背景、目的など
当職場では、従業員が使うWindows端末は外部のベンダーがキッティングしたものを使用しています。まだまだWindows7端末を使用している店舗があり、ぼちぼちWindows10端末に移行している状況なのですが、移行後のWin10端末は今後は自社内でキッティングしようという運びとなっております。
弊社ではWindowsの自動アップデートを行わないようグループポリシーで制限しているのですが、ベンダーがキッティングしたWin10端末にもグループポリシーが設定されています。今後自社でキッティングしていく上で、Windows Updateを止める場合、このグループポリシーを設定することになるのですが、一つ一つの項目がチンプンカンプンだったりします。
検索してもいまいち自分好みの記事が見当たらなかったため、考察やら関連記事やらのレポートを兼ねてここに書き残しておこうと思い、投稿に至った次第です。
考察対象のWindowsの仕様(スタート→設定→システム→詳細設定で見れるやつ)
- エディション Windows 10 Pro 64ビット
- バージョン 21H2
- インストール日 2021/10/15
- OS ビルド 19044.2251
- エクスペリエンス Windows Feature Experience Pack 120.2212.4180.0
ローカルグループポリシーについて
Windowsキー + R から gpedit.msc で検索するとローカルグループポリシーエディターというウィンドウが開きます。単に「Windows10 グループポリシー」と言えばここの部分を指すんじゃないかと思います。コントロールパネル→管理ツールを開くと「ローカルセキュリティポリシー」がありますが、これは secpol.msc のことであり、たまに混同してしまいます。
各ポリシーの設定の確認
gpedit.mscからローカルコンピューターポリシー>コンピュータの構成>管理用テンプレートを開きます。その中のWindowsコンポーネントを今選択しているんですが、下位にあるもの全部がポリシーのようです。確認するにはさらに下位の階層をクリックしていくことになります。そしてこのスクロールバーの感じからしてまだまだ下に続いているようです。吐きそう。
ここからベンダーが設定したポリシーを探しましょう、、、なんてことはしません。
Windowsコンポーネントとかコントロールパネルとか並んでいるんですが、その一番下の「すべての設定」をクリックします。すると各階層内にあるポリシーが一覧として表示されます。
さらに「状態」フィールドでソートすると未構成でないものが昇ってきます。
ここで有効や無効になっているものがベンダーがいじったポリシーになります。考察開始です。
考察
考察を進めるに当たって以下のサイトを参考にしていきます。
https://admx.help/?Category=Windows_10_2016&Language=ja-jp
考察対象一覧
| 設定 | 状態 |
|---|---|
| Windows 8 コンピュータでの更新プログラムの自動ダウンロードをオフにする | 有効 |
| Windows エラー報告を無効にする | 有効 |
| ソフトウェアのSecure Attention Sequence を無効または有効にする オプション: Secure Attention Sequence の生成が許可されるソフトウェアを設定する →サービス |
有効 |
| プレビュービルドや機能更新プログラムをいつ受信するかを選択してください オプション: 機能更新プログラムがリリースされてからデバイスに提供されるまでに、更新を保留する日数を指定してください。→365 |
有効 |
| プレビュービルドを管理にする | 無効 |
| 更新プログラムの自動ダウンロードおよび自動インストールをオフにする | 有効 |
| 最新バージョンのWindowsへの更新プログラム提供をオフにする | 有効 |
| 自動更新を構成する | 無効 |
Windows 8 コンピュータでの更新プログラムの自動ダウンロードをオフにする
Windows 8 を実行している PC でアプリの更新プログラムの自動ダウンロードを有効または無効にします。
この設定を有効にした場合、アプリの更新プログラムの自動ダウンロードは無効になります。
この設定を無効にすると、アプリの更新プログラムの自動ダウンロードが有効になります。
この設定を構成しない場合、アプリの更新プログラムの自動ダウンロードは、ユーザーが Microsoft Store で [設定] を使用して変更できるレジストリ設定によって決定されます。
ぱっと見、Windows8絡みのポリシーみたいです。これをWin10端末に設定する理由って何なんでしょう?
