【2026年版】法人のWindows Update管理ガイド ― WSUS非推奨時代のIntune活用と段階配信の設計
「月例パッチが出るたびに、全社員のPCに当たっているか1台ずつ確認している」「パッチを当てたら業務アプリが動かなくなって、全社から問い合わせが殺到した」「テレワーク中の社員のPCにパッチが当たっているかどうか、そもそも把握できていない」――Windows Updateの管理は、中小企業の情シス担当者にとって最も手間がかかる定常業務の一つです。
さらに2024年9月、MicrosoftはWSUS(Windows Server Update Services)を非推奨とすることを正式に発表しました。今後WSUSに新機能は追加されず、クラウドベースの管理への移行が推奨されています。
この記事では、WSUS非推奨時代に中小企業がWindows Updateをどう管理すべきか、Microsoft Intuneを中心とした具体的な設計方法を解説します。
なぜWindows Updateの管理が重要なのか
パッチ未適用は最大の脆弱性
サイバー攻撃の多くは、既知の脆弱性を悪用します。Microsoftが毎月第2火曜日(日本時間では第2水曜日)にリリースする品質更新プログラム(通称「Patch Tuesday」)には、セキュリティ修正が含まれており、これを迅速に適用することが最も基本的な防御策です。
ランサムウェアの侵入経路として、VPN機器の脆弱性と並んで「OSの既知の脆弱性の悪用」が上位に挙がります。パッチを適用していないPCは、攻撃者にとって開いたままの玄関口です。
「個人任せ」が生むリスク
Windows Updateを社員個人に任せると、必ず「当てていない人」が発生します。「再起動が面倒」「業務中に勝手にアップデートが始まった」といった理由で更新を延期し続け、数ヶ月間パッチが適用されていないPCが社内に存在する――これは中小企業で非常によく見られる状況です。
組織としてWindows Updateを管理するとは、「いつ・どのパッチを・どの端末に適用するか」を情シスがコントロールし、適用状況を把握できる状態を作ることを意味します。
Windows Updateの種類を理解する
管理方法を検討する前に、Windows Updateで配信される更新プログラムの種類を整理します。
品質更新プログラム(Quality Updates)
毎月第2火曜日にリリースされるセキュリティ修正とバグ修正の累積パッチです。Windows 10以降は「累積更新プログラム」形式で提供されるため、最新の1つを適用すれば過去のすべてのパッチが含まれます。個別のKBを選択的に適用・除外する運用は不要(かつ不可能)です。
これが月次管理の中心となる更新プログラムであり、情シスが最も注力すべき対象です。
機能更新プログラム(Feature Updates)
Windowsのメジャーバージョンアップ(例:Windows 11 23H2 → 24H2)です。年に1回程度リリースされ、新機能の追加やUIの変更が含まれます。業務アプリの互換性に影響する可能性があるため、品質更新プログラムよりも慎重な展開が必要です。
ドライバー更新プログラム
ハードウェアメーカーが提供するドライバーの更新です。Intuneでは、ドライバー更新プログラムポリシーを使って、推奨ドライバーの自動インストールまたは管理者承認後のインストールを制御できます。
Microsoft 365 Apps / Edge / Teamsの更新
Office アプリやEdge、Teamsの更新はWindows Updateとは別の配信チャネルで管理されます。Intuneの設定カタログを使って更新チャネル(Current Channel、Monthly Enterprise Channelなど)を指定できます。
管理方法の選択肢と比較
方法1:何も管理しない(個人任せ)
Windows 11のデフォルト設定では、品質更新プログラムは自動的にダウンロード・インストールされます。小規模で管理リソースがない企業がやむを得ず取る方法ですが、適用タイミングを制御できず、適用状況の把握もできません。業務中に突然再起動がかかるリスクもあります。組織としてのIT管理とは言えない状態です。
方法2:グループポリシー(GPO)による制御
