Azure の Update Management ソリューションUpdate Management solution in Azure

Azure Automation の Update Management ソリューションを使用すると、Azure、オンプレミスの環境、その他のクラウド プロバイダーで、Windows コンピューターと Linux コンピューターに対してオペレーティング システムの更新プログラムを管理できます。You can use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers in Azure, in on-premises environments, and in other cloud providers. すべてのエージェント コンピューターで利用可能な更新プログラムの状態をすばやく評価し、サーバーに必要な更新プログラムをインストールするプロセスを管理できます。You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

仮想マシン (VM) の Update Management は、Azure Automation アカウントから直接有効にすることができます。You can enable Update Management for virtual machines (VMs) directly from your Azure Automation account. その方法については、複数の仮想マシンの更新プログラムの管理に関する記事を参照してください。To learn how, see Manage updates for multiple virtual machines. また、Azure portal の仮想マシン ページから VM の Update Management を有効にすることもできます。You can also enable Update Management for a VM from the virtual machine page in the Azure portal. このシナリオは、Linux VM 用と Windows VM 用があります。This scenario is available for Linux and Windows VMs.

注意

Update Management ソリューションでは、Log Analytics ワークスペースを Automation アカウントにリンクする必要があります。The Update Management solution requires linking a Log Analytics workspace to your Automation account. サポートされているリージョンの確定的な一覧については、Azure でのワークスペースのマッピングに関する記事をご覧ください。For a definitive list of supported regions, see Azure Workspace mappings. リージョン マッピングは、Automation アカウントとは別のリージョンの VM を管理する機能には影響しません。The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

注意

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。We are updating the terminology to better reflect the role of logs in Azure Monitor. 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。See Azure Monitor terminology changes for details.

ソリューションの概要Solution overview

Update Management で管理されるコンピューターでは、評価の実行とデプロイの更新に次の構成を使用します。Computers that are managed by Update Management use the following configurations to perform assessment and to update deployments:

  • Windows または Linux 用の Microsoft Monitoring Agent (MMA)Microsoft Monitoring Agent (MMA) for Windows or Linux
  • PowerShell Desired State Configuration (DSC) (Linux の場合)PowerShell Desired State Configuration (DSC) for Linux
  • Automation Hybrid Runbook WorkerAutomation Hybrid Runbook Worker
  • Microsoft Update または Windows Server Update Services (WSUS) (Windows コンピューターの場合)Microsoft Update or Windows Server Update Services (WSUS) for Windows computers

次の図は、ワークスペース内の接続されたすべての Windows Server および Linux コンピューターに対して、このソリューションが評価を実行する方法とセキュリティ更新プログラムを適用する方法を示しています。The following diagram illustrates how the solution assesses and applies security updates to all connected Windows Server and Linux computers in a workspace:

Update Management プロセスのフロー

Update Management を使用して、同じテナント内の複数のサブスクリプションにマシンをネイティブにオンボードできます。Update Management can be used to natively onboard machines in multiple subscriptions in the same tenant.

パッケージがリリースされた後、Linux マシンの評価用に修正プログラムが表示されるまで 2 時間から 3 時間かかります。After a package is released, it takes 2 to 3 hours for the patch to show up for Linux machines for assessment. Windows マシンの場合、リリースされてから評価用に修正プログラムが表示されるまで 12 時間から 15 時間かかります。For Windows machines, it takes 12 to 15 hours for the patch to show up for assessment after it's been released.

コンピューターが更新プログラムのコンプライアンスを確認するためにスキャンを完了した後、エージェントによって情報が Azure Monitor ログに一括転送されます。After a computer completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. Windows コンピューターでは、コンプライアンス スキャンは既定で 12 時間ごとに実行されます。On a Windows computer, the compliance scan is run every 12 hours by default.

このスキャン スケジュールに加えて、MMA の再起動後 15 分以内、更新プログラムのインストール前、および更新プログラムのインストール後に、更新プログラムのコンプライアンスを確認するためのスキャンが開始されます。In addition to the scan schedule, the scan for update compliance is initiated within 15 minutes of the MMA being restarted, before update installation, and after update installation.

Linux コンピューターでは、コンプライアンス スキャンは既定で 1 時間ごとに実行されます。For a Linux computer, the compliance scan is performed every hour by default. MMA エージェントを再起動した場合は、コンプライアンス スキャンは 15 分以内に開始されます。If the MMA agent is restarted, a compliance scan is initiated within 15 minutes.

