次の方法で共有

Microsoft Configuration Manager から Azure Update Manager への仮想マシンの移行に関するガイダンス

  • [アーティクル]

適用対象: ✔️ Windows VMs ✔️ Linux VM ✔️ オンプレミス環境 ✔️ Azure Arc 対応サーバー。

この記事では、現在 Microsoft Configuration Manager (MCM) を使用しているサーバーの管理を最新化するためのガイドを提供します。 MCM の主要な機能であるパッチ管理のための Azure ベースのエクスペリエンスを提供する Azure Update Manager に焦点を当てます。

まず、さまざまな System Center コンポーネントに同等の機能を提供する Azure サービスを一覧表示します。

System Center コンポーネント Azure と同等のサービス
System Center Operations Manager (SCOM) Azure Monitor SCOM マネージド インスタンス
System Center Configuration Manager (SCCM) が Microsoft Configuration Manager (MCM) と呼ばれるようになりました Azure Update Manager、
変更履歴とインベントリ、
Azure マシン構成 (旧称 Azure Policy ゲスト構成)、
Azure Automation、
Microsoft Defender for Cloud
System Center Data Protection Manager (SCDPM) Azure Backup
System Center Orchestrator (SCORCH) Azure Automation
System Center Service Manager (SCSM) -

Note

移行の過程の一環として、次のオプションをおすすめします。

  1. 仮想マシンを Azure に完全に移行し、System Center を Azure ネイティブ サービスに置き換えます。
  2. ハイブリッド アプローチを採用し、System Center を Azure ネイティブ サービスに置き換えます。 Azure とオンプレミスの両方の仮想マシンが Azure ネイティブ サービスを使用して管理されている場合。 オンプレミスの仮想マシンの場合、Azure プラットフォームの機能は、Azure Arc 経由でオンプレミスに拡張されます。

Azure Update Manager への移行

MCM は、PC とサーバーの管理、ソフトウェアの最新の状態の維持、構成とセキュリティ ポリシーの設定、システムの状態の監視に役立ちます。 MCM は複数の機能を提供しており、ソフトウェア更新管理もその 1 つです。

特に更新プログラム管理または修正プログラムの適用については、お客様の要件に応じて、ネイティブの Azure Update Manager を使用して、デプロイ全体の Windows および Linux マシンのプログラムのコンプライアンスを一貫した方法で管理することができます。 さまざまな Configuration Manager ロールをホストするために Azure 仮想マシンを維持する必要がある MCM とは異なり、Azure Update Manager は、ハイブリッド環境を管理するために Azure 上で SaaS エクスペリエンスを提供するスタンドアロンの Azure サービスとして設計されています。 Azure Update Manager を使用するのにライセンスは必要ありません。

Note

  • クライアント/デバイスを管理するには、Intune が推奨される Microsoft ソリューションです。
  • Azure Update Manager では、MCM 内の Azure VM の移行サポートは提供されません。 構成例。

ソフトウェア更新プログラム管理機能マップ

次の表は、MCM のソフトウェア更新プログラム管理機能を Azure Update Manager にマップします。

機能 Microsoft Configuration Manager Azure Update Manager
サイト間でソフトウェア更新プログラムを同期する (中央管理サイト、プライマリ、セカンダリ サイト) トップ サイト (中央管理サイトまたはスタンドアロン プライマリ サイト) は Microsoft Update に接続してソフトウェア更新プログラムを取得します。 詳細情報 を参照してください。 トップ サイトが同期された後、子サイトも同期されます。 Azure にはマシンの階層がないため、Azure に接続されているすべてのマシンはソース リポジトリから更新プログラムを受け取ります。
ソフトウェア更新プログラムの同期/更新プログラムの確認 (パッチ メタデータの取得) ソフトウェアの更新ポイントで構成を設定することにより、更新プログラムを定期的にスキャンできます。 詳細情報 定期的な評価を有効にして、24 時間ごとのパッチのスキャンを有効にすることができます。 詳細情報
同期/スキャン/評価するための分類/製品の構成 同期/スキャン/評価する更新プログラムの分類 (セキュリティまたは重要な更新プログラム) を選択できます。 詳細情報 ここにはそのような能力はありません。 ソフトウェアのメタデータ全体がスキャンされます。
ソフトウェア更新プログラムの展開 (パッチのインストール) 更新プログラムの展開には 3 つのモードが用意されています:
手動展開
自動展開
段階的な展開 詳細情報		 - 手動デプロイは 1 回限りの更新プログラムをデプロイするようにマップされます
- 自動デプロイはスケジュールされた更新プログラムにマップされます
- 段階的デプロイのオプションはありません。
Windows および Linux マシン (Azure またはオンプレミスまたはその他のクラウド) にソフトウェア更新プログラムをデプロイする SCCM は、Windows マシンへのソフトウェア更新プログラムの追跡と適用の管理に役立ちます (現在、Linux マシンはサポートされていません)。 Azure Update Manager では、Windows マシンと Linux マシンの両方でソフトウェア更新プログラムがサポートされています。

