Windows 10 1607 の System Center Configuration Manager クライアントが Windows Update から更新プログラムを取得する事象について

2017/10/11 更新: Windows 10 1703 向けにもデュアル スキャンを無効にすることができるポリシーを含む品質更新プログラム KB4041676 (OS Build 15063.674) がリリースされました。この修正は OS Build 15063.674 以降リリースされる累積更新プログラムにも含まれます。更新プログラム適用後の動作の詳細については、Windows 10 1607 と同様です。

2017/7/19 更新: 機能の更新の延期を可能にするポリシーを有効にした場合にデュアル スキャンを無効にすることができるポリシーを含む品質更新プログラム KB4025334  (OS Build 14393.1532) が Windows 10 1607 向けにリリースされました。この修正は OS Build 14393.1532 以降リリースされる累積更新プログラムにも含まれます。更新プログラム適用後の動作の詳細については、後述しますのでご確認ください。なお、KB4025334  (OS Build 14393.1532)  は Microsoft Update カタログのみの公開となりますので、SCCM で配信する場合は、同期対象の分類に「更新」を選択した上で、カタログから手動でインポートする、「ソフトウェアの配布」機能で配信する、もしくは 8 月以降の累積更新プログラムを配信してください。また、Windows 10 1703 向けには 1703 CBB リリース前に2017年秋に同様の品質更新プログラムをリリース予定です。

2017/5/8 更新: SCCM / WSUS クライアントが Windows Update から更新プログラムを取得する動作 (デュアル スキャン) をさせることなく、機能の更新の延期を可能にするポリシーを追加する品質更新プログラムを Windows 10 1607 向けに今夏リリース予定です。Windows 10 1703 向けには、Windows 10 1703 CBB がリリースされる前に2017 年秋に同様の品質更新プログラムをリリース予定です。詳細は、弊社米国 WSUS 開発チームが公開している以下ブログ記事をご参照ください。

 

Demystifying "Dual Scan"

 

こんにちは。System Center Configuration Manager サポート チームです。

本日は、Windows 10 1607 (Anniversary Update) バージョンにおける Windows Update for Business と System Center Configuration Manager (SCCM) の関係についてご紹介します。なお、本内容は Windows Server Update Services (WSUS) を利用して更新プログラムを配信されている場合の動作について紹介した次のブログ記事の動作と同様です。また、Windows 10 1703 (Creators Update) にも本動作は適用されます。

 

Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまう事象について

 

最近のお問い合わせで、Windows 10 1607 端末を SCCM で管理しているにもかかわらず、SCCM で展開していない更新プログラムや Windows Defender の定義ファイルが Windows Update から取得するようになってしまうという事象が報告されております。
このような動作は、Windows 10 1607 バージョンで変更された Windows Update for Business の影響で発生している可能性があります。

 

Windows Update for Business では、サービス オプションの選択や各更新プログラムの適用時期をコントロールするなどの機能が提供されており、1607 バージョンではこの機能と SCCM / WSUS からの展開を組み合わせて利用できるようになりました。詳細は以下の技術情報をご参照いただきたいと思いますが、大きなポイントとしては、Windows Update for Business のポリシーを構成した場合、その構成によって Windows Update および SCCM / WSUS の両方から更新プログラムを受け取るようになることです。

 

Windows Update for Business の管理ソリューションとの統合 Windows 10 における Windows Update for Business との統合

 

この動作によって SCCM クライアントであるにも関わらず、自動更新で Windows Update から更新プログラムや Windows Defender 定義ファイルを取得する、という側面もあるため、SCCM 管理者の目線からすると注意が必要です。具体的には、以下の Windows Update for Business 関連のポリシーを一つでも Windows 10 1607 バージョンで構成をした場合、この Windows 10 は更新プログラムを Windows Update から取得するようになります。

 

GPO: HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate jpg2

 

SCCM で「ソフトウェアの更新ポイント」を構成して、「ソフトウェアの更新」機能を有効にしている場合は、WSUS サーバーの URL を指定する、[イントラネットの Microsoft 更新サービスの場所を指定する] の設定がローカル ポリシーでセットされますので、SCCM で「ソフトウェアの更新」機能を有効にしていても、Windows Update for Business のポリシーの動作が優先されるとお考えいただくと分かりやすいと思います。

 

また、上記ポリシーを構成していなくても、ユーザーが手動で Windows Update 画面の「詳細オプション」より [機能の更新を延期する] をオンにした場合も同様の動作となります。

defer

以上の通りSCCM 環境においてクライアントが Windows Update から更新プログラムや定義ファイルを取得しないように構成したい場合には注意が必要となります。

 

