[WSUS]管理下PCの挙動、更新プログラムの適用タイミング、ドメインポリシーの設定

はじめに

WSUSに関して、個人的に調査した以下3つについて公開します。

  1. 一旦WSUSの管理下においたクライアントが、 社内ネットワーク以外の外部ネットワークに配置される場合、その間とその後の更新はマイクロソフト社のアップデートサイト(Windows Update)経由になるのか、WSUS 経由になるのか
  2. WSUS クライアントはデフォルトで「割り当てられていないコンピューター」に割り当てられるが、明示的に更新プログラムを承認しない限りは、自動的に適用されることはないのか
  3. ドメインポリシーの設定(以下詳細)を適用した場合、機能更新プログラムの受信はいつになるか?最大で 365 日以上の延長が可能なのか?この場合はいつからを起点とするのか?(例えば、Windows 10 の 1803 がリリースされた日?クライアント PC にポリシーを適用した日?)
    [設定箇所]
    コンピューターの構成
    管理用テンプレートWindows コンポ―ネント
    Windows Update
    Windows Update for Business
    ※プレビュービルドや機能更新プログラムをいつ受信するかを選択してください

調査してみた

1.一旦WSUSの管理下においたクライアントが、 社内ネットワーク以外の外部ネットワークに配置される場合、その間とその後の更新はマイクロソフト社のアップデートサイト(Windows Update)経由になるのか、WSUS 経由になるのか

WSUS サーバーの管理下としたクライアントは社外に存在している場合でも、
その後に WSUS サーバーに接続可能となれば、WSUS 経由でセキュリティ更新プログラムおよび機能の更新プログラムなどもダウンロードや適用が可能

※注意※
ただし、マイクロソフト社のアップデートサイト(Windows Update)経由で接続する動作も報告されている様子。以下の設定により回避できるようです。

【2019/04/11追記リンク切れ。移行先分かり次第更新します】

https://blogs.technet.microsoft.com/jpwsus/2018/01/24/wsus-gp3/
→更新プログラムを WSUS サーバーのみから取得するようにしたい場合

【2019/04/11追記リンク切れ。移行先分かり次第更新します】

これら両方実施することで、WSUS クライアントが Windows Update へ接続してしまう動作を防ぐことが出来ると思います。

2.WSUS クライアントはデフォルトで「割り当てられていないコンピューター」に割り当てられるが、明示的に更新プログラムを承認しない限りは、自動的に適用されることはないのか

WSUS 管理画面で、自動承認の承認の期日の設定で指定している期間の間は自動的に適用されることはない。

3.ドメインポリシーの設定を適用した場合、機能更新プログラムの受信はいつになるか?最大で 365 日以上の延長が可能なのか?この場合はいつからを起点とするのか?

以下のマイクロソフト社ブログ情報に記載されてました。
リリース日が起点です。

以下抜粋
[プレビュー ビルドや機能更新プログラムをいつ受信するかを選択してください] “半期チャネル (ターゲット)” / “半期チャネル”、期間は ”0” ~ “365” 日で指定可

さらに機能更新プログラムの一時停止を開始する日付を指定することで、指定日より 35 日間延期が可能

・対応するレジストリ
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

– 受信する機能更新プログラムのブランチ準備レベルを選択して下さい
BranchReadinessLevel : 16 or 32 (16: 半期チャネル (ターゲット), 32: 半期チャネル)

– 機能更新プログラムがリリースされた後、受信を延期する日数
DeferFeatureUpdates : 1 (有効)
DeferFeatureUpdatesPeriodInDays : 0 ~ 365

さいごに

ベンダーの情報源をもとに調査を進めたので、
問題ないかとは思いますが検証実施の上、本番適用してください。

役に立ちましたら、ぜひ他の記事や書籍を読んでみてください。