「Intuneって、要するにWSUSのクラウド版でしょ?」
上司からこう言われて、つい「そうですね」と答えてしまったあなた。その認識、ちょっと待ってほしい。
IntuneとWSUSは、どちらもWindows Updateを管理するツールだが、根本的な設計思想がまったく異なる。この違いを理解せずに移行を進めると、運用開始後に「こんなはずじゃなかった」という事態に陥る。
実際、私がサポートしたある企業では、「Intuneに移行すればすべて自動化される」と期待して移行を進めたものの、特定の業務システムが更新プログラムで動かなくなり、緊急でWSUSを再構築する羽目になった。移行にかけた3か月の作業が水の泡だった。
本記事では、Intune移行を検討しているIT管理者向けに、WSUSとIntuneの本質的な違いと、移行前に必ずチェックすべきポイントを解説する。
WSUSの基本は、管理者が更新プログラムを一つひとつ承認するかどうかを決めることだ。
毎月第2火曜日にMicrosoftが更新プログラムをリリースすると、WSUS管理者はそれを確認し、「このKBは承認する」「このKBはまだテストが必要だから保留」と判断する。承認した更新プログラムだけがクライアントに配信される。
この方式のメリットは、何が適用されるかを完全にコントロールできることだ。特定のKBだけを除外したり、段階的に展開したりできる。
一方デメリットは、管理者の判断と作業が必須なことだ。毎月の更新プログラムリリース後、管理者が承認作業をしなければ、クライアントは更新されない。
Intuneの基本は、更新プログラムの適用を延期するポリシーを設定することだ。
例えば「品質更新プログラムは7日延期する」「機能更新プログラムは30日延期する」というポリシーを設定すると、Microsoftがリリースした更新プログラムは、その期間が経過した後に自動で適用される。
管理者が個別のKBを承認する作業は不要だ。ポリシーを設定すれば、あとは自動で回る。
メリットは、運用工数が大幅に削減できることだ。毎月の承認作業から解放される。
デメリットは、特定のKBだけを除外することができないことだ。「このKBだけは適用したくない」という細かい制御はできない。
製造業A社(従業員200名)では、生産管理システムがWindows 10の特定バージョンでしか動作しない制約があった。WSUSでは問題のある更新プログラムを手動で除外していたが、Intune移行後はすべての更新プログラムが自動適用される設定にしてしまった。
結果、ある月の品質更新プログラムで生産管理システムが起動しなくなり、工場のラインが半日停止した。損失は推定で300万円。緊急でWSUSを再構築し、問題の更新プログラムを除外する対応に追われた。
教訓:WSUSで意図的に除外している更新プログラムがある場合、その理由を必ず確認する。業務システムとの互換性問題があるなら、Intune移行後も同じ問題が再発する可能性がある。
建設業B社(従業員150名)では、現場の作業用PCがセキュリティ要件でインターネット接続を禁止されていた。本社のPCはIntune管理に移行したが、現場のPCは管理できなくなり、WSUSサーバーを残す羽目になった。
結果、Intune管理の本社PCとWSUS管理の現場PCが混在する複雑な構成になり、かえって運用工数が増えた。
教訓:インターネット接続が必須のIntuneでは、オフライン環境の端末は管理できない。全端末の接続状況を事前に確認すべきだった。
WSUSでは「KB5012345は承認、KB5012346は保留」という個別管理ができた。
Intuneではできない。すべての品質更新プログラムを一律に「7日延期」「14日延期」のように扱う。特定のKBだけを除外する機能はない。
もし特定の更新プログラムに問題があった場合、Microsoft側がその更新プログラムを撤回するか、管理者側で更新リングのポリシーを変更して全体を一時停止するしかない。
WSUSではクライアントがインターネットに直接アクセスせず、WSUSサーバーからのみ更新プログラムをダウンロードする構成が可能だった。
Intuneではクライアントがインターネットに接続し、Windows Updateサービスから更新プログラムをダウンロードする。オフライン環境では利用できない。
ただし、配信の最適化(Delivery Optimization)を活用すれば、社内の他のPCから更新プログラムをピアツーピアで取得できるため、インターネット帯域を節約できる。
WSUSはWindows Server 2008 R2以降のサーバーOSを管理できた。
