Update Management の概要Update Management overview

Azure Automation の Update Management を使用すると、Azure、オンプレミス環境、およびその他のクラウド環境で、Azure での Windows と Linux 仮想マシンに対するオペレーティング システムの更新プログラムを管理できます。You can use Update Management in Azure Automation to manage operating system updates for your Windows and Linux virtual machines in Azure, in on-premises environments, and in other cloud environments. すべてのエージェント マシンで利用可能な更新プログラムの状態をすばやく評価し、サーバーに必要な更新プログラムをインストールするプロセスを管理できます。You can quickly assess the status of available updates on all agent machines and manage the process of installing required updates for servers.

注意

Update Management で構成されたコンピューターを使用して Azure Automation からカスタム スクリプトを実行することはできません。You can't use a machine configured with Update Management to run custom scripts from Azure Automation. このコンピューターで実行できるのは、Microsoft が署名した更新プログラム スクリプトのみです。This machine can only run the Microsoft-signed update script.

注意

現時点では、Arc 対応サーバーから Update Management を直接有効にすることはサポートされていません。At this time, enabling Update Management directly from an Arc enabled server is not supported. 要件とサーバーに対する有効化の方法を理解するには、「Automation アカウントから Update Management を有効にする」を参照してください。See Enable Update Management from your Automation account to understand requirements and how to enable for your server.

入手できる "クリティカル" パッチまたは "セキュリティ" パッチを Azure VM に自動でダウンロードし、インストールする方法については、Windows VM 向け VM ゲストの自動パッチ適用に関するページを参照してください。To download and install available Critical and Security patches automatically on your Azure VM, review Automatic VM guest patching for Windows VMs.

Update Management をデプロイしてマシンを管理できるようにする前に、次のセクションの情報を理解しておいてださい。Before deploying Update Management and enabling your machines for management, make sure that you understand the information in the following sections.

Update Management についてAbout Update Management

Update Management で管理されるマシンでは、評価の実行と更新のデプロイは次に依存します。Machines that are managed by Update Management rely on the following to perform assessment and to deploy updates:

  • Windows または Linux 用の Log Analytics エージェントLog Analytics agent for Windows or Linux
  • PowerShell Desired State Configuration (DSC) (Linux の場合)PowerShell Desired State Configuration (DSC) for Linux
  • Automation Hybrid Runbook Worker (マシンで Update Management を有効にすると自動的にインストールされます)Automation Hybrid Runbook Worker (automatically installed when you enable Update Management on the machine)
  • Microsoft Update または Windows Server Update Services (WSUS) (Windows マシンの場合)Microsoft Update or Windows Server Update Services (WSUS) for Windows machines
  • プライベートまたはパブリックの更新リポジトリ (Linux マシンの場合)Either a private or public update repository for Linux machines

次の図に、ワークスペース内の接続されたすべての Windows Server および Linux サーバーに対する、Update Management による評価の実行方法とセキュリティ更新プログラムの適用方法を示します。The following diagram illustrates how Update Management assesses and applies security updates to all connected Windows Server and Linux servers in a workspace:

Update Management ワークフロー

Update Management を使用して、同じテナント内の複数のサブスクリプションにマシンをネイティブにデプロイできます。Update Management can be used to natively deploy to machines in multiple subscriptions in the same tenant.

パッケージがリリースされた後、Linux マシンの評価用に修正プログラムが表示されるまで 2 時間から 3 時間かかります。After a package is released, it takes 2 to 3 hours for the patch to show up for Linux machines for assessment. Windows マシンの場合、リリースされてから評価用に修正プログラムが表示されるまで 12 時間から 15 時間かかります。For Windows machines, it takes 12 to 15 hours for the patch to show up for assessment after it's been released. マシンで更新プログラムのコンプライアンスを確認するためのスキャンが完了すると、エージェントによって情報が Azure Monitor ログに一括転送されます。When a machine completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. Windows マシンでは、コンプライアンス スキャンは既定で 12 時間ごとに実行されます。On a Windows machine, the compliance scan is run every 12 hours by default. Linux マシンでは、コンプライアンス スキャンは既定で 1 時間ごとに実行されます。For a Linux machine, the compliance scan is performed every hour by default. Log Analytics エージェントを再起動した場合、コンプライアンス スキャンは 15 分以内に開始されます。If the Log Analytics agent is restarted, a compliance scan is started within 15 minutes.

このスキャン スケジュールに加えて、Log Analytics エージェントの再起動後 15 分以内、更新プログラムのインストール前、および更新プログラムのインストール後に、更新プログラムのコンプライアンスを確認するためのスキャンが開始されます。In addition to the scan schedule, the scan for update compliance is started within 15 minutes of the Log Analytics agent being restarted, before update installation, and after update installation.

