手順 2:WSUS を構成する

サーバーに Windows Server Update Services (WSUS) サーバー ロールをインストールした後、それを適切に構成する必要があります。 また、WSUS サーバーから更新プログラムを受信するようにクライアント コンピューターを構成することも必要です。

2.1. ネットワーク接続を構成する

構成プロセスを開始する前に、次の質問に対する回答を確認してください。

• クライアントによるサーバーへのアクセスを許可するようにサーバーのファイアウォールが構成されているかどうか。

• このコンピューターはアップストリーム サーバー (Microsoft Update から更新プログラムをダウンロードするように指定されているサーバー) に接続できますか?

• 必要な場合に、プロキシ サーバーの名前およびプロキシ サーバーのユーザー資格情報がわかるかどうか。

その後、次の WSUS ネットワーク設定の構成を開始できます。

• 更新プログラム: このサーバーが (Microsoft Update または別の WSUS サーバーから) 更新プログラムを取得する方法を指定します。

• プロキシ: WSUS がインターネットにアクセスするためにプロキシ サーバーを使用する必要がある場合は、WSUS サーバーでプロキシ設定を構成します。

• ファイアウォール: WSUS が企業のファイアウォールの内側にあることを特定した場合は、エッジ デバイスで WSUS トラフィックを許可するための追加の手順を実行します。

2.1.1. 最初の WSUS サーバーがインターネット上の Microsoft ドメインに接続できるようにファイアウォールを構成する

企業ファイアウォールが WSUS とインターネットの間にある場合は、WSUS で更新プログラムを取得できるようにそのファイアウォールを構成することが必要になることがあります。 WSUS サーバーでは、Microsoft Update から更新プログラムを取得するために、HTTP プロトコルと HTTPS プロトコルにポート 80 と 443 を使用します。 ほとんどの企業ファイアウォールではこの種類のトラフィックが許可されていますが、一部の企業では、セキュリティ ポリシーを理由に、サーバーからのインターネット アクセスが制限されています。 会社でアクセスが制限されている場合は、WSUS サーバーが Microsoft ドメインにアクセスできるようにファイアウォールを構成する必要があります。

最初の WSUS サーバーには、次のドメインのポート 80 と 443 への送信アクセス権が必要です。

• http://windowsupdate.microsoft.com

• http://*.windowsupdate.microsoft.com

• https://*.windowsupdate.microsoft.com

• http://*.update.microsoft.com

• https://*.update.microsoft.com

• http://*.windowsupdate.com

• http://download.windowsupdate.com

• https://download.microsoft.com

• http://*.download.windowsupdate.com

• http://wustat.windows.com

• http://ntservicepack.microsoft.com

• http://go.microsoft.com

• http://dl.delivery.mp.microsoft.com

• https://dl.delivery.mp.microsoft.com

• http://*.delivery.mp.microsoft.com

• https://*.delivery.mp.microsoft.com

Microsoft Configuration Manager が必要な Microsoft 365 更新プログラムを管理する場合は、許可する必要があるドメインの詳細については、「 Microsoft Configuration Manager を使用して Microsoft 365 Apps の更新プログラムを管理 する」を参照してください。

2.1.2. 他の WSUS サーバーが最初のサーバーに接続できるようにファイアウォールを構成する

複数の WSUS サーバーがある場合は、最初の (最上位) サーバーにアクセスするように他の WSUS サーバーを構成する必要があります。 その後、他の WSUS サーバーは、最上位のサーバーからすべての更新情報を受信します。 この構成により、最上位のサーバー上で WSUS 管理コンソールを使用して、ネットワーク全体を管理できます。

他の WSUS サーバーには、2 つのポート経由での、最上位のサーバーへの送信アクセス権が必要です。 既定では、これらのポートは 8530 と 8531 です。 この記事で後述する「 一部の接続に TLS を使用するように WSUS サーバーの IIS Web サーバーを構成する 」の説明に従って、これらのポートを変更できます。