これは推測なんですが、ベンダーが他の顧客のPCをキッティングをしていて、その顧客がWin8端末を導入しているから他の顧客のにもついでに設定しておこう。
といった具合で設定しているんでしょうか。。。
にしてもWin10端末でこれが設定項目として存在しているということは何か意味があるのかもしれません。。。
Windows エラー報告を無効にする
このポリシー設定は、Windows エラー報告を無効にします。ソフトウェアが予期せず停止したりエラーになったりしても、レポートは収集されず、Microsoft や組織内部のサーバーに送信されません。
このポリシー設定を有効にした場合、Windows エラー報告は問題の情報を Microsoft に送信しません。また、コントロール パネルの [セキュリティとメンテナンス] でソリューション情報を利用できません。
このポリシー設定を無効にした場合、または構成しなかった場合、[コンピューターの構成]、[管理用テンプレート]、[システム]、[インターネット通信の管理]、[インターネット通信の設定] にある [Windows エラーの報告をオフにする] ポリシー設定が優先されます。[Windows エラーの報告をオフにする] も無効になっているか構成されていない場合は、コントロール パネルでの Windows エラー報告のユーザー設定が適用されます。
エラー発生時のMicrosoftへの情報提供を無効にする。ってことだと思います。
Windows UpdateというよりはネットワークトラフィックやPC負荷の軽減のための措置でしょうか。
もしかして私が知らないだけで、エラー報告が発生したら修正用のUpdateを受信するみたいな動きがあって、それを抑制しているんでしょうか?
怖いなぁ。。。
ソフトウェアのSecure Attention Sequence を無効または有効にする
このポリシー設定は、ソフトウェアで SAS (Secure Attention Sequence) をシミュレートできるかどうかを制御します。
このポリシー設定を有効にした場合、次の 4 つのオプションのうちいずれかを使用できます。
このポリシー設定を [なし] に設定した場合、ユーザー モード ソフトウェアでは SAS をシミュレートできません。
このポリシー設定を [サービス] に設定した場合、サービスで SAS をシミュレートできます。
──────省略──────
Secure Attention Sequenceが何のこっちゃって感じですが、リモートセッション時において[Ctrl]+[Alt]+[Delete]の信号を送る機能のようです。何も意識せずリモート中に[Ctrl]+[Alt]+[Delete]してましたが、このような設定がなされていたんですねぇ。
ここで詳しく紹介されているようです。
https://forest.watch.impress.co.jp/docs/news/531290.html
プレビュービルドや機能更新プログラムをいつ受信するかを選択してください
このポリシーを有効にすると、どのレベルのプレビュー ビルドまたは機能更新プログラムをいつ受け取るかを指定できます。
- プレビュー ビルド - ファスト: このレベルに設定したデバイスは、一般公開前の機能を含む Windows の新しいビルドを最初に受け取ります。問題を見つけて Microsoft に報告し、新機能についての提案を送るには、[ファスト] を選択してプレビューに参加します。
- プレビュー ビルド - スロー: このレベルに設定したデバイスは、一般公開前の機能を含む Windows の新しいビルドを受け取りますが、[ファスト] に設定したデバイスよりも受信の頻度が少なくなります。受け取るビルドには、それ以前のビルドで見つかった変更や修正が組み込まれます。
- リリース プレビュー: Microsoft が一般公開する Windows のビルドを一般公開の直前に受け取ります。
- 半期チャネル: 機能更新プログラムを、一般公開されたときに受け取ります。
──────省略──────
参考にしているサイトと自端末内の説明が異なっていますが特に問題はないでしょう。
これを設定した直後、Windows Updateのところに一部の設定は組織によって管理されていますが表示されます。「構成されている更新ポリシーを表示」からより詳細な情報も確認できます。
オプションで更新を保留する日数を設定できるんですが、365と設定することで可能な限り更新を避けようってことなんでしょうか。
一応、Windows Updateの制御を行っていることになるんだと思います。この一部の設定は組織によって管理されています」がどのポリシーをいじることで表示されているか知りたかったので、一歩前進です。
プレビュービルドを管理にする
[プレビュー ビルドを無効にする] を選択すると、このデバイスにプレビュー ビルドがインストールされることを防止します。これで、ユーザーが [設定] -> [更新とセキュリティ] によって Windows Insider Program を選択することを防止します。
