Table of contents
TOC
目次を折りたたむ
目次を展開する

Windows Server Update Services (WSUS) を使った Windows 10 更新プログラムの管理

Dani Halfin|最終更新日: 2017/03/13
|
1 投稿者

適用対象

  • Windows 10

ユーザー向けの情報をお探しの場合は、Windows Update: FAQ」をご覧ください。

WSUS は、Windows Server オペレーティング システムで利用可能な Windows サーバーの役割です。 これによって、組織内の Windows 更新プログラムに関する単一のハブを提供されます。 WSUS を使うと、更新プログラムを保留できるだけでなく、選択的に承認したり配信時期を選択したりすることができ、更新プログラムを受信するデバイスまたはデバイス グループを決定することができます。 WSUS により、Windows Update for Business をさらに制御することができますが、System Center Configuration Manager が提供する、すべてのスケジュール設定オプションや展開の柔軟性は提供されません。

Windows 更新プログラムのソースとして WSUS を選択した場合は、グループ ポリシーを使って Windows 10 クライアント デバイスを WSUSサーバーに向けます。 そこから、更新プログラムが定期的に WSUS サーバーにダウンロードされ、WSUS 管理コンソールまたはグループ ポリシーを通じて管理、承認、および展開され、企業の更新プログラムの管理が合理化されます。 現在、環境内で WSUS を使って Windows 更新プログラムを管理している場合は、Windows 10 でも続けて使うことができます。

WSUS による Windows 10 のサービスの要件

WSUS を使って Windows 10 の機能更新プログラムを管理および展開するには、Windows Server 2012 R2 および Windows Server 2012 オペレーティング システムで提供されている WSUS 4.0 が必要です。 WSUS 4.0 に加えて、WSUS サーバーの修正プログラム、KB3095113 および KB3159706 をインストールする必要があります。

WSUS のスケーラビリティ

WSUS を使ってすべての Windows 更新プログラムを管理するために、一部の組織では境界ネットワークから WSUS にアクセスすることが必要になる場合があります。組織によっては、他の複雑なシナリオがある場合もあります。 WSUS はスケーラビリティが高く構成範囲が広いため、さまざまな規模やサイト レイアウトの組織に対応できます。 アップ ストリームおよびダウン ストリームのサーバー構成、ブランチ オフィス、WSUS の負荷分散、その他の複雑なシナリオなど、WSUS のスケーリングに関する情報については、WSUS 展開の種類の選択に関するページをご覧ください。

高速インストール ファイル

Windows 10 では、品質更新プログラムには累積的な更新が含まれているため、従来の Windows 更新プログラムよりサイズが大きくなります。 そういう大きなサイズの更新プログラムをダウンロードするクライアントに必要になる帯域幅を管理するために、WSUS には高速インストール ファイルと呼ばれる機能があります。

バイナリ レベルでは、更新プログラムに関連付けられているファイルに大きな変化はありません。 実際、累積的な品質更新プログラムでは、コンテンツのほとんどは以前の更新プログラムのコンテンツと同じです。 実際に異なる部分がペイロードの数パーセントである場合、高速インストール ファイルは、更新プログラム全体をダウンロードするのではなく、更新プログラムに関連付けられている新しいファイルとクライアント上の既存のファイルの間の違いを分析します。 この方法では、更新プログラムのコンテンツの一部のみが実際に配信されるため、使用される帯域幅の量が大幅に減ります。

高速インストール ファイルをダウンロードするように WSUS を構成するには

  1. WSUS 管理コンソールを開きます。

  2. ナビゲーション ウィンドウで、[サーバー名\オプション] に移動します。

  3. [オプション] セクションで、[更新ファイルと言語] をクリックします。

    UI の例

  4. [更新ファイルと言語] ダイアログ ボックスで、[高速インストール ファイルをダウンロードする] を選択します。

    UI の例

    メモ

    Windows 10 更新プログラムは累積的であるため、WSUS が Windows 10 更新プログラムをダウンロードするように構成されているときに高速インストール ファイルを有効にすると、WSUS が必要とするディスク領域の容量が大幅に増加します。 逆に、以前のバージョンの Windows で高速インストール ファイルを使っても、更新プログラムは累積的でないため機能のプラス面はあまり目立ちません。

