【WSUS】「インターネット上のWindows Updateに接続しない」グループポリシー

どうも、Tです。

WSUSを使うとき、WSUSクライアントからインターネットを使用したWindows Updateをして欲しくないときの以下のグループポリシーの検証の備忘録です。

環境

検証環境については、下記記事の「環境」をご参照ください。

以下のグループポリシーは事前に設定済みの環境で確認しています。

設定の詳細は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の検証結果を参照してください。

「インターネット上のWindows Updateに接続しない」ポリシーが未構成の場合、WSUSクライアントからWSUSサーバー以外のインターネット上のWindows Updateの実行やMicrosoft Storeへの接続が可能です。

Windows Updateでは、「更新プログラムのチェック」の「下↓」をクリックし「Microsoft Updateの更新プログラムをオンラインで確認する」をクリックするとWSUSサーバーではないインターネット上のWindows Updateサーバーでアップデートが実施されます。

Microsoft Storeも接続しアプリのインストールが可能です。

ADサーバーで「サーバマネージャ」->「ツール」->「グループポリシーの管理」をクリックします。

事前に作成しておいたWSUSクライアントが所属する「c-client-test」OUを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。

GPO名「windowsupdate-19」を入力し「OK」をクリックします。

19の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。

個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。

GPOが作成されたら右クリックから「編集」をクリックします。

「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「インターネット上のWindows Updateに接続しない」をダブルクリックします。

「有効」を選択し「OK」をクリックします。

注: このポリシーは、”イントラネットの Microsoft 更新サービスの場所を指定する” ポリシーを使用してイントラネットの更新サービスに接続するようにこの PC が構成されているときにのみ適用されます。

GPO設定後、WSUSクライアントを再起動するか「gpupdate /foce」コマンドでグループポリシーを反映します。

「更新プログラムのチェック」だけ表示され「Microsoft Updateの更新プログラムをオンラインで確認する」は表示できなくなっています。これによりインターネット上のWindows Updateを実施でさせないようにできます。

Microsoft Storeで新しくアプリをインストール使用とすると「現在、別のアプリをインストールしています。完了するまで待ってから、もう一度お試しください。」や「エラーが発生しました。」と表示されインストールや更新が行えくなります。

GPOで制限している際のメッセージとしてはいかがなものかと思いましたが…表示されるメッセージはアプリによって異なるようです。

インターネット上のWindows Updateを禁止したいだけなのに、Microsoft Storeも使えなくなるのは注意点になるかと思いました。

インターネットから更新プログラムを取得することは禁止したいが、ストアアプリの更新は行いたい場合、「Windows Update のすべての機能へのアクセスを削除する」ポリシーで行えます。

「Windows Update のすべての機能へのアクセスを削除する」ポリシーについては下記の記事を参照してください。

WSUSを使用するときに下記を使用するかが判断ポイントになりそうです。