Azure VM の更新プログラムとパッチの管理Manage updates and patches for your Azure VMs

この記事では、Azure Automation の Update Management 機能を使用して、Azure VM の更新プログラムとパッチを管理する方法について説明します。This article describes how you can use the Azure Automation Update Management feature to manage updates and patches for your Azure VMs. 価格情報については、Update Management の Automation の価格に関するページをご覧ください。For pricing information, see Automation pricing for Update Management.

注意

Update Management では、ファーストパーティの更新プログラムの展開とパッチの事前ダウンロードがサポートされています。Update Management supports the deployment of first-party updates and the pre-downloading of patches. このサポートには、パッチ適用対象のシステムに対する変更が必要になります。This support requires changes on the systems being patched. お使いのシステムでこれらの設定を構成する方法については、「Azure Automation Update Management 用に Windows Update の設定を構成する」を参照してください。See Configure Windows Update settings for Azure Automation Update Management to learn how to configure these settings on your systems.

この記事の手順を使用する前に、次のいずれかの方法を使用して、VM で Update Management を確実に有効にしてください。Before using the procedures in this article, ensure that you've enabled Update Management on your VMs using one of these techniques:

展開のスコープを制限するLimit the scope for the deployment

Update Management では、ワークスペース内のスコープ構成を使用して、更新プログラムを受信するコンピューターを対象として指定します。Update Management uses a scope configuration within the workspace to target the computers to receive updates. 詳細については、Update Management の展開スコープの制限に関するページを参照してください。For more information, see Limit Update Management deployment scope.

更新の評価を確認するView update assessment

更新の評価を表示するには:To view an update assessment:

  1. Automation アカウントの [更新の管理][更新の管理] を選択します。In your Automation account, select Update management under Update management.

  2. ご使用の環境の更新プログラムが、[更新の管理] ページに一覧表示されます。The updates for your environment are listed on the Update management page. 更新プログラムが不足していると識別された場合は、 [不足している更新プログラム] タブに、足りない更新プログラムの一覧が表示されます。If any updates are identified as missing, a list of missing updates is shown on the Missing updates tab.

  3. [情報リンク] で、更新プログラムのリンクを選択して、更新プログラムに関する重要な情報を提供するサポート記事を開きます。Under Information link, select the link for an update to open the support article that gives you important information about the update.

    更新ステータスを確認する

  4. 更新プログラムのほかの場所をクリックすると、[ログ検索] ペインが開きます。Click anywhere else on the update to open the Log Search pane. その更新プログラムについて、ログ検索のクエリが事前に定義されています。The query for the log search is predefined for that specific update. 詳細情報を表示するには、このクエリを変更するか、独自のクエリを作成します。You can modify this query or create your own query to view detailed information.

    更新ステータスを確認する

アラートを構成するConfigure alerts

更新プログラムの展開の状態を通知するアラートを設定するには、次の手順に従います。Follow the steps below to set up alerts to let you know the status of an update deployment:

  1. お使いの Automation アカウントで、 [監視][アラート] に移動し、 [新しいアラート ルール] をクリックします。In your Automation account, go to Alerts under Monitoring, then click New alert rule.

  2. [アラート ルールの作成] ページでは、お使いの Automation アカウントがリソースとして既に選択されています。On the Create alert rule page, your Automation account is already selected as the resource. これを変更する場合は、 [リソースの編集] をクリックします。If you want to change it, click Edit resource.

  3. [リソースを選択してください] ページで、 [リソースの種類でフィルター] ドロップダウン メニューから [Automation アカウント] を選択します。On the Select a resource page, choose Automation Accounts from the Filter by resource type dropdown menu.

  4. 使用する Automation アカウントを選択し、 [完了] をクリックします。Select the Automation account that you want to use, and then click Done.

  5. [条件の追加] をクリックして、ご自分の更新プログラムの展開に適したシグナルを選択します。Click Add condition to select the signal that's appropriate for your update deployment. 次の表は、使用できる 2 つのシグナルの詳細を示しています。The following table shows the details of the two available signals.