自動更新を構成し、サービスの場所を更新する

Windows クライアント デバイスで WSUS を使って更新プログラムを管理するときは、まず環境のグループ ポリシー設定、[自動更新を構成する] および [イントラネットの Microsoft 更新サービスの場所] を構成します。 こうすることで、影響を受けるクライアントを強制的に WSUS サーバーに接続させて管理できるようにします。 次のプロセスで、これらの設定を指定し、設定をドメイン内のすべてのデバイスに展開する方法について説明します。

環境のグループ ポリシーの設定、[自動更新を構成する] および [イントラネットの Microsoft 更新サービスの場所] を構成するには

  1. GPMC を開きます。

  2. [フォレスト\ドメイン\ドメイン名] の順に展開します。

  3. [ドメイン名] を右クリックし、[このドメインに GPO を作成し、このコンテナーにリンクする] をクリックします。

    UI の例

    メモ

    この例では、ドメイン全体に対してグループ ポリシーの設定、[自動更新を構成する] および [イントラネットの Microsoft 更新サービスの場所] を指定しています。 これは必須ではありません。セキュリティ フィルター処理や特定の OU を使って、これらの設定の対象を任意のセキュリティ グループにすることができます。

  4. [新しい GPO] ダイアログ ボックスで、新しい GPO に「WSUS – Auto Updates and Intranet Update Service Location」という名前を付けます。

  5. [WSUS – Auto Updates and Intranet Update Service Location] GPO を右クリックし、[編集] をクリックします。

  6. グループ ポリシー管理エディターで、[コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update] の順に進みます。

  7. [自動更新を構成する] 設定を右クリックし、[編集] をクリックします。

    UI の例

  8. [自動更新を構成する] ダイアログ ボックスで、[有効にする] を選択します。

  9. [オプション] で、[自動更新を構成する] 一覧から [3 - 自動ダウンロードしインストールを通知] を選択し、[OK] をクリックします。

    UI の例

    メモ

    更新プログラムの自動ダウンロードおよびインストールの日時には、他に 3 つの設定があります。 これはこの例で使うオプションです。 自動更新とその他の関連ポリシーを制御する方法の例については、「グループ ポリシーを使用して自動更新を構成する」をご覧ください。

  10. [イントラネットの Microsoft 更新サービスの場所を指定する] 設定を右クリックし、[編集] をクリックします。

  11. [イントラネットの Microsoft 更新サービスの場所を指定する] ダイアログ ボックスで、[有効にする] を選択します。

  12. [オプション] で、[更新プログラムを検出するためのイントラネットの更新サービスを設定する] および [イントラネット統計サーバーの設定] オプションに「http://Your_WSUS_Server_FQDN:PortNumber」と入力し、[OK] をクリックします。

    メモ

    以下の画像のURL、http://CONTOSO-WSUS1.contoso.com:8530 は 1 つの例です。 それぞれの環境で、WSUS インスタンスのサーバー名とポート番号を使ってください。

    UI の例

    メモ

    WSUS の既定の HTTP ポートは 8530、既定の HTTPS (HTTP over Secure Sockets Layer) ポートは 8531 です。 WSUS がクライアントとの通信にどのポートを使っているかがわからない場合は、IISマネージャーで WSUS 管理サイトを右クリックし、[バインドの編集] をクリックします。

Windows クライアントがコンピューター ポリシー (既定のグループ ポリシー更新設定は 90 分で、コンピューターの再起動時にも更新されます) を更新するにつれて、徐々に WSUS にコンピューターが表示されます。 クライアントが WSUS サーバーと通信するようになったので、次に展開リングに沿ったコンピューター グループを作成します。

WSUS 管理コンソールでコンピューター グループを作成する

メモ

次の手順では、例として「Windows 10 更新プログラムの展開リングの構築」の表 1 のグループを使います。

コンピューター グループを使うと、特定の品質および機能の更新プログラムがあるデバイスのサブセットを対象とすることができます。 これらのグループは、WSUS によって制御される展開リングを表します。 WSUS 管理コンソールを使って手動で、またはグループ ポリシーを通じて自動的にグループを設定することができます。 どちらの方法でも、まず WSUS 管理コンソールでグループを作成する必要があります。

