Azure Automation を使用して Windows 更新プログラムを管理するManage Windows updates by using Azure Automation

Update Management のソリューションを使用すると、仮想マシンの更新プログラムとパッチを管理できます。You can use the Update Management solution to manage updates and patches for your virtual machines. このチュートリアルでは、利用可能な更新プログラムの状態の評価、必要な更新プログラムのインストールのスケジュール設定、展開の結果の確認、更新プログラムが正常に適用されたことを確認するアラートの作成を迅速に行う方法について説明します。In this tutorial, you learn how to quickly assess the status of available updates, schedule installation of required updates, review deployment results, and create an alert to verify that updates apply successfully.

価格情報については、Update Management の Automation の価格に関するページをご覧ください。For pricing information, see Automation pricing for Update Management.

このチュートリアルでは、以下の内容を学習します。In this tutorial, you learn how to:

  • Update Management のために VM をオンボードするOnboard a VM for Update Management
  • 更新の評価を表示するView an update assessment
  • アラートを構成するConfigure alerting
  • 更新プログラムのデプロイをスケジュールするSchedule an update deployment
  • デプロイの結果を表示するView the results of a deployment

前提条件Prerequisites

このチュートリアルを完了するには、次のものが必要です。To complete this tutorial, you need:

Azure へのサインインSign in to Azure

Azure Portal ( https://portal.azure.com ) にサインインします。Sign in to the Azure portal at https://portal.azure.com.

Update Management の有効化Enable Update Management

まず、このチュートリアル用に VM の Update Management を有効にします。First, enable Update Management on your VM for this tutorial:

  1. Azure Portal の左側のメニューで [Virtual Machines] を選択します。In the Azure portal, in the left menu, select Virtual machines. 一覧から VM を選択します。Select a VM from the list.
  2. VM のページで、[操作][更新の管理] を選択します。On the VM page, under OPERATIONS, select Update management. [更新管理の有効化] ウィンドウが開きます。The Enable Update Management pane opens.

この VM で Update Management が有効になっているかどうかを確認する検証が行われます。Validation is performed to determine whether Update Management is enabled for this VM. この検証では、Azure Log Analytics ワークスペースの確認、リンクされた Automation アカウントの確認、Update Management ソリューションがワークスペースにあるかどうかの確認が行われます。This validation includes checks for an Azure Log Analytics workspace and linked Automation account, and whether the Update Management solution is in the workspace.

Log Analytics ワークスペースは、Update Management のような機能およびサービスによって生成されるデータを収集するために使用されます。A Log Analytics workspace is used to collect data that's generated by features and services like Update Management. ワークスペースには、複数のソースからのデータを確認および分析する場所が 1 つ用意されています。The workspace provides a single location to review and analyze data from multiple sources.

また、検証プロセスでは、VM が Microsoft Monitoring Agent (MMA) と Automation Hybrid Runbook Worker と共にプロビジョニングされているかどうかが確認されます。The validation process also checks to see whether the VM is provisioned with the Microsoft Monitoring Agent (MMA) and Automation Hybrid Runbook Worker. このエージェントは、Azure Automation と通信し、更新の状態に関する情報を取得するために使用されます。This agent is used to communicate with Azure Automation and to obtain information about the update status. エージェントでは、Azure Automation サービスと通信したり、更新プログラムをダウンロードしたりするために、ポート 443 を開く必要があります。The agent requires port 443 to be open to communicate with the Azure Automation service and to download updates.

オンボード中に次の前提条件のいずれかを満たしていないことがわかった場合は、自動的に追加されます。If any of the following prerequisites were found to be missing during onboarding, they're automatically added:

Update Management で、使用する場所、Log Analytics ワークスペース、Automation アカウントを設定します。Under Update Management, set the location, Log Analytics workspace, and Automation account to use. その後、[有効化] を選択します。Then, select Enable. これらのオプションを使用できない場合は、その VM で別の Automation ソリューションが有効になっていることを意味します。If these options aren't available, it means that another automation solution is enabled for the VM. この場合、同じワークスペースおよび Automation アカウントを使用する必要があります。In that case, the same workspace and Automation account must be used.