2.1.3. 必要に応じてプロキシ サーバーを使用するように WSUS サーバーを構成する

企業ネットワークでプロキシ サーバーを使用する場合、プロキシ サーバーは HTTP プロトコルと HTTPS プロトコルをサポートする必要があります。 基本認証または Windows 認証を使用する必要もあります。 これらの要件は、次の構成のいずれかを使用して満たすことができます。

• 2 つのプロトコル チャネルをサポートする 1 つのプロキシ サーバー。 この場合は、一方のチャネルは HTTP を使用するように設定し、もう一方のチャネルは HTTPS を使用するように設定します。

  注意

  WSUS サーバーのソフトウェアのインストール中に、WSUS の両方のプロトコルを処理する 1 つのプロキシ サーバーを設定することができます。

• それぞれ 1 つのプロトコルをサポートする 2 つのプロキシ サーバー。 この場合は、HTTP を使用するように 1 つのプロキシ サーバーを構成し、もう 1 つのプロキシ サーバーで HTTPS を使用するように構成します。

2 つのプロキシ サーバーを使用するように WSUS を設定するには

1. ローカル管理者グループのメンバーであるアカウントを使用して、WSUS サーバーとして使用する予定のコンピューターにサインインします。

2. WSUS サーバーの役割をインストールします。 WSUS 構成ウィザードを使用するときは、WSUS 構成ウィザードの使用に関する説明に従い、プロキシ サーバーを指定しないでください。

3. 管理者としてコマンド プロンプト (Cmd.exe) を開きます。

   1. [スタート] メニューで、コマンド プロンプトを検索します。
   2. コマンド プロンプトを右クリックし、[管理者として実行] を選択します。
   3. [ユーザー アカウント制御] ダイアログボックスが表示されたら、適切な資格情報を入力し (要求された場合)、表示されるアクションが必要であることを確認して、[続行] を選択します。

4. コマンド プロンプトで、 C:\Program Files\Update Services\Tools フォルダーに移動します。 次のコマンドを入力します。

   wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

   そのコマンドについて説明します。

   • proxy_server は、HTTPS をサポートするプロキシ サーバーの名前です。

   • proxy_port は、プロキシ サーバーのポート番号です。

5. コマンド プロンプトを閉じます。

プロキシ サーバーを WSUS の構成に追加するには

1. WSUS 管理コンソールを開きます。

2. [ 更新サービス] で、サーバー名を展開し、[ オプション] を選択します。

3. [ オプション ] ウィンドウで、[ ソースとプロキシ サーバーの更新] を選択し、[ プロキシ サーバー ] タブに移動します。

4. [同期時にプロキシ サーバーを使用する] を選択し、対応するボックスにプロキシ サーバーの名前とポート番号を入力します。 既定のポート番号は 80 です。

5. プロキシ サーバーで特定のユーザー アカウントを使用する必要がある場合は、[ ユーザー資格情報を使用してプロキシ サーバーに接続する] を選択します。 必要なユーザー名、ドメイン、パスワードを対応するボックスに入力します。

6. プロキシ サーバーが基本認証をサポートしている場合は、[ 基本認証を許可する (パスワードはクリア テキストで送信されます)] を選択します。

7. [ OK] を選択します。

WSUS の構成からプロキシ サーバーを削除するには

1. WSUS 管理コンソールの [Update Services] で、サーバー名を展開し、[ オプション] を選択します。

2. [ オプション ] ウィンドウで、[ ソースとプロキシ サーバーの更新] を選択し、[ プロキシ サーバー ] タブに移動します。

3. [ 同期時にプロキシ サーバーを使用する ] チェック ボックスをオフにします。

4. [ OK] を選択します。

2.1.4. クライアント コンピューターが WSUS サーバーにアクセスできるようにファイアウォールを構成する

クライアント コンピューターはすべて、いずれかの WSUS サーバーに接続する必要があります。 各クライアント コンピューターには、WSUS サーバー上の 2 つのポートへの送信アクセス権が必要です。 既定では、これらのポートは 8530 と 8531 です。