WSUS 管理コンソールでコンピューター グループを作成するには

  1. WSUS 管理コンソールを開きます。

  2. [サーバー名\コンピューター\すべてのコンピューター] に移動し、[コンピューター グループの追加] をクリックします。

    UI の例

  3. 名前に「Ring 2 Pilot Business Users」(リング 2 パイロット ビジネス ユーザー) と入力し、[追加] をクリックします。

  4. これらの手順を繰り返して、Ring 3 Broad IT (リング 3 一般 IT) および Ring 4 Broad Business Users (リング 4 一般ビジネス ユーザー) グループを追加します。 終了したら、3 つの展開リング グループが追加されています。

グループが作成されたので、次に目的の展開リングに沿ったコンピューター グループにコンピューターを追加します。 これは、グループ ポリシーを通じて行うか、WSUS 管理コンソールを使って手動で行います。

WSUS 管理コンソールを使って展開リングを設定する

WSUS 管理コンソールでコンピューター グループにコンピューターを追加するのは簡単ですが、グループ ポリシーでメンバーシップを管理するよりも長い時間がかかることがあります。特に、追加するコンピューターの数が多い場合に時間がかかります。 WSUS 管理コンソールでコンピューター グループにコンピューターを追加することを、サーバー側のターゲットと呼びます。

この例では、2 つの異なる方法でコンピューターをコンピューター グループに追加します。割り当てられていないコンピューターを手動で割り当てる方法と、複数のコンピューターを検索する方法です。

割り当てられていないコンピューターを手動でグループに割り当てる

新しいコンピューターが WSUS と通信すると、それらは [割り当てられていないコンピューター] グループに表示されます。 そこから、次の手順で適切なグループにコンピューターを追加することができます。 これらの例では、2 台の Windows 10 PC (WIN10-PC1 と WIN10-PC2) をコンピューター グループに追加します。

手動でコンピューターを割り当てるには

  1. WSUS 管理コンソールで、[サーバー名\コンピューター\すべてのコンピューター\割り当てられていないコンピューター] に移動します。

    ここに、前のセクションで作成した GPO を受信し、WSUS との通信を開始した新しいコンピューターが表示されています。 この例ではコンピューターが 2 台だけですが、ポリシーを展開する範囲が広い場合、ここに多数のコンピューターが表示されます。

  2. 両方のコンピューターを選択して、選択範囲を右クリックし、[メンバーシップの変更] をクリックします。

    UI の例

  3. [コンピューター グループ メンバーシップの設定] ダイアログ ボックスで、[Ring 2 Pilot Business Users] (リング 2 パイロット ビジネス ユーザー) 展開リングを選択し、[OK] をクリックします。

    これらのコンピューターはグループに割り当てられたので、[割り当てられていないコンピューター] グループには表示されなくなります。 [Ring 2 Pilot Business Users] コンピューター グループを選択すると、そこに両方のコンピューターが表示されます。

グループに追加する複数のコンピューターを検索する

WSUS 管理コンソールで展開リングに複数のコンピューターを追加するもう 1 つの方法は、検索機能を使うことです。

複数のコンピューターを検索するには

  1. WSUS 管理コンソールで、[サーバー名\コンピューター\すべてのコンピューター] に移動し、[すべてのコンピューター] を右クリックして [検索] をクリックします。

  2. 検索ボックスに「WIN10」と入力します。

  3. 検索結果からコンピューターを選択し、選択範囲を右クリックして、[メンバーシップの変更] をクリックします。

    UI の例

  4. [Ring 3 Broad IT] (リング 3 一般 IT) 展開リングを選択し、[OK] をクリックします。

これらのコンピューターが、[Ring 3 Broad IT] コンピューター グループに表示されています。

グループ ポリシーを使って展開リングを設定する

WSUS 管理コンソールには、Windows 10 の品質および機能の更新プログラムを管理するための使いやすいインターフェイスが備わっています。 しかし、多数のコンピューターをそれぞれ適切な WSUS 展開リングに追加する必要がある場合、WSUS 管理コンソールで手動で行うと時間がかかります。 そのような場合は、グループ ポリシーを使って適切なコンピューターをターゲットに設定し、Active Directory のセキュリティ グループに基づいて、それらを適切な WSUS 展開リングに自動的に追加する方法を検討してください。 このプロセスはクライアント側のターゲットと呼ばれます。 グループ ポリシーでクライアント側のターゲット設定を有効にする前に、グループ ポリシーのコンピューターの割り当てを受け入れるように WSUS を構成する必要があります。

