【WSUS】「インターネット上のWindows Updateに接続しない」グループポリシー

どうも、Tです。

WSUSを使うとき、WSUSクライアントからインターネットを使用したWindows Updateをして欲しくないときの以下のグループポリシーの検証の備忘録です。

  • インターネット上のWindows Updateに接続しない

環境

バージョン

検証環境については、下記記事の「環境」をご参照ください。

WSUSを使うときに押さえておきたいWindows Updateグループポリシー
どうも、Tです。 WSUSを使うときに抑えておいた方が良いと思ったWindowsUpdate関連のグループポリシーについての備...

事前に設定しているグループポリシー

以下のグループポリシーは事前に設定済みの環境で確認しています。

  • 自動更新を構成する
  • イントラネットのMicrosoft更新サービスの場所を指定する

設定の詳細は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の検証結果を参照してください。

WSUSを使うときに押さえておきたいWindows Updateグループポリシー
どうも、Tです。 WSUSを使うときに抑えておいた方が良いと思ったWindowsUpdate関連のグループポリシーについての備...

GPOが未構成の場合

「インターネット上のWindows Updateに接続しない」ポリシーが未構成の場合、WSUSクライアントからWSUSサーバー以外のインターネット上のWindows Updateの実行やMicrosoft Storeへの接続が可能です。

Windows Updateでは、「更新プログラムのチェック」の「下↓」をクリックし「Microsoft Updateの更新プログラムをオンラインで確認する」をクリックするとWSUSサーバーではないインターネット上のWindows Updateサーバーでアップデートが実施されます。

Microsoft Storeも接続しアプリのインストールが可能です。

GPO設定

ADサーバーで「サーバマネージャ」->「ツール」->「グループポリシーの管理」をクリックします。

事前に作成しておいたWSUSクライアントが所属する「c-client-test」OUを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。

GPO名「windowsupdate-19」を入力し「OK」をクリックします。

19の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。

WSUSを使うときに押さえておきたいWindows Updateグループポリシー
どうも、Tです。 WSUSを使うときに抑えておいた方が良いと思ったWindowsUpdate関連のグループポリシーについての備...

個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。

GPOが作成されたら右クリックから「編集」をクリックします。

「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「インターネット上のWindows Updateに接続しない」をダブルクリックします。

「有効」を選択し「OK」をクリックします。

注: このポリシーは、”イントラネットの Microsoft 更新サービスの場所を指定する” ポリシーを使用してイントラネットの更新サービスに接続するようにこの PC が構成されているときにのみ適用されます。

GPO設定後

GPO設定後、WSUSクライアントを再起動するか「gpupdate /foce」コマンドでグループポリシーを反映します。

「更新プログラムのチェック」だけ表示され「Microsoft Updateの更新プログラムをオンラインで確認する」は表示できなくなっています。これによりインターネット上のWindows Updateを実施でさせないようにできます。

Microsoft Storeで新しくアプリをインストール使用とすると「現在、別のアプリをインストールしています。完了するまで待ってから、もう一度お試しください。」や「エラーが発生しました。」と表示されインストールや更新が行えくなります。

GPOで制限している際のメッセージとしてはいかがなものかと思いましたが…表示されるメッセージはアプリによって異なるようです。

注意点

インターネット上のWindows Updateを禁止したいだけなのに、Microsoft Storeも使えなくなるのは注意点になるかと思いました。

インターネットから更新プログラムを取得することは禁止したいが、ストア アプリの更新は行いたい場合、「Windows Update のすべての機能へのアクセスを削除する」ポリシーで行えます。

「Windows Update のすべての機能へのアクセスを削除する」ポリシーについては下記の記事を参照してください。

【WSUS】「Windows Updateのすべての機能へのアクセスを削除する」グループポリシー
どうも、Tです。 WSUSを使うとき、WSUSクライアントからWindows Updateに関連する操作をして欲しくないときの以下のグ...

参考

Microsoftブログ

Configuration Manager クライアントの OS が意図せずにアップグレードしてしまった際の対処策について
みなさま、こんにちは。Configuration Manager サポート チーム 山田 です。 本日は、Configuration Manager 環境にてクライアントの OS が意図せずアップグレードしてしまった際の要因と対処策についてご紹介いたします。 想定される要因として以下 2 つが挙げられますので、それぞれ...

まとめ

WSUSを使用するときに下記を使用するかが判断ポイントになりそうです。

  • 「更新プログラムのチェック」のボタンを操作させることがあるか
  • Microsoft Storeを使うのか、使わないのか