WSUSが非推奨に!? Windowsの更新管理を改めて勉強する!

Transcript

1. WSUSが非推奨に!? Windowsの更新管理を改めて勉強する! @ebi Masahiko Ebisuda

2. 日本ビジネスシステムズ株式会社 胡田 昌彦(えびすだ まさひこ) Youtube https://youtube.com/@ebibibi 自己紹介 日本ビジネスシステムズ株式会社 こんな方にオススメ！ ✓

   企業の情報システム部で働く方 ✓ 一般ユーザーだけど、コンピューターに興味 があって、もっと詳しくなりたい方 ✓ Windows, Azure, M365等のMicrosoft 関連技術に興味がある方 チャンネル登録よろしくお願いします！

3. アジェンダ ◼ WSUSに関して何が発表されたのか？ ◼ 基礎知識 ◼ Windowsの更新プログラムの種類 ◼ 更新リング ◼

   配信の最適化(Delivery Optimization) ◼ Windowsの更新管理ソリューションの理解 ◼ Windows Update ◼ WSUS ◼ Microsoft Endpoint Configuration Manager ◼ Windows Update for Business ◼ Intune ◼ グループポリシー ◼ Windows Autopatch ◼ Azure Update Management ◼ 雑談

4. WSUSに関して 何が発表されたのか？

5. Windows Server Update Services (WSUS) deprecation - Windows IT Pro

   Blog https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-server-update-services-wsus-deprecation/ba-p/4250436

6. 記事概要(2024/9/25に更新) ◼ MicrosoftはWindows Server Update Services (WSUS) の廃止(deprecation)を発表した。 ◼ 新機能の開発や新たな機能リクエストの受け付けは行わない。

   ◼ 現在の機能は保持し、WSUSチャンネルを通じた更新プログラ ムの公開と既存のコンテンツのサポートは継続する。 ◼ 廃止(deprecation)とは、機能の新たな開発を停止し、将来の リリースで削除される可能性がある段階を指す。 ◼ WSUSの機能は引き続き動作し、サポートされるが、新機能の 追加予定はない。 ◼ 現在のところ、Windows Server 2025を含むWSUSの削除 計画はない。 ◼ WSUSの廃止(deprecation)はMicrosoft Configuration Managerの機能やサポートには影響しない。 ◼ WSUSの代替として、Windows AutopatchとMicrosoft Intune（クライアント管理）、およびAzure Update Manager（サーバー管理）への移行を推奨。

7. WSUSを使っている 組織はどうしたらいい？

8. Microsoft推奨(クラウドからの管理) クライアント管理 ◼ Windows Autopatch ◼ Intune サーバー管理 ◼ Azure

   Update Manager

9. 改めて手法を理解 適切な「将来設計」を 今のうちから

10. Windowsの 更新プログラムの種類

11. 昔と今の違いをしっかりと理解 Windows 8.1, Windows Server 2012 R2以前 Windows 10, Windows

    Server 2016以降 - セキュリティのみの更新プログラム - マンスリーロールアップ - セキュリティ更新プログラム(ロールアップ) 画像引用元：Windows 更新プログラムの適用について: “マンスリー ロールアップ” の適用をお勧めします - Windows Blog for Japan https://blogs.windows.com/japan/2021/03/22/the-application-of-the-windows-update/

12. 昔と今の違いをしっかりと理解 Windows 8.1, Windows Server 2012 R2以前 Windows 10, Windows

    Server 2016以降 - セキュリティのみの更新プログラム - マンスリーロールアップ - セキュリティ更新プログラム(ロールアップ) 画像引用元：Windows 更新プログラムの適用について: “マンスリー ロールアップ” の適用をお勧めします - Windows Blog for Japan https://blogs.windows.com/japan/2021/03/22/the-application-of-the-windows-update/ 昔と違ってWSUSで「パッチを選択する」意味は今は無い。 (※そもそも昔から推奨されていない)

13. (今の)更新プログラムの種類 リリースの種類 説明 リリース サイクル 毎月のセキュリティ更新プログラムの リリース セキュリティとセキュリティ以外の両 方のコンテンツを含む累積的な更新プ ログラム

    リリース 毎月第 2 火曜日 (通常は太平洋標準時 (PST/PDT) の午前 10 時に発行されま す) オプションのセキュリティ以外のプレ ビュー リリース 月次のセキュリティ更新プログラム リ リースの早期検証に通常使用されるオ プションの累積的な更新プログラム リ リース 毎月第 4 火曜日 (通常、太平洋標準時 (PST/PDT) の午前 10 時に発行されま す) 帯域外 (OOB) リリース 最近特定された問題または脆弱性を解 決します 必要に応じて 年次機能の更新 Windows のバージョンも変更する新機 能と拡張機能を含む更新プログラム 暦年の後半に年に 1 回 Windows 11 の継続的イノベーション Windows 11 の新機能と機能強化につ いて説明します オプションのセキュリティ以外のプレ ビュー リリースに定期的に含まれ、そ の後、毎月のセキュリティ更新プログ ラムリリースに含まれる

