Endpoint Central オンプレミス版 ナレッジベース

ManageEngine > サポート > Endpoint Central オンプレミス版 ナレッジベース > FAQ > Windows 10の更新プログラム管理
戻る

Windows 10の更新プログラム管理

  • 作成日:2020年2月2日 | 更新日:2024年1月19日

この記事では、Windows 10の更新プログラムをEndpoint Centralを用いて管理する方法について説明しています。なお、このページの説明文中で設定している(例)は、推奨基準ではなく、あくまで一例です。Endpoint Centralをご使用になる組織の基準に合わせ、設定基準を適宜変更してください。

Windows 10の更新プログラム(パッチ)管理

Windows 10における更新プログラムの種類

Windows 10の更新プログラムは、3種類に大別されます。

  • Feature update「機能更新プログラム
  • 毎月のセキュリティ更新プログラムのリリース
    • (Quality update「品質更新プログラム」/ Monthly Rollup「月例ロールアップ」/ Latest cumulative update 「最新の累積的な更新プログラム(累積更新プログラム)」などの名称で知られています)
  • そのほかのリリース(Cリリース、Dリリース、OOB(Out-of-band)リリース)

Feature update(FU)は、1年に1~2回の大型アップデートとなり、最新のインターフェースや機能追加などが含まれます。FUを適用するとWindows 10のバージョンが上がるため、サポート期限が切れる前に適用する必要があります。

Latest Cumulative update(LCU、以下では単にCumulative update(CU)と表記します)は月に1回リリースされるパッチで、セキュリティの更新や(FUと比較すると軽微な)機能強化が含まれます。累積的な更新パッチであるため、既にリリースされた更新と新しい更新の両方の内容が1つのパッチに含まれています。

また、「オプションのセキュリティ以外のプレビュー」リリース(Cリリース、Dリリース)として、翌月のCUの内容の一部がテストやフィードバックを目的として先行リリースされます。このほか、緊急のセキュリティ修正は「帯域外(OOB)リリース」として不定期的にリリースされます。

パッチの種類の詳細はこちらのナレッジや、Microsoft社による用語の解説リリースサイクルの説明をご覧ください。
Windows 10のバージョンや、FUのサポート期限については、Microsoft社による Windows 10のリリース情報 をご覧ください。

 

Windows更新プログラムの運用例

ここでは、Windows 10 更新プログラムのうち、主要なリリースであるFeature update(FU)とCumulative update(CU)の更新制御について説明します。
(それ以外のリリースについてもFUやCUと同様に、手動配布を適宜実行するか、パッチの種類を参考に自動配布の設定を行います。)

組織の管理ポリシーに応じて、自動配布で管理するOS/アプリケーションの更新プログラム(パッチ)を追加/除外し、手動配布で管理するパッチや、Endpoint Centralで管理しないパッチの運用方法についても検討します。

  1. Windows OS自動アップデートの停止
  2. 月例パッチ等の自動配布
  3. Feature Updateの手動配布
  4. レポートによる適用状況の確認

Microsoftが更新プログラムの公開を停止した場合、該当パッチを配信することはできません。
1. Windows OS自動アップデートの停止(および その他のソフトウェアの自動アップデート制限)

この手順では、Windows Feature Updateの更新を管理する場合など、Windows Updateで更新プログラムを適用させたくない場合は、Windows Updateの無効化のためのパッチを配布します。

Office 365やAdobe Reader, Google Chromeなどの更新を無効化する場合は、構成 > テンプレート機能を使用し、それぞれの自動更新を無効化する構成を作成します。(なお、構成の種類によっては、コンピューター/ユーザーに対して構成を配布するため、設定項目が多少異なります)。

  1. パッチ管理タブ > 配布 > 自動更新を無効化 を開きます。
  2. 自動更新を無効化したい項目をクリックし、続いて[構成の作成]をクリックします。
  3. 配布/適用対象の設定において、構成を適用する対象のリモートオフィス/ドメイン/コンピューターを指定します。フィルタリングアイコンをクリックして、適切な条件を指定します。
  4. 必要に応じて、実行設定の各項目を入力し、[配布(または[今すぐ配布])をクリックします。

2. 月例パッチの自動配布

この手順では、月例更新プログラムであるCumulative update(累積更新プログラム)を自動的に適用する「パッチ適用の自動化」について説明しています。以下の手順に沿って、パッチ自動配布タスクを作成します。

次の設定が完了していない場合は、先に完了させます。
パッチDBの設定が完了していない場合は、先にパッチDBの設定を実行します。
パッチテストと承認設定が完了していない場合は、先にパッチテストと承認設定を実行します。
配布ポリシーが作成できていない場合は、配布ポリシーを作成します。
  1. 「パッチ管理」タブ > 配布 > パッチ配布の自動化(または「管理」タブ > パッチ設定 > パッチ配布の自動化)を開きます。
  2. [タスクの作成] > Windows を選択します。
  3. 左上の編集アイコンをクリックし、分かりやすいタスク名および説明を追加します。
  4. 配布タスクの構成を設定します。各ステップの入力が完了したら「次へ」、最後のステップの設定が終わったら「保存」をクリックします
    • (a)アプリケーションの選択:
      • Microsoft: このタスクで自動配布したいパッチの種類を選択します。例えば、
        (例) 「セキュリティの更新」、「セキュリティ以外の更新(Non Security Updates)」のうち「重大」「重要」を選択
        また、必要に応じて「すべてのアプリケーションにパッチを適用する」、「特定のアプリケーションにパッチを適用する」または「特定のアプリケーションを除外する」を選択します。
      • サードパーティ: このタスクで自動配布したいパッチの種類を選択します。例えば、
        (例)「重大」「重要」をチェックする
        同様に、必要に応じて「すべてのアプリケーションにパッチを適用する」、「特定のアプリケーションにパッチを適用する」または「特定のアプリケーションを除外する」を選択します。
      • アンチウイルスのアップデート:サポート中のアンチウイルスソフトの定義ファイルを配布します。今回のタスクでは必ずチェックを外します(アンチウイルスソフトの定義ファイルを更新したい場合、別のタスクとして作成します。注意点はこちらをご参照ください)。
      • 配布: パッチが配布されるタイミングを指定します。「リリースからの日数」を選択して値を入力すると、パッチリリース日から指定した日数後に自動インストールが実行されます。「承認からの日数」を選択して値を入力すると、パッチが承認された日からの日数後にインストールが実行されます。
    • (b)配布設定を選択:配布ポリシーを選択します。加えて、必要に応じて、タスクを停止する有効期限を設定します。
    • (c)配布/適用対象の設定: リモートオフィス/ドメインを選択し、フィルタリングアイコンをクリックしてパッチ適用対象を絞り込みます。
    • (d)通知の設定: 必要に応じて、通知の宛先メールアドレスを入力します。
  5. 配布したいパッチの種類に応じて配布のタイミングを分けたい場合、別途新規でタスクを作成します。Cumulative updateは「セキュリティの更新」に含まれますが、「Non Security Updates」など他の区分に含まれるパッチについても、パッチを自動配布するタスクを必要に応じて追加します。

以上で、指定した種類のパッチを自動配布する構成の作成が完了しました。(a)で指定した種類のOSアップデートやアプリケーションのパッチがリリース/承認された場合、(b)で選択した配布ポリシーで指定した時間帯において、(c)で指定した対象にパッチが配布され、インストールが実行されます。

パッチ配布の自動化について、詳細は以下のナレッジご覧ください。
パッチ配布の自動化
パッチ配布の自動化に関するFAQ

3. Feature Updateの手動配布

この手順では、Windows 10の大型アップデートであるFeature Updateを手動で配布する手順について説明しています。

Windows 10 version 1909, 2004, 20H2, 21H1 などを配布する場合は、本ページと合わせて、以下のナレッジをご確認ください。
Windows 10 の各Feature Updateの適用方法
機能更新プログラム(Feature Update)の配布に必要なisoファイルの自動ダウンロードを設定する方法
  1. パッチ管理タブ > システム > システムスキャン を開き、最終スキャンステータスおよび最終スキャン時刻を確認して、パッチスキャンが管理対象に対して実行されたことを確認します。
  2. パッチ管理タブ > パッチ > 欠落パッチ を開き、フィルター > [+](新規作成マーク)をクリックします。
  3. 次の条件でフィルターを作成します。
    • 列: パッチの種類
    • 基準: 「次と等しい」
    • 値: 「Feature Packs」にチェックを入れる
    フィルターの条件を追加するには、右側の[+](新規作成アイコン)をクリックします。適切な条件のフィルターを作成することで、パッチの分類ごとの欠落パッチの確認が簡単になります。なおパッチの種類はMicrosoft社のページおよびパッチの種類に関するナレッジをご覧ください。
  4. 表示されたFUのうち、適用するものにチェックを入れ、[パッチのインストール]をクリックします。
  5. パッチの手動配布に関するナレッジ(B)パッチを指定して適用可能なPCに配布(インストール)する にしたがい、手動配布を構成します。なお配布対象が正しく指定されていることを十分ご確認ください。
  6. 必要に応じて、その他のソフトウェアに対するパッチを配布する構成を追加します。

以上で、指定した種類のパッチを手動で配布する構成の作成が完了しました。選択した配布ポリシーで指定した時間帯において、インストールが実行されます。

Windows 10 機能更新プログラム(FU)によって発生するエラー
Desktop Central/Endpoint CentralでFUを配布する際に発生するエラーにつきましては、こちらのナレッジをご覧ください。

4. 適用状況をレポートで確認する

この手順では、管理対象におけるパッチの適用状況を、Endpoint Centralのレポート機能を用いて確認する方法について説明しています。

  • パッチ管理タブ > ダッシュボード を開きます。各グラフの該当部をクリックすることで、詳細を表示できます。
    • 「バージョンごとのWindows 10コンピューター」より、管理対象の現在のWindows 10バージョンを確認できます。
    • 「パッチ適用状況」より、欠落パッチの数を確認できます。
    • 「システムステータス」より、欠落パッチの数と重要度にもとづいた危険度を表示します。
    • 各グラフの意味については、こちらをご確認ください。
  • その他のレポートは、レポートタブ > パッチレポートよりご覧ください。
    Desktop Central/Endpoint Central以外のパッチ管理ツールを使用してインストールしたパッチの確認も可能です(かならずお客様自身で複数ツール併用のご検証をお願いいたします)。
このナレッジの総閲覧回数: 3,828

関連ナレッジ:

  1. Windows 10 21H2 Feature Updateの適用方法
  2. Windows 10 21H1 Feature Updateの適用方法
  3. Windows 10 1909 Feature Updateの適用方法
  4. Windows 11 21H2 Feature Updateの適用方法

タグ: