WSUSを使うときに押さえておきたいWindows Updateグループポリシー

どうも、Tです。

WSUSを使うときに抑えておいた方が良いと思ったWindowsUpdate関連のグループポリシーについての備忘録です。

環境

確認した環境の詳細なバージョンなどは後述しますが、共通する内容は下記になります。

  • すべてのマシンは、仮想環境に作成した仮想マシン・ゲストOSです。
  • すべてのマシンは、インターネットへの接続制限なしで行っています。
  • サーバー関連の操作は、Administrator(管理者権限)で行っています。
  • クライアントOSは、ADドメインへ参加し、クライアント関連の操作はADドメインユーザーで行っています。

ADサーバー

バージョン

ADサーバーは上図の通りのバージョンです。

  • OS:Windows Server 2022
  • ビルド:21H2(20348.2340)
  • エディション:Datacenter Evaluation

OU

コンピュータが所属するOUとして、「test-computers」の配下に「c-client-test」を作成しています。

検証では「c-client-test」OUを使用します。

WSUSサーバー

バージョン

WSUSサーバーのバージョンは、上図の通りです。

  • OS:Windows Server 2022
  • ビルド:21H2(20348.2340)
  • エディション:Datacenter Evaluation
  • WSUSバージョン:10.0.20348.2031

WSUSは、httpsではなくhttpで構成・設定しています。

コンピュータグループ

WSUSサーバー上にコンピュータグループ「c-client-test」を作成し、Windows11関連などの更新プログラムを承認している状態です。

検証では、このコンピュータグループ「c-client-test」を使用します。

WSUSクライアント

バージョン

WSUSクライアントのバージョンは、上図の通りです。

  • OS:Windows 11
  • ビルド:23H2(22631.2428)
  • エディション:Enterprise Evaluation

なお、WSUSクライアント(Windows 11)は、自動スリープなどにならないように、電源構成で常時起動するようにしています。

ADドメインユーザー

WSUSクライアントは、上図のADドメインユーザーを利用しておりDomain Usersに所属しています。

※test-client-usersグループにも追加していますが、このグループは特に権限設定はしていません。

Windows Update関連のグループポリシー

本記事で確認するのは、WSUSに関連の大きい下記に関するグループポリシーです。

「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」の全項目。

Windows Updateグループポリシーの中に、「Windows Update for Business」が含まれますが、今回は無視しています。

「Windows Update for Business」はWSUSと併用することも可能ですが、Windows Updateサービスに直接接続することで更新プログラムを制御するためのグループポリシーです。詳しくは、下記を参照ください。

Windows Update for Business とは?

Windows Update for Business
Windows Updateからデバイスが更新プログラムを受け取るタイミングを、Windows Update for Business で管理する方法について説明します。

ちなみに併用することも可能とは書きましたが、併用したときの動作は非常に難解なものになります。

ビジネス向け Windows Update サービスと Windows Server Update Services (WSUS) を併用する
新しいスキャン ソース ポリシーを使用して、Windows Update for Business と WSUS を併用する方法について説明します。

また、併用した際にデュアルスキャンという問題も抱えています。以下の記事では解決したような感じで記載されていますが、インターネット上ではかなり困った記事が散見され今後も類似の問題が発生する可能性がありそうです。

Windows 11 以降のデバイスにおいて、Windows Defender の定義ファイルや OS の更新プログラムが配布されない事象について
みなさま、こんにちは。Configuration Manager サポート チームです。 特定の条件下にある Windows 11 以降のデバイスにおいて、Windows Defender の定義ファイルや OS の更新プログラムが配布されない事象についてご案内いたします。 事象についてWindows 11 以降のデバ...

