こんにちは、tsuji です!
2022 年 1 月に Windows Server Update Service (WSUS) 3.0 SP2 のサポートが終了し、System Center 2012 Configuration Manager (SCCM) も2022 年 7 月にサポート終了予定です。
WSUS 3.0 SP2 サポート終了 (2022 年 1 月 10 日)
System Center 2012 Configuration Manager サポート終了予定 (2022 年 7 月 12 日)
そこで今回は Windows Update の管理について新規導入を考えている方やすでに運用していて別の方式を検討している方向けに Windows Update の代表的な管理ソリューションやどのような構成が自社にあっているかなどの情報をご紹介したいと思います。
本内容は以下の順番で説明しますが知っている範囲は読み飛ばしてください。
- Windows Update 管理ソリューション
- どれを選んだらいいのか
- その他のソリューション選択要素
- 【おまけ】Windows 10 / Windows Server 2016 以降からの変更点
- おわりに
Windows Update 管理ソリューション
Windows Update 管理ではサードパーティー製もありますが、今回は Microsoft の Windows Update 管理ソリューションを中心にご紹介します。
- Microsoft Intune
- Azure Automation Update Management
- Windows Server Update Service
- Microsoft Endpoint Configuration Manager
- グループポリシー
Microsoft Intune
Intune はクラウドベースのソリューションで Microsoft 365 の Business Premium などのサブスクリプションにライセンスが含まれており、会社の大きさの規模問わず Windows 端末の自動更新管理を行うことができます。更新管理では以下のような特徴があります。
- Windows 端末の更新管理が可能
- 社内および社外ネットワークにある端末の更新管理が可能
- 段階的な更新プログラムの展開管理機能
- 機能更新プログラム (大型アップデート) をバージョン指定で配布する機能
- 品質更新プログラム (セキュリティアップデート含む) のインストール促進機能
- 更新プログラム適用レポート機能
段階的な更新プログラムの展開管理は更新リングという機能で複数のリングポリシーを作成することで先行グループや全社グループなどに分け、段階的に更新プログラムを展開することができます。
その他、端末の構成管理やアプリ配布、ゼロタッチデプロイが行える Autopilot、複数拠点がある会社で各拠点管理者ごとに管理範囲を分割 (委任) できるスコープタグ機能などもあります。
Intune は Microsoft Endpoint Configuration Manager と Microsoft Endpoint Manager として統合されており「MEM」と略されることもありますが、本ブログでは Microsoft Endpoint Configuration Manager と区別するため Intune と表記しています。
Azure Automation Update Management (AAUM)
AAUM はクラウドベースのソリューションで価格は基本無料、Azure Monitor (Log Analytics) のログデータのみにだけ課金され、会社の大きさ規模問わず Windows Server や Linux などの自動更新管理を行うことができます。更新管理では以下のような特徴があります。
- Windows Server および Linux の更新管理が可能
- 社内および社外ネットワークにある端末の更新管理が可能
- 更新プログラム配信スケジュール機能
- 更新プログラム特定バージョン除外機能
- 更新プログラム適用レポート機能
更新管理できる範囲はパブリッククラウド (Azure や AWS など) 上で構築したサーバーの他にオンプレミスにあるサーバーなども管理することができます。スケジュール機能では更新間隔を日、週、月や第 2 土曜日などの曜日、時間など詳細な設定も可能です。
Windows Server Update Service (WSUS)
WSUS はオンプレミスベースのソリューションで Windows Server ライセンス (CAL ライセンスは別途必要) があれば使用することができ、小規模から中規模までの Windows 端末 および Windows Server の厳密な更新管理を行うことができます。更新管理では以下のような特徴があります。
- Windows 端末および Windows Server 両方の更新管理が可能
- 機能更新プログラムや品質更新プログラム等をバージョン指定で配信する機能
- 更新プログラムの自動配信機能
- 更新プログラムの適用レポート機能
- VPN 経由で在宅にある端末の更新管理も可能
msi 形式でインストールする Office アプリの更新プログラムは Windows Update から配布されていましたが Microsoft 365 Apps (旧称:Office 365) は Windows Update ではなく、Content Delivery Network (CDN) から配信されているため WSUS では Microsoft 365 Apps の更新管理ができません。そのため、社内から Microsoft 365 Apps の配信制御したい場合は Office Deployment Tool や グループポリシー を組み合わせて IIS で構成した Web サーバーや共有フォルダ等から Microsoft 365 Apps を配信するような運用が必要になります。
Microsoft Endpoint Configuration Manager (MECM)
MECM はオンプレミスベースのソリューションで必要な Windows Server のスペックや台数、その他の構成要素により多く費用がかなり高くなりますが、中規模から大規模までの Windows 端末 および Windows Server の 厳密な更新管理を行うことができます。更新管理では以下のような特徴があります。
- 社内および社外ネットワークにある端末の更新管理が可能
- Windows 端末および Windows Server 両方の更新管理が可能
- 機能更新プログラムや品質更新プログラム等をバージョン指定で配信する機能
- 更新プログラムの自動配信機能
- 更新プログラムの適用レポート機能
また、MECM は社外ネットワークにある端末も管理することができます。端末管理機能 (アプリ管理や構成管理など) なども活用することで更新管理以外のことも管理可能でさらに Intune と連携することで幅広い端末の管理を行うことができます。ただし、扱える範囲が広いため管理者の技術レベルのハードルが高くなります。
グループポリシー
グループポリシーはオンプレミスの Active Directory で管理になるので無料で利用でき、小規模の Windows 端末 および Windows Server の自動更新管理を行うことができます。更新管理では以下のような特徴があります。
- Windows 端末および Windows Server 両方の更新管理が可能
- 段階的に更新プログラムを展開する構成が可能
- 機能更新プログラム (大型アップデート) をバージョン指定で配布する設定が可能
Intune の更新リングのように段階的に更新プログラムの展開を行うことができますが、利用シーンが少ないので本ブログでは軽く触れるだけにしておきます。
どれを選んだら良いのか?
クラウドへの移行や自動管理を目指したい方!
厳密な更新管理したい方!
っとざっくり書きましたがこれだけだとどのソリューションを選べばいいのかわからないので各ソリューションの更新管理機能の違いや各視点でみたときの選択フローなどを記載していきます。
各ソリューション更新管理機能比較表
| 項目 / ソリューション | Intune | AAUM | WSUS | MECM |
|---|---|---|---|---|
| 管理インフラ | クラウド | クラウド | オンプレミス | オンプレミス |
| 管理台数規模 | 無制限 | 無制限 | 数百 〜 数千台 | 数千台 〜 数万台 |
| 更新管理対象 OS | Windows 端末 | Windows Server / Linux | Windows 端末 / Windows Server | Windows 端末 / Windows Server |
| 機能更新プログラム制御 | ○ | ○ | ○ | ○ |
| 品質更新プログラム制御 | ○ | ○ | ○ | ○ |
| 更新プログラムのダウンロード負荷分散 | 配信の最適化 | 配信の最適化 BranchCache | 配信の最適化 BranchCache | 配信の最適化 BranchCache ピアキャッシュ |
| 更新プログラム 適用レポート | ○ | ○ | ○ | ○ |
Windows 端末視点で考えてみる
Windows 端末の更新管理では特に更新プログラムのバージョン管理方法や社内のネットワーク帯域制御の考慮などによりソリューションの選択が分かれてくるかと思います。ここでは Windows 端末の視点にそったソリューションの選択フローを記載しています。
更新プログラムバージョン管理の観点で選ぶなら?
更新プログラムのバージョン管理では社内で管理しているアプリケーションなどへの影響を考慮して指定したバージョンで配布したいというようなシナリオもあるかと思います。以下はバージョン管理の観点からみたときのソリューション選択フローです。
Intune と WSUS の組み合わせでは指定バージョンでの管理が必要ない端末を Intune 管理にすることで VPN なしでも在宅持ち出した端末の更新管理を行うことができます。
また、品質更新プログラムについてはセキュリティ更新の目的が強いため、できれば迅速にアップデートできる自動運用が望ましい構成かと思います。
ネットワーク帯域制御で選ぶなら?
インターネットからの更新プログラムダウンロードで社内のネットワーク帯域を圧迫するというような問題により更新ポイント (WSUS や MECM) を導入する企業も多いかと思います。以下はネットワーク帯域の観点からみたときのソリューション選択フローです。
Intune ではインターネットの Windows Update から更新プログラムを取得することになりますが、配信の最適化機能による端末同士の更新プログラムデータ共有や更新プログラム配布の時期をグループごと段階的にずらすことでネットワーク帯域圧迫を回避できる場合があります。
Windows Server 視点で考えてみる
Windows Server の更新管理では更新プログラムのバージョン管理方法や社内のネットワーク構成の考慮などによりソリューションの選択が異なるかと思います。ここでは Windows Server の視点にそったソリューションの選択フローを記載しています。
更新プログラムバージョン管理で選ぶなら?
Windows 端末と同様、Windows Server 視点でのバージョン管理のソリューション選択フローです。
ネットワーク構成で選ぶなら?
閉域網の観点でインターネットに直接接続できない場合のソリューション選択フローです。
AAUM では更新プログラムのダウンロード先を Windows Update (Windows Update for Business) または WSUS で構成することができます。
その他のソリューション選択要素
ソリューションの選択ではもちろん更新管理以外の機能でも考慮するポイントになるかと思います。その他の機能についても比較していきます。
各ソリューション更新管理外機能比較表
| 項目 | Intune | AAUM | WSUS | MECM |
|---|---|---|---|---|
| コンプライアンス管理 | ○ | × | × | ○ |
| 構成管理 | ○ | × | × | ○ |
| 資産管理 | ○ | × | × | ○ |
| インベントリ収集 | ○ | × | × | ○ |
| アプリケーション管理 | ○ | × | × | ○ |
| Microsoft 365 Apps 配布制御 | ○ | × | × | ○ |
| エンドポイント保護 | ○ | × | × | ○ |
| OSイメージ展開 | × | × | × | ○ |
| Autopilot | ○ | × | × | × |
| BYOD 管理 (macOS、iOS、Android) | ○ | × | × | × |
各ソリューション同士を組み合わせて柔軟な設計を行うことができます。また、AAUM では更新管理のみのソリューションですが Azure の機能である Azure Arc 対応サーバーなどを利用することでパブリッククラウド (AWS や GCP) やオンプレミスのサーバーを Azure 上で一元的に構成・運用管理することもできます。
【おまけ】Windows 10 / Windows Server 2016 以降からの変更点
基本的な内容になりますが、Windows 10 / Windows Server 2016 以降で変更されている点など設計・運用する上でポイントとなる部分をおまけで記載します。
アップデート方式
Windows 10 からは品質更新プログラムや機能更新プログラムが提供されています。
品質更新プログラム:
品質更新プログラムはセキュリティ更新および不具合修正、小さな調整が含まれています。不具合修正などによりアプリケーションなどの動作に影響を与える可能があります。品質更新プログラムのリリース期間は、Windows 10 / 11 ともに毎月第 2 火曜日 (日本時間:第 2 水曜日または第 3 水曜日) に配信されます。
機能更新プログラム:
機能更新プログラムはOS に機能が追加され、アプリケーションなどの動作に影響を与える可能性があります。機能更新プログラムのリリース期間は、Windows 10 / 11 ともに 1 年に 1 回リリースされます。また、月次の品質更新プログラムの中に機能更新プログラムの一部データが含まれ、最終的に数 KB のイネーブルメントパッケージをダウンロードするだけで機能更新プログラムを適用できる機能も提供しています。
累積でない個別更新プログラム廃止
Windows 8.1 および Windows Server 2012 R2 以前では過去分を含む累積品質更新プログラムとセキュリティのみの更新プログラムという単体の更新プログラムが提供されていました。WSUS などではアプリケーションの動作に影響が少なくなるよう更新プログラムを選択的に適用することができていましたがとびとびで更新プログラムが適用されてしまうことで思わぬ不具合に繋がることがあったため現在は廃止されています。
Windows 10 および Windows Server 2016 以降では過去分を含む累積品質更新プログラムのみが提供されています。
Windows Update for Business (WUfB)
WUfB は Windows Update サービスの企業版で端末の更新プログラムの配信制御ができ、Intune やグループポリシーなどの管理ソリューションで利用します。
配信の最適化
配信の最適化は Windows 10 から搭載されたインターネットトラフィックを軽減できる機能でダウンロードした更新プログラムをローカルにキャッシュして端末同士で更新データを共有することによりインターネットからダウンロードするパケットを節約することができます。配信の最適化は Windows Update 以外にも Microsoft 365 Apps (旧称:Office 365) や Micorsoft Store などの更新プログラムにも使用できます。
その他、ネットワーク通信量の軽減機能としては BranchCache や MECM で使用できるピアキャッシュ、帯域制御では BITS、QoS、LEDBAD などがありシナリオによって使い分けて利用します。
おわりに
いかがでしたでしょうか。自分としてはできる限り毎回更新プログラム配信の承認作業や事前動作確認などの運用はしたくないので自動化したい気持ちですが、各会社それぞれ色々な事情がありますので皆様の会社にあった運用管理の構成になればいいなと思います。
みなさんの参考となるブログとなれば嬉しいです!ぜひご活用いただければと思います。
