更新管理の説明

  • 6 分

Windows の更新は、もちろん、定期的な一連のイベントです。 更新プログラムは、新たに検出されたセキュリティ上の欠陥や攻撃ベクトルに対する対策が講じられたときに、迅速かつ頻繁に提供されることがあります。 さらに、更新プログラムは、デバイス ドライバーの変更や新しいシステム機能の計画的なロールアウトなどのイベントによっても定期的に提供されます。

Contoso の IT サポート スタッフは、緊急のセキュリティ更新プログラムがいつ使用可能になるかは予見できないことを理解していますが、多くの場合、そのような更新プログラムはできるだけ速やかにデプロイする必要があります。 このアプローチは、システムが物理ホスト、オンプレミスの VM、Azure VM のいずれであっても当てはまります。 彼らは、使用している Azure VM に対する Windows Update を確認する際、十分に注意する必要があります。

Azure Automation および Update Management

Azure Automation は、Windows オペレーティング システムを実行している Azure VM の OS 更新プログラムを管理するのに役立ちます。 Update Management 機能は無料であり、Azure Log Analytics のログ ストレージのコストのみで利用できます。

次の表で、Update Management 機能が Azure VM の更新プログラムでどのように役立つかを説明します。

機能 用途
VM の更新プログラムの状態を確認する このサービスに含まれているクラウドベースのコンソールで、ユーザーは自分の Azure 組織全体の更新プログラムや特定の VM の更新プログラムの状態を確認できます。
ターゲットに VM の動的グループを構成する このサービスを使用すると、コンピューター グループに基づいてクエリを定義することもできます。 コンピューター グループは、別のクエリに基づいて定義されているか、WSUS や Microsoft Endpoint Configuration Manager などの別のソースからインポートされたコンピューターのグループです。
Azure Monitor ログを検索する Update Management は、Azure Monitor ログからレコードを収集します。

ハイブリッド環境で Azure Update Management を実装するには、次の大まかな手順を完了する必要があります。

  1. Azure Automation アカウントを作成します。
  2. Update Management を有効化する。
  3. オンプレミス サーバーをオンボードする。
  4. 管理するマシンを選択する。
  5. 更新のスケジュール

Note

これらの手順は、オンプレミスの物理サーバーや VM であっても、Windows Server を実行している Azure VM であっても同じです。

Windows Update の操作

Azure Automation Update Management では、Windows の更新プログラムのダウンロードとインストールに Windows Update クライアントを使用しています。 WSUS や Windows Update に接続する際に Windows Update クライアントによって使用されている固有の設定があります。 これらの設定の多くは、次の方法で管理できます。

  • ローカル グループ ポリシー エディターを使用する
  • グループ ポリシーの使用
  • Windows PowerShell を使用する
  • レジストリを直接編集する

Update Management では Windows Update クライアントを制御するために指定される多くの設定が尊重されます。

ヒント

Windows 以外の更新プログラムを有効にする設定を使用している場合、それらの更新プログラムも Update Management によって管理されます。

更新プログラムを管理するための WSUS の構成

WSUS により、セキュリティ更新プログラムが Microsoft 製品やサード パーティ製品にタイムリーに適用され、Contoso のシステムのセキュリティが強化されます。 これにより、セキュリティ更新プログラムをダウンロード、テスト、承認するためのインフラストラクチャが提供されています。 セキュリティ更新プログラムを迅速に適用することは、既知の脆弱性によってもたらされるセキュリティ インシデントを防止するのに役立ちます。 WSUS を実装する際は、WSUS のハードウェアとソフトウェアの要件、構成すべき設定、許可すべき、または削除すべき更新プログラムを、Contoso のニーズに基づいて考慮する必要があります。

Azure の Update Management は、WSUS 設定をサポートしています。 「イントラネットの Microsoft 更新サービスの場所を指定する」の手順を使用して、更新プログラムをスキャンおよびダウンロードするためのソースを指定できます。 既定では、Windows Update クライアントは Windows Update から更新プログラムをダウンロードするように構成されています。 WSUS サーバーをお使いのマシン用のソースとして指定する場合、更新プログラムが WSUS で承認されていないと、更新プログラムのデプロイは失敗します。

A screenshot of the Group Policy Editor in Windows. The administrator has navigated to the Windows Update folder and configured the Configure Automatic Updates, Specify intranet Microsoft Update service location, and Do not connect to any Windows Update Internet locations values.

ヒント

その内部の更新サービスにマシンを制限するには、インターネット上の Windows Update に接続しないように設定します。