このソリューションは、同期先として構成されたソースに基づいて、コンピューターがどの程度最新の状態であるかをレポートします。The solution reports how up-to-date the computer is based on what source you're configured to sync with. Windows コンピューターが WSUS にレポートするよう構成されている場合、WSUS が Microsoft Update と最後に同期したタイミングによっては、その結果が Microsoft Updates の示す内容と一致しない場合があります。If the Windows computer is configured to report to WSUS, depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Update shows. この動作は、パブリック リポジトリではなくローカル リポジトリにレポートするよう構成されている Linux コンピューターも同様です。This behavior is the same for Linux computers that are configured to report to a local repo instead of to a public repo.

注意

サービスに正しく報告するためには、Update Management で、特定の URL とポートを有効にする必要があります。To properly report to the service, Update Management requires certain URLs and ports to be enabled. これらの要件の詳細については、Hybrid Worker のためのネットワーク計画に関する記事を参照してください。To learn more about these requirements, see Network planning for Hybrid Workers.

更新が必要なコンピューターへのソフトウェア更新プログラムのデプロイとインストールに、スケジュールされたデプロイを使用できます。You can deploy and install software updates on computers that require the updates by creating a scheduled deployment. Windows コンピューターの場合、"オプション" に分類されている更新プログラムはデプロイの範囲に含まれません。Updates classified as Optional aren't included in the deployment scope for Windows computers. デプロイの範囲には、必須の更新プログラムのみが含まれています。Only required updates are included in the deployment scope.

スケジュールされたデプロイでは、適用可能な更新プログラムを受け取る対象のコンピューターを定義します。The scheduled deployment defines which target computers receive the applicable updates. これを行うには、特定のコンピューターを明示的に指定するか、特定のコンピューター セットのログ検索 (または指定した条件に基づいて動的に Azure VM を選択する Azure クエリ) に基づいたコンピューター グループを選択します。It does so either by explicitly specifying certain computers or by selecting a computer group that's based on log searches of a specific set of computers (or on an Azure query that dynamically selects Azure VMs based on specified criteria). これらのグループはスコープ構成とは異なります。これは、ソリューションを有効にする管理パックを取得するマシンを決定するためにのみ使用されます。These groups differ from scope configuration, which is used only to determine which machines get the management packs that enable the solution.

また、スケジュールを指定するときは、更新プログラムのインストールを許可する期間を承認し、設定します。You also specify a schedule to approve and set a time period during which updates can be installed. この期間は、メンテナンス期間と呼ばれます。This period is called the maintenance window. 再起動が必要な場合、適切な再起動オプションを選択していれば、再起動のために 20 分間のメンテナンス期間が予約されます。A 20-minute span of the maintenance window is reserved for reboots, assuming one is needed and you selected the appropriate reboot option. パッチ適用に予想よりも時間がかかり、メンテナンス期間の残りが 20 分を切った場合、再起動は行われません。If patching takes longer than expected and there's less than 20 minutes in the maintenance window, a reboot won't occur.

更新プログラムは、Azure Automation の Runbook によってインストールされます。Updates are installed by runbooks in Azure Automation. これらの Runbook は表示できません。また、これらは構成不要です。You can't view these runbooks, and they don’t require any configuration. 更新プログラムのデプロイを作成すると、対象に含めたコンピューターに対して、指定した時間にマスター更新 Runbook を開始するスケジュールが作成されます。When an update deployment is created, it creates a schedule that starts a master update runbook at the specified time for the included computers. このマスター Runbook は、必須の更新プログラムをインストールする子 Runbook を各エージェントで開始します。The master runbook starts a child runbook on each agent to install the required updates.

更新プログラムのデプロイで指定した日時に、対象のコンピューターでデプロイが並列で実行されます。At the date and time specified in the update deployment, the target computers execute the deployment in parallel. まず、スキャンが実行され、その更新プログラムが依然として必須であることが確認されてからインストールされます。Before installation, a scan is run to verify that the updates are still required. WSUS クライアント コンピューターの場合、更新プログラムが WSUS で承認されていないと、更新プログラムのデプロイは失敗します。For WSUS client computers, if the updates aren't approved in WSUS, update deployment fails.

1 つのマシンを複数の Log Analytics ワークスペースで Update Management 用に登録すること (マルチホーム) は、サポートされていません。Having a machine registered for Update Management in more than one Log Analytics workspace (multihoming) isn't supported.

クライアントClients

サポートされているクライアントの種類Supported client types

次の表は、更新プログラムの評価でサポートされているオペレーティング システムの一覧です。The following table lists the supported operating systems for update assessments. 修正プログラムを適用するには、Hybrid Runbook Worker が必要です。Patching requires a Hybrid Runbook Worker. Hybrid Runbook Worker の要件の詳細については、Windows Hybrid Runbook Worker のインストールと Linux Hybrid Runbook Worker のインストールに関するインストール ガイドを参照してください。For information on Hybrid Runbook Worker requirements, see the installation guides for installing a Windows Hybrid Runbook Worker and a Linux Hybrid Runbook Worker.

