2025年7月のセキュリティ更新プログラム（2025-07 B）は、Windows Server 2025またはWindows 11バージョン24H2を実行する一部のAzure VMを起動不能にするという問題がありました。Microsoftは2025年7月13日（米国時間）、この問題を解消する定例外（Out-Of-Band）の更新プログラム（2025-07 OOB）をリリースしましたが、その適用方法は簡単ではありません。

2025-07 OOBパッチが解消する問題とは

　2025年7月8日（米国時間）にリリースされた以下のセキュリティ更新プログラム（2025-07 B）の適用後、Windows Server 2025またはWindows 11バージョン24H2を実行する一部のAzure VMが起動できなくなるという問題がありました。この問題は、Azure VMのセキュリティオプション「トラステッド起動（Trusted Launch）」が無効になっており、「仮想化ベースのセキュリティ（Virtualization-Based Security、VBS）」がレジストリキーを介して強制されている場合に、起動に失敗するというものです。トラステッド起動が提供するセキュアブートやTPMはWindows 11の必須要件であるため、発生条件に当てはまり、影響を受けたのはWindows Server 2025のAzure VMのごく一部と思われます。

Windows Server 2025:　
July 8, 2025—KB5062553 (OS Build 26100.4652)｜サポート（Microsoft）
Windows 11バージョン24H2:　
July 8, 2025—KB5062553 (OS Build 26100.4652)｜サポート（Microsoft）

　この問題の発生条件を満たすと思われる環境を、Azure Marketplaceで利用可能な2025年6月のWindows Server 2025 Datacenter G2イメージ（イメージ2025-datacenter-g2、バージョン26100.4349.250607）をデプロイしてVBSをレジストリで有効化し再現してみました（画面1）。しかしながら、デプロイ後に2025-07 Bを適用しても、問題なくインストールが完了し、正常に稼働を続けました。

画面1　Azure VMをデプロイしてVBSを強制し、問題を再現させようとしたが、2025-07Bを適用しても起動不能にはならなかった

　とはいえ、一部の利用者は、実際にAzure VMが起動不能になるという、Azure VMの作り直し以外に解決不能と思える状況に陥ったと思われます。この問題を解決する2025-07 OOBが提供されるまでは、トラステッド起動を有効にすることが回避策として示されていました。しかし、Azure VMのセキュリティオプションで「Standard」から「トラステッド起動」に変更することはできますが、再び「Standard」に戻すことができません。第2世代VMではトラステッド起動は既定で有効であり、推奨される設定ですが、回避策を講じるということは、現在のAzure VMの設定変更するということになります。

　そこで、この再現用に作成したAzure VMが起動不能になったと仮定して、Azure VMのセキュリティオプションの変更という回避策をせずに、2025-07 OOBを適用する方法を説明します。というのも、単純にMSUファイルをダブルクリックしてインストールするわけにはいかないからです。

Windows Server 2025:　
July 13, 2025— KB5064489 (OS Build 26100.4656) Out-of-band｜サポート（Microsoft）

Windows 11バージョン24H2:　
July 13, 2025—KB5064489 (OS Build 26100.4656) Out-of-band｜サポート（Microsoft）

　2025-07 OOBは、Windows UpdateやWindows Server Update Services（WSUS）では提供されず、Microsoft Updateカタログからダウンロードして適用する必要があります。しかし、問題のAzure VMは起動に失敗するため、通常の方法で適用することができません。

　起動しなくなったOSに更新プログラムをインストールする方法としては、DISMコマンドを使用したオフラインのOSに対する更新プログラムのインストール（オフラインパッチ）方法があります。物理マシンであれば、WindowsインストールメディアやWindows回復環境（WinRE）のコマンドプロンプト（WinPE）からオフラインパッチを実行できます。Hyper-V VMであれば、ホストにVMのVHD（VHDX）をローカルマウントしてオフラインパッチを実行できます。その方法は、このブログの以下の記事で説明しました。

vol.29　Windowsのオフラインパッチ｜続・ラボ環境 on Azure（1）
vol.30　VHD（x）に対するオフラインパッチ｜続・ラボ環境 on Azure（2）

　では、Azure VMの場合はどうすればよいのでしょうか？その方法とは、問題のAzure VMのOSディスクを、別のAzure VMにアタッチして、オフラインパッチするのです。ちょうど一年前にその方法を紹介しました。

ITニュース.　CrowdStrike障害に学ぶ、起動できないAzure VMの復旧法（2024年07月24日配信）

　このブログの読者で今回の問題の影響を受けた人はいないと思いますが、今後、同じように更新プログラムの適用が原因でAzure VMが起動不能になることに備えて、オフラインパッチ（インストールまたは削除）の手順を確認しておくことをお勧めします。

