検証・WSUSでWindows11へのアップデート①

1年以上前になりますが、自宅の小規模環境(対象PCが1台)で、WSUSによるWindows10からWindows11へのアップデートを試してみました。

今回は、もう少し大きな規模での検証をしてみたいと思います。

条件としては、下記の通りです。

  • Windows11へアップデートできる要件を満たしていないPCが混在する。
  • Windows11へアップデートしたくないPCが混在する。

です。

確認したい要点としては、

  • Windows11へアップデートできる要件を満たしていないPCへの影響
  • Windows11へアップデートしたくないPCへの影響
  • Windows11の更新プログラムがWindows10PCへ与える影響

となります。

Windows11への更新準備

まずは、下記の通り、上記確認のベースを作って行きたいと思います。

① WSUSの対象製品にWindows11を追加する。
② Windows11へのアップデートを行うPC用に、専用のグループを作成する。
③ 専用グループにのみ、Windows11関連の更新プログラムを承認する。

この時点では、いずれのPCも、新しいグループには所属させません。WSUS内での事前準備だけです。

更新準備の前に

まず、やっておいたのが、自動承認の適用を外しておくこと。

結果的には、今回の検証で不要と判りましたが、Win11用の更新プログラムが既存Win10PCに問題を与えるなら目も当てられませんからね。

ちなみに、自動承認の設定を行っていたのは「セキュリティ問題の修正プログラム」「重要な更新」「定義更新プログラム」を各PC(全グループ)に対して行う承認の設定でした。

「製品と分類」へのWindows11の追加

「製品と分類」の対象にWindows11を加えます。

素の「Windows 11」に加えて、「Windows 11 Dynamic Update」と「Windows 11 GDR-DU」も追加しています。

同期の実行

定期的に実行される同期を待ってもいいですが、手っ取り早くUpdate Services の管理画面から「今すぐ同期」を実行します。

自動承認を切っていますので、すべて「未承認の更新プログラム」として扱われています。

未承認の更新プログラムに、Windows 11 関連の大量の更新プログラムが追加されているのが判ります。

WSUSで管理するPCが、いわゆるデスクトップPCなど x64ベースのものだけならば、「arm64」のものは「拒否」しておくとダウンロードのスペースなどを節約できるかと思います。

専用グループの作成

Windows11にアップデートするPC用に、新たなグループを作成します。※まだ、PCの追加は行いません。

「Win11先行」という名前のグループを作成しました。

Upgrades の承認とダウンロード

ひとまず、「Windows 11(コンシューマー エディション)ja-jpx64 にアップグレード」の更新プログラムを「Win11先行」グループにだけ、承認してみます。

他の更新プログラムは、検証後に承認することにします。結果としては、一斉に承認しても大丈夫ですが、承認すると更新プログラムのダウンロードが開始され、本当にアップグレードに必要な更新プログラムのダウンロード完了がいつになるか判らない(相当時間がかかります)ので、ひとつに絞っています。

ライセンス条項を確認して「同意する」必要があります。

すべてのコンピューターではなく、「Win11先行」グループにだけ承認できました。

このあと、ダウンロードが始まります。

更新プログラムはひとつだけに限定していますが、そこそこ時間がかかりました。

これで、事前準備は完了です。

「Windows11の更新プログラムがWindows10PCへ与える影響」の確認

この確認の目的は、「更新」や「重要な更新」を自動承認すると、これまでのWin10用の更新プログラムだけではなく、Win11用の更新プログラムも自動的に承認されることになりますので、Win10のPCに影響を与えないの?という確認になります。

万一、影響があるなら、これまで自動承認をしていた「更新」や「重要な更新」、「セキュリティ問題の修正プログラム」などを、一つ一つ手動でWin10/11の区別をしながら承認する必要が出てきますので、システム情報部など専門部署を置いていない企業では、ちょっと現実的ではない(かなり面倒)かな、と。

追記

自動承認の設定で「更新が特定の製品に含まれる場合」で切り分けが可能ですので、そちらで判別することが可能なようです。分類が「セキュリティ問題の修正プログラム」「重要な更新」「定義更新プログラム」で、かつ、製品が「Windows10」にするなど。

というわけで、下記のように確認してみたいと思います。

① テスト用Win10PCを用意する。
② 確認用のグループを作成し、Win11の更新プログラムを承認する。
③ テスト用Win10PCを確認用グループに変更する。

Win11用の更新プログラムが承認されたグループで、Win10のPCがどう影響されるか、という確認です。

これで問題が無ければ、大多数のWin10PCが属するグループでもWin11の更新プログラムを承認することができますので、Win10/11を区別することなく、自動承認しても問題ない、と言えることになります。

確認専用グループの作成

検証用グループとして「Win11先行-更新テスト」グループを作成しました。

「Win11先行」グループと別に作成したのは、Upgrades を一部承認済みのため、確認用PCを「Win11先行」グループに変更すると、Windows11へのアップデートが始まってしまうためです。

win11関連の更新プログラムを承認

Win11関連の更新プログラムを作成した「Win11先行-更新テスト」グループにだけ承認します。

このとき、確認用のPCは、既存の大多数のPCが属する「一般」グループのままです。

他グループでの更新を確認

「一般」グループとして更新します。

ここで影響していたら「終わった…」ですが、もちろん、一般グループには未承認のため、まったく影響なしです。

グループを変更して更新

確認用PCを「Win11先行-更新テスト」グループに変更します。

そのあとで、確認用PCからWSUSに対して更新の確認を行います。

例えば、「2023-07 x64 (KB5028938) 向け Windows 11 用 .NET Frameword 3.5、4.8 および 4.8.1 の累積的な更新プログラム」は、「この更新プログラムが必要なコンピューター」にカウントされていません。

また、更新レポートを確認しても、

当該グループに唯一属する確認用PCは、承認済みであることを示す「インストール」となっていますが、状態は「適用なし」。つまりは、WSUSからPCへのダウンロードも更新も行われない、影響を与えない、ということになります。

これはどういうことかというと、先にも書きましたが、大多数が属する「一般」グループでWin11関連の更新プログラムを承認しても、Win10のPCには影響を及ぼさない、ということになります。

Win11の更新プログラムも、安心して「一般」グループで承認できる、ということです。

本格的なWin11アップデート設定へ

他のWin11の更新プログラム(Upgrades含む)も、すべて「Win11先行」グループで承認します。Upgrades以外の更新プログラムを「一般」にまで含めて承認するのは、念のためもう少し後にします。

そもそも、WSUSで期待通りにWin11化ができなければ、意味が無いですから。

承認が完了すれば、ダウンロードが始まります。

22GBですか。。やっぱり大きいですね。

というわけで、今回はここまで。

確認用PCを実際にアップデートするのは、こちらをご覧ください。

PC関連Windows 11,WSUS,アップグレード,アップデート,承認

Posted by Tsucchy