Windows 11向けのグループポリシーについて

Windows 11では、Windows Updateグループポリシー関連が大きく修正されました。Windows 11のローカルグループポリシーを確認すると、上図のようにフォルダー分けがされており、特に従来のポリシー(Legacy Policies)はWindows11(およびWndows10 20H2以降)では、推奨されないポリシーとなっています。

Windows11向けであれば、Windows 11 ADMX テンプレートでAD側のグループポリシーも併せておくべきですが、今回の一番の目的はWSUS全般に向けたポリシーの確認のため、Windows Server 2022をADとして構築した時にデフォルトであるポリシーを使用して記事を書いています。

評価

WSUSを使用する上でWindows Updateポリシーのどれを使用するかどうかの判断を「非推奨」「任意(レガシー)」「任意」「必須」に分類して検証を行いました。

それぞれの評価をどのようにしたのかを先に説明しておきます。

非推奨

以下のブログの「Policies not to set」にある項目は、非推奨としています。Windows11(およびWndows10 20H2以降)向けの内容ですが、今後のWindowsOS全般に共通される認識となるものと思われるためです。また、非推奨のため検証も行っていません。

Why you shouldn’t set these 25 Windows policies

Why you shouldn’t set these 25 Windows policies
Understand which Windows update policies to set, and not to set, and why.  

上記のブロブを読むのでいくつか迷う部分があったので、下記に私が見つけられた部分を記載しておきます。

1つ目に、ブログのタイトルが「25 Windows policies」となっていますが、記載されているのは24個です。コメントで突っ込みがありますが、理由は明確になっていません。おそらく書き間違いかなと思っています。

2つ目に、Windows 11の従来のポリシー(Legacy Policies)に含まれるものが推奨されないと説明しているにもかかわらず、非推奨のポリシーには従来のポリシー(Legacy Policies)にないポリシーも含まれています(従来のポリシーの数は18個です)。これも文脈がおかしいですが、従来のポリシー(Legacy Policies)にとらわれず「Policies not to set」に記載のあるものが非推奨と認識して確認しています。

3つ目に、「CSP」という言葉がブログの中で頻出してきます。明確な説明はありませんが「Policy CSP」のことかと思われます。これらは、ADのグループポリシーでは出てこないもののためCSPだけに関する説明は無視しています。

CSPの詳細は下記をご参照ください。

IT 担当者向けの構成サービス プロバイダー

IT 担当者向けの構成サービス プロバイダー
IT 担当者とシステム管理者が構成サービス プロバイダー (CSP) を使用してデバイスを構成する方法について説明します。

4つ目に、「compliance deadline policies」という言い回しが頻出しますが、グループポリシーには、このような項目はありません。文脈から「更新プログラムをインストールするための自動再起動の期限を指定する」ポリシーのことを指していると思われるため、読み替えて記載しています。

任意(レガシー)

上記の非推奨項目に明記されておらず、Windows 11の従来のポリシー(Legacy Policies)に含まれているポリシーです。おそらく非推奨扱いではあると思いますが、Windows 11で動く可能性があるため検証しています。

任意

非推奨にも任意(レガシー)にも含まれない、要件によって設定する可能性があるポリシーです。

必須

WSUSを使うために設定しないと動作しないポリシーです。

Windows Updateグループポリシーの評価・検証結果サマリ

Windows Server 2022のADに含まれるWindows Updateグループポリシーに関連する評価と検証結果一覧です。

グループポリシーを開いたときに表示される順番でリストしています。

非推奨の説明文は、上記の「Why you shouldn’t set these 25 Windows policies」から簡易的に端折っているので、詳細はブログの方を確認してください。

Windows 11のポリシー配置については、Windows Serevr 2022のADのグループポリシーに含まれるWindows 11のローカルグループポリシーの場所を記載しています。※Windows 11だけに含まれるものについては記載していません。

NO 設定 評価 個人的に推測する使用頻度 説明 検証結果 Windows11のポリシー配置場所
1 [Windowsシャットダウン]ダイアログボックスで[更新をインストールしてシャットダウン]オプションを表示しない

(英語名)

Do not display ‘Install Updates and Shut Down” option in Shut Down Windows dialog box

非推奨

Windows 10には実装されておらず、Windows 10またはWindows 11に設定しても効果なし。

非推奨のため実施しない。 従来のポリシー
2 [Windowsシャットダウン]ダイアログボックスの既定のオプションを[更新をインストールしてシャットダウン]に調整しない

(英語名)

Do not adjust default option to ‘Install Updates and Shut Down’ in Shut Down Windows dialog box

非推奨 Windows 10には実装されておらず、Windows 10またはWindows 11に設定しても効果なし。 非推奨のため実施しない。 従来のポリシー
3 Windows Updateの電源管理を有効にして、システムのスリープ状態が自動的に解除され、スケジュールされた更新がインストールされるようにする 任意

