Windows 10 更新プログラム管理インフラ比較 WU/WSUS/SCCM 比較 詳細バージョン

Windows 10

更新プログラム管理インフラ比較

～

比較 詳細バージョン～

Part 1. 更新プログラム管理製品の紹介 Part 2. 各製品の全体像の比較

Part 3. 各製品の動作・機能比較

Part 4. その他の観点での比較

Appendix : 特殊パターン紹介

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 インターネット上の自動更新サービス

 無償で利用が可能

 クラウド環境での主流

 Pro 以上では、更新プログラムの適用を

延期出来る機能あり (for Business)

 「Update Compliance」 を利用するこ とで更新プログラムの状況把握も可能

 Windows Server の標準機能

 Windows Server をご利用であれば無償

 中・小のオンプレミス環境での主流

 管理者により、更新プログラムの管理・配 信を行う

 サーバー アプリケーション

 別途ライセンス購入が必要

 大規模オンプレミス環境での主流

 クライアント端末の管理製品

 非常に多くの機能を搭載しており、更新 プログラムの管理・配信も可能

Windows Update for Business

(WUfB)

Windows Update を利用

自動更新の適用タイミングの調整機能

無償利用可能

機能更新プログラムの設定

 サービス チャネル : 半期チャネル (対象指定)

 サービス チャネル : 半期チャネル

 延長設定 - 最大 365 日

品質更新プログラムの延長設定

 延期設定 - 最大 30 日

 一時停止 - 最大 35 日

設定方法

 グループ ポリシー

 MDM ポリシー

Windows Update は Windows 標準機

能であり、Windows 10 ではビジネス 利用を想定した機能を搭載。

クラウド環境の主流となる

Windows Analytics

Update Compliance

更新プログラムの適用状況の把握 無償のクラウド サービス

① Windows Analytics サービス に登録しテナン トを入手。「Update Compliance」を追加

② 対象のグループ ポリシー を編集

③ 各クライアントでポリシーのアップデート 利用手順 (詳細 : Get started with Update Compliance)

 各クライアント OS のバージョン情報

 品質更新プログラムの適用状況

 最新のセキュリティ更新の状態

 機能更新プログラムの適用状態

 Windows Defender AV の状態 無償利用可能

Pro 以上で利用可能な、更新プログラムの

適用状況の把握が可能なクラウド サービス

Windows Server Update Services

(WSUS)

更新プログラムの展開・管理のサーバー機能

更新プログラムの管理

 配信する更新プログラムの選択

 更新プログラムのオンプレ配信

コスト削減

 サーバーライセンスと CAL のみ

 自動適用による運用負荷軽減

シンプルな設定

 必要最低限の機能

 多くの知識が無くとも運用可能 Windows Server

Windows Server の標準機能

必要最低限の機能で構築・運用コストを抑え

ることも可能な、サーバーアプリケーション

WSUS Microsoft Update

自動的に更新プログラムを ダウンロード・インストール

クライアント

更新プログラムの一覧情報や 更新プログラムの本体の取得

配布する更新プログラムの選択 および配布対象を選択



製品と分類の選択



更新ファイルの保存設定



同期元の選択



更新プログラムの選択



自動承認



期日の設定



コンピューターグループ



インストール動作



更新プログラムの検出間隔



インストール状況の確認



レポート

Windows Server Update Services

(WSUS)

Windows Server

System Center Configuration Manager

(SCCM)

