WSUSの現状と廃止の背景
Windows Server Update Services(WSUS)は、2005年のリリース以来、企業のWindowsパッチ管理における標準ツールとして広く利用されてきました。オンプレミスのWSUSサーバーを介してWindows Updateを集中管理し、承認したパッチのみをクライアントPCに配布する仕組みは、多くのIT管理者にとって馴染みの深いものです。
しかし、Microsoftは2024年9月にWSUSの非推奨(deprecated)を正式に発表しました。これは、WSUSに対する新機能の追加が停止されることを意味します。セキュリティ更新プログラムの配信自体は当面継続されますが、Microsoftはクラウドベースの更新管理ソリューションへの移行を強く推奨しています。
WSUSが非推奨となった背景には、以下の要因があります。
- クラウドシフトの加速:リモートワークの普及により、社内ネットワーク経由でしかパッチを受け取れないWSUSの仕組みが限界を迎えている
- 運用負荷の高さ:WSUSサーバーのメンテナンス(データベースの肥大化、同期エラーの対応、ディスク容量の管理)に多大な工数がかかる
- レポーティングの貧弱さ:WSUSのコンプライアンスレポートは機能が限られており、経営層への報告に適さない
- ハードウェア更改のタイミング:多くの中小企業でWSUSサーバーのハードウェアやWindows Serverライセンスの更改時期を迎えている
このタイミングでWSUSサーバーを更改するのではなく、クラウドベースの更新管理に移行することが、コスト削減と運用効率化の両面で最善の選択肢です。
移行先の選択肢
WSUSからの移行先は、企業の規模やライセンス状況に応じて複数の選択肢があります。
| 移行先 | 概要 | 対象企業 | ライセンス |
|---|---|---|---|
| Windows Update for Business(WUfB) | クラウドベースのWindows Update管理。GPOまたはIntuneで更新ポリシーを制御 | 全Windows 10/11ユーザー | 追加ライセンス不要 |
| Microsoft Intune 更新リング | Intuneのコンプライアンスポリシーで更新を段階配布。デバイスの準拠状況を可視化 | Intune利用企業 | Business Premium / E3以上 |
| Windows Autopatch | Microsoftが更新を自動管理するマネージドサービス。IT管理者の介入を最小化 | 管理負荷を最小化したい企業 | E3以上 |
| サードパーティ(SCCM / Patch My PC等) | 高度なカスタマイズが必要な大規模環境向け。サードパーティアプリのパッチも統合管理 | 500台以上の大規模環境 | 製品ごとに異なる |
中小企業(300名以下)であれば、WUfB + Intuneの組み合わせが最もバランスの良い選択肢です。追加コストを最小限に抑えつつ、クラウドベースの柔軟な更新管理を実現できます。
WUfB + Intuneの構成例
WUfBとIntuneを組み合わせた更新管理の構成例を紹介します。ポイントは更新リング(Update Ring)を複数定義し、段階的にパッチを展開することです。
更新リングの設計
更新リングは、パッチの展開を段階的に行うためのグループ分けです。問題が発生した場合に影響範囲を最小限に抑えるため、以下の3リング構成を推奨します。
| リング | 対象 | 割合 | 品質更新の猶予期間 | 機能更新の猶予期間 |
|---|---|---|---|---|
| Pilot | IT部門・検証用PC | 5% | 0日 | 0日 |
| Early | ITリテラシーの高い部門 | 10% | 3日 | 30日 |
| Broad | 全社(残りの端末) | 85% | 7日 | 60日 |
品質更新(月例パッチ)はセキュリティ修正が中心のため、猶予期間を短めに設定します。Pilotリングで問題がなければ、3日後にEarlyリング、7日後にBroadリングへ展開されます。
機能更新(年次アップグレード)はOSの大型アップデートであり、アプリケーションの互換性に影響する可能性があるため、猶予期間を長めに設定します。Pilotリングで十分な検証を行った上で、段階的に展開します。
ドライバー更新の管理
WSUSでドライバーを配布していた環境では、Intune経由でのドライバー管理への移行も検討が必要です。Windows Update for Business deployment serviceのドライバー管理機能を活用すれば、Intuneの管理コンソールからドライバーの承認・配布を行えます。特にDell、HP、Lenovoなどの主要メーカーのドライバーはWindows Updateカタログに登録されており、WUfB経由での配布が可能です。
移行手順(ステップバイステップ)
WSUSからWUfB + Intuneへの移行は、以下の7ステップで進めます。
ステップ1:現環境の棚卸し
移行の第一歩は、現在のWSUS環境の正確な把握です。以下の情報を整理しましょう。
- WSUSの承認済みパッチ一覧:どの製品・分類のパッチを承認しているか
- クライアント接続台数:WSUSに接続しているPC・サーバーの台数と内訳
- カスタム承認ルール:自動承認規則やターゲットグループの構成
- ドライバー配布の有無:WSUSでドライバーを配布しているかどうか
- サードパーティアプリのパッチ:WSUS経由でMicrosoft以外のアプリを更新しているか
ステップ2:WUfBポリシーの設計
棚卸しの結果をもとに、WUfBの更新ポリシーを設計します。前述の3リング構成を基本とし、品質更新・機能更新それぞれの猶予期間、アンインストール可能期間、再起動の猶予時間を定義します。
ステップ3:パイロットグループの設定
