対象の Windows デバイスの延長セキュリティ更新プログラムを入手する方法
※ 本ブログは、米国時間 2/11 に公開された “Obtaining Extended Security Updates for eligible Windows devices” の抄訳です。
Windows の展開プロセスや更新プロセスはお客様ごとに進捗状況が異なります。そのためマイクロソフトの ESU チームは、Windows 7 Pro/Enterprise から Windows 10 への移行、または Windows Server 2008 および 2008 R2 Datacenter/Enterprise/Standard から Windows Server の最新バージョンへの移行が 2020 年 1 月 14 日のサポート終了までにお済みでなかったお客様についても、Windows および Windows Server のアップグレード プロジェクトが完了するまでの間、引き続きお使いのデバイスが保護されるようサポートしたいと考えています。
そこで今回のブログ記事では、ボリューム ライセンスをご利用のお客様が、対象の Windows 7、Windows Server 2008、Windows Server 2008 R2 デバイスの延長セキュリティ更新プログラム (ESU) を購入、インストール、展開し、2020 年 1 月 14 日以降も引き続きセキュリティ更新プログラムを受信できるようにする方法を説明します。
メモ: 有効なソフトウェア アシュアランスまたは Windows Server サブスクリプションをお持ちのお客様は、Azure ハイブリッド特典を利用すると、Azure Virtual Machines のライセンスまたは Azure SQL Database Managed Instance を割引価格で購入いただけます。一部の Windows Embedded 製品の延長セキュリティ更新プログラムは、組み込みデバイスの製造元から入手可能です。
ボリューム ライセンスを通じた延長セキュリティ更新プログラムの購入
Windows 7 ESU の購入方法と、ボリューム ライセンス サービス センターでの適切なキーの入手方法についてご説明します。
延長セキュリティ更新プログラムは、特定のボリューム ライセンス プログラムを通じて入手できます。2020 年 1 月 14 日から 12 か月単位で 3 回連続して購入いただけます。2020 年 1 月 14 日より 12 か月単位のみでの購入となり、一部の期間 (6 か月間の更新プログラムなど) を購入することはできません。
- ボリューム ライセンス サービス センターにアクセスし、会社の資格情報でサインインします。
- [Licenses]、[Relationship Summary]、[Licensing ID]、[Product Keys] の順に選択します。
クラウド ソリューション プロバイダー (CSP) 経由での Windows 7 ESU の購入
Windows 7 ESU は、クラウド ソリューション プロバイダー (CSP) プログラム経由でも入手いただけます。CSP から Windows 7 ESU を購入するには、マイクロソフト ソリューション プロバイダー データベースに登録されている CSP パートナー様にお問い合わせください。CSP パートナー様は、CSP として Windows 7 ESU を購入する方法について説明した記事で、パートナー センターからの購入方法をご確認いただけます。
インストールの前提条件
ESU キーをインストールしてライセンス認証を行う前に、以下の手順を完了する必要があります。
-
- SHA-2 コード署名をサポートするための以下の更新プログラムとサービス スタック更新プログラム (SSU) をインストールします。
Windows 7 Service Pack 1 (SP1) および Windows Server 2008 R2 SP1
Windows 7 SP1 および Windows Server 2008 R2 SP1 用のサービス スタック更新プログラム: 2019 年 3 月 13 日 (KB4490628)
および
Windows Server 2008 R2、Windows 7、Windows Server 2008 で SHA-2 コード署名をサポートするための更新プログラム: 2019 年 9 月 24 日 (KB4474419)
Windows Server 2008 Service Pack 2 (SP2)
Windows Server 2008 SP2 用のサービス スタック更新プログラム: 2019 年 4 月 10 日 (KB4493730)
および
Windows Server 2008 R2、Windows 7、Windows Server 2008 で SHA-2 コード署名をサポートするための更新プログラム: 2019 年 9 月 24 日 (KB4474419)
- 以下の SSU (または最新の SSU) と ESU ライセンス準備パッケージをインストールします。
Windows 7 SP1 および Windows Server 2008 R2 SP1
Windows 7 SP1 および Windows Server 2008 R2 SP1 用のサービス スタック更新プログラム: 2020 年 1 月 14 日 (KB4536952)
および
延長セキュリティ更新プログラム (ESU) ライセンス準備パッケージ (KB4538483 (英語))