Update Management では、同期先として構成されたソースに基づいて、マシンがどの程度最新の状態であるかがレポートされます。Update Management reports how up to date the machine is based on what source you're configured to sync with. WSUS にレポートするように Windows マシンが構成されている場合、Windows Server Update Services (WSUS) の Microsoft Update との最後の同期のタイミングによっては、Microsoft Updates で示されるものと結果が一致しないことがあります。If the Windows machine is configured to report to Windows Server Update Services (WSUS), depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Update shows. この動作は、パブリック リポジトリではなくローカル リポジトリにレポートするように構成されている Linux マシンでも同様です。This behavior is the same for Linux machines that are configured to report to a local repo instead of to a public repo.

注意

サービスに正しく報告するためには、Update Management で、特定の URL とポートを有効にする必要があります。To properly report to the service, Update Management requires certain URLs and ports to be enabled. これらの要件の詳細については、ネットワーク構成に関する記事を参照してください。To learn more about these requirements, see Network configuration.

スケジュールされたデプロイを作成することで、更新が必要なマシンへのソフトウェア更新プログラムのデプロイとインストールを実行できます。You can deploy and install software updates on machines that require the updates by creating a scheduled deployment. Windows マシンの場合、オプションに分類されている更新プログラムはデプロイの範囲に含まれません。Updates classified as optional aren't included in the deployment scope for Windows machines. デプロイの範囲には、必須の更新プログラムのみが含まれています。Only required updates are included in the deployment scope.

スケジュールされたデプロイでは、適用可能な更新プログラムを受け取るターゲット マシンが定義されます。The scheduled deployment defines which target machines receive the applicable updates. これを行うには、特定のマシンを明示的に指定するか、特定のマシン セットのログ検索 (または指定した条件に基づいて動的に Azure VM を選択する Azure クエリ) に基づいてコンピューター グループを選択します。It does so either by explicitly specifying certain machines or by selecting a computer group that's based on log searches of a specific set of machines (or on an Azure query that dynamically selects Azure VMs based on specified criteria). これらのグループは、Update Management を有効にするために構成を受け取るコンピューターのターゲット設定を制御するために使用されるスコープ構成とは異なります。These groups differ from scope configuration, which is used to control the targeting of machines that receive the configuration to enable Update Management. これにより、更新プログラムのコンプライアンスを実行および報告したり、承認された必要な更新プログラムをインストールしたりできなくなります。This prevents them from performing and reporting update compliance, and install approved required updates.

デプロイを定義するときに、更新プログラムをインストールできる期間を承認および設定するスケジュールも指定します。While defining a deployment, you also specify a schedule to approve and set a time period during which updates can be installed. この期間は、メンテナンス期間と呼ばれます。This period is called the maintenance window. 再起動が必要な場合、適切な再起動オプションを選択していれば、再起動のために 20 分間のメンテナンス期間が予約されます。A 20-minute span of the maintenance window is reserved for reboots, assuming one is needed and you selected the appropriate reboot option. パッチ適用に予想よりも時間がかかり、メンテナンス期間の残りが 20 分を切った場合、再起動は行われません。If patching takes longer than expected and there's less than 20 minutes in the maintenance window, a reboot won't occur.

更新プログラムは、Azure Automation の Runbook によってインストールされます。Updates are installed by runbooks in Azure Automation. これらの Runbook は表示できません。また、これらは構成不要です。You can't view these runbooks, and they don't require any configuration. 更新プログラムのデプロイを作成すると、対象に含めたマシンに対して、指定した時間にマスター更新 Runbook を開始するスケジュールが作成されます。When an update deployment is created, it creates a schedule that starts a master update runbook at the specified time for the included machines. このマスター Runbook は、必須の更新プログラムをインストールする子 Runbook を各エージェントで開始します。The master runbook starts a child runbook on each agent to install the required updates.

更新プログラムのデプロイで指定された日時に、ターゲット マシンでデプロイが並列で実行されます。At the date and time specified in the update deployment, the target machines execute the deployment in parallel. まず、スキャンが実行され、その更新プログラムが依然として必須であることが確認されてからインストールされます。Before installation, a scan is run to verify that the updates are still required. WSUS クライアント マシンの場合、更新プログラムが WSUS で承認されていないと、更新プログラムのデプロイは失敗します。For WSUS client machines, if the updates aren't approved in WSUS, update deployment fails.

1 つのマシンを複数の Log Analytics ワークスペースに Update Management 用に登録すること (マルチホームとも言われます) は、サポートされていません。Having a machine registered for Update Management in more than one Log Analytics workspace (also referred to as multihoming) isn't supported.

クライアントClients

サポートされているクライアントの種類Supported client types

次の表は、更新プログラムの評価および修正プログラムの適用でサポートされているオペレーティング システムの一覧です。The following table lists the supported operating systems for update assessments and patching. ファイルの部分置換を適用するには、Hybrid Runbook Worker が必要です。これは、仮想マシンまたはサーバーの Update Management による管理を有効にしたときに自動的にインストールされます。Patching requires a Hybrid Runbook Worker, which is automatically installed when you enable the virtual machine or server for management by Update Management. Hybrid Runbook Worker のシステム要件の詳細については、「Windows Hybrid Runbook Worker をデプロイする」と「Linux Hybrid Runbook Worker を展開する」を参照してください。For information on Hybrid Runbook Worker system requirements, see Deploy a Windows Hybrid Runbook Worker and a Deploy a Linux Hybrid Runbook Worker.

