読者です 読者をやめる 読者になる 読者になる

tmori3y2のブログ

主にWindowsのプログラムなど

そのWindows 10 Pro、まだ勝手にUpdateしてるの? ~ じゃなくて、GPO設定の公式ドキュメントは何処に・・・というお話

Windows 10

ゲストOSでVisual Studioをいじってる最中に再起動の通知が来た・・・

ホストOSは、グループポリシーをいじって[3 - 自動的にダウンロードし、インストールの前に通知する]に設定しているので、ダウンロードはしても勝手にインストールすることはないが、ゲストOSはその設定を忘れていた。

さて、今回のネタは、自動更新の構成の設定方法そのものではない。

GPO設定の公式ドキュメントは何処に・・・

会社で自分が開発に関わっている製品のユーザは、退社前にシステムの夜間自動運転の設定を行い、次の日の午前中に結果をチェックするという使い方をする人が結構多い。

そんな場合に、いきなり更新が走り、再起動がかかるWindows 10は厄介極まりない。

それだけではない。

各社のマルウェア対策ソフトはどれもトラブルを抱えることが多いようで、アップデートにより、動かなくなることがあるようだ。

Windows 10の仕様上、Windows Updateの時に、互換性や有効期限がチェックされ、互換性がなくなったり、サブスクリプションが切れると無効化され、Windows Defenderに置き換えられる。

最初に、職場で1607にアップデートに挑戦したときのMcAfee VSEでもあったトラブルのように、ネットワークアクセスをフックしたまま無効化され、ネットワークアクセスが遮断されるケースもあり、修正パッチの提供に1か月近くかかったことを考えると、今後、客先のシステムの復旧にかなり時間がかかってしまうケースが発生するリスクがあると考えた方が良い。

tmori3y2.hatenablog.com

機能アップデート後4か月以降はCBがCBB扱いになる。

つまり、CBとCBBが一緒になったら、CBBの更新の延期は意味がなく、Windows UpdateはCBと同じように適用される。

https://support.microsoft.com/ja-jp/help/4000825/windows-10-update-history

そうなると、毎月の更新にはデグレードも多い今のWindows 10の状況からすると、製品提供側が互換性情報をある程度提供していかざるを得ない。

客先は「Enterprise」な組織でIT部門がしっかりしている企業も当然だがあるものの、「ネットワーク世話係」とか名の付いた若手従業員がネットワーク周りを見ている中小の企業もあり、他のユーザもPCの素人が多いので、まず勝手にOSが更新されて再起動したら、システムが動かなったというようなことがあると、

「クレームになるんじゃないか?」

という懸念がある。うちでは、サポートもPCを含めたシステム全体で行っているという事情もある。当然、

GPOによる自動更新の抑制方法を客先にアナウンスした方が良いのではないか?」

という話になったが、

「海外に提示できるWindows 10とハッキリ明記されている公式のドキュメントは何処?」

という話になったときに、すぐに見つからなかった・・・

非公式のブログや更新されていないドキュメントの山が行く手を阻む

マイクロソフトのサイトでWindows 10に言及したものは、以下のWSUSサポートチームのブログの記事を最初に見つけるかもしれない。

blogs.technet.microsoft.com

しかし、これは翻訳したものではなく、日本独自のもので、海外で引用できるものではない。

また、GPOに言及したサポート情報としては、以下のKB328010があるが、残念ながら更新されておらず、Windows 8.1までの情報だ・・・

https://support.microsoft.com/ja-jp/kb/328010

https://support.microsoft.com/en-us/kb/328010

先のブログでは、Windows Updateの再起動日時設定画面についてとGPOに関して、

Windows 10 バージョン 1607 以降は、本設定は選択出来ませんのでご注意ください。後述の [自動更新を構成する] ポリシーは、引き続きご利用いただけます。」

とあり、GPO設定時のWindows Update画面の表示変更に関しては、

Windows 10 バージョン 1607 以降の環境では、[自動更新を構成する] ポリシーを設定している場合でも、本記載は行われません。設定自体は引き続き利用可能ですので、ご安心ください。

