり、猶予期間に2日を指定してれば、再起動保留になってから2日後(48時間後)ということです。
有効期限が切れる当日
有効期限の当日に起動してログイン後、数分程経つと上記のようなポップアップが画面上に表示されます。
Windows Update画面を見ると「YYYY/MM/DDまでにデバイスを再起動する必要があります」の表記が「hh時間後にデバイスを再起動する必要があります」のように、時間単位の表記に変わりました。
再起動のスケジュール設定で、有効期間の時間以降を設定しようとしても上記のようなエラーが表示され行えません。有効期限以内に収めて再起動のスケジュールを設定する必要があります。
有効期限までに再起動しない場合
有効期限に達する際も、更新プログラムを適用せずに使い続けていると上記のポップアップが画面に表示され、記載されている時間になると自動的に再起動が行われます。このポップアップは再起動の15分前に表示されました。
なお、WSUSクライアントを停止している状態で、有効期限後が過ぎて起動した場合、起動後に自動再起動が行われます。
推奨設定
ちなみにLearnでは、Windows 11 バージョン22H2以降の期限と猶予期間は下記が推奨とのことです。
https://learn.microsoft.com/en-us/windows/deployment/update/wufb-compliancedeadlines
| 種類 | 項目 | デフォルト | 推奨 |
|---|---|---|---|
| 品質更新プログラム | 期限(日数) | 7 | 7 |
| 品質更新プログラム | 猶予期間(日数) | 2 | 2 |
| 機能更新プログラム | 期限(日数) | 7 | 2 |
| 機能更新プログラム | 猶予期間(日数) | 2 | 7 |
機能更新プログラムだけ、このように変わっているのは、大幅な変更があるため猶予期間に余力を持たせてユーザーに再起動のタイミングを図る機会を与えているのだろうと思われます。期限が短くなっているのは、機能更新はファイル容量なども大きくなるため、検出してダウンロード・インストールに時間もかかります。その直後に猶予期間がすぐに終わってしまうのを避ける狙いがあるのでしょう。
推測のため本意はわかりませんが、わかりにくい推奨値だなと思います(初見で理解できませんでした)。
参考
まとめ
個人的には、「自動更新と再起動の期限を指定する」ポリシーが家庭で使っているWindows 11のWindows Updateの挙動と似ているのためとっつきやすいかなと感じました。
猶予期間の「猶予期間が終了するまで自動的に再起動しない」でアクティブ時間内外でも再起動を強制させず、有効期限がきたら強制的に再起動して適用させるというのは理にかなっているとも思います。
Windows 10 バージョン 1709 以降で使えるポリシーのためクライアントOSでは、このポリシーを使いたいところです。
1点注意なのは、Windows 11 バージョン21H2以前の場合は、品質更新プログラムの期限はリリース日からカウント、機能更新プログラムの場合は再起動保留日からカウントが開始されることです。
しかし、猶予期間のカウントは同じようなので、OSバージョンが混在する場合は、猶予期間を期限より長くしておくことで、OSバージョンが異なっても同様の動作を期待できそうです。