クライアント PC の統合管理用パッケージ製品

Intune との連携

マルチデバイス・機能連携 コンプライアンス設定

システム構成の監査

大規模向けクライアント管理パッケージ

デバイスとユーザーを管理するのに役立つ機能を提供

負荷分散やネットワーク帯域制御による展開にも対応

プライマリサイトサーバー

配布ポイント 配布ポイント 配布ポイント

DMZ の 配布ポイント

サイト サーバーから配布ポイント (ファイル サーバー) 間の制御

 使用する帯域の制御や転送を行う時間帯のスケジューリング

 オフラインでの転送も可能。DMZ やクラウドにも対応

 配布ポイントは自由に増設が可能。クライアント OS も対応

配布ポイント (ファイル サーバー) からクライアント間の制御

 使用する帯域の制御や転送を行う時間帯のスケジューリング

 ピアツーピア技術によるクライアント同士でのキャッシュ共有機能

拠点A 拠点B 拠点D 外出先

データ センター

クラウド上の 配布ポイント

拠点C BITSによる

帯域制御

BITSによる帯域制御 (帯域幅、スケジュール)

メディアによる オフライン転送

クライアントOS を 配布ポイントに設定

DMZ に

配布ポイントを配置 Azure 上に

配布ポイントを配置

ピアツーピアによる

キャッシュの共有 BITSによる 帯域制御

System Center Configuration Manager

(SCCM)

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 更新プログラムの自動適用

 更新プログラムの管理 (延長機能のみ)  更新プログラムの自動適用

 更新プログラムの管理 (配信選択)

 更新プログラムの適用状況の把握

 更新プログラムの自動適用

 更新プログラムの管理 (配信選択)

 更新プログラムの適用状況の把握

上記は一部機能であり、様々な機能がある

 インベントリ収集

 ソフトウェア配布

 OS 展開

 構成管理

 資産管理

 マルチデバイス管理

 リモート管理

「Update Compliance」の利用により

 更新プログラムの適用状況の把握

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 規模を問わず、幅広く対応可能

 拠点によっては利用など、他と組み合わ せて使用される場合も多い

 中・小規模向け

 数十台～数千台規模に多くの実績

 複数台のサーバーを利用することで大企業 でも利用されている場合がある

 ただし数万台といった規模になると、

SCCM による制御が一般的

 大規模向け

 数百台～数万台規模に多くの実績

 要件や必要機能によって検討

 複数サーバーで管理するのが一般的

 多数の国内拠点や海外拠点にまたがる企 業は SCCM 利用が一般的

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

ライセンス

 無償

ライセンス

 Windows Server, CAL

ライセンス

 SCCM 用のライセンスが必要

参考構成

 オンプレ環境 : AD x 1 台 (ポリシー管理)

 クラウド環境 : Intune (ポリシー管理)

最小構成

 クライアントのみ (サーバー不要)

最小構成

 WSUS 用 サーバー x 1 台

参考構成

 AD 用 サーバー x 1 台

 WSUS 用 サーバー x 1 台

最小構成

 AD 用 サーバー x 1 台

 SCCM 用 サーバー x 1 台

参考構成

 AD 用 x 1 台

 SCCM サイトサーバー x 1 台

 データベースサーバー x 1 台

 管理ポイント・配布ポイント x 1 台

 ソフトウェア更新ポイント x 1 台

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 拡張・冗長を考慮する必要なし

 ネットワーク帯域の確保のみ  WSUS サーバーを複数設置可能

 親/子サーバーの階層構造

 負荷分散

 代替サーバー

 「役割」という単位で集約・分散が可能

 1 つのサーバーに複数の役割の集約が可能

 1 つの役割を複数のサーバーに冗長可能

 ただし一般的に冗長構成は少ない

役割例

 セントラルサイト

 プライマリサイト

 管理ポイント

 配布ポイント

 ソフトウェア更新ポイント

 レポートポイント

 データベース

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 インターネット上の自動更新サービス

 利用コストがかからない

 サーバー不要

 拡張性・柔軟性を考慮する必要がない

 更新プログラムは全て適用する

 Windows Server の標準機能

 必要最低限の構成・管理者による管理

 最低 1 台のオンプレミス サーバーの用意

 限られた制御や拡張性

 構築・運用コストが抑えられる

 別途購入のサーバー アプリケーション

 本格的なクライアント管理

 複数台のオンプレミス サーバーの用意

 様々な要件に応じた制御・拡張も可能

 構築・運用コストをかけても構わない

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 無し (推奨の更新プログラム全てを適用)

 グループ ポリシーで自動更新設定  配信する更新プログラムの選択が可能

 管理者の任意のタイミングで配信開始

 インストール期限の設定 (日単位)

 クライアントの適用状況をレポート確認

 配信する更新プログラムの選択が可能

 配信タイプの選択 (利用可 or 必須)

 使用可能な日時の予約 (分単位)

 インストールの期限 (分単位)

 クライアントの配信状況の詳細なレポート Windows Update for Business 利用にて

 機能更新プログラムを最大 365 日延期

 品質更新プログラムを最大 30 日延期

 品質更新プログラムを最大 35 日一時停止

推奨される更新プログラムを全て自動適用 していく。

配信タイミングなどはマイクロソフトのリ リースに依存し、延期設定で適用タイミン グを延長することが可能。

基本的に管理者が「承認」作業をすること により配信が行われる。

このため、管理者の意思で無期限に更新プ ログラムの配信を止めておくことも可能に なる。

基本的には管理者が「配布設定」をするこ とにより配信が行われる。

さらに配信のタイミングや強制力などをコ ントロールすることができ、ビジネス要件 に応じた柔軟な配信ができる。

ソフトウェア配布機能にて

 Hotfix など Windows Update に無い更 新プログラムも配信可能

 サード パーティ等の更新プログラム配信 Update Compliance 利用にて

 クライアントの適用状況をレポート確認

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 ポリシーの適用で制御  WSUS 上のコンピューター グループ  SCCM 上のコレクション

WUfB を利用し「サービス チャネル」の指 定や「延期」のポリシーを設定し、対象ク ライアントの受信のタイミングを制御する といった手段になる。

実際には AD のグループ ポリシー作成し、

OU に適用したり、Intune などで MDM の ポリシー制御が現実的となる。

WSUS 上でグループを作成し、それぞれの グループに対して配信する更新プログラム を個別に選択出来るため、これにより配信 先を制御をしていく。

グループ ポリシーでクライアントが所属す るグループの指定も可能。

コンソールでの作業となるため、非常に多 くの数のクライアントやグループを制御す るには操作の手間がかかる。

SCCM 上で作成したコレクションに対して 配信選択が可能。

コレクションの機能は非常に強力であり、

クライアントで取得可能な情報 (ハードウェ アやソフトウェア、設定情報等) や AD 内の オブジェクトなど様々なデータに対し、ク エリを使用して自由な条件を組み合わせて グループの作成が可能

またそのグループを動的に更新することも 出来る。

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 22 時間ごと (1 時間単位で設定可能)  22 時間ごと (1 時間単位で設定可能)  SCCM 上のコレクション

Windows Update エージェントを利用。

クライアントごとにランダムで 0 – 20% の 範囲で毎回検出タイミングがずれる。

時間とともに、各クライアントの検出タイ ミングが分散される状況となる。

ダウンロードは既定で新しい更新プログラ ムが検出されたタイミングで始まる。

Windows Update エージェントを利用。

クライアントごとにランダムで 0 – 20% の 範囲で毎回検出タイミングがずれる。

時間とともに、各クライアントの検出タイ ミングが分散される状況となる。

ダウンロードは既定で新しい更新プログラ ムが検出されたタイミングで始まる。

専用の SCCM エージェントを使用。

ポリシーで設定したタイミングで検出が行 われ、WU/WSUS よりある程度制御する ことが可能

ダウンロードは更新プログラムを実行する タイミングでダウンロードを行う。

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 ユーザーへの通知

 アクティブ時間内での再起動抑止  ユーザーへの通知

 アクティブ時間内での再起動抑止  ユーザーへの通知

 より柔軟な設定に応じた適用・再起動抑止 Windows Update エージェントを利用。

グループ ポリシーを使用して、通知の制御 を行う。

基本的にユーザー主導で更新プログラムの 適用や、再起動の実施を行う。

Windows Update エージェントを利用。

グループ ポリシーを使用して、通知の制御 を行う。

管理者による配信後、自動で更新プログラ ムの適用や、再起動の実施を行うのが一般 的。期限付きにして強制配信なども可能

SCCM のエージェントの機能で通知や適用 動作制御が柔軟に対応可能。

 ユーザーへの通知有無

 メンテナンス期間や サーバーOS 等に応じた動作指定。

(インストールのみor 再起動)

 Embedded 端末、ロックダウン端末に対する書き込み

フィルターの自動制御 (解除・適用)

 ネットワーク位置によるダウンロード可否やダウンロー ド先の制御(優先配布ポイント、代替配布ポイント、

Windows Update)

 特例として、アプリケーション配布機能を使用し、さら に詳細な条件も指定可能 (実行条件、タイミング、権限)

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 高速インストールファイル

 Unified Update Platform (UUP)  高速インストールファイル  高速インストールファイル

高速インストールファイル

 更新プログラムの差分更新機能

 月例の品質更新プログラムが対応

 最大で 90 % の容量削減が可能

 Windows Update は既定で有効

高速インストールファイル

 更新プログラムの差分更新機能

 品質更新プログラムが対応

 最大で 90 % の容量削減が可能

 WSUS のオプション設定

高速インストールファイル

 更新プログラムの差分更新機能

 品質更新プログラムが対応

 最大で 90 % の容量削減が可能

 バージョンによりオプション使用可能

1 GB 100 MB

Unified Update Platform (UUP)

 OS イメージの差分更新機能

 機能更新プログラムが対応

 バージョン 1703 以降が必要

 最大で 35 % の容量削減が可能

 Windows Update は既定で有効

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 配信の最適化

 BITS による帯域制御  BranchCache

 配信の最適化

 BITS による帯域制御

 BranchCache

 クライアントのピアキャッシュ

 BITS による帯域制御 Peer to Peer 技術でクライアント同士で

キャッシュの共有が可能。

Windows Update では「配信の最適化」

のみ使用可能。グループ ポリシーで設定を 行う。

1607 では既定で有効であり、Windows Update は既定で有効となる。

ネットワーク帯域制御に関しては、OS 標 準機能の BITS のポリシーで設定可能

Peer to Peer 技術の「BranchCache」と

「配信の最適化」から選択が可能。

どちらも同様の機能であるが、オンプレ環 境であれば BranchCache の使用が一般的。

サーバー側の機能の有効化とクライアント へグループ ポリシーを適用することで設定 が可能。

ネットワーク帯域制御に関しては、OS 標準 機能の BITS のポリシーで設定可能

Peer to Peer 技術の「BranchCache」と SCCM の「クライアントのピアキャッ シュ」から選択が可能

クライアントのピアキャッシュは新機能で あり構成や条件が柔軟に組むことが出来る。

更新プログラム以外も対応。

ただし現時点では BranchCache の方が実 績がある。

ネットワーク帯域制御に関しては、OS 標準 機能の BITS のポリシーで設定可能

キャッシュ共有 キャッシュ共有

配信の最適化

概要 Windows 10 の Peer to Peer を利用した新しい配信方法。

ローカルやインターネット上からもコンテンツ取得が可能。 Windows Server 2008 R2、Windows 7 以降で提供されている、

Peer to Peer を利用した帯域幅最適化テクノロジー。

サポート OS Windows 10 Windows 7 / Windows Server 2008 R2

Windows 8.1 / Windows Server 2012 Windows 10 / Windows Server 2016 使用可能 機能更新プログラム (FU)、品質更新プログラム (QU)

機能更新プログラム (FU)、品質更新プログラム (QU)

(※ 更新プログラムの利用 (BITS) のみであれば Pro でも使用可能) また、Web サーバー、ファイルサーバー、アプリケーションサー バーなど様々なファイルで使用可能。(※ Enterprise 以上が必要)

動作モード 分散型 分散型、ホスト型 (Windows Sever が必要)

