“WSUS廃止”、有力な移行先は？ Intune、Autopatch、Azure Update Managerの違いを整理：Microsoft MVP胡田のWindowsダイアリー（6）

Microsoftが2024年9月に非推奨化（廃止）を発表したWindows Server Update Services（WSUS）。これを利用している組織は、代替策として何を選べばよいのでしょうか。Microsoftが推奨する代替策には、Microsoft Intune、Windows Autopatch、Azure Update Managerなどがあります。いずれもWSUSを丸ごと置き換えるものではなく、それぞれ役割や管理対象、必要なライセンスが異なります。クライアントとサーバの更新管理を切り分けた上で、WSUSからの移行を進める上で押さえておきたい代替策の違いと選び方を整理します。

[胡田昌彦，＠IT]

連載目次

　Microsoftは、Windowsの更新管理ツール「Windows Server Update Services」（WSUS）を非推奨とする方針を発表しています。一般には「WSUS廃止」とも呼ばれますが、すぐにWSUSが使えなくなるわけではありません。少なくとも「Windows Server 2025」のサポート期間中は利用できる見込みですが、その先の方向性は不透明です。WSUSを利用する組織は、早めに移行先の検討に着手すべきです。

　移行先として検討できるWSUS代替策には、サードパーティー製の管理ツールも存在します。ただしWSUSを利用している組織では、既存のMicrosoft製品との連携や保有ライセンスの活用が、移行先選定の重要な要素になります。本記事ではこうした事情を踏まえて、同社が代替策として提示している純正ツールを中心に整理します。

WSUS代替策を整理する

　WSUSの移行先を考えるときに、最初にやるべきことがあります。それはクライアント（「Windows 10」「同11」）とサーバ（「Windows Server」）を、はっきり別物として切り分けることです。WSUSはクライアントもサーバもまとめて管理できました。その代替策としてMicrosoftが推奨するツールは、基本的にはクライアント向けとサーバ向けで分かれています。管理画面も別ですし、ライセンスも別です。クライアントとサーバの両方をWSUSで管理していた組織は、移行後はそれぞれについて別々のツールや管理方法を考える必要があります。これが、まず押さえるべき前提です。

　その上で、WSUSが担っていた役割を、それぞれの移行先に割り当て直します。具体的な役割は「更新管理」（更新プログラムの承認や適用タイミングの制御）と「更新配信の帯域（回線容量）節約」です。前者はクライアント向けとサーバ向けで、別々のツールが担います。後者はクライアントとサーバに共通する機能として、前者とは別の仕組みが担うことになります。

クライアント更新管理：オンプレミスからクラウドまで4つの代替策

　クライアントの更新管理について、まず現状の考え方を押さえておきましょう。かつてのWSUSは、IT担当者が個々の更新プログラムを承認して配布する方式でした。現状のクライアント更新管理では、こうした方式は主流ではありません。

　現状の一般的なクライアント更新管理では、クライアントは「Windows Update」から更新プログラムを直接取得します。IT担当者は「更新リング」（更新プログラムの適用タイミングや再起動の挙動を定めるポリシー）によって、更新適用のタイミングだけを制御します。こうしたクライアント更新管理を実現する仕組みが「Windows Update for Business」（WUfB）です（Microsoftの技術文書サイト「Microsoft Learn」の情報「What are Windows Update client policies?」）。

　これまでWSUSを使ってきたIT担当者は「管理ツールをどこまでクラウドサービスに寄せるか」という観点で整理すると、代替策の比較や検討がしやすくなります。オンプレミス形式の管理ツール（以下、オンプレミス管理ツール）中心の運用から、クラウドサービス形式の管理ツール（以下、クラウド管理ツール）中心の運用の順に代替策を並べると、おおよそ次のようになります。

• 1．Windowsの設定を一括配布する「グループポリシー」とWUfBの組み合わせ（クラウド管理ツールは不要）
  • WSUSサーバをやめて、クライアントがWindows Updateから更新プログラムを直接取得する構成です。更新プログラムの適用時期や延期期間、再起動方法などを制御する設定（以下、更新管理ポリシー）を、グループポリシーで配布するだけで運用できます。Microsoftの「Microsoft Intune」（以下、Intune）といった、クラウド管理ツールは必要ありません。更新管理ポリシーの配布も、既存の「Active Directory」（AD）だけで完結します。ただしクライアントがWindows Updateから更新プログラムを直接取得することから、インターネット接続が前提になります（完全な閉域環境には向きません）
• 2．Microsoftのオンプレミス管理ツール「Configuration Manager」（旧SCCM：System Center Configuration Manager）
  • 従来通り、オンプレミス管理ツールでクライアント更新管理を続けたい場合の代表的な選択肢です。クライアントとサーバの更新管理をまとめて実施でき、WSUS非推奨化の影響も受けません。将来はConfiguration ManagerとIntuneでクライアントを共同管理（Co-management）することで、段階的にクラウド管理ツールへの移行も可能な、可搬性のある構成です
• 3．Intune
  • クラウド管理ツールでクライアント更新管理を実現したい場合に、Microsoftが推奨する選択肢です。更新リングや機能更新プログラム（Feature Update）、品質更新プログラム（Quality Update）、ドライバー更新の適用を制御するポリシーをIntuneから配信し、Intuneの管理画面で一元管理します（Microsoft Learn「Windows Update 管理の概要」）
• 4．Microsoftの自動更新管理サービス「Windows Autopatch」
  • 更新リングの設計から更新プログラムの段階的な展開（ロールアウト）、監視、問題検知時の更新プログラムの展開停止まで自動化します。IT担当者はIntuneの管理画面を利用して、Windows Autopatchを運用します

