Windows 7 ESU を Configuration Manager を使って管理する

皆さん、こんにちは。

今回は、以前にも少し取り上げた Windows 7 の Extended Security Updates (ESU, 拡張セキュリティ更新プログラム) について取り上げたいと思います。

既にご存じの方も多いかと思いますが、Windows 7 のサポートは 2020 年 1 月 14 日で終了しました。しかし、組織の中ではまだ Windows 10 に移行できず、Windows 7 を利用し続ける必要があるところもあると思います。その場合、追加コストを支払い、ESU を適用することで引き続きソフトウェア更新プログラム (セキュリティ パッチ) を受け取ることができます。

ESU を適用するには、対象環境に MAK (Multiple Activation Key) キーを適用してアクティベーションする必要があります。サポート終了後に提供されるソフトウェア更新プログラムは、Microsoft Update Catalog サイトから誰でもダウンロードできますが、ESU の MAK キーを適用していないとソフトウェア更新プログラムの適用に失敗します。下記に実際に検証してみた結果を記載します。

<ESU MAK キー未適用環境へ 2020 年 9 月のセキュリティ マンスリー品質ロールアップ (KB4577051) を適用してみる>

1. Microsoft Update Catalog サイトから KB4577051 をダウンロードして、実行する。
   ※ サービス スタックが最新バージョンである必要あり。(KB4570673)
   
2. msu ファイルを実行後、下記画面にて [はい] を選択
   
3. インストールが始まります。
   
4. インストールが完了したように感じますが、[今すぐ再起動] を選択します。
5. 再起動のフェーズで更新プログラムの構成中画面が表示されます。
   
6. しかし、次の画面では、[Windows 更新プログラムの構成に失敗しました 変更を元に戻しています] 画面が表示されます。
7. その後、コントロール パネルの [コントロール パネル] > [システムとセキュリティ] > [Windows Update] > [更新履歴の表示] にて確認すると [失敗] になっています。
   また、エラー コード 80070661 (このインストール パッケージはこの種類のプロセッサでサポートされていません。製品の製造元に問い合わせてください。) が記録されています。
   結果的に、ESU の MAK キーを適用できていないとソフトウェア更新プログラムの適用に失敗することが分かりました。
   

<ESU MAK キーの入手経路について>

ESU の MAK キーは通常の Windows 7 のライセンスとは別に費用を払う必要があります。

また、購入先も限られます。

私は、知人経由で購入経路がありましたので、Windows 7 ESU MAK キーの購入ができました。今回は、購入した Windows 7 ESU MAK キーを実際に適用して活用する方法を紹介します。

<ESU MAK キーをクライアントに適用する>

まず、ESU の MAK キーを対象の Windows 7 環境に適用する必要があります。

ESU MAK キーの適用方法は、下記のサイトでも紹介されています。

拡張セキュリティ更新プログラム (ESU) をインストールするためのライセンス認証の手順について [TechNet フォーラム]

適用方法は下記があります。

1. 対象クライアント上でコマンド (slmgr) を実行して、インターネット認証 (Microsoft Endpoint Configuration Manager (MECM, SCCM, Configuration Manager) などからコマンドをリモート実行することも可能)
2. 対象クライアント上でコマンド (slmgr) を実行して、電話認証
3. Volume Activation Management Tool (VAMT) を使った認証

このブログでは、1 番の方法を紹介します。

対象クライアントで下記のコマンドを実行する必要があります。

cscript %WinDir%\system32\slmgr.vbs /ipk <ESU MAK キーのプロダクト キー (XXXXX-XXXXX-XXXXX-XXXXX-XXXXX)>
cscript %WinDir%\system32\slmgr.vbs /ato <ライセンス認証 ID (例 : 77db037b-95c3-48d7-a3ab-a9c6d41093e0)>

※ 今年の間であれば、Windows 7 1 年目のため、[77db037b-95c3-48d7-a3ab-a9c6d41093e0] を選択します。

ライセンス認証 ID については、下記を参照ください。

上記のコマンドを少し編集して、下記のようにもできます。(下記の文字列をメモ帳にコピーして、.bat 化します)

@echo off
cscript //Nologo %windir%\system32\slmgr.vbs /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
cscript //Nologo %windir%\system32\slmgr.vbs /ato 77db037b-95c3-48d7-a3ab-a9c6d41093e0

※ XXXXX-XXXXX-XXXXX-XXXXX-XXXXX の箇所は購入した ESU MAK キーへ変更

※ //Nologo を設定していますが、バッチ実行画面が表示されて、メッセージが表示されます。そのため、SCCM でこのバッチを配信する際は、[非表示] にすることをお勧めします。また、アプリケーションではなく、パッケージを用いた方が良いと思います。

<Configuration Manager コンソールにて対象クライアントの ESU 適用状況を確認する>

上記の方法にて、クライアントに Windows 7 ESU を適用した後は Configuration Manager コンソールにて、ESU MAK キーが適用されているか確認します。

1. Configuration Manager コンソールを開き、[資産とコンプライアンス] > [概要] > [デバイス] を開きます。
2. 対象のクライアントを選択し、右クリックにて、[プロパティ] を選択します。
3. 下記のように、探索データ (DDR) の項目に [ESUValue] という項目に値が入っていることを確認します。この [値] は、上記で説明した ESU ライセンス認証 ID です。
   

   ESU プログラム	ESU SKU (ライセンス認証) ID
   Windows 7 SP1 (クライアント)
   1 年目	77db037b-95c3-48d7-a3ab-a9c6d41093e0
   2 年目	0e00c25d-8795-4fb7-9572-3803d91b6880
   3 年目	4220f546-f522-46df-8202-4d07afd26454
   Windows Server 2008/R2 (サーバー)
   1 年目	553673ed-6ddf-419c-a153-b760283472fd
   2 年目	04fa0286-fa74-401e-bbe9-fbfbb158010d
   3 年目	16c08c85-0c8b-4009-9b2b-f1f7319e45f9

   

4. もし、ESU MAK キーを適用していないマシンの場合は、下記のように表示されます。
   (下記は、Windows 7 マシンですが、Windows 10 マシンの場合も 0 が表示されます)
   

リソース エクスプローラーでも確認できます。

1. Configuration Manager コンソールを開き、[資産とコンプライアンス] > [概要] > [デバイス] を開きます。
2. 対象デバイスを選択し、右クリックで [開始] > [リソース エクスプローラー] を選択します。
3. [ハードウェア] の中から [ソフトウェア ライセンス製品] を選択します。
   
4. その中から ID が 77db037b-95c3-48d7-a3ab-a9c6d41093e0 のものを選択します。
   [ライセンスのステータス] が [1] になっている場合、ESU MAK キーの適用済みです。
   
5. ESU MAK キーの適用がされていないマシンは以下のようになります。
   [ライセンスのステータス] が [0] になります。
   

<まとめ>

Windows 7 ESU MAK キーの入手はもう少し早くできていたので、今回の内容は早めに公開できれば良かったのですが、9 月終わりになってしまいました。もう既に、ESU の適用をしている組織が多いと思いますが、少しでも参考になれば幸いです。

今回は、Microsoft Endpoint Configuration Manager (MECM, SCCM, Configuration Manager) を用いた ESU MAK キー適用のフェーズ (パッケージを用いた ESU MAK キーの配布) を詳しく取り上げられなかったので、時間があれば取り上げたいと思います。