※本記事は架空の事例であり、実在の企業とは関係ありません。参考情報としてご活用ください。
「Intuneに移行したいけど、実際どれくらい大変なんだろう?」
この疑問に答えるため、ある中小企業(従業員80名、PC管理台数75台)がWSUSからIntuneに移行した3ヶ月間の記録を紹介する。
移行にかかった時間、発生した問題、得られた効果など、実際のデータを基に解説する。
A社(仮名):
A社がIntune移行を決めた理由は2つあった。
コロナ禍以降、リモートワーク中心の働き方に移行。全社員の70%が週3日以上リモートワークをしていた。
しかし、WSUSはVPN接続が必要なため、リモートワーク中の社員がWindows Updateを適用するには、VPNに接続してWSUSサーバーにアクセスする必要があった。
この運用が煩雑で、更新プログラムの適用が遅延する端末が増えていた。
WSUSサーバーのハードウェアが導入から5年経過し、老朽化していた。
ディスク容量不足、同期エラー、WSUSコンソールの動作が遅いなど、トラブルが頻発していた。
サーバーリプレースの見積もりを取ったところ、ハードウェア費用とセットアップ作業で約50万円かかることが判明。
この機会に、Intuneに移行してWSUSサーバーを廃止することを決定した。
まず、現状の管理状況を把握した。
次に、Intuneのライセンスを確認した。
A社はMicrosoft 365 Business Premiumを契約していたため、Intuneのライセンスはすでに含まれていた。追加費用は不要だった。
テストグループとして、IT部門の10台のPCを選定。
Intuneの更新リングを作成し、以下の設定を適用:
テストグループの10台をIntuneに登録。
Azure AD JoinではなくHybrid Azure AD Joinを選択(オンプレADをそのまま利用)。
1週間運用し、Windows Updateが正常に適用されることを確認。
テスト運用で問題がなかったため、第1グループ(営業部門30台)に展開。
Azure AD Connectを使って、オンプレADとAzure ADを同期。Hybrid Azure AD Joinで30台を登録。
第1グループ展開後、問題が発生した。
ある営業部門の社員から「業務アプリが起動しない」という報告があった。
調査したところ、最新の品質更新プログラム(KB5012345)が原因で、業務アプリとの互換性問題が発生していた。
この問題は、Intuneで特定のKBを除外できないため、対処が難しかった。
結局、業務アプリのベンダーに問い合わせ、アプリ側のアップデートで対応してもらった。(対応までに2週間かかった)
この経験から、「Intuneでは特定のKBを除外できない」というリスクを痛感した。
業務アプリの問題が解決した後、第1グループの運用は安定した。
リモートワーク中の社員から「VPN接続しなくても自動でWindows Updateが適用されるので楽になった」という声が上がった。
第1グループで問題がなかったため、残りの35台(総務・経理部門)を第2グループとして展開。
この段階で、全75台がIntuneで管理されるようになった。
念のため、WSUSサーバーを1週間並行運用。
IntuneとWSUSの両方で更新プログラムが適用されることを確認し、問題がないことを確認した。
全75台がIntuneで正常に管理されることを確認し、WSUSサーバーを停止。
1ヶ月後、問題がなかったためWSUSサーバーを完全廃止した。
工数を人件費に換算すると(時給3,000円と仮定):
120時間 × 3,000円 = 360,000円/年
初年度で約40万円のコスト削減効果があった。
WSUS運用工数:月15時間 → Intune運用工数:月5時間
月10時間の削減に成功。この時間を、他の業務(セキュリティ対策、ユーザーサポートなど)に充てられるようになった。
リモートワーク中の社員が、VPN接続なしで自動でWindows Updateが適用されるようになった。
更新プログラムの適用率が、移行前の80%から95%に向上した。
更新プログラムの適用が自動化されたことで、脆弱性が放置されるリスクが減った。
Intuneでは特定のKBを除外できないため、業務アプリとの互換性問題が発生した場合、対処が難しい。
事前にアプリベンダーに確認し、互換性問題がないことを確認すべきだった。
Hybrid Azure AD Joinを使うため、Azure AD Connectの設定が必要だった。
初めて触るツールだったため、設定に時間がかかった(約5時間)。
リモートワーク中の社員に対して、「VPN接続しなくてもWindows Updateが適用される」ことを周知する必要があった。
一部の社員が「VPN接続しないとWindows Updateが適用されない」と誤解していたため、全社メールで説明した。
毎月の更新プログラム承認作業から解放された。
Intuneは一度ポリシーを設定すれば、あとは自動で回る。
リモートワーク中の社員が、VPN接続なしで自動でWindows Updateが適用されるようになった。
WSUSサーバーのリプレース費用50万円を回避できた。
A社は、社内にWindows Server 2019のファイルサーバーが1台ある。
IntuneではWindows Server OSを管理できないため、このサーバーは引き続きWSUSで管理する必要がある。
Azure Arcを使った管理を検討中。
まだ一部のグループポリシーが残っている。
今後、段階的にIntuneポリシーに移行していく予定。
A社の事例から、中小企業でもIntune移行は現実的であることが分かる。
移行にかかった時間は45時間、コストは0円(既存ライセンス活用)。
初年度で約40万円のコスト削減効果があり、運用工数も月10時間削減できた。
移行で苦労したポイントは、業務アプリとの互換性問題、Azure AD Connectの設定、ユーザー教育など。
しかし、事前準備とテスト運用を丁寧に行うことで、これらの問題は乗り越えられる。
IT管理者としてクラウド移行のスキルを磨きたいなら、レバテックキャリアでIntune・Azure経験者向けの求人をチェックしてみよう。