2020/06/27

機能更新のブロックやスキップができそうな Windows Update for Business の新ポリシー(from 1803)(追記あり)

(↑初出時、違う画面貼り付けてました)

日本語がちょっとあれですけど、Windows Update for Business のポリシーに新たに「ターゲット機能更新プログラムのバージョンを選択する(Select the target Feature Update version)」が追加されてます。

今後の更新のスキャン時に、ターゲットとする機能更新プログラムのバージョンを指定するものです。現在のバージョンと同じバージョン(1909とか)を指定しておけば、現在のバージョンのサポートが切れるまで、あるいは次のバージョンを指名(途中をスキップして)できるみたい(たぶん、現在 1809で2004を指定すれば1903と1909はスキップして 2004 に)。

Windows Update for Business で延期できる機能更新プログラムのインストールは最大 365 日ですが、この新ポリシーを使えばそれを超えていけるっぽい。Enterprise と Education の秋リリースのサポートを18か月から30か月に延長したのに(2018 年 9 月に方針変更→ https://support.microsoft.com/ja-jp/help/13853/)、Windows Update for Business 側がようやく追いついたってとこ。WSUS による配布制御には関係ないし、影響もない(と思う、たぶん)。

以下の説明によると設定自体は Windows 10 バージョン1803 から使えるみたい。Windows 10 バージョン 1809 と 1909 のポリシーにもあった。WindowsUpdate.admx は 2020/04/14 だったので最近(4、5、or 6 月)の品質更新で追加されたらしい。ダウンロード センターの Administrative Templates (.admx) for windows 10 ・・・ (1909 以前)には入ってないと思う。

Optimize on-premises monthly update delivery using the cloud
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/optimize-on-premises-monthly-update-delivery-using-the-cloud/ba-p/1483519

ポリシーの代わりに以下のレジストリ設定でも代替できると思う(たぶん)。

REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v TargetReleaseVersion /t REG_DWORD /d 1 /f
REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v TargetReleaseVersionInfo /t REG_SZ /d 1909 /f

Windows 10 ver 1909 で Windows Update して procmon で監視したら、ちゃんと上記の 2 つのレジストリ参照しようとしてました(レジストリは作成していない)。別の古い ver 1809 イメージで試してみたら、WindowsUpdate.admx が更新される前のやつ(2019年3月更新)でも参照してました。

Home エディションは更新をチェックすると上記レジストリを即座に削除しようとしてるので、レジストリ作成しても効かない(はず、ver 2004 の場合だけど)。




この機能、ちゃんと期待通りに動くのかどうかはまた別の話。

・・・追記・・・

お知らせが来てた Windows 10 ver 1909 があったので、さっそく試してみた。ver 1909 にロックしてみる。

Before:ver 1909 実行中。既に ver 2004 の機能更新プログラムのご案内と「ダウンロードしてインストール」検出済み。ポリシー設定なし。(こっちのサポートされるバージョンには 1803 以降ってちゃんと書いてる。でも Server は関係ないっしょ)
(↑なんか機能更新プログラムの名称が違う感じがするのは、en-US+ja-JP 言語パックな環境だからだと思う)

After:ポリシー設定でターゲット機能更新プログラム ver 1909 を指定 → 「更新プログラムのチェック」をクリック → 機能更新プログラムのご案内消える


↓これが無くなって、↑これが増えたってこと。

関連:
Windows 10 ver 2004 から消えた更新の延期設定(今度は仕様変更) (2020/05/31)

6/29 追記:
TergetReleaseVersion は、MDM 用の CSP として ver 1803 から追加されたものらしい → https://docs.microsoft.com/en-us/windows/client-management/mdm/policy-csp-update#update-targetreleaseversion
ver 1803 に最初から存在した隠しオプション的なやつかも。ver 1803 の 17134.1 のクリーン インストール後に Windows Update すると初回の更新時に機能更新 1903 が検出されたけど、レジストリ設定で TargetReleaseVersion に 1、TargetReleaseVersionInfo に 1909 を指定すると、機能更新 1909 が検出された。ちゃんと動いてるっぽい。

6/29 さらに追記:
Windows 10 ver 1809 に「ターゲット機能更新プログラムのバージョンを選択する」ポリシーが追加されたのは、2020年4月の累積更新プログラム(KB4549949、17763.1158)でした。

6/29 さらにさらに追記:
Goodbye Technet Gallery (my scripts are archived here) の get-wusettings(j).ps1 をこの変更に対応させました。が、適当に追加したのでちゃんと動くかわからない。 

10/29 さらにさらにさらに追記:

2020-09 C で「機能更新プログラムに対するセーフガードを無効にする」ポリシーが追加されてます。ver 1809 以降に。

また、ターゲット機能更新プログラムの指定についてのその後 → さっさと 20H2 に Windows Update で上げる裏技(ver 2004 Pro 以上向け)

11/4 さらにさらにさらにさらに追記:

現在のバージョンを指定したときの仕様みっけ → Walkthrough: Use Group Policy to configure Windows Update for Business|I want to stay on a specific version
https://docs.microsoft.com/en-us/windows/deployment/update/waas-wufb-group-policy#i-want-to-stay-on-a-specific-version

"If you don't update this before the device reaches end of service, the device will automatically be updated once it is 60 days past end of service for its edition."