注意

Linux マシンの更新プログラムの評価は、Automation アカウントと Log Analytics ワークスペースのマッピング テーブルに記載されている特定のリージョンでのみサポートされています。Update assessment of Linux machines is only supported in certain regions as listed in the Automation account and Log Analytics workspace mappings table.

オペレーティング システムOperating system NotesNotes
Windows Server 2019 (Datacenter、Datacenter Core、Standard)Windows Server 2019 (Datacenter/Datacenter Core/Standard)

Windows Server 2016 (Datacenter、Datacenter Core、Standard)Windows Server 2016 (Datacenter/Datacenter Core/Standard)

Windows Server 2012 R2 (Datacenter、Standard)Windows Server 2012 R2(Datacenter/Standard)

Windows Server 2012Windows Server 2012
Windows Server 2008 R2 (RTM および SP1 Standard)Windows Server 2008 R2 (RTM and SP1 Standard) Update Management では、このオペレーティング システムの評価および修正プログラムの適用がサポートされます。Update Management supports assessments and patching for this operating system. Windows Server 2008 R2 では、Hybrid Runbook Worker がサポートされています。The Hybrid Runbook Worker is supported for Windows Server 2008 R2.
CentOS 6 および 7 (x64)CentOS 6 and 7 (x64) Linux エージェントでは、更新リポジトリへのアクセス権が必要です。Linux agents require access to an update repository. 分類に基づく修正プログラムでは、CentOS の RTM リリースには含まれていないセキュリティ データを返すための yum が必須です。Classification-based patching requires yum to return security data that CentOS doesn't have in its RTM releases. 分類に基づく CentOS への修正プログラムの適用の詳細については、Linux の更新プログラムの分類に関する記事を参照してください。For more information on classification-based patching on CentOS, see Update classifications on Linux.
Red Hat Enterprise 6 および 7 (x64)Red Hat Enterprise 6 and 7 (x64) Linux エージェントでは、更新リポジトリへのアクセス権が必要です。Linux agents require access to an update repository.
SUSE Linux Enterprise Server 12 (x64)SUSE Linux Enterprise Server 12 (x64) Linux エージェントでは、更新リポジトリへのアクセス権が必要です。Linux agents require access to an update repository.
Ubuntu 14.04 LTS、16.04 LTS、および 18.04 LTS (x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 LTS (x64) Linux エージェントでは、更新リポジトリへのアクセス権が必要です。Linux agents require access to an update repository.

注意

Azure 仮想マシン スケール セットは、Update Management を使用して管理できます。Azure virtual machine scale sets can be managed through Update Management. Update Management は、基本イメージではなくインスタンス自体で動作します。Update Management works on the instances themselves and not on the base image. すべての VM インスタンスを一度に更新しないように、段階的に更新をスケジュールする必要があります。You'll need to schedule the updates in an incremental way, so that not all the VM instances are updated at once. 仮想マシン スケールセットのノードを追加するには、「Azure 以外のマシンを Change Tracking とインベントリに追加する」の手順に従ってください。You can add nodes for virtual machine scale sets by following the steps under Add a non-Azure machine to Change Tracking and Inventory.

サポートされていないクライアントの種類Unsupported client types

次の表は、サポートされていないオペレーティング システムの一覧です。The following table lists unsupported operating systems:

オペレーティング システムOperating system NotesNotes
Windows クライアントWindows client クライアント オペレーティング システム (Windows 7 や Windows 10 など) はサポートされません。Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Azure Windows Virtual Desktop (WVD) の場合、For Azure Windows Virtual Desktop (WVD), the recommended method
更新プログラムを管理するには、Windows 10 クライアント コンピューターの修正プログラム管理用の Microsoft Endpoint Configuration Manager をお勧めします。to manage updates is Microsoft Endpoint Configuration Manager for Windows 10 client machine patch management.
Windows Server 2016 Nano ServerWindows Server 2016 Nano Server サポートされていません。Not supported.
Azure Kubernetes Service ノードAzure Kubernetes Service Nodes サポートされていません。Not supported. Azure Kubernetes Service (AKS) の Linux ノードにセキュリティとカーネルの更新を適用する」で説明されている修正プログラム適用プロセスを使用します。Use the patching process described in Apply security and kernel updates to Linux nodes in Azure Kubernetes Service (AKS)

クライアントの要件Client requirements

オペレーティング システム固有のクライアント要件については、以下の情報を参照してください。The following information describes operating system-specific client requirements. 追加のガイダンスについては、「ネットワークの計画」を参照してください。For additional guidance, see Network planning. TLS 1.2 のクライアント要件を理解するには、「Azure Automation に対する TLS 1.2 の強制」のセクションを参照してください。To understand client requirements for TLS 1.2, see TLS 1.2 enforcement for Azure Automation.

