こんにちは。System Center Configuration Manager サポート チームです。
本日は、Windows 10 1607 (Anniversary Update) バージョンにおける Windows Update for Business と System Center Configuration Manager (SCCM) の関係についてご紹介します。なお、本内容は Windows Server Update Services (WSUS) を利用して更新プログラムを配信されている場合の動作について紹介した次のブログ記事の動作と同様です。
Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまう事象について
最近のお問い合わせで、Windows 10 1607 端末を SCCM で管理しているにもかかわらず、SCCM で展開していない更新プログラムや Windows Defender の定義ファイルが Windows Update から取得するようになってしまうという事象が報告されております。
このような動作は、Windows 10 1607 バージョンで変更された Windows Update for Business の影響で発生している可能性があります。
Windows Update for Business では、サービス オプションの選択や各更新プログラムの適用時期をコントロールするなどの機能が提供されており、1607 バージョンではこの機能と SCCM / WSUS からの展開を組み合わせて利用できるようになりました。詳細は以下の技術情報をご参照いただきたいと思いますが、大きなポイントとしては、Windows Update for Business のポリシーを構成した場合、その構成によって Windows Update および SCCM / WSUS の両方から更新プログラムを受け取るようになることです。
Windows Update for Business の管理ソリューションとの統合
Windows 10 における Windows Update for Business との統合
この動作によって SCCM クライアントであるにも関わらず、自動更新で Windows Update から更新プログラムや Windows Defender 定義ファイルを取得する、という側面もあるため、SCCM 管理者の目線からすると注意が必要です。具体的には、以下の Windows Update for Business 関連のポリシーを一つでも Windows 10 1607 バージョンで構成をした場合、この Windows 10 は更新プログラムを Windows Update から取得するようになります。
GPO: HKLMSoftwarePoliciesMicrosoftWindowsWindowsUpdate
SCCM で「ソフトウェアの更新ポイント」を構成して、「ソフトウェアの更新」機能を有効にしている場合は、WSUS サーバーの URL を指定する、[イントラネットの Microsoft 更新サービスの場所を指定する] の設定がローカル ポリシーでセットされますので、SCCM で「ソフトウェアの更新」機能を有効にしていても、Windows Update for Business のポリシーの動作が優先されるとお考えいただくと分かりやすいと思います。
また、上記ポリシーを構成していなくても、ユーザーが手動で Windows Update 画面の「詳細オプション」より [機能の更新を延期する] をオンにした場合も同様の動作となります。
以上の通りSCCM 環境においてクライアントが Windows Update から更新プログラムや定義ファイルを取得しないように構成したい場合には注意が必要となります。
対処方法について
上述のレジストリに対応する、対象のグループ ポリシーを “未構成” としていただければ、本事象の発生を防ぐことが可能です。しかし、それでもユーザーが [設定] – [更新とセキュリティ] – [Windows Update] – [詳細オプション] 内の [機能の更新を延期する] に手動でチェックを入れた場合には、本事象は発生してしまいます。
上記のユーザー操作が実行された場合の影響を考慮した際には、加えてグループ ポリシー [インターネット上の Windows Update に接続しない] を設定することが有効な対処となります。本グループ ポリシーを設定していただけますと、Windows Update サイトへの接続時にエラーが発生するため、Windows Update サイトへの接続を完全に防止することが可能です。
以上をまとめますと、下記の 2 つの対処を両方実施することで、SCCM クライアントが Windows Update へ接続してしまう動作を防ぐことが出来ます。
1. 上述のレジストリに対応する、下記の 3 つグループ ポリシーを “未構成” に設定する。
・[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update] – [Windows Update の延期]
– [機能更新プログラムをいつ受信するかを選択してください]
– [品質更新プログラムをいつ受信するかを選択してください]
・[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update]
– [Windows Update からドライバーを除外する]
2. 下記のグループ ポリシーを “有効” に設定し、Windows Update サイトへの接続が行えない状態とする。
・[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update]
– [インターネット上の Windows Update に接続しない]