[Update Management の有効化] ソリューション ウィンドウ

ソリューションの有効化には、最大数分かかることがあります。Enabling the solution can take up to a few minutes. この処理中はブラウザーのウィンドウを閉じないでください。During this time, don't close the browser window. ソリューションが有効になると、VM 上の不足している更新プログラムの情報が Azure Monitor ログに送られます。After the solution is enabled, information about missing updates on the VM flows to Azure Monitor logs. データの分析に使用できるようになるまでに、30 分から 6 時間かかる場合があります。It can take between 30 minutes and 6 hours for the data to be available for analysis.

更新の評価を確認するView update assessment

Update Management が有効になると、[更新の管理] ウィンドウが開きます。After Update Management is enabled, the Update management pane opens. 不足している更新プログラムがある場合は、[不足している更新プログラム] タブに、足りない更新プログラムの一覧が表示されます。If any updates are missing, a list of missing updates is shown on the Missing updates tab.

[情報リンク] で更新プログラムのリンクを選択すると、新しいウィンドウに更新プログラムのサポート記事が表示されます。Under INFORMATION LINK, select the update link to open the support article for the update in a new window. このウィンドウで、更新プログラムに関する重要情報を確認できます。You can learn important information about the update in this window.

更新ステータスを確認する

更新プログラムの別の場所をクリックすると、選択した更新プログラムの [ログ検索] ウィンドウが開きます。Click anywhere else on the update to open the Log Search pane for the selected update. その更新プログラムについて、ログ検索のクエリが事前に定義されています。The query for the log search is predefined for that specific update. このクエリを変更するか、独自のクエリを作成して、環境に展開されている更新プログラムまたは不足している更新プログラムに関する詳細情報を確認できます。You can modify this query or create your own query to view detailed information about the updates that are deployed or missing in your environment.

更新ステータスを確認する

アラートを構成するConfigure alerts

この手順では、更新プログラムの展開の状態を通知するアラートの設定について説明します。In this step, you learn to set up an alert to let you know the status of an update deployment.

アラートの条件Alert conditions

お使いの Automation アカウントで、[監視][アラート] に移動し、[+ 新しいアラート ルール] をクリックします。In your Automation Account, under Monitoring go to Alerts, and then click + New alert rule.

お使いの Automation アカウントは、リソースとしてあらかじめ選択されています。Your Automation Account is already selected as the resource. これを変更したい場合は、[選択] をクリックし、[リソースの選択] ページの [リソースの種類でフィルター] ドロップダウンで [Automation アカウント] を選択してください。If you want to change it you can click Select and on the Select a resource page, select Automation Accounts in the Filter by resource type dropdown. お使いの Automation アカウントを選択して、[完了] を選択します。Select your Automation Account, and then select Done.

[条件の追加] をクリックして、お客様の更新プログラムの展開に適したシグナルを選択します。Click Add condition to select the signal that is appropriate for your update deployment. 次の表は、更新プログラムの展開に使用できる 2 つのシグナルの詳細を示しています。The following table shows the details of the two available signals for update deployments:

シグナル名Signal Name DimensionsDimensions 説明Description
Total Update Deployment Runs (更新プログラムの展開の合計実行回数)Total Update Deployment Runs - Update Deployment Name (更新プログラムの展開の名前)- Update Deployment Name
- Status (状態)- Status
このシグナルは、更新プログラムの展開の全体的な状態を通知するために使用されます。This signal is used to alert on the overall status of an update deployment.
Total Update Deployment Machine Runs (更新プログラムの展開マシンの合計実行回数)Total Update Deployment Machine Runs - Update Deployment Name (更新プログラムの展開の名前)- Update Deployment Name
- Status (状態)- Status
- Target Computer (ターゲット コンピューター)- Target Computer
- Update Deployment Run Id (更新プログラムの展開の実行 ID)- Update Deployment Run Id
このシグナルは、特定のマシンを対象とした更新プログラムの展開の状態を通知するために使用されます。This signal is used to alert on the status of an update deployment targeted at specific machines

ディメンションの値には、一覧から有効な値を選択します。For the dimension values, select a valid value from the list. 探している値が一覧に見つからない場合は、ディメンションの横にある + 記号をクリックしてカスタム名を入力します。If the value you are looking for is not in the list, click the + sign next to the dimension and type in the custom name. その後、お客様が探したい値を選択できます。You can then select the value you want to look for. ディメンションのすべての値を選択したい場合は、[選択]* ボタンをクリックします。If you want to select all values from a dimension, click the Select * button. ディメンションの値を選択しなかった場合、そのディメンションは評価中に無視されます。If you do not choose a value for a dimension, that dimension will be ignored during evaluation.