Windows Server 2008 SP2
Windows Server 2008 SP2 用のサービス スタック更新プログラム: 2020 年 1 月 14 日 (KB4536953)
および
延長セキュリティ更新プログラム (ESU) ライセンス準備パッケージ (KB4538484)
メモ: ESU ライセンス準備パッケージはセキュリティ専用パッケージに分類されるもので、Windows Server Update Services (WSUS) または Microsoft Update カタログから入手できます。現在 Windows Update から入手することはできません。
インストールとライセンス認証
上記の前提条件の更新プログラムをインストールしたら、ESU ライセンス キーのインストールとライセンス認証を行う準備は完了です。
メモ: ESU プロダクト キーをインストールしても、デバイス上の既存の Windows OS プロダクト キーが置き換わることはありません。
まず、Windows ソフトウェア ライセンス管理ツール (slmgr) を使用して ESU プロダクト キーをインストールします。次に以下を実行します。
- 管理者特権でコマンド プロンプトを起動します。
- 「slmgr/ipk <ESU キー>」と入力して Enter キーを押します。
- プロダクト キーが正常にインストールされると、以下のようなメッセージが表示されます。
メモ: Windows Server 2008 SP2 にプロダクト キーをインストールしようとしているときに Error:0xC004F050 が表示された場合、デバイスの再起動が必要になることがあります。
次に、ESU ライセンス認証 ID を確認します。
- 管理者特権でコマンド プロンプトを起動し、「slmgr/dlv」と入力して Enter キーを押します。
- Activation ID (ライセンス認証 ID) をメモします。これは次の手順で必要になります。
ESU キーのライセンス認証が完了したら、引き続きお客様の更新および展開計画に沿って、Windows Update、WSUS、Microsoft Update カタログ、または任意のパッチ管理ソリューションから ESU を展開できます。延長セキュリティ更新プログラムは、セキュリティ専用更新プログラムに分類されます。
メモ: Windows Update オフライン スキャン ファイル (WSUSScn2.cab) は、引き続き Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2008 SP2 で利用できます。これらのオペレーティング システムのいずれかを実行しているデバイスに ESU を適用していない場合、パッチ管理ツールやコンプライアンス ツールでは、それらのデバイスが非準拠と表示されます。
ライセンス認証用のファイアウォール ホワイトリストの構成
プロキシ ファイアウォールを使用している場合、ESU キーのライセンス認証を成功させるには、ライセンス認証エンドポイントをホワイトリストに登録する必要があります。
オンライン ライセンス認証 (ローカルへのキーの展開) の場合は、以下の URL をすべてホワイトリストに登録します。
ボリューム ライセンス認証管理ツール (VAMT) を使用してプロキシ経由でライセンス認証するには、以下の URL をホワイトリストに登録します。
- https://activation.sls.microsoft.com/BatchActivation/BatchActivation.asmx
- http://go.microsoft.com/fwlink/?LinkId=82160 (この FWLink は上記 URL にリダイレクトされます)
ホワイト リストが完成したら、ESU プロダクト キーのライセンス認証を行う準備は完了です。
- 管理者特権でコマンド プロンプトを起動します。
- 「slmgr/ato <ESU ライセンス認証 ID>」を入力して Enter キーを押します。
正常にライセンス認証されたことを示すメッセージが表示されます。
<ESU ライセンス認証 ID> に入力する値は以下のとおりです。ライセンス認証 ID は、対象のすべての Windows ESU エディションと、そのプログラム用に登録されているすべてのデバイスで共通です。
ESU プログラム | ESU SKU (ライセンス認証) ID |
Windows 7 SP1 (クライアント) | |
1 年目 | 77db037b-95c3-48d7-a3ab-a9c6d41093e0 |
2 年目 | 0e00c25d-8795-4fb7-9572-3803d91b6880 |
3 年目 | 4220f546-f522-46df-8202-4d07afd26454 |
Windows Server 2008 R2 SP1 および Windows Server 2008 (サーバー) | |
1 年目 | 553673ed-6ddf-419c-a153-b760283472fd |
2 年目 | 04fa0286-fa74-401e-bbe9-fbfbb158010d |
3 年目 | 16c08c85-0c8b-4009-9b2b-f1f7319e45f9 |
重要: ESU キーのライセンス認証は、[Control Panel] > [System and Security] > [System] の [Activate Windows] からは行えません。これは、Windows OS のライセンス認証専用です。
