2026 年 5 月 12 日 — KB5087539 (OS ビルド 26100.32860)
適用先
リリース日:
2026/05/12
バージョン:
OS ビルド 26100.32860
Windows Server 2025 (KB5087539) のこの累積的な更新プログラムには、最新のセキュリティ修正プログラムと機能強化と、先月のオプションのプレビュー リリースのセキュリティ以外の更新プログラムが含まれています。 セキュリティ更新プログラム、オプションのセキュリティ以外のプレビュー更新プログラム、帯域外 (OOB) 更新プログラム、継続的なイノベーションの違いの詳細については、 Windows の月次更新プログラムの説明に関するページを参照してください。 Windows 更新プログラムの用語については、さまざまな種類の Windows ソフトウェア更新プログラムに関するページを参照してください。
このリリースに関する最新の更新プログラムを表示するには、Windows リリース正常性ダッシュボードまたは Windows Server 2025 の更新履歴ページを参照してください。
お知らせとメッセージ
このセクションでは、お知らせ、変更ログ、サポート終了通知など、このリリースに関連する重要な通知を提供します。
Windows セキュア ブート証明書の有効期限
Important: ほとんどの Windows デバイスで使用されるセキュア ブート証明書は、2026 年 6 月から期限切れに設定されています。 これは、特定の個人用デバイスとビジネス デバイスが時間内に更新されていない場合に安全に起動する機能に影響する可能性があります。 中断を回避するために、ガイダンスを確認し、証明書を事前に更新するためのアクションを実行することをお勧めします。 詳細と準備手順については、「Windows セキュア ブート証明書の有効期限と CA の更新プログラム」および「Windows Serverセキュア プレイブック のブログ」を参照してください。
|
日付の変更 |
説明を変更する |
|
2026 年 6 月 9 日 |
更新された問題を把握する: "BitLocker 回復キーを入力するために、非コミット BitLocker グループ ポリシー構成を持つデバイスが必要になる場合があります" の解決策が追加されました。 |
|
2026 年 5 月 27 日 |
カタログの下の更新されたコマンド (MSU 文字列)。 |
|
2026 年 5 月 15 日 |
Active Directory Certificate Services の更新プログラムを追加しました。 |
|
2026 年 5 月 13 日 |
セキュア ブートのリリース ノートを追加しました:この更新プログラムは、対象となるデバイスの C:\Windowsの下に新しい SecureBoot フォルダーを追加します。 |
改善
このセキュリティ更新プログラムには、 KB5082063 (2026 年 4 月 14 日リリース) および KB5091157 (2026 年 4 月 19 日リリース) からの修正と品質の向上が含まれています。 次の概要では、この更新プログラムで対処される主な問題について説明します。 また、新機能も含まれています。 角かっこ内の太字のテキストは、変更の項目または領域を示します。
-
[セキュア ブート]
-
この更新プログラムでは、Windows 品質の更新プログラムには、データを対象とする信頼性の高いデバイスが追加され、新しいセキュア ブート証明書を自動的に受信できるデバイスの範囲が広がります。 デバイスは、十分な正常な更新シグナルを示し、制御された段階的なロールアウトを維持した後にのみ、新しい証明書を受け取ります。
-
この更新プログラムは、対象となるデバイスの C:\Windowsの下に新しい SecureBootフォルダーを追加します。 このフォルダーには、デバイスフリート全体で更新プログラムを積極的に管理する IT プロフェッショナルを持つ組織向けのサンプル スクリプトが含まれています。 これらのスクリプトを使用すると、セキュア ブート証明書の更新状態を検出し、Active Directory 環境の安全なロールアウト メカニズムを使用してデプロイを自動化できます。 詳細については、「 セキュア ブート E2E オートメーション ガイドのサンプル」を参照してください。
-
-
[接続] この更新プログラムは、サービスが応答しなくなるのを防ぐために、Simple Service Discovery Protocol (SSDP) 通知の信頼性を向上させます。
-
[夏時間 (DST)] この更新プログラムでは、アラブ共和国の 2023 DST の変更がサポートされています。
-
[ドメイン コントローラー] この更新プログラムは、Microsoft Defenderが有効になっている場合のドメイン コントローラーでのローカル セキュリティ機関サブシステム サービス (LSASS) のパフォーマンスを向上させます。 これにより、IDL_DRSGetNCChanges イベントの Windows コレクションのイベント トレース中の CPU とメモリの使用量が削減されます。
-
[リモート デスクトップ (既知の問題)] 修正済み: この更新プログラムは、リモート デスクトップ接続のセキュリティ警告ダイアログに影響する問題に対処します。 モニターのスケーリング セットが異なる場合、マルチモニター シナリオではダイアログが正しく表示されない可能性があります。 これは、2026 年 4 月 (KB5082063) のセキュリティ更新プログラムをインストールした後に発生する可能性があります。 詳細については、「リモート デスクトップ (RDP) ファイルを開くときのセキュリティ警告について」を参照してください。
-
[サインイン]2026 年 3 月 10 日以降にリリースされた Windows 更新プログラムをインストールすると、Microsoft アカウントを使用してアプリにサインインするときに問題が発生する可能性があります。 デバイスにインターネット接続が機能している場合でも、サインイン中に "インターネットなし" エラーが表示され、Microsoft Teamsなどの Microsoft サービスやアプリへのアクセスが禁止されます。
-
