【後編】WSUS廃止の衝撃!Windows更新管理の基礎から最新まで総まとめ
この記事の内容
- Windows更新管理に使えるMicrosoftの各ソリューション(Windows Update・Windows Update for Business・WSUS・Configuration Manager・Windows Autopatch・Azure Update Manager)を比較解説します
- WSUSが非推奨となった今、代替となりうる選択肢とその特徴を整理します
- 各ソリューションの対象OS・コスト・インターネット接続要件・管理機能を比較します
- WSUSから乗り換える際の現実的な課題と、Microsoftのクラウド管理推進の意図を考察します
- PowerShellやAnsibleを活用したサードパーティ的なアプローチも紹介します
組織でのWindows更新管理が必要な理由
前編では、Windowsの更新管理における基本的な仕組みを解説しました。基本を押さえると「生のWindows Updateでも戦えるかも」と感じる方もいるかもしれません。しかし組織の環境では、きちんとコントロールして更新プログラムを適用したいというニーズが必ずあります。
ここでは、Microsoftが提供するWindows更新管理のソリューションを1つずつ見ていきましょう。なお、これら以外にもサードパーティのソリューションが存在しますので、選択肢はさらに多岐にわたります。どれを使うか、何を優先するかを判断するのが管理者の腕の見せどころです。
1. Windows Update(生のWindows Update)
最もシンプルな構成です。インターネット上にあるWindows Updateのサーバーに、個別のWindowsクライアントまたはサーバーが直接接続し、スキャン・ダウンロード・インストール・コミットを行います。
適用中に問題が発生した場合のロールバックや、ダウンロードの整合性チェックなど、内部的には高度な仕組みが動いています。
特徴まとめ
| 項目 | 内容 |
|---|---|
| 対象 | クライアント・サーバー両対応 |
| 価格 | 無償(EOS後は有償のESUプログラムあり) |
| インターネット接続 | 必須 |
| 管理機能 | 個別端末での手動操作のみ(一括管理・レポート機能なし) |
| 配信最適化 | あり(自動) |
個人PCや少数台の端末向けの運用を想定した機能です。組織での一括管理には向きません。
2. Windows Update for Business
「Windows Update for Business」という名称の管理ツールがあるわけではありません。Windows自体に備わっている機能で、ビジネス用途向けの設定項目をIntuneやグループポリシーから制御できます。
最も活用される機能は「更新を何日遅らせるか」という遅延設定です。これを活用することで、デバイスを段階的に更新する「更新リング」を構成できます。例えば、先行グループには3日遅延、中間グループには10日遅延、残りのグループには30日遅延といった設定が可能です。
特徴まとめ
| 項目 | 内容 |
|---|---|
| 対象 | クライアントのみ(Windows 10/11 Pro以上) |
| 価格 | Windows Update for Business自体は無償。Intuneなど管理基盤のライセンスは別途必要 |
| インターネット接続 | 直接接続が基本(WSUSとの併用も可能) |
| 管理機能 | 一括設定・更新リング・レポートあり |
サーバーOSには対応していません。IntuneやActive Directoryと組み合わせた構成が一般的で、特にIntuneで管理しているクライアント環境の推奨構成の一つです。
3. WSUS(Windows Server Update Services)
WSUSはクライアント・サーバーの両方を管理できるオンプレミスの更新管理サービスです。組織内のWSUSサーバーにクライアント・サーバーが接続することで、インターネットに直接接続せずにWindows Updateを行える点が最大の特徴です。
多段構成(ダウンストリームサーバー)にも対応しており、複数拠点のネットワーク構成にも柔軟に対応できます。
特徴まとめ
| 項目 | 内容 |
|---|---|
| 対象 | クライアント・サーバー両対応 |
| 価格 | Windowsサーバーのライセンス内で無償 |
| インターネット接続 | 不要(WSUSサーバーがインターネットに接続すればよい) |
| 管理機能 | 承認管理・グループ設定・レポートあり |
しかし、WSUSは現在非推奨となっています。Microsoftはゼロトラストやクラウドからの管理を推進しており、オンプレミスネットワーク内で閉じた管理モデルは時代遅れとの立場を取っています。
4. Microsoft Endpoint Configuration Manager(ConfigMgr)
Configuration Managerはクライアント・サーバーの両方を管理できる、非常に高機能なオンプレミスソリューションです。Windows更新管理はその多数ある機能の一つにすぎません。他にも以下のような機能があります。
- クライアントの自動展開
- アプリケーション配布
- インベントリ管理
- ネットワークトポロジに応じた配信最適化
特徴まとめ
| 項目 | 内容 |
|---|---|
| 対象 | クライアント・サーバー両対応 |
| 価格 | 有償(EキャルやIntuneライセンスに含まれる場合あり。サーバーは別ライセンス) |
| インターネット接続 | 不要 |