2.2. WSUS 構成ウィザードを使用して WSUS を構成する

次のセクションの手順では、WSUS 構成ウィザードを使用して WSUS 設定を構成します。 WSUS 管理コンソールを初めて起動すると、WSUS 構成ウィザードが表示されます。 WSUS 管理コンソールの [オプション] ウィンドウを使用して、WSUS 設定を構成することもできます。 [オプション] ウィンドウの使用方法の詳細については、この記事の他のセクションの次の手順を参照してください。

• WSUS 構成にプロキシ サーバーを追加する
• クライアント側のターゲット設定を有効にする

ウィザードを起動し、初期設定を構成する

1. サーバー マネージャー ダッシュボードで、 ツール>Windows Server Update Services を選択します。

   注意

   [ WSUS インストールの完了 ] ダイアログが表示されたら、[ 実行] を選択します。 [ WSUS インストールの完了 ] ダイアログで、インストールが正常に完了したら [閉じる ] を選択します。

   WSUS 構成ウィザードが開きます。

2. [ 開始する前 に] ページで情報を確認し、[ 次へ] を選択します。

3. [ Microsoft Update Improvement Program に参加する ] ページで、手順を読みます。 プログラムに参加する場合は既定の選択を保持し、しない場合はチェックボックスをオフにします。 次に次へを選択します。

アップストリームとプロキシ サーバーの設定を構成する

1. [ アップストリーム サーバーの選択 ] ページで、次のいずれかのオプションを選択します。

   • Microsoft Update から同期する

   • 別の Windows Server Update Services サーバーから同期する

   別の WSUS サーバーから同期することを選択した場合は、次の手順を実行します。

   1. サーバー名と、このサーバーがアップストリーム サーバーと通信する必要があるポートを指定します。

   2. TLS を使用するには、[ 更新情報の同期時に SSL を使用する] を選択します。 サーバーは、同期にポート 443 を使用します。 (このサーバーとアップストリーム サーバーが TLS をサポートしていることを確認してください)。

   3. このサーバーがレプリカ サーバーの場合は、[ これはアップストリーム サーバーのレプリカです] を選択します。

2. デプロイのオプションを選択したら、[ 次へ] を選択します。

3. WSUS でインターネットにアクセスするためにプロキシ サーバーが必要な場合は、次のプロキシ設定を構成します。 それ以外の場合、この手順はスキップしてください。

   1. [ プロキシ サーバーの指定] ページで、[ 同期時にプロキシ サーバーを使用する] を選択します。 次に、対応するボックスにプロキシ サーバー名とポート番号 (既定ではポート 80) を入力します。

   2. 特定のユーザー資格情報を使用してプロキシ サーバーに接続する場合は、[ ユーザー資格情報を使用してプロキシ サーバーに接続する] を選択します。 次に、対応するボックスにユーザーの名前、ドメイン、およびパスワードを入力します。

      プロキシ サーバーに接続しているユーザーに対して基本認証を有効にする場合は、[ 基本認証を許可する (パスワードはクリア テキストで送信されます)] を選択します。

4. [ 次へ] を選択します。

5. [ アップストリーム サーバーへの接続 ] ページで、[ 接続の開始] を選択します。

6. WSUS がサーバーに接続したら、[ 次へ] を選択します。

言語、製品、分類を選択する

1. [ 言語の選択 ] ページでは、WSUS が更新プログラムを受け取る言語 (すべての言語または言語のサブセット) を選択できます。 言語のサブセットを選択するとディスク領域が節約されますが、この WSUS サーバーのすべてのクライアントに必要なすべての言語を選択することが重要です。

