「Intuneに移行したら、WSUSは完全に廃止できるのか?」
この問いに対する答えは、「環境による」だ。実際、私がサポートした企業の約30%は、Intune移行後もWSUSを残している。
すべての環境でWSUSを完全廃止できるわけではない。オフライン環境がある、Windows Server OSを管理している、細かい更新制御が必要など、条件によってはWSUSを残す必要がある。
逆に、無理にWSUSを残すと、二重管理の手間がかかり、かえって運用負荷が増える。ある企業では、「念のため」とWSUSを残したが、結局使わずに放置し、セキュリティリスクになっていた。
本記事では、Intune移行後にWSUSを完全廃止できるケースと、残すべきケースの判断基準を、実際の失敗事例とともに解説する。
Intuneは、クライアント端末がインターネットに接続していることが前提だ。
もし全端末がインターネット接続可能なら、WSUSを廃止してもWindows Updateは正常に動作する。
リモートワーク中心の組織、クラウドファーストの組織であれば、この条件を満たしやすい。
実例:ITコンサル企業A社(従業員150名)は、全社員がノートPCでリモートワーク中心だった。オフィスにはデスクがなく、フリーアドレス制。全端末が常にインターネット接続しているため、Intune移行後にWSUSを完全廃止した。結果、WSUSサーバーの運用工数(月20時間)とサーバー維持費(年間30万円)を削減できた。
WSUSでは、更新プログラムを一つひとつ承認するかどうかを決められる。
しかし、この運用は手間がかかる。毎月第2火曜日に管理者が更新プログラムを確認し、承認作業をする必要がある。私も以前、この作業に毎月3〜4時間かけていた。
もし「すべての更新プログラムを自動で適用してOK」という方針なら、Intuneで十分だ。延期期間を設定すれば、あとは自動で回る。
実例:広告代理店B社(従業員80名)は、WSUSで更新プログラムを承認する運用をしていたが、実際には「すべて承認」していた。承認作業が形骸化していたため、Intune移行後は延期期間7日の自動適用に切り替えた。運用工数が月4時間から0時間になり、管理者の負担が大幅に軽減された。
IntuneのWindows Update for Businessは、Windows 10/11のみをサポートしている。
もし管理対象がWindows 10/11のクライアントPCのみで、Windows ServerやWindows 7などの古いOSがないなら、WSUSを廃止できる。
確認方法:WSUSコンソールで「コンピューター」→「すべてのコンピューター」を開き、OSバージョンでフィルタリングして確認する。Windows 10/11以外のOSが1台でもあれば、WSUSを残す必要がある。
WSUSサーバーの運用には、月10〜20時間程度の工数がかかる。
毎月の更新プログラム承認作業、WSUSサーバーのメンテナンス、ディスク容量の管理、同期エラーの対処など、地味だが手間のかかる作業が多い。
もしこの工数を削減したいなら、Intuneに完全移行してWSUSを廃止するのが有効だ。
私の経験:以前管理していた企業では、WSUSの運用に月平均18時間かけていた。内訳は、更新承認作業(4時間)、クリーンアップ作業(2時間)、同期エラー対処(3時間)、レポート作成(2時間)、その他トラブル対応(7時間)。Intune移行後は、これがほぼゼロになった。
WSUSはVPN接続が必要なケースが多い。リモートワーク中の社員が、自宅からVPNに接続してWindows Updateを適用するのは、手間がかかる上に帯域を圧迫する。
Intuneなら、インターネットに接続していれば自動でWindows Updateが適用される。リモートワーク環境との相性が良い。
失敗事例:製造業C社(従業員200名)は、コロナ禍でリモートワークに移行したが、WSUSを継続していた。在宅勤務の社員は、VPN接続時のみWindows Updateが適用されるため、VPN接続していない社員のPCがパッチ未適用のまま放置された。結果、マルウェア感染が発生し、情報漏洩リスクが高まった。Intune移行後は、在宅勤務でも自動でパッチが適用されるようになり、セキュリティレベルが向上した。
工場の制御PC、研究施設のデータ解析PC、セキュリティ要件でインターネット接続が禁止されているPCなど、完全オフライン環境がある場合、Intuneでは管理できない。
この場合、WSUSを残すしかない。
オフライン環境とオンライン環境が混在している場合は、ハイブリッド構成(オンライン環境はIntune、オフライン環境はWSUS)を検討する。
実例:化学メーカーD社(従業員300名)は、本社オフィスと工場があった。本社の200台はインターネット接続可能だが、工場の100台は安全規制でインターネット接続が禁止されていた。結果、本社はIntune、工場はWSUSというハイブリッド構成を採用した。
