みなさま、こんにちは。Configuration Manager サポート チームです。
特定の条件下にある Windows 11 以降のデバイスにおいて、Windows Defender の定義ファイルや OS の更新プログラムが配布されない事象についてご案内いたします。
事象について
Windows 11 以降のデバイスにおいて、Windows Defender の定義ファイルや OS の更新プログラムが配布されないことがございます。
また、本事象については Microsoft Configuration Manager バージョン 2303 のクライアント更新プログラム の公開情報でもご案内しております。
発生条件について
Windows 11 以降のデバイスである。
2023 年の 7 月以降の累積更新プログラムが適用されている。
以下の何れかの Windows Update に関するグループポリシー (ローカルグループポリシー) が設定されている。
・[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [Windows Update から提供される更新プログラムの管理] -> [品質更新プログラムをいつ受信するかを選択してください]
※構成されるレジストリは HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate : DeferQualityUpdatesPeriodInDays となります。・[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [Windows Update から提供される更新プログラムの管理] -> [プレビュービルドや機能更新プログラムをいつ受信するかを選択してください]
※構成されるレジストリは HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate : DeferFeatureUpdatesPeriodInDays となります。
原因について
発生条件に当てはまるデバイスについては、Configuration Manager を利用して Windows 更新プログラムを取得するのではなく、Windows Update 経由で Windows 更新プログラムを取得する動作に変更されます。
これはデュアルスキャンと呼称され、Configuration Manager から Windows Defender の定義ファイルや OS の更新プログラムが配布されなくなります。
Configuration Manager クライアントは、既定でこのデュアル スキャンを抑止するレジストリをセットしますが、Windows 11 においては、抑止するための以下のレジストリが正しくセットされていないために、意図せずデュアルスキャンが発生します。
1 | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU |
対処について
以下の 1 ~ 3 のいずれかの対処を行うことで、本事象は解消します。
1.Configuration Manager Version 2303 に “Configuration Manager 2303 修正プログラム (KB25506239)” をインストールする、または 2309 にアップグレードする
Configuration Manager 2303 修正プログラム (KB25506239) および、Configuration Manager 2309 にはデュアルスキャンの動作を抑制するためのレジストリである UseUpdateClassPolicySource を自動で構成するための修正がされております。
そのため、サーバーを本バージョンにアップグレードした後、問題のクライアント端末にインストールされている Configuration Manager クライアントをアップグレードしてください。
修正プログラムのインポート方法についてはこちらをご確認ください。
また、Configuration Manager 2309 にも本修正は含まれております。
2.Windows Update for Business のグループポリシー (ローカルグループポリシー) が不要な場合、未構成にする
項番 1. の対処ができない場合は、以下のグループポリシーを未構成にすることで、デュアルスキャンの動作を抑止することができます。
. [コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [Windows Update から提供される更新プログラムの管理] -> [品質更新プログラムをいつ受信するかを選択してください]
直接レジストリに設定をしている場合には以下を削除ください。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate : DeferQualityUpdatesPeriodInDays
・[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [Windows Update から提供される更新プログラムの管理] -> [プレビュービルドや機能更新プログラムをいつ受信するかを選択してください]
直接レジストリに設定をしている場合には以下を削除ください。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate : DeferFeatureUpdatesPeriodInDays
3.デュアルスキャンを回避するためのレジストリを手動で追加する
項番 1. 項番 2. の対処ができない場合は、UseUpdateClassPolicySource を構成することにより、デュアルスキャンの動作を抑制することが可能です。本レジストリを構成した時の影響は特にございません。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
値の名前:UseUpdateClassPolicySource
値のデータ:1
値の種類:REG_DWORD
Configuration Manager を利用してレジストリを構成する手順については、コンプライアンス機能で特定レジストリ値をセットする方法を参照ください。
なお、Configuration Manager 2303 修正プログラムの適用、または Configuration Manager 2309 にアップグレードして本事象を解消した後は、本構成基準の展開は無効または削除ください。