WSUS→Intune移行を進めているIT担当者が必ず直面するのが、「併用期間はいつまで必要か?」という問題だ。
早く切り替えたいが、トラブルが怖い。かといって、いつまでもWSUSを残すのは運用負荷が高い。
実際、私がサポートした企業では、「早く移行を終わらせたい」という焦りから、テスト期間を1週間で切り上げてしまい、本番環境で更新プログラムが配信されないトラブルが発生した。結局、WSUSに戻して再度スケジュールを組み直す羽目になった。
この記事では、WSUS・Intune併用期間の目安と、併用中のパッチ管理をどう回すかを、実体験を交えて解説する。
※本記事は一般的な情報提供を目的としており、実際の運用は貴社の環境で検証を行い、Microsoft公式ドキュメントを確認の上、自己責任で実施してください。
WSUS→Intune移行における併用期間は、最低1ヶ月、推奨は2〜3ヶ月。
ただし、環境規模によって以下のように変動する。
この期間は「余裕がありすぎる」と感じるかもしれないが、トラブルが発生した場合のロールバック時間を考えると、決して長くはない。
Intune移行後に重大なトラブルが発生した場合、WSUSに戻せる。
例えば:
こうしたトラブルが発生した場合、すぐにWSUSに戻せる状態を維持しておくことで、リスクを最小化できる。
全端末をいきなり移行するのではなく、グループごとに段階的に移行するため。
例えば:
段階的に移行することで、トラブルが発生しても影響範囲を限定できる。
月次のセキュリティ更新(パッチチューズデー)が正常に配信されるか、少なくとも2回は確認したい。
1回目:Intuneで配信できることを確認
2回目:トラブルなく運用できることを確認
2回のパッチチューズデーを経験してから、WSUSを停止するのが安全だ。
IT機器販売業C社(従業員80名)では、早く移行を終わらせたいという理由で、テスト期間を1週間に設定した。テストグループ10台で問題がなかったため、すぐに全端末をIntune管理に切り替えた。
ところが、本番移行後の最初のパッチチューズデーで、更新プログラムが配信されないことが判明した。原因はグループポリシーの設定が残っていたことだった。
緊急でWSUSに戻し、再度移行スケジュールを組み直した。結局、移行完了まで3ヶ月かかった。
教訓:テスト期間は最低でもパッチチューズデーを1回経験するまで(約1ヶ月)必要。
製造業D社(従業員250名)では、Intune移行後わずか2週間でWSUSサーバーを削除してしまった。理由は「サーバーのメンテナンスコストを削減したい」だった。
ところが、移行後1ヶ月で業務システムの互換性問題が発覚し、特定の更新プログラムを除外する必要が出てきた。しかしIntuneでは個別除外ができず、WSUSに戻そうとしたが、すでにサーバーが存在しなかった。
結局、新しいWSUSサーバーを構築する羽目になり、余計な時間とコストがかかった。
教訓:WSUSサーバーは併用期間終了後も最低1ヶ月は停止状態で保持すべき。
2024年春、私が担当したクライアント(食品卸売業・従業員120名)のIntune移行で、併用期間を1ヶ月に設定した。理由は「他社の事例では1ヶ月で問題ないから」だった。
しかし、移行開始から3週間後、営業担当の端末で業務システム(勤怠管理)が起動しなくなった。原因は、Intuneで配信した品質更新プログラムと勤怠管理ソフトの相性問題だった。
急いでWSUSに戻そうとしたが、すでに営業部50台をIntune管理にしており、グループポリシーを元に戻す作業に半日かかった。その間、営業担当者は勤怠打刻ができず、社長から「なぜこんなことになったのか」と叱責された。
この失敗から学んだこと:
それ以降、私は併用期間を必ず2ヶ月以上確保し、ロールバック訓練も実施するようにしている。
端末ごとにWSUSまたはIntuneのいずれか一方のみ有効にする。
両方が有効だと、更新プログラムの配信が競合する。
| グループ | 管理方法 | 備考 |
|---|---|---|
| テストグループ(10台) | Intune | 最初に移行 |
| 営業部(100台) | WSUS | まだ移行していない |
| 管理部(50台) | Intune | 第2フェーズで移行済み |
| 開発部(30台) | WSUS | 最後に移行予定 |
つまり、併用期間中はWSUS側の運用はこれまで通り継続する。
以下は、従業員200名規模の企業での移行スケジュール例だ。
| 週 | 作業内容 |
|---|---|
| 第1週 | Intuneポリシー設計、テストグループ選定(10台) |
| 第2週 | テストグループをIntune管理に移行 |
