Windows Server Update Services (WSUS) がついに廃止へ PC管理もクラウド化の時代
長きにわたり Windows Server やクライアント PC 環境のアップデートを管理してきた Windows Server Update Services (WSUS) の開発がついに終了することが発表されました。 WSUS チャネルへの更新プログラム提供は継続されるものの、廃止が発表されたサービスを継続して利用することはリスクを伴います。
WSUS の廃止に伴って発生する可能性のある課題や、アップデート環境を見直すことによって得られるメリットについてまとめました。
Windows Server Update Services (WSUS) とは
WSUS は、20 年近くの長きにわたり世界中の IT 管理者に愛用された、Microsoft が提供する更新プログラム管理ツールです。
Windows クライアント PC 1 台だけなら Windows Update で最新の更新プログラムを適用すればよいのですが、企業が複数保有する PC 環境ではそう簡単ではありません。 複数台保有する PC の環境はすべて同じであることが望ましく、この均衡 (?) が破れると業務に様々な支障が出ることがあります。 必要なアプリケーションが起動しなくなったり、OS ごと起動しなくなったりと予期せぬ問題が起こることもありえます。 このため、IT 管理者が事前に更新プログラムを適用して問題ないか検証し、確認が取れたものだけを社内に配布する形をとってきました。
この運用を支えてきたのが WSUS です。 WSUS では、 更新プログラムごとに配布する・しないを指定したり、その適用状態を把握したり、また社内のサーバーにダウンロードした更新プログラムを各 PC へ配布することでインターネット回線の負荷を軽減したりとさまざまな効果が得られたため、いまも多くの企業で支持され続けています。
この大人気 (と言って差し支えないでしょう) ツールの開発が終了し、将来的に廃止する計画であることが、マイクロソフトから発表されたのです。
Windows Server Update Services (WSUS) の廃止
https://blogs.windows.com/japan/2024/09/25/windows-server-update-services-wsus-deprecation/
WSUS の廃止で変わること
今回の発表に含まれる、終了することと継続して行われることは以下の通りです。
- 終了すること
- 新規機能の開発、追加
- 新機能の要望受付
- 継続すること
- WSUS チャネルへの更新プログラムの配布
- すでに公開された WSUS チャネル コンテンツのサポート
この発表を見ると、当面はこのまま WSUS を使い続けても問題なく思えるかもしれません。 今後も更新プログラムは WSUS チャネルへ配布されますし、理論的には可能でしょう。 とはいえ、今ある環境 (OS、ハードウェア含めて) をこれからもずっと使い続けることはできません。 いつか、おそらく割とすぐに、使えなくなる時が来ます。
WSUS は、社内 IT 環境を健全に保つための要と言える重要な機能です。 IT 環境を安全な、最新の状態に維持するためのツール自体が開発終了していて、そのうち使えなくなることが明確になっているのは不安でしかありません。 いつか移行しなければならないのであれば、時間的猶予のあるうちに検討、計画を進めておくのが最善でしょう。
WSUS 廃止にあたってまず検討すべきなのは、WSUS に代わる PC 管理の方法です。 マイクロソフトが WSUS の後継として推奨するツールは以下の 3 つです。
Windows AutoPatch
https://learn.microsoft.com/ja-jp/windows/deployment/windows-autopatch/overview/windows-autopatch-overview
Microsoft Intune
https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/what-is-intune
Azure Update Manager
https://azure.microsoft.com/ja-jp/products/azure-update-management-center
Windows AutoPatch、Microsoft Intune はクライアントやデバイスの更新および管理、Azure Update Manager は Windows や Linux、Azure、オンプレミス、その他のクラウド プラットフォームで実行されているものなど、すべてのマシン (仮想、物理問わず) の更新プログラムを管理するのに役立つサービスです。
それぞれのサービスの特徴、WSUS では得られなかったメリットについて紹介していきます。
Windows AutoPatch でできること
Windows AutoPatch は、Windows クライアント (OS)、Microsoft 365 Apps for enterprise、Microsoft Edge、Microsoft Teams の更新プログラム適用を自動化するクラウド サービスです。 Windows 10 以降の更新プログラム適用や新機能の追加、ドライバやファームウエアのアップデートを自動化できます。
さらに、Windows Enterprise E3+ および F3 ライセンスがあれば、加えて Microsoft 365 Apps for enterprise、Microsoft Edge、Microsoft Teams の更新を自動化できます。 Windows OS や Microsoft 365 Apps の新機能が知らずに追加されるのは困る、というお悩みをお持ちの IT 管理者様に特にお勧めです、
Windows AutoPatch はクラウド サービスですので、完全オフラインの環境では使用できません。 また、配布できるのは更新プログラムですから、カスタム アプリケーションを配布するニーズには対応できません。
一方で、在宅勤務や外出などでオフィスに出社しない従業員の PC 環境を、インターネットを介して管理することができます。 より時代に合ったメリットが得られると言えるでしょう。
Microsoft Intune でできること
Microsoft Intune は、クラウドベースのエンドポイント管理ソリューションです。 組織が持つリソースへのユーザーのアクセスを管理し、Windows PC デスクトップ コンピューターだけでなく、モバイル デバイスや仮想エンドポイントなど、多くのデバイスでアプリとデバイスの管理を簡素化します。
AutoPatch の管理対象は Windows クライアントですが、Microsoft Intune では Windows PC だけでなく Android や iOS などのモバイル デバイスの管理やアプリの配布および更新まで対応でき、まさにすべてのデバイスを管理することが可能です。
