こんにちは。WSUS サポート チームの柴谷です。
本日は、Windows 10 1607 (Anniversary Update) バージョンにおける Windows Update for Business と WSUS の関係についてご紹介します。
最近のお問い合わせで、上記タイトルの通り Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまうという事象が複数報告されております。
また、そのような動作を行った結果、プロキシー サーバー等でインターネットへの接続を制限している環境においては、Update の適用に失敗するという事象として報告いただくこともあります。
このような動作は、Windows 10 1607 バージョンで変更された Windows Update for Business の影響で発生している可能性があります。
Windows Update for Business では、サービス オプションの選択や各更新プログラムの適用時期をコントロールするなどの機能が提供されており、1607 バージョンではこの機能と WSUS からの展開を組み合わせて利用できるようになりました。
詳細は以下の技術情報をご参照いただきたいと思いますが、大きなポイントとしては、Windows Update for Business のポリシーを構成した場合、その構成によって Windows Update および WSUS の両方から更新プログラムを受け取るようになることです。
Windows Update for Business の管理ソリューションとの統合
以下は上記技術情報で紹介されている一例を抜き出したものですが、Windows の更新をインターネット上の Windows Update から取得し、それ以外の更新を WSUS から取得している点に注目してください。
このように、更新プログラムを WSUS および Windows Update の双方から取得するような構成はこれまではありませんでした。
Windows Update for Business のポリシーにて更新プログラムの延期設定を構成することで、WSUS 側での承認管理を行うことなく、クライアント側で更新プログラムの延期をコントロールすることができます。
しかし一方で、WSUS クライアントであるにも関わらず、自動更新で Windows Update から更新プログラムを取得する、という側面もあるため、WSUS 管理者の目線からすると注意が必要です。
具体的には、以下の Windows Update for Business 関連のポリシーを一つでも Windows 10 1607 バージョンで構成をした場合、この Windows 10 は更新プログラムを Windows Update から取得するようになります。
もちろん、WSUS クライアントであることを指定する、[イントラネットの Microsoft 更新サービスの場所を指定する] の設定を行っている環境においてのお話です。WSUS クライアントであることを示す本ポリシーを設定していても、Windows Update for Business のポリシーの動作が優先されるとお考えいただくと分かりやすいと思います。
GPO: HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
「WSUS クライアントに対しては WSUS からのみ更新プログラムを展開したいため、Windows Update から取得されては困る」、という場合の対応としては、上記ポリシーを設定しないことです。これは、各ポリシーをレジストリで直接指定した場合も同様です。
なお、上記ポリシーの中に BranchReadinessLevel という、CB か CBB かを選択するポリシーがあります。この CB/CBB の選択は、Windows 10 の [設定] – [更新とセキュリティ] – [Windows Update] – [詳細オプション] 内の [機能の更新を延期する] の設定と連動しています。従って、本オプションのチェックを入れて CB から CBB に変更した場合も、「Windows Update for Business のポリシーが設定されている」とみなされ、Windows Update から Windows の更新プログラムを取得するようになります。結果的に、現状では CBB 環境に対しては WSUS から Windows の更新プログラムを展開することはできません。WSUS クライアントはすべて CB として運用する必要があります。
また、ユーザーが [機能の更新を延期する] のチェックを入れられないように、BranchReadinessLevel を 16 に固定するように設定をした場合も、同様に「Windows Update for Business のポリシーが設定されている」とみなされ、Windows Update から Windows の更新プログラムを取得するようになります。
以上の通り、WSUS 環境においてクライアントが Windows Update から更新プログラムを取得しないように構成したい場合には注意が必要となります。
もし、意図せず Windows Update から更新が配布されているような状況でお困りの場合には、Windows Update for Business のポリシーが適用されていないか確認してみてください。
なお、この部分の動作については私たちサポート部門としても以前のバージョンとの動作の差異、影響が非常に大きいと感じており、何らかの対応ができないか、開発部門への確認を行っております。進展が得られ次第本ブログを更新する予定です。