   特定の言語のみの更新プログラムを取得する場合は、[ これらの言語でのみ更新プログラムをダウンロードする] を選択し、更新する言語を選択します。 それ以外の場合は、既定値を選択したままにします。

   警告

   [ これらの言語でのみ更新プログラムをダウンロード する] オプションを選択し、このサーバーにダウンストリーム WSUS サーバーが接続されている場合、このオプションにより、ダウンストリーム サーバーも選択した言語のみを使用するように強制されます。

2. [ 次へ] を選択します。

3. [ 製品の選択 ] ページで、更新する製品を指定します。 Windows などの製品カテゴリ、または Windows Server 2019 などの特定の製品を選択します。 製品カテゴリを選択すると、そのカテゴリに含まれるすべての製品が選択されます。

4. [ 次へ] を選択します。

5. [ 分類の選択 ] ページで、取得する更新プログラムの分類を選択します。 すべての分類またはそれらのサブセットを選択し、[ 次へ] を選択します。

同期スケジュールを構成する

1. [ 同期スケジュールの設定] ページで、同期を手動で実行するか、自動的に実行するかを選択します。

   • [手動で同期] を選択した場合は、WSUS 管理コンソールから同期プロセスを開始する必要があります。

   • [ 自動的に同期] を選択すると、WSUS サーバーは設定された間隔で同期されます。

     最初の同期では、時刻を設定し、このサーバーで実行する 1 日あたりの同期の数を指定します。 たとえば、午前 3 時から 1 日に 4 回の同期を指定した場合、同期は午前 3 時、午前 9 時、午後 3 時、午後 9 時に行われます。

2. [ 次へ] を選択します。

ウィザードを完了する

1. [ 完了] ページで 、同期をすぐに開始する場合は、[ 初期同期の開始] を選択します。 このオプションをオンにしない場合は、WSUS 管理コンソールを使用して最初の同期を実行する必要があります。

2. 他の設定の詳細を確認する場合は、[ 次へ] を選択します。 それ以外の場合は、[ 完了] を選択してウィザードを終了し、WSUS の初期セットアップを完了します。

[完了] を選択すると、WSUS 管理コンソールが表示されます。 この記事の後のセクションで説明するように、このコンソールを使用して WSUS ネットワークを管理します。

2.3. TLS プロトコルを使用して WSUS をセキュリティで保護する

WSUS ネットワークをセキュリティで保護するには、TLS プロトコルを使用する必要があります。 WSUS は TLS を使用して接続を認証し、更新情報を暗号化および保護できます。

2.3.1. WSUS サーバーの IIS サービスで TLS/HTTPS を有効にして TLS/HTTPS を使用する

TLS/HTTPS の使用プロセスを開始するには、WSUS サーバーのインターネット インフォメーション サービス (IIS) サービスで TLS サポートを有効にする必要があります。 この作業には、サーバーの TLS/Secure Sockets Layer (SSL) 証明書の作成が含まれます。

サーバーの TLS/SSL 証明書を取得するために必要な手順は、この記事の範囲外であり、ネットワーク構成によって異なります。 証明書をインストールしてこの環境を設定する方法の詳細と手順については、 Active Directory 証明書サービスのドキュメントを参照してください。

2.3.2. 一部の接続に TLS を使用するように WSUS サーバーの IIS Web サーバーを構成する

WSUS には、他の WSUS サーバーおよびクライアント コンピューターへの接続用に 2 つのポートが必要です。 1 つのポートでは、TLS/HTTPS を使用して更新 メタデータ (更新に関する重要な情報) を送信します。 既定では、この目的にはポート 8531 が使用されます。 2 つ目のポートでは、HTTP を使用して更新プログラムのペイロードが送信されます。 既定では、この目的にはポート 8530 が使用されます。