Active Directory環境であれば、グループポリシーでWindows Updateの動作を制御できます。更新の延期日数、アクティブ時間(再起動しない時間帯)、自動更新の動作を設定可能です。追加コストなしで利用できますが、適用状況のレポートが貧弱で、テレワーク端末(社外ネットワーク)への適用が困難です。
方法3:WSUS(非推奨)
長年にわたり企業のパッチ管理のスタンダードだったWSUSは、KB単位での承認・拒否、配信対象グループの制御、配信スケジュールのきめ細かな管理が可能でした。しかし2024年9月に非推奨が発表され、今後新機能の追加は行われません。既存のWSUS環境は引き続き動作しますが、新規導入は推奨されず、既存環境もIntuneへの移行を計画すべきです。
なお、WSUSのドライバー同期機能についても、将来的に終了が予定されています(2025年4月の終了予定は延期されましたが、方向性は変わりません)。
方法4:Microsoft Intune(推奨)
Microsoftが推奨するクラウドベースの管理方法です。Intune Plan 1(Microsoft 365 Business Premiumに含まれる)で利用できる更新リング機能により、品質更新プログラムの配信タイミング、延期日数、再起動の制御、段階的展開が可能です。テレワーク端末を含むすべてのIntune登録デバイスに対して、場所を問わずポリシーを適用できます。
WSUSとの最大の違いは、Intuneは更新プログラム自体を保存・配信しない点です。Intuneはポリシー(いつ・どのように適用するか)のみを管理し、デバイスはWindows Update(MicrosoftのCDN)から直接更新プログラムをダウンロードします。そのため、WSUSのようにKB単位で「この更新だけ承認しない」という運用はできません。
方法5:Windows Autopatch
Intuneの上位機能として提供される、Windows更新の自動化サービスです。2025年4月からMicrosoft 365 Business Premiumでもフル機能が利用可能になりました。更新プログラムの段階的展開を自動化し、問題が検知された場合にMicrosoftが自動でロールバックや一時停止を行います。管理者の運用負荷を大幅に削減できる一方、細かな制御はIntuneの更新リングより限定的です。
Intuneによる更新管理の設計(推奨構成)
ここからは、中小企業(30〜100名規模)がIntuneでWindows Updateを管理するための具体的な設計を解説します。
更新リングの段階配信設計
更新リング(Update Ring)は、Intune Plan 1で利用できる基本的な更新管理機能です。デバイスをグループに分けて、更新プログラムの適用タイミングをずらすことで、問題発生時の影響範囲を限定します。
Ring 0(先行検証グループ): 情シス担当者のPC(1〜3台)。品質更新プログラムの延期日数を0日に設定します。Patch Tuesdayの翌日に更新が適用されるため、いち早く問題の有無を確認できます。
Ring 1(アーリーアダプター): IT リテラシーの高い社員や協力的な部門のPC(全体の10〜20%)。延期日数を3〜5日に設定します。Ring 0で問題がなければ自動的に適用されます。
Ring 2(一般展開): 残りの全社員のPC。延期日数を7〜10日に設定します。Ring 0・1で問題が確認されなかった更新プログラムが適用されます。
この設計により、万が一パッチに問題があった場合でも、Ring 0の数台で問題を検知し、Ring 1・2の展開を一時停止(Pause)する猶予が生まれます。
更新リングの主要設定項目
Intune管理センターで更新リングを作成する際に設定する主要項目は以下の通りです。
品質更新プログラムの延期期間: 上記のRing設計に合わせて0日、3日、7日などを設定します。
機能更新プログラムの延期期間: 機能更新プログラムポリシーを別途使用する場合は、更新リング側の延期は0日に設定し、機能更新プログラムポリシーで制御します。両方で延期を設定すると複雑化するため、Microsoftも非推奨としています。