IT部門のPCをパイロットグループとして、WSUSからWUfBに切り替えます。Intuneの更新リングポリシーを作成し、Pilotグループに割り当てます。この段階では、WSUSとWUfBが社内で共存する状態になります。
ステップ4:GPO変更
パイロットグループのPCに対して、以下のGPO変更を行います。
- WSUSサーバーのURLを削除:「イントラネットのMicrosoft更新サービスの場所を指定する」ポリシーを「未構成」に変更
- WUfBの設定を適用:GPOまたはIntuneで品質更新・機能更新の猶予期間を設定
- デュアルスキャンの回避:WSUSとWUfBの設定が競合しないよう、WSUSのGPO設定を確実に削除
特に注意すべきはGPOの競合です。WSUSのGPO設定が残ったままWUfBを有効にすると、クライアントがWSUSサーバーを参照し続け、WUfBが正常に動作しません。
ステップ5:段階展開
パイロットグループでの検証が完了したら、EarlyリングからBroadリングへと段階的に展開します。部門ごとにWSUSからWUfBへの切り替えを進め、各段階で以下を確認します。
- Windows Updateが正常にダウンロード・インストールされているか
- 更新後の再起動がポリシー通りに制御されているか
- Intuneのコンプライアンスレポートに端末が正しく表示されているか
ステップ6:WSUSサーバーの廃止
全クライアントのWUfBへの移行が完了したら、WSUSサーバーを廃止します。すぐに削除するのではなく、1-2か月の並行運用期間を設けることを推奨します。万が一の問題発生時にWSUSに戻せるよう、猶予期間を確保しましょう。
ステップ7:監視
移行完了後は、IntuneのWindows Update準拠レポートで更新状況を継続的に監視します。更新が適用されていない端末や、エラーが発生している端末を早期に検出し、対処します。
移行時の注意点
WSUSからWUfBへの移行を成功させるために、以下の注意点を押さえておきましょう。
WSUSとWUfBの共存期間
移行期間中はWSUSとWUfBが社内で共存します。この期間に最も注意すべきはGPOの競合です。Active Directoryのグループポリシーで「イントラネットのMicrosoft更新サービスの場所を指定する」が有効になっている端末では、WUfBが正常に動作しません。移行対象の端末からWSUS関連のGPO設定を確実に外してください。
ドライバー管理の代替手段
WSUSでドライバーを配布していた環境では、移行後のドライバー管理を事前に検討する必要があります。Windows Update for Business deployment serviceのドライバー管理機能、またはIntuneのWin32アプリ配布を利用してドライバーを展開する方法が一般的です。
レポーティングの移行
WSUSのコンプライアンスレポートを利用していた場合、移行後はIntuneの更新準拠レポートまたはWindows Update for Businessレポート(Azure Log Analytics連携)に切り替えます。レポートの内容・形式が変わるため、経営層やセキュリティ監査向けのレポートテンプレートを事前に準備しましょう。
オフライン環境への対応
インターネット接続が限定的な環境(工場、医療機関、セキュリティエリア等)では、WUfBは利用できません。これらの環境では引き続きWSUSまたはSCCM(Microsoft Endpoint Configuration Manager)での管理が必要です。ハイブリッド構成を検討しましょう。
コスト比較
WSUSとクラウドベースの更新管理のコストを比較します。50台規模の中小企業を想定した試算です。
| 項目 | WSUS(オンプレミス) | WUfB(GPO制御) | Intune更新リング |
|---|---|---|---|
| インフラ費用 | サーバーHW/VM費用 年30〜50万円 | 0円 | 0円 |
| ライセンス | Windows Server CAL | 追加ライセンス不要 | Business Premium 月額2,750円/人に含む |
| 運用工数 | 月8〜16時間 | 月2〜4時間 | 月2〜4時間 |
| 5年間TCO | 400〜600万円 | 0円(追加コストなし) | 既存ライセンスに含む |
WSUSの5年間TCO(Total Cost of Ownership)には、サーバーハードウェアの購入・更改費用、Windows Serverライセンス、電力・冷却コスト、IT管理者の運用工数が含まれます。一方、WUfBは追加コストゼロで利用でき、Intuneの更新リングもBusiness PremiumやE3ライセンスに含まれているため、実質的な追加費用は発生しません。
特にWSUSサーバーのハードウェア更改を控えている企業にとっては、この機会にクラウドベースの更新管理に移行することで、数百万円規模のコスト削減が可能です。
まとめ
WSUSの非推奨化は、パッチ管理をクラウドベースに移行する絶好のタイミングです。Windows Update for Business(WUfB)とIntuneの組み合わせにより、WSUSサーバーの運用負荷から解放され、リモートワーク環境でも確実なパッチ適用が実現できます。
移行のポイントは、段階的な展開とGPO競合の回避です。パイロットグループから始めて全社へ展開する3リング構成を採用し、WSUSのGPO設定を確実に削除することで、スムーズな移行が可能です。中小企業であれば、2〜3か月の移行期間で完了できるケースがほとんどです。
BTNコンサルティングでは、WSUSからIntune・WUfBへの移行を数多く支援してきた実績があります。現環境の棚卸しから移行計画の策定、パイロット展開、全社展開まで、ワンストップでサポートいたします。パッチ管理の見直しをお考えの方は、ぜひお気軽にご相談ください。