14. (今の)更新プログラムの種類 リリースの種類 説明 リリース サイクル 毎月のセキュリティ更新プログラムの リリース セキュリティとセキュリティ以外の両 方のコンテンツを含む累積的な更新プ ログラム

    リリース 毎月第 2 火曜日 (通常は太平洋標準時 (PST/PDT) の午前 10 時に発行されま す) オプションのセキュリティ以外のプレ ビュー リリース 月次のセキュリティ更新プログラム リ リースの早期検証に通常使用されるオ プションの累積的な更新プログラム リ リース 毎月第 4 火曜日 (通常、太平洋標準時 (PST/PDT) の午前 10 時に発行されま す) 帯域外 (OOB) リリース 最近特定された問題または脆弱性を解 決します 必要に応じて 年次機能の更新 Windows のバージョンも変更する新機 能と拡張機能を含む更新プログラム 暦年の後半に年に 1 回 Windows 11 の継続的イノベーション Windows 11 の新機能と機能強化につ いて説明します オプションのセキュリティ以外のプレ ビュー リリースに定期的に含まれ、そ の後、毎月のセキュリティ更新プログ ラムリリースに含まれる 結局「適用タイミング」のみを管理者はコントロールする 適用すれば全て「同じ」Windowsになる

15. 更新リング

16. Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows

    Windows Windows Windows Windows Ring 0 Ring 1 Ring 2 2日遅れ 10日遅れ 30日遅れ 更新リングの設定例 Windows Windows

17. Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows

    Windows Windows Windows Windows Ring 0 Ring 1 Ring 2 2日遅れ 10日遅れ 30日遅れ 更新リングの設定例 Windows Windows 「適用タイミング」を組織内で分割し 問題を早期に発見し影響範囲を限定する工夫

18. 配信の最適化 Delivery Optimization

19. ◼ Windows 10, Windows Server 2019以 降P2P(ピアツーピア)の配信の最適化機能 が標準搭載され規定でONになっている。 ◼ ローカルネットワーク上の他のPC、イン

    ターネット上のPCからもダウンロード可 能。 →パッチ配布のネットワーク負荷は自動でか なり低減されている 参考：配信の最適化 (Delivery Optimization) に関するよくあるお問い合わせ | Microsoft Japan Windows Technology Support Blog https://jpwinsup.github.io/blog/2024/08/30/WindowsUpdate/DO/DeliveryOptimization_QA/

20. Windowsの 更新管理 ソリューションの理解

21. ◼ Windows Update ◼ Windows Update for Business ◼ Intune

    ◼ グループポリシー ◼ WSUS (Windows Server Update Services) ◼ Microsoft Endpoint Configuration Manager ◼ Windows Autopatch ◼ Azure Update Manager ※これ以外にサードパーティーソリューションなども存在

22. ◼ Windows Update ◼ Windows Update for Business ◼ Intune

    ◼ グループポリシー ◼ WSUS (Windows Server Update Services) ◼ Microsoft Endpoint Configuration Manager ◼ Windows Autopatch ◼ Azure Update Manager

23. Windows Windows Windows Update 動作プロセス 1. 更新プログラムのスキャン 2. 更新プログラムのダウンロード 3.

    更新プログラムのインストール 4. 更新のコミット Windows Update のしくみ | Microsoft Learn https://learn.microsoft.com/ja- jp/windows/deployment/update/how-windows- update-works 利用要件 価格 インターネット接続 配信の最適化 設定 レポート 特になし 無料(EOSまで) 必須 配信の最適化 クライアント個別 無し Windows Update -クライアント -サーバー

24. ◼ Windows Update ◼ Windows Update for Business ◼ Intune

    ◼ グループポリシー ◼ WSUS(Windows Server Update Services) ◼ Microsoft Endpoint Configuration Manager ◼ Windows Autopatch ◼ Azure Update Manager

25. Windows Windows Windows Update Active Directory ドメイン参加 / ポリシー受信 Windows

    Windows Windows Update Intune登録 / ポリシー受信 Windows Update for Business -クライアント 利用要件 価格 インターネット接続 配信の最適化 設定 レポート Windows 10/11 Windows Pro以上 のエディション 無料(EOSまで) ※Windows Server ライセンス、Intune ライセンス等は別途 必要 構成に依存 配信の最適化 • 管理者による一 括定義 • 更新リング定義 可能 あり Intune クライアント更新管 理の推奨構成 クライアント側で更新プ ログラムの適用を遅延さ せる機能 ※WSUS利用/併用可能 ※WSUS利用/併用可能

26. ◼ Windows Update ◼ Windows Update for Business ◼ Intune

    ◼ グループポリシー ◼ WSUS(Windows Server Update Services) ◼ Microsoft Endpoint Configuration Manager ◼ Windows Autopatch ◼ Azure Update Manager

27. Windows Windows Windows Update Active Directory ドメイン参加 / ポリシー受信 WSUS

    -クライアント -サーバー 利用要件 価格 インターネット接続 配信の最適化 設定 レポート [サーバー] Windows Server [クライアント] 特になし 無料 ・Windows Server ライセンスは別途必 要 ・Windows Server の機能の1つ ・ADは無くても構成 可能だが必須に近い 必須ではない ※更新プログラムの インポート、エクス ポートが可能 ・WSUSの構成によ り最適化が可能 ・配信の最適化 • 管理者による配 信プログラムの 制御 • コンピュータグ ループの作成 あり WSUS 管理者に「承認」さ れたもののみ配信 WSUS 多段構成も可能 Windows Windows