TLS は、次の IIS 仮想ルートに対してのみ必要です。

• SimpleAuthWebService

• DSSAuthWebService

• ServerSyncWebService

• APIremoting30

• ClientWebService

次の仮想ルートに TLS は必要ありません。

• コンテンツ

• 在庫

• ReportingWebService

• 自己更新

証明機関 (CA) の証明書は、各 WSUS サーバーのローカル コンピューターの信頼されたルート CA ストアか、WSUS の信頼されたルート CA ストア (存在する場合) にインポートする必要があります。

IIS で TLS/SSL 証明書を使用する方法の詳細については、「IIS 7 以降で SSL を設定する方法」を参照してください。

通常、HTTPS 接続ではポート 8531、HTTP 接続ではポート 8530 を使用するように IIS を構成する必要があります。 これらのポートを変更する場合は、隣接する 2 つのポート番号を使用する必要があります。 HTTP 接続に使用するポート番号は、HTTPS 接続に使用するポート番号よりちょうど 1 小さくなければなりません。

サーバー名、TLS 構成、またはポート番号が変更された場合は、 ClientServicingProxy クライアント プロキシを再初期化する必要があります。

2.3.3. クライアント接続に TLS/SSL 署名証明書を使用するように WSUS を構成する

1. WSUS Administrators グループまたはローカル管理者グループのメンバーであるアカウントを使用して、WSUS サーバーにサインインします。

2. [スタート] メニューで、「CMD」と入力し、[コマンド プロンプト] を右クリックし、[管理者として実行] を選択します。

3. C:\Program Files\Update Services\Tools フォルダーに移動します。

4. コマンド プロンプトで、次のコマンドを入力します。

   wsusutil configuressl <certificate-name>

   このコマンドでは、 証明書名 は WSUS サーバーのドメイン ネーム システム (DNS) 名です。

2.3.4. 必要に応じてSQL Server 接続をセキュリティで保護する

リモート SQL Server データベースで WSUS を使用する場合、WSUS サーバーとデータベース サーバー間の接続は TLS によって保護されません。 この状況により、潜在的な攻撃ベクトルが作成されます。 この接続を保護するには、次の推奨事項を検討してください。

• WSUS データベースを WSUS サーバーに移動する。

• リモート データベース サーバーと WSUS サーバーをプライベート ネットワークに移動する。

• インターネット プロトコル セキュリティ (IPsec) を展開して、ネットワーク トラフィックをセキュリティで保護する。 IPsec の詳細については、「 IPsec ポリシーの作成と使用」を参照してください。

2.3.5. 必要に応じてローカル発行用のコード署名証明書を作成する

WSUS では、Microsoft が提供する更新プログラムの配布に加えて、ローカル発行もサポートされています。 ローカル発行を使用して、独自のペイロードと動作を使用して、自分で設計した更新プログラムを作成および配布できます。

ローカル発行を有効にし、構成する方法については、この記事では取り上げません。 詳細については、「 ローカル発行」を参照してください。

2.4. WSUS コンピューター グループを構成する

コンピューター グループは、WSUS を効果的に使用するための重要な部分になります。 コンピューター グループを使用して、特定のコンピューターの更新プログラムをテストおよびターゲットにすることができます。 既定のコンピューター グループとして、[すべてのコンピューター] と [割り当てられていないコンピューター] の 2 つがあります。 既定では、クライアント コンピューターが初めて WSUS サーバーに接続すると、サーバーによって、そのクライアント コンピューターがこれら両方のグループに追加されます。

カスタム コンピューター グループは、組織で更新プログラムを管理するのに必要な数だけ作成することができます。 更新プログラムを組織内の他のコンピューターに展開する前に、少なくとも 1 つのコンピューター グループを作成して更新プログラムをテストすることをお勧めします。

2.4.1. クライアント コンピューターをコンピューター グループに割り当てる方法を選択する

クライアント コンピューターをコンピューター グループに割り当てる方法は 2 つあります。 組織に適したアプローチは、通常、クライアント コンピューターを管理する方法によって異なります。

