はじめに

WindowsUpdateServicesの「非推奨」

WindowsUpdateServices(以下WSUS)とは、Windows Updateを管理する、WindowsServerの機能の1つです。通常、Windows Server は 個々にMicrosoft の更新サーバーに直接アクセスし、更新プログラムを取得します。WSUS を導入すると、更新プログラムをいったん WSUS サーバに集約し、管理者が承認したものだけを各端末へ配布できるようになります。

しかし、2024年9月にMicrosoftより、WSUSを「非推奨(deprecated)」とすることが発表されました。WindowsServerの機能に対して、「非推奨」というのは聞きなれないですが、Microsoftの公開情報によると「新機能の開発・追加はされない」「継続して利用することはできる」「今後の更新管理は別のツールを利用するのがお勧め」という位置づけになっています。つまり、今後の更新管理については別のツールを検討することが推奨されているという状態です。

そのため、将来的にはWSUS以外の更新管理手段を検討する必要があります。

※参考
Windows Server Update Services (WSUS) の概要
WindowsBlog:Windows Server Update Services (WSUS) が非推奨に

WSUSの代替手段としては、AzureArcとAzureUpdateManagerの組み合わせ、Microsoft IntuneやMicrosoft Configuration Managerなどの選択肢があります。しかし、IntuneはクライアントOS向け、 Configuration Managerは大規模環境向けでありライセンスが必要といった特徴があります。

本記事では、オンプレミスサーバの更新管理にフォーカスして、AzureArcとAzureUpdateManagerを使って、オンプレミス機器の更新管理を行う方法について整理します。

AzureArc

Azure Arc では、オンプレミスサーバをAzure上から管理することができます。マシンが物理サーバでも、仮想マシンでも、他のクラウドサービス上の仮想マシンでも一元管理することができるサービスです。設置場所や基盤を問わずAzureポータルで管理できるのが魅力です。

参考:Azure Arc の概要より図を引用

管理したいサーバに大して、専用エージェントをインストールすることで、以下のような様々な機能を利用することができます。

・AzureUpdateManagerと連携しての更新管理
本記事で解説します。
・Azureポータルからの一元管理
Azure上の仮想マシンと同じ管理ポータルで、管理することが可能になります。
・AzureポータルからのPowershellを利用した機器管理
個々のサーバへリモートデスクトップ接続することなく、Powershellコマンドを実行できます。
・AzureMonitorと連携しての監視
Azure上のVMのように、メトリックを取得し、監視できます。
・AzurePolicyの適用
セキュリティに関するポリシーを設定して、違反を検知することができます。
・Defender for Cloudとの連携


※AzureArcの管理画面

AzureUpdateManager

AzureUpdateManager(以下AUM)は、Azure上の仮想マシンのWindowsUpdateを管理できる、Azureの機能です。

AUM では、以下のような機能を利用することができます。

・Azure VM / Azure Arc 対応サーバの更新管理を一元化
・Windows / Linux OS の更新プログラム管理
・スケジュールを指定しての更新プログラム適用
・手動での更新プログラムの適用実行
・更新結果の可視化

また、AzureArcと組み合わせることで、オンプレミスサーバも管理対象に含めることができます。

WSUS を利用した更新管理では、以下のような問題が発生しがちです。しかしAUMでは、WSUSのように自身の中で更新プログラムファイルを管理することがないため、これらの問題を回避できます。

・運用を続けていくと、更新プログラムリストが肥大化して、GUIでの操作が重くなる
・OSタイプを選択してWSUSサーバに更新ファイルを保存するため、クライアントの更新対象とならないファイルも保存してしまいディスク容量が必要となる
・サービス内でクリーンアップ(古い更新プログラムの削除)がスケジューリングできないため、定期的なクリーンアップのためにPowerShellスクリプトとタスクスケジューラーを組み合わせて手動設定する必要がある

AUMに関しては、こちらの記事でも解説しています。
Azure Update Managerとは?

