かつて山市良と呼ばれたおじさんのブログ

セイテクエンジニアのブログ  かつて山市良と呼ばれたおじさんのブログ  vol.89 WSUSの後継としてのMicrosoft Intuneを考える

 

 

vol.89 WSUSの後継としてのMicrosoft Intuneを考える

2025年03月06日配信
2025年04月22日更新
執筆者:山内 和朗

 Windows Server 2025がリリースされ、このバージョンから「Windows Server Update Services(WSUS)」は開発終了扱いとなり、非推奨の役割になりました。WSUSがすぐに利用できなくなるわけではありませんが、WSUSの非推奨化は、オンプレミスの更新管理を見直すことを始める良い機会です。WSUSを完全に置き換えるものではありませんが、MicrosoftはWindowsの更新管理機能を含むクラウドサービスとして「Microsoft Intune」を提供しています。今回からWSUSの代替という視点でMicrosoft Intuneをいろいろと試してみたいと思います。

 

Microsoft Intuneとは

 

 Microsoft Intune(以下、Intune)は、Microsoftが提供するクラウドベースのエンドポイント管理ソリューションです。エンドポイントには、企業内のクライアントデバイス、個人のBYOD(Bring Your Own Device)モバイルデバイス、「Windows 365クラウドPC」や「Azure Virtual Desktop」といった仮想デバイスが含まれ、アプリとデバイスの構成とセキュリティをポリシーベースで管理することができます。Intuneの管理基盤はクラウドだけで完結できますが、オンプレミスの「Microsoft Configuration Manager」(旧称、Microsoft Endpoint Configuration Manager、System Center Configuration Manager)とのハイブリッド管理(共同管理)にも対応しています。

Microsoft Intuneの概要|Microsoft Intune(Microsoft Learn)

 Intuneは、2011年3月にクラウドベースのPC管理サービスとして「Windows Intune」という名前で正式にサービスを開始しました。意外と歴史の長いサービスです。日本では、ちょうど東日本大震災直後の混乱した時期で、日本でのみサービスの提供開始が1か月後に延期されたことを記憶しています。当初のサービスは、System Centerのシステム管理機能と、Microsoftのマルウェア対策ソフトの機能(Malware Protection/Endpoint Protection)をクラウドから提供するもので、PCのセキュリティ対策に不可欠な「更新プログラム管理」「ウイルス対策」「暗号化(Windows 7 EnterpriseのBitLockerドライブ暗号化*1)」を、オンプレミスにインフラストラクチャを用意することなく、オールインワンですぐに利用できることが売りでした。

*1 サービス提供当初はWindows IntuneライセンスにWindows 7 Enterpriseアップグレード権が含まれていましたが、現在のMicrosoft IntuneライセンスににはWindows 10/11 Enterpriseアップグレード権は含まれません。

 その後、iOSやAndroid、macOS、Linux、(今は亡き)Windows Phone、Windows RTといったマルチプラットフォームに対応し、モバイルデバイス管理(MDM)機能が強化され、「Microsoft Intune」に改称されました。さらに、Windows 10から導入されたセットアップ自動化サービス「Windows Autopliot」への対応、Windows 10/11の品質更新プログラムや機能更新プログラムへの対応、WindowsとMicrosoft 365向けの新しい更新サービス「Windows Autopatch」(以前のWindows Update for Business展開サービスの機能を含む)の提供、Chrome OSなど対応デバイスの拡張を経て、現在に至ります。

 かなり端折りましたが、Intuneには毎月のように新機能が追加されています。詳しくは、以下のブログ(英語)をご覧ください。

Microsoft Intune Blog(Tech Community)

WSUSとIntuneのWindows向け更新機能

 

 Windows ServerのWSUSはオンプレミスの更新管理基盤として多くの企業で利用されてきました。WSUSの開発が終了し、非推奨化されても、まだ当面の間はオンプレミス向けの更新管理ソリューションの主力として働いてもらわなければ困ると考えている人は多いと思います。一方で、WSUSが廃止される将来を見据えて検討を始めることも重要です。

 

 WSUS導入の利点を以下に列挙してみました。

 

  • Microsoftからのダウンロードトラフィックの最適化(インターネット帯域の削減)
  • 社内ネットワークのトラフィックの最適化(アップストリームサーバー/ダウンストリームサーバー構成)
  • 承認ベースの更新プログラムの配布許可/拒否
  • デバイスの更新状態のレポート
  • 機能更新プログラム(Windowsのアップグレード)の展開
  • デバイスのグループ化による更新制御
  • インターネットから隔離された環境内のデバイスへの更新プログラムの配布
  • ドライバーの配布*2
    ・・・

 

*2 Microsoftは2025年4月18日をもって、今後(時期は未定)、WSUSのドライバー同期を終了する予定です。今後、ドライバー更新サービスとしては、Intuneのドライバーとファームウェア更新管理機能を利用できます。
Deprecation of WSUS driver synchronization|Windows IT Pro Blog(Tech Community)