• サーバー側のターゲット設定: この方法が既定の方法です。 この方法では、WSUS 管理コンソールを使用してクライアント コンピューターをコンピューター グループに割り当てます。

  この方法を使用すると、状況の変化に応じてクライアント コンピューターをグループ間で迅速に移動できるという柔軟性が得られます。 ただし、その結果、新しいクライアント コンピューターを [未割り当てのコンピューター] グループから適切なコンピューター グループに手動で移動する必要があります。

• クライアント側のターゲット設定: この方法では、クライアント コンピューター自体に設定されたポリシー設定を使用して、各クライアント コンピューターをコンピューター グループに割り当てます。

  この方法を使用すると、新しいクライアント コンピューターを適切なグループに割り当てるのが簡単になります。 これは、WSUS サーバーから更新を受信するためのクライアント コンピューターの構成の一部として行います。 ただし、その結果、WSUS 管理コンソールを使用して、クライアント コンピューターをコンピューター グループに割り当てたり、コンピューター グループ間で移動したりすることはできません。 代わりに、クライアント コンピューターのポリシーを変更する必要があります。

2.4.2. 必要に応じてクライアント側でのターゲット設定を有効にする

1. WSUS 管理コンソールの [Update Services] で、WSUS サーバーを展開し、[ オプション] を選択します。

2. [ オプション ] ウィンドウで、[ コンピューター] を選択します。 [ 全般 ] タブに移動し、[ コンピューターでグループ ポリシーまたはレジストリ設定を使用する] を選択します。

2.4.3. 必要なコンピューター グループを作成する

1. WSUS 管理コンソールの [更新サービス] で、WSUS サーバーを展開し、[ コンピューター] を展開し、[ すべてのコンピューター] を右クリックして、[ コンピューター グループの追加] を選択します。

2. [ コンピューター グループの追加 ] ダイアログで、[ 名前] に新しいグループの名前を指定します。 次に、[ 追加] を選択します。

2.5. WSUS サーバーとの TLS 接続を確立するようにクライアント コンピューターを構成する

TLS を使用してクライアント コンピューターの接続を保護できるように WSUS サーバーを構成する場合は、これらの TLS 接続を信頼するようにクライアント コンピューターを構成する必要があります。

WSUS サーバーの TLS/SSL 証明書は、クライアント コンピューターの信頼されたルート CA ストアにインポートするか、クライアント コンピューターの自動更新サービスの信頼されたルート CA ストア (存在する場合) にインポートする必要があります。

クライアント コンピューターでは、WSUS サーバーにバインドされている証明書を信頼する必要があります。 使用される証明書の種類によっては、クライアント コンピューターが WSUS サーバーにバインドされている証明書を信頼できるようにするサービスを設定する必要があります。

ローカル発行を使用する場合は、WSUS サーバーのコード署名証明書を信頼するようにクライアント コンピューターを構成することも必要です。 手順については、「 ローカル発行」を参照してください。

2.6. WSUS サーバーから更新プログラムを受信するようにクライアント コンピューターを構成する

既定では、クライアント コンピューターは Windows Update から更新プログラムを受信します。 代わりに WSUS サーバーから更新プログラムを受信するように構成する必要があります。

2.6.1. 編集する正しいポリシー セットを選択する

Active Directory がネットワークに設定されている場合は、グループ ポリシー オブジェクト (GPO) にコンピューターを含め、その GPO を WSUS 設定で構成することで、1 台または複数のコンピューターを同時に構成できます。

WSUS の設定のみを含む新しい GPO を作成することをお勧めします。 お使いの環境に適切な Active Directory コンテナーにこの WSUS GPO をリンクします。

単純な環境では、単一の WSUS GPO をドメインにリンクする場合があります。 環境が複雑になると、複数の WSUS GPO をいくつかの組織単位 (OU) にリンクする場合があります。 GPO を OU にリンクすると、WSUS ポリシー設定をさまざまな種類のコンピューターに適用できます。