グループ ポリシーからのクライアント側のターゲットを許可するように WSUS を構成するには

  1. WSUS 管理コンソールを開き、[サーバー名\オプション] に移動して、[コンピューター] をクリックします。

    UI の例

  2. [コンピューター] ダイアログ ボックスで、[コンピュータのグループ ポリシーまたはレジストリを使用する] を選択し、[OK] をクリックします。

    メモ

    このオプションは排他的な二者択一です。 WSUS がグループの割り当てにグループ ポリシーを使うことを有効にすると、オプションを元に戻すまで、WSUS 管理コンソールを使って手動でコンピューターを追加することはできません。

これで、WSUS はクライアント側のターゲットの準備ができたので、次の手順でグループ ポリシーを使ってクライアント側のターゲットを構成します。

クライアント側のターゲットを構成するには

ヒント

クライアント側のターゲットを使う場合は、セキュリティ グループの名前を展開リングと同じ名前にすることを検討してください。 そうすると、ポリシー作成プロセスが簡単になり、間違ったリングにコンピューターを追加することを防げます。

  1. GPMC を開きます。

  2. [フォレスト\ドメイン\ドメイン名] の順に展開します。

  3. [ドメイン名] を右クリックし、[このドメインに GPO を作成し、このコンテナーにリンクする] をクリックします。

  4. [新しい GPO] ダイアログ ボックスで、新しい GPO の名前として「WSUS – Client Targeting – Ring 4 Broad Business Users」と入力します。

  5. [WSUS – Client Targeting – Ring 4 Broad Business Users] GPO を右クリックし、[編集] をクリックします。

    UI の例

  6. グループ ポリシー管理エディターで、[コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update] の順に進みます。

  7. [クライアント側のターゲットを有効にする] を右クリックし、[編集] をクリックします。

  8. [クライアント側のターゲットを有効にする] ダイアログ ボックスで、[有効にする] を選択します。

  9. [このコンピューターのグループ名をターゲットにする] ボックスに、「Ring 4 Broad Business Users」(リング 4 一般ビジネス ユーザー) と入力します。 これは、これらのコンピューターの追加先になる WSUS の展開リングの名前です。

    UI の例

  10. グループ ポリシー管理エディターを閉じます。

これで、この GPO を リング 4 一般ビジネス ユーザー 展開リングの適切なコンピューターのセキュリティ グループに展開する準備ができました。

GPO を 1 つのグループに限定するには

  1. GPMC で、[WSUS – Client Targeting – Ring 4 Broad Business Users] ポリシーを選択します。

  2. [スコープ] タブをクリックします。

  3. [セキュリティ フィルター処理] で、既定値の [AUTHENTICATED USERS] セキュリティ グループを削除し、[Ring 4 Broad Business Users] (リング 4 一般ビジネス ユーザー) グループを追加します。

    UI の例

次回、"リング 4 一般ビジネス ユーザー" セキュリティ グループのクライアントが、それらのコンピューターのポリシーを受信して WSUS にアクセスすると、それらは "リング 4 一般ビジネス ユーザー" 展開リングに追加されますします。

機能の更新プログラムを自動的に承認して展開する

機能更新プログラムが利用可能になるとすぐに承認する必要があるクライアントの場合は、WSUS で自動承認規則を構成できます。

メモ

WSUS はクライアントのサービス ブランチを引き継ぎます。 機能更新プログラムが Current Branch (CB) にある間に承認すると、WSUS は CB サービス ブランチにある PC にのみ更新プログラムをインストールします。 Microsoft が Current Branch for Business (CBB) のビルドをリリースすると、CBB サービス ブランチにある PC はそれをインストールします。

Windows 10 機能更新プログラムの自動承認規則を構成し、"リング 3 一般 IT" 展開リング向けにそれらを承認するには

  1. WSUS 管理コンソールで、[Update Services\サーバー名\オプション] に移動し、[自動承認] を選択します。

  2. [更新規則] タブで、[新しい規則] をクリックします。

  3. [規則の追加] ダイアログ ボックスで、[更新が特定の分類に含まれる場合][更新が特定の製品に含まれる場合]、および [承認の期日の設定] チェック ボックスをオンにします。

    UI の例

  4. [プロパティの編集] で、[任意の分類] を選択します。 [アップグレード] 以外をすべてオフにし、[OK] をクリックします。

  5. [プロパティの編集] で、[任意の製品] リンクをクリックします。 [Windows 10] 以外のすべてのチェック ボックスをオフにし、[OK] をクリックします。

