「Intuneに移行すれば、WSUSと同じことができる」は誤解
WSUS→Intune移行を検討しているIT担当者から、「IntuneはWSUSの完全な代替になりますか?」という質問をよく受ける。
結論から言うと、IntuneとWSUSは設計思想が異なるため、「同じこと」はできない。
ただし、Intuneには「WSUSではできなかったこと」もできる。
この記事では、Intuneでできること・できないことを、WSUS担当者向けに具体的に解説する。
Intuneでできること(WSUSではできなかったこと)
1. リモート端末の管理(VPN不要)
WSUSは社内ネットワークに接続している端末しか管理できない。リモートワーク端末を管理するには、VPN接続が必要だった。
Intuneはクラウドベースのため、インターネットに接続していれば、どこからでも管理できる。
- 自宅からのリモートワーク
- カフェや新幹線での移動中
- 海外出張中
これらのシーンでも、VPN接続なしでWindows Updateを配信できる。
2. Windows以外のデバイス管理(iOS、Android、macOS)
WSUSはWindowsのみ対応。
Intuneは以下のOSに対応:
- Windows 10/11
- iOS/iPadOS
- Android
- macOS
BYOD(私物端末の業務利用)環境でも、Intuneなら一元管理できる。
3. アプリケーション配信(Microsoft StoreアプリやWin32アプリ)
WSUSはWindows Updateの配信のみ。
Intuneは以下のアプリケーション配信に対応:
- Microsoft Storeアプリ(Office、Teams等)
- Win32アプリ(.exe、.msi)
- Webアプリ(リンクのみ配信)
- LOBアプリ(社内専用アプリ)
例えば、新入社員の端末に「Office 365」「Teams」「Adobe Acrobat Reader」を自動インストールすることが可能だ。
4. コンプライアンスポリシーによる条件付きアクセス
WSUSにはない機能として、「コンプライアンスポリシー」がある。
例えば:
- 「最新のWindows Updateが適用されていない端末は、社内システムにアクセスできない」
- 「ウイルス対策ソフトが無効な端末は、SharePointにアクセスできない」
このように、セキュリティ要件を満たさない端末を自動的にブロックできる。
5. 自動登録(Autopilot)
WSUSでは、新規端末のActive Directory参加は手動で行う必要があった。
IntuneのAutopilot機能を使えば、端末が初回起動時に自動的にAzure ADに参加し、必要なアプリケーションやポリシーが自動適用される。
新入社員や拠点増設時の端末セットアップ工数を大幅に削減できる。
Intuneでできないこと(WSUSならできたこと)
1. 更新プログラムの個別承認
WSUSでは、更新プログラムを1つずつ確認して承認できた。
Intuneは基本的に自動配信で、個別の更新プログラムを「この更新だけ拒否」といった細かい制御はできない。
ただし、以下の制御は可能:
- 品質更新プログラム(月例パッチ)の延期期間設定(0〜30日)
- 機能更新プログラム(大型アップデート)の延期期間設定(0〜365日)
- 特定のバージョン(例: Windows 11 24H2)への固定
「この更新プログラムだけは適用しない」という運用は、Intuneでは難しい。
2. 社内サーバーからの配信(帯域節約)
WSUSは社内サーバーから配信するため、インターネット帯域を消費しない。
Intuneはインターネット経由でMicrosoftから直接ダウンロードするため、帯域が不足すると遅延が発生する。
対策:
- 配信の最適化(Delivery Optimization)を有効にして、社内ピアツーピアでキャッシュ共有
- 帯域制限を設定(例: 営業時間中は1Mbps、夜間は無制限)
完全にインターネット経由を避けることはできないが、工夫次第で帯域消費を抑えられる。
3. オフライン環境での管理
WSUSは社内ネットワーク内で完結するため、インターネット接続がなくても管理できた(WSUSサーバー自体はインターネット接続が必要)。