シグナル ロジックの構成

[アラート ロジック][しきい値] に「1」を入力します。Under Alert logic, for Threshold, enter 1. 完了したら、[完了] をクリックします。When you're finished, select Done.

[アラートの詳細]Alert details

[2. アラートの詳細を定義します] で、アラートの名前と説明を入力します。Under 2. Define alert details, enter a name and description for the alert. 成功した実行の場合 [重大度][Informational(Sev 2)](情報 (重大度 2)) に設定し、失敗した実行の場合 [Informational(Sev 1)](情報 (重大度 1)) に設定します。Set Severity to Informational(Sev 2) for a successful run, or Informational(Sev 1) for a failed run.

シグナル ロジックの構成

[アクション グループ][新規作成] を選択します。Under Action groups, select Create New. アクション グループとは、複数のアラートで使用できるアクションのグループです。An action group is a group of actions that you can use across multiple alerts. アクションには、電子メール通知、Runbook、webhook などがありますが、これらに限定されるわけではありません。The actions can include but are not limited to email notifications, runbooks, webhooks, and many more. アクション グループの詳細については、アクション グループの作成および管理に関するページを参照してください。To learn more about action groups, see Create and manage action groups.

[アクション グループ名] ボックスに、アラートの名前と短い名前を入力します。In the Action group name box, enter a name for the alert and a short name. 短い名前は、通知がこのグループを使用して送信されるときに長い名前の代わりに使用されます。The short name is used in place of a full action group name when notifications are sent by using this group.

[アクション] に、電子メール通知などの、アクションの名前を入力します。Under Actions, enter a name for the action, like Email Notifications. [アクションの種類] で、[電子メール/SMS/プッシュ/音声] を選びます。Under ACTION TYPE, select Email/SMS/Push/Voice. [詳細] で、[詳細の編集] を選択します。Under DETAILS, select Edit details.

[電子メール/SMS/プッシュ/音声] ウィンドウで、名前を入力します。In the Email/SMS/Push/Voice pane, enter a name. [電子メール] チェック ボックスをオンにして、有効な電子メール アドレスを入力します。Select the Email check box, and then enter a valid email address.

電子メール アクション グループの構成

[電子メール/SMS/プッシュ/音声] ウィンドウで、[OK] を選択します。In the Email/SMS/Push/Voice pane, select OK. [アクション グループの追加] ウィンドウで、[OK] を選択します。In the Add action group pane, select OK.

アラートの電子メールの件名をカスタマイズするには、[ルールの作成][アクションをカスタマイズする] で、[電子メールの件名] を選択します。To customize the subject of the alert email, under Create rule, under Customize Actions, select Email subject. 完了したら、[アラート ルールの作成] を選択します。When you're finished, select Create alert rule. このアラートにより、更新プログラムの展開が成功したことと、その更新プログラムの展開の実行対象となったコンピューターが通知されます。The alert tells you when an update deployment succeeds, and which machines were part of that update deployment run.

更新プログラムのデプロイをスケジュールするSchedule an update deployment

次に、リリース スケジュールとサービス期間に従って展開をスケジュールし、更新プログラムをインストールします。Next, schedule a deployment that follows your release schedule and service window to install updates. デプロイに含める更新の種類を選択できます。You can choose which update types to include in the deployment. たとえば、緊急更新プログラムやセキュリティ更新プログラムを追加し、更新プログラムのロールアップを除外できます。For example, you can include critical or security updates and exclude update rollups.

VM の新しい更新プログラムの展開をスケジュールするには、[更新の管理] に移動し、[更新プログラムの展開のスケジュール] を選択します。To schedule a new update deployment for the VM, go to Update management, and then select Schedule update deployment.