オペレーティング システムOperating system メモNotes
Windows Server 2019 (Datacenter、Datacenter Core、Standard)Windows Server 2019 (Datacenter/Datacenter Core/Standard)

Windows Server 2016 (Datacenter、Datacenter Core、Standard)Windows Server 2016 (Datacenter/Datacenter Core/Standard)

Windows Server 2012 R2 (Datacenter、Standard)Windows Server 2012 R2(Datacenter/Standard)

Windows Server 2012Windows Server 2012

Windows Server 2008 R2 (RTM および SP1 Standard)Windows Server 2008 R2 (RTM and SP1 Standard)
CentOS 6 (x86/x64) および 7 (x64)CentOS 6 (x86/x64) and 7 (x64) Linux エージェントは、更新リポジトリへのアクセスが必要です。Linux agents must have access to an update repository. 分類に基づく修正プログラムでは、CentOS の RTM リリースには含まれていないセキュリティ データを返すための yum が必須です。Classification-based patching requires yum to return security data that CentOS doesn't have in its RTM releases. 分類に基づく CentOS への修正プログラムの適用の詳細については、Linux の更新プログラムの分類に関する記事を参照してください。For more information on classification-based patching on CentOS, see Update classifications on Linux.
Red Hat Enterprise 6 (x86/x64) および 7 (x64)Red Hat Enterprise 6 (x86/x64) and 7 (x64) Linux エージェントは、更新リポジトリへのアクセスが必要です。Linux agents must have access to an update repository.
SUSE Linux Enterprise Server 11 (x86/x64) および 12 (x64)SUSE Linux Enterprise Server 11 (x86/x64) and 12 (x64) Linux エージェントは、更新リポジトリへのアクセスが必要です。Linux agents must have access to an update repository.
Ubuntu 14.04 LTS、16.04 LTS、18.04 (x86/x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 (x86/x64) Linux エージェントは、更新リポジトリへのアクセスが必要です。Linux agents must have access to an update repository.

注意

Azure 仮想マシン スケール セットは、Update Management を使用して管理できます。Azure virtual machine scale sets can be managed through Update Management. Update Management は、基本イメージではなくインスタンス自体で動作します。Update Management works on the instances themselves and not on the base image. すべての VM インスタンスを一度に更新しないように、段階的に更新をスケジュールする必要があります。You'll need to schedule the updates in an incremental way, so that not all the VM instances are updated at once. 仮想マシン スケールセットのノードを追加するには、「Azure 以外のマシンの配布準備」の手順に従ってください。You can add nodes for virtual machine scale sets by following the steps under Onboard a non-Azure machine.

サポートされていないクライアントの種類Unsupported client types

次の表は、サポートされていないオペレーティング システムの一覧です。The following table lists unsupported operating systems:

オペレーティング システムOperating system メモNotes
Windows クライアントWindows client クライアント オペレーティング システム (Windows 7 や Windows 10 など) はサポートされません。Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Windows Server 2016 Nano ServerWindows Server 2016 Nano Server サポートされていません。Not supported.
Azure Kubernetes Service ノードAzure Kubernetes Service Nodes サポートされていません。Not supported. Azure Kubernetes Service (AKS) の Linux ノードにセキュリティとカーネルの更新を適用する」で説明されている修正プログラム適用プロセスを使用します。Use the patching process described in Apply security and kernel updates to Linux nodes in Azure Kubernetes Service (AKS)

クライアントの要件Client requirements

OS 固有のクライアント要件について以下に説明します。The following information describes OS-specific client requirements. 追加のガイダンスについては、「ネットワークの計画」を参照してください。For additional guidance, see Network planning.

WindowsWindows

Windows エージェントは、WSUS サーバーと通信するように構成するか、Microsoft Update にアクセスできる必要があります。Windows agents must be configured to communicate with a WSUS server, or they must have access to Microsoft Update.

System Center Configuration Manager と Update Management を統合して使用できます。You can use Update Management with System Center Configuration Manager. 統合シナリオの詳細については、「System Center Configuration Manager と Update Management の統合」を参照してください。To learn more about integration scenarios, see Integrate System Center Configuration Manager with Update Management. Windows エージェントが必要です。The Windows agent is required. Azure VM をオンボードする場合、このエージェントは自動的にインストールされます。The agent is installed automatically if you're onboarding an Azure VM.

既定では、Azure Marketplace からデプロイされた Windows VM は、Windows Update Service から自動更新を受信するように設定されています。By default, Windows VMs that are deployed from the Azure Marketplace are set to receive automatic updates from Windows Update Service. このソリューションまたは Windows VM をワークスペースに追加しても、この動作は変わりません。This behavior doesn't change when you add this solution or add Windows VMs to your workspace. このソリューションで更新プログラムを能動的に管理しない場合は、既定の動作 (更新プログラムが自動的に適用される) が適用されます。If you don't actively manage updates by using this solution, the default behavior (to automatically apply updates) applies.