WindowsWindows

WSUS サーバーと通信するように Windows エージェントを構成するか、Microsoft Update へのアクセスが必要です。Windows agents must be configured to communicate with a WSUS server, or they require access to Microsoft Update. ハイブリッド マシンの場合は、最初にマシンを Azure Arc 対応サーバーに接続し、次に Azure Policy を使用して Windows Azure Arc マシンに Log Analytics エージェントをデプロイする組み込みポリシーを割り当てることにより、Windows 用の Log Analytics エージェントをインストールすることをお勧めします。For hybrid machines, we recommend installing the Log Analytics agent for Windows by first connecting your machine to Azure Arc enabled servers, and then use Azure Policy to assign the Deploy Log Analytics agent to Windows Azure Arc machines built-in policy. また、Azure Monitor for VMs を使用してマシンの監視も行う場合は、代わりに Azure Monitor for VMs を有効にするイニシアティブを使用します。Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative.

Microsoft Endpoint Configuration Manager は、Update Management と組み合わせて使用できます。You can use Update Management with Microsoft Endpoint Configuration Manager. 統合シナリオの詳細については、「Update Management を使用して、Microsoft Endpoint Configuration Manager クライアントに更新プログラムを展開する」を参照してください。To learn more about integration scenarios, see Integrate Update Management with Windows Endpoint Configuration Manager. Configuration Manager 環境のサイトによって管理されている Windows サーバーでは、Windows 用の Log Analytics エージェントが必要です。The Log Analytics agent for Windows is required for Windows servers managed by sites in your Configuration Manager environment.

既定では、Azure Marketplace からデプロイされた Windows VM は、Windows Update Service から自動更新を受信するように設定されています。By default, Windows VMs that are deployed from Azure Marketplace are set to receive automatic updates from Windows Update Service. Windows VM をワークスペースに追加しても、この動作は変わりません。This behavior doesn't change when you add Windows VMs to your workspace. Update Management を使用して更新プログラムを能動的に管理しない場合は、既定の動作 (更新プログラムが自動的に適用される) が適用されます。If you don't actively manage updates by using Update Management, the default behavior (to automatically apply updates) applies.

注意

グループ ポリシーを変更して、システムではなくユーザーだけがマシンの再起動を実行できるようにすることができます。You can modify Group Policy so that machine reboots can be performed only by the user, not by the system. Update Management にユーザーによる手動操作なしでマシンを再起動する権限がない場合、管理対象のマシンが停止する可能性があります。Managed machines can get stuck if Update Management doesn't have rights to reboot the machine without manual interaction from the user. 詳しくは、「自動更新のグループ ポリシー設定を構成する」をご覧ください。For more information, see Configure Group Policy settings for Automatic Updates.

LinuxLinux

Linux の場合、マシンでは、プライベートまたはパブリックの更新リポジトリへのアクセス権が必要になります。For Linux, the machine requires access to an update repository, either private or public. Update Management と対話するには、TLS 1.1 または TLS 1.2 が必要です。TLS 1.1 or TLS 1.2 is required to interact with Update Management. Update Management では、複数の Log Analytics ワークスペースにレポートするように構成されている Linux 用 Log Analytics エージェントはサポートされていません。Update Management doesn't support a Log Analytics agent for Linux that's configured to report to more than one Log Analytics workspace. マシンには Python 2.x もインストールされている必要があります。The machine must also have Python 2.x installed.

注意

Linux マシンの更新プログラムの評価は、特定のリージョンでのみサポートされています。Update assessment of Linux machines is only supported in certain regions. Automation アカウントと Log Analytics ワークスペースのマッピング テーブルを参照してください。See the Automation account and Log Analytics workspace mappings table.

ハイブリッド マシンの場合は、最初にマシンを Azure Arc 対応サーバーに接続し、次に Azure Policy を使用して Linux Azure Arc マシンに Log Analytics エージェントをデプロイする組み込みポリシーを割り当てることにより、Linux 用の Log Analytics エージェントをインストールすることをお勧めします。For hybrid machines, we recommend installing the Log Analytics agent for Linux by first connecting your machine to Azure Arc enabled servers, and then use Azure Policy to assign the Deploy Log Analytics agent to Linux Azure Arc machines built-in policy. また、Azure Monitor for VMs を使用してマシンの監視も行う場合は、代わりに Azure Monitor for VMs を有効にするイニシアティブを使用します。Alternatively, if you plan to monitor the machines with Azure Monitor for VMs, instead use the Enable Azure Monitor for VMs initiative.

Azure Marketplace から入手できるオンデマンドの Red Hat Enterprise Linux (RHEL) イメージから作成した VM は、Azure にデプロイされた Red Hat Update Infrastructure (RHUI) にアクセスするよう登録されています。VMs created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. その他の Linux ディストリビューションは、そのディストリビューションでサポートされている方法を使用して、ディストリビューションのオンライン ファイル リポジトリから更新する必要があります。Any other Linux distribution must be updated from the distribution's online file repository by using methods supported by the distribution.

アクセス許可Permissions

更新プログラムのデプロイを作成および管理するには、特定のアクセス許可が必要です。To create and manage update deployments, you need specific permissions. これらのアクセス許可の詳細については、Update Management へのロールベースのアクセスに関するページをご覧ください。To learn about these permissions, see Role-based access – Update Management.

Update Management コンポーネントUpdate Management components

Update Management では、このセクションで説明されているリソースが使用されます。Update Management uses the resources described in this section. Update Management を有効にすると、これらのリソースが Automation アカウントに自動的に追加されます。These resources are automatically added to your Automation account when you enable Update Management.

Hybrid Runbook Worker のグループHybrid Runbook Worker groups

Update Management を有効にすると、Update Management に含まれている Runbook をサポートするために、Log Analytics ワークスペースに直接接続された Windows マシンが自動的に Hybrid Runbook Worker として構成されます。After you enable Update Management, any Windows machine that's directly connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker to support the runbooks that support Update Management.

Update Management で管理されている各 Windows マシンは、Automation アカウントの [システム ハイブリッド worker グループ] として、[ハイブリッド worker グループ] ペインに表示されます。Each Windows machine that's managed by Update Management is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. グループでは、Hostname FQDN_GUID の名前付け規則が使用されます。The groups use the Hostname FQDN_GUID naming convention. アカウントの Runbook でこれらのグループを対象として指定することはできません。You can't target these groups with runbooks in your account. 指定しようとすると、失敗します。If you try, the attempt fails. これらのグループは、Update Management のみをサポートすることを目的としています。These groups are intended to support only Update Management. Hybrid Runbook Worker として構成されている Windows マシンの一覧を表示する方法の詳細については、「Hybrid Runbook Workers の表示」を参照してください。To learn more about viewing the list of Windows machines configured as a Hybrid Runbook Worker, see view Hybrid Runbook Workers.

Update Management と Hybrid Runbook Worker グループ メンバーシップの両方に同じアカウントを使用すると、Windows マシンを Automation アカウントの Hybrid Runbook Worker グループに追加して Automation Runbook をサポートすることができます。You can add the Windows machine to a Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for Update Management and the Hybrid Runbook Worker group membership. この機能は、Hybrid Runbook Worker のバージョン 7.2.12024.0 で追加されました。This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

管理パックManagement packs

Operations Manager 管理グループが Log Analytics ワークスペースに接続されている場合は、以下の管理パックが Operations Manager にインストールされます。If your Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. これらの管理パックは、直接接続されている Windows マシン上の Update Management にもインストールされます。These management packs are also installed for Update Management on directly connected Windows machines. これらの管理パックを構成または管理する必要はありません。You don't need to configure or manage these management packs.

  • Microsoft System Center Advisor 更新プログラム評価インテリジェンス パック (Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • 更新プログラムの展開 MPUpdate Deployment MP

注意

ログ データを収集するように管理グループに構成されたエージェントを使用して Log Analytics ワークスペースに接続される Operations Manager 1807 または 2019 管理グループがある場合、Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init 規則でパラメーター IsAutoRegistrationEnabled をオーバーライドして True に設定する必要があります。If you have an Operations Manager 1807 or 2019 management group connected to a Log Analytics workspace with agents configured in the management group to collect log data, you need to override the parameter IsAutoRegistrationEnabled and set it to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

管理パックの更新プログラムの詳細については、Azure Monitor ログへの Operations Manager の接続に関する記事を参照してください。For more information about updates to management packs, see Connect Operations Manager to Azure Monitor logs.

注意

Log Analytics エージェントを使用して Update Management でマシンを完全に管理するには、Windows 用の Log Analytics エージェント、または Linux 用 Log Analytics エージェントに更新する必要があります。For Update Management to fully manage machines with the Log Analytics agent, you must update to the Log Analytics agent for Windows or the Log Analytics agent for Linux. エージェントを更新する方法については、Operations Manager エージェントのアップグレード方法に関する記事を参照してください。To learn how to update the agent, see How to upgrade an Operations Manager agent. Operations Manager を使用する環境では、System Center Operations Manager 2012 R2 UR 14 以降を実行している必要があります。In environments that use Operations Manager, you must be running System Center Operations Manager 2012 R2 UR 14 or later.

データ コレクションData collection

サポートされているソースSupported sources

次の表では、Update Management でサポートされている接続先ソースについて説明します。The following table describes the connected sources that Update Management supports:

接続先ソースConnected source サポートされていますSupported 説明Description
Windows エージェントWindows agents はいYes Update Management は、Windows エージェントからシステムの更新プログラムに関する情報を収集した後、必要な更新プログラムのインストールを開始します。Update Management collects information about system updates from Windows agents and then starts installation of required updates.
Linux エージェントLinux agents はいYes Update Management は、Linux エージェントからシステムの更新プログラムに関する情報を収集した後、サポート対象のディストリビューションに対して必要な更新プログラムのインストールを開始します。Update Management collects information about system updates from Linux agents and then starts installation of required updates on supported distributions.
Operations Manager 管理グループOperations Manager management group はいYes Update Management は、接続された管理グループ内のエージェントからシステムの更新プログラムに関する情報を収集します。Update Management collects information about system updates from agents in a connected management group.