とあり、どっかのパンツ芸人のノリだが、冗談を言ってる暇があったら、公式サポート情報をサッサと更新してもらいたいものだ。

次に、googleで「自動更新を構成する gpedit.msc」を検索すると、

グループ ポリシーを使用して自動更新を構成する

手順 5:自動更新のグループ ポリシー設定を構成します。

などが見つかるが、どれも古く、リンク切れ等も多く、

「これ、Windows 10でも同じですよ」

と、軽いノリで言っても、通用しない客先もある。

Windows IT Centerの情報にたどり着くが・・・

検索をすると、MSDNTechNetのライブラリが上位に表示されるが、OS情報はメンテナンスがされていない印象がある。

ページのヘッダーで、どのメニューを選ぶかで明暗が分かれるが、検索をする場合はサイト内検索でキーワードを選ぶ必要がある。

しつこく検索すると、以下の日本語カルチャのサイト(technet.microsoft.com/ja-jp)の情報が出て来た。

Manage and update Windows 10 (Windows 10)

次に英語サイトに切り替えてリンクをクリックしていると、どうもカルチャなしのサイト(technet.microsoft.com)と日本語カルチャのサイト(technet.microsoft.com/ja-jp)が入り乱れて、両方の情報が微妙に違っているような違和感を感じた。

Manage and update Windows 10 (Windows 10)

「そもそもトップ画面が英語のままだし・・・」

「見つけたと思った情報が日本語カルチャのサイトでは行方不明だったり・・・」

手打ちで英語カルチャのサイト(technet.microsoft.com/en-us)に切り替えると、その違いが決定的でカルチャなしのサイト(technet.microsoft.com)のトップ画面は、日付の古い英語版だったと、ハタと気づく。

Manage and update Windows 10 (Windows 10)

しかも、肝心の記事の日本語版がごっそりテーブルから抜けて見つからない。

Update Windows 10 in the enterprise (Windows 10)

やっと、左サイドのメニューは新しいことに気づき、そちらから行けば最新の記事の日本語版にたどりついた。

企業での Windows 10 の更新 (Windows 10)

ただし、更新日を見ると微妙に英語版より古かったりして油断はできないので、以下も日英併記でリンクをリストアップしてみた。

Windows Update for Business

WUfBは、中央管理のWSUSなどが無くても、通常のWinodws UpdateとGPOを組み合わせて、更新プログラムの内容をざっくりカテゴリで選んだり、延期の設定をしたりする機能らしい。

正に企業ユーザはWUfBで使えという事だろう。

以下、概要。バージョンの制限はあるが、WSUSとの連係も可能だとか。

Manage updates using Windows Update for Business (Windows 10)

Manage updates using Windows Update for Business (Windows 10)

GPOの話は、追加になった更新延長の話がメイン。

Walkthrough use Group Policy to configure Windows Update for Business (Windows 10)

チュートリアル: グループ ポリシーを使った Windows Update for Business の構成 (Windows 10)

その他のGPOの話は、WSUSの古いバージョンのリンクに飛ばされる。

https://technet.microsoft.com/library/cc720539%28v=ws.10%29.aspx

WSUSとの連係の話で、GPOの[自動更新を構成する] の話が若干出てくる。

Manage Windows 10 updates using Windows Server Update Services (Windows 10)

Windows Server Update Services を使った Windows 10 更新プログラムの管理 (Windows 10)

再起動の話も同様。文脈から、GPOの[自動更新を構成する] は、WUfBの構成全てで機能すると予想される。

Manage device restarts after updates (Windows 10)

更新後のデバイスの再起動の管理 (Windows 10)

しかし、テクニカルタームとして出てくるだけで、いまいち客先に提示するには弱い気もする。

いろいろ調べていくと、ようやくWindows 10に対応していると思われる詳しい設定は、Windows Server 2016の情報の中に見つかった。

Step 4 - Configure Group Policy Settings for Automatic Updates

手順4 - 自動更新のグループ ポリシー設定を構成します。

Configure Automatic Updates

Specifies specify whether automatic updates are enabled on this computer.

Supported on: Excluding:
Windows operating systems that are still within their Microsoft Products Support Lifecycle. Windows RT

WinRT以外全てと言うのが正に客先に提示したかった内容。Windows Server 2016なので、当然だがWindows 10は含まれる。

機能アップデートや月例アップデートの容量が非常に大きいことを考えると、[2 - ダウンロードの前、およびインストールの前に通知する]に設定すると良い。

最後に

残念なことに、Microsoftのサポート・技術情報のサイトは、度重なる構成の変更でリンク切れが酷く、なかなか目的の情報を検索できなくなってきている。

検索エンジンの問題で、最新の情報が検索上位に来ないのもイタイ。

加えて、自動翻訳と手動翻訳サイトが混在して、手動翻訳時の差し替えミスや、リンク切れで、リンクを手繰っていくうちに、新旧のサイト、日英のサイト入り乱れて、もう訳が分からなくなる・・・

カンファレンスなど、華々しいセレモニーにリソース投入するのも良いが、もう少し何とかならないのか。