28. ◼ Windows Update ◼ Windows Update for Business ◼ Intune

    ◼ グループポリシー ◼ WSUS (Windows Server Update Services) ◼ Microsoft Endpoint Configuration Manager ◼ Windows Autopatch ◼ Azure Update Manager

29. Windows Update Configuration Manager -クライアント -サーバー 利用要件 価格 インターネット接続 配信の最適化

    設定 レポート [サーバー] Windows Server [クライアント] Configuration Managerの利用ライ センス 有料 ※利用ライセンスの 入手方法は多数存在 ※事実上無料の組織 も多くある 必須ではない ※更新プログラムの インポート、エクス ポートが可能 Configuration Managerの構成、設 定により細かいコン トロールが可能 ⚫ 帯域幅の調整とスケ ジュール ⚫ BranchCache ⚫ 配信の最適化 ⚫ Configuration Mangerピアキャッ シュ • 管理者による配 信プログラムの 制御 • 段階的な展開 あり WSUS プライマリ サイト 配布ポイント 配布ポイント Windows Windows Windows Windows ※Configuration Managerには多数の 機能があり、更新管理はその中の1つ

30. ◼ Windows Update ◼ Windows Update for Business ◼ Intune

    ◼ グループポリシー ◼ WSUS (Windows Server Update Services) ◼ Microsoft Endpoint Configuration Manager ◼ Windows Autopatch ◼ Azure Update Manager

31. Windows Windows Windows Update Active Directory ドメイン参加 / ポリシー受信 Windows

    Windows Windows Update Intune登録 / ポリシー受信 Windows Update for Business - クライアント 利用要件 価格 インターネット接続 配信の最適化 設定 レポート Windows Pro以上 のエディション 無料(EOSまで) ※Windows Server ライセンス、Intune ライセンス等は別途 必要 構成に依存 配信の最適化 • 管理者による一 括定義 • 更新リング定義 可能 あり Intune クライアント更新管 理の推奨構成 ※WSUS利用/併用可能 ※WSUS利用/併用可能

32. Windows Windows Windows Update Intune登録 / ポリシー受信 Windows Autopatch -

    クライアント 利用要件 価格 インターネット接続 配信の最適化 設定 レポート [ライセンス] • Business Premium • A3+ • E3+ • F3 [構成] • Microsoft Entra ID P1 or P2 • Intuneへの登録 • Entra Join or Hybrid Join クラウドライセンス の料金 必須 配信の最適化 対象デバイスだけ指 定すればあとは基本 全部Microsoftが やってくれる ・更新リング定義 ・配信タイミング調 整 ・トラブル時のコン トロール ・M365アプリ、 Edge、Teamsの更 新 あり ※ライセンスにより 対応していないもの あり Intune クライアント更新管 理の推奨構成 基本、Intuneを使って Microsoftが管理してく れる。 Microsoftのみでは問題 解決できない場合は連携 して対応する。 ※Configuration MangaerとIntuneの共 同管理でも利用可能

33. ◼ Windows Update ◼ Windows Update for Business ◼ Intune

    ◼ グループポリシー ◼ WSUS (Windows Server Update Services) ◼ Microsoft Endpoint Configuration Manager ◼ Windows Autopatch ◼ Azure Update Manager

34. Windows Windows Windows Update (Azure Arc登録) / 管理 Azure Update

    Manager - サーバー 利用要件 価格 インターネット接続 配信の最適化 設定 レポート サーバーOS ※クライアントはサ ポートされない Linuxもサポート Azure VM – 無料 Azure外(Arc対応) - 724.025円/サーバ/月 必須 ※Update部分は WSUSを利用可能だ が、Arcのためにイ ンターネット接続が 必要。Private previewのArc Gatewayを使えば将 来的に直接のイン ターネット接続を泣 くせるがWSUSは必 要 配信の最適化 管理者による一括定 義 あり Azure Update Manager サーバー更新管理の 推奨構成 ※WSUS利用可能

35. ◼ Windows Update ◼ Windows Update for Business ◼ Intune

    ◼ グループポリシー ◼ WSUS (Windows Server Update Services) ◼ Microsoft Endpoint Configuration Manager ◼ Windows Autopatch ◼ Azure Update Manager ※これ以外にサードパーティーソリューションなども存在

36. WSUS ◼ 無料(追加ライセンスコスト無し) ◼ インターネットに直接接続しないノードも管理 可能 ◼ 適用タイミングコントロール可能

37. ◼ Windows Update ◼ Windows Update for Business ◼ Intune

    ◼ グループポリシー ◼ WSUS (Windows Server Update Services) ◼ Microsoft Endpoint Configuration Manager ◼ Windows Autopatch ◼ Azure Update Manager ※これ以外にサードパーティーソリューションなども存在

38. 雑談