Operations Manager エージェントから Azure Monitor ログへの直接接続は必要ありません。A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. データは管理グループから Log Analytics ワークスペースに転送されます。Data is forwarded from the management group to the Log Analytics workspace.

収集の頻度Collection frequency

Update Management では、次のルールを使用して、管理対象のマシンのデータのスキャンが行われます。Update Management scans managed machines for data using the following rules. 管理対象のマシンの更新されたデータがダッシュボードに表示されるまでに、30 分から 6 時間かかる可能性があります。It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed machines.

  • 各 Windows マシン - Update Management では、各マシンで 1 日に 2 回スキャンが行われます。Each Windows machine - Update Management does a scan twice per day for each machine.

  • 各 Linux マシン - Update Management では 1 時間ごとにスキャンが行われます。Each Linux machine - Update Management does a scan every hour.

Update Management を使用しているマシンでの Azure Monitor ログによる平均データ使用量は、1 か月あたり約 25 MB です。The average data usage by Azure Monitor logs for a machine using Update Management is approximately 25 MB per month. この値は概数にすぎず、環境によって異なることがあります。This value is only an approximation and is subject to change, depending on your environment. 正確な使用量を把握するために、環境を監視することをお勧めします。We recommend that you monitor your environment to keep track of your exact usage. Azure Monitor ログのデータ使用量を分析する方法の詳細については、使用量とコストの管理に関するページを参照してください。For more information about analyzing Azure Monitor Logs data usage, see Manage usage and cost.

ネットワークの計画Network planning

Update Management には次のアドレスが明示的に必要です。The following addresses are required specifically for Update Management. このアドレスへの通信は、ポート 443 を使用して行われます。Communication to these addresses occurs over port 443.

Azure PublicAzure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com *.ods.opinsights.azure.us
*.oms.opinsights.azure.com *.oms.opinsights.azure.us
*.blob.core.windows.net *.blob.core.usgovcloudapi.net
*.azure-automation.net *.azure-automation.us

ネットワーク グループのセキュリティ規則を作成する場合、または Automation サービスと Log Analytics ワークスペースへのトラフィックを許可するように Azure Firewall を構成する場合は、サービス タグGuestAndHybridManagementAzureMonitor を使用します。When you create network group security rules or configure Azure Firewall to allow traffic to the Automation service and the Log Analytics workspace, use the service tag GuestAndHybridManagement and AzureMonitor. これにより、ネットワーク セキュリティ規則の継続的な管理が簡単になります。This simplifies the ongoing management of your network security rules. Azure VM から安全かつプライベートに Automation サービスに接続するには、Azure Private Link の使用に関するページを確認してください。To connect to the Automation service from your Azure VMs securely and privately, review Use Azure Private Link. 現在のサービス タグと範囲情報を、オンプレミスのファイアウォール構成の一部として取得して含めるには、ダウンロード可能な JSON ファイルに関するページを参照してください。To obtain the current service tag and range information to include as part of your on-premises firewall configurations, see downloadable JSON files.

Windows マシンでは、Windows Update で必要なすべてのエンドポイントへのトラフィックも許可する必要があります。For Windows machines, you must also allow traffic to any endpoints required by Windows Update. 必要なエンドポイントの更新された一覧は、「HTTP またはプロキシに関連する問題」で確認できます。You can find an updated list of required endpoints in Issues related to HTTP/Proxy. ローカル環境に Windows Update サーバーがある場合は、WSUS キーで指定されているサーバーへのトラフィックも許可する必要があります。If you have a local Windows Update server, you must also allow traffic to the server specified in your WSUS key.

Red Hat Linux マシンで必要なエンドポイントについては、「RHUI コンテンツ配信サーバーの IP アドレス」をご覧ください。For Red Hat Linux machines, see IPs for the RHUI content delivery servers for required endpoints. 他の Linux ディストリビューションについては、プロバイダーのドキュメントをご覧ください。For other Linux distributions, see your provider documentation.

Hybrid Runbook Worker で必要なポートの詳細については、「Hybrid Runbook Worker の Update Management アドレス」をご覧ください。For more information about ports required for the Hybrid Runbook Worker, see Update Management addresses for Hybrid Runbook Worker.

インターネットに接続するネットワーク上のマシンが IT セキュリティ ポリシーで許可されていない場合、Log Analytics ゲートウェイを設定し、マシンをゲートウェイ経由で Azure Automation および Azure Monitor に接続するように構成できます。If your IT security policies do not allow machines on the network to connect to the internet, you can set up a Log Analytics gateway and then configure the machine to connect through the gateway to Azure Automation and Azure Monitor.

更新プログラムの分類Update classifications

次の表では、Update Management が Windows 更新プログラムでサポートされる分類が定義されています。The following table defines the classifications that Update Management supports for Windows updates.

