Configuration Manager でオーケストレーション グループを作成して使用する

適用対象: Configuration Manager (Current Branch)

オーケストレーション グループを使用すると、割合、特定の番号、または明示的な順序に基づいてデバイスを柔軟に更新できます。 デバイスで更新プログラムの展開を実行する前と実行した後に PowerShell スクリプトを実行することもできます。

オーケストレーション グループのメンバーには、サーバーではなく、任意の Configuration Manager クライアントを指定できます。 オーケストレーション グループ ルールは、オーケストレーション グループ メンバーを含むすべてのコレクションに対して、すべてのソフトウェア更新プログラムの展開のデバイスに適用されます。 他の展開動作も引き続き適用されます。 たとえば、メンテナンス ウィンドウと展開スケジュールです。

[オーケストレーション グループ] ノードの [スクリプト] タブのスクリーンショット。事前スクリプトが拒否され、[スクリプト] タブにこの状態が表示されます。

オーケストレーション グループの作成

  1. オーケストレーション グループ の前提条件、アクセス許可、および 制限を確認します。

  2. Configuration Manager コンソールで、[アセットとコンプライアンス] ワークスペースに 移動 し、[オーケストレーション グループ] ノード を選択 します。

  3. リボンで、[オーケストレーション グループの 作成] を選択 して、[オーケストレーション グループ の作成ウィザード] を開きます

  4. [全般 ] ページ で、オーケストレーション グループに 名前 と必要に応じて [説明] を 指定します。 次の項目の値を指定します。

    • オーケストレーション グループのタイムアウト (分): すべてのグループ メンバーが更新プログラムのインストールを完了する時間制限。
    • オーケストレーション グループ メンバーのタイムアウト (分): グループ内の 1 つのデバイスが更新プログラムのインストールを完了する時間制限。
  5. [メンバーの 選択] ページ で、まずサイト コード を指定します。 次に、[ 追加] を 選択して、このオーケストレーション グループのメンバーとしてデバイス リソースを追加します。 名前 でデバイスを検索し、[追加] をクリック します。 コレクション内の検索を使用して、1 つのコレクション に検索をフィルター処理できます。 選択したリソース リストへのデバイスの追加が完了したら 、[OK] を選択します。

    • グループのリソースを選択すると、有効なクライアントだけが表示されます。 サイト コードを確認し、クライアントがインストールされ、リソースが重複していないかを確認します。
  6. [ルールの 選択] ページ で、次のいずれかのオプションを選択します。

    • 同時に更新するコンピューターの割合 を許可し、この割合の数値を選択または入力します。 この設定は、オーケストレーション グループのサイズの将来の柔軟性を実現するために使用します。 たとえば、オーケストレーション グループに 50 台のデバイスが含まれていると、この値を 10 に設定します。 ソフトウェア更新プログラムの展開中に、Configuration Manager では 5 つのデバイスで同時に展開を実行できます。 後でオーケストレーション グループのサイズを 100 デバイスに増やすと、10 台のデバイスが一度に更新されます。

    • 複数のコンピューターを同時 に更新し、この特定の数の数値を選択または入力します。 オーケストレーション グループの全体的なサイズに関して、常に特定の数のデバイスに制限するには、この設定を使用します。

    • メンテナンス シーケンスを指定し、選択したリソースを適切な順序で並べ替えます。 この設定を使用して、デバイスがソフトウェア更新プログラムの展開を実行する順序を明示的に定義します。

  7. 必要に 応じて、[ スクリプトピッカー] ページで、オーケストレーション グループのインストール前スクリプトとインストール後 スクリプトを選択 します。

    • Pre-Script: 展開を実行する前に各デバイスで実行 する PowerShell スクリプト。
    • [スクリプト後] ページで、展開の実行後に各デバイスで実行する PowerShell スクリプトを入力し、必要に応じて再起動が行われます。 それ以外の場合、動作は PreScript と同じです。

    スクリプトは成功の値を 0 返す必要があります。 ゼロ以外の値は、スクリプトエラーと見なされます。 パラメーターを含むスクリプトは使用できません スクリプトの最大長は 50,000 文字です。. スクリプトピッカー ページでスクリプトを追加または変更する場合は、次の オプションから選択 します。

