Windows 10の「Windows Update」は、Windows 8.1以前のWindows Updateから仕様が大きく変更されています。個人ユーザーに影響する部分としては、次のような変更が行われました。

Pro以上のエディションならば、「自動更新の無効化」の制御も可能

・「コントロールパネル」からWindows Updateが削除された
・標準の設定UI(ユーザーインタフェース)からは「自動更新」を無効化できない
・インストール対象の更新プログラムを選択できない
・更新プログラムのダウンロードサイズが示されない
・「累積的な更新プログラム」が標準になった(個別の更新プログラムとして提供されない)
・問題のある更新プログラムをブロックする方法が難しい
・新しいバージョン(ビルド)へのアップグレードもWindows Updateで自動インストールされる

Windows 10のWindows Updateは既定で「自動」であり、詳細オプションで「再起動の日時を設定するように通知する」を選択することで、最大7日間、再起動を延期することができました。

再起動の日時を設定しなければ「1日以内(24時間後)」に自動的に再起動が行われますが、時間的に猶予があるため、「再起動の日時を設定するように通知する」を選択している限り、勝手に再起動されるという場面に遭遇することはあまりなかったと思います。

個人ユーザーでもPro以上のエディションを利用している場合は、「ローカルコンピューターポリシー」の「コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\自動更新を構成する」ポリシーを利用して、「自動」「再起動の日時を設定するように通知する」以外の更新オプションを構成することができます。

Homeエディションの場合、一部のポリシー設定はレジストリを直接編集することで制御できる場合がありますが、残念ながら「自動更新を構成する」ポリシーのレジストリ設定は無視されます。

●個人から見たWindows 10のWindows Update――バージョン1607から

Windows 10 Anniversary Update バージョン1607では、Windows Updateにまた大きな変更が行われました。詳細オプションにあった「自動」「再起動の日時を設定するように通知する」の設定がなくなったのです。

Windows 10 バージョン1607からのWindows Updateは「自動」になり、更新後の再起動は新たに追加された設定項目である「アクティブ時間」(既定は8:00~17:00)外にスケジューリングされるようになりました。

更新後の再起動が必要な場合は、「再起動が必要です」という通知があります。この通知に気が付けば、これも新たに追加された設定項目である「再起動のオプション」を開いて、最大7日間、自動的な再起動を延期できます。しかし、「再起動が必要です」の通知がポップアップされるのはほんの数秒間であり、見過ごしてしまうことも多いはずです。

スケジューリングされた再起動は、ユーザーがサインイン中であろうと、アプリケーションを実行中であろうと、半ば強制的に実行されます。データの復元機能がある一部のアプリケーション(なぜか「ペイント」にはある)を除き、未保存のデータは再起動によって失われてしまうのです。

アクティブ時間の幅は最大12時間までしか設定できないため、例えば、アクティブ時間が既定の「8:00~17:00」の場合は、17時台にスケジューリングされてしまう場合があります。ちなみに、この再起動のスケジュールは、「タスクスケジューラ」(taskschd.msc)の「\Microsoft\Windows\UpdateOrchestrator」にある「Reboot」タスクで行われます。

筆者がこれまで確認した限りでは、Pro以上のエディションの場合、自動更新による更新プログラムのインストール後の再起動は、「コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない」ポリシーを使用してブロックできるかもしれません。このポリシーを有効にすると、「Reboot」タスクが時間になると再スケジュールされるような動きをしました。

ただし、「更新のチェック」をクリックして手動で開始した場合には適用されないようです。“かもしれない”と言ったのは、このポリシーを構成していても再起動されたという報告を目にしたからです。以前からあるWindows Update関連のポリシーには、Windows 10に使えるものと使えないものがあるようです。どうなっているのか、実際にポリシーの効果を検証してみなければ分からないのがもどかしいところです。

●企業におけるWindows 10とWindows Server 2016の更新管理

「デスクトップエクスペリエンス」(従来の「GUI使用サーバー」)オプションでインストールされたWindows Server 2016のWindows Updateは、Proエディション以上のWindows 10 バージョン1607と共通です。違いは、Windows Updateの既定が「自動」ではなく、「インストールを通知」になっている点です。なお、「Server Core」インストールのWindows Server 2016は、Windows 10の新しいWindows Updateの機能を搭載していません。

マイクロソフトは「Windows as a Service」に基づいて、Windows 10の複数のバージョン(ビルド)に対して、「品質更新プログラム」と「機能更新プログラム」(旧称、機能アップグレード)のサポートを提供しています。

