Microsoftが、「Windows Update」のポリシーを使ってシングルユーザーデバイスからキオスク、デジタルサイネージ、ジェットコースターまで、さまざまなデバイスを最新かつ安全な状態に保つ方法を詳しく説明している。
Windowsのグループポリシーを使って「Windows 10」や「Windows 11」を管理している管理者に対するMicrosoftの最初のアドバイスは、デフォルト設定をあまりいじってはいけないというものだ。
Microsoftによると、デフォルト設定は「多くのケースで最良のもの」であるため、管理者はデバイスへのセキュリティおよび機能更新プログラムの適用を過剰にカスタマイズしようとするべきではないという。デフォルト設定を重視すれば、ユーザーの満足と生産性を維持し、デバイスを最新かつ安全な状態に保つことができる。
管理者はグループポリシーを使って、月例パッチ、緊急パッチ、新しい機能更新プログラムのタイミングを制御できる。企業におけるWindows Updateのデフォルト設定は、消費者向けWindows PCでの体験によく似ている。ただし、WindowsおよびWindows Updateを使って、必要に応じてあらゆる種類のデバイスの動作を維持し、ダウンタイム中に定期的にパッチを適用する方法はほかにもたくさんある。
MicrosoftのシニアプログラムマネージャーのAria Carley氏によると、デフォルトのWindows Updateポリシーは、デバイスが毎日スキャンし、「使用への干渉が最も少ない最適なタイミングで」、適用可能な更新プログラムを自動的にダウンロードおよびインストールした後、「ユーザーがPCから離れているときに自動的に再起動を試みる」という。
「デフォルト設定を活用してほしい!」(Carley氏)
とはいえ、Windowsのユースケースは非常に多いため、デフォルト設定ですべてのシナリオに対応することはできない。シングルユーザー向けのWindowsデバイスのほかに、マルチユーザーデバイス、教育用デバイス、キオスクと銀行のATM、工場の機械、ジェットコースター、重要なインフラストラクチャー、「Microsoft Teams Rooms」デバイスなどが存在する。
デフォルト設定は基本的に有効だが、Carley氏は、それぞれのユースケースに応じて、グループポリシーを使用し、自動更新のタイミングを調整する方法について詳しく説明している。同氏は1月、管理者が使用すべきではない25のグループポリシー設定のリストも公開していた。
グループポリシーが使用できるユースケースでは、「更新プログラムを強制インストールするまでの日数」を指定できる。この場合、期限が来ると、ユーザーがPCを使用している可能性があるアクティブ時間中に、更新プログラムが強制的に適用される。この設定は、企業ネットワークに接続されるシングルユーザーデバイスや、リモートで使用されるシングルユーザーデバイスにも適用できる。
Microsoftが更新プログラム適用の期限を設定するよう推奨しているのは、ランサムウェアや破壊的なマルウェアのセキュリティリスクが大きくなっているためだ。米政府のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、ウクライナ侵攻をめぐるロシアへの制裁が原因で、米国企業が破壊的なマルウェアの標的になることを懸念している。