分類Classification 説明Description
緊急更新プログラムCritical updates セキュリティに関連しない重大なバグを修正する、特定の問題に対する更新プログラムです。An update for a specific problem that addresses a critical, non-security-related bug.
セキュリティ更新プログラムSecurity updates 製品固有のセキュリティに関連する問題に対する更新プログラムです。An update for a product-specific, security-related issue.
更新プログラムのロールアップUpdate rollups 容易なデプロイのためにパッケージにまとめられた修正プログラムの累積セットです。A cumulative set of hotfixes that are packaged together for easy deployment.
Feature PackFeature packs 製品リリース外で配布される製品の新機能です。New product features that are distributed outside a product release.
Service PackService packs アプリケーションに適用される修正プログラムの累積セットです。A cumulative set of hotfixes that are applied to an application.
定義の更新Definition updates ウイルスまたは他の定義ファイルに対する更新プログラムです。An update to virus or other definition files.
ツールTools 1 つまたは複数のタスクを完了するのに役立つユーティリティまたは機能です。A utility or feature that helps complete one or more tasks.
更新プログラムUpdates 現在インストールされているアプリケーションまたはファイルに対する更新プログラムです。An update to an application or file that currently is installed.

次の表では、Linux 更新プログラムでサポートされる分類が定義されています。The next table defines the supported classifications for Linux updates.

分類Classification 説明Description
緊急更新プログラムとセキュリティ更新プログラムCritical and security updates 特定の問題または製品固有のセキュリティに関連する問題に対する更新プログラムです。Updates for a specific problem or a product-specific, security-related issue.
他の更新プログラムOther updates 本質的に重要ではない、またはセキュリティ更新プログラムではない、他のすべての更新プログラムです。All other updates that aren't critical in nature or that aren't security updates.

注意

Linux マシン用の更新プログラムの分類は、サポートされている Azure パブリック クラウド リージョンで使用される場合にのみ使用できます。Update classification for Linux machines are only available when used in the supported Azure public cloud regions. 以下の国内クラウド リージョンで Update Management を使用する場合、When using Update Management in the following national cloud regions:

  • Azure US GovernmentAzure US Government
  • 中国の 21Vianet21Vianet in China

Linux の更新プログラムの分類はなく、 [他の更新プログラム] カテゴリの下でレポートされます。there are no classification of Linux updates and they are reported under the Other updates category. Update Management では、サポートされているディストリビューションによって発行されたデータが使用されます。具体的には、リリースされた OVAL (Open Vulnerability and Assessment Language) ファイルです。Update Management uses data published by the supported distributions, specifically their released OVAL (Open Vulnerability and Assessment Language) files. インターネット アクセスはこれらの国内クラウドから制限されているため、Update Management はこれらのファイルにアクセスして使用することはできません。Because internet access is restricted from these national clouds, Update Management cannot access and consume these files.

Linux の場合、クラウドでのデータ エンリッチメントにより、Update Management は、評価データを表示しながら、 [セキュリティ][その他] の分類の下、クラウド内で重要な更新プログラムとセキュリティ更新プログラムを識別できます。For Linux, Update Management can distinguish between critical updates and security updates in the cloud under classification Security and Others, while displaying assessment data due to data enrichment in the cloud. 修正プログラムの場合、Update Management はマシン上にある分類データを使用します。For patching, Update Management relies on classification data available on the machine. 他のディストリビューションとは異なり、RTM バージョンの CentOS ではこの情報は使用できません。Unlike other distributions, CentOS does not have this information available in the RTM version. CentOS マシンで、次のコマンドに対してセキュリティ データを返すように構成されている場合、Update Management は分類に基づいて修正プログラムを適用できます。If you have CentOS machines configured to return security data for the following command, Update Management can patch based on classifications.

sudo yum -q --security check-update

CentOS 上でネイティブ分類データを使用できるようにするためのサポートされている方法は現在ありません。There's currently no supported method to enable native classification-data availability on CentOS. 現時点では、お客様がこの機能をご自身で使用可能にした場合、与えられるサポートに限度があります。At this time, limited support is provided to customers who might have enabled this feature on their own.

Red Hat Enterprise バージョン 6 の更新プログラムを分類するには、yum-security プラグインをインストールする必要があります。To classify updates on Red Hat Enterprise version 6, you need to install the yum-security plugin. Red Hat Enterprise Linux 7 では、プラグインは既に yum 自体の一部であるため、何もインストールする必要はありません。On Red Hat Enterprise Linux 7, the plugin is already a part of yum itself and there's no need to install anything. 詳細については、次の Red Hat のナレッジ記事を参照してください。For more information, see the following Red Hat knowledge article.

(たとえば、 [セキュリティ] 分類に一致する更新プログラムのみをインストールするように構成されている) Linux マシンで更新プログラムを実行するようにスケジュールした場合、インストールされる更新プログラムはこの分類に一致する更新プログラムと異なる可能性があり、そうでなければそれらのサブセットです。When you schedule an update to run on a Linux machine, that for example is configured to install only updates matching the Security classification, the updates installed might be different from, or are a subset of the updates matching this classification. お使いの Linux マシンに対して保留になっている OS 更新プログラムの評価が実行されると、Linux ディストリビューション ベンダーが提供する Open Vulnerability and Assessment Language (OVAL) ファイルが分類のために Update Management によって使用されます。When an assessment of OS updates pending for your Linux machine is performed, Open Vulnerability and Assessment Language (OVAL) files provided by the Linux distro vendor is used by Update Management for classification.

セキュリティの問題または脆弱性に対処する更新プログラムを含む OVAL ファイルに基づき、Linux 更新プログラムが [セキュリティ][その他] として分類されます。Categorization is done for Linux updates as Security or Others based on the OVAL files, which includes updates addressing security issues or vulnerabilities. ただし、更新スケジュールは、実行時、YUM、APT、ZYPPER などの適切なパッケージ マネージャーを使用して Linux マシンで実行され、更新プログラムがインストールされます。But when the update schedule is run, it executes on the Linux machine using the appropriate package manager like YUM, APT or ZYPPER to install them. Linux ディストリビューションのパッケージ マネージャーには、更新プログラムを分類する別のメカニズムが備わっていることがあり、その場合の結果は、Update Management によって OVAL ファイルから取得されるものと異なる可能性があります。The package manager for the Linux distro may have a different mechanism to classify updates, where the results may differ from the ones obtained from OVAL files by Update Management. マシンを手動で確認し、パッケージ マネージャーによってセキュリティ関連の更新プログラムを把握するには、Linux 更新プログラムのデプロイのトラブルシューティングに関する記事を参照してください。To manually check the machine and understand which updates are security relevant by your package manager, see Troubleshoot Linux update deployment.

Configuration Manager と Azure Update Management を統合するIntegrate Update Management with Configuration Manager

PC、サーバー、モバイル デバイスを管理するために Microsoft Endpoint Configuration Manager に投資してきたお客様は、Configuration Manager の強みと成熟度を活用してソフトウェア更新プログラムを管理できます。Customers who have invested in Microsoft Endpoint Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help manage software updates. Update Management を Configuration Manager と統合する方法については、「Configuration Manager と Azure Update Management を統合する」を参照してください。To learn how to integrate Update Management with Configuration Manager, see Integrate Update Management with Windows Endpoint Configuration Manager.

Windows でのサードパーティの更新プログラムThird-party updates on Windows

Update Management では、ローカルで構成された更新リポジトリに依存して、サポートされている Windows システム (WSUS または Windows Update) を更新します。Update Management relies on the locally configured update repository to update supported Windows systems, either WSUS or Windows Update. System Center Updates Publisher などのツールを使用すると、WSUS を使用してカスタム更新プログラムをインポートして発行することができます。Tools such as System Center Updates Publisher allow you to import and publish custom updates with WSUS. このシナリオでは、サードパーティ製ソフトウェアで Configuration Manager を更新リポジトリとして使用するマシンに、Update Management で更新プログラムを適用できます。This scenario allows Update Management to update machines that use Configuration Manager as their update repository with third-party software. Updates Publisher を構成する方法については、「Install Updates Publisher」(Updates Publisher のインストール) を参照してください。To learn how to configure Updates Publisher, see Install Updates Publisher.

Update Management の有効化Enable Update Management

Update Management を有効にし、管理するマシンを選択するには、次の方法を使用します。Here are the ways that you can enable Update Management and select machines to be managed:

  • Azure Resource Manager テンプレートを使用して、お使いのサブスクリプション内の新しいまたは既存の Automation アカウントと Azure Monitor Log Analytics ワークスペースに Update Management をデプロイする。Using an Azure Resource Manager template to deploy Update Management to a new or existing Automation account and Azure Monitor Log Analytics workspace in your subscription. 管理する必要があるマシンのスコープは構成されません。これは、テンプレートを使用した後の個別の手順として実行されます。It does not configure the scope of machines that should be managed, this is performed as a separate step after using the template.

  • 1 台以上の Azure マシンと Azure 以外のマシン (Arc 対応サーバーを含む) に対しては、お使いの Automation アカウントから。From your Automation account for one or more Azure and non-Azure machines, including Arc enabled servers.

  • Enable-AutomationSolution Runbook メソッドを使用することで。Using the Enable-AutomationSolution runbook method.

  • 選択した Azure VM に対しては、Azure portal の [仮想マシン] ページから。For a selected Azure VM from the Virtual machines page in the Azure portal. このシナリオは、Linux VM 用と Windows VM 用があります。This scenario is available for Linux and Windows VMs.

  • 複数の Azure VM に対しては、Azure portal の [仮想マシン] ページからそれらを選択することで。For multiple Azure VMs by selecting them from the Virtual machines page in the Azure portal.

注意

Update Management では、Log Analytics ワークスペースを Automation アカウントにリンクする必要があります。Update Management requires linking a Log Analytics workspace to your Automation account. サポートされているリージョンの確定的な一覧については、Azure でのワークスペースのマッピングに関する記事をご覧ください。For a definitive list of supported regions, see Azure Workspace mappings. リージョン マッピングは、Automation アカウントとは別のリージョンの VM を管理する機能には影響しません。The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

次のステップNext steps