Windows 10更新プログラム管理インフラ比較

～ WU/WSUS/SCCM 比較 詳細バージョン～

Part 1. 更新プログラム管理製品の紹介Part 2. 各製品の全体像の比較Part 3. 各製品の動作・機能比較Part 4. その他の観点での比較

Appendix : 特殊パターン紹介

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

インターネット上の自動更新サービス 無償で利用が可能 クラウド環境での主流 Pro 以上では、更新プログラムの適用を

延期出来る機能あり (for Business) 「Update Compliance」 を利用するこ

とで更新プログラムの状況把握も可能

Windows Server の標準機能 Windows Server をご利用であれば無償 中・小のオンプレミス環境での主流 管理者により、更新プログラムの管理・配

信を行う

サーバー アプリケーション 別途ライセンス購入が必要 大規模オンプレミス環境での主流 クライアント端末の管理製品 非常に多くの機能を搭載しており、更新

プログラムの管理・配信も可能

Windows Update for Business(WUfB)

Windows Update を利用自動更新の適用タイミングの調整機能

無償利用可能

機能更新プログラムの設定 サービス チャネル : 半期チャネル (対象指定) サービス チャネル : 半期チャネル 延長設定 - 最大 365 日

品質更新プログラムの延長設定 延期設定 - 最大 30 日 一時停止 - 最大 35 日

設定方法 グループ ポリシー MDM ポリシー

Windows Update は Windows 標準機能であり、Windows 10 ではビジネス利用を想定した機能を搭載。クラウド環境の主流となる

Windows Analytics

Update Compliance

更新プログラムの適用状況の把握無償のクラウド サービス

① Windows Analytics サービス に登録しテナントを入手。「Update Compliance」を追加

② 対象のグループ ポリシー を編集

③ 各クライアントでポリシーのアップデート

利用手順 (詳細 : Get started with Update Compliance)

各クライアント OS のバージョン情報 品質更新プログラムの適用状況 最新のセキュリティ更新の状態 機能更新プログラムの適用状態 Windows Defender AV の状態

無償利用可能

Pro 以上で利用可能な、更新プログラムの適用状況の把握が可能なクラウド サービス

Windows Server Update Services(WSUS)

更新プログラムの展開・管理のサーバー機能

更新プログラムの管理 配信する更新プログラムの選択 更新プログラムのオンプレ配信

コスト削減 サーバーライセンスと CAL のみ 自動適用による運用負荷軽減

シンプルな設定 必要最低限の機能 多くの知識が無くとも運用可能

Windows Server

Windows Server の標準機能必要最低限の機能で構築・運用コストを抑えることも可能な、サーバーアプリケーション

WSUSMicrosoft Update

自動的に更新プログラムをダウンロード・インストール

クライアント

更新プログラムの一覧情報や更新プログラムの本体の取得

配布する更新プログラムの選択および配布対象を選択

製品と分類の選択

更新ファイルの保存設定

同期元の選択

更新プログラムの選択

自動承認

期日の設定

コンピューターグループ

インストール動作

更新プログラムの検出間隔

インストール状況の確認

レポート

Windows Server Update Services(WSUS)

Windows Server

System Center Configuration Manager(SCCM)

クライアント PC の統合管理用パッケージ製品

Intune との連携マルチデバイス・機能連携

コンプライアンス設定システム構成の監査

大規模向けクライアント管理パッケージ

デバイスとユーザーを管理するのに役立つ機能を提供

IT スタッフやユーザーの生産性と効率を向上

負荷分散やネットワーク帯域制御による展開にも対応

プライマリサイトサーバー

配布ポイント配布ポイント配布ポイント

DMZ の配布ポイント

サイト サーバーから配布ポイント (ファイル サーバー) 間の制御 使用する帯域の制御や転送を行う時間帯のスケジューリング オフラインでの転送も可能。DMZ やクラウドにも対応 配布ポイントは自由に増設が可能。クライアント OS も対応

配布ポイント (ファイル サーバー) からクライアント間の制御 使用する帯域の制御や転送を行う時間帯のスケジューリング ピアツーピア技術によるクライアント同士でのキャッシュ共有機能

拠点 A 拠点 B 拠点 D 外出先

データ センター

クラウド上の配布ポイント

拠点 C

BITS による帯域制御

BITS による帯域制御(帯域幅、スケジュール)

メディアによるオフライン転送

クライアント OS を配布ポイントに設定

DMZ に配布ポイントを配置

Azure 上に配布ポイントを配置

ピアツーピアによるキャッシュの共有 BITS による

帯域制御

System Center Configuration Manager(SCCM)

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

更新プログラムの自動適用 更新プログラムの管理 (延長機能のみ)

更新プログラムの自動適用 更新プログラムの管理 (配信選択) 更新プログラムの適用状況の把握

更新プログラムの自動適用 更新プログラムの管理 (配信選択) 更新プログラムの適用状況の把握

上記は一部機能であり、様々な機能がある インベントリ収集 ソフトウェア配布 OS 展開 構成管理 資産管理 マルチデバイス管理 リモート管理

「Update Compliance」の利用により 更新プログラムの適用状況の把握

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

規模を問わず、幅広く対応可能 拠点によっては利用など、他と組み合わ

せて使用される場合も多い

中・小規模向け 数十台～数千台規模に多くの実績 複数台のサーバーを利用することで大企業

でも利用されている場合がある ただし数万台といった規模になると、

SCCM による制御が一般的

大規模向け 数百台～数万台規模に多くの実績 要件や必要機能によって検討 複数サーバーで管理するのが一般的 多数の国内拠点や海外拠点にまたがる企

業は SCCM 利用が一般的

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

ライセンス 無償

ライセンス Windows Server, CAL

ライセンス SCCM 用のライセンスが必要

参考構成 オンプレ環境 : AD x 1 台 (ポリシー管理) クラウド環境 : Intune (ポリシー管理)

最小構成 クライアントのみ (サーバー不要)

最小構成 WSUS 用 サーバー x 1 台

参考構成 AD 用 サーバー x 1 台 WSUS 用 サーバー x 1 台

最小構成 AD 用 サーバー x 1 台 SCCM 用 サーバー x 1 台

参考構成 (環境により大きく異なる) AD 用 x 1 台 SCCM サイトサーバー x 1 台 データベースサーバー x 1 台 管理ポイント・配布ポイント x 1 台 ソフトウェア更新ポイント x 1 台

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

拡張・冗長を考慮する必要なし ネットワーク帯域の確保のみ

WSUS サーバーを複数設置可能

親/子サーバーの階層構造 負荷分散 代替サーバー

「役割」という単位で集約・分散が可能 1 つのサーバーに複数の役割の集約が可能 1 つの役割を複数のサーバーに冗長可能

ただし一般的に冗長構成は少ない

役割例 (20 以上の役割あり) セントラルサイト プライマリサイト 管理ポイント 配布ポイント ソフトウェア更新ポイント レポートポイント データベース

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

インターネット上の自動更新サービス 利用コストがかからない サーバー不要 拡張性・柔軟性を考慮する必要がない 更新プログラムは全て適用する

Windows Server の標準機能 必要最低限の構成・管理者による管理 最低 1 台のオンプレミス サーバーの用意 限られた制御や拡張性 構築・運用コストが抑えられる

別途購入のサーバー アプリケーション 本格的なクライアント管理 複数台のオンプレミス サーバーの用意 様々な要件に応じた制御・拡張も可能 構築・運用コストをかけても構わない

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

無し (推奨の更新プログラム全てを適用) グループ ポリシーで自動更新設定

配信する更新プログラムの選択が可能 管理者の任意のタイミングで配信開始 インストール期限の設定 (日単位) クライアントの適用状況をレポート確認

配信する更新プログラムの選択が可能 配信タイプの選択 (利用可 or 必須) 使用可能な日時の予約 (分単位) インストールの期限 (分単位) クライアントの配信状況の詳細なレポート

Windows Update for Business 利用にて 機能更新プログラムを最大 365 日延期 品質更新プログラムを最大 30 日延期 品質更新プログラムを最大 35 日一時停止

推奨される更新プログラムを全て自動適用していく。

配信タイミングなどはマイクロソフトのリリースに依存し、延期設定で適用タイミングを延長することが可能。

基本的に管理者が「承認」作業をすることにより配信が行われる。

このため、管理者の意思で無期限に更新プログラムの配信を止めておくことも可能になる。

基本的には管理者が「配布設定」をすることにより配信が行われる。

さらに配信のタイミングや強制力などをコントロールすることができ、ビジネス要件に応じた柔軟な配信ができる。

ソフトウェア配布機能にて Hotfix など Windows Update に無い更

新プログラムも配信可能 サード パーティ等の更新プログラム配信

Update Compliance 利用にて クライアントの適用状況をレポート確認

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

ポリシーの適用で制御 WSUS 上のコンピューター グループ SCCM 上のコレクション

WUfB を利用し「サービス チャネル」の指定や「延期」のポリシーを設定し、対象クライアントの受信のタイミングを制御するといった手段になる。

実際には AD のグループ ポリシー作成し、OU に適用したり、Intune などで MDM のポリシー制御が現実的となる。

WSUS 上でグループを作成し、それぞれのグループに対して配信する更新プログラムを個別に選択出来るため、これにより配信先を制御をしていく。

グループ ポリシーでクライアントが所属するグループの指定も可能。

コンソールでの作業となるため、非常に多くの数のクライアントやグループを制御するには操作の手間がかかる。

SCCM 上で作成したコレクションに対して配信選択が可能。

コレクションの機能は非常に強力であり、クライアントで取得可能な情報 (ハードウェアやソフトウェア、設定情報等) や AD 内のオブジェクトなど様々なデータに対し、クエリを使用して自由な条件を組み合わせてグループの作成が可能またそのグループを動的に更新することも出来る。

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

22 時間ごと (1 時間単位で設定可能) 22 時間ごと (1 時間単位で設定可能) SCCM 上のコレクション

Windows Update エージェントを利用。クライアントごとにランダムで 0 – 20% の範囲で毎回検出タイミングがずれる。

時間とともに、各クライアントの検出タイミングが分散される状況となる。

ダウンロードは既定で新しい更新プログラムが検出されたタイミングで始まる。

Windows Update エージェントを利用。クライアントごとにランダムで 0 – 20% の範囲で毎回検出タイミングがずれる。

時間とともに、各クライアントの検出タイミングが分散される状況となる。

ダウンロードは既定で新しい更新プログラムが検出されたタイミングで始まる。

専用の SCCM エージェントを使用。ポリシーで設定したタイミングで検出が行われ、WU/WSUS よりある程度制御することが可能

ダウンロードは更新プログラムを実行するタイミングでダウンロードを行う。

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

ユーザーへの通知 アクティブ時間内での再起動抑止

ユーザーへの通知 アクティブ時間内での再起動抑止

ユーザーへの通知 より柔軟な設定に応じた適用・再起動抑止

Windows Update エージェントを利用。グループ ポリシーを使用して、通知の制御を行う。

基本的にユーザー主導で更新プログラムの適用や、再起動の実施を行う。

Windows Update エージェントを利用。グループ ポリシーを使用して、通知の制御を行う。

管理者による配信後、自動で更新プログラムの適用や、再起動の実施を行うのが一般的。期限付きにして強制配信なども可能

SCCM のエージェントの機能で通知や適用動作制御が柔軟に対応可能。

ユーザーへの通知有無 メンテナンス期間や サーバー OS 等に応じた動作指定。

(インストールのみ or 再起動) Embedded 端末、ロックダウン端末に対する書き込み

フィルターの自動制御 (解除・適用) ネットワーク位置によるダウンロード可否やダウンロー

ド先の制御 (優先配布ポイント、代替配布ポイント、Windows Update)

特例として、アプリケーション配布機能を使用し、さらに詳細な条件も指定可能 (実行条件、タイミング、権限)

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

高速インストールファイル Unified Update Platform (UUP)

高速インストールファイル 高速インストールファイル

高速インストールファイル 更新プログラムの差分更新機能 月例の品質更新プログラムが対応 最大で 90 % の容量削減が可能 Windows Update は既定で有効

高速インストールファイル 更新プログラムの差分更新機能 品質更新プログラムが対応 最大で 90 % の容量削減が可能 WSUS のオプション設定

高速インストールファイル 更新プログラムの差分更新機能 品質更新プログラムが対応 最大で 90 % の容量削減が可能 バージョンによりオプション使用可能

1 GB 100 MB

Unified Update Platform (UUP) OS イメージの差分更新機能 機能更新プログラムが対応 バージョン 1703 以降が必要 最大で 35 % の容量削減が可能 Windows Update は既定で有効

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

配信の最適化 BITS による帯域制御

BranchCache 配信の最適化 BITS による帯域制御

BranchCache クライアントのピアキャッシュ BITS による帯域制御

Peer to Peer 技術でクライアント同士でキャッシュの共有が可能。

Windows Update では「配信の最適化」のみ使用可能。グループ ポリシーで設定を行う。1607 では既定で有効であり、Windows Update は既定で有効となる。

ネットワーク帯域制御に関しては、OS 標準機能の BITS のポリシーで設定可能

Peer to Peer 技術の「BranchCache」と「配信の最適化」から選択が可能。

どちらも同様の機能であるが、オンプレ環境であれば BranchCache の使用が一般的。サーバー側の機能の有効化とクライアントへグループ ポリシーを適用することで設定が可能。

ネットワーク帯域制御に関しては、OS 標準機能の BITS のポリシーで設定可能

Peer to Peer 技術の「BranchCache」とSCCM の「クライアントのピアキャッシュ」から選択が可能

クライアントのピアキャッシュは新機能であり構成や条件が柔軟に組むことが出来る。更新プログラム以外も対応。ただし現時点では BranchCache の方が実績がある。

ネットワーク帯域制御に関しては、OS 標準機能の BITS のポリシーで設定可能

キャッシュ共有 キャッシュ共有

配信の最適化 BranchCache

概要Windows 10 の Peer to Peer を利用した新しい配信方法。ローカルやインターネット上からもコンテンツ取得が可能。

Windows Server 2008 R2、Windows 7 以降で提供されている、Peer to Peer を利用した帯域幅最適化テクノロジー。

サポート OS Windows 10Windows 7 / Windows Server 2008 R2Windows 8.1 / Windows Server 2012Windows 10 / Windows Server 2016

使用可能 機能更新プログラム (FU)、品質更新プログラム (QU)

機能更新プログラム (FU)、品質更新プログラム (QU) (※ 更新プログラムの利用 (BITS) のみであれば Pro でも使用可能)また、Web サーバー、ファイルサーバー、アプリケーションサーバーなど様々なファイルで使用可能。(※ Enterprise 以上が必要)

動作モード 分散型 分散型、ホスト型 (Windows Sever が必要)

範囲 インターネット、LAN、グループ LAN

設定方法 グループ ポリシー グループ ポリシー と サーバーで機能追加

帯域制御配信の最適化のグループ ポリシー設定にて制御可能。KB 単位でアップロードやダウンロードの帯域制御。

BITS のグループ ポリシー設定にて制御可能。Kbps 単位での帯域制限や時間帯など

キャッシュサイズ GB 単位でのサイズ指定やドライブの指定が可能 ディスクの何%を割り当てるか設定可能

ファイルサイズ 最小 1 ～ 100,000 MB で設定可能 最小 64 KB のブロック単位

利用環境に応じて選択が可能

高速インストールファイル

Peer to Peer

Unified Update Platform

ネットワーク帯域制限

スケジュールに従った転送

QU

QU FU

FU

QU FU

QU FU

配信グループ分け QU FU

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

管理 更新プログラムは推奨のもの全て適用 適用タイミングは延長が可能 グループ分けはポリシー制御

管理 配信する更新プログラムを管理者が選択 インストール期日の設定が可能 WSUS コンソールを利用したグループ分け

管理 配信する更新プログラムを管理者が選択 詳細なタイミングまで設定が可能 データを利用した柔軟なグループ分け

ダウンロード容量削減・負荷分散 品質更新プログラムの差分更新 機能更新プログラムの差分更新 クライアント同士でのキャッシュ共有 ダウンロート帯域幅の制御

クライアント 22 時間を目安に検出・ダウンロード 可能なタイミングで更新プログラムの適用

クライアント 22 時間を目安に検出・ダウンロード 可能なタイミングで更新プログラム適用

ダウンロード容量削減・負荷分散 品質更新プログラムの差分更新 クライアント同士でのキャッシュ共有 ダウンロート帯域幅の制御

ダウンロード容量削減・負荷分散 品質更新プログラムの差分更新 クライアント同士でのキャッシュ共有 ダウンロート帯域幅の制御

クライアント 設定に応じた実行タイミング 任意や強制、クライアントに応じた柔軟

な適用設定

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

普段の運用 初期の設定のみ 特に管理者の負担無し

普段の運用 管理者による配信管理 適用状況の確認や承認作業 (自動化も可能) 最低 1 台のサーバーのリソース管理

普段の運用 運用部隊による監視・配信計画 アラートの確認、配信状況の確認 複数台のサーバーのリソース管理 定期的なバックアップ取得

問題発生時 ユーザー主導 ヘルプ デスクによるサポート

問題発生時 簡易な問題の切り分け 必要に応じてサポートの問い合わせ 状況によりサーバーの復旧 (比較的容易)

問題発生時 複雑なトラブルシューティング。コン

ポーネント単位の切り分け 保守部隊による対応ノウハウの蓄積 保守契約ベンダーやメーカーサポートへ

のエスカレーション対応

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

必要スキル Windows OS の基礎知識

必要スキル Windows OS の知識 Server OS の基本操作 Windows 更新プログラムの基礎知識

(種類や内容、リリース日など) グループ ポリシーによる制御

必要スキル サーバー管理の知識 Windows OS の基礎 TCP/IP、HTTP、PKI の基礎 AD 管理の知識 更新プログラムの関する基礎知識

(種類や内容、リリース日など)

使いこなす場合 ポリシーによるクライアント制御 Windows Update の動作の理解 Windows 更新プログラムの基礎知識

使いこなす場合 Windows Update の動作の理解 Web サーバー (IIS) の基礎 HTTP 通信の基礎 サーバー管理の基礎 サーバー、クライアントモデルにおける

トラブルシューティング

使いこなす場合 Windows OS 内部の理解 (レジストリ、プロセ

ス、CBS、WMI、実行権限) Windows サーバーの知識 (各種機能・役割) OS 展開の知識 (イメージング、展開サービス) ソフトウエア知識 (プログラム、スクリプト) AD 全体の理解 (ID 管理、オブジェクト、CS) SQL の理解 (データベース管理、クエリ作成、

レポーティング) ハードウェア、デバイスの理解

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

影響無し 基本的に難しい 機能や構成でカバー可能

インターネット接続のみで良い。外出時も問題なく、在宅勤務・BYOD でも利用が可能。

Update Compliance によりクライアントの適用状況の把握も可能

Azure AD や Intune を利用する環境でも主流となる。

WSUS への接続が必要となるため、VPN などを経由し社内 LAN への接続が必要な場合が多い。

オフィスの据え置き PC 、もしくはオフィスへ戻るのが前提の運用となる。

柔軟に対応が可能。インターネットベースのクライアント管理機能や、クラウドにゲートウェイサーバーを置く構成も可能。

また、状況に応じて Windows Update からの取得も可能。出張で支店に移動した場合には、その支店の配布ポイントの利用も可能。

ただしクラウド環境利用を前提とするならば、今後は Intune による管理がお勧め。

Windows Server

Update Services

Windows Update

(for Business)

System Center

Configuration Manager

通常は影響なし 管理できない 管理可能

Office 365 ProPlus は別途 Office 365 用の自動更新の仕組みを提供。

Windows Update と同様に、インターネット経由で自動更新される状態となるため、現在 Windows Update を利用されている環境であれば、スムーズに導入が可能と考えられる。

WSUS では Office 365 ProPlus の更新管理はできない。

オンプレ環境の場合、別途 Office 365ProPlus 用の更新サーバーを用意・運用する必要がある。

SCCM では Office 365 ProPlus の更新の配布に対応。

SCCM のコンソールより、配信設定をすることにより、Office 365 ProPlus の更新管理も対応することが可能

更新プログラムの格納場所を決定するhttps://technet.microsoft.com/ja-jp/library/cc720494(v=ws.10).aspx

WSUS のオプション機能。管理者が WSUS で更新プログラムを管理。各クライアントは更新プログラムをインターネット上から取得。

WSUS サーバーの容量削減や、ネットワークの負荷の軽減が可能。

Windows Server

Update Services

Windows Update

(for Business) WSUS で承認された

更新プログラムのダウンロード

更新プログラムの承認

Windows に関するプログラムは Windows Update から取得。Windows 以外の更新プログラムは WSUS による管理。両方のメリットを取り、柔軟性や負荷分散を行う。

Windows Server

Update Services

Windows Update

(for Business)例 Windows OS の更新プログラム

例 Office VL 版の更新プログラム

Why WSUS and SCCM managed clients are reaching out to Microsoft Online

https://blogs.technet.microsoft.com/windowsserver/2017/01/09/why-wsus-and-sccm-managed-clients-are-reaching-out-to-microsoft-online/

Windows Update for Business の管理ソリューションとの統合https://technet.microsoft.com/ja-jp/itpro/windows/manage/waas-integrate-wufb

Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまう事象について

https://blogs.technet.microsoft.com/jpwsus/2016/11/15/windows-10-1607-wufb/

SCCM による PC 管理は行いつつ、更新プログラムの管理自体は別インフラで行う。(SCCM の「ソフトウェア更新ポイント」の役割を使用しない。)

Windows Update

(for Business)

例 サードパーティの更新プログラム Windows Update で配信できない

更新プログラム

例 Windows 更新プログラムの管理

System Center

Configuration Manager

将来的に Intune への切り替えなどクラウドベースの環境への移行を検討している場合や、オンプレ環境の管理コストの削減などの場合に利用が可能。

こちらの機能を使用しない方法やSCCM 1706 以降ではポリシーでWindows Update for Business に向けることが可能

Windows 10 における Windows Update for Business との統合https://docs.microsoft.com/ja-jp/sccm/sum/deploy-use/integrate-windows-update-for-business-windows-10