(レガシー)

更新プログラムのインストールがスケジュールされている(「自動更新を構成する」ポリシーのことと思われる)場合、休止状態を解除しインストールを行うかを指定する。

参考:Windows Update の電源管理を有効にして、システムのスリープ状態が自動的に解除され、スケジュールされた更新がインストールされるようにする

未構成の場合は、休止状態の解除は行われず、従来のポリシーで使用は非推奨に近いと思われるため使うことはなさそう。

特に重要ではないため検証なし。 従来のポリシー
4 アクティブ時間内の更新プログラムの自動再起動をオフにします 任意 アクティブ時間を指定する。 【WSUS】「アクティブ時間内の更新プログラムの自動再起動をオフにします」グループポリシー エンドユーザーエクスペリエンスの管理
5 自動再起動のアクティブ時間範囲を指定する 任意 ユーザーがアクティブ時間を設定できる、開始時刻からの最大時間を指定する。 【WSUS】「自動再起動のアクティブ時間範囲を指定する」グループポリシー エンドユーザーエクスペリエンスの管理
6 更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する 任意 従量制課金接続のネットワークの場合の更新プログラムのダウンロード許可を指定する。

挙動が不明瞭なため利用は避けたい。

【WSUS】「更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する」グループポリシー エンドユーザーエクスペリエンスの管理
7 スケジュールされた時刻に常に自動的に再起動する 任意 少なくとも2024年5月時点のWindows11では意図した動作にならないため使用しない。 【WSUS】「スケジュールされた時刻に常に自動的に再起動する」グループポリシー エンドユーザーエクスペリエンスの管理
8 更新プログラムをインストールするための自動再起動の期限を指定する

(英語名)

Specify deadline before auto-restart for update installation

非推奨 代わりに、No.13の「自動更新と再起動の期限を指定する」ポリシーで「猶予時間が終了するまで自動的に再起動しない」を選択する。 非推奨のため実施しない。 従来のポリシー
9 更新のための自動再起動リマインダー通知を構成する

(英語名)

Configure auto-restart reminder notifications for updates

非推奨 代わりに、No.13の「自動更新と再起動の期限を指定する」ポリシーとデフォルトの通知フローを利用する。 非推奨のため実施しない。 従来のポリシー
10 更新プログラムをインストールするための自動再起動通知をオフにする

(英語名)

Turn off auto-restart notifications for update installations

非推奨 デフォルトの通知エクスペリエンスはユーザーに良い体験をもたらすようにできており、通知を無効にするとユーザーの不満につながる。

それでも無効にしたい場合は、No.35の「更新通知の表示オプション」ポリシーを利用する。

非推奨のため実施しない。 従来のポリシー
11 更新のための自動再起動必須通知を構成する

(英語名)

Configure auto-restart required notification for updates

非推奨 Windows 10またはWindows 11でサポートされておらず、設定しても効果なし。

非推奨のため実施しない。 従来のポリシー
12 自動更新を構成する 任意 個人的見解としては、Server向けOSではこちらを使う方が良い。

更新プログラムのダウンロード・インストールの自動更新に関する設定。

No.13の「自動更新と再起動の期限を指定する」ポリシーを使うと上書きされる。

WSUSでパッチを配信するためのグループポリシー設定 エンドユーザーエクスペリエンスの管理
13 自動更新と再起動の期限を指定する 任意 個人的見解としては、クライアント向けOSではこちらを使う方が良い。

更新プログラムのダウンロード・インストールの自動更新に関する設定。

No.12の「自動更新を構成する」を上書きする。

【WSUS】「自動更新と再起動の期限を指定する」グループポリシー エンドユーザーエクスペリエンスの管理
14 イントラネットのMicrosoft更新サービスの場所を指定する 必須 超高 Windows Update場所にWSUSサーバーを指定するため必須設定。 WSUSでパッチを配信するためのグループポリシー設定 Windows Server Update Serviceから提供される更新プログラムの管理
15 自動更新の検出頻度 任意 Windows Updateの検出頻度を既定の22時間から変更する。

注: このポリシーを有効にするには、[イントラネットの Microsoft の更新サービスの場所を指定する] 設定を有効にする必要があります。

注: [自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。

【WSUS】「自動更新の検出頻度」グループポリシー Windows Server Update Serviceから提供される更新プログラムの管理
16 Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない

(英語名)

Do not allow update deferral policies to cause scans against Windows Update

非推奨 Windows 10では動作するが、Windows 11ではサポートされていないため効果がない。

代わりに「Windows Updateの特定のクラスにソースサービスを指定する」ポリシーを利用する。(このポリシーはWindows Server 2022 ADのデフォルトのGPOには含まれないため、Windows11の管理テンプレートを準備する必要があると思われる)

非推奨のため実施しない。 従来のポリシー
17 “更新の一時停止”機能へのアクセスを削除する 任意 Windows Updateに関する下記の操作を制御する。

  • 更新の一時停止
【WSUS】「”更新の一時停止”機能へのアクセスを削除する」グループポリシー エンドユーザーエクスペリエンスの管理
18 Windows Updateのすべての機能へのアクセスを削除する 任意 Windows Updateに関する下記の操作を制御する。

  • 更新プログラムのチェック
  • 更新の一時停止
  • 最新の状態にしてください
【WSUS】「Windows Updateのすべての機能へのアクセスを削除する」グループポリシー エンドユーザーエクスペリエンスの管理
19 インターネット上のWindows Updateに接続しない 任意 インターネット上のWindows Updateをさせないように制限する(Microsoft Storeも制限される)。

注: このポリシーは、”イントラネットの Microsoft 更新サービスの場所を指定する” ポリシーを使用してイントラネットの更新サービスに接続するようにこの PC が構成されているときにのみ適用されます。

【WSUS】「インターネット上のWindows Updateに接続しない」グループポリシー Windows Server Update Serviceから提供される更新プログラムの管理
20 非管理者による更新の通知の受信を許可する

(英語名)

Allow non-administrators to receive update notifications

非推奨 デフォルトでユーザーは更新通知を受け取る。 非推奨のため実施しない。 従来のポリシー
21 更新プログラムのための再起動猶予期間を移行および通知するスケジュールを指定します

(英語名)

Specify Engaged restart transition and notification schedule for updates

非推奨 代わりに、No.13の「自動更新と再起動の期限を指定する」ポリシーとデフォルトの通知フローを利用する。 非推奨のため実施しない。 従来のポリシー
22 Windows Updateからドライバーを除外する 任意 更新プログラムからドライバ関連を除外する。

WSUSだけ使う場合は、必要ではない。WSUSとWindows Update for Businessを併用するなどWindows Updateを利用する際に検討が必要。

特に重要ではないため検証なし。 Windows Updateから提供される更新プログラムの管理
23 ソフトウェアの通知を有効にする

(英語名)

Turn on Software Notifications

非推奨 Windows 10 または Windows 11 に実装されていなかった。設定しても効果はない。 非推奨のため実施しない。 従来のポリシー
24 自動更新を直ちにインストールすることを許可する

(英語名)

Allow Automatic Updates immediate installation

非推奨 デフォルトでアップデートは自動的にインストールされるため不要。 非推奨のため実施しない。 従来のポリシー
25 推奨される更新の自動更新を有効にする

(英語名)

Turn on recommended updates via Automatic Updates

非推奨 Windows 10 または Windows 11 に実装されていなかった。設定しても効果はない。 非推奨のため実施しない。 従来のポリシー
26 スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない

(英語名)

No auto-restart with logged on users for scheduled automatic updates installation

非推奨 ポリシーの説明通りに機能しない。No.13の「自動更新と再起動の期限を指定する」ポリシーを利用し、ユーザーが意識しない再起動を防ぐために、自動再起動を無効にする。 非推奨のため実施しない。 従来のポリシー
27 スケジュールされたインストール時の再起動を再確認する

(英語名)

Re-prompt for restart with scheduled installations

非推奨 Windows 10 または Windows 11 に実装されていなかった。設定しても効果はない。 非推奨のため実施しない。 従来のポリシー
28 スケジュールされたインストールの再起動を遅らせる

(英語名)

Delay Restart for scheduled installations

非推奨 Windows 10には実装されておらず、Windows 10またはWindows 11に設定されても効果なし。 非推奨のため実施しない。 従来のポリシー
29 自動更新のインストールの予定を変更する

(英語名)