ESU プロダクト キーのライセンス認証が完了したら、次の手順でいつでもステータスを確認できます。
Windows 7 SP1 および Windows Server 2008 R2 SP1
- 管理者特権でコマンド プロンプトを起動します。
- 「slmgr/dlv」と入力して Enter キーを押します。
Windows Server 2008 SP2
- 管理者特権でコマンド プロンプトを起動します。
- 「slmgr/dlv <ライセンス認証 ID>」または「slmgr/dlv all」と入力して、「Enter」キーを押します。
以下に示すように、対応する ESU プログラムの License Status が「Licensed」と表示されます。
メモ: slmgr スクリプトをエンタープライズ デバイスに送信する場合、System Center Configuration Manager などの管理ツールを使用することをお勧めします。
インターネットに接続されていないデバイスに ESU キーをインストールしてライセンス認証する場合は、VAMT を使用するか、電話によるライセンス認証を行います。
ボリューム ライセンス認証管理ツール (VAMT) の構成
VAMT は、オンラインのライセンス認証やプロキシ経由のライセンス認証に使用できます。VAMT から ESU キーをインストールしてライセンス認証を行うには、以下の手順を実行します。
- ボリューム ライセンス認証管理ツールをダウンロードしてインストールします。
- VAMT – ESU 構成ファイル (英語) をダウンロードして、VAMT 構成ファイルを更新します。
- クライアント デバイスのファイアウォールを構成し、VAMT を許可します。
- VAMT に ESU プロダクト キーを追加します。
- 製品を右クリックして [Activate] を選択し、以下のようにライセンス認証方法を選択します。
メモ: ライセンス認証用にインターネットに接続できないシステムの場合、VAMT を使用すればプロキシ経由のライセンス認証が可能です。
マルチ ライセンス認証キー (MAK) による複数デバイスへの Windows 7 ESU キーのインストールとライセンス認証に関する詳細なガイドについては、こちらのブログ記事 (英語) を参照してください。
電話での ESU キーのライセンス認証
電話で ESU キーのライセンス認証を行うには、slmgr コマンド オプションの – /dti と /atp を使用します。以下の手順を実行します。
- 管理者特権でコマンド プロンプトを起動します。
- 「slmgr.vbs /ipk <ESU MAK キー>」と入力して Enter キーを押し、プロダクト キーをインストールします。
- 対応する ESU ライセンス認証 ID (前述のプログラム別の表を参照) を使用して、ESU キーのインストール ID を取得します。たとえば以下のようになります。
- インストール ID を取得したら、お客様の地域のマイクロソフト ライセンス認証専用窓口に電話をかけます。確認 ID を取得する手順をご説明しますので、確認 ID をメモしてください。
- 前の手順でメモした確認 ID を基に「slmgr/atp <確認 ID> <ESU ライセンス認証 ID>」と入力して、ESU SKU のライセンス認証を行います。
- 「slmgr/dlv <ライセンス認証 ID>」または「slmgr/dlv all」と入力して Enter キーを押し、License Status が「Licensed」と表示されていることを確認します。
Azure Virtual Machines
Azure Virtual Machines (VM) や、Windows Virtual Desktop の Windows 7 ESU を利用する場合、あるいは、Azure 上で Windows 7/Windows Server 2008/Windows Server 2008 R2 の Bring your own image (イメージ持ち込み) を利用する場合には、追加の ESU キーを展開する必要はありません。オンプレミス デバイスと同様に、VM には、「インストールの前提条件」セクションに記載している適切な SSU をインストールする必要があります。上記の SSU をインストールすると、VM で ESU 更新プログラムのダウンロードが有効になります。
パッチ適用済みの Windows 7 イメージとパッチ適用済みの Windows Server 2008 R2 SP1 イメージは Azure Marketplace から入手できます。Azure Stack VM または Azure VMware ソリューションの場合、オンプレミス デバイスと同じ手順を踏む必要があります。
Windows Server 2008/2008 R2 SP1 の ESU に関してよく寄せられる質問への回答については、延長セキュリティ更新プログラムに関する FAQ をご覧ください。
次のステップ
お客様の組織のデバイスで現在も Windows 7 SP1、Windows Server 2008、Windows Server 2008 R2 SP1 を実行している場合は、今すぐ上記の手順を実行のうえ延長セキュリティ更新プログラムを利用し、引き続きデバイスに必要なセキュリティ更新プログラムが配信されるようにすることをお勧めします。
延長セキュリティ更新プログラムの詳細については、以下の関連情報をご確認ください。