次の方法で共有

クラウドおよび仮想マシンWindows 10アクセスしているクライアントに対して拡張セキュリティ Updates (ESU) を有効にする

重要

ユーザー向けの情報を探している場合、 個人またはWindows 10 Homeのお客様の場合、Windows 10の拡張セキュリティ Updatesの詳細については、次のリソースを参照してください。

Windows 10拡張セキュリティ Updates (ESU) プログラムを使用すると、組織は有料サブスクリプション サービスに登録されている PC の重要で重要なセキュリティ更新プログラムを受け取ることができます。 ESU は、2025 年 10 月 14 日のサポート終了日を過ぎて、Windows 10 デバイスの使用を拡張します。 この記事では、商用環境で ESU キーを有効にする方法について説明します。

前提条件

ESU for Windows 10を有効にするには、次の前提条件を満たす必要があります。

デバイス要件:

  • Windows 10、バージョン 22H2 とKB5066791、またはそれ以降の更新プログラムがインストールされている
  • Windows 10 KB5072653用の拡張セキュリティ Updates (ESU) ライセンス準備パッケージは、KB5066791にインストールする必要があります
  • デバイスの管理特権

Windows 10長期サービス リリース (LTSB/LTSC) には独自のライフサイクルがあり、Windows 10 ESU プログラムではカバーされません。 詳細については、「 Microsoft ライフサイクル」を参照してください。

Windows 10 デバイスがクラウド PC にアクセスするために必要Windows 365エンドポイント:

  • https://dls.microsoft.com
  • https://login.windows.net

クラウドと仮想化のシナリオに関する考慮事項

一部のクラウドおよび仮想化シナリオでは、ESU を有効にするための特定の考慮事項があります。 場合によっては、ESU が既に有効になっている場合もあれば、追加の手順を実行する必要がある場合もあります。 次の一覧は、これらのシナリオをまとめたものです。

  • 拡張セキュリティ Updates (ESU) は、次の Microsoft がホストまたはAzure統合された環境で、Windows 10仮想マシンに追加料金なしで利用できます。 次の環境では、追加の構成やキーは必要ありません。

  • Azureで実行されるその他の仮想化プラットフォーム (Azure VMware Solutionの Nutanix、Citrix、Omnissa Horizon など) では、手動の ESU キーのアクティブ化が必要になる場合があります

    5x5 キーを取得するには、Microsoft アカウント チームに問い合わせてください。 アクティブ化は、ボリューム ライセンス認証管理ツールまたはスクリプトで管理できます。

非永続 VDI を構成する

非永続 VDI 構成Windows 10 ESU を構成する場合は、次の手順に従ってください。それ以外の場合は、Windows 10 ESU キーでアクティブ化を使用します。

  1. バージョン 22H2 Windows 10インストールします。

  2. インストールを使用して、Windows 10 ESU キーをインストールしてアクティブ化し、ESU キーの手順をアクティブ化します。

  3. 最新の更新プログラムをインストールして再起動します。

  4. 次のコマンドを使用して、Windows 10 ESU プロダクト キーを削除します。ここで、<Activation ID>は表のアクティブ化 ID です。

    ESU プログラム アクティブ化 ID
    Win10 ESU Year1 f520e45e-7413-4a34-a497-d2765967d094
    Win10 ESU Year2 1043add5-23b1-4afb-9a0f-64343c8f3f8d
    Win10 ESU Year3 83d49986-add3-41d7-ba33-87c7bfb5c0fb 
    cscript.exe %windir%\system32\slmgr.vbs /upk <Activation ID>

  5. sysprep を実行して、重複する VDI イメージを準備します。

  6. ゴールデン イメージを作成します。

同じ手順に従って、新しい更新プログラムがリリースされたときに VDI デバイスでの展開に使用されるゴールデン イメージを更新します。

Windows 365にアクセスするローカル デバイス用の拡張セキュリティ更新プログラム

エンタープライズ クラウド PC と Windows 365 Frontline Cloud PC Windows 365専用モードでアクセスするWindows 10デバイスは、ユーザーにアクティブなWindows 365 Enterprise ライセンスが割り当てられているか、Windows 365が ESU オファーの期間中に自動的に ESU に付与されます。次の条件が満たされている場合は、専用モードでプロビジョニングされた Frontline Cloud PC。