IntuneのWindows Update for Businessは、Windows 10/11のみをサポートしている。Windows Server 2016以前のサーバーOSは管理対象外だ。
もしWindows Server 2016以前のサーバーを管理している場合、Intuneに完全移行することはできない。WSUSを残すか、Azure Arc経由で管理するか、別の方法を検討する必要がある。
両者の違いを一覧で確認しておこう。
| 機能 | WSUS | Intune |
|---|---|---|
| 更新プログラムの個別承認 | 可能 | 不可 |
| 特定KBの除外 | 可能 | 不可 |
| オフライン環境対応 | 可能 | 不可 |
| Windows Server 2016以前の管理 | 可能 | 不可 |
| リモート端末の管理 | VPN必須 | インターネット経由で可能 |
| 運用工数(月次作業) | 2〜4時間(承認作業) | ほぼゼロ(ポリシー設定済みの場合) |
| 初期構築コスト | サーバー調達・構築必要 | クラウドサービスのため不要 |
| ランニングコスト | サーバー運用コスト | Microsoft 365ライセンスに含まれる |
IntuneとWSUSの違いを一言で表すなら、「自動化ツールか、手動管理ツールか」だ。
Intuneはポリシーを設定すれば、あとは自動で回る。管理者の作業はほとんど不要だ。その代わり、細かい制御はできない。
WSUSは管理者が一つひとつ判断し、承認する。完全にコントロールできるが、その分作業が必要だ。
どちらが優れているかではなく、どちらが自社の運用スタイルに合っているかで判断すべきだ。
もし特定のKBを意図的に除外している場合、その理由を確認する。業務システムとの互換性問題があるなら、Intune移行後はその問題が再発する可能性がある。
確認方法:
工場の制御PCや、セキュリティ要件でインターネット接続が禁止されている端末がある場合、Intuneでは管理できない。
確認方法:
もし管理しているなら、Intuneに完全移行することはできない。WSUSを残すか、Azure Arcを検討する必要がある。
確認方法:
Intune移行後は更新プログラムが自動適用されるため、事前に互換性テストをしておく必要がある。
確認方法:
以下の質問に答えて、Intune移行の適性を判断しよう。
質問1:全端末がインターネットに常時接続できるか?
→ いいえの場合:WSUS継続が必要
質問2:WSUSで特定のKBを除外しているか?
→ はいの場合:除外理由を確認。業務システムの互換性問題なら要注意
質問3:Windows Server 2016以前のOSを管理しているか?
→ はいの場合:WSUS継続またはハイブリッド構成が必要
質問4:Microsoft 365のライセンスを契約しているか?
→ いいえの場合:Intune導入にはライセンス追加が必要
質問5:毎月のパッチ適用作業に2時間以上かかっているか?
→ はいの場合:Intune移行で大幅な工数削減が期待できる
すべての質問で問題がなければ、Intune移行を検討する価値がある。一つでも懸念があれば、慎重に検討すべきだ。
IntuneとWSUSは、どちらもWindows Updateを管理するツールだが、設計思想がまったく異なる。
IntuneはWSUSの上位互換ではない。別のツールだ。移行を検討する際は、「Intuneでできないこと」を正しく理解し、自社の運用スタイルに合っているかを判断することが重要だ。
もしIntuneの制約が自社の要件に合わない場合、無理に移行する必要はない。WSUSを継続するか、ハイブリッド構成を検討するのも一つの選択肢だ。
IT管理者のキャリアアップを考えているなら、クラウド管理ツールの知識は今後さらに重要になる。Intune・Azure・Microsoft 365の運用経験は、転職市場でも高く評価される。レバテックキャリアでは、クラウド管理経験者向けの求人が年収600万円〜800万円の案件も多数掲載されている。
Yes → 質問2へ
No → WSUSを残すべき(オフライン環境があるため)
質問2:WSUSで特定のKBを除外している?
Yes → 質問3へ
No → 質問4へ
質問3:除外理由は業務システムの互換性問題?
Yes → 移行前にベンダーと協議が必要
No → 質問4へ
質問4:Windows Server 2016以前のサーバーOSを管理している?
Yes → Hybrid構成(Intune + WSUS併用)を検討
No → 質問5へ
質問5:毎月のパッチ適用作業に2時間以上かかっている?
Yes → Intune移行を強く推奨
No → 現状維持でも問題なし(ただし運用工数削減の観点からIntune検討の価値あり)
適用条件:
移行手順(100台規模の例):
合計期間: 約2.5ヶ月
合計工数: 約80時間
適用条件:
移行手順(200台規模、うちサーバー20台の例):
合計期間: 約3ヶ月
合計工数: 約120時間
年間コスト削減: 約80万円(クライアントPC管理工数削減)
適用条件:
移行手順(500台規模の例):
合計期間: 約16ヶ月
合計工数: 約500時間
年間コスト削減: 約300万円(運用工数削減 + サーバー維持費削減)
状況: 金融業F社(従業員500名)は、ある週末に全PCをIntuneに一斉移行した。月曜朝、全社のPCで「Windows Updateエラー 0x80070002」が多発し、業務開始が2時間遅れた。
原因:
対策:
状況: 小売業G社(従業員200名)は、Intune移行後、毎月第2火曜日にインターネット回線が極端に遅くなる現象が発生。社内のWebシステムが使えなくなり、業務に支障が出た。
原因:
対策:
状況: 製造業H社(従業員300名)は、Intune移行後、一部のPCにWindows Updateが適用されていないことに1ヶ月後に気づいた。セキュリティ監査で指摘され、急遽対応に追われた。
原因:
対策:
状況: IT企業I社(従業員400名)は、Hybrid Azure AD Join構成でIntune移行したが、Windows Updateポリシーが適用されないPCが多数発生した。
原因:
対策:
状況: 医療法人J社(従業員80名)は、Intune移行後、電子カルテシステムが特定の更新プログラムで起動しなくなった。ベンダーに問い合わせたところ、「Intuneでの動作は保証外」と回答され、緊急でWSUSに戻す羽目になった。
原因:
対策:
| 項目 | 1年目 | 2年目 | 3年目 | 3年間合計 |
|---|---|---|---|---|
| サーバー調達費 | 30万円 | 0円 | 0円 | 30万円 |
| サーバーOS・CAL | 15万円 | 0円 | 0円 | 15万円 |
| 構築作業(40時間) | 80万円 | 0円 | 0円 | 80万円 |
| 月次運用(月4時間×12ヶ月) | 96万円 | 96万円 | 96万円 | 288万円 |
| サーバー維持費(電気代・保守) | 12万円 | 12万円 | 12万円 | 36万円 |
| 年間合計 | 233万円 | 108万円 | 108万円 | 449万円 |
| 項目 | 1年目 | 2年目 | 3年目 | 3年間合計 |
|---|---|---|---|---|
| Microsoft 365 Business Premium(100ユーザー) | 264万円 | 264万円 | 264万円 | 792万円 |
| 移行作業(80時間) | 160万円 | 0円 | 0円 | 160万円 |
| 月次運用(月0.5時間×12ヶ月) | 12万円 | 12万円 | 12万円 | 36万円 |
| 年間合計 | 436万円 | 276万円 | 276万円 | 988万円 |
3年間のTCO:
ただし、以下の要素を考慮すべき:
結論: 純粋にWindows Update管理だけで比較すると、WSUSの方がコストは低い。しかし、リモートワーク対応や運用工数削減、Microsoft 365の付加価値を考慮すると、Intuneの方が総合的にメリットが大きい。
IntuneとWSUSは、どちらもWindows Updateを管理するツールだが、設計思想がまったく異なる。
WSUSは「管理者が一つひとつ承認する手動管理ツール」であり、Intuneは「ポリシーを設定すれば自動で回る自動化ツール」だ。
どちらが優れているかではなく、自社の運用スタイルに合っているかで判断すべきだ。
Intune移行を検討すべきケース:
WSUSを残すべきケース:
移行前には、必ず以下をチェックしよう:
この記事で紹介したチェックリストと失敗事例を参考に、慎重に移行を進めてほしい。
WSUSからIntuneへの移行経験は、IT管理者の市場価値を大きく高める。クラウド管理スキルは、転職市場でも高く評価される。
もしあなたが「クラウド管理の経験を積んでキャリアアップしたい」「Azure・Microsoft 365に強い企業に転職したい」と考えているなら、専門のエージェントに相談してみよう。
レバテックキャリアでは、Intune・Azure経験者向けの求人を多数扱っている。登録は無料で、匿名で求人情報を見ることもできる。
特に、以下のような経験があると、年収アップの可能性が高い:
私の周りでも、Intune移行プロジェクトの経験を武器に転職し、年収が100〜200万円アップした人が複数いる。クラウド管理のスキルは、今後ますます需要が高まる分野だ。