検証・WSUSでWindows11へのアップデート②

WSUSでWindows11にアップデートするための問題点を検証しています。

前回は、Windows11にアップデートするための準備までを行いましたので、今回は、実際に確認用PCをWindows11にアップデートしてみたいと思います。

確認用Windows10 PCのグループを変更

まずは、確認用PCの現状です。

つい最近、検証用にクリアインストールした最新環境(22H2)のPCになります。

このPCのWSUS上のメンバーシップを「Win11先行」に変更します。

WSUS上の扱いとしては、Windows11へのアップグレード対象になった、ということになります。※もちろん、Windows11へのアップデート要件は満たしたPCで確認しています。

「Windows 11(コンシューマー エディション)ja-jpx64 にアップグレード」の更新プログラムについて確認してみると、該当PCは、承認欄が「インストール」に、状態欄が「インストールされていません」になっています。

その他「一般」グループのPCも状態欄が「インストールされていません」になっていますが、未承認ですので、勝手にインストール(アップデート)されることはありません。

Upgradesではない更新プログラムが、未承認のPCに対して状態欄が「適用なし」となっていたのに比べて、「インストールされていません」という表現が、若干ヒヤッとしたんですが、未承認ならば大丈夫です。

アップデートが始まる

確認用PCで、「Windows Update」の画面から更新をチェックすると、

「Windows 11(コンシューマー エディション)ja-jpx64 にアップグレード」のダウンロード&インストールが始まりました。

これも、対象グループになったからには有無を言わさず、という感じですね。

WSUS管理下ではないPCに対しての仰々しい案内は無く、日々の更新と同じテンションでWin11化が始まりますので、WSUSの設定はくれぐれも誤りの無いよう、ご注意ください。

Microsoftからのダウンロードと異なり、同じローカルネットワーク内にあるWSUSからのダウンロードは恐ろしく速いですから、Win11にしたくないPCに誤ってWin11のアップデートを承認してしまうと、管理下PCの更新タイミング次第ではありますが、気付けばダウンロード&インストールが始まっている、ということも起こり得そうです。

ちなみに、このとき、WSUS上では

と、「失敗」と表示されていますが、更新中は特に気にする必要はなさそうです。

該当PCの方はというと、

Win11化された後に実行される「Windows 11, version 22H2 x64 2023-07B」が「他の更新プログラムが実行中のため、一部の更新プログラムをインストールできません。」となっていますので、これがWSUS上で「失敗」として表れていたのかと思います。

再起動を実施すると、

のような、Windows10で見慣れた青色バックの画面が進捗を示し、何度か再起動を行います。

その後、Windows11っぽい、黒色バックの画面へと変わります。

システムドライブがSSDのPCならば、ものの数分で、Windows11のログイン画面が現れます。

Windows11にアップデートできました。

が、最新ではなく、21H2ですね。

WSUSの方でもWindows11に変わったのかと思いきや…

あれ?該当PCの「オペレーティングシステム」は Windows 10 Pro のままです。が、「バージョン」は 10.0.22000.2124 と、Windows11のものを指しています。

それに、更新が必要とされた数は14で、すべてWindows11関連の更新プログラムを示しています。

Windows11の最新化

確認用PCは、まだ最新ではありませんので、Updateしておきましょう。

更新プログラムがダウンロード&インストールされます。

「今すぐ再起動する」を実行すると…

を経て、

この表現、健在だったんですね。。

そのあと、この画面になって何度か再起動を繰り返して、

最新の 22H2 になりました。

WSUSの方では、相変わらずの Windows 10 Pro ですが、「バージョン」で区別するしかないんですかね。

もちろん、このとき、「一般」グループの各PCには、Windows11へのアップデートの更新は配信されず、何の影響もありません。

ちなみに、Upgrades の「Windows 11(コンシューマー エディション)ja-jpx64 にアップグレード」は、確認用のPCが1台だけインストールされた状態にもかかわらず、一見、インストール済みの比率が高く表示されているように見えます。これは、「インストール済みまたは該当しないコンピューター」と一括りになっているためで、Windows11への要件を満たしていないPCをも含んだ比率になっているからです。

ですので、要件を満たしていないPCに、勝手にWin11のアップデートが適用されることはありません。とはいえ、あえてWin11化のグループに入れる必要はありませんので、要件を満たしていないPCは、従来のグループに留めておくのが良いかと思います。そして、Windows10のサポートが切れる2025年10月14日までにPC本体の更新(要件を満たすPCへの置き換え)を進めていくことにしましょう。

最後の仕上げ

更新プログラムの全グループへの承認

WSUSを使用して、特定のPCのみをWindows11にアップデートすることができました。加えて、既存PCへの影響がないことも確認できましたので、Upgrades以外の全ての更新プログラムを、全てのグループへと承認しておきます。(これは、それぞれのポリシーに従ってください。)

「2023-07 x64 ベース システム用 Windows 11 Version 22H2 の累積更新プログラム (KB2028185)」などを全グループに承認しても、

各PCは、承認欄こそ「インストール」になりますが、状態欄は「適用なし」となりますから、影響がないことを再確認しました。

自動承認の再設定

それから、最初に事前準備で行った自動承認の設定を有効に戻します。

自動承認の設定を切ってから戻すまでに定義更新プログラムなどがMicrosoftから配信されている可能性もありますので、忘れずに承認しておいてください。

自動承認項目の追加

最後に、これまでのWindows10では無かったことですが、Windows11では、定期的な(月例の)更新が、「Updates」カテゴリで行われるようです。

ですので、Upgradesカテゴリだからと自動承認しないでいると、どんどん古くなっていく(セキュリティ的にも良くない状態になっていく)可能性があります。

これもポリシー次第ではありますが、Windows10での月例の更新を自動承認しているのであれば、こちらもグループ限定で自動更新しておくのが良いかと思います。

以上です。

小規模環境ではありますが、検証を通してWSUSによるWindows11へのアップデートが問題なく(既存Windows10PCへの影響なく)できそうということが判りました。

本記事の記載は、あくまでも個人レベルでの検証結果ですので責任は負いかねます。参考にされる際は、各社のセキュリティポリシー等に準じて頂くよう、お願いします。

PC関連Windows 11,WSUS,アップグレード,アップデート,自動承認

Posted by Tsucchy