Windows 11 バージョン 23H2 (KB5082052) のこの累積的な更新プログラムには、最新のセキュリティ修正プログラムと、先月のオプションのプレビュー リリースのセキュリティ以外の更新プログラムが含まれています。 セキュリティ更新プログラム、オプションのセキュリティ以外のプレビュー更新プログラム、帯域外 (OOB) 更新プログラム、継続的なイノベーションの違いの詳細については、 Windows の月次更新プログラムの説明に関するページを参照してください。 Windows 更新プログラムの用語については、さまざまな種類の Windows ソフトウェア更新プログラムに関するページを参照してください。
このリリースに関する最新の更新プログラムを表示するには、Windows リリースの正常性ダッシュボードまたは Windows 11 バージョン 23H2 の更新履歴ページを参照してください。
|
ヒント:今月のビデオは、Windows 11バージョン 25H2 および 24H2 の記事で入手できます。 |
お知らせとメッセージ
このセクションでは、お知らせ、変更ログ、サポート終了通知など、このリリースに関連する重要な通知を提供します。
Windows セキュア ブート証明書の有効期限
重要: ほとんどの Windows デバイスで使用されるセキュア ブート証明書の有効期限は、2026 年 6 月以降に設定されます。 これは、特定の個人用デバイスとビジネス デバイスが時間内に更新されていない場合に安全に起動する機能に影響する可能性があります。 中断を回避するために、ガイダンスを確認し、証明書を事前に更新するためのアクションを実行することをお勧めします。 詳細と準備手順については、「Windows セキュア ブート証明書の有効期限と CA 更新プログラム」を参照してください。
|
日付の変更 |
説明を変更する |
|
2026 年 4 月 14 日 |
既知の問題が追加されました: "BitLocker 回復キーを入力するために、非コミット BitLocker グループ ポリシー構成を持つデバイスが必要になる場合があります" |
改善点
この更新プログラムは、Windows オペレーティング システムのセキュリティの問題に対処します。
重要: EKB KB5027397を使用して、バージョン 23H2 Windows 11に更新します。
このセキュリティ更新プログラムには、KB5078883 (2026 年 3 月 10 日にリリース) からの修正プログラムと品質の向上が含まれています。 次の概要では、この更新プログラムで対処される主な問題について説明します。 また、新機能も含まれています。 角かっこ内の太字のテキストは、変更の項目または領域を示します。
-
[セキュア ブート]
-
新機能! デバイスのセキュア ブート証明書の更新の状態は、Windows セキュリティ アプリに表示される場合があります ([設定] > [プライバシー] & セキュリティ > Windows セキュリティ)。 バッジと通知を使用した状態アラートの詳細については、こちらをご覧ください。 これらの拡張機能は、商用デバイスでは既定で無効になっています。
-
この更新プログラムでは、Windows 品質の更新プログラムには、データを対象とする信頼性の高いデバイスが追加され、新しいセキュア ブート証明書を自動的に受信できるデバイスの範囲が広がります。 デバイスは、十分な正常な更新シグナルを示し、制御された段階的なロールアウトを維持した後にのみ、新しい証明書を受け取ります。
-
この更新プログラムは、セキュア ブートの更新後にデバイスが BitLocker Recovery に入る可能性がある問題を解決します。
-
-
[ネットワーク] この更新プログラムは、Windows が QUIC 経由で SMB 圧縮を使用する場合の信頼性を向上させます。 この更新プログラムをインストールすると、QUIC に対する SMB 圧縮要求がより一貫して完了し、タイムアウトの可能性が減り、よりスムーズで信頼性の高いパフォーマンスがサポートされます。
-
[リモート デスクトップ] この更新プログラムは、リモート デスクトップ (.rdp) ファイルを使用するフィッシング攻撃に対する保護を強化します。 .rdp ファイルを開くと、リモート デスクトップでは、接続前に要求されたすべての接続設定が表示され、各設定は既定でオフになっています。 デバイスで .rdp ファイルを初めて開くと、1 回限りのセキュリティ警告も表示されます。 詳細については、「 リモート デスクトップ (RDP) ファイルを開くときのセキュリティ警告について」を参照してください。
-
[サインイン]修正済み]2026 年 3 月 10 日以降にリリースされた Windows 更新プログラムをインストールすると、Microsoft アカウントを使用してアプリにサインインするときに問題が発生する可能性があります。 デバイスにインターネット接続が機能している場合でも、サインイン中に "インターネットなし" エラーが表示され、Microsoft Teamsなどの Microsoft サービスやアプリへのアクセスが禁止されます。
以前の更新プログラムを既にインストールしている場合、デバイスは、このパッケージに含まれる新しい更新プログラムのみをダウンロードしてインストールします。
セキュリティの脆弱性の詳細については、セキュリティ更新プログラム ガイドと 2026 年 4 月のセキュリティ更新プログラムに関するページを参照してください。
Windows 11 サービス スタック更新プログラム (KB5086307) - 22621.6937
この更新プログラムは、Windows の更新プログラムをインストールするコンポーネントであるサービス スタックの品質を向上します。 サービス スタック更新プログラム (SSU) をインストールすることで、堅牢で信頼性の高いサービス スタックを利用し、デバイスで Microsoft の更新プログラムを受信し、インストールできるようになります。 SU の詳細については、「 サービス スタック更新プログラムのオンプレミス展開の簡略化」を参照してください。
この更新プログラムの既知の問題
現象
この更新プログラムをインストールした後、最初の再起動時に BitLocker 回復キーを入力するために、非コミット BitLocker グループ ポリシー構成を持つ一部のデバイスが必要になる場合があります。
この問題は、次のすべての条件が満たされている限られた数のシステムにのみ影響します。 これらの条件は、IT 部門が管理していない個人のデバイスで見つかる可能性は低いです。
