Azure Automation Update Management 用に Windows Update の設定を構成する

  • [アーティクル]

Azure Automation Update Management では、Windows の更新プログラムのダウンロードとインストールに Windows Update クライアントを使用しています。 Windows Server Update Services (WSUS) または Windows Update への接続時に、Windows Update クライアントによって使用される固有の設定があります。 これらの設定の多くは、以下によって管理できます。

  • ローカル グループ ポリシー エディター
  • グループ ポリシー
  • PowerShell
  • レジストリの直接編集

Update Management では Windows Update クライアントを制御するために指定される多くの設定が尊重されます。 Windows 以外の更新プログラムを有効にする設定を使用している場合、Update Management では、それらの更新プログラムも管理されます。 更新プログラムの展開が行われる前の更新プログラムのダウンロードを有効にすると、更新プログラムの展開がより速く効率的になり、メンテナンス期間を超過する可能性が低くなります。

Azure サブスクリプションで WSUS を設定し、Windows 仮想マシンを安全に最新の状態に保つ方法に関するその他の推奨事項については、WSUS を使用して Azure で Windows 仮想マシンを更新するためのデプロイを計画する方法に関する記事を確認してください。

更新プログラムの事前ダウンロード

更新プログラムを自動的にインストールすることなく自動的にダウンロードするように構成する場合、グループ ポリシーを使用して [自動更新を構成する] 設定を構成できます。 オペレーティング システムのバージョンに応じて 2 つの推奨値があります。

  • Windows Server 2016 以降の場合、値を 7 に設定します。
  • Windows Server 2012 R2 以前の場合、値を 3 に設定します。

この設定により、必要な更新プログラムがバックグラウンドでダウンロードされ、更新プログラムをインストールする準備ができたことが通知されるようになります。 この方法により、Update Management がスケジュール管理下にある状態で、Update Management のメンテナンス期間外に更新プログラムをダウンロードできます。 詳細情報 を参照してください。 この動作により、Update Management の Maintenance window exceeded エラーを防ぎます。

この設定は PowerShell で有効にできます。

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = <3 or 7>
$WUSettings.Save()

再起動の設定を構成する

レジストリを編集して自動更新を構成する」と「再起動の管理に使われるレジストリ キー」に示されているレジストリ キーを使用すると、[更新プログラムのデプロイ] の設定で [再起動しない] を指定している場合でも、コンピューターの再起動が行われる可能性があります。 これらのレジストリ キーは、ご利用の環境に最適になるように構成してください。

他の Microsoft 製品の更新プログラムを有効にする

既定では、Windows Update クライアントは、Windows のみに更新プログラムを提供するように構成されています。 [Windows の更新時に他の Microsoft 製品の更新プログラムも入手します] を有効にすると、Microsoft SQL Server や他の Microsoft ソフトウェアのセキュリティ修正プログラムなど、他の製品の更新プログラムも提供されます。 このオプションは、Windows 2016 以降で使用可能な最新の管理用テンプレート ファイルをダウンロードしてコピーした場合に構成できます。

Windows Server 2012 R2 を実行しているコンピューターがある場合は、グループ ポリシーでこの設定を構成することはできません。 それらのマシンでは、次の PowerShell コマンドを実行します。

$ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceManager.Services
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")

WSUS 構成設定を行