  • ローカル Windows 10 デバイスは、Microsoft Entra参加済みであるか、ハイブリッドに参加Microsoft Entra。
    • 登録または参加オンプレミスの Active Directory Microsoft Entraデバイスは、Windows 365を使用した商用 ESU アクセスの対象になりません。 Windows Autopatch 登録は必須ではありません。
    • organizationによって管理されておらず、登録Microsoft Entraのみである個人または BYOD デバイスは、この権利の対象になりません。 これらのデバイスは、 コンシューマー ESU プログラムを使用して登録する必要があります。 対象ユーザーは、最大 10 台のデバイスをアクティブ化できます。
  • ユーザーは、そのデバイスで ESU 更新プログラムの資格を維持するために、少なくとも 22 日に 1 回、Windows 365クラウド PC に使用するのと同じMicrosoft Entra ID アカウントを使用して、物理Windows 10 デバイスにサインインする必要があります。
  • IT 管理者は、Microsoft Intuneまたは別の MDM プロバイダーを使用して、EnableESUSubscriptionCheck フラグを有効にするカスタム ポリシーをデプロイする必要があります。 このポリシーは、デバイスが Windows 10 ESU サブスクリプション プログラムに登録されているかどうかを確認するのに役立ちます。

Intuneを使用して EnableESUSubscriptionCheck フラグを構成するには

MDM プロバイダーを使用せずにこの設定を構成する場合は、便宜上スクリプトの が提供されます。

  1. Microsoft Intune管理センターにサインインします。
  2. [デバイス>管理デバイス>構成] に移動します。
  3. [ 作成] 、[ 新しいポリシー] の順に選択します。
  4. ポリシー プロファイルの次のプロパティを選択します。
    1. プラットフォーム: Windows 10以降
    2. プロファイルの種類: カスタム、またはカスタム > テンプレート
  5. [作成] を選択します。
  6. [ 基本] で、次のプロパティを指定し、完了したら [次へ ] を選択します。
    1. 名前: EnableESUSubscriptionCheck
    2. 説明: ESU サブスクリプション チェックWindows 10有効にする
  7. [ 構成設定] で、[ 追加 ] を選択して、次のプロパティを含む新しい OMA-URI 設定を追加し、完了したら [次へ ] を選択します。
    1. 名前: EnableESUSubscriptionCheck
    2. 説明: ESU サブスクリプション チェックWindows 10有効にする
    3. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Licensing/EnableESUSubscriptionCheck
    4. データ型: 整数型
    5. : 1 (値 0 を指定すると、チェックが無効になります)。
  8. [ 割り当て] で、ポリシーを割り当てるグループを選択し、[ 次へ] を選択します。
  9. [適用規則] で [次へ] を選択します。
  10. [ 確認と作成] で、設定を確認します。
  11. [ 作成] を 選択して、ポリシーの作成を完了します。

ESU ライセンスは、Windows 365 サブスクリプションに自動的にバックフィルされ、Microsoft 365 管理センターに表示されます。

Windows 365 ユーザーとデバイスの ESU 登録を確認する

Windows 365 Enterprise

Windows 365 Enterprise ユーザーの ESU 登録を確認するには:

  1. Microsoft 365 管理センターにサインイン します。
  2. [ 課金>ライセンス] を選択します
  3. Windows 365 Enterprise サブスクリプションを選択します。
  4. 確認するユーザーを選択し、[ アプリ & サービスの管理] を選択します。
  5. ポップアップで、ユーザーに対して ESU Commercial Windows 10が表示され、有効になっていることを確認します。

Windows 365フロントライン (専用)