注意

ユーザーは、グループ ポリシーを変更して、システムではなくユーザーだけがマシンの再起動を実行できるようにすることができます。A user can modify Group Policy so that machine reboots can be performed only by the user, not by the system. Update Management にユーザーによる手動操作なしでマシンを再起動する権限がない場合、管理対象のマシンが停止する可能性があります。Managed machines can get stuck if Update Management doesn't have rights to reboot the machine without manual interaction from the user.

詳しくは、「自動更新のグループ ポリシー設定を構成する」をご覧ください。For more information, see Configure Group Policy settings for Automatic Updates.

LinuxLinux

Linux コンピューターには、更新リポジトリへのアクセスが必要です。For Linux, the machine must have access to an update repository. プライベートまたはパブリックの更新リポジトリが使用できます。The update repository can be private or public. Update Management と対話するには、TLS 1.1 または TLS 1.2 が必要です。TLS 1.1 or TLS 1.2 is required to interact with Update Management. このソリューションでは、Linux 用 Log Analytics エージェントが複数の Azure Log Analytics ワークスペースにレポートする構成はサポートされていません。A Log Analytics Agent for Linux that's configured to report to more than one Log Analytics workspace isn't supported with this solution. マシンには Python 2.x もインストールされている必要があります。The machine must also have Python 2.x installed.

Linux 用 Log Analytics エージェントをインストールして最新バージョンをダウンロードする方法の詳細については、Linux 用 Log Analytics エージェントに関するページを参照してください。For information about how to install the Log Analytics Agent for Linux and to download the latest version, see Log Analytics Agent for Linux. Windows 用 Log Analytics エージェントをインストールする方法については、「Windows コンピューターを Azure Monitor に接続する」を参照してください。For information about how to install the Log Analytics Agent for Windows, see Connect Windows computers to Azure Monitor.

Azure Marketplace から入手できるオンデマンドの Red Hat Enterprise Linux (RHEL) イメージから作成した VM は、Azure にデプロイされた Red Hat Update Infrastructure (RHUI) にアクセスするよう登録されています。VMs that were created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in the Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. その他の Linux ディストリビューションは、そのディストリビューションのサポートされている方法を使用して、ディストリビューションのオンライン ファイル リポジトリから更新する必要があります。Any other Linux distribution must be updated from the distribution's online file repository by using the distribution's supported methods.

アクセス許可Permissions

更新プログラムのデプロイを作成および管理するには、特定のアクセス許可が必要です。To create and manage update deployments, you need specific permissions. これらのアクセス許可の詳細については、Update Management へのロールベースのアクセスに関するページをご覧ください。To learn about these permissions, see Role-based access – Update Management.

ソリューションのコンポーネントSolution components

このソリューションは、次のリソースで構成されています。The solution consists of the following resources. リソースは、Automation アカウントに追加されます。The resources are added to your Automation account. これらは、直接接続しているエージェントであるか、または Operations Manager に接続された管理グループの中に存在します。They're either directly connected agents or in an Operations Manager-connected management group.

ハイブリッド worker グループHybrid Worker groups

このソリューションを有効にすると、ソリューションに含まれている Runbook をサポートするために、Log Analytics ワークスペースに直接接続された Windows コンピューターが自動的に Hybrid Runbook Worker として構成されます。After you enable this solution, any Windows computer that's directly connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker to support the runbooks that are included in this solution.

ソリューションで管理されている各 Windows コンピューターは、Automation アカウントの [システム ハイブリッド worker グループ] として、 [ハイブリッド Worker グループ] ページに表示されます。Each Windows computer that's managed by the solution is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. ソリューションでは、Hostname FQDN_GUID の名前付け規則を使用します。The solutions use the Hostname FQDN_GUID naming convention. アカウントの Runbook でこれらのグループを対象として指定することはできません。You can't target these groups with runbooks in your account. 指定しようとすると、失敗します。If you try, the attempt fails. これらのグループは、管理ソリューションをサポートすることのみを目的としています。These groups are intended to support only the management solution.

このソリューションと Hybrid Runbook Worker グループ メンバーシップの両方に同じアカウントを使用すると、Windows コンピューターを Automation アカウントの Hybrid Runbook Worker グループに追加して Automation Runbook をサポートすることができます。You can add the Windows computers to a Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for both the solution and the Hybrid Runbook Worker group membership. この機能は、Hybrid Runbook Worker のバージョン 7.2.12024.0 で追加されました。This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

管理パックManagement packs

System Center Operations Manager 管理グループが Log Analytics ワークスペースに接続されている場合は、以下の管理パックが Operations Manager にインストールされます。If your System Center Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. これらの管理パックは、このソリューションを追加した後、直接接続された Windows コンピューターにもインストールされます。These management packs are also installed on directly connected Windows computers after you add the solution. これらの管理パックを構成または管理する必要はありません。You don't need to configure or manage these management packs.