Reschedule Automatic Updates scheduled installations

非推奨 Windows 10 または Windows 11 に実装されていなかった。設定しても効果はない。 非推奨のため実施しない。 従来のポリシー
30 更新のための自動再起動警告通知のスケジュールを構成する

(英語名)

Configure auto-restart warning notifications schedule for updates

非推奨 No.13の「自動更新と再起動の期限を指定する」ポリシーの期限に伴うデフォルトの通知フローを利用する。 非推奨のため実施しない。 従来のポリシー
31 カート再起動の電源ポリシーを更新します

(英語名)

Update Power Policy for Cart Restarts

非推奨 Windows 10で機能するが、コンプライアンスとデバイスの更新速度が大幅に低下する。

代わりに、デフォルトのアクティブ時間を活用する。

非推奨のため実施しない。 エンドユーザーエクスペリエンスの管理
32 クライアント側のターゲットを有効にする 任意 WSUSクライアント台数が多く、コンピュータの運用を厳密に定められる場合は検討できる。手動でのメンバーシップの変更は行えなくなる。

注: このポリシーは、このコンピューターで指定されている先のイントラネット Microsoft 更新サービスがクライアント側のターゲットをサポートするように構成されているときにのみ適用されます。[イントラネットの Microsoft の更新サービスの場所を指定する] ポリシーが無効か構成されていない場合、このポリシーは有効にはなりません。

【WSUS】「クライアント側のターゲットを有効にする」グループポリシー Windows Server Update Serviceから提供される更新プログラムの管理
33 イントラネットのMicrosoft更新サービスの保存場所にある署名済み更新を許可する 任意 サードパーティによる署名がされているものをWSUSで受け入れる際に必要?

Configuration Managerでは有効にする必要がありそうだが、WSUS単体では不要と思われる。

参考1:GPOを使ったWindows10の管理について

参考2:Configuration Manager クライアントで Windows Update 配下のポリシーが意図せず未構成になってしまう事象について

参考3:Allow signed updates from an intranet Microsoft update service location

特に重要ではないため検証なし。 Windows Server Update Serviceから提供される更新プログラムの管理
34 特定のクラスのWindows更新プログラムのソースサービスを指定する 任意 機能更新、品質更新、ドライバ、その他の更新プログラムの分類でWSUSから受信するか、Windows Updateから受信するかを指定できる。

このような分け方をすることはないと思うので、使う必要はなさそう。

特に重要ではないため検証なし。 Windows Server Update Serviceから提供される更新プログラムの管理
35 更新通知の表示オプション 任意 Windows Update通知を制御する。 特に重要ではないため検証なし。 エンドユーザーエクスペリエンスの管理

参考

Microsoftブログ

Why you shouldn’t set these 25 Windows policies
Understand which Windows update policies to set, and not to set, and why.  
The Windows Update policies you should set and why
Explore this go-to policy resource to the best update policies for single-user, multi-user, education, kiosk, and other types of devices.  

コミュニティ・ブログ

Windows Server2019 WSUS設定手順3(自動でパッチ更新をインストールGPO) - 協栄情報ブログ
この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので十分ご注意ください。背景 以前、Windows Server2016で構築したことがありますが、今回はWindows Server2019でW... » read more
Windows 10 / 11 で使用する意味のないポリシー設定 | スラド idle
Microsoft が Windows 11 での使用を推奨しない 25 のポリシー設定として、24 個のポリシーを紹介している(Windows IT Pro Blog の記事、BetaNews の記事、Windows Central の記事)。ポリシーはすべて Windows Update に関するもので、グループポ...
https://4sysops.com/archives/microsoft-retires-25-group-policies-for-windows-update/
25 Windows Update Policies That Are Obsolete in Windows 11/10
Some Windows update policies should no longer be set in Windows 11, 10, because they have become irrelevant or been replaced by better options.

まとめ

WSUSの問題ではありませんが、Windows Update関連のポリシーはかなり混沌としています。

参考に記載しているMicrosoftブログによれば、以下の2つが大きなポリシーのようですが、要件にもよりますので、1つ1つ確認しながら動作を確認する必要がありそうです。

  • 従来のポリシーは使用しない
  • 「エンドユーザーエクスペリエンスの管理」の項目はデフォルトを使用する(デフォルトでよい感じになるようになっているため。本当か?と思いますが)。