    シグナル名Signal Name DimensionsDimensions 説明Description
    Total Update Deployment Runs - Update Deployment Name (更新プログラムの展開の名前)- Update Deployment Name
    - Status (状態)- Status
    更新プログラムの展開の全体的な状態に関するアラート。Alerts on the overall status of an update deployment.
    Total Update Deployment Machine Runs - Update Deployment Name (更新プログラムの展開の名前)- Update Deployment Name
    - Status (状態)- Status
    - Target Computer (ターゲット コンピューター)- Target Computer
    - Update Deployment Run ID (更新プログラムの展開の実行 ID)- Update Deployment Run ID
    特定のマシンを対象とした更新プログラムの展開の状態に関するアラート。Alerts on the status of an update deployment targeted at specific machines.
  6. ディメンションには、リストから有効な値を選択します。For a dimension, select a valid value from the list. 必要な値がリストにない場合は、ディメンションの横にある + をクリックしてカスタム名を入力します。If the value you want isn't in the list, click + next to the dimension and type in the custom name. その後、検索対象の値を選択します。Then select the value to look for. ディメンションにすべての値を選択したい場合は、 [選択]* ボタンをクリックします。If you want to select all values for a dimension, click the Select * button. ディメンションに値を選択しないと、Update Management ではそのディメンションが無視されます。If you don't choose a value for a dimension, Update Management ignores that dimension.

    シグナル ロジックの構成

  7. [アラート ロジック] の下の、 [時間の集計][しきい値] のフィールドに値を入力し、 [完了] をクリックします。Under Alert logic, enter values in the Time aggregation and Threshold fields, and then click Done.

  8. 次のペインで、アラートの名前と説明を入力します。On the next pane, enter a name and a description for the alert.

  9. [重大度] フィールドを、成功した実行には [Informational(Sev 2)](情報 (重大度 2)) に設定し、失敗した実行には [Informational(Sev 1)](情報 (重大度 1)) に設定します。Set the Severity field to Informational(Sev 2) for a successful run or Informational(Sev 1) for a failed run.

    シグナル ロジックの構成

  10. アラート ルールを有効にする方法に応じて、 [はい] または [いいえ] をクリックします。Click Yes or No, depending on how you want to enable the alert rule.

  11. このルールにアラートを使用しない場合は、 [アラートを表示しない] を選択します。If you don't want to have alerts for this rule, select Suppress Alerts.

アラートにアクション グループを構成するConfigure action groups for your alerts

アラートを構成したら、アクション グループを設定できます。これは複数のアラートに対して使用するアクションのグループです。Once you have your alerts configured, you can set up an action group, which is a group of actions to use across multiple alerts. このアクションには、メール通知、Runbook、Webhook などを含めることができます。The actions can include email notifications, runbooks, webhooks, and many more. アクション グループの詳細については、アクション グループの作成および管理に関するページを参照してください。To learn more about action groups, see Create and manage action groups.

  1. アラートを選択し、 [アクション グループ][新規作成] を選択します。Select an alert and then select Create New under Action Groups.

  2. アクション グループの完全な名前と短い名前を入力します。Enter a full name and a short name for the action group. Update Management では、指定のグループを使用して通知を送信する場合に短縮名を使用します。Update Management uses the short name when sending notifications using the specified group.

  3. [アクション] で、アクションを指定する名前 (電子メール通知など) を入力します。Under Actions, enter a name that specifies the action, for example, Email Notification.

  4. [アクションの種類] には、適切な種類 (メール、SMS、プッシュ、音声など) を選択します。For Action Type, select the appropriate type, for example, Email/SMS/Push/Voice.

  5. [詳細の編集] をクリックします。Click Edit details.

  6. アクションの種類のペインに入力します。Fill in the pane for your action type. たとえば、メール、SMS、プッシュ、音声を使用している場合は、アクション名を入力し、 [電子メール] チェックボックスをオンにして、有効なメール アドレスを入力し、 [OK] をクリックします。For example, if using Email/SMS/Push/Voice, enter an action name, select the Email checkbox, enter a valid email address, and then click OK.