範囲 インターネット、LAN、グループ LAN

設定方法 グループ ポリシー グループ ポリシー と サーバーで機能追加

帯域制御 配信の最適化のグループ ポリシー設定にて制御可能。

KB 単位でアップロードやダウンロードの帯域制御。 BITS のグループ ポリシー設定にて制御可能。

Kbps 単位での帯域制限や時間帯など キャッシュサイズ GB 単位でのサイズ指定やドライブの指定が可能 ディスクの何%を割り当てるか設定可能

ファイルサイズ 最小 1 ～ 100,000 MB で設定可能 最小 64 KB のブロック単位

利用環境に応じて選択が可能

高速インストールファイル

Peer to Peer

Unified Update Platform

ネットワーク帯域制限

スケジュールに従った転送

QU

QU FU

FU

QU FU

QU FU

配信グループ分け

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

管理

 更新プログラムは推奨のもの全て適用

 適用タイミングは延長が可能

 グループ分けはポリシー制御

管理

 配信する更新プログラムを管理者が選択

 インストール期日の設定が可能

 WSUS コンソールを利用したグループ分け

管理

 配信する更新プログラムを管理者が選択

 詳細なタイミングまで設定が可能

 データを利用した柔軟なグループ分け

ダウンロード容量削減・負荷分散

 品質更新プログラムの差分更新

 機能更新プログラムの差分更新

 クライアント同士でのキャッシュ共有

 ダウンロート帯域幅の制御

クライアント

 22 時間を目安に検出・ダウンロード

 可能なタイミングで更新プログラムの適用

クライアント

 22 時間を目安に検出・ダウンロード

 可能なタイミングで更新プログラム適用

ダウンロード容量削減・負荷分散

 品質更新プログラムの差分更新

 クライアント同士でのキャッシュ共有

 ダウンロート帯域幅の制御

ダウンロード容量削減・負荷分散

 品質更新プログラムの差分更新

 クライアント同士でのキャッシュ共有

 ダウンロート帯域幅の制御

クライアント

 設定に応じた実行タイミング

 任意や強制、クライアントに応じた柔軟 な適用設定

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

普段の運用

 初期の設定のみ

 特に管理者の負担無し

普段の運用

 管理者による配信管理

 適用状況の確認や承認作業 (自動化も可能)

 最低 1 台のサーバーのリソース管理

普段の運用

 運用部隊による監視・配信計画

 アラートの確認、配信状況の確認

 複数台のサーバーのリソース管理

 定期的なバックアップ取得

問題発生時

 ユーザー主導

 ヘルプ デスクによるサポート

問題発生時

 簡易な問題の切り分け

 必要に応じてサポートの問い合わせ

 状況によりサーバーの復旧 (比較的容易)

問題発生時

 複雑なトラブルシューティング。コン ポーネント単位の切り分け

 保守部隊による対応ノウハウの蓄積

 保守契約ベンダーやメーカーサポートへ のエスカレーション対応

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

必要スキル

 Windows OS の基礎知識

必要スキル

 Windows OS の知識

 Server OS の基本操作

 Windows 更新プログラムの基礎知識 (種類や内容、リリース日など)

 グループ ポリシーによる制御

必要スキル

 サーバー管理の知識

 Windows OS の基礎

 TCP/IP、HTTP、PKI の基礎

 AD 管理の知識

 更新プログラムの関する基礎知識 (種類や内容、リリース日など)

使いこなす場合

 ポリシーによるクライアント制御

 Windows Update の動作の理解

 Windows 更新プログラムの基礎知識

使いこなす場合

 Windows Update の動作の理解

 Web サーバー (IIS) の基礎

 HTTP 通信の基礎

 サーバー管理の基礎

 サーバー、クライアントモデルにおける トラブルシューティング

使いこなす場合

 Windows OS 内部の理解 (レジストリ、プロセ ス、CBS、WMI、実行権限)

 Windows サーバーの知識 (各種機能・役割)

 OS 展開の知識 (イメージング、展開サービス)

 ソフトウエア知識 (プログラム、スクリプト)

 AD 全体の理解 (ID 管理、オブジェクト、CS)

 SQL の理解 (データベース管理、クエリ作成、

レポーティング)

 ハードウェア、デバイスの理解

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 影響無し  基本的に難しい  機能や構成でカバー可能

インターネット接続のみで良い。

外出時も問題なく、在宅勤務・BYOD でも 利用が可能。

Update Compliance によりクライアントの 適用状況の把握も可能

Azure AD や Intune を利用する環境でも 主流となる。

WSUS への接続が必要となるため、VPN な どを経由し社内 LAN への接続が必要な場合 が多い。

オフィスの据え置き PC 、もしくはオフィス へ戻るのが前提の運用となる。

柔軟に対応が可能。

インターネットベースのクライアント管理機 能や、クラウドにゲートウェイサーバーを置 く構成も可能。

また、状況に応じて Windows Update から の取得も可能。出張で支店に移動した場合に は、その支店の配布ポイントの利用も可能。

ただしクラウド環境利用を前提とするならば、

今後は Intune による管理がお勧め。

Windows Server Update Services Windows Update

(for Business) System Center

Configuration Manager

 通常は影響なし  管理できない  管理可能

Office 365 ProPlus は別途 Office 365 用 の自動更新の仕組みを提供。

Windows Update と同様に、インター ネット経由で自動更新される状態となるた め、現在 Windows Update を利用されて いる環境であれば、スムーズに導入が可能 と考えられる。

WSUS では Office 365 ProPlus の更新 管理はできない。

オンプレ環境の場合、別途 Office 365

ProPlus 用の更新サーバーを用意・運用する 必要がある。

SCCM では Office 365 ProPlus の更新の 配布に対応。

SCCM のコンソールより、配信設定をする ことにより、Office 365 ProPlus の更新管 理も対応することが可能

更新プログラムの格納場所を決定する

https://technet.microsoft.com/ja-jp/library/cc720494(v=ws.10).aspx

WSUS のオプション機能。

管理者が

各クライアントは更新プログラムをインターネット上から取得。

WSUS サーバーの容量削減や、

ネットワークの負荷の軽減が可能。

Windows Server Update Services

Windows Update

(for Business) ^{ WSUS}更新プログラムのダウンロード^{で承認された}

 更新プログラムの承認

Windows に関するプログラムは Windows Update から取得。

Windows

以外の更新プログラムは

両方のメリットを取り、柔軟性や負荷分散を行う。

Windows Server Update Services

Windows Update

(for Business) ^例 Windows OS の更新プログラム 例

 Office VL 版の更新プログラム

Why WSUS and SCCM managed clients are reaching out to Microsoft Online

https://blogs.technet.microsoft.com/windowsserver/2017/01/09/why-wsus-and-sccm-managed-clients-are-reaching-out-to-microsoft-online/

Windows Update for Business の管理ソリューションとの統合

https://technet.microsoft.com/ja-jp/itpro/windows/manage/waas-integrate-wufb

Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得す るようになってしまう事象について

https://blogs.technet.microsoft.com/jpwsus/2016/11/15/windows-10-1607-wufb/

SCCM による PC 管理は行いつつ、

更新プログラムの管理自体は別インフラで行う。

(SCCM の「ソフトウェア更新ポイント」の役割を使用しない。)

Windows Update (for Business)

例

 サードパーティの更新プログラム

 Windows Update で配信できない 更新プログラム

例

 Windows 更新プログラムの管理

System Center

Configuration Manager

将来的に

を検討している場合や、オンプレ環境の管理コストの削減などの場 合に利用が可能。

こちらの機能を使用しない方法や SCCM 1706 以降ではポリシーで Windows Update for Business に向けることが可能

Windows 10 における Windows Update for Business との統合

https://docs.microsoft.com/ja-jp/sccm/sum/deploy-use/integrate-windows-update-for-business-windows-10