　IntuneやWindows Autopatchによるクライアント更新管理を実現するには、まずクライアントをIntuneの管理対象として登録する必要があります。特にWindows Autopatchでは、クライアントをMicrosoftのID管理サービス「Microsoft Entra ID」（以下、Entra ID）に参加させること、またはオンプレミスのADとEntra IDの両方に参加させること（Microsoft Entraハイブリッド参加）のいずれかが必須です。一方でグループポリシーやConfiguration Managerは、クライアントをIntuneに登録したり、Entra IDに参加させたりする必要がありません。

　Windows Autopatchで注目すべきなのは、その利用権を含むMicrosoftライセンスが比較的幅広いことです。「Microsoft 365 E3」「同E5」に加えて、「Microsoft 365 Education A3」「同A5」、そして「Microsoft 365 Business Premium」も対象となります（Microsoft Learn「Prerequisites」）。既にこれらのライセンスを保有している組織であれば、Windows Autopatchのために新たなライセンスを購入することなく、移行に着手できる可能性があります。

　Configuration Managerを利用している組織は、原稿執筆時点ではWSUS非推奨の影響を受けません。Configuration Managerは内部的にWSUSのコンポーネントを利用していますが、MicrosoftはWSUSの非推奨化がConfiguration Managerには影響しないと明言しています。

サーバ更新管理：「Azure Update Manager」が中核

　サーバの更新管理に利用するツールとして、Microsoftが推奨するのが「Azure Update Manager」です（Microsoft Learn「Azure Update Manager とは」）。こちらの対象はサーバ（Windows Server）であり、クライアントは対象外です。先ほどのクライアント更新管理ツールとは、管理対象が明確に分かれます。だからこそクライアントとサーバを最初に切り分けて考える必要があるわけです。

　Azure Update Managerの特徴は、クラウドサービス群「Microsoft Azure」で稼働するサーバと、オンプレミスのサーバを区別なく扱えることです。Azureの仮想マシン（VM）サービス「Azure Virtual Machines」（以下、Azure VM）は、そのまま管理対象になります（追加料金なし）。

　オンプレミスサーバや他のクラウドサービスで稼働するサーバについては、それらをAzureの管理対象にする仕組みである「Azure Arc」を利用することで、Azure VMと同じ管理画面で一元管理できるようになります。Azure Arcによって「クラウドサービスのサーバも、オンプレミスサーバも、更新管理はAzure Update Managerに集約する」という運用が可能になるのです。

　重要なのは、Azure Update ManagerはWSUSを残したまま利用できることです。例えば引き続きWSUSに更新プログラムの配信を任せながら、まずは更新スケジュールの管理やレポート作成にAzure Update Managerを使うといったことができます。更新プログラムの配信と管理を一度に切り替える必要はなく、段階的にAzure Update Managerに移行できるのです。

更新配信の帯域節約（クライアント、サーバ共通）：Connected Cacheで代替

　WSUSには更新データをキャッシュし、回線負荷を抑える帯域節約の機能があります。これを引き継ぐのが「Microsoft Connected Cache for Enterprise and Education」（以下、Connected Cache）です（Microsoft Learn「Microsoft Connected Cache for Enterprise and Education の概要」）。

　Connected Cacheは、2025年7月23日（米国時間）に一般提供開始（General Availability：GA）になりました（Microsoftの公式ブログ「Windows IT Pro Blog」の情報「Microsoft Connected Cache is now generally available」）。Windows Updateで配信する更新プログラムや、Intune経由で配布するアプリケーションなどを社内にキャッシュし、複数のクライアントが同じデータをインターネットから繰り返しダウンロードしなくて済むようにします。その結果、インターネット回線の利用量削減につながります。WSUSのように更新プログラムを承認したり、適用タイミングを制御したりする仕組みではなく、あくまでも配信効率化（帯域節約）の代替手段である点に注意してください。