──────省略──────
プレビュービルドというのがWindows Insider Programにて次世代のバージョンを先行して検証する的な機能だという理解でいます。Windows Insider Program自体、マニアックな機能だという印象です。ゴリゴリの開発者以外はまず触らない気がします。ユーザーに余計なことをさせないために設定したんでしょう。
設定前、設定後を確認できていないんですが、これを有効にするとWindows Insider Programのとこで、*これらの設定の一部は、組織によって非表示になっているか管理されていますの表示が現れるようです。
更新プログラムの自動ダウンロードおよび自動インストールをオフにする
アプリの更新プログラムの自動ダウンロードとインストールを有効または無効にします。
この設定を有効にすると、アプリの更新プログラムの自動ダウンロードとインストールは無効になります。
この設定を無効にすると、アプリの更新プログラムの自動ダウンロードとインストールが有効になります。
この設定を構成しない場合、アプリの更新の自動ダウンロードとインストールは、ユーザーが Microsoft Store で [設定] を使用して変更できるレジストリ設定によって決定されます。
Microsoft Store経由で入ってきたアプリの自動アップデートを防ぐってことでしょうか。Microsoft Storeを開くと更新プログラムがあるアプリを一覧で表示できますが、あれのことですかね。
有効にすると無効になって、無効にすると有効になるんですね。紛らわしい。
最新バージョンのWindowsへの更新プログラム提供をオフにする
Microsoft Store による最新バージョンの Windows への更新プログラムの提供を有効または無効にします。
この設定を有効にした場合、Microsoft Store アプリケーションでは、最新バージョンの Windows への更新プログラムが提供されません。
この設定を無効にした場合、または構成しなかった場合、Microsoft Store アプリケーションでは、最新バージョンの Windows への更新プログラムが提供されます。
「更新プログラムの自動ダウンロードおよび自動インストールをオフにする」との違いがよくわからない。。。
Windows Updateの画面にたまに「次のバージョンの~」って表示がありますが、あれを制御しているんでしょうか。(画像は拾い物)
この表示があるときに観察できればよかったんですが、機会を伺うのが難しい。。。
自動更新を構成する
このコンピューターで Windows の自動更新サービスを使用してセキュリティ更新プログラムやその他の重要なダウンロードを受け取るかどうかを指定します。
注: このポリシーは、Windows RT には適用されません。
この設定では、このコンピューターで自動更新の機能を有効にするかどうかを指定できます。サービスを有効にした場合は、グループ ポリシー設定の 4 つのオプションのうち 1 つを選択する必要があります:
──────省略。長ぇ。──────
このポリシーが一番シンプルなWindows Updateへの制御な気がします。ごちゃごちゃしたオプションを設定できるようですが、これを無効にしてしまえば、自動アップデートは止まる気がします。このポリシーを設定するとWindows Updateの画面に*自動更新は組織によって無効にされていますの表示が現れます。この文言の由来も知りたかったことです。「構成されている更新ポリシーを表示」内も「プレビュービルドや機能更新プログラムをいつ受...」ポリシー制御後から文言に変化があったので添付しておきます。
所感
書き忘れていたのですが、Windows Updateの制御といっても、あくまで自動更新を防ぐものであり、手動更新についてはその限りではないということです。ちょっとPCをかじってるユーザーは手動更新をしちゃいそうですが、万が一とある修正パッチを充てなければならない時に更新できなかったら事ですからね。うっかり更新してしまってWindows11になってしまった端末とか聞くんですが、Windows11へのアップデートの催促も防げているかどうかは別途検証の余地がありそうです。
多分Microsoftの認定プログラムならこういったことはちゃんと基礎知識からのアプローチで理解することになると思うんですが、社内SEにそこまでの専門性は必要ないだろうと思っています(笑)
Microsoftのパートナーなら取ってもいいと思いますが、社内SEなら「広く、浅く、雑に」で十分だなと日ごろから自分を正当化しています。
ぼちぼちWindows11に触れる機会が出てきましたが、同じように設定できるといいですね。
グループポリシー絡みで調べ事をしている方がいて、何かのヒントになればと思います。
今更感のある記事かもしれませんが、読んでくれた方、ありがとうございました。