更新プログラム適用前の対処方法について

上述のレジストリに対応する、対象のグループ ポリシーを “未構成” としていただければ、本事象の発生を防ぐことが可能です。しかし、それでもユーザーが [設定] – [更新とセキュリティ] – [Windows Update] – [詳細オプション] 内の [機能の更新を延期する] に手動でチェックを入れた場合には、本事象は発生してしまいます。
上記のユーザー操作が実行された場合の影響を考慮した際には、加えてグループ ポリシー  [インターネット上の Windows Update に接続しない] を設定することが有効な対処となります。本グループ ポリシーを設定していただけますと、Windows Update サイトへの接続時にエラーが発生するため、Windows Update サイトへの接続を完全に防止することが可能です。
以上をまとめますと、下記の 2 つの対処を両方実施することで、SCCM クライアントが Windows Update へ接続してしまう動作を防ぐことが出来ます。

1. 上述のレジストリに対応する、下記の 3 つグループ ポリシーを “未構成” に設定する。

[コンピューターの構成] –> [管理用テンプレート] –> [Windows コンポーネント] –> [Windows Update] –> [Windows Update の延期]
–> [機能更新プログラムをいつ受信するかを選択してください]
–> [品質更新プログラムをいつ受信するかを選択してください]
[コンピューターの構成] –> [管理用テンプレート] –> [Windows コンポーネント] –> [Windows Update]
– > [Windows Update からドライバーを除外する]

2. 下記のグループ ポリシーを “有効” に設定し、Windows Update サイトへの接続が行えない状態とする。

[コンピューターの構成] –> [管理用テンプレート] –> [Windows コンポーネント] –> [Windows Update]
–> [インターネット上の Windows Update に接続しない]

または

[コンピューターの構成] –> [管理用テンプレート] –> [システム] –> [インターネット通信の管理] –> [インターネット通信の設定]
–> [Windows Update のすべての機能へのアクセスをオフにする]

※  [インターネット上の Windows Update に接続しない] を有効にした場合は、ストアアプリのインストールや更新ができません。ストアアプリのインストールや更新を許可したい場合は、[Windows Update のすべての機能へのアクセスをオフにする] を有効にしてください。

更新プログラム適用後の対処方法について

Windows 10 1607 の場合、 KB4025334 (OS Build 14393.1532) 以降の更新プログラム、Windows 10 1703 の場合、 KB4041676 (OS Build 15063.674) が適用されると、次のローカル グループポリシーが追加されます。

・グループ ポリシー
[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
-> [Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない]
(英語名は[Do not allow update deferral policies to cause scans against Windows Update] です。)

・対応するレジストリ
キー名 : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
値の名前 : DisableDualScan
値の種類 : REG_DWORD
値 : 0 (無効)、1 (有効)

このグループポリシーを有効にすると、WSUS 環境下で次のいずれかのグループポリシーを有効にした場合に発生するデュアル スキャンの動作を無効にすることができます。

[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [Windows Update の延期]
-> [機能更新プログラムをいつ受信するかを選択してください]
-> [品質更新プログラムをいつ受信するかを選択してください]

[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
-> [Windows Update からドライバーを除外する]

なお、手動で Windows Update 画面より [設定] -> [更新とセキュリティ] -> [Windows Update] -> [詳細オプション] 内の [機能の更新を延期する] をオンにした場合は、今回追加されたグループ ポリシーを有効にしても、デュアル スキャンを無効にすることはできません。

但し、Windows 10 1607 の場合、[機能更新プログラムをいつ受信するかを選択してください] のポリシーを適用することで、[機能の更新を延期する] のチェック ボックスをグレーアウトさせることができますので、デュアル スキャンを無効にする場合は、次の対処方法を実施くださいますようお願い申し上げます。Windows 10 1703 の場合、「ソフトウェアの更新」機能を使用すれば当該設定は非表示となりますので、次の対処方法の実施は不要です。

1. 次の設定を有効にしたクライアント設定を展開する  (SCCM 1702 が対象)

[ソフトウェア更新プログラム]  -> [Windows Update for BusinessでWindows10の更新プログラムを管理する] : はい

2. 次のグループ ポリシーを有効にする

・機能更新プログラム延期のグループポリシー
[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [Windows Update の延期]
-> [機能更新プログラムをいつ受信するかを選択してください]
※ ブランチ準備レベルや延期日数については任意の値で構いません。

・デュアル スキャンを無効にするグループ ポリシー
[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
-> [Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない]

 

※補足:UIの表示について※

バージョン 1607では、[機能更新プログラムをいつ受信するかを選択してください] のポリシーを適用することで下図のように「機能の更新を延期する」メニューがグレーアウトします。

バージョン1703では、「機能の更新を延期する」メニューが、下図のように「更新プログラムをいつインストールするかを選択する」という表示に変更されています。

[イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーが有効ですと、この部分が下図のように非表示となります。