-
OS ドライブで BitLocker が有効になっています。
-
"ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成する" グループ ポリシーが構成され、PCR7 が検証プロファイルに含まれます (または、同等のレジストリ キーが手動で設定されます)。
-
システム情報 (msinfo32.exe) は、セキュア ブート状態の PCR7 バインドを "不可能" と報告します。
-
Windows UEFI CA 2023 証明書は、デバイスのセキュア ブート署名データベース (DB) に存在し、2023 署名された Windows ブート マネージャーの対象となるデバイスを既定にします。
-
デバイスで 2023 署名された Windows ブート マネージャーがまだ実行されていません。
このシナリオでは、BitLocker 回復キーは 1 回だけ入力する必要があります。以降の再起動では、グループ ポリシーの構成が変更されない限り、BitLocker 回復画面はトリガーされません。 BitLocker 回復キーの検索については、「BitLocker 回復 キーを見つける」の記事を参照してください。
企業は、この更新プログラムをインストールする前に、明示的な PCR7 包含と PCR7 バインド状態のチェック msinfo32.exeについて BitLocker グループ ポリシーを監査することをお勧めします。 (下記のオプション 1 を参照してください)。
回避策
オプション 1: 更新プログラムをインストールする前にグループ ポリシー構成を削除する (推奨)
-
グループ ポリシー エディター (gpedit.msc) またはグループ ポリシー管理コンソールを開きます。
-
[ コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブの暗号化] > [オペレーティング システム ドライブ] に移動します。
-
"ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成する" を "未構成" に設定します。
-
影響を受けるデバイスで次のコマンドを実行して、ポリシーの変更を反映します。 gpupdate /force
-
次のコマンドを実行して BitLocker を一時停止します (C: ドライブで BitLocker が有効になっている場合): manage-bde -protectors -disable C:
-
次のコマンドを実行して BitLocker を再開します (C: ドライブで BitLocker が有効になっている場合): manage-bde -protectors -enable C:
-
これにより、Windows が選択した既定の PCR プロファイルを使用するように BitLocker バインドが更新されます。
オプション 2: 更新プログラムをインストールする前に既知の問題ロールバック (KIR) を適用する
この更新プログラムを展開する前に PCR7 グループ ポリシーを削除できないお客様は、 既知のイシュー ロールバック (KIR) を使用できます。 KIR は、BitLocker 回復トリガーを回避して、2023 ブート マネージャーへの自動切り替えを防ぎます。 影響を受けるデバイスに更新プログラムをインストールする前に、KIR を展開する必要があります。 この KIR を入手するには、Microsoft のビジネスサポート にお問い合わせください。
次のステップ
この問題の永続的な解決策は、今後の Windows 更新プログラムで計画されています。 詳細については、使用可能な場合に提供されます。
この更新プログラムの入手方法
この更新プログラムをインストールする前に
Microsoft では、お使いのオペレーティング システム用の最新のサービス スタック更新プログラム (SSU) を最新の累積更新プログラム (LCU) と組み合わせて提供されます。 SU の一般的な情報については、「 サービス スタックの更新プログラム」を参照してください。
この更新プログラムのインストール
この更新プログラムをインストールするには、次のいずれかの Windows および Microsoft リリース チャネルを使用します。
|
使用可能 |
次の手順 |
|
|
この更新プログラムは、Windows Updateと Microsoft Update から自動的にダウンロードおよびインストールされます。 |
|
利用可能 |
次の手順 |
|
|
この更新プログラムは、構成されたポリシーに従って、Windows Update for Business から自動的にダウンロードおよびインストールされます。 |
|
使用可能 |
次の手順 |
|
|
この更新プログラムのスタンドアロン パッケージを取得するには、Microsoft Update Catalog に移動します。 |
|
使用可能 |
次の手順 |
|
|
この更新プログラムは、次のように製品と分類を構成する場合、Windows Server Update Services (WSUS) と自動的に同期されます。 製品: Windows 11 分類:セキュリティ更新プログラム |
この更新プログラムを削除する場合
注意: この更新プログラムを削除する前に、「 リスクについて: セキュリティ更新プログラムをアンインストールしない理由」を参照してください。
SSU と LCU の統合パッケージをインストールした後に LCU を削除するには、DISM/Remove-Package コマンド ライン オプションに LCU パッケージ名を引数として指定します。 パッケージ名を調べるには、次のコマンドを使用します。DISM /online /get-packages。
複合パッケージの /uninstall スイッチを使用して Windows Update スタンドアロン インストーラー (wusa.exe) を実行しても、複合パッケージに SSU が含まれているため動作しません。 インストール後に SSU をシステムから削除することはできません。
ファイル情報
この更新プログラムで提供されるファイルの一覧については、 累積的な更新プログラムの5082052のファイル情報をダウンロードします。
サービス スタック更新プログラムで提供されるファイルの一覧については、 SSU (KB5086307) バージョン 22621.6937 のファイル情報をダウンロードします。