| 管理機能 | 高度な一括管理・段階的適用・詳細レポートあり |
WSUSが非推奨となった今も、Configuration Managerは引き続き利用可能です。Microsoftも「Configuration Managerを使い続けて問題ない」と明言しています。今から導入を検討してもまったく問題ありません。
なお、将来的にはConfiguration ManagerがWSUS依存をなくす方向で進化する可能性もあると考えられています。
5. Windows Autopatch
Windows Autopatchは、「Intuneで管理しているクライアントの更新展開をMicrosoftに任せてしまう」サービスです。
通常、管理者は更新リングの設定や展開タイミングのコントロール、問題発生時の原因調査などを担います。Windows Autopatchはこれらの作業をMicrosoftが代行します。管理者がやることは「どのデバイスをWindows Autopatchの対象にするか」を設定するだけです。
Windows・Microsoft 365アプリ・Edge・Teamsの更新を一括で管理してくれる点も魅力です。
特徴まとめ
| 項目 | 内容 |
|---|---|
| 対象 | クライアントのみ(Intune管理下) |
| 価格 | Intuneライセンスに含まれる(追加費用なし) |
| インターネット接続 | 必須(Intune管理のため) |
| 管理機能 | Microsoft側が更新リング・展開管理を担当。管理者は対象デバイスの指定のみ |
6. Azure Update Manager
Azure Update Managerはサーバー向けのクラウド管理ソリューションです。
Linuxにも対応しており、WindowsとLinuxのサーバー更新管理を一元化できます。
特徴まとめ
| 項目 | 内容 |
|---|---|
| 対象 | サーバーOS(クライアント非対応)。WindowsおよびLinux対応 |
| 価格 | Azure上のVMは無償。Azure外のサーバーはAzure Arcで接続が必要(1台あたり約800〜1000円/月、為替変動あり) |
| インターネット接続 | 必須(Azure Arc経由で接続) |
| 管理機能 | 一元管理・レポートあり。WSUSとの併用も可能 |
インターネットへの直接接続が難しい環境ではプロキシ対応が必要ですが、現在改善が進んでいます(一部プレビュー中)。
WSUSからの移行先はどれか?率直な考察
各ソリューションを改めて比較すると、WSUSには次の強みがあります。
- 無償(追加ライセンスコスト不要)
- インターネット直接接続不要
- クライアント・サーバー両対応
- 適用タイミングのコントロールが可能
これを完全に代替するソリューションは、現時点では存在しません。どの移行先を選んでも追加コストが発生し、移行作業の費用や工数もかかります。
Microsoftはクラウド管理への移行を強く推進していますが、過去の運用文化やネットワーク要件などの事情から、すぐには変えられない組織が多く存在するのも事実です。
WSUSは非推奨となりましたが、近い将来に突然なくなるわけではなく、しばらくは継続して提供されると予想されます。ただし、今後を見据えて根本的な管理モデルの見直しを進めることが重要です。
サードパーティ・自作での代替アプローチ
ライセンスコストを抑えたい場合、以下のようなアプローチも検討できます。
PowerShellモジュールを使う例
# PSWindowsUpdateモジュールを使った更新の実行例
Install-Module -Name PSWindowsUpdate
Get-WindowsUpdate
Install-WindowsUpdate -AcceptAll -AutoReboot
Ansibleを使う例
# Ansibleのwin_updatesモジュールを使った更新の実行例
- name: Windows Updateをインストールする
win_updates:
category_names:
- SecurityUpdates
- CriticalUpdates
reboot: yes
AnsibleはエージェントレスモードでWindowsサーバーのリモート管理が可能です。更新実行・時間指定・結果確認を自分たちのPlaybookで回すことができます。
ただし、WSUSのようにインターネット接続なしでパッチを内部配布するという仕組みを自作で再現することは、技術的に難易度が高いことも理解しておく必要があります。
まとめ
Windows更新管理の選択肢を整理しました。
- 生のWindows Update:個人・少数台向け。組織管理には不向き
- Windows Update for Business:Intuneまたはグループポリシーで更新リングを構成できる。クライアントのみ対応
- WSUS:無償でオンプレミス完結だが非推奨。すぐになくなるわけではないが移行を検討すべき
- Configuration Manager:高機能かつ引き続き利用可能。クライアント・サーバー両対応
- Windows Autopatch:更新管理をMicrosoftに委任できる。Intuneライセンス内で利用可能
- Azure Update Manager:サーバー向けのクラウド管理。LinuxにもWindows外サーバーにも対応
WSUSの代替として「これ一択」と言えるキラーソリューションは現時点ではありません。組織の環境・コスト・クラウド移行の方針を踏まえた上で、最適な組み合わせを選ぶことが求められます。個人的にはAzure Arcですべてのサーバーをつなぎ、クラウドから統合管理する方向を推奨します。