    電子メール アクション グループの構成

  7. [アクション グループの追加] ペインで、 [OK] をクリックします。In the Add action group pane, click OK.

  8. アラート メールでは、メールの件名をカスタマイズできます。For an alert email, you can customize the email subject. [ルールの作成][アクションをカスタマイズする] を選択し、 [メールの件名] を選択します。Select Customize actions under Create rule, then select Email subject.

  9. 完了したら、 [アラート ルールの作成] をクリックします。When you're finished, click Create alert rule.

更新プログラムのデプロイをスケジュールするSchedule an update deployment

更新プログラムの展開をスケジュールすると、対象マシンへの更新プログラムの展開を処理する Patch-MicrosoftOMSComputersRunbook にリンクされたスケジュール リソースが作成されます。Scheduling an update deployment creates a schedule resource linked to the Patch-MicrosoftOMSComputers runbook that handles the update deployment on the target machines. リリース スケジュールとサービス期間に従って展開をスケジュールし、更新プログラムをインストールする必要があります。You must schedule a deployment that follows your release schedule and service window to install updates. 展開に含める更新プログラムの種類を選択できます。You can choose the update types to include in the deployment. たとえば、緊急更新プログラムやセキュリティ更新プログラムを追加し、更新プログラムのロールアップを除外できます。For example, you can include critical or security updates and exclude update rollups.

注意

展開の作成後に Azure portal または PowerShell を使用してこのスケジュール リソースを削除した場合、スケジュールされた更新プログラムの展開が破棄され、ポータルからスケジュール リソースを再構成しようとするとエラーが表示されます。If you delete the schedule resource from the Azure portal or using PowerShell after creating the deployment, the deletion breaks the scheduled update deployment and presents an error when you attempt to reconfigure the schedule resource from the portal. スケジュール リソースは、対応するデプロイ スケジュールを削除することによってのみ削除することができます。You can only delete the schedule resource by deleting the corresponding deployment schedule.

新しい更新プログラムの展開をスケジュールするには:To schedule a new update deployment:

  1. ご自分の Automation アカウントで、 [更新の管理][更新の管理] に移動し、 [更新プログラムの展開のスケジュール] を選択します。In your Automation account, go to Update management under Update management, and then select Schedule update deployment.

  2. [新しい更新プログラムの展開] の下の [名前] フィールドを使用して、展開に一意の名前を入力します。Under New update deployment, use the Name field to enter a unique name for your deployment.

  3. 更新プログラムの展開の対象となるオペレーティング システムを選択します。Select the operating system to target for the update deployment.

  4. [更新するグループ (プレビュー)] 領域で、サブスクリプション、リソース グループ、場所、タグを組み合わせたクエリを定義し、展開に含める Azure VM の動的グループを構築します。In the Groups to update (preview) region, define a query that combines subscription, resource groups, locations, and tags to build a dynamic group of Azure VMs to include in your deployment. 詳細については、「Update Management を利用して動的グループを使用する」を参照してください。To learn more, see Use dynamic groups with Update Management.

  5. [更新するマシン] 領域で、保存した検索またはインポートしたグループを選択するか、ドロップダウン メニューから [マシン] を選択し、個々のマシンを選択します。In the Machines to update region, select a saved search, an imported group, or pick Machines from the dropdown menu and select individual machines. このオプションを使用すると、各マシンの Log Analytics エージェントの準備状況を確認できます。With this option, you can see the readiness of the Log Analytics agent for each machine. Azure Monitor ログでコンピューター グループを作成するさまざまな方法については、Azure Monitor ログのコンピューター グループに関するページを参照してくださいTo learn about the different methods of creating computer groups in Azure Monitor logs, see Computer groups in Azure Monitor logs.

  6. [更新プログラムの分類] 領域を使用して、製品の更新プログラムの分類を指定します。Use the Update classifications region to specify update classifications for products. 製品ごとに、更新プログラムの展開に含めるものを除き、サポート対象の更新プログラムの分類すべての選択を解除します。For each product, deselect all supported update classifications but the ones to include in your update deployment.

