2016/08/18

Windows 10 の更新方法、WSUS と Windows Update for Business は共存できるかも

昨日の 8/17 (日本時間) に Windows 10 バージョン 1607 が Windows Server Update Services(WSUS) 向けに提供されたので、ちょっと気になる点を確認しました。WSUS と Windows Update for Business が共存できるのではないかということについて。


Windows 10 バージョン 1511(ビルド10586)から、以下のポリシーにより、機能更新プログラム(アップグレード)を最大8か月、品質更新プログラムを最大1か月まで延期できる Windows Update for Business の詳細設定が可能になったわけですが...

コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\アップグレードおよび更新を延期する


ポリシーのヘルプには次のような注意書きがあります(日本語ヘルプは Windows Server 2016 TP5 日本語版より)。これを見ると、WSUS クライアントの場合、Windows Update for Business の設定は無視されるように読み取れます(私はそのように読み取りました)。

Note: Definition updates will not be impacted by this policy.
(注: 定義の更新はこのポリシーの影響を受けません。)

Note: If the "Specify intranet Microsoft update service location" policy is enabled, then the “Defer upgrades by”, “Defer updates by” and “Pause Updates and Upgrades” settings have no effect.
(注: [イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーが有効になっている場合、[アップグレードを延期する]、[更新を延期する]、[アップグレードおよび更新を一時停止する] の設定は影響を受けません。)


Note: If the “Allow Telemetry” policy is enabled and the Options value is set to 0, then the “Defer upgrades by”, “Defer updates by” and “Pause Updates and Upgrades” settings have no effect.

(注: [利用統計情報の許可] ポリシーが有効になっていて、オプションの値が 0 に設定されている場合、[アップグレードを延期する]、[更新を延期する]、[アップグレードおよび更新を一時停止する] の設定は影響を受けません。)
ですが、Windows 10 Anniversary Update バージョン 1607 (ビルド 14393) では、ポリシーがちょっと変わって(場所が変わった、2 つのポリシーに分かれた、日数の指定になった...)、ヘルプからは “[イントラネットの Microsoft 更新サービスの場所を指定する]ポリシー”がどうのこうのという記述が消えました。

コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Update の延期\機能更新プログラムをいつ受信するかを選択してください
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\Windows Update の延期\品質更新プログラムをいつ受信するかを選択してください

で、実際はどうなんだということなんですけど、Windows 10 バージョン 1511 を実行する WSUS クライアントを用意して試してみました。まずは、機能更新プログラムを 1 か月延期にして、そのポリシーを適用し(gpupdate)でから Windows Update で何度か検索してみると...
お使いのデバイスは最新の状態です。
バージョン 1607 の機能更新プログラムはやってきません。続いて、[アップグレードおよび更新を延期する]ポリシーを未構成にしてからやってみると...


更新プログラムを利用できます。
・ Windows 10 Pro、バージョン 1607、ja-jp、Retail の機能更新プログラム。
WSUS で承認しておいた機能更新プログラムがすぐにやってきました。


どうやら、Windows 10 バージョン 1511 のときから、WSUS と Windows Update for Business は共存できていたみたいです。ちなみに、[設定]アプリの[更新とセキュリティ > Windows Update > 詳細オプション]にある[アップグレードを延期する](バージョン 1607 では[機能の更新を延期する])も、WSUS からの配信をブロックしてくれるみたいです。仮想マシンのチェックポイントでいったりきたりしながら試してみましたが、ブロックしてくれたように見えました。






ちゃんとした公式ドキュメントがあるといいんですけど見当たらない。ちなみに、バージョン 1511 の[アップグレードおよび更新を延期する]ポリシーのヘルプにある“To stay informed about new features in Windows 10, see go.microsoft.com/fwlink/?LinkID=529169.”のリンク先は、「windows 10 でのアップグレード延期」の Bing 検索結果。


独り言: バージョン 1511[アップグレードを延期する]→バージョン 1607[機能の更新を延期する]、この表現の変更、いかがなものか。

追記:
WSUS と併用したときに、ちゃんと指定した期間延期してくれるのかまでは検証していません。WSUS ポリシーがあっても、延期ポリシーも影響しているらしいということしか言えません。コメント(↓)にもありますが、マイクロソフト的には併用できないってことになっているみたいです。

さらに追記:

こちらのドキュメントを見ると、WSUS クライアントであっても機能更新プログラムが PC に配布対象になっていたとしても、クライアント側の延期設定(たぶんポリシー設定も含むと思う)でインストールするかどうか制御できるみたいに書いてますね。

Windows 10 servicing options(2016/08/19)
[URL] https://technet.microsoft.com/ja-jp/itpro/windows/manage/introduction-to-windows-10-servicing

Most organizations today leverage Windows Server Update Services (WSUS) or System Center Configuration Manager to update their PCs. With Windows 10, this does not need to change; all updates are controlled through approvals or automatic deployment rules configured in those products, so new upgrades will not be deployed until the organization chooses. The Defer upgrades setting can function as an additional validation check, so that Current Branch for Business machines that are targeted with a new upgrade prior to the end of the initial four-month deferral period will decline to install it; they can install the upgrade any time within the eight-month window after that initial four-month deferral period.
For computers configured to receive updates from Windows Update directly, the Defer upgrades setting directly controls when the PC will be upgraded. Computers that are not configured to defer upgrades will be upgraded at the time of the initial Current Branch release; computers that are configured to defer upgrades will be upgraded four months later.

さらに、さらに追記:

やっぱり、併用 OK なようで。公式にも OK 出ました。

Windows Update for Business (Last Updated: 8/15/2016)
 [URL] https://technet.microsoft.com/ja-jp/itpro/windows/plan/windows-update-for-business

Windows Update for Business is a free service for all Windows 10 Pro, Enterprise, and Education editions, and can be used independent of, or in conjunction with, existing device management solutions such as Windows Server Update Services (WSUS) and System Center Configuration Manager.

Integration with management solutions (Last Updated: 8/15/2016)
[URL] https://technet.microsoft.com/ja-jp/itpro/windows/plan/integration-with-management-solutions-
You can integrate Windows Update for Business deployments with existing management tools such as Windows Server Update Services (WSUS), System Center Configuration Manager, and Microsoft Intune.

2 件のコメント:

匿名 さんのコメント...

こんにちは。先週、マイクロソフトの方と話した時、WSUS 環境の場合には Windows Update for Business は利用できないと明言されていました。(グループポリシーで 1ヶ月から 8ヶ月の延期を設定しても無視される)

WSUS 管理者がタイミングを見計らい、従来の更新プログラム同様に機能更新プログラムを承認してクライアントに展開する必要があると。。

ただし、機能の更新を延期するを有効にしておかないと CBB ではなく CB に設定されるため、直接マイクロソフトの Windows Update サイトに接続した際に意図せず機能更新プログラムがインストールされる可能性があるとの事でした。

確かにこの辺りについて公式ドキュメントが見当たらないのは、企業管理者としては混乱します。

匿名 さんのコメント...

Windows Update for Businessの公式ドキュメントには
>Windows Update for Business は、すべての Windows 10 Pro、Enterprise、および Education エディション向けの無料のサービスです。
>Windows Server Update Services (WSUS) や System Center Configuration Manager などの既にあるデバイス管理ソリューションとは独立して利用することも、組み合わせて利用することもできます。
と、組み合わせ可能な感じで書いてありますね。