MCM マネージド マシンで Azure Update Manager を使用するためのガイダンス

MCM ユーザーによる Azure Update Manager への移行の最初の手順として、既存の MCM マネージド サーバーで Azure Update Manager を有効にする必要があります (つまり、Azure Update Manager と MCM の共存が確実に実現されるようにします)。 次のセクションでは、この最初の手順で発生する可能性があるいくつかの課題に対処します。

Azure Update Manager と MCM の共存の前提条件

  • マシンで自動更新が無効になっていることを確認します。 詳細については、「その他の Windows Update 設定の管理 - レジストリを編集して自動更新を構成する」を参照してください。

    次のレジストリ パスで NoAutoUpdate レジストリ キーが 1 に設定されていることを確認します: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

  • Azure Update Manager は WSUS サーバーから更新プログラムを取得でき、そのためには SCCM の一部として WSUS サーバーを構成します。

    • WSUS サーバーに十分な領域があることを確認します。
    • WSUS 構成でパッケージをダウンロードするように言語オプションを更新します。必要な言語を選ぶことをお勧めします。 詳しくは、「手順 2: WSUS を構成する」をご覧ください。
    • WSUS サーバー上の該当するパッケージをダウンロードするための更新プログラム自動承認ルールを WSUS で作成して、Azure Update Manager がこの WSUS サーバーから更新プログラムを取得できるようにします。
      • 要件に従って必要な分類を選ぶか、SCCM で選ばているものと同じままにします。
      • 要件に従って製品を選ぶか、SCCM で選ばているものと同じままにします。
      • 始めるには、テスト コンピューター グループを作成し、それにこの規則を適用して、これらの変更をテストします。
      • テスト グループをテストした後、すべてのコンピューター グループにそれを拡大できます。
      • 必要な場合は、WSUS で除外コンピューター グループを作成します。

現在の MCM セットアップの概要

MCM クライアントは WSUS サーバーを使用してファーストパーティの更新プログラムをスキャンするため、初期セットアップの一部として WSUS サーバーが構成されます。

サードパーティの更新プログラムのコンテンツもこの WSUS サーバーに公開されます。 Azure Update Manager には、WSUS から更新プログラムをスキャンしてインストールする機能があるため、MCM セットアップの一部として構成された WSUS サーバーを利用して、Azure Update Manager を MCM と連携させます。

ファースト パーティの更新プログラム

Azure Update Manager でファースト パーティの更新プログラム (Windows および Microsoft の更新プログラム) をスキャンしてインストールするには、構成された WSUS サーバーで必要な更新プログラムの承認を開始する必要があります。 これは、ユーザーが MCM サーバーで構成したのと同様に、WSUS で自動承認規則を構成することによって行われます。

サード パーティの更新プログラム

サード パーティの更新プログラムは、既にサード パーティのパッチ適用用に MCM を構成しており、MCM を介してサード パーティの更新プログラムに正常にパッチを適用できる場合は、Azure Update Manager で期待どおりに動作するはずです。 サード パーティの更新プログラムを MCM から WSUS に引き続き公開していることを確認します (「サード パーティの更新プログラムを有効にするの手順 3」)。 WSUS に公開すると、Azure Update Manager は WSUS サーバーからこれらの更新プログラムを検出してインストールできるようになります。

Azure Update Manager を使用してソフトウェア更新プログラムを管理する

  1. Azure portal にサインインし、Azure Update Manager を検索します。

    Azure portal から Azure Update Manager を選択するスクリーンショット。

  2. [Azure Update Manager] ホーム ページの [管理]>[マシン] でサブスクリプションを選択し、すべてのマシンを表示します。

  3. 利用可能なオプションに従ってフィルターして、特定のマシンの状態を確認します。

    マシンを表示するために Azure Update Manager でフィルターを選択するスクリーンショット。

  4. 要件に応じて、適切な評価修正プログラムの適用のオプションを選択します。

マシンにパッチを適用する

評価と修正プログラムの適用の構成を設定した後は、オンデマンド更新 (1 回または手動更新) または更新のスケジュール設定 (自動更新) のみを使用して展開/インストールを行うことができます。 Azure Update Manager の API を使用して更新プログラムを展開することもできます。

Azure Update Manager の制限事項

現在の制限事項は次のとおりです。

  • 事前/事後スクリプトを含むオーケストレーション グループ - オーケストレーション グループを Azure Update Manager で作成して、メンテナンス シーケンスを指定したり、一部のマシンへ同時に更新プログラムを許可したりすることはできません (オーケストレーション グループを使用することで、展開前と展開後のタスクを実行するための事前/事後スクリプトを使用できます)。

よく寄せられる質問

Azure Update Manager はどこから更新プログラムを取得しますか?

Azure Update Manager は、マシンがポイントするリポジトリを参照します。 既定では、ほとんどの Windows マシンが Windows Update カタログをポイントし、Linux マシンは apt または yum リポジトリから更新プログラムを取得するように構成されています。 マシンが WSUS やローカル リポジトリなどの別のリポジトリをポイントしている場合、Azure Update Manager はそのリポジトリから更新プログラムを取得します。

Azure Update Manager は OS、SQL、サードパーティ ソフトウェアにパッチを適用できますか?

Azure Update Manager は、VM がポイントするリポジトリ (またはエンドポイント) を参照します。 リポジトリ (またはエンドポイント) に Microsoft 製品、サードパーティ ソフトウェアなどの更新プログラムが含まれている場合、Azure Update Manager はこれらのパッチをインストールできます。

既定では、Windows VM は Windows Update サーバーをポイントします。 Windows Update サーバーには、Microsoft 製品およびサードパーティ ソフトウェアの更新プログラムは含まれていません。 VM が Microsoft Update をポイントしている場合、Azure Update Manager は OS と Microsoft 製品にパッチを適用します。

サード パーティ ソフトウェアに修正プログラムを適用するには、Azure Update Manager を WSUS に接続し、サード パーティの更新プログラムを公開する必要があります。 WSUS で利用できない限り、Windows VM 用のサードパーティ ソフトウェアにパッチを適用することはできません。

Azure Update Manager を使用するには WSUS を構成する必要がありますか?

WSUS はパッチを管理する方法です。 Azure Update Manager は、ポイントされているエンドポイントを参照します (Windows Update、Microsoft Update、または WSUS)。

月次パッチを MCM 経由でデプロイする必要がありますか?

いいえ、WSUS で毎月パッチを承認するか、自動展開規則 (ADR) を設定するだけで、サーバー上のパッチがスキャンされてインストールされます。

Azure Update Manager を使用してオンプレミスの仮想マシンを管理する方法

Azure Update Manager は、Azure Arc を使用してオンプレミスで使用できます。Azure Arc は、データセンター、エッジ、マルチクラウド環境で柔軟に実行できるアプリケーションとサービスの構築に役立つ Azure プラットフォームを拡張するブリッジです。 Azure Arc VM 管理を使用すると、オンプレミスでホストされている Windows VM と Linux VM をプロビジョニングおよび管理できます。 この機能により、IT 管理者は Azure portal、Azure CLI、Azure PowerShell、Azure Resource Manager (ARM) テンプレートなどの Azure 管理ツールを使用して Arc VM を管理できます。

次のステップ