  • Microsoft System Center Advisor 更新プログラム評価インテリジェンス パック (Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • 更新プログラムの展開 MPUpdate Deployment MP

注意

ワークスペースに関連付けられるように管理グループ レベルでエージェントが構成されている Operations Manager 1807 または 2019 管理グループがあるとします。Assume that you have an Operations Manager 1807 or 2019 management group with agents configured at the Management Group level to associate them with a workspace. それらを表示するための現在の回避策は、Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init ルールで IsAutoRegistrationEnabledTrue にオーバーライドすることです。The current workaround to get them to show up is to override IsAutoRegistrationEnabled to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

ソリューション管理パックの更新方法の詳細については、Azure Monitor ログへの Operations Manager の接続に関するページを参照してください。For more information about how solution management packs are updated, see Connect Operations Manager to Azure Monitor logs.

注意

Operations Manager エージェントを使用しているシステムの場合:エージェントが Update Management によって完全に管理されるようにするには、エージェントを MMA に更新する必要があります。For systems with the Operations Manger Agent: For an agent to be fully managed by Update Management, the agent must be updated to the MMA. エージェントを更新する方法については、Operations Manager エージェントのアップグレード方法に関する記事を参照してください。To learn how to update the agent, see How to upgrade an Operations Manager agent. Operations Manager を使用する環境では、System Center Operations Manager 2012 R2 UR 14 以降を実行している必要があります。In environments that use Operations Manager, you must be running System Center Operations Manager 2012 R2 UR 14 or later.

データ コレクションData collection

サポートされているエージェントSupported agents

次の表では、このソリューションでサポートされている接続先ソースについて説明します。The following table describes the connected sources that this solution supports:

接続先ソースConnected source サポートされていますSupported [説明]Description
Windows エージェントWindows agents はいYes ソリューションは、Windows エージェントからシステムの更新プログラムに関する情報を収集し、必要な更新プログラムのインストールを開始します。The solution collects information about system updates from Windows agents and then initiates installation of required updates.
Linux エージェントLinux agents はいYes ソリューションは、Linux エージェントからシステムの更新プログラムに関する情報を収集し、サポート対象のディストリビューションに対して必要な更新プログラムのインストールを開始します。The solution collects information about system updates from Linux agents and then initiates installation of required updates on supported distributions.
Operations Manager 管理グループOperations Manager management group はいYes ソリューションは、接続された管理グループ内のエージェントからシステムの更新プログラムに関する情報を収集します。The solution collects information about system updates from agents in a connected management group.

Operations Manager エージェントから Azure Monitor ログへの直接接続は必要ありません。A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. データは管理グループから Log Analytics ワークスペースに転送されます。Data is forwarded from the management group to the Log Analytics workspace.

収集の頻度Collection frequency

管理対象の各 Windows コンピューターでは、1 日 2 回スキャンが実行されます。A scan is performed twice per day for each managed Windows computer. 15 分ごとに Windows API が呼び出され、最後の更新時間を照会することで、状態が変化したかどうかが確認されます。Every 15 minutes, the Windows API is called to query for the last update time to determine whether the status has changed. 状態が変更された場合、コンプライアンス スキャンが開始されます。If the status has changed, a compliance scan is initiated.

各マネージド Linux コンピューターでは、1 時間ごとにスキャンが実行されます。A scan is performed every hour for each managed Linux computer.

管理対象のコンピューターの更新されたデータがダッシュボードに表示されるまでに、30 分~ 6 時間かかる場合があります。It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed computers.

Update Management を使用しているマシンでの Azure Monitor ログによる平均データ使用量は、1 か月あたり約 25 メガバイト (MB) です。The average data usage by Azure Monitor logs for a machine using Update Management is approximately 25 megabytes (MB) per month. この値は概数にすぎず、環境によって異なることがあります。This value is only an approximation and is subject to change, depending on your environment. 正確な使用量を把握するために、環境を監視することをお勧めします。We recommend that you monitor your environment to keep track of your exact usage.

ネットワークの計画Network planning

Update Management には次のアドレスが明示的に必要です。The following addresses are required specifically for Update Management. このアドレスへの通信は、ポート 443 を使用して行われます。Communication to these addresses occurs over port 443.