ネットワークで Active Directory を使用しない場合は、ローカル グループ ポリシー エディターを使用して各コンピューターを構成する必要があります。

2.6.2. ポリシーを編集してクライアント コンピューターを構成する

ポリシー設定を使用してクライアント コンピューターを構成するには、次のセクションの手順を実行します。

ポリシー エディターを開き、Windows Update 項目に移動します

1. 該当するポリシー オブジェクトを開きます。

   • Active Directory を使用している場合は、グループ ポリシー管理コンソールを開き、WSUS を構成する GPO に移動し、[ 編集] を選択します。 次に、[ コンピューターの構成] を展開し、[ ポリシー] を展開します。
   • Active Directory を使用していない場合は、ローカル グループ ポリシー エディターを開きます。 ローカル コンピューター ポリシーが表示されます。 [ コンピューターの構成] を展開します。

2. 前の手順で展開したオブジェクトで、 管理用テンプレート>Windows コンポーネント>Windows Update を展開します。 オペレーティング システムが Windows 10 または Windows 11 の場合は、[ エンド ユーザー エクスペリエンスの管理] も選択します。

自動更新の設定を編集する

1. 詳細ウィンドウで、[ 自動更新の構成] をダブルクリックします。 [ 自動更新の構成] ポリシーが開きます。

2. [ 有効] を選択し、[ 自動更新の構成 ] 設定で目的のオプションを選択して、自動更新機能で承認済み更新プログラムをダウンロードしてインストールする方法を管理します。

   自動ダウンロードを使用 して、インストール設定をスケジュール することをお勧めします。 WSUS で承認した更新プログラムは、ユーザーの介入を必要とせずに、タイムリーにダウンロードおよびインストールされます。

3. 必要に応じて、ポリシーの他の部分を編集します。 詳細については、「 Windows Update の追加設定を管理する」を参照してください。

   注意

   [他の Microsoft 製品からの更新プログラムのインストール] 設定は、WSUS から更新プログラムを受信するクライアント コンピューターには影響しません。 クライアント コンピューターは、WSUS サーバーで承認されたすべての更新プログラムを受け取ります。

4. [ OK] を 選択して、[ 自動更新の構成] ポリシーを 閉じます。

更新プログラムをホストするイントラネット サーバーを指定するための設定を編集する

1. 詳細ウィンドウで、[ イントラネットの Microsoft 更新サービスの場所の指定] をダブルクリックします。 オペレーティング システムが Windows 10 または Windows 11 の場合は、まずツリーの Windows Update ノードに戻り、[ Windows Server Update Service から提供される更新プログラムの管理] を選択します。

   [ イントラネットの Microsoft 更新サービスの場所の指定 ] ポリシーが開きます。

2. [ 有効] を選択し、[更新プログラムを 検出するためのイントラネット更新サービスの設定 ] ボックスと [ イントラネット統計サーバーの設定 ] ボックスの両方に WSUS サーバーの URL を入力します。

   警告

   URL には必ず正しいポートを含めてください。 推奨どおりに TLS を使用するようにサーバーを構成する場合は、HTTPS 用に構成されたポートを指定する必要があります。 たとえば、HTTPS にポート 8531 を使用することを選択し、サーバーのドメイン名が wsus.contoso.com 場合は、両方のボックスに「 https://wsus.contoso.com:8531 」と入力する必要があります。

3. [ OK] を 選択して、[ イントラネットの Microsoft 更新サービスの場所の指定 ] ポリシーを閉じます。

必要に応じてクライアント側でのターゲット設定を構成する

クライアント側のターゲット設定を使用する場合は、このセクションの手順に従って、構成するクライアント コンピューターに適したコンピューター グループを指定します。

1. ポリシー エディターで、 Windows Update 項目に移動します。 オペレーティング システムが Windows 10 または Windows 11 の場合は、[ Windows Server Update Service から提供される更新プログラムの管理] も選択します。