　組織でのConnected Cacheの活用事例については、筆者が運営に関わるコミュニティーであるハイブリッドクラウド研究会（HCCJP）が、2025年10月に開催した勉強会「WSUSの次のキャッシュはこれ？ Connected Cache導入事例！」でも紹介しています（「YouTube」でのアーカイブ動画「HCCJP#66 WSUSの次のキャッシュはこれ？Connected Cache導入事例！」）。筆者も、GA時にYouTubeで概要を解説しています（YouTube「Microsoft Connected CacheがGAしたのでWindows Updateの配信が効率化できますね！」）。

図　WSUS代替策の全体像（筆者作成）《クリックで拡大》

核心の「エアギャップ環境」も　WSUS代替策の注意点

　ここまで紹介したIntuneやWindows Autopatch、Azure Update Manager、Connected CacheといったWSUS代替策は、インターネット接続を前提としています。そのためインターネットや他のネットワークから切り離して運用する「エアギャップ環境」では利用できません。実はこれこそが、WSUSが今も必要とされている大きな理由です。

　原稿執筆時点では、エアギャップ環境向けの更新管理手段として、WSUSを引き続き利用できます。更新プログラムをエクスポート／インポートすることで、インターネットに接続しない非接続運用も可能です。Microsoft純正の更新管理ツールという観点では、エアギャップ環境向けの実質的な選択肢は、引き続きWSUSだという状況は変わりません。

見落としがちな論点――“無償”から「課金」へ

　機能面の比較と並んで、IT担当者が見落とせないのがコストの変化です。WSUSは、Windows Serverのライセンスがあれば追加料金なしで利用できる、いわば「OS同梱（どうこん）の“無償”更新管理ツール」でした。管理対象のクライアントやサーバが増えても、それだけで追加ライセンス料金が発生することはありません。一方で後継となる代替策では、更新の管理／制御機能を利用するために、別途ライセンス料金やサービス利用料金が必要になることがあります。

　例えばクライアント向けのIntuneやWindows Autopatchを利用するには、Microsoft 365 E3／E5／Business Premiumなどの対象ライセンスが必要です。既に契約していれば追加料金は発生しませんが、未契約の場合はユーザー単位でライセンスを追加購入する必要があります。

　サーバ向けのAzure Update Managerは、Azure VMであれば追加料金なしで利用できます。一方でオンプレミスサーバや他のクラウドサービスで稼働するサーバを管理する場合は、Azure Arcによる接続が前提となり、原則としてサーバ単位の利用料金が発生します。ただしソフトウェア保守契約の「Software Assurance」やサーバ向けセキュリティサービス「Defender for Servers Plan 2」の契約状況によっては、追加料金が不要になることがあります。またConfiguration Managerについては、利用には別途ライセンスが必要です。

　追加ライセンス料金なしで利用できる選択肢としては、ソフトウェア自体は無償のConnected Cacheや、エアギャップ環境向けに引き続き利用できるWSUSくらいです。一方でMicrosoftが代替策として推奨するツールは、総じてMicrosoft 365ライセンスやAzureサービスの利用を前提としています。つまり「Windows Serverに付属する“無償”の更新管理ツールを利用する」という前提そのものが、静かに終わりつつあるのです。

　だからこそWSUSの代替策を検討する際は、機能面だけではなく、ライセンス料金やサービス利用料金を含めた運用コストを併せて評価する必要があります。

筆者はこう見る――WSUS非推奨は「クラウドに向かうかどうか」の試金石

　ここからは筆者の見立てです。Microsoftが示すWSUS代替策を見ると、更新管理をクラウド管理ツール中心に移行したいという方向性が明確です。クラウド管理ツール前提の運用に移行する際には、新たなコストが発生する場合があります。それでも既にMicrosoft 365やAzureを活用し、クライアントやサーバをクラウド管理ツールで管理する前提条件が整っている組織であれば、Microsoftが推奨する代替策に移行しやすいといえます。

　Microsoftは単にツールの置き換えを求めているのではなく、更新管理の運用そのものを見直すように促しているのではないかと、筆者は受け取っています。IT担当者が運用負荷を抱え込むのではなく、更新管理の一部をクラウド管理ツールに任せることで、管理負荷の軽減や運用品質の向上を目指す――。こうした考え方が、同社にはあるように見えます。

　こうした考え方の象徴とも言えるのがWindows Autopatchでしょう。Windows Autopatchは更新リングの設計や更新の段階的な展開などを自動化でき、対象ライセンスを保有していれば追加料金なしで利用できます。

　クラウドサービスへの移行によるIT担当者の業務変革は、更新管理に限った話ではありません。Microsoft 365などのSaaSや、AzureなどのPaaSへの移行も含めて、クラウドサービスを前提としたシステム運用全般に通じる考え方です。