Azure PublicAzure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com*.ods.opinsights.azure.com *.ods.opinsights.azure.us*.ods.opinsights.azure.us
*.oms.opinsights.azure.com*.oms.opinsights.azure.com *.oms.opinsights.azure.us*.oms.opinsights.azure.us
*.blob.core.windows.net*.blob.core.windows.net *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
*.azure-automation.net*.azure-automation.net *.azure-automation.us*.azure-automation.us

Windows マシンでは、Windows Update で必要なすべてのエンドポイントへのトラフィックも許可する必要があります。For Windows machines, you must also allow traffic to any endpoints required by Windows Update. 必要なエンドポイントの更新された一覧は、「HTTP またはプロキシに関連する問題」で確認できます。You can find an updated list of required endpoints in Issues related to HTTP/Proxy. ローカル環境に Windows Update サーバーがある場合は、WSUS キーで指定されているサーバーへのトラフィックも許可する必要があります。If you have a local Windows Update server, you must also allow traffic to the server specified in your WSUS key.

Red Hat Linux マシンで必要なエンドポイントについては、「RHUI コンテンツ配信サーバーの IP アドレス」をご覧ください。For Red Hat Linux machines, see IPs for the RHUI content delivery servers for required endpoints. 他の Linux ディストリビューションについては、プロバイダーのドキュメントをご覧ください。For other Linux distributions, see your provider documentation.

Hybrid Runbook Worker で必要なポートの詳細については、ハイブリッド worker ロールのポートに関するページをご覧ください。For more information about ports that the Hybrid Runbook Worker requires, see Hybrid Worker role ports.

例外を定義するときは、一覧に示されているアドレスを使用することをお勧めします。We recommend that you use the addresses listed when defining exceptions. Microsoft Azure データセンターの IP 範囲の IP アドレスをダウンロードできます。For IP addresses, you can download Microsoft Azure Datacenter IP ranges. このファイルは毎週更新され、現在デプロイされている範囲と今後変更される IP 範囲が反映されます。This file is updated weekly, and it reflects the currently deployed ranges and any upcoming changes to the IP ranges.

インターネットにアクセスできないコンピューターの接続に関するページの手順に従って、インターネットにアクセスできないマシンを構成します。Follow the instructions in Connect computers without internet access to configure machines that don't have internet access.

更新の評価を表示するView update assessments

Automation アカウントで [Update Management] をクリックすると、使用しているマシンの状態が表示されます。In your Automation account, select Update Management to view the status of your machines.

このビューには、ご利用のマシン、不足している更新プログラム、更新プログラムのデプロイ、およびスケジュールされている更新プログラムのデプロイに関する情報が表示されます。This view provides information about your machines, missing updates, update deployments, and scheduled update deployments. [対応] 列では、マシンが評価された最終時刻を確認できます。In the COMPLIANCE column, you can see the last time the machine was assessed. [エージェントの更新の準備] 列では、更新エージェントの正常性を確認できます。In the UPDATE AGENT READINESS column, you can check the health of the update agent. 問題がある場合は、問題を解決するために役立てることができるトラブルシューティング ドキュメントへのリンクを選択してください。If there's an issue, select the link to go to troubleshooting documentation that can help you correct the problem.

マシン、更新プログラム、またはデプロイに関する情報を返すログ検索を実行するには、一覧から該当する項目を選択します。To run a log search that returns information about the machine, update, or deployment, select the corresponding item in the list. これにより、項目のクエリが選択された状態で [ログ検索] ページが開きます。The Log Search pane opens with a query for the item selected:

Update Management の既定のビュー

不足している更新プログラムを表示するView missing updates

[不足している更新プログラム] をクリックすると、ご利用のマシンで不足している更新プログラムの一覧が表示されます。Select Missing updates to view the list of updates that are missing from your machines. 各更新プログラムが表示され、選択することができます。Each update is listed and can be selected. 更新プログラムを必要とするマシンの数やオペレーティング システムに関する情報、および詳細情報にアクセスするためのリンクが表示されます。Information about the number of machines that require the update, the operating system, and a link for more information is shown. [ログ検索] ウィンドウには更新プログラムに関する詳細情報が表示されます。The Log search pane shows more details about the updates.

不足している更新プログラム

更新プログラムの分類Update classifications

次の表は、Update Management の更新プログラムの分類と、各分類の定義を示します。The following tables list the update classifications in Update Management, with a definition for each classification.