更新情報:
2025/04/08 2025年4月のドライバー同期終了は延期されました。 Continuing WSUS support for driver synchronization|Windows IT Pro Blog(Tech Commmunity)

 

 かつて、WindowsとMicrosoft製品の更新プログラムは、WSUSで一元的に管理することができた時代もありました。しかし、現在はどうなっているかというと、Microsoftが更新プログラムを提供するWindows、Microsoft 365 Apps、Microsoft Edge、ストアアプリは、すべて別の更新サービスを使用しており、一元管理できる部分は限られています。また、Windowsの更新プログラムは、昔のように特定の問題を修正する小さな多数のパッチではなく(Windows 7以前を思い出してください)、累積的な更新プログラムとなり、管理者による承認に基づいた配布許可/拒否は、品質更新プログラムについてはあまり意味がなくなってしまいました。個別の修正パッチだった以前なら、問題のあると分かった更新プログラムは除外できましたが、現在ではそうはいきません。もちろん、品質更新プログラム自体に重大な問題が判明した場合は、広くデバイスに配布される前に拒否することで、配信を一時的にストップさせ、影響を最小限にするといった使い方はできます。

 現在のWSUSの役割は、WindowsとWindows Serverのための、ダウンロードトラフィックの最適化と更新状態のレポート、機能更新プログラムの企業内展開、そして隔離された環境内のデバイスへの更新プログラムの配布といったところでしょう。

 これらの機能をIntuneがすべて提供できるかというと、残念ながらできません。少なくとも、クライアントデバイスにはインターネットアクセス環境が必要であるため、隔離された環境内のデバイスの更新には利用できません。また、サポートされているオペレーティングシステム(OS)に含まれないため、Windows Serverの更新にも利用できないはずです。

Intune でサポートされるオペレーティング システムとブラウザー|Microsoft Intune(Microsoft Learn)

 クライアントデバイスは個別に更新プログラムをインターネット経由でダウンロードすることになるため、ダウンロードトラフィックを最適化することもできません。トラフィックの最適化のためには、この連載の以下の回で紹介した「Microsoft Connected Cache for Enterprise」(現在プレビュー提供中)のような仕組みと組わせる必要があります。

vol.76 オンプレミスWSUSの代替になるか? Microsoft Connected Cache for Enterprise(Preview)をプレビュー|Windows Server 2025大特集(13)

 前述のように、Intuneはマルチプラットフォームに対応しています。Windowsのデバイスについては、サポートライフサイクル期間中のWindows 10とWindows 11のすべてのエディション(LTSCを含む)をサポートしています。ただし、IntuneのWindows向けのすべての機能を、すべてのエディションで利用できるわけではありません。Windowsの更新プログラム管理にはPro以上のエディションが必要ですし、Windows Autopatchなど一部の機能には「Microsoft Entra ID P1またはP2」「Windows 10/11 Enterprise E3またはE5」(または同ライセンスを含むMicrosoft 365プラン)も必要です(画面1)。

 

画面1 Windowsの更新機能のフル機能(Windows Autopatch)には、Entra ID P1、Windows 10/11 Enterprise E3などのライセンスが必要
画面1 Windowsの更新機能のフル機能(Windows Autopatch)には、Entra ID P1、Windows 10/11 Enterprise E3などのライセンスが必要

 Intuneはサービスを単体で購入することもできますし、「Microsoft 365」の企業向けプラン(Business Premium/E3/E5など)、「Enterprise Mobility + Security E3/E5」に含まれるサービスとして利用できる場合もあります。既にMicrosoft Entra ID(旧称、Azure Active Directory)のテナントをお持ちで、必要な権限を持っているのであれば、「Microsoft 365管理センター」の「マーケットプレース」から購入することができます(画面2)。IntuneのプランとIntuneライセンスを含むクラウドサービスについては、以下で確認してください。

Microsoft Intune のプランと価格|Microsoft Security(Microsoft)
Microsoft Intune のライセンス|Microsoft Intune(Microsoft Learn)

画面2 Microsoft Entra IDのテナントを持っていれば、Microsoft管理センターの「マーケットプレース」からIntuneのライセンスを購入できる
画面2 Microsoft Entra IDのテナントを持っていれば、Microsoft管理センターの「マーケットプレース」からIntuneのライセンスを購入できる

 

 次回からはIntuneを使用したWindowsの更新管理について、評価していきたいと考えています。それもゼロから(Microsoft 365などのクラウドサービスを利用していないという意味)、Intuneを購入して、導入するところから始めます。既にMicrosoft 365のクラウドサービスを導入済みであれば、Intuneを含まないプランだったとしても前述のように簡単に追加して使用することができます。しかし、これまですべてオンプレミスで完結してきた企業もあるでしょう。必要最小限なコストで導入する手順を紹介することは、とても意味のあることだと思います。小規模な評価環境でIntuneを評価するのにも適しています。

blog_yamanxworld_subscribe

blog_yamanxworld_comment

blog_yamanxworld_WP_ws2025

最新記事