Windows Server 2025 (KB5091157) のこの帯域外 (OOB) 更新プログラムは、セキュリティ以外の累積的な更新プログラムです。
改善点
この帯域外更新プログラムには、KB5082063 (2026 年 4 月 14 日にリリース) からの品質の向上が含まれています。 次の概要では、この帯域外更新プログラムによって対処される主な問題について説明します。 角かっこ内の太字のテキストは、変更の項目または領域を示します。
-
[ドメイン コントローラー (既知の問題)] 修正済み: 2026 年 4 月 14 日、Windows セキュリティ更新プログラム (KB5082063) をインストールして再起動した後、 Privileged Access Management (PAM) を使用するマルチドメイン フォレストを持つドメイン コントローラーで起動の問題が発生する可能性があります。 場合によっては、ローカル セキュリティ機関サブシステム サービス (LSASS) が応答を停止し、再起動が繰り返され、認証とディレクトリ サービスが防止され、ドメインが使用できなくなる可能性があります。
-
[Windows Update のインストール] 修正済み: 少数のWindows Server 2025 デバイスが、2026 年 4 月 14 日の Windows セキュリティ更新プログラム (KB5082063) のインストールに失敗する可能性があります。 この問題が発生すると、影響を受けるデバイスに次のいずれかのエラー メッセージが表示される場合があります。 "インストール エラー: 0x800F0983" または "一部の更新ファイルが見つからないか、問題が発生しています。 後で更新プログラムを再度ダウンロードします。 エラー コード: 0x80073712。
以前の更新プログラムをインストールした場合、デバイスは、このパッケージに含まれる新しい更新プログラムのみをダウンロードしてインストールします。
メモ KB5082063のインストールの問題の影響を受けるホットパッチ更新プログラム登録Windows Server 2025 デバイスは、同じ保護のためにこの OOB 更新プログラムをインストールできます。 ただし、これを行うには再起動が必要であり、ホットパッチの更新は 2026 年 7 月のベースライン更新プログラムまで再開されません。
Windows Sever 2025 サービス スタック更新プログラム (KB5082062) -26100.32692
この更新プログラムは、Windows の更新プログラムをインストールするコンポーネントであるサービス スタックの品質を向上します。 サービス スタック更新プログラム (SSU) をインストールすることで、堅牢で信頼性の高いサービス スタックを利用し、デバイスで Microsoft の更新プログラムを受信し、インストールできるようになります。 SU の詳細については、「 サービス スタック更新プログラムのオンプレミス展開の簡略化」を参照してください。
この更新プログラムに関する既知の問題
現象
この更新プログラムをインストールした後、最初の再起動時に BitLocker 回復キーを入力するために、非コミット BitLocker グループ ポリシー構成を持つ一部のデバイスが必要になる場合があります。
この問題は、次のすべての条件が満たされている限られた数のシステムにのみ影響します。 これらの条件は、IT 部門が管理していない個人のデバイスで見つかる可能性は低いです。
-
OS ドライブで BitLocker が有効になっています。
-
"ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成する" グループ ポリシーが構成され、PCR7 が検証プロファイルに含まれます (または、同等のレジストリ キーが手動で設定されます)。
-
システム情報 (msinfo32.exe) は、セキュア ブート状態の PCR7 バインドを "不可能" と報告します。
-
Windows UEFI CA 2023 証明書は、デバイスのセキュア ブート署名データベース (DB) に存在し、2023 署名された Windows ブート マネージャーの対象となるデバイスを既定にします。
-
デバイスで 2023 署名された Windows ブート マネージャーがまだ実行されていません。
このシナリオでは、BitLocker 回復キーは 1 回だけ入力する必要があります。以降の再起動では、グループ ポリシーの構成が変更されない限り、BitLocker 回復画面はトリガーされません。 BitLocker 回復キーの検索については、「BitLocker 回復 キーを見つける」の記事を参照してください。
企業は、この更新プログラムをインストールする前に、明示的な PCR7 包含と PCR7 バインド状態のチェック msinfo32.exeについて BitLocker グループ ポリシーを監査することをお勧めします。 (下記のオプション 1 を参照してください)。
回避策
オプション 1: 更新プログラムをインストールする前にグループ ポリシー構成を削除する (推奨)
-
グループ ポリシー エディター (gpedit.msc) またはグループ ポリシー管理コンソールを開きます。
-
[ コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブの暗号化] > [オペレーティング システム ドライブ] に移動します。
-
"ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成する" を "未構成" に設定します。
-
影響を受けるデバイスで次のコマンドを実行して、ポリシーの変更を反映します。 gpupdate /force
-
次のコマンドを実行して BitLocker を一時停止します (C: ドライブで BitLocker が有効になっている場合): manage-bde -protectors -disable C:
-
次のコマンドを実行して BitLocker を再開します (C: ドライブで BitLocker が有効になっている場合): manage-bde -protectors -enable C:
-
これにより、Windows が選択した既定の PCR プロファイルを使用するように BitLocker バインドが更新されます。
オプション 2: 更新プログラムをインストールする前に既知の問題ロールバック (KIR) を適用する
この更新プログラムを展開する前に PCR7 グループ ポリシーを削除できないお客様は、 既知のイシュー ロールバック (KIR) を使用できます。 KIR は、BitLocker 回復トリガーを回避して、2023 ブート マネージャーへの自動切り替えを防ぎます。 影響を受けるデバイスに更新プログラムをインストールする前に、KIR を展開する必要があります。 この KIR を入手するには、Microsoft のビジネスサポート にお問い合わせください。
この問題の永続的な解決策は、今後の Windows 更新プログラムで計画されています。 詳細については、使用可能な場合に提供されます。
KB5070881 以降の更新プログラムをインストールした後、Windows Server Update Services (WSUS) に同期エラーの詳細がエラー レポートに表示されません。 この機能は、リモート コード実行の脆弱性 CVE-2025-59287 に対処するために一時的に削除されます
この更新プログラムの入手方法
この更新プログラムをインストールする前に
Microsoft では、オペレーティング システムの最新のサービス スタック更新プログラム (SSU) と最新の累積的な更新プログラム (LCU) が組み合わされるようになりました。 SU の一般的な情報については、「 サービス スタックの更新プログラム」を参照してください。
この更新プログラムのインストール
この更新プログラムをインストールするには、次のいずれかの Windows および Microsoft リリース チャネルを使用します。
|
使用可能 |
次の手順 |
|
|
他のオプションを参照してください。 |
|
利用可能 |
次の手順 |
|
|
他のオプションを参照してください。 |
|
使用可能 |
次の手順 |
|||||
|
|
Microsoft Update カタログからこのリリースをインストールするには、次の手順に従います。 この更新プログラム (この更新プログラムのスタンドアロン パッケージ) をインストールする前に、Microsoft Update Catalog Web サイトにアクセスしてください。 この KB には、特定の順序でインストールが必要な 1 つ以上の MSU ファイルが含まれています。 この更新プログラムは、方法 1 (すべての MSU ファイルをまとめてインストールする) または方法 2 (各 MSU ファイルを個別にインストールする) を使用してインストールできます。 方法 1: すべての MSU ファイルを一緒にインストールする Microsoft Update Catalog からKB5091157用のすべての MSU ファイルをダウンロードし、同じフォルダー (C:/Packages など) に配置します。 展開イメージのサービスと管理 (DISM.exe) を使用して、ターゲット更新プログラムをインストールします。 DISM では、 PackagePath で指定されたフォルダーを使用して、必要に応じて 1 つ以上の前提条件の MSU ファイルを検出してインストールします。 Windows PC の更新 実行中の Windows PC にこの更新プログラムを適用するには、管理者特権のコマンド プロンプトから次のコマンドを実行します。
または、管理者特権のWindows PowerShell プロンプトから次のコマンドを実行します。
または、スタンドアロン インストーラー Windows Update使用してターゲット更新プログラムをインストールします。 Windows インストール メディアの更新 この更新プログラムを Windows インストール メディアに適用するには、「動的更新プログラムを使用して Windows インストール メディアを更新する」を参照してください。 注: 他の動的更新プログラム パッケージをダウンロードする場合は、この KB と同じ月に一致することを確認します。 この KB と同じ月に SafeOS 動的更新プログラムまたは動的更新プログラムのセットアップを使用できない場合は、最新公開バージョンの各バージョンを使用します。 マウントされたイメージにこの更新プログラムを追加するには、管理者特権のコマンド プロンプトから次のコマンドを実行します。
または、管理者特権のWindows PowerShell プロンプトから次のコマンドを実行します。
方法 2: 各 MSU ファイルを個別に順番にインストールする DISM または Windows Update スタンドアロン インストーラーを使用して、各 MSU ファイルを個別にダウンロードしてインストールします。
|
|
使用可能 |
次の手順 |
|
|
他のオプションを参照してください。 |
この更新プログラムを削除する場合
注意: この更新プログラムを削除する前に、「 リスクについて: セキュリティ更新プログラムをアンインストールしない理由」を参照してください。
SSU と LCU の組み合わせパッケージをインストールした後にこの更新プログラムを削除するには、引数として LCU パッケージ名を指定して DISM/Remove-Package コマンド ライン オプションを使用します。 パッケージ名を調べるには、次のコマンドを使用します。DISM /online /get-packages。
複合パッケージの /uninstall スイッチを使用して Windows Update スタンドアロン インストーラー (wusa.exe) を実行しても、複合パッケージに SSU が含まれているため動作しません。 インストール後に SSU をシステムから削除することはできません。
ファイル情報
この更新プログラムで提供されるファイルの一覧については、 帯域外更新プログラムの5091157のファイル情報をダウンロードします。
サービス スタック更新プログラムで提供されるファイルの一覧については、 SSU (KB5082062) バージョン 26100.32692 のファイル情報をダウンロードします。