自動更新の動作: 「自動インストールして再起動を自動スケジュール」を推奨します。ユーザーに再起動のタイミングを委ねる設定にすると、延々と再起動を延期されるリスクがあります。
アクティブ時間: 再起動を行わない時間帯を設定します(例:8:00〜18:00)。業務時間中の突然の再起動を防ぎます。
期限の設定: 品質更新プログラムの適用期限を設定します(例:リリースから14日)。期限を過ぎると強制的に再起動されます。これにより「いつまでも再起動しない社員」の問題を解消できます。
猶予期間: 期限到達後、ユーザーが再起動を延期できる猶予期間です(例:2日間)。期限と猶予期間を合わせて「リリースから最大16日以内に必ず適用される」といった設計が可能です。
機能更新プログラムの管理
品質更新プログラム(月次セキュリティパッチ)とは別に、年1回程度リリースされる機能更新プログラム(バージョンアップグレード)の管理も重要です。
Intuneの「機能更新プログラムポリシー」を使うと、特定のバージョン(例:Windows 11 24H2)を対象デバイスに展開できます。また、現在のバージョンを維持して機能更新を適用しない(品質更新のみ適用する)設定も可能です。
中小企業の推奨運用は、新バージョンのリリース直後には適用せず、2〜3ヶ月間は現行バージョンを維持することです。その間にMicrosoftや他社の事例で重大な問題が報告されていないかを確認し、問題なければ展開を開始します。
Windows Autopatchの活用
2025年4月以降、Microsoft 365 Business PremiumでもWindows Autopatchのフル機能が利用可能になりました。Autopatchを有効化すると、Intuneが自動的にデバイスを複数のリング(先行展開→一般展開→最終展開)に分散し、段階的に更新プログラムを展開します。
Autopatchの最大のメリットは、更新プログラム適用後に問題が検知された場合、Microsoftが自動的に展開を一時停止・ロールバックする点です。管理者が常時監視する必要がなくなるため、ひとり情シスの運用負荷を大幅に軽減できます。
一方で、「自社の業務アプリとの互換性を事前に検証してから展開したい」という要件がある場合は、更新リングによる手動管理のほうが適しています。Autopatchと更新リングは併用も可能ですが、設計が複雑化するため、どちらかに統一することを推奨します。
更新適用状況の監視
更新プログラムを配信するだけでなく、「全端末に正しく適用されたか」を確認する仕組みも必要です。
Intune管理センターのレポート
Intune管理センターの「Windows updates」レポートで、更新リングごとの適用状況を確認できます。「成功」「インストール保留中」「再起動保留中」「失敗」などのステータスが表示され、問題のあるデバイスを特定できます。
コンプライアンスポリシーとの連携
Intuneのコンプライアンスポリシーで「OSの最小バージョン」を指定することで、パッチが当たっていないデバイスを「非準拠」として検出できます。さらに条件付きアクセスと組み合わせれば、非準拠デバイスからのMicrosoft 365へのアクセスをブロックするといった強制力のある運用も可能です。
ただし、アクセスブロックは業務に直接影響するため、導入初期は「非準拠の通知のみ(ブロックしない)」で運用し、社内の適用率が安定してから段階的にブロックに移行することを推奨します。
月次確認のルーティン
Patch Tuesdayの翌週(Ring 0適用後)に以下を確認するルーティンを設けてください。
Ring 0のデバイスで更新が正常に適用されたかを確認します。業務アプリ(基幹システム、会計ソフト等)の動作に異常がないかをRing 0ユーザーにヒアリングします。問題がなければRing 1・2の展開を見守ります(自動展開の場合は何もしなくてOK)。問題がある場合は該当Ringの展開を一時停止し、原因を調査します。Patch Tuesday + 2週間後に全社の適用率を確認し、未適用端末があれば個別にフォローします。
よくあるトラブルと対処法
「更新プログラムのダウンロードが進まない」
Intuneで管理されるデバイスは、Windows UpdateのCDN(Microsoft)から直接更新プログラムをダウンロードします。社内ネットワークの帯域が狭い場合、多数のデバイスが同時にダウンロードを開始すると帯域を圧迫する可能性があります。