過去3つのバージョン(ビルド)がサポートされるため、現在、Windows 10初期リリース(「バージョン1507」と呼ぶこともあります)、Windows 10 バージョン1511、Windows 10 バージョン1607の3つのバージョン(ビルド)がサポート対象になっています。2017年春に予定されている「Windows 10 Creators Update」がリリースされれば、Windows 10初期リリースはサポート対象から外れることになります。

Windows 10の新しいバージョン(ビルド)は、まず「Current Branch(CB)」に提供され、おおむね、その4カ月後に「Current Branch for Business(CBB)」に対して提供が始まります。Windows 10の既定はCBですが、Windows 10の詳細オプションの「アップグレードを延期する(バージョン1607以降は「機能の更新を延期する」)」を選択することでCBBに切り替えることが可能です。

「Windows Update for Business」と呼ばれるポリシー設定を利用すれば、CBBへの新しいバージョン(ビルド)の提供をさらに延期することが可能です。CBとCBB、CBBのさらなる延期により、サポート対象のバージョン(ビルド)が複数(バージョン1607のCB提供以降は常に3つ)存在することになります。

Windows 10の3つのバージョン(ビルド)、Windows Server 2016の2つのインストールオプションの違い(もう1つ「Nano Server」がありますが、Nano Serverは手動更新のみ)、これに以前のバージョンのWindowsが加われば、それだけでも更新管理が複雑になることは容易に想像できるでしょう。Windows 10のWindows Updateの機能はバージョン(ビルド)アップごとに変更が加えられており、さらに状況を複雑にしています。

●Windows 10の複数バージョン混在環境はポリシー管理が大変

Windows 10のWindows Updateの仕様は、バージョン(ビルド)アップごとに変更が加えられています。個人向けの部分は既に紹介した通りです。企業向けの機能も継続的に変更が加えられています。

例えば、Windows Update for Business(CBBのさらなる延期、アップグレードおよび更新の一時停止)は、Windows 10 バージョン1511に追加されたポリシー設定であり、ローカルコンピューターポリシーやグループポリシーを使用して、以下のポリシーで構成できます。CBBへの機能アップグレードの提供は、CBBへの配布開始後さらに最大8カ月延期できます。その他の更新については最大4週間延期できます(画面5)。また、緊急時には、このポリシーにある「アップグレードおよび更新を一時停止する」オプションを有効にすることで、次に新しい機能アップグレードや更新プログラムが公開されるまで、問題のある機能アップグレードや更新をブロックできるそうです。きちんと動作するのかは未確認です。

・コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\アップグレードおよび更新を延期する

Windows 10 バージョン1607では、ポリシー設定が以下の場所に変更されました。ポリシーの場所や名称だけでなく、機能的にも変更が加えられています。機能更新プログラムは最大180日、品質更新プログラムは最大30日延期できます。また、CBBだけでなく、CBに対する機能更新プログラムの延期も可能になりました。緊急時にはこれらのポリシーにある「機能更新プログラムの一時停止」や「品質更新プログラムの一時停止」オプションを有効にすることで、機能更新プログラムを最大60日、品質更新プログラムを最大35日間、受信しないようにブロックすることができます。この一時停止の仕様もまた、Windows 10 バージョン1511とは変わっています。

・コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Updateの延期\機能更新プログラムをいつ受信するかを選択してください
・コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Updateの延期\品質更新プログラムをいつ受信するかを選択してください

Windows 10のWindows Updateのポリシー設定を編集するには、Windows 10のバージョン(ビルド)に一致した「管理用テンプレート」(C:\Windows\PolicyDefinitions\WindowsUpdate.admx)を使用する必要があります。

グループポリシーで管理する場合は、Windows 10のバージョン(ビルド)ごとにグループ化して、別々にポリシーを管理する必要があります。また、Windows 10のバージョン(ビルド)ごとにWindows Updateの管理用テンプレート(C:\Windows\PolicyDefinitions\WindowsUpdate.admx)が異なるため、あるバージョン(ビルド)のグループポリシーを編集できる端末を別々に用意する必要があります。ドメインコントローラーの「グループポリシーエディター」で全てを編集するというわけにはいきません。

●新しいポリシー設定は今後も続々と追加されるかも……

Windows 10 バージョン1607では、Windows Update for Business以外にも、以下のWindows Updateのポリシー設定が増えています。

・コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\アクティブ時間内の更新プログラムの自動再起動をオフにします
・コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\更新プログラムをインストールするための自動再起動の期限を指定してください
・コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Update のすべての機能へのアクセスを削除する
・コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Update からドライバーを除外する

「アクティブ時間内の更新プログラムの自動再起動をオフにします」ポリシーは、アクティブ時間をポリシーで設定するためのものです。

「更新プログラムをインストールするための自動再起動の期限を指定してください」ポリシーは再起動のオプション(前出の画面4)で、ユーザーが再スケジュール可能な期間を2日から最大14日に変更するポリシー設定です。このポリシーによって、自動再起動までの期限が自動的に延長されるわけではありません。

「Windows Updateのすべての機能へのアクセスを削除する」ポリシーは、2016年10月の累積的な更新プログラム「KB3197954」で追加された、ビルド14393.351以降で利用可能なポリシー設定です。このポリシーを有効にすると、Windows Updateの「更新プログラムをチェック」「ダウンロード」「インストール」ボタンが無効になり、ユーザーによる手動操作が制限されます。

最後の「Windows Updateからドライバーを除外する」ポリシーは、品質更新プログラムとして配布されるデバイスドライバーのインストールを除外するポリシー設定です。

ポリシー設定の「サポートされるバージョン」は「Windows Server 2016以降またはWindows 10以降」となっていますが、これらのポリシーを利用できるのはWindows 10 バージョン1607およびWindows Server 2016です。確認したわけではありませんが、Windows 10 バージョン1511以前では利用できないと思います。「サポートされるバージョン」で判断することができないのは、不親切だとは思いませんか。

Windows 10 Insider Previewで配布されている開発中のビルドで確認すると、さらなる仕様変更や新しいポリシーの追加が行われるようです。これらのポリシーがWindows 10の次のバージョン(ビルド)で使えるかどうかは、次のバージョン(ビルド)が出るまでは分かりません。

Windows 10 Insider Previewのさらに新しい未公開ビルドでは、Windows Updateによる自動更新を、「Windows Defender」の更新を除いて最大35日間一時停止できるオプションが追加されるという話もあります。「35日」というキーワードからすると、Windows 10 バージョン1607のポリシーの「品質更新プログラムの一時停止」オプションと同じ機能を持つ設定オプションがWindows 10側に追加されるようなイメージでしょうか。

●Windows Update for BusinessとWSUSの共存は可能? 不可能?

Windows 10は、Windows Server 2012以降の「Windows Server Update Services(WSUS)」のクライアントとして、Windows 8.1以前と同じようにWSUSサーバから更新プログラムを受け取ることができます。Windows Server 2012以降のWSUSは品質更新プログラムと機能更新プログラム(機能アップグレード)の両方の配布に対応しており、WSUSクライアントの構成もWindows 8.1以前と同じようにポリシー設定で構成できます。

Windows 10 バージョン1511からはWindows Update for Businessが利用可能になりましたが、Windows Update for BusinessとWSUSは併用できないと考えている人は多いと思います。実際、マイクロソフトはそう説明してきましたし、Windows 10 バージョン1511の「アップグレードおよび更新を延期する」ポリシーの説明には、以下のように併用できないことが明記されています。

“Note: If the "Specify intranet Microsoft update service location" policy is enabled, then the "Defer upgrades by", "Defer updates by" and "Pause Updates and Upgrades" settings have no effect.”

ただし、これはWindows 10 バージョン1511でのこと。Windows 10 バージョン1607からは併用できるようになりました。そのことは以下の公式ドキュメントに明記されています。

・Manage updates using Windows Update for Business[英語](Windows IT Center)

“Specifically, Windows Update for Business allows for: (中略)・Integration with existing management tools such as Windows Server Update Services(WSUS), System Center Configuration Manager, and Microsoft Intune.”

筆者が以下の個人ブログで検証したことから考えると、実は、Windows 10 バージョン1511でも併用ができなかったわけではなく、併用したらどうなるか分からないというのが本当のところだと想像しています。

・Windows 10 の更新方法、WSUS と Windows Update for Business は共存できるかも(筆者の個人ブログ:山市良のえぬなんとかわーるど)

Windows 10 バージョン1607からは併用できるようになったはずですが、併用した場合、以下のようなトラブルが発生することがあるようです。作っているマイクロフト自身が、まだ併用したらどうなるのか分かっていなさそうですね。

既に解決済みのトラブルですが、WSUSからの更新プログラムのダウンロードが進まなくなるというトラブルもあったようです。修正されるまでのトラブルの解消方法は、更新プログラムのダウンロードと手動インストールでした。これでは、WSUSを導入している意味が全くありませんね。

Windows 10 バージョン 1607 および Windows Server 2016 の環境で、更新プログラムのダウンロードが途中から進まなくなる問題について(Japan WSUS Support Team Blog)

何が言いたかったのかというと、Windows Updateにお任せするのも、WSUSで管理するのも、一筋縄ではいかないということです。なお、WSUSの管理者ならおなじみの「wuauclt /detectnow」コマンドや「wuauclt /updatenow」コマンドは、Windows 10では全く機能しないのでご注意ください。