2. 詳細ウィンドウで、[ クライアント側のターゲット設定を有効にする] をダブルクリックします。 [クライアント側のターゲット設定を有効にする] ポリシーが開きます。

3. [有効] を選択します。 [このコンピューターのターゲット グループ名] に、クライアント コンピューターを追加する WSUS コンピューター グループの名前を入力します。

   現在のバージョンの WSUS を実行している場合は、グループ名をセミコロンで区切って入力すると、複数のコンピューター グループにクライアント コンピューターを追加できます。 たとえば、Accounting;Executive と入力すると、クライアント コンピューターを会計コンピューターグループとエグゼクティブコンピューターグループの両方に追加することができます。

4. [ OK] を 選択して、[ クライアント側のターゲット設定を有効にする] ポリシーを 閉じます。

2.6.3. クライアント コンピューターから WSUS サーバーに接続できるようにする

クライアント コンピューターは、WSUS サーバーに初めて接続するまで、WSUS 管理コンソールに表示されません。

1. クライアント コンピューターでポリシーの変更が有効になるまで待ちます。

   Active Directory ベースの GPO を使用してクライアント コンピューターを構成する場合、グループ ポリシーの更新メカニズムがクライアント コンピューターに変更を配信するまでに時間がかかります。 このプロセスを高速化する場合は、管理者特権でコマンド プロンプトを開き、 コマンド gpupdate /force を入力します。

   ローカル グループ ポリシー エディターを使用して個々のクライアント コンピューターを構成する場合、変更はすぐに有効になります。

2. クライアント コンピュータを再起動します。 この手順により、コンピューター上の Windows Update ソフトウェアによってポリシーの変更が検出されます。

3. クライアント コンピューターで更新プログラムをスキャンします。 通常、このスキャンには多少の時間がかかります。

   次のいずれかのオプションを使用して、プロセスを高速化できます。

   • Windows 10 または 11 では、[設定アプリ ] の [Windows Update ] ページを使用して、更新プログラムを手動で確認します。
   • Windows 10 より前のバージョンの Windows では、コントロール パネルの Windows Update アイコンを使用して、更新プログラムを手動で確認します。
   • Windows 10 より前のバージョンの Windows では、管理者特権でコマンド プロンプトを開き、コマンド wuauclt /detectnow を入力します。

2.6.4 クライアント コンピューターが WSUS サーバーに正常に接続されていることを確認する

上記のすべての手順を正常に実行すると、次の結果が表示されます。

• クライアント コンピューターによって更新プログラムが正常にスキャンされます。 (ダウンロードしてインストールする適用可能な更新プログラムが見つからない場合もあります。)

• およそ 20 分以内に、WSUS 管理コンソールに表示されるコンピューターの一覧に、ターゲットの種類に基づいてクライアント コンピューターが表示されます。

  • サーバー側でのターゲット設定を使用している場合、クライアント コンピューターは、[すべてのコンピューター] と [割り当てられていないコンピューター] のコンピューター グループに表示されます。

  • クライアント側のターゲット設定を使用している場合は、クライアント コンピューターが [すべてのコンピューター] コンピューター グループと、クライアント コンピューターの構成時に選択したコンピューター グループに表示されます。

2.6.5. 必要に応じてクライアント コンピューターのサーバー側でのターゲット設定を行う

サーバー側でのターゲット設定を使用している場合、この段階で、新しいクライアント コンピューターを適切なコンピューター グループに追加する必要があります。

1. WSUS 管理コンソールで、新しいクライアント コンピューターを見つけます。 これは、WSUS サーバーのコンピューターの一覧の [すべてのコンピューター] と [割り当てられていないコンピューター] のコンピューター グループに表示されています。

2. クライアント コンピューターを右クリックし、[ メンバーシップの変更] を選択します。

3. ダイアログで、適切なコンピューター グループを選択し、[ OK] を選択します。

次のステップ