コストについて

コスト面では、AzureArcとAUMと紐づいて更新管理を行うサーバ1台毎に約780円/月(2026年1月現在)の費用がかかります。それ以外はAzureArcでオプション(監視機能、ログ取り込み、Defenderサーバー等)を追加する毎に費用がかかります。

更新プログラム適用時のAzureのエグレス通信費用はかかりませんので、少額の費用で基本的な機能を利用することができます。
ただし、Azureは基本的に、Azureから外部への通信は費用がかかります。今回の構成で通信費用が発生しないのは、更新プログラムがAzureを通さず、直接オンプレミスサーバと通信して適用されているからです。Azure Arc + AUMが担っているのは、更新の評価、更新の実行トリガー、結果の状態管理といった管理通信のみであって、直接更新ファイルの通信を行う主体ではないからです(上記のオンプレサーバとの管理通信で、わずかながら通信費用が発生する可能性はあります)。

これは通信費用がかからないメリットですが、デメリットもあります。Microsoftと通信して更新ファイルをダウンロードするサーバが、WSUSの場合は1つで済みますが、AzureArc+AUMでは個々のサーバがそれぞれMicrosoftと通信しないといけないため、通信制御が煩雑になる点です。
※オンプレミス環境にプロキシサーバを設置して、Azure側との通信経路をまとめることは可能です。

費用の詳細は以下をご参照ください。
AzureUpdateManagerの価格
AzureArcの価格

マシンの登録

仮想マシン側の設定

今回は、VMware 上で稼働している Windows Server OSの仮想マシン「TESTVM01」 を対象に、実際にAzureArcとAUMを組み合わせて更新プログラムを適用してみたいと思います。

最初に、対象の仮想マシンにAzure Connected Machine エージェントをインストールし、Azureにマシンを登録する必要があります。登録方法はいくつかあり、AzureArc側で登録用スクリプトを作成して利用したり、WindowsServer2025ではデフォルトでインストールされているAzureへの登録用のセットアッププログラムを利用することもできます。
今回は、オーソドックスに、MSサイトからダウンロードしたエージェントをインストールし、PowerShellでAzureへマシンを登録してみます。

※Windows用エージェントダウンロード先
https://aka.ms/AzureConnectedMachineAgent
こちらのURLからAzure Connected Machine エージェントをダウンロードすることができます。

仮想マシン上でインストールすると、特に設定ウィザードは出ず、プログラムに追加することができます。

インストールが完了したら、Powershell上で以下のコマンドを実行します。Azure側で事前に細かく設定しておく必要はありませんが、登録対象のリソースグループは事前に作成してから実施しました。


※一部パラメータをマスキングしています。

登録中にブラウザが起動し、Azureへのサインイン認証を求められます。そこで認証すれば登録完了です。
登録する際は、認証するユーザーに、対象のリソースグループに対するAzure Connected Machine Onboardingのロールが必要となります。もちろん所有者・共同作成者などのより強力なロールでも登録することができます。

AzureArcでの確認


AzureArcを確認して、登録した仮想マシン「TESTVM01」が表示されていれば、成功です。
これでマシンのAzureへの登録は完了です。

更新プログラム適用

手動での更新プログラム適用

では、実際に更新プログラムの適用をしていきます。今度はAUMを見てみましょう。まずは、適用すべき更新プログラムの情報をAUMに連携するように設定します。画面上部の「設定の更新」からマシンの追加で「TESTVM01」を選択します。

ここで、定期評価の項目を有効にすることで、どの更新プログラムが適用可能かが24時間に1回チェックされ、AUM上で確認できるようになります。また、すぐに更新プログラムを確認したい場合は、AUMのトップページ上部の更新プログラムから実行可能です。

手動での更新プログラム適用

では、実際に更新プログラムを適用してみます。「TESTVM01」に対して、「1回限りの更新」を選択することで、手動で更新プログラムを適用することができます。

ここで適用する更新プログラムの確認・除外ができます。今回は1つだけなのでそのまま進みます。

インストールボタンを押下すれば、更新プログラムの適用が開始されます。

履歴を確認してみると、「Manual update」で更新プログラムが適用されたことを確認できます。
※仮想マシン側で更新プログラムの設定画面をみても、更新プログラムが適用できずに残っている表示である場合があります。これは、実際には適用されていても、仮想マシン側で更新プログラムの確認が実施されないと画面がかわらないためです。更新プログラムの確認が実施されると、適用状況が更新されます。