WindowsWindows

分類Classification [説明]Description
緊急更新プログラムCritical updates セキュリティに関連しない重大なバグを修正する、特定の問題に対する更新プログラムです。An update for a specific problem that addresses a critical, non-security-related bug.
セキュリティ更新プログラムSecurity updates 製品固有のセキュリティに関連する問題に対する更新プログラムです。An update for a product-specific, security-related issue.
更新プログラムのロールアップUpdate rollups 容易なデプロイのためにパッケージにまとめられた修正プログラムの累積セットです。A cumulative set of hotfixes that are packaged together for easy deployment.
Feature PackFeature packs 製品リリース外で配布される製品の新機能です。New product features that are distributed outside a product release.
Service PackService packs アプリケーションに適用される修正プログラムの累積セットです。A cumulative set of hotfixes that are applied to an application.
定義の更新Definition updates ウイルスまたは他の定義ファイルに対する更新プログラムです。An update to virus or other definition files.
ツールTools 1 つまたは複数のタスクを完了するのに役立つユーティリティまたは機能です。A utility or feature that helps complete one or more tasks.
更新プログラムUpdates 現在インストールされているアプリケーションまたはファイルに対する更新プログラムです。An update to an application or file that currently is installed.

LinuxLinux

分類Classification [説明]Description
緊急更新プログラムとセキュリティ更新プログラムCritical and security updates 特定の問題または製品固有のセキュリティに関連する問題に対する更新プログラムです。Updates for a specific problem or a product-specific, security-related issue.
他の更新プログラムOther updates 本質的に重要ではない、またはセキュリティ更新プログラムではない、他のすべての更新プログラムです。All other updates that aren't critical in nature or that aren't security updates.

Linux の場合、クラウドでのデータ エンリッチメントにより、Update Management は、評価データを表示しながら、クラウド内で重要な更新プログラムとセキュリティ更新プログラムを識別できます。For Linux, Update Management can distinguish between critical updates and security updates in the cloud while displaying assessment data due to data enrichment in the cloud. 修正プログラムの場合、Update Management はマシン上にある分類データを使用します。For patching, Update Management relies on classification data available on the machine. 他のディストリビューションとは異なり、RTM バージョンの CentOS ではこの情報は使用できません。Unlike other distributions, CentOS does not have this information available in the RTM version. CentOS マシンで、次のコマンドに対してセキュリティ データを返すように構成されている場合、Update Management は分類に基づいて修正プログラムを適用できます。If you have CentOS machines configured to return security data for the following command, Update Management can patch based on classifications.

sudo yum -q --security check-update

CentOS 上でネイティブ分類データを使用できるようにするためのサポートされている方法は現在ありません。There's currently no supported method to enable native classification-data availability on CentOS. 現時点では、お客様がこれを自分で使用可能にした場合には、できる範囲内のサポートのみを提供しています。At this time, only best-effort support is provided to customers who might have enabled this on their own.

System Center Configuration Manager との統合Integrate with System Center Configuration Manager

PC、サーバー、モバイル デバイスを管理するために System Center Configuration Manager に投資してきたお客様は、Configuration Manager の強みと成熟度を活用してソフトウェア更新プログラムを管理できます。Customers who have invested in System Center Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help them manage software updates. Configuration Manager は、そのソフトウェア更新プログラムの管理 (SUM) サイクルの一部です。Configuration Manager is part of their software update management (SUM) cycle.

管理ソリューションを System Center Configuration Manager と統合する方法については、「System Center Configuration Manager と Update Management の統合」を参照してください。To learn how to integrate the management solution with System Center Configuration Manager, see Integrate System Center Configuration Manager with Update Management.

Windows でのサード パーティの修正プログラムThird-party patches on Windows

Update Management は、サポート対象の Windows システムへの修正プログラムの適用を、ローカルに構成された更新リポジトリに依存しています。Update Management relies on the locally configured update repository to patch supported Windows systems. これは、WSUS または Windows Update のいずれかです。This is either WSUS or Windows Update. System Center Updates Publisher (Updates Publisher) などのツールを使用すれば、カスタム更新プログラムを WSUS に公開できます。Tools like System Center Updates Publisher (Updates Publisher) allow you to publish custom updates into WSUS. このシナリオでは、サード パーティ製ソフトウェアで System Center Configuration Manager を更新リポジトリとして使用するマシンに、Update Management で修正プログラムを適用できます。This scenario allows Update Management to patch machines that use System Center Configuration Manager as their update repository with third-party software. Updates Publisher を構成する方法については、「Install Updates Publisher」(Updates Publisher のインストール) を参照してください。To learn how to configure Updates Publisher, see Install Updates Publisher.

Linux マシンのパッチPatch Linux machines

次のセクションでは、Linux のパッチ適用に関する潜在的な問題について説明します。The following sections explain potential issues with Linux patching.

予期しない OS レベルのアップグレードUnexpected OS-level upgrades

Red Hat Enterprise Linux など、Linux バリエーションの中には、パッケージを使用して OS レベルのアップグレードが発生することがあります。On some Linux variants, such as Red Hat Enterprise Linux, OS-level upgrades might occur through packages. これにより、OS バージョン番号の変更を伴う Update Management が実行される可能性があります。This might lead to Update Management runs where the OS version number changes. Update Management がパッケージを更新するときに使用する方法は、管理者がローカルで Linux コンピューターに使用する方法と同じであるため、この動作は意図的なものです。Because Update Management uses the same methods to update packages that an administrator would use locally on the Linux computer, this behavior is intentional.