    • 追加: 追加するスクリプトを選択できます。 PowerShell スクリプトをウィンドウに入力または貼り付けるか、次のオプションを使用します。
      • く : 特定のファイルを開 .ps1
      • 参照: [スクリプト] リストから既に承認されているスクリプトを 選択 します。 パラメーターを含むスクリプトは、リストから非表示になります。
      • Clear: スクリプト ウィンドウの現在のスクリプトをクリアします。
    • 編集: 現在選択されているスクリプトを編集する
    • 削除: 現在のスクリプトを削除します。
    • スクリプト のタイムアウト (秒単位): スクリプトがタイムアウトする前に実行できる時間 (秒)
  8. ウィザードを終了します。

警告

  • バージョン 2111 より、スクリプトの前と後のスクリプトを有効にするには 承認 が必要です。 承認後にスクリプトを編集すると、承認状態が [承認待ち] にリセットされます。 承認されていないスクリプトは、クライアントでは実行されません。
  • バージョン 2103 以降では、パラメーターを持つスクリプトはサポートされていません スクリプトの最大長は 50,000 文字です。.
  • Configuration Manager 2010 以前の場合は、[スクリプト前]ページと [スクリプト後] ページで、オーケストレーション グループにスクリプト を追加 します。
    • 事前スクリプトとポスト スクリプトをオーケストレーション グループに使用する前にテストしてください。 事前スクリプトとポスト スクリプトはタイムアウトし、オーケストレーション グループ メンバーのタイムアウトに達するまで実行されます。 パラメーターを持つスクリプトはサポートされていません スクリプトの最大長は 5,000 文字.

オーケストレーション グループ スクリプトの承認

(バージョン 2111 で導入)

バージョン 2111 から、オーケストレーション グループのスクリプトの事前スクリプトとポスト スクリプトを有効にするには、承認が必要です。 ファイルからスクリプトを選択する場合、独自のスクリプトを作成または変更する場合は、別の管理者からスクリプトの承認が必要です。スクリプト ライブラリから承認されたスクリプトを選択 する場合、追加の承認は不要です。 既定では、ユーザーは作成したスクリプトを承認できます。 これらの役割は、監視なしでスクリプトを実行する場合に対して、追加のレベルのセキュリティを提供します。 テストを容易に行う場合は、階層設定を変更することで、環境のスクリプト承認を無効にできます。

スクリプトの承認を支援するために、バージョン 2111 のオーケストレーション グループの詳細ウィンドウに次の 2 つのタブが追加されました。

  • 概要 : 選択したオーケストレーション グループに関する情報 (スクリプトの承認状態 など) が 含まれます。
  • スクリプト: 各スクリプトのタイムアウト、承認者、承認状態など、事前スクリプトとポスト スクリプトに関する情報を一覧表示します。

事前スクリプトとポスト スクリプトの承認状態

各スクリプトの承認状態が [スクリプト] タブに 表示 されます。承認後にスクリプトを編集すると、承認状態がリセットされます。 各 スクリプトの承認 状態は、以下で定義されます。

  • 承認済み: スクリプトが承認されています。 承認は、次のいずれかの方法で付与されます。
    • 承認済みの PowerShell スクリプトの一覧からスクリプトを選択する
    • リボンまたは右クリック メニューから [ 承認 ] を選択して、スクリプトの手動承認を行います。
  • 承認待ち: スクリプトは承認待ちです。 コード エディターで直接書き込みまたは編集されたスクリプト、またはファイルからインポートされたスクリプトは、この承認 .ps1 状態で開始されます。
  • 拒否 : 承認プロセス中にスクリプトが拒否されました。

警告

承認後にスクリプトを編集すると、承認状態が [承認待ち] にリセットされます。 また、以前に承認されたバージョンのスクリプトは、そのスクリプトが承認待ち状態の間にグループでオーケストレーションを開始すると 実行 されません。 承認されていないスクリプトは、クライアントでは実行されません。

ヒント

中断せずにスクリプトを更新する 1 つの方法は、スクリプト ライブラリに新しいスクリプトを作成し、承認を得る方法です。 次に、オーケストレーション グループの事前スクリプトまたはポスト スクリプトを編集するときに、ライブラリから承認済み スクリプトを選択します。 既に承認されている新しいスクリプトは、既存のスクリプトを直ちに置き換える。

スクリプトを承認するためのアクセス許可

オーケストレーション グループのスクリプトを承認するには、次のいずれかのセキュリティ ロールが必要です。

  • フル管理者
  • 操作管理者

オーケストレーション グループのスクリプトを承認または拒否する

  1. Configuration Manager コンソールから、[概要オーケストレーショングループ] の [アセットとコンプライアンス> > 移動します
  2. オーケストレーション グループを選択し、グループの [スクリプト] タブ を選択します。
  3. いずれかのスクリプトを選択し、リボン または 右クリック メニューから [承認/拒否] を選択します。
  4. スクリプトの承認または拒否 ウィザードの [スクリプトの 詳細] ページからスクリプトを確認 します。 スクリプト の確認 が完了したら、[次へ] を選択します。
  5. ウィザードの [スクリプト承認] ページで、[承認] または [拒否] を****選択します。 必要に応じて、[スクリプト] 詳細ウィンドウに表示するコメント 入力します。
  6. ウィザードを完了して承認プロセスを完了します。

オーケストレーション グループの編集または削除

オーケストレーション グループを削除するには、そのグループを選択し、 リボンまたは右 クリック メニューから [削除] を選択します。 オーケストレーション グループを編集するには、そのグループを選択し、 リボンまたは右 クリック メニューから [プロパティ] を選択します。 次のタブから設定を変更します。

  • 全般:

    • 名前: オーケストレーション グループの名前
    • 説明: オーケストレーション グループの説明 (オプション)
    • オーケストレーション グループのタイムアウト (分): すべてのグループ メンバーが更新プログラムのインストールを完了する時間制限。
    • オーケストレーション グループ メンバーのタイムアウト (分): グループ内の 1 つのデバイスが更新プログラムのインストールを完了する時間制限。
  • メンバーの選択:

    • サイト コード: オーケストレーション グループのサイト コード。
    • メンバー: [追加 ] を 選択して、オーケストレーション グループの他のデバイスを選択します。 [削除 ] を 選択して、選択したデバイスを削除します。
  • ルールの選択:

    • 同時に更新するコンピューターの割合 を許可し、この割合の数値を選択または入力します。 この設定は、オーケストレーション グループのサイズの将来の柔軟性を実現するために使用します。 たとえば、オーケストレーション グループに 50 台のデバイスが含まれていると、この値を 10 に設定します。 ソフトウェア更新プログラムの展開中に、Configuration Manager では 5 つのデバイスで同時に展開を実行できます。 後でオーケストレーション グループのサイズを 100 デバイスに増やすと、10 台のデバイスが一度に更新されます。
    • 複数のコンピューターを同時 に更新し、この特定の数の数値を選択または入力します。 オーケストレーション グループの全体的なサイズに関して、常に特定の数のデバイスに制限するには、この設定を使用します。
    • メンテナンス シーケンスを指定する: 選択したリソースを適切な順序に並べ替えます。 この設定を使用して、デバイスがソフトウェア更新プログラムの展開を実行する順序を明示的に定義します。
  • 必要に 応じて、オーケストレーション****グループのインストール 前スクリプトとインストール後スクリプトを選択します。 スクリプトは成功の値を 0 返す必要があります。 ゼロ以外の値は、スクリプトエラーと見なされます。 パラメーターを含むスクリプトは使用できません スクリプトの最大長は 50,000 文字です。.

    • Configuration Manager バージョン 2103 以降の場合は、[スクリプトピッカー] ページでインストール前スクリプトとインストール後スクリプト を選択 します。 スクリプトを追加または変更する場合は、次のオプションから選択します。

      • 追加: 追加するスクリプトを選択できます。 PowerShell スクリプトをウィンドウに入力または貼り付けるか、次のオプションを使用します。
        • く : 特定のファイルを開 .ps1
        • 参照: [スクリプト] リストから既に承認されているスクリプトを 選択 します。 パラメーターを含むスクリプトは、リストから非表示になります。
        • Clear: スクリプト ウィンドウの現在のスクリプトをクリアします。
      • 編集: 現在選択されているスクリプトを編集する
      • 削除: 現在のスクリプトを削除します。
      • スクリプト のタイムアウト (秒単位): スクリプトがタイムアウトする前に実行できる時間 (秒)
    • Configuration Manager バージョン 2010 以前の場合は、[スクリプト前]タブと [スクリプト後] タブで、オーケストレーション グループにスクリプト を追加 します。

警告

  • バージョン 2111 より、スクリプトの前と後のスクリプトを有効にするには 承認 が必要です。 承認後にスクリプトを編集すると、承認状態が [承認待ち] にリセットされます。 承認されていないスクリプトは、クライアントでは実行されません。
  • バージョン 2103 以降では、パラメーターを持つスクリプトはサポートされていません スクリプトの最大長は 50,000 文字です。.
  • Configuration Manager 2010 以前の場合は、[スクリプト前]タブと [スクリプト後] タブで、オーケストレーション グループにスクリプト を追加 します。
    • 事前スクリプトとポスト スクリプトをオーケストレーション グループに使用する前にテストしてください。 事前スクリプトとポスト スクリプトはタイムアウトし、オーケストレーション グループ メンバーのタイムアウトに達するまで実行されます。 パラメーターを持つスクリプトはサポートされていません スクリプトの最大長は 5,000 文字.

オーケストレーション グループとメンバーの表示

[アセット とコンプライアンス] ワークスペースで 、[オーケストレーション グループ ] ノードを選択 します。 メンバーを表示するには、オーケストレーション グループを選択し、リボンで [メンバーの表示 ] を選択します。 ノードで使用可能な列の詳細については、「Monitor オーケストレーション グループと メンバー」を参照してください

オーケストレーションの開始

  1. オーケストレーション グループのメンバー を含むコレクションにソフトウェア更新プログラムを展開します。

  2. グループ内の任意のクライアントが、期限またはメンテナンス期間中にソフトウェア更新プログラムをインストールしようとすると、オーケストレーションが開始されます。 グループ全体で開始され、オーケストレーション グループルールに従ってデバイスが更新されます。

  3. オーケストレーションを手動で開始するには、[オーケストレーション グループ]ノードからオーケストレーションを選択し、リボンまたは右クリック メニューから [オーケストレーションの開始] を選択します。

  4. 必要に応じて、[ すべての該当 するウィンドウを無視する] を選択して、メンバーがすぐにインストールを開始し、メンテナンス ウィンドウをバイパスします。

    • このオプションは Configuration Manager バージョン 2103 で導入されました
  5. オーケストレーション グループが [失敗] 状態の場合は、次の処理を行 います。

    1. オーケストレーションが失敗した理由を特定し、問題を解決します。
    2. グループ メンバー のオーケストレーション状態をリセットします。
    3. [オーケストレーション グループ ] ノードで 、[オーケストレーションの開始 ] ボタンを選択 してオーケストレーションを再起動します。

ヒント

  • オーケストレーション グループは、ソフトウェア更新プログラムの展開にのみ適用されます。 他の展開には適用されません。
  • オーケストレーション グループ メンバーを右クリックし、[オーケストレーション グループ メンバーのリセット ] を選択します。 これにより、オーケストレーションを再実行できます。

グループ メンバーのオーケストレーション状態のリセット

グループ メンバーでオーケストレーションを再実行する場合は、[完了] や [失敗] などの状態 を**クリアできます。 状態をクリアするには、オーケストレーション グループ メンバーを右クリックし、[オーケストレーション グループ メンバーのリセット ] を選択します。 リボンから [オーケストレーション グループ メンバーのリセット] を選択することもできます。 状態をリセットする前に、クライアントが失敗した理由を確認し、見つかった問題を修正する必要があります。

自動操作Windows PowerShell

次の PowerShell コマンドレットを使用して、次のタスクの一部を自動化できます。

  • Get-CMOrchestrationGroup: このコマンドレットを使用して、名前または ID でオーケストレーション グループ オブジェクトを取得します。 このオブジェクトを使用して、オーケストレーション グループを開始、削除、または構成できます。

  • Invoke-CMOrchestrationGroup: このコマンドレットを使用してオーケストレーションを開始します。

  • New-CMOrchestrationGroup: このコマンドレットを使用して、新しいオーケストレーション グループを作成します。

  • Remove-CMOrchestrationGroup: このコマンドレットを使用して、オーケストレーション グループを削除します。

  • Set-CMOrchestrationGroup: このコマンドレットを使用して、オーケストレーション グループを構成します。

次の手順