Windows 365 Frontline ユーザーの ESU 登録を確認するには:

  1. Microsoft 365 管理センターから、課金>製品>Windows 365フロントラインに移動します。

  2. Microsoft Intune管理センターから、[デバイス>Windows 365>すべてのクラウド PC] に移動します。 フロントラインの種類 = Dedicated でクラウド PC をフィルター処理します。

デバイスでの ESU 登録の確認

デバイスが ESU プログラムに登録されていることを確認するには、Windows 365 クラウド PCに接続するWindows 10物理エンドポイントで次のレジストリ エントリをチェックします。

  • キー: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  • 名前: EnableESUSubscriptionCheck
  • : REG_DWORD
  • : 1

ESU の適格性と更新の準備状況を確認する

デバイスが登録を完了し、ESU 更新プログラムを受け取る資格があることを確認するには、Windows 365 クラウド PCに接続するWindows 10物理エンドポイントで次の情報をチェックします。

  • レジストリ エントリ:

    • キー: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
    • 名前: Win10CommercialW365ESUEligible
    • : REG_DWORD
    • : 1

  • [イベント ビューアー>Applications and Services Logs>Microsoft>Windows>ClipESU,チェック for Event ID 113. このイベントは、Windows 365 ESU ライセンスが正常にインストールされたことを示します。

    このイベント ログは、Windows 365ユーザーとデバイスの ESU ソリューションに固有です。 ESU MAK 5x5 プロダクト キー ESU ソリューション用ではありません。

スクリプトの例

次のスクリプトは、PowerShell を使用してWindows 10 デバイスでEnableESUSubscriptionCheck フラグを有効または無効にする方法の例です。

PowerShell を使用して ESUSubscriptionCheck を有効にする

次の PowerShell スクリプトの例では、Windows 10 デバイスで EnableESUSubscriptionCheck フラグを有効にします。

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 1

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

PowerShell を使用して ESUSubscriptionCheck を無効にする

次の PowerShell スクリプトの例では、Windows 10 デバイスでEnableESUSubscriptionCheck フラグを無効にします。

<#
.SYNOPSIS
  Ensures the ESU registry key exists and sets EnableESUSubscriptionCheck (DWORD).

.DESCRIPTION
  - Checks for HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU
  - Creates the key if missing
  - Creates/updates DWORD value "EnableESUSubscriptionCheck" to $DesiredValue
  - Requires elevation (Administrator)

.NOTES
  Run in an elevated PowerShell session.
#>

# ---- Configuration ----
$RegPath      = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\ESU'
$ValueName    = 'EnableESUSubscriptionCheck'
$DesiredValue = 0

try {
    # Ensure the key exists
    if (-not (Test-Path -Path $RegPath)) {
        Write-Verbose "Registry path not found. Creating: $RegPath" -Verbose
        New-Item -Path $RegPath -Force | Out-Null
    }

    # Create or update the DWORD value
    $existing = Get-ItemProperty -Path $RegPath -Name $ValueName -ErrorAction SilentlyContinue

    if ($null -eq $existing) {
        # Value does not exist, create it
        New-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue -PropertyType DWord -Force | Out-Null
        Write-Output "Created '$ValueName' (DWORD) at '$RegPath' with value $DesiredValue."
    } else {
        # Value exists, ensure it matches desired value
        if ([int]$existing.$ValueName -ne [int]$DesiredValue) {
            Set-ItemProperty -Path $RegPath -Name $ValueName -Value $DesiredValue
            Write-Output "Updated '$ValueName' (DWORD) at '$RegPath' to value $DesiredValue."
        } else {
            Write-Output "'$ValueName' (DWORD) at '$RegPath' already set to $DesiredValue. No changes made."
        }
    }

    # Return 0 (success) exit code
    exit 0
}
catch {
    Write-Error "Failed to set registry value. $($_.Exception.Message)"
    exit 2
}

関連するコンテンツ

  • Last updated on