[新しい更新プログラムの展開] で、次の情報を指定します。Under New update deployment, specify the following information:

  • [名前]: 更新プログラムの展開に一意の名前を入力します。Name: Enter a unique name for the update deployment.

  • [オペレーティング システム]: 更新プログラムの展開の対象となる OS を選択します。Operating system: Select the OS to target for the update deployment.

  • [Groups to update (preview)](更新するグループ (プレビュー)): サブスクリプション、リソース グループ、場所、およびタグの組み合わせに基づいてクエリを定義し、デプロイに含める Azure VM の動的グループを構築します。Groups to update (preview): Define a query based on a combination of subscription, resource groups, locations, and tags to build a dynamic group of Azure VMs to include in your deployment. 詳しくは、動的グループに関するページをご覧ください。To learn more, see Dynamic Groups

  • [更新するマシン]: 保存した検索条件、インポートしたグループを選択するか、ドロップダウンから [マシン] を選択し、個別のマシンを選択します。Machines to update: Select a Saved search, Imported group, or pick Machine from the drop-down and select individual machines. [マシン] を選択すると、マシンの準備状況が [エージェントの更新の準備] 列に示されます。If you choose Machines, the readiness of the machine is shown in the UPDATE AGENT READINESS column. Azure Monitor ログでコンピューター グループを作成するさまざまな方法については、Azure Monitor ログのコンピューター グループに関するページを参照してくださいTo learn about the different methods of creating computer groups in Azure Monitor logs, see Computer groups in Azure Monitor logs

  • [更新プログラムの分類]:更新プログラムの展開によって展開に追加されたソフトウェアの種類を選択します。Update classification: Select the types of software that the update deployment included in the deployment. このチュートリアルでは、すべての種類を選択したままにします。For this tutorial, leave all types selected.

    分類の種類は次のとおりです。The classification types are:

    OSOS typeType
    WindowsWindows 緊急更新プログラムCritical updates
    セキュリティ更新プログラムSecurity updates
    更新プログラムのロールアップUpdate rollups
    Feature PackFeature packs
    Service PackService packs
    定義の更新Definition updates
    ツールTools
    更新プログラムUpdates
    LinuxLinux 緊急更新プログラムとセキュリティ更新プログラムCritical and security updates
    他の更新プログラムOther updates

    分類の種類の詳細については、「Update classifications (更新プログラムの分類)」をご覧ください。For a description of the classification types, see update classifications.

  • [Updates to include/exclude](含める/除外する更新プログラム): [Include/Exclude](含める/除外する) ページが開きます。Updates to include/exclude - This opens the Include/Exclude page. 含めるまたは除外する更新プログラムは別のタブに表示されます。Updates to be included or excluded are on separate tabs. 包含を処理する方法について詳しくは、包含の動作に関するページをご覧ください。For more information on how inclusion is handled, see inclusion behavior

  • [スケジュール設定]: [スケジュール設定] ウィンドウが開きます。Schedule settings: The Schedule Settings pane opens. 既定の開始時刻は、現在の時刻の 30 分後です。The default start time is 30 minutes after the current time. 開始時刻は、10 分後以降の将来の任意の時点に設定できます。You can set the start time to any time from 10 minutes in the future.

    展開を 1 回行うか、定期的なスケジュールを設定するかを指定することもできます。You can also specify whether the deployment occurs once, or set up a recurring schedule. [繰り返し][1 回] を選択します。Under Recurrence, select Once. 既定値の 1 日のままにし、[OK] を選択します。Leave the default as 1 day and select OK. これで定期的なスケジュールが設定されます。This sets up a recurring schedule.

  • [Pre-scripts + Post-scripts](事前スクリプト + 事後スクリプト): デプロイの前後に実行するスクリプトを選択します。Pre-scripts + Post-scripts: Select the scripts to run before and after your deployment. 詳細については、事前および事後スクリプトの管理に関するページを参照してください。To learn more, see Manage Pre and Post scripts.

  • [メンテナンス期間 (分)]: 既定値をそのまま使用します。Maintenance window (minutes): Leave the default value. 更新プログラムを展開する時間の範囲を設定できます。You can set the window of time that you want the update deployment to occur within. この設定により、定義したサービス期間内は変更が確実に実行されます。This setting helps ensure that changes are performed within your defined service windows.