11/24 さらにさらにさらにさらにさらに追記:

「ターゲット機能更新プログラムのバージョンを選択する」ポリシー、20H2 は〇、2009 は×(2020/11/24)

4 件のコメント:

HectPascal さんのコメント...

いつも大変記事内容にお世話になっております。

このポリシーは「Windows Update for Business」フォルダ内のポリシーですが、このポリシーのみを有効にして、他の3つのポリシーが未構成の場合、こちらの検証環境ではデュアルスキャン動作しませんでした。
同様に「プレビュー ビルドを管理にする」を有効にしてもデュアルスキャンはしませんでした。
デュアルスキャンのトリガーとなるのは、「品質更新プログラムをいつ受信するか選択してください」か「プレビュー ビルドや機能更新プログラムをいつ受信するかを選択してください」みたいですね。

現在WSUSクライアントにて、「ターゲット機能更新プログラムのバージョンを選択する」と「Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない」をともに有効にした場合の挙動を見ているところです。

予想では「Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない」の方が強く、WSUSで承認しない限り、「Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない」が有効な端末では「ターゲット機能更新プログラムのバージョンを選択する」でWSUS承認済みの機能更新より先のバージョンを指定しても適用されないと思っています。また結果報告します。

HectPascal さんのコメント...


こちらの検証環境の結果が出ました。表にまとめました。

A.WUfB設定ポリシー(WUfB接続を有効化するポリシー)
A-1.「プレビュー ビルドや機能更新プログラムをいつ受信するかを選択してください」
A-2.「品質更新プログラムをいつ受信するか選択してください」など
A-3.「プレビュー ビルドを管理にする(これは怪しい)

B.ターゲット設定ポリシー(WUfB時に機能更新先を固定するポリシー)
B-1.「ターゲット機能更新プログラムのバージョンを選択する」

C.WUfB阻害ポリシー(WUfB設定ポリシーが有効でも阻害してWSUSクライアントとして安定させるポリシー)
C-1.「Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない」

・「A.WUfB設定ポリシー」が設定されており、「C.WUfB阻害ポリシー」が設定されていないと、WSUSから更新プログラムを受け取っていない模様。
・「A.WUfB設定ポリシー」と「B.ターゲット設定ポリシー」が相反する設定だと「B.ターゲット設定ポリシー」が優勢。
・「オンラインで更新プログラムを確認する」をクリックした場合は、「B.ターゲット設定ポリシー」>「A.WUfB設定ポリシー」で評価されて更新プログラムが適用される。


------------------------------------------------------------------------
|Aポリシー |Aポリシー
|:有効 |:未構成
------------------------------------------------------------------------
|Bポリシー |Bポリシー |Bポリシー |Bポリシー
|:有効 |:未構成 |:有効 |:未構成
------------------------------------------------------------------------
非WSUS |Bポリシーの |Aポリシーの |Bポリシーの |最新近くの
Cポリシー |範囲で |範囲で |範囲で |機能更新適用
影響なし |機能更新適用 |機能更新適用 |機能更新適用 |
------------------------------------------------------------------------
WSUS環境 |Bポリシーの |Aポリシーの |WSUS制御 |WSUS制御
Cポリシー |範囲で |範囲で | |
:未構成 |機能更新適用 |機能更新適用 | |
------------------------------------------------------------------------
WSUS環境 |WSUS制御 |WSUS制御 |WSUS制御 |WSUS制御
Cポリシー | | | |
:有効 | | | |
------------------------------------------------------------------------
WSUS環境 |Bポリシーの |Aポリシーの |Bポリシーの |最新近くの
「オンライン」|範囲で |範囲で |範囲で |機能更新適用
を押した時 |機能更新適用 |機能更新適用 |機能更新適用 |
------------------------------------------------------------------------

検証はボリュームライセンス版のWindows10 Pro 1809を28VM立ち上げて色々なパターンを試したので、おそらくあっているとは思いますが・・・。


匿名 さんのコメント...

最近公開された20H2へターゲットを指定するには、レジストリに「20H2」「2009」どちらの値を指定すべきか、もしご存じであれば教えていただけますでしょうか。

当方もいろいろ探ってみたのですが、答えを見つけることができませんでした。

山市 良 さんのコメント...

→ https://yamanxworld.blogspot.com/2020/10/windows-10-october-2020-updatever-20h2.html