以下のMicrosoft Security Response Centerにヒントがありました。
VPN 環境を利用した場合の考慮事項
スプリットトンネルを利用している場合は、Windows Update への接続は影響がなく、組織へのネットワーク負荷を増加させることはありません。スプリットトンネル以外を利用している場合は、組織のネットワーク構成を変更し適切に Windows Update/Microsoft Update の通信が行えるようにする、あるいは組織内で別の管理ツールを利用して漏れなく更新プログラムが適用されるように管理してください。
更新プログラム配信の負荷関する考慮事項
更新プログラムをインストールする端末のネットワーク帯域に制限がある場合、企業の VPN への負荷、サーバーへの負荷を分散させる必要がある場合、更新プログラムの配信や展開を調整する機能を活用してください。
組織に段階的に更新プログラムを展開する
組織内の端末に一斉に更新プログラムを配信する場合、ネットワークの負荷や管理サーバへの負荷が集中する恐れがあります。また更新プログラムを適用することにより、組織で利用しているアプリやシステムに互換性の問題が発生することを想定し、それに備えることも重要です。
Windows Update for Business:
グループポリシーを利用した管理の場合は OU 等の単位、MDM を利用した管理の場合は Intune や Azure AD のグループ単位でグループ分けが可能 (構成方法)
WSUS:
WSUS コンソール上のコンピュータグループ単位でグループ分けが可能 (構成方法)
Configuration Manager:
SCCM コンソール上でコレクションを作成しグループ分けが可能 (構成方法)
配信する更新プログラムのファイルサイズを削減する
累積的な更新プログラムを配信・インストールする場合、前月までの変更点だけを配信することで、ファイルサイズを削減しネットワークへの負荷を軽減することが可能です。
Windows Update for Business:
高速インストールファイル機能を利用可能
WSUS:
高速インストールファイル機能を利用可能 (注: WSUS サーバーで必要となるファイルサイズが増大します)
Configuration Manager:
高速インストールファイル機能を利用可能
ピア ツー ピアー配布で負荷を分散する
ピア ツー ピアー技術などを利用することで、組織内のクライアント同士でキャッシュを共有し、ネットワークの負荷やサーバーの負荷を分散させることが可能です。主に以下の 2 つの機能があります。
- BranchCache: すべての Windows で利用可能な帯域最適化機能
- 配信の最適化: Windows 10 以上のみで利用可能な新しい配信機能
Windows Update for Business:
グループポリシーで配信の最適化、または BITS による帯域制御を設定可能
WSUS:
BranchCache機能、または配信の最適化機能を利用可能
Configuration Manager:
BranchCache機能、またはクライアントのピアキャッシュ機能を利用可能
ネットワーク帯域制限でネットワーク負荷を分散する
更新プログラムを端末にダウンロードする際に、どの程度ネットワーク帯域を利用するか制御することで、ネットワークへの負荷を分散させることができます。主に以下の 2 つの機能で制御が可能です。
- BITS による帯域制御: 更新プログラムのダウンロードは Windows 標準の BITS を利用しています。BITS による帯域制御はすべての Windows で利用可能です。
- 配信の最適化: Windows 10 以上のみで利用可能な新しい配信機能による帯域制御です
Windows Update for Business:
グループポリシーで配信の最適化、またはグループポリシー”BITS バックグラウンド転送の最大ネットワーク帯域幅を制限する” を設定可能
WSUS:
配信の最適化、またはBITSによる帯域制御を設定可能
Configuration Manager:
BITSによる帯域制御、またはSCCMサイトサーバー間の帯域制御機能を設定可能