Update Management の実行による OS バージョンの更新を回避するには、除外機能を使用します。To avoid updating the OS version through Update Management runs, use the Exclusion feature.

Red Hat Enterprise Linux で、除外するパッケージ名は redhat-release-server.x86_64 ですIn Red Hat Enterprise Linux, the package name to exclude is redhat-release-server.x86_64.

Linux の除外するパッケージ

重要なパッチまたはセキュリティ パッチが適用されないCritical/security patches aren't applied

更新プログラムを Linux マシンにデプロイする場合、更新プログラムの分類を選択できます。When you deploy updates to a Linux machine, you can select update classifications. このオプションにより、更新プログラムはフィルター処理され、指定した条件を満たすマシンに適用される更新プログラムに絞られます。This option filters the updates that are applied to the machine that meet the specified criteria. このフィルターは、更新プログラムが展開されるときに、マシンに対してローカルに適用されます。This filter is applied locally on the machine when the update is deployed.

Update Management は更新プログラムの強化をクラウドで実行するため、Update Management では、一部の更新プログラムに、セキュリティへの影響ありとしてフラグが設定されることがありますが、ローカル マシンにはその情報がありません。Because Update Management performs update enrichment in the cloud, some updates can be flagged in Update Management as having a security impact, even though the local machine doesn't have that information. このため、重大な更新プログラムを Linux マシンに適用する場合、そのマシンにセキュリティへの影響ありとマークされていない更新プログラムが存在する可能性があり、その結果、これらの更新プログラムは適用されません。As a result, if you apply critical updates to a Linux machine, there might be updates that aren't marked as having a security impact on that machine and therefore the updates aren't applied. ただし、Update Management には関連更新プログラムに関する追加情報があるため、そのマシンは引き続き、非対応として報告されることがあります。However, Update Management might still report that machine as non-compliant because it has additional information about the relevant update.

更新プログラムの分類ごとの更新プログラムのデプロイは、RTM バージョンの CentOS では動作しません。Deploying updates by update classification doesn't work on RTM versions of CentOS. CentOS に更新プログラムを正しくデプロイするには、更新プログラムが確実に適用されるように、すべての分類を選択します。To properly deploy updates for CentOS, select all classifications to make sure updates are applied. SUSE では、分類として [他の更新プログラム] "のみ" を選択すると、zypper (パッケージ マネージャー) に関連するセキュリティ更新プログラムまたはその依存関係がまず必要になる場合は、いくつかのセキュリティ更新プログラムもインストールされることがあります。For SUSE, selecting only Other updates as the classification can cause some security updates to also be installed if security updates related to zypper (package manager) or its dependencies are required first. この動作は、zypper の制限です。This behavior is a limitation of zypper. 場合によっては、更新プログラムのデプロイを再実行する必要があります。In some cases, you might be required to rerun the update deployment. 確認するには、更新プログラムのログを調べてください。To verify, check the update log.

テナント間の更新プログラムのデプロイCross-tenant update deployments

Update Management にレポートする別の Azure テナントに、修正プログラムを適用する必要があるマシンが存在する場合は、次の対処法を使用して、それらをスケジュールを設定する必要があります。If you have machines in another Azure tenant reporting to Update Management that you need to patch, you'll have to use the following workaround to get them scheduled. スケジュールは、New-AzureRmAutomationSchedule コマンドレットと -ForUpdate スイッチを使用して作成できます。New-AzureRmAutomationSoftwareUpdateConfiguration コマンドレットを使用する際、-NonAzureComputer パラメーターに他のテナントのマシンを渡すことができます。You can use the New-AzureRmAutomationSchedule cmdlet with the -ForUpdate switch to create a schedule, and use the New-AzureRmAutomationSoftwareUpdateConfiguration cmdlet and pass the machines in the other tenant to the -NonAzureComputer parameter. 以下の例は、その方法を示しています。The following example shows how to do this:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzureRmAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdate

New-AzureRmAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName <automationAccountName> -Schedule $sched -Windows -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Update Management の有効化Enable Update Management

システムへの修正プログラムの適用を開始するには、Update Management ソリューションを有効にする必要があります。To begin patching systems, you need to enable the Update Management solution. Update Management にマシンをオンボードする方法は多数あります。There are many ways to onboard machines to Update Management. 以下に、推奨およびサポートされている、ソリューションにオンボードする方法を示します。The following are the recommended and supported ways to onboard the solution:

次のステップNext steps

次のチュートリアルを使用して、Windows VM の更新プログラムの管理方法を学習します。Use the following tutorial to learn how to manage updates for your Windows VMs: