高いセキュリティ、サービスの安定性を維持するために、サーバーへの更新プログラムの適用は重要な作業です。
WSUS（Windows Server Update Service）は、Windowsサーバーの更新プログラムの管理を行う代表的なツールです。
しかし2024年9月、Microsoft社はWSUSを非推奨とすることを発表しました。
Microsoft社はクラウドツールへの移行を推奨しており、サーバーOSの更新プログラムの管理についてはAzure Update Managerが代替のサービスとなります。
本記事では、WSUSとAzure Update Managerを比較し、それぞれの特徴を解説します。

1. 各サービスの概要

両者の違いを比較する前に、それぞれのサービスの概要を大まかに紹介します。

1-1. WSUS

WSUSは、Microsoft社が提供するWindows Serverの機能の一つです。
WSUSを使用することで、Windowsデバイスに対して、更新プログラムを選択的に配信・管理することができます。
管理者は更新プログラムを承認して、必要なデバイスにのみ配信することで、効率的な更新管理を実現します。
WSUSは、インターネットに接続できないデバイスに対しても更新プログラムを配信することができ、セキュリティ要件の厳しい環境にも適しています。

1-2. Azure Update Manager

Azure Update Managerは、Microsoft Azureのクラウドサービスの一部として提供されるツールです。
Windows及びLinuxの仮想マシンに対して、更新プログラムの適用を自動化することができます。
Azure Arcというサービスに、オンプレミスサーバーやAWS等の他のクラウドサービスの仮想マシンを登録することで、Azure以外のサーバーもAzure Update Managerの管理対象とすることができます。
Azure Update Managerは、Azureポータルからの操作で一元的に更新状況を確認できます。
また、Azureの監視サービスと連携することで、詳細な分析情報を取得したり、条件を指定してアラートを設定したりすることが可能です。

2. WSUSとAzure Update Managerの違い

2-1. 対象とする環境・OS

WSUS

WSUSは、同じネットワーク内にあるWindowsデバイスの更新管理を行うツールです。
対象となるデバイスは、WindowsのサーバーOS及びクライアントOSです。
Linux等、Windows以外のOSには対応していないため、Windows以外のOSがある環境では、別の方法で更新を行う必要があります。

Azure Update Manager

Azure Update Managerは、Azureのクラウドサービスであるため、利用するためにはAzureを導入する必要があります。
Azure Arcを活用することで、オンプレミスのサーバーや他のクラウドサービスの仮想マシンも管理対象に含めることができます。
Azure Update Managerの管理対象はWindowsのサーバーOS及びLinuxです。WindowsのクライアントOSは管理対象外です。
また、同じAzureテナント内であるという条件はありますが、異なるネットワークにあるサーバーも一元的に管理できます。
ただし、WSUSと異なり、更新プログラムをダウンロードして配布する機能は、Azure Update Managerにはありません。基本的に、WindowsはWindows Updateから、Linuxはインターネット上のリポジトリから、更新プログラムを取得します。

2-2. 導入方法

WSUS

Windows ServerにWSUSの役割をインストールし、環境に応じた初期設定が必要です。
一般的な導入方法としては、Active Directoryを利用する方法があります。
管理対象のデバイスに適用するGPOを編集し、更新プログラムの取得先をWSUSサーバーに設定します。
さらに、更新プログラムを適用するスケジュール、更新プログラムの種類、再起動のタイミングといった設定を行います。

Azure Update Manager

Azure Update Managerの導入は、Azureポータルから行うことができます。
具体的には、「メンテナンス構成」というリソースを作成します。
このリソースの設定値として、更新のスケジュール、対象とするサーバー、適用する更新プログラムの種類といった内容を指定します。
ただし、オンプレミスサーバー・他のクラウドサービスの仮想マシンを管理対象とするためには、Azure Arcにそれらを登録する必要があります。

2-3. 運用・管理の方法

WSUS

WSUSでは、更新状況を確認する際にUpdate Servicesコンソールを使用します。
ここから、各デバイスの更新状況を詳細に確認することができます。
例えば、各デバイスに適用された更新、インストールが保留中の更新、失敗した更新等を把握することができます。
また、更新プログラムごとの承認ステータス、クライアントごとのインストール結果も確認できます。
管理者は個別のデバイスに対して細かい管理が可能です。

Azure Update Manager

Azure Update Managerでは、Azureポータルを通じて更新状況を確認します。
Azureの仮想マシン、Azure Arcに登録されているサーバーに対して、更新状況を一元的に把握できます。
例えば、未適用の更新、更新の成功・失敗、失敗した場合はそのエラー等を確認できます。
また、更新が適用された日時、スケジュールされた更新もリアルタイムで確認でき、視覚的に把握しやすいことが特徴です。
さらに、Azureの監視サービスと連携することで、より詳細に分析情報を取得したり、条件を指定してアラートを設定したりすることが可能です。

2-4. コスト

WSUS

WSUSは、Windows Serverの機能として無料で使用することができ、追加の費用は発生しません。
サーバーの維持管理費用がコストであると言えます。

Azure Update Manager

Azureの仮想マシンのみを管理対象とする場合、追加料金はかかりません。
オンプレミスサーバー、他のクラウドサービスの仮想マシンを管理対象とするためには、これらをAzure Arcに登録する必要がありますが、
Auzre Update ManagerがAzure Arc上のサーバーを管理対象とする場合、月額5ドル（/台）の料金が発生します。

3. まとめ

Microsoft社はWSUSの非推奨化に伴い、サーバーOSの更新管理ツールとしてAzure Update Managerを推奨しています。
両者を比較すると、対象となるOS、運用方法、コストなどに違いがあります。
Azure Update Managerを導入する際は、これらの相違点に考慮し、適切に設定を行うことが重要です。
本サイトではこれからも随時Azure Update Managerについての情報を発信していきますので、ぜひご参照ください。