IntuneのWindows Update for Businessは、Windows Server OSをサポートしていない。
もしWindows Server 2016以前のサーバーOSを管理している場合、Intuneでは管理できない。
Windows Server 2019以降であれば、Azure Arcを使って管理できる可能性があるが、2016以前は現実的にはWSUSで管理するしかない。
確認方法:WSUSコンソールで「コンピューター」を開き、Windows Server 2012 R2、2016が含まれていないか確認する。含まれている場合、WSUSを残す必要がある。
私の経験:ある企業では、Windows Server 2012 R2で動作している基幹システムが5台あった。ベンダーからは「OSアップグレードは不可」と言われたため、クライアントPCはIntuneに移行したが、サーバーOSはWSUSで管理し続けた。
業務システムとの互換性問題で、特定の更新プログラムを除外する必要がある場合、Intuneでは対応できない。
Intuneは「すべての品質更新プログラムを一律に扱う」仕組みなので、「このKBだけは除外する」という細かい制御ができない。
もし特定のKBを除外する必要があるなら、WSUSを残すべきだ。
失敗事例:物流企業E社(従業員120名)は、倉庫管理システムがWindows 10の特定バージョンでしか動作しない制約があった。WSUSでは問題のあるKBを手動で除外していたが、Intune移行後は自動適用されてしまい、倉庫管理システムが動かなくなった。緊急でWSUSを再構築し、問題のKBを除外する対応に追われた。
セキュリティポリシーや業務要件で、「管理者が承認した更新プログラムのみを適用する」という運用が必須な場合、Intuneでは不十分だ。
Intuneは「延期期間を設定すれば、あとは自動で適用される」仕組みなので、完全なコントロールはできない。
この場合、WSUSを残すしかない。
実例:金融機関F社(従業員500名)は、内部監査で「すべての更新プログラムは管理者が事前承認すること」という要件があった。Intuneの自動適用では監査要件を満たせないため、WSUSを継続することになった。
Intuneでは、各クライアント端末がインターネット経由でMicrosoft Updateサービスから更新プログラムをダウンロードする。
もしインターネット回線が細い(例:ADSL、CATV、モバイル回線など)場合、帯域を圧迫する可能性がある。
WSUSならば、社内ネットワーク内でWSUSサーバーから配信するため、インターネット帯域を節約できる。
ただし、Intuneでも「配信の最適化(Delivery Optimization)」を使えば、社内のPCからピアツーピアで取得できるため、帯域圧迫を軽減できる。
実例:建設業G社(従業員100名)は、現場事務所がモバイル回線(4G)で接続していた。Intune移行後、100台が同時に更新プログラムをダウンロードしようとして回線が逼迫した。配信の最適化を有効にすることで、最初の1台がダウンロードし、残りの99台はその1台からピアツーピアで取得するように設定し、帯域問題を解決した。
完全にWSUSを廃止するか、完全にWSUSを残すかの二択ではない。
ハイブリッド構成(オンライン環境はIntune、オフライン環境はWSUS)も選択肢の一つだ。
ハイブリッド構成を実現するには、以下の手順で設定する:
ステップ1: OUまたはグループで管理対象を分ける
ステップ2: グループポリシーの設定
ステップ3: Intuneの更新リング設定
注意点:1台のPCをWSUSとIntuneの両方で管理しないこと。ポリシーが競合し、予期しない動作になる可能性がある。
WSUS廃止と継続のコストを比較してみよう。以下は、200台規模の企業を想定した試算だ。
| 項目 | WSUS廃止(Intune完全移行) | WSUS継続 |
|---|---|---|
| ライセンス費用(年間) | Microsoft 365ライセンスに含まれる(追加費用なし) | 0円(WSUSは無料) |
| サーバーハードウェア費用 | 0円(クラウドサービス) | 20〜30万円/年(減価償却+電気代) |
| 運用工数(月間) | 2時間(監視・レポート確認) | 18時間(承認・クリーンアップ・トラブル対応) |
| 運用人件費(年間) | 約7万円(時給3,000円×2時間×12ヶ月) | 約65万円(時給3,000円×18時間×12ヶ月) |
| 合計コスト(年間) | 約7万円 | 約85〜95万円 |
| 削減効果 | 年間78〜88万円の削減 | – |
この試算から分かるように、WSUS廃止により年間約80万円のコスト削減が期待できる。特に運用工数の削減効果が大きい。
以下のフローチャートで、自社がWSUSを完全廃止できるかどうかを判断できる:
質問1: オフライン環境はあるか?
質問2: Windows Server 2016以前のOSを管理しているか?