Azure VMのVHDに対する別のAzure VMからのオフラインパッチ

　1年前の上記の記事では、（CrowdStrikeの影響を受けたわけではないため）更新プログラムをインストールする代わりに、テキストファイルを書き込むデモを行いました。今回は、更新プログラムのオフラインパッチを実際に行ってみます。復旧作業用のAzure VMは別に用意し、そのAzure VMで2025-07 OOBのMSUファイルをダウンロードしておきます。なお、Microsoft Updateカタログの2025-07 OOB（KB5064489）のダウンロードページには、「Windows11.0-kb5064489～.msu」と「Windows11.0-kb5043080～.msu」の2つのMSUファイルのリンクがありますが、必要なのは「Windows11.0-kb5064489～.msu」のほうだけです。

1.  問題のAzure VMを停止（割り当て解除済み）状態にし、Azure VMの「設定｜ディスク」ページを開いて、OSディスクを選択し、「＋スナップショットの作成」を実行して、OSディスクのスナップショットを作成する。
   
   
2.  作成されたスナップショットのリソースに移動し、「＋ディスクの作成」を実行して、スナップショットからマネージドディスクを作成する（VM名VHDCOPYなど分かりやすい名前で）。
   
   
3.  作成したマネージドディスクを、復旧作業用のAzure VM（実行中でも可）のデータディスクとしてアタッチする（画面2）。
   
   
   画面2　スナップショットから作成したOSディスク（マネージドディスク）をデータディスクとして復旧作業用のAzure VMにアタッチする
   
   
4.  復旧作業用のAzure VMで問題のディスクのマウント先ドライブを確認し、あらかじめダウンロードしておいた2025-07 OOBのMSUファイルを、コマンドプロンプトで以下のコマンドラインを実行して適用する（画面3）。
   
   

   DISM /Image:<ドライブ文字>:¥ /Add-Package /PackagePath:<MSUファイルのパス>または<1つ以上のMSUファイルを格納したフォルダーのパス>

   
   
   画面3　DISMコマンドを使用して、オフラインのOSイメージ（この例ではE:にマウント）に対してMSUファイルを適用する
   
   
5.  復旧作業用のAzure VMを停止し、データディスクを切断する。または、復旧作業用のAzure VMを実行中のまま、「ディスクの管理」スナップインでオフラインパッチしたディスクをオフラインにし、復旧作業用のAzure VMからディスクを切断する。
   
   
6.  問題のAzure VMの「ディスク」ページを開き、「OSディスクのスワップ」を選択して、OSディスクを問題を取り除いたマネージドディスクと入れ替える（画面4）。
   
   
   画面4　OSディスクのスワップを実行し、現在のOSディスクをパッチ済みOSディスクと入れ替える
   
   
7.  問題のAzure VMを起動し、起動できること、OSビルドが2025-07 OOBのビルドに更新されていることを確認する（画面5）。不要になった以前のOSディスクやスナップショットは、適宜削除してください。
   
   
   画面5　OSディスクをパッチ済みディスクに入れ替えたAzure VMを起動し、OSビルドが2027-05 OOBのOSビルド（26100.4656）になったことを確認する
   
   

更新プログラムのアンインストール以外の回避策がない場合は？

　今回の問題は、トラステッド起動の有効化という回避策や、問題を解決する定例外の更新プログラムがすぐに提供されましたが、更新プログラムをアンインストールする以外に回避策がしばらく存在しないという状況が今後あるかもしれません。Azure VMが起動しなくなってしまった場合、その原因となった更新プログラムをアンインストールするには、上記のオフラインパッチと同様の方法で行えます。

　復旧作業用のAzure VMに問題のAzure VMにOSディスクをアタッチし、DISMコマンドを使用して問題の更新プログラムをアンインストールすればよいのです。復旧作業用のAzure VMでは、コマンドプロンプトで以下のコマンドを実行します。以下の最初のコマンドラインを実行すると、インストール済みの更新プログラムやドライバーの一覧が表示されるので、「状態（インストール済み）」や「インストール時刻」、「リリースの種類（Security Updateなど）」を頼りに問題の更新プログラムの「パッケージID」を特定し、次のコマンドラインでそのパッケージを削除します。例えば、Windows Server 2025およびWindows 11 バージョン24H2の2025-07 Bに対応するパッケージIDは、 「Package_for_RollupFix~31bf3856ad364e35~amd64~~26100.4652.1.20」です。