| 第3週 | パッチチューズデー(第2火曜日)で配信テスト |
| 第4週 | トラブル発生時の対処、問題なければ次フェーズ準備 |
| 週 | 作業内容 |
|---|---|
| 第1週 | 営業部50台をIntune移行 |
| 第2週 | 営業部残り50台をIntune移行 |
| 第3週 | パッチチューズデーで営業部の動作確認 |
| 第4週 | 管理部50台をIntune移行 |
| 週 | 作業内容 |
|---|---|
| 第1週 | 開発部30台をIntune移行 |
| 第2週 | 全端末のIntune管理状態を確認 |
| 第3週 | パッチチューズデーで全端末の動作確認 |
| 第4週 | 問題なければWSUSサービスを停止(サーバーは保持) |
併用期間を2ヶ月から3ヶ月に延ばすと、どのくらいコストが増えるのか。実際に試算してみた。
併用期間を1ヶ月延ばすと、約65,000円のコスト増になる。
一方、移行失敗によるリスクコストは:
つまり、併用期間を延ばすコストよりも、失敗リスクのコストの方が約4倍高い。
焦って移行を急ぐよりも、確実に検証する方が費用対効果が高いことがわかる。
Active DirectoryのグループポリシーでWindows Update設定をしている場合、Intuneポリシーと競合する可能性がある。
対策:
WSUSは社内サーバーから配信するため、インターネット帯域を消費しない。
一方、Intuneはインターネット経由でダウンロードするため、帯域が不足すると遅延が発生する。
対策:
リモートワーク端末は、WSUSサーバーにアクセスできないため、Intuneへの移行を優先する。
優先順位:
Intune移行後、更新プログラムの配信タイミングが変わる場合がある。ユーザーに事前通知しないと、「急に再起動された」とクレームが来る。
通知例:
社内掲示板やメールで、最低1週間前に通知する。
以下の条件をすべて満たしたら、WSUSを停止してよい。
すぐに削除せず、以下のステップで段階的に廃止する。
サービスを停止するが、データは残す。
万が一トラブルが発生した場合、すぐに再起動できる。
停止手順:
念のため設定をエクスポート。
問題なければサーバーを削除。
WSUSサーバーのストレージを開放できる。
削除手順:
最初のテストグループは、移行計画策定と同時に移行する。
早めに移行することで、トラブルの早期発見につながる。
パッチチューズデー前に移行を完了させることで、次のパッチチューズデーで検証できる。
例えば、3月のパッチチューズデー(第2火曜日)前に移行すれば、3月中に検証できる。
150ライセンス以上の場合、FastTrackという無料サポートプログラムを活用できる。
Microsoftの専門家が移行計画をレビューしてくれるため、スムーズに移行できる。
原因:グループポリシーとIntuneポリシーの競合
対処法:
原因:ネットワーク帯域不足
対処法:
原因:Azure AD参加(Entra ID参加)が未完了
対処法:
A1: 端末ごとにどちらか一方のみを有効にすれば、競合しない。ただし、グループポリシーとIntuneポリシーが両方有効だと、Intuneが優先される(CSPポリシーが優先)。
A2: 新規端末は最初からIntuneで管理する。WSUSは既存端末のみを管理し、新規端末はIntune管理に統一することで、移行後の管理がスムーズになる。
A3: Intuneは Microsoft 365 E3/E5またはIntune単体ライセンスが必要だが、WSUSは無料。併用期間中も追加ライセンスは不要(すでにIntuneライセンスを購入済みの前提)。
A4: 以下のような環境なら1ヶ月でもOK。
A5: 可能だが、混乱を避けるために同じポリシーを適用することを推奨。例えば、WSUS側で「品質更新7日延期」「機能更新365日延期」、Intune側も同じ設定にする。
A6: すぐに削除せず、最低1ヶ月は停止状態で保持すること。万が一Intuneでトラブルが発生した場合、WSUSに戻せる状態を維持しておく。
WSUSとIntuneの併用期間は、最低1ヶ月、推奨は2〜3ヶ月。
併用期間は「保険」と考え、以下のポイントを押さえる。
併用期間中のパッチ管理は、WSUS側はこれまで通り、Intune側は自動配信で運用する。
焦らず、確実に移行を進めよう。移行作業が一段落したら、IT管理者としてのキャリアアップも視野に入れたい。クラウド管理の実績は転職市場で高く評価される。レバテックキャリアでは、Intune・Azure経験者向けの求人が年収600万円〜800万円で多数掲載されている。
※免責事項: 本記事の内容は一般的な情報であり、実際の運用は自己責任で実施してください。