また、Microsoft Intune で有名なのが「条件付きアクセス」です。 この機能を使うことで、ドメインに登録したデバイス (つまり、事前に許可されたデバイス) のみが Microsoft 365 環境 (メールや OneDrive for Business など) に接続できるようにする といった制御が可能になります、
お気づきかと思いますが、Microsoft Intune でできる「管理」は、ソフトウエアや更新プログラムの配布だけではありません。 デバイス自体を管理制御し、モバイルデバイスの紛失や盗難時にはデバイスに保存された情報をリモートで消去するといった対応が可能です。
昨今は私物のモバイル デバイスから会社のリソースに接続したいというニーズが増えているかと思いますが、BYOL を簡単に許可してしまうと情報漏洩のリスクが高まることが懸念されます。 このようなシナリオには Microsoft Intune で BYOL デバイスまでまとめて管理する方法で対応できます。
Azure Update Manager でできること
Azure Update Manager が Microsoft AutoPatch や Microsoft Intune と大きく異なるのは、サーバー環境 (x86 は対象外) の更新管理が可能であることです。 (Windows クライアント OS は管理できません)
Microsoft AutoPatch はクライアント アプリケーションの管理、Microsoft Intune は Windows、iPhone、Android などの OS が搭載されたデバイス全体を管理するソリューションです。
Azure Update Manager では、Windows Server のみならず Linux 環境の更新プログラムの管理ができます。 また、Azure 仮想マシンはもとより、オンプレミスにあるサーバーやその他クラウド プラットフォームにあるサーバーまで管理できます。 WSUS は当然ながら Windows Server のみ対応ですので、Linux サーバーも保有する企業様には Azure Update Manager のほうが断然メリットがありお勧めです。
また、Azure Update Manager では SQL Server など一部のワークロードの更新管理もできます。 詳細は以下の資料をご参照ください。
Azure Update Manager のサポート マトリックス
https://learn.microsoft.com/ja-jp/azure/update-manager/support-matrix
なお、Azure Update Manager は Azure 仮想マシン管理については費用は掛かりませんが、Azure 仮想マシン以外の環境 (Azure Arc 対応サーバーと呼びます) の管理は有料です。
Azure Update Manager の価格
https://azure.microsoft.com/ja-jp/pricing/details/azure-update-management-center/
WSUS 廃止のデメリット
ここまで読んでいただいておわかりの通り、WSUS の移行先はすべてクラウド サービスです。 これらサービスへ移行することで得られるメリットは一般的なクラウド移行とほぼ同等、「サーバー環境を保有する必要がない」「サーバー ハードウェアを減らせる」「電気代が減る」などさまざまありますが、やはりデメリットも存在します。
WSUS 環境をクラウドへ移行することで発生する課題として最も影響があると考えられるのが、以下の 2点です。
- オフライン (非インターネット) に閉じた環境で使用できない
WSUS では、インターネットに接続する WSUS サーバーを別途用意し更新プログラムをダウンロード、これを電子媒体にコピーしてインターネットに接続していない WSUS サーバーへ持ち込むことができました。 この運用は、保護対象デバイスがインターネットに接続していることが前提のクラウドサービスによる管理では実現できません。 このような運用を継続したい場合は Microsoft Configuration Manager の導入も考えられますが、ライセンス費用や維持費が高額になってしまいます。
どうしてもオフラインでなければならないのか、IT 環境全体の最適化とセキュリティ管理について、このタイミングで再考するのが良策でしょう。
- 無償ツールのみでの管理は難しい
ここまで読んでこられた中には、「ライセンス」「有償」というキーワードに違和感を持たれた方もいると思います。 Azure Update Service は Azure 仮想マシンの管理は無料ですが、オンプレミスやその他クラウド環境の管理は有償です。 Microsoft AutoPatch や Microsoft Intune もサブスクリプション サービスでライセンスが必要です。
このように、WSUS は無償のツールですが、移行パスとして挙げられたサービスはいずれも無償ではありません (2024 年 10 月現在) 。 しかし(少しこじつけっぽく聞こえるかもしれませんが)、 WSUS も有償製品である Windows Server の機能の一部ですし、利用にはサーバー環境 (物理でも仮想でも) が必須です。 完全無償というわけではなかったと思います。
クラウド化によって得られる管理コストの削減メリットと合わせ、自前で環境を構築しての管理が良いのかクラウド サービスに任せられるのが良いのか、総合的にご判断いただくことをお勧めします。
最後に
TD SYNNEXでは、セキュリティだけでなく、主に中小企業のインフラ運用の改善を提案および支援するサービスも提供しています。
クラウド化がなかなか進まないお客様、雑然とした IT 環境の管理に苦労されているお客様はこんなお悩みをかかえていらっしゃるのではないでしょうか。
- ネットワークやインフラ構成など自社での運用に不安がある
- クラウド化したい要望はあるが、セキュリティレベルを維持できるリソースがない
- クラウド サービスの利用に照らし合わせて、継続的なアドバイザリーサービスを受けたい
セキュリティソリューション | TD SYNNEX株式会社
ひとり情シス向けソリューション | TD SYNNEX株式会社
WSUS 廃止の発表を、管理が行き届かないデバイス群や IT 環境全体を棚卸しするチャンスととらえ、クラウドツールを使用した PC 管理の計画を TD SYNNEX と始めましょう!
[著者プロフィール]
TD SYNNEX 株式会社 | 大久保 直美
アドバンスドソリューション部門 ハイブリッドマルチクラウドSE部
キャリアのスタートは汎用機での COBOL 言語プログラマー。 その後 Windows PC 普及の波に乗り、サポートエンジニア、Visual Basic プログラマー、インターネット コミュニティ管理者、プリセールス支援などを経験。クラウドを中心としたビジネス開発提案を支援するためTD SYNNEXへ入社、Microsoftのクラウド製品全般を担当。 好物は Microsoft Access。