質問3: 特定のKBを除外する必要があるか?
質問4: 更新プログラムの適用を完全にコントロールする必要があるか?(監査要件など)
質問5: 全端末がインターネット接続可能か?
もしWSUS完全廃止が可能と判断した場合、以下のようなスケジュールで進める:
作業内容:
工数:20時間
作業内容:
工数:10時間
作業内容:
工数:15時間
作業内容:
工数:20時間
作業内容:
工数:10時間
作業内容:
工数:5時間
合計工数:80時間(約2人月)
合計期間:6ヶ月
ハイブリッド構成(オンライン環境はIntune、オフライン環境はWSUS)を選択した場合、以下の運用ガイドを参考にしてほしい。
どのPCがIntune管理で、どのPCがWSUS管理かを明確にする。
推奨方法:
1台のPCにグループポリシーとIntuneポリシーの両方が適用されると、競合が発生する。
対処法:
MDM優先レジストリ:
HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\Update ControlPolicyConflict = 1
Intune管理対象が増えると、WSUS管理対象は減る。WSUSサーバーの規模を最適化することで、運用コストを削減できる。
最適化項目:
ハイブリッド構成は、あくまで過渡期の構成だ。最終的にはIntune管理を拡大し、WSUS管理を縮小することを目指す。
拡大戦略:
いいえ、WSUSはWindows Server OSに含まれているため、追加ライセンス費用はかかりません。ただし、サーバーのハードウェア費用、電気代、管理者の工数などの運用コストがかかります。年間で20〜30万円程度のハードウェア費用と、月10〜20時間の運用工数が必要です。
技術的には可能ですが、強く推奨しません。ポリシーが競合する可能性があり、予期しない動作になるためです。1台のPCはWSUSかIntuneのどちらか一方で管理するべきです。
はい、できます。ただし、WSUSサーバーを再構築する必要があり、更新プログラムの同期に数時間〜数日かかります。そのため、WSUS廃止後も3ヶ月程度はサーバーを停止状態で保管し、問題が発生した場合に備えることを推奨します。
いいえ、異なります。WSUSは管理者が承認したタイミングで配信されますが、Intuneは延期期間が経過したタイミングで自動配信されます。例えば、Intuneで「7日延期」に設定している場合、Microsoftが更新プログラムをリリースしてから7日後に自動配信されます。WSUSで承認していないKBも、Intuneでは自動配信される点に注意が必要です。
はい、できます。それがまさにハイブリッド構成です。オフライン環境の端末はWSUS管理、オンライン環境の端末はIntune管理とすることで、両立が可能です。ただし、管理ツールが複数になるため、運用が複雑になる点に注意が必要です。
いいえ、影響ありません。Intune管理のPCは、Microsoft Updateサービスから直接更新プログラムをダウンロードするため、WSUSサーバーを停止しても問題ありません。ただし、グループポリシーで「WSUSサーバーの指定」が残っている場合、それを削除する必要があります。
WSUS廃止を実施する前に、以下のチェックリストで準備が整っているか確認する:
□ 全端末のOSバージョンを確認した(Windows 10/11のみか?)
□ オフライン環境の有無を確認した
□ WSUSで除外しているKBの一覧を確認した
□ 特定のKBを除外する必要があるか確認した
□ 業務システムとの互換性を確認した
□ Intuneの更新リングを作成した
□ テストグループで1ヶ月以上検証した
□ 段階的な展開計画を作成した
□ ロールバック手順を準備した
□ ユーザーへの周知を行った
□ 監査要件を確認した(完全なコントロールが必要か?)
□ 経営層・上司の承認を得た
すべてのチェックが完了していれば、WSUS廃止を進めて問題ない。一つでも未完了があれば、慎重に検討すべきだ。
Intune移行後にWSUSを完全廃止できるかどうかは、自社の環境と要件次第だ。
完全廃止できるケース:
WSUSを残すべきケース:
ハイブリッド構成を検討すべきケース:
判断フローチャートで自社の状況を確認し、適切な選択をしてほしい。私の経験では、約70%の企業はWSUS完全廃止が可能だが、約30%はハイブリッド構成またはWSUS継続が必要だった。
WSUS廃止により、年間約80万円のコスト削減が期待できる。特に運用工数の削減効果が大きい。一方で、無理にWSUSを廃止して業務に支障が出るリスクもある。慎重に検討してほしい。
IT管理者としてクラウド移行のスキルを磨きたいなら、レバテックキャリアでIntune・Azure経験者向けの求人をチェックしてみよう。IntuneとWSUSの両方を理解している人材は、転職市場で年収600万円〜800万円の求人に繋がる貴重なスキルだ。