Categories: Windows10WSUS

windows10機能アップデートをWSUSで管理することの是非[バージョンアップ/アップグレード]

目次

はじめに

WindowsクライアントPCの更新プログラムの管理方法としてWSUSを導入している組織は多いのではないでしょうか?WSUSに関しては以下の記事でまとめていますので、導入を検討している方は読んでみてください。

WSUSを分かりやすい言葉で説明してみます。これからWSUSを管理することになった方や用語は知ってるけどイマイチ分からん...という方はぜひ読んでみてください。
「WSUS」の記事一覧です。

WSUSの機能のひとつとして、

Windows 10の更新プログラムの適用、使用アプリケーションの互換性に問題ないことが確認できるまでの延期、スタンバイOKとなったタイミングで配信といった管理対象のクライアントPCへの更新プログラム適用を制御することができます。 なお、WSUSはマイクロソフトから無償で提供されているソフトウェアです。利用自体に費用は掛かりませんがその分サポート体制もOSSようなレベルになりますので、管理者側にナレッジを貯め込む必要があります。

本記事では、このWSUSの機能を使ってWindows10の機能アップデート(QU)を管理すべきか、という点を考えていきたいと思います。

私の結論

私の意見としては、WSUSクライアントPCの管理と更新プログラムの適用そのものにWSUSを使うことは、膨大なWindowsPCの更新プログラムを管理する上では非常に有用だが、Windows10の機能アップデート(QU)をWSUSで展開するのは懸念すべきリスクがあると考えます。

以下にまとめます。

WSUSでWindows10機能アップデート(QU)を管理する上でのリスク
WSUSはプッシュ型のQU展開となる

WSUSの機能を利用したWindows10機能アップデート(QU)展開をする場合、ユーザが能動的に機能アップデートしたいタイミングではなく、WSUSで機能アップデート(QU)を承認後、(AD配下であれば)グループポリシーで制御した一律したタイミングで一斉にクライアントPCの機能アップデートが開始されます。
この場合、ユーザの意思と関係なく機能アップデートが行われるため、ユーザへ事前案内してある前提でも、ユーザの業務に影響を与えかねないと感じます。
また、実行時のネットワークに掛かる負荷対策として、WSUSにはBITS(Background Intelligent Transfer Service)というネットワーク帯域制御機能もありますが、ややトラブルシューティングがしにくいように感じます。

Windows10機能アップデート(QU)は失敗する可能性がある

本ブログでもいくつか紹介していますが、Windows10機能アップデート(QU)が失敗に終わるケースが確認されています。

はじめにWindows10のリリースがWaaSとなり、更新サイクルが早まったことで、Windows Updateをインターネット経由で実施ま...
はじめにWindows10 の機能アップデート(Windows10ビルドバージョンのアップデート)する際に、 以下のエラーが発生しアップグレ...

WindowsOS自身の問題だけでなく、関連するソフトウェア(HDD暗号化ソフトウェア、資産管理ツール、セキュリティソフト等)との互換性による影響も考えられ、「このビルドバージョンであれば大丈夫」といったバージョン単位での実績もあまり意味をもちません。
可能性としてBSoDやデータ消失も発生し得るため、WSUSでの一括実行ではなくユーザが適切なタイミングで機能アップデート(QU)を実行するのが、トラブルシューティングの初動も早く済み、トラブルの種類も限定しやすいです。

WSUS無しでWindows10機能アップデート(QU)とどう付き合うか

では、WSUS無しでWindows10機能アップデート(QU)をどう進めていくか、考えてみます。

ユーザが好きなタイミングでWindows10機能アップデート(QU)可能とする

Windows10の機能アップデートのタイミング自体をユーザ側へ委任することで、ユーザにとて業務影響が少ないタイミングで機能アップデートを実施できます。その際、影響を与える関連ソフトウェアのインストールやバージョンアップも実施してもらうことで、機能アップデートの精度を向上できます。

Windows10機能アップデートに影響するソフトウェアを包含した検証サイクルを作る

先述した通り、Windows10の機能アップデートは単にOSのマイナーバージョンアップで終わらず、影響を与えるソフトウェアがあります。ざっと考えても以下があり、

  • HDD暗号化ソフトウェア
  • 資産管理ツール
  • セキュリティソフト
  • 各部門特有のソフトウェア(例えばCADや会計ツール、営業管理ツールなど)

クライアントPCを取り巻く包括的な検証サイクルの設計が必要です。
有償ソフトウェアベンダーの製品で使えるモノもありそうですが、このあたりを包括したソリューションはまだ実現されていないかな、という印象です。

最後に

windows10機能アップデート(バージョンアップ)をWSUSで管理すべきか、という視点であらためて考えてみました。私の考えを整理すると、

  • プル型の展開でユーザの協力を仰ぐ
    (一時的にシステム権限を与える、ユーザのITリテラシ向上も狙う)
  • Win10のみならず関連ソフトウェアを包括した検証サイクルの設計
    (まずは自分の組織内で考える。そのあとでDaaSなどの外注案を模索しつつコスト試算)

という考えです。

参考リンク
WSUS での Windows 10 管理まとめ

Japan WSUS Support Team BlogがWindows 10 の管理に関してこれまで公開してきたブログや公開情報をまとめて紹介しています。例えば、Windows 10 のサポートモデルの情報やWSUS設計時に気をつけるべきこと、WSUSの既知の問題など。まずはこのブログから探してみるのを定石として良いと思います。

【2019/04/11追記リンク切れ。移行先分かり次第更新します】

WSUS Wiki

Open棟梁ProjectとOSSコンソーシアム .NET開発基盤部会によって運営されているWSUS情報まとめWikiです。WSUS Supportのブログでは英語のブログをそのまま日本語訳していそうな記事もありリファレンス的に使えるのに対して、こちらは実際に試してどういう挙動だったか、といった実務ベースの情報が多いと感じます。

役に立ちましたら、ぜひ他の記事も読んでみてください。

「WSUS」の記事一覧です。
「Windows10」の記事一覧です。

青熊