    Windows 10 は、[すべての製品\Microsoft\Windows] の下にあります。

  6. [プロパティの編集] で、[すべてのコンピューター] リンクをクリックします。 [Ring 3 Broad IT] 以外のすべてのコンピューター グループのチェック ボックスをオフにし、[OK] をクリックします。

  7. 期限は [7 days after the approval at 3:00 AM] (承認 7 日後の午前 3 時 00 分) の設定のままにします。

  8. [ステップ 3: 名前を指定します] ボックスに「Windows 10 Upgrade Auto-approval for Ring 3 Broad IT」と入力し、[OK] をクリックします。

    UI の例

  9. [自動承認] ダイアログ ボックスで、[OK] をクリックします。

    メモ

    WSUS は、CB または CBB の既存の月/週/日の保留設定を引き継ぎません。 そのため、WSUS が更新プログラムも管理しているコンピューター向けに Windows Update for Business を使っている場合、WSUS が更新プログラムを承認すると、待機するようにグループ ポリシーを構成していたかどうかに関係なく更新プログラムがコンピューターにインストールされます。

これで、Windows 10 機能更新プログラムが WSUS に公開されるたびに、1 週間のインストール期限付きで "リング 3 一般 IT" 展開リング向けに自動的に承認されます。

機能更新プログラムを手動で承認して展開する

WSUS 管理コンソール内で、手動で更新プログラムを承認し、インストールの期限を設定することもできます。 手動の承認プロセスを簡略化するために、まず Windows 10 更新プログラムのみを含むソフトウェア更新プログラム ビューを作成します。

機能更新プログラムを手動で承認して展開するには

  1. WSUS 管理コンソールで、[Update Services\サーバー名\更新プログラム] に移動します。 [操作] ウィンドウで、[新しい更新ビュー] をクリックします。

  2. [更新ビューの追加] ダイアログ ボックスで、[更新は特定の分類に含まれます][更新は特定の製品用です] を選択します。

  3. [ステップ 2: プロパティを変更します] で、[任意の分類] をクリックします。 [アップグレード] 以外のすべてのチェック ボックスをオフにし、[OK] をクリックします。

  4. [ステップ 2: プロパティを変更します] で、[任意の製品] をクリックします。 [Windows 10] 以外のすべてのチェック ボックスをオフにし、[OK] をクリックします。

    Windows 10 は、[すべての製品\Microsoft\Windows] の下にあります。

  5. [ステップ 3: 名前を指定します] ボックスに「All Windows 10 Upgrades」と入力し、[OK] をクリックします。

    UI の例

[All Windows 10 Upgrades] ビューを設定したので、次の手順に従って "リング 4 一般ビジネス ユーザー" 展開リング向けの更新プログラムを手動で承認します。

  1. WSUS 管理コンソールで、[Update Services\サーバー名\更新プログラム\All Windows 10 Upgrades] に移動します。

  2. 展開する機能更新プログラムを右クリックし、[承認] をクリックします。

    UI の例

  3. [更新プログラムの承認] ダイアログ ボックスで、[Ring 4 Broad Business Users] 一覧から [インストールの承認] を選択します。

    UI の例

  4. [更新プログラムの承認] ダイアログ ボックスで、[Ring 4 Broad Business Users] 一覧から [期限] をクリックし、[1 週間][OK]の順にクリックします。

    UI の例

  5. [マイクロソフト ソフトウェア ライセンス条項] ダイアログ ボックスが表示された場合は、[承諾] をクリックします。

    展開が成功した場合は、成功の進行状況レポートが受信されます。

    UI の例

  6. [承認の進行状況] ダイアログ ボックスで、[閉じる] をクリックします。


Windows 10 の更新プログラムを管理する手順

完了更新プログラムとサービス ブランチに関する学習
完了Windows 10 更新プログラムのサービス方法の準備
完了Windows 10 更新プログラムの展開リングの構築
完了Windows 10 更新プログラムのサービス ブランチへのデバイスの割り当て
完了Windows 10 更新プログラムの配信の最適化
完了Windows Update for Business を使った更新プログラムの管理
または、Windows Server Update Services を使った Windows 10 更新プログラムの管理 (このトピックで)
または、System Center Configuration Manager を使った Windows 10 更新プログラムの管理

関連トピック

© 2017 Microsoft