  7. [更新プログラムの包含/除外] 領域を使用して、展開の特定の更新プログラムを選択します。Use the Include/exclude updates region to select specific updates for deployment. [包含/除外] ページには、包含または除外するサポート技術情報の記事の ID 番号別に更新プログラムが表示されます。The Include/Exclude page displays the updates by KB article ID numbers to include or exclude.

    重要

    包含より除外が優先されることを覚えておいてください。Remember that exclusions override inclusions. たとえば、* の除外ルールを定義すると、Update Management ではすべてのパッチまたはパッケージがインストールから除外されます。For instance, if you define an exclusion rule of *, Update Management excludes all patches or packages from the installation. 除外されたパッチは、マシンに不足しているものとして表示されます。Excluded patches still show as missing from the machines. Linux マシンでは、除外された依存パッケージを含むパッケージを含めた場合、メイン パッケージはインストールされません。For Linux machines, if you include a package that has a dependent package that has been excluded, Update Management doesn't install the main package.

    注意

    置き換え済みの更新プログラムを更新プログラムの展開に含めるように指定することはできません。You can't specify updates that have been superseded to include in the update deployment.

  8. [スケジュール設定] を選択します。Select Schedule settings. 既定の開始時刻は、現在の時刻の 30 分後です。The default start time is 30 minutes after the current time. 開始時刻は、10 分後以降の将来の任意の時点に設定できます。You can set the start time to any time from 10 minutes in the future.

  9. [繰り返し] フィールドを使用して、展開を 1 回だけ実行するか、定期的なスケジュールを使用するかどうかを指定し、 [OK] をクリックします。Use the Recurrence field to specify if the deployment occurs once or uses a recurring schedule, then click OK.

  10. [事前スクリプトと事後スクリプト (プレビュー)] 領域で、展開の前後に実行するスクリプトを選択します。In the Pre-scripts + Post-scripts (Preview) region, select the scripts to run before and after your deployment. 詳細については、「事前スクリプトと事後スクリプトを管理する」を参照してください。To learn more, see Manage pre-scripts and post-scripts.

  11. [メンテナンス期間 (分)] フィールドを使用して、更新プログラムをインストールするために許容される時間を指定します。Use the Maintenance window (minutes) field to specify the amount of time allowed for updates to install. メンテナンス期間を指定するときは、次の詳細を考慮してください。Consider the following details when specifying a maintenance window:

    • メンテナンス期間によって、インストールされる更新プログラムの数が制御されます。Maintenance windows control how many updates are installed.
    • メンテナンス期間の終了が近づいている場合でも、Update Management では、新しい更新プログラムのインストールは停止されません。Update Management doesn't stop installing new updates if the end of a maintenance window is approaching.
    • メンテナンス期間を超過した場合でも、進行中の更新は終了されません。Update Management doesn't terminate in-progress updates if the maintenance window is exceeded.
    • Windows でメンテナンス期間が超過した場合、Service Pack の更新プログラムのインストールに時間がかかることが原因であることがよくあります。If the maintenance window is exceeded on Windows, it's often because a service pack update is taking a long time to install.

    注意

    Ubuntu でメンテナンス期間外に更新プログラムが適用されないようにするには、Unattended-Upgrade パッケージを再構成して自動更新を無効にします。To avoid updates being applied outside of a maintenance window on Ubuntu, reconfigure the Unattended-Upgrade package to disable automatic updates. パッケージの構成方法については、Ubuntu サーバー ガイドの自動更新に関するトピックをご覧ください。For information about how to configure the package, see the Automatic updates topic in the Ubuntu Server Guide.

  12. [再起動のオプション] フィールドを使用して、展開中の再起動の処理方法を指定します。Use the Reboot options field to specify the way to handle reboots during deployment. 次のオプションを使用できます。The following options are available:

    • 必要に応じて再起動 (既定値)Reboot if necessary (default)
    • 常に再起動Always reboot
    • 再起動しないNever reboot
    • 再起動のみ (このオプションでは更新プログラムはインストールされません)Only reboot; this option doesn't install updates

    注意

    [再起動のオプション][再起動しない] に設定されている場合、「再起動の管理に使われるレジストリ キー」に記載されているレジストリ キーにより、再起動イベントが発生する可能性があります。The registry keys listed under Registry keys used to manage restart can cause a reboot event if Reboot options is set to Never reboot.

