皆さま、こんにちは。Configuration Manager サポート チームです。本日は、Windows 10 1607 の頃から導入されたデュアル スキャンについての解説と、2026 年 4 月現在の対処方法、および、現在の Configuration Manager (ConfigMgr) においての姿勢についてご案内いたします。更新プログラムの適用失敗において調査した場合、非常に多くのケースで原因となっておりますので、本内容についてご理解を深めていただければと存じます。
そもそも スキャンとは
Windows Update / Microsoft Update (WUMU) や WSUS、ソフトウェア更新ポイントから、それぞれが公開している更新プログラムのメタデータをクライアントがダウンロードし、その更新プログラムのインストールが必要かどうかを検出する処理のことです。更新プログラムは、Windows Update Agent (WUA) を介して、スキャン、ダウンロード、インストール、および機能更新プログラム等ではコミットまでを実施することで適用が完了する流れとなります。必ず、ダウンロードの前にスキャン処理が発生します。
デュアル スキャンが発生するようになった経緯とその影響
旧 Windows Update for Business(WUfB) 関連のポリシーが導入された際に発生するようになったものです。 WUfB は更新の取得元は クラウド上の WUMU のまま、適用タイミングのみをグループ ポリシーやレジストリの設定で遅延制御する仕組みです。現在では、WUfB は Windows Update クライアント ポリシーと改称されています (以降は WU クライアント ポリシー と記載します。)
さて、WUMU ではマイクロソフト製品の更新プログラムを配布していますが、WSUS でしか配布できない更新プログラムが残っています。このような背景から、マイクロソフトでは、Windows Update を主たる更新ソースとしつつ、WSUS でしか提供できない更新プログラムが存在する環境との互換性を保つために、デュアル スキャンの挙動を導入しました。
すなわち、WUA は、WU クライアント ポリシーと WSUS (SUP) の双方が設定されている時、以下の動きをします。
- スキャン自体は、WUMU および WSUS (SUP) の両方の更新プログラム メタデータをダウンロードして行います。
- スキャン結果の取り扱いは、以下のようにします。
- Windows 製品については、WUMU のスキャン結果を採用します。WSUS のスキャン結果は捨てられます。
- それ以外の製品については、基本的には WSUS (SUP) のスキャン結果を採用します。
しかしながらこの変更により、ConfigMgr や WSUS で一般的に管理されている、 WUMU にアクセスできない端末は、Windows 製品の更新プログラムが検出されなくなってしまいます。更新プログラムのダウンロード、インストール失敗に関するお問い合わせを受けた際、多くの原因は、このデュアル スキャンによるものがほとんどです。
これらの経緯については、過去の WSUS 製品チームのブログでも案内されています。
Demystifying “Dual Scan”
https://learn.microsoft.com/en-us/archive/blogs/wsus/demystifying-dual-scan
デュアル スキャンを引き起こす設定 / 回避方法
デュアル スキャンを回避する設定、および回避方法については弊社 Windows サポート チームの下記ブログをご参照ください。
WSUS から更新プログラムが配信されないときのチェックポイント (クライアント側)
https://jpwinsup.github.io/blog/2026/03/18/WindowsUpdate/WUA/NotOfferAcceptedUpdates/
ConfigMgr における デュアル スキャンの取り扱いについて
現在の方針
2026 年 4 月現在サポートしている ConfigMgr Current Branch では、デュアル スキャンを回避するためのローカル グループ ポリシーやレジストリの変更を実施しておりません。
もし、WU クライアント ポリシーを設定されたい場合は、それを防ぐための設定を、お客様側で追加していただくようお願いいたします。
過去からの変遷
ConfigMgr CB 2403 までの一部バージョンでは、ソフトウェア更新管理の動作を安定させる目的で、ConfigMgr が以下のポリシーを構成する場合がありました:
- 更新遅延の不許可ポリシー (DisableDualScan)
- スキャン ソース ポリシー
しかしながら、以下でご案内している通り、スキャン ソース ポリシーが設定されていると、オンデマンド機能(.NET 3.5 Framework), リモートサーバー管理ツール(RSAT), 言語パックなどをインターネットからダウンロードできなくなる、といった副作用がスキャン ソース ポリシーにあったことを契機に、ConfigMgr CB 2403 + KB28458746, ConfigMgr CB 2409 以降において、更新遅延の不許可ポリシー (DisableDualScan) やスキャン ソース ポリシーの設定については、お客様の方で対処していただく方針に変更されております。もし、お客様にて WU クライアント ポリシーを利用する必要がある場合は、別途スキャン ソース ポリシーや DisableDualScan 設定を実施くださいますようお願いいたします。
Microsoft Configuration Manager バージョン 2403 のソフトウェア更新プログラム管理クライアントの修正
https://learn.microsoft.com/ja-jp/intune/configmgr/hotfix/2403/28458746
また、共同管理デバイスで Windows Update のワークロードを Intune 側に寄せているにも関わらず、サード パーティ更新プログラムを有効にしている環境下で意図せず、スキャン ソース ポリシーが設定され、 逆に WU クライアント ポリシーが有効にならず、WSUS / ConfigMgr からの更新プログラムのスキャンを優先する場合がありました。こちらも、以下の KB36495448 によりスキャン ソース ポリシーを設定しないように修正されています。
Microsoft Configuration Manager バージョン 2503 および 2509 のソフトウェア更新プログラム管理クライアントの修正
https://learn.microsoft.com/ja-jp/intune/configmgr/hotfix/2509/36495448