　問題は、こうした考え方と必ずしも相性が良くない組織です。代表例が、インターネットから切り離されたエアギャップ環境や、さまざまな事情からクラウドサービスを利用できない組織でしょう。クラウドサービスを選択しない、あるいは選択できない組織では、更新プログラム管理に限らず、さまざまな場面で選択肢が狭まりつつあります。

　WSUS非推奨化は、直ちに何かができなくなるという話ではありません。Windows Server 2025のサポート期間中（2034年まで）は、WSUSを利用できる見込みです。数年単位で計画的に移行を進められる状況だと言えるでしょう。

　だからこそ目先の代替策選びにとどまらず、「自社は今後、どのようなシステム運用の形を目指すのか」を考える機会にしてほしいと思います。クラウドサービスを中心に運用するのか、それともオンプレミスシステムを軸に維持するのか。更新管理の仕組みをどう構築し、どのような管理ツールを利用するのか。5年、10年、15年というスパンでロードマップを描き、自社の進む方向を見定める――。WSUSの非推奨化は、そのための分かりやすい判断材料の一つになるはずです。

IT担当者が今やるべきこと

　慌ててWSUSから代替策に移行する必要はありませんが、「まだ大丈夫だ」と考えて準備を先送りするのも得策ではありません。まずは保有ライセンスの状況や、クライアントのEntra ID参加状況、インターネット接続の可否、WSUSサーバのネットワーク公開状況などを棚卸しした上で、自社に合った形で移行準備を進めてください。

　まず全ての組織で実施したいこととして、WSUSを運用している場合は、既知の深刻な脆弱（ぜいじゃく）性向けの緊急の更新プログラムを適用し、WSUSで利用するポート（8530、8531）の公開範囲を確認します（Microsoftの脆弱性情報サイト「Security Update Guide」の情報「Windows Server Update Service (WSUS) Remote Code Execution Vulnerability」）。これは移行検討とは別に、優先して対処したいことです。

　その他、自社の環境や運用形態に応じて、次のような取り組みが考えられます。

• クライアント更新管理を見直す場合
  • Microsoft 365 E3／E5／Business Premiumなどの対象ライセンスを保有している場合、IntuneやWindows Autopatchへの移行が有力な選択肢になります。WSUSと併用しながらの段階的な移行も可能です
• サーバ更新管理を見直す場合
  • Azure VMを利用している場合、Azure Update Managerを試験導入する価値があります。運用するサーバがオンプレミスサーバ中心の場合は、Azure Arc接続時のコストを評価しながら検討するとよいでしょう。WSUSとの併用も可能です
• 更新管理にConfiguration Managerを利用している場合
  • 原稿執筆時点では大きな影響はありません。長期的には、Intuneとの共同管理（Co-management）も選択肢になります
• エアギャップ環境の場合
  • 現時点ではWSUSを継続利用するのが現実的です。Microsoftの発表や公式ブログを定期的に確認し、新たな選択肢が登場していないかどうかを継続的に把握するとよいでしょう

WSUS非推奨化への対処は終わりではなく、ここから始まる

　WSUSの非推奨化は「終了宣告」ではなく「終わりの始まり」です。繰り返しになりますが、直ちにWSUSが利用できなくなることを意味するものではありません。それでも更新管理の将来像を検討すべき時期に入ったことは確かです。少なくともWindows Server 2025のサポートが続く2034年まではWSUSを利用できますが、新機能の追加計画はありません。Microsoftが緊急の更新プログラムを提供するなど、セキュリティリスクへの対処は今後も必要になります。

　クラウド管理ツールを活用した更新管理への移行は大きな流れですが、慌てる必要はありません。まずは自社の現状を棚卸しして、できることから段階的に進める――。この記事が、そのための第一歩になれば幸いです。

　なお筆者は、WSUS非推奨化とWindows更新管理の基礎について、YouTubeチャンネルでも「WSUS廃止の衝撃！Windows更新管理の基礎から最新まで総まとめ！」と題して、前後編で解説しています（前編、後編＜有償のメンバーシップ登録が必要＞）。代替策の比較をさらに詳しく知りたい方は、合わせて参考にしてください。

筆者紹介

胡田昌彦（えびすだ・まさひこ）

日本ビジネスシステムズに勤務。幼少期からコンピュータ大好きで歴は40年以上。インフラから、クラウド、アプリ、生成AIまで幅広く取組中。2014年からMicrosoft MVPアワードを連続受賞中。Windows、Windows Server、Microsoft Azure、Microsoft 365など、Microsoftソリューションを中心に情報発信中。YouTuberとしても活動中（https://www.youtube.com/@ebibibi）。