  • [再起動のオプション]: この設定によって、再起動の処理方法が決まります。Reboot options: This setting determines how reboots should be handled. 使用できるオプションは次のとおりです。Available options are:

    • 必要に応じて再起動 (既定値)Reboot if required (Default)
    • 常に再起動Always reboot
    • 再起動しないNever reboot
    • Only reboot - will not install updates (再起動のみ - 更新プログラムをインストールしない)Only reboot - will not install updates

スケジュールの構成が完了したら、[作成] を選択します。When you're finished configuring the schedule, select Create.

更新プログラムのスケジュール設定ウィンドウ

状態ダッシュボードに戻ります。You're returned to the status dashboard. [スケジュールされた更新プログラムの展開] を選択して、作成した展開スケジュールを表示します。Select Scheduled Update deployments to show the deployment schedule you created.

注意

Update Management では、ファースト パーティの更新プログラムの展開と、修正プログラムの事前ダウンロードをサポートしています。Update Management supports deploying first party updates and pre-downloading patches. このためには、修正プログラムの適用対象システムでの変更が必要になります。お使いのシステムでこれらの設定を構成する方法については、ファースト パーティと事前ダウンロードのサポートに関するセクションを参照してください。This requires changes on the systems being patched, see first party and pre-download support to learn how to configure these settings on your systems.

更新プログラムのデプロイの結果を表示するView results of an update deployment

スケジュールされた展開の開始後、[更新の管理][更新プログラムの展開] タブに、展開の状態が表示されます。After the scheduled deployment starts, you can see the status for that deployment on the Update deployments tab under Update management. 展開が現在実行中の場合、状態は [処理中] と表示されます。The status is In progress when the deployment is currently running. 展開が完了すると、成功した場合は、状態が [成功] に変わります。When the deployment finishes, if it's successful, the status changes to Succeeded. 展開時に 1 つ以上の更新プログラムでエラーが発生した場合、状態は [部分的に失敗] になります。When there are failures with one or more updates in the deployment, the status is Partially failed.

完了した更新プログラムのデプロイを選択すると、その更新プログラムのデプロイ用のダッシュボードが表示されます。Select the completed update deployment to see the dashboard for that update deployment.

特定の展開に関する更新プログラムの展開ステータスのダッシュボード

[更新プログラムを実行した結果] には、VM 上の更新プログラムの合計数と展開結果が表示されます。Under Update results, a summary provides the total number of updates and deployment results on the VM. 右側の表には、各更新プログラムとインストールの結果の詳細が示されます。The table on the right shows a detailed breakdown of each update and the installation results.

使用できる値の一覧を次に示します。The following list shows the available values:

  • 試行されていません: メンテナンス期間として定義された時間が十分ではなかったため、更新プログラムがインストールされませんでした。Not attempted: The update wasn't installed because there was insufficient time available based on the maintenance window duration defined.
  • 成功: 更新できました。Succeeded: The update succeeded.
  • 失敗:更新できませんでした。Failed: The update failed.

展開によって作成されたログ エントリをすべて表示するには、[すべてのログ] を選択します。Select All logs to see all log entries that the deployment created.

ターゲット VM での更新プログラムの展開を管理する Runbook のジョブ ストリームを確認するには、[出力] を選択します。Select Output to see the job stream of the runbook responsible for managing the update deployment on the target VM.

展開で発生したエラーの詳細情報を確認するには、[エラー] を選択します。Select Errors to see detailed information about any errors from the deployment.

更新プログラムの展開が成功すると、次の例のような電子メールが送信され、展開が成功したことが示されます。When your update deployment is successful, an email that's similar to the following example is sent to show success of the deployment:

電子メール アクション グループの構成

次の手順Next steps

このチュートリアルでは、以下の内容を学習しました。In this tutorial, you learned how to:

  • Update Management のために VM をオンボードするOnboard a VM for Update Management
  • 更新の評価を表示するView an update assessment
  • アラートを構成するConfigure alerting
  • 更新プログラムのデプロイをスケジュールするSchedule an update deployment
  • デプロイの結果を表示するView the results of a deployment

更新の管理ソリューションの概要に進みます。Continue to the overview for the Update Management solution.