  13. 展開スケジュールの構成が完了したら、 [作成] をクリックします。When you're finished configuring the deployment schedule, click Create.

    更新プログラムのスケジュール設定ウィンドウ

  14. 状態ダッシュボードに戻ります。You're returned to the status dashboard. [スケジュールされた更新プログラムの展開] を選択して、作成した展開スケジュールを表示します。Select Scheduled Update deployments to show the deployment schedule that you've created.

プログラムで更新プログラムの展開をスケジュールするSchedule an update deployment programmatically

REST API を使用して更新プログラムの展開を作成する方法については、「ソフトウェア更新プログラムの構成 - 作成」を参照してください。To learn how to create an update deployment with the REST API, see Software Update Configurations - Create.

サンプル Runbook を使用して、週単位の更新プログラムの展開を作成できます。You can use a sample runbook to create a weekly update deployment. この Runbook について詳しくは、「Create a weekly update deployment for one or more VMs in a resource group」(リソース グループ内の VM に対して週単位の更新プログラムのデプロイを作成する) をご覧ください。To learn more about this runbook, see Create a weekly update deployment for one or more VMs in a resource group.

展開の状態を確認するCheck deployment status

スケジュールされた展開の開始後、 [更新の管理][更新プログラムの展開] タブに、その状態が表示されます。After your scheduled deployment starts, you can see its status on the Update deployments tab under Update management. 展開が現在実行中の場合、状態は [処理中] と表示されます。The status is In progress when the deployment is currently running. 展開が正常に終了すると、状態が [成功] に変わります。When the deployment ends successfully, the status changes to Succeeded. 展開に含まれる 1 つ以上の更新プログラムでエラーが発生した場合、状態は [Partially failed](部分的に失敗) になります。If there are failures with one or more updates in the deployment, the status is Partially failed.

完了した更新プログラムの展開の結果を表示するView results of a completed update deployment

展開が完了したら、それを選択してそのダッシュボードを表示することができます。When the deployment is finished, you can select it to see its dashboard.

特定の展開に関する更新プログラムの展開ステータスのダッシュボード

[更新プログラムを実行した結果] には、ターゲット VM 上の更新プログラムの合計数と展開結果が表示されます。Under Update results, a summary provides the total number of updates and deployment results on the target VMs. 右側の表には、更新プログラムの詳細な内訳とそれぞれのインストール結果が示されます。The table on the right shows a detailed breakdown of the updates and the installation results for each.

使用できる値は次のとおりです。The available values are:

  • 試行されていません - 定義されたメンテナンス期間に基づく利用可能な時間が十分ではなかったため、更新プログラムがインストールされませんでした。Not attempted - The update wasn't installed because there was insufficient time available, based on the defined maintenance window duration.
  • 選択されていません - 更新プログラムが展開用に選択されていませんでした。Not selected - The update wasn't selected for deployment.
  • 成功 - 更新できました。Succeeded - The update succeeded.
  • 失敗 - 更新できませんでした。Failed - The update failed.

展開によって作成されたログ エントリをすべて表示するには、 [すべてのログ] を選択します。Select All logs to see all log entries that the deployment has created.

ターゲット VM での更新プログラムの展開を管理する Runbook のジョブ ストリームを確認するには、 [出力] を選択します。Select Output to see the job stream of the runbook responsible for managing the update deployment on the target VMs.

展開で発生したエラーの詳細情報を確認するには、 [エラー] を選択します。Select Errors to see detailed information about any errors from the deployment.

展開アラートを表示するView the deployment alert

更新プログラムの展開が完了すると、展開のセットアップ時に指定したアラートが表示されます。When your update deployment is finished, you receive the alert that you've specified during setup for the deployment. たとえば、パッチを確認する電子メールを次に示します。For example, here's an email confirming a patch.

電子メール アクション グループの構成

次のステップNext steps