更新プログラムの適用を除外したい場合の注意

複数の更新プログラムが適用できるマシンを用意しました。ここで、3つのうち1つだけの更新プログラムを適用したい場合、他2つを除外する必要があります。ただし、赤枠の部分で、更新プログラム名を選択しても、特に何もおきません。

画面上部「更新プログラムの分類で選択」をクリックし、右のメニューで「定義ファイルの更新」のチェックを外し保存ボタンを押すと、分類がDefenitionだった更新プログラムが適用対象から消えます。ただこの方法だと分類が同じ更新プログラムはまとめて適用するか除外するかしか選択できません。

その場合は、「KB ID/パッケージを除外する」を選択し、除外するKBIDを登録することで、除外できます。これで、適用する更新プログラムを1種類にすることができました。
あまり直感的でない操作方法でわかりづらいので、注意が必要です。

スケジュールによる自動更新

今度は、スケジュール機能をつかって自動で更新を行ってみます。AUMには、定期的に更新プログラムを適用する、スケジュール機能があります。
AUMのトップページ上部の「スケジュールの更新」を選択すると、メンテナンス構成の画面が開きます。今回は、構成名とスケジュールを追加します。テスト用ですので、開始時間日の時間を直近にして、すぐに更新されるようにしてみます。時間単位~月単位で、どの間隔で更新を繰り返すかを指定できます。

リソースの追加から、このスケジュールを適用したいマシンを登録します。先ほどの「TESTVM01」にはもう適用できる更新プログラムが無いので、別に用意した仮想マシン「WIN-OS5D2O4D0IC」を登録します。

対象の更新プログラムは、分類から選択し、ここではすべて含めてみます。

作成ボタンを押せば、メンテナンス構成(スケジュール機能)の作成完了です。

さて、こちらのマシンの更新プログラムを確認すると、4つの更新プログラムが未適用であることがわかります。

スケジュールされた時間がたってから、あらためて確認すると、設定したスケジュールにより、更新プログラムの適用が実行されていることがわかります。
このように、更新プログラムの適用を指定のスケジュールで自動で行うことができました。

その他の機能の活用

さて、冒頭で述べましたように、AzureArcは更新管理以外の機能もございます。AzureMonitor用のエージェントを導入すれば、オンプレミスサーバをAzureMonitorで監視することができます。また、現在はプレビュー(正式な一般公開前の機能)ですが、WindowsAdminCenterの拡張機能をインストールすることで、Azureポータル上でオンプレミスサーバのタスクマネージャー情報を確認できたり、PowerShellコマンドを実行することもできます。


※WindowsAdmininCenterのダッシュボード


※Powershell コマンドを実行できます


※フォルダ・ファイルを確認して、ファイルのアップロード・ダウンロードも実施できます。

まとめ

終わりに

AzureArcとAUMの組み合わせによるオンプレミスサーバの更新管理、いかがでしたでしょうか。

マシンの設置場所を意識せずに同じ運用モデルを適用でき、Azure 上の仮想マシンだけでなく、オンプレミスや他クラウド上のサーバーもAzure Arc によって Azure の管理対象として登録することで、AUM から一元的に更新管理を行えるようになります。更新管理だけでなく、その他の管理もAzureArcから実施できることも魅力です。
また、AzureArcを利用することで、管理プレーンをAzureに統一することができ、Azure Update Manager を含む Azure の各種管理機能を同一のポータル、同一の操作感で利用可能になります。

将来的にオンプレミスサーバのAzureへの移行を考えている方も、AzureArc+AUMの構成を利用して、更新管理や運用ルールを段階的にAzureに寄せ、段階的にクラウドとの統合を進めることができます。将来的にAzureへ移行した際も、更新管理の仕組みや運用フローをそのまま使えることは、大きなメリットです。

AzureArcやAzureUpdateManagerだけでなく、Azure関連で導入検討に関する質問等あります際は、以下のフォームからお問い合わせください。
お問い合わせページ

この記事を書いた人

Azure支援デスク 管理者
Azure支援デスク 管理者
双日テックイノベーション(旧:日商エレクトロニクス)特設サイト「Azure導入支援デスク」サイトマスターです。