[Active Directory 証明書サービス] この更新プログラムは、Active Directory Certificate Services (AD CS) でのモジュール ラティス ベースのデジタル署名アルゴリズム (ML-DSA) の量子後署名のサポートを追加します。 管理者は、ML-DSA-44、ML-DSA-65、または ML-DSA-87 を使用して新しい証明機関を構成し、コード署名、トランスポート層セキュリティ (TLS)、およびオンライン証明書状態プロトコル (OCSP) 応答署名に量子耐性証明書を発行できます。
以前の更新プログラムを既にインストールしている場合、デバイスは、このパッケージに含まれる新しい更新プログラムのみをダウンロードしてインストールします。
セキュリティの脆弱性の詳細については、セキュリティ更新プログラム ガイドと 2026 年 5 月のセキュリティ Updatesを参照してください。
Windows Server 2025 サービス スタック更新プログラム (KB5089717) - 26100.32837
この更新プログラムは、Windows の更新プログラムをインストールするコンポーネントであるサービス スタックの品質を向上します。 サービス スタック更新プログラム (SSU) をインストールすることで、堅牢で信頼性の高いサービス スタックを利用し、デバイスで Microsoft の更新プログラムを受信し、インストールできるようになります。 SU の詳細については、「 サービス スタック更新プログラムのオンプレミス展開の簡略化」を参照してください。
この更新プログラムの既知の問題
現象
この更新プログラムをインストールした後、推奨されていない BitLocker グループ ポリシー構成を伴う一部のデバイスは、初回の再起動時に BitLocker 回復キーの入力が必要になる場合があります。
この問題は、次のすべての条件が満たされている限られた数のシステムにのみ影響します。 これらの条件は、IT 部門によって管理されていない個人用デバイスで該当する可能性はほとんどありません。
-
OS ドライブで BitLocker が有効になっている。
-
グループ ポリシー「ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成」が設定されており、PCR7 が検証プロファイルに含まれている (または同等のレジストリ キーが手動で設定されている) 。
-
システム情報 (msinfo32.exe) が、セキュア ブート状態の PCR7 バインドを「不可能」と報告している。
-
Windows UEFI CA 2023 証明書がデバイスのセキュア ブート署名データベース (DB) に存在し、2023 年署名の Windows ブート マネージャーを既定に設定できる状態になっている。
-
デバイスが 2023 年署名の Windows ブート マネージャーをまだ実行していない。
このシナリオでは、BitLocker 回復キーは 1 回だけ入力する必要があります。グループ ポリシーの構成が変更されていない限り、以降の再起動では BitLocker 回復画面はトリガーされません。 BitLocker 回復キーの検索については、「BitLocker 回復 キーを見つける」の記事を参照してください。
企業は、この更新プログラムをインストールする前に、BitLocker グループ ポリシーを監査して PCR7 が明示的に含まれているか確認し、msinfo32.exe の PCR7 バインド状態をチェックすることを推奨します。 (以下の回避策を参照してください)。
回避策
この問題は、KB5094125で解決されます。 KB5094125をインストールした後、この互換性のないグループ ポリシー構成の デバイスは、2023 署名された Windows ブート マネージャーをインストールできなくなります。 デバイスが影響を受けた場合、Windows 更新プログラムのインストール時にシステム イベント ログにイベント ID 1032 が表示されます。"セキュア ブート更新プログラムブート マネージャー (2023) は、現在の BitLocker 構成との互換性がないために適用されませんでした。
イベント ID 1032 を受け取った場合、2023 署名された Windows ブート マネージャーをインストールし、最新のセキュア ブート保護を引き続き受け取ることができるように、更新プログラムをインストールする前にグループ ポリシー構成を削除することを強くお勧めします。
更新プログラムをインストールする前にグループ ポリシー構成を削除します (推奨)
-
グループ ポリシー エディター (gpedit.msc) またはグループ ポリシー管理コンソールを開きます。
-
[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブの暗号化] > [オペレーティング システム ドライブ] に移動します。
-
「ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成」を「未構成」に設定します。
-
影響を受けるデバイスで次のコマンドを実行し、ポリシーの変更を反映させます: gpupdate /force
-
次のコマンドを実行して BitLocker を中断します (C: ドライブで BitLocker が有効になっている場合): manage-bde -protectors -disable C:
-
次のコマンドを実行して BitLocker を再開します (C: ドライブで BitLocker が有効になっている場合): manage-bde -protectors -enable C:
-
これにより、Windows が選択した既定の PCR プロファイルを使用するように BitLocker バインドが更新されます。
このグループ ポリシー構成を削除しない場合は、BitLocker を一時的に一時停止し、セキュア ブート更新プログラムをインストールすることで、新しい Windows ブート マネージャーをインストールできます。 目的
-
次のコマンドを実行して BitLocker を中断します (C: ドライブで BitLocker が有効になっている場合): manage-bde -protectors -disable C:
-
次のコマンドを実行します: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
デバイスを再起動します。
-
新しい Windows ブート マネージャーが正常にインストールされたら、コマンド manage-bde -protectors -enable C を実行して BitLocker を有効にします。
KB5070881 以降の更新プログラムをインストールした後、Windows Server Update Services (WSUS) に同期エラーの詳細がエラー レポートに表示されません。 この機能は、リモート コード実行の脆弱性 CVE-2025-59287 に対処するために一時的に削除されます
この更新プログラムを入手する方法
この更新プログラムをインストールする前に
Microsoft では、お使いのオペレーティング システム用の最新のサービス スタック更新プログラム (SSU) を最新の累積更新プログラム (LCU) と組み合わせて提供されます。 SU の一般的な情報については、「 サービス スタックの更新プログラム」を参照してください。
この更新プログラムのインストール
この更新プログラムをインストールするには、次のいずれかの Windows および Microsoft リリース チャネルを使用します。
|
使用可能 |
次の手順 |
|
|
|
この更新プログラムは、Windows Updateと Microsoft Update から自動的にダウンロードおよびインストールされます。 |
|
利用可能 |
次の手順 |
|
|
この更新プログラムは、構成されたポリシーに従って、Windows Update for Business から自動的にダウンロードおよびインストールされます。 |
|
使用可能 |
次の手順 |
|||||
|
|
Microsoft Update Catalog からこのリリースをインストールするには、次の手順に従います:この更新プログラムをインストールする前に、この更新プログラムのスタンドアロン パッケージは Microsoft Update Catalog Web サイトから入手できます。 この KB には、特定の順序でインストールが必要な 1 つ以上の MSU ファイルが含まれています。 この更新プログラムは、方法 1 (すべての MSU ファイルをまとめてインストールする) または方法 2 (各 MSU ファイルを個別にインストールする) を使用してインストールできます。 方法 1: すべての MSU ファイルを一緒にインストールする Microsoft Update Catalog からKB5087539用のすべての MSU ファイルをダウンロードし、同じフォルダー (C:/Packages など) に配置します。 展開イメージのサービスと管理 (DISM.exe) を使用して、ターゲット更新プログラムをインストールします。 DISM では、 PackagePath で指定されたフォルダーを使用して、必要に応じて 1 つ以上の前提条件の MSU ファイルを検出してインストールします。 Windows PC の更新 実行中の Windows PC にこの更新プログラムを適用するには、管理者特権のコマンド プロンプトから次のコマンドを実行します。
または、管理者特権のWindows PowerShell プロンプトから次のコマンドを実行します。
または、スタンドアロン インストーラー Windows Update使用してターゲット更新プログラムをインストールします。 Windows インストール メディアの更新 この更新プログラムを Windows インストール メディアに適用するには、「 動的更新プログラムを使用して Windows インストール メディアを更新する」を参照してください。 注: 他の動的更新プログラム パッケージをダウンロードする場合は、この KB と同じ月に一致することを確認します。 この KB と同じ月に SafeOS 動的更新プログラムまたは動的更新プログラムのセットアップを使用できない場合は、最新公開バージョンの各バージョンを使用します。 マウントされたイメージにこの更新プログラムを追加するには、管理者特権のコマンド プロンプトから次のコマンドを実行します。
または、管理者特権のWindows PowerShell プロンプトから次のコマンドを実行します。
方法 2: 各 MSU ファイルを個別に順番にインストールする DISM または Windows Update スタンドアロン インストーラーを使用して、各 MSU ファイルを個別にダウンロードしてインストールします。
|
|
使用可能 |
次の手順 |
|
|
製品と分類を次のように構成すると、この更新プログラムはWindows Server Update Services (WSUS) と自動的に同期されます。 製品: Microsoft Server オペレーティング システム-24H2 分類:セキュリティ更新プログラム |
この更新プログラムを削除する場合
この更新プログラムを削除する前に、「 リスクについて: セキュリティ更新プログラムをアンインストールしない理由」を参照してください。
SSU と LCU の統合パッケージをインストールした後に LCU を削除するには、DISM/Remove-Package コマンド ライン オプションに LCU パッケージ名を引数として指定します。 パッケージ名を調べるには、次のコマンドを使用します。DISM /online /get-packages。
複合パッケージの /uninstall スイッチを使用して Windows Update スタンドアロン インストーラー (wusa.exe) を実行しても、複合パッケージに SSU が含まれているため動作しません。 インストール後に SSU をシステムから削除することはできません。
ファイル情報
この更新プログラムで提供されるファイルの一覧については、 累積的な更新プログラムの5087539のファイル情報をダウンロードします。
サービス スタック更新プログラムで提供されるファイルの一覧については、 SSU (KB5089717) バージョン 26100.32837 のファイル情報をダウンロードします。