対策としては、Windowsの「配信の最適化」機能(デフォルトで有効)を活用します。同一ネットワーク内のデバイス間でダウンロード済みの更新データをピアツーピアで共有するため、インターネット帯域の消費を抑えられます。さらに帯域制御が必要な場合は、Microsoft Connected Cache(プレビュー)の導入も検討できます。
「更新後にPCが起動しなくなった」
品質更新プログラムの適用後にブルースクリーン(BSOD)や起動不能が発生するケースは稀ですが、ゼロではありません。この場合、該当Ringの展開を即座に一時停止し、Windows回復環境(WinRE)から更新プログラムをアンインストールします。Ring設計で段階配信を行っていれば、影響は先行グループの数台に限定されます。
「社員が再起動を拒否し続ける」
更新リングの「期限」設定と「猶予期間」を活用してください。期限を設定すると、指定日数を過ぎた時点で強制的に再起動がスケジュールされます。事前にユーザーに通知が表示されるため、突然の再起動ではありません。「リリースから14日以内に適用、猶予2日間」の設定であれば、最大16日後には必ず適用される運用になります。
「テレワーク端末のパッチ適用状況が分からない」
WSUSの最大の弱点は、社内ネットワークに接続されていないデバイスを管理できないことでした。Intuneはクラウドベースのため、インターネットに接続されていればどこからでもポリシーが適用され、適用状況もレポートで確認できます。テレワークが常態化した環境では、IntuneへのWSUS移行は特に大きなメリットをもたらします。
WSUSからIntuneへの移行ステップ
現在WSUSで更新管理を行っている企業がIntuneに移行する場合の手順を整理します。
Step 1: Intune(Microsoft 365 Business Premium)のライセンスを確保し、デバイスをEntra ID + Intuneに登録します。
Step 2: Intuneで更新リングを作成します(上記のRing 0 / 1 / 2の設計)。まずはRing 0(情シスのPC数台)のみに割り当てます。
Step 3: Ring 0のデバイスでWSUSのグループポリシーを解除し、Intuneの更新リングによる管理に切り替えます。1〜2ヶ月間の並行運用で問題がないことを確認します。
Step 4: 問題がなければ、Ring 1 → Ring 2と段階的に切り替えます。各Ringでの切り替え時に、対象デバイスのWSUSグループポリシーを解除します。
Step 5: 全デバイスの移行が完了したら、WSUSサーバーのクリーンアップと廃止を実施します。
WSUSとIntuneの同時管理(二重管理)は設定の競合が発生する原因となるため、デバイス単位で明確に切り替えることが重要です。
まとめ:中小企業のWindows Update管理の推奨構成
Microsoft 365 Business PremiumにはIntuneが含まれており、追加コストなしで更新リングによる段階配信を実現できます。中小企業の推奨構成を改めて整理します。
まず品質更新プログラム(月次パッチ)は、更新リングで3段階の段階配信を行います。Ring 0は延期0日で情シスPCに適用し、Ring 1は延期3〜5日で先行グループに適用、Ring 2は延期7〜10日で全社展開します。適用期限は14日、猶予期間は2日に設定します。
機能更新プログラム(年次バージョンアップ)は、機能更新プログラムポリシーで対象バージョンを指定し、リリースから2〜3ヶ月後に展開を開始します。
監視は、月次でIntune管理センターのレポートを確認し、コンプライアンスポリシーで非準拠端末を検出します。
運用負荷を最小化したい場合は、Windows Autopatchの有効化も検討してください。
情シス365では、Intuneの更新リング設計からWSUSからの移行計画の策定まで、Windows Update管理の最適化を支援しています。「WSUSを使い続けるべきか、Intuneに移行すべきか判断がつかない」という方は、無料相談からお気軽にご相談ください。