Intuneはクラウドベースなので、端末がインターネットに接続していないと管理できない。
完全なオフライン環境(例: 工場の製造ライン端末)では、Intuneは使えない。
4. 詳細なレポート機能
WSUSは以下のレポート機能が充実していた:
- 更新プログラムごとのインストール状況
- コンピューターごとの更新状況
- 承認済み・未承認の更新プログラムリスト
Intuneにもレポート機能はあるが、WSUSほど詳細ではない。
ただし、Microsoft 365管理センターやAzure ADのレポート機能と組み合わせることで、より広範な情報を取得できる。
IntuneとWSUSの機能比較表
| 機能 | WSUS | Intune |
|---|---|---|
| Windows Update配信 | ◯ | ◯ |
| 更新プログラムの個別承認 | ◯ | △(延期設定のみ) |
| リモート端末管理(VPN不要) | ✕ | ◯ |
| iOS/Android管理 | ✕ | ◯ |
| アプリケーション配信 | ✕ | ◯ |
| 社内サーバーからの配信 | ◯ | △(Delivery Optimization) |
| オフライン環境対応 | ◯ | ✕ |
| コンプライアンスポリシー | ✕ | ◯ |
| 自動登録(Autopilot) | ✕ | ◯ |
| 詳細レポート | ◯ | △ |
Intuneに向いている組織・WSUSを残すべき組織
Intuneに向いている組織
- リモートワークが多い
- 複数拠点に端末が分散している
- iOS/Androidも管理したい
- クラウドファーストで運用したい
- IT担当者の工数を削減したい
WSUSを残すべき組織
- 完全にオフライン環境で運用している
- インターネット帯域が極端に狭い
- 更新プログラムを1つずつ確認してから適用したい
- クラウドサービスの利用が制限されている(規制業界など)
「ハイブリッド運用」という選択肢
IntuneとWSUSは、必ずしもどちらか一方を選ぶ必要はない。
以下のようなハイブリッド運用も可能だ:
- リモート端末:Intuneで管理
- 社内固定端末:WSUSで管理
詳しくは「Intune移行後もWSUSを残すべきケースと、完全廃止できるケースの判断基準」を参照してください。
Intune移行で「できなくなること」への対処法
対処法1: 更新プログラムの個別承認 → 延期期間で代替
個別承認はできないが、延期期間(0〜30日)を設定することで、検証期間を確保できる。
例えば:
- テストグループ:延期0日(すぐに適用)
- 営業部:延期7日(1週間後に適用)
- 全社展開:延期14日(2週間後に適用)
対処法2: 社内サーバーからの配信 → Delivery Optimizationで代替
完全に社内サーバーから配信することはできないが、Delivery Optimizationを有効にすることで、社内ピアツーピアでキャッシュ共有できる。
設定方法:
- Intune管理センター → デバイス → Windows → 構成プロファイル
- 「配信の最適化」を設定
- 「ダウンロードモード」を「HTTPとLANピアリング」に設定
対処法3: 詳細レポート → Microsoft 365管理センターと組み合わせ
Intune単体ではレポート機能が弱いが、Microsoft 365管理センターやAzure ADのレポート機能と組み合わせることで、より詳細な情報を取得できる。
まとめ:Intuneは「WSUSの代替」ではなく「次世代の端末管理」
IntuneとWSUSを比較すると、以下のことが分かる。
- Intuneでできること:リモート管理、マルチOS対応、アプリ配信、コンプライアンスポリシー
- Intuneでできないこと:更新プログラムの個別承認、完全なオフライン運用
Intuneは「WSUSの代替」ではなく、「次世代の端末管理」だ。
WSUSの機能をそのまま置き換えるのではなく、Intuneの強みを活かした運用設計が必要だ。
まずは「WSUSからIntuneへの移行、何から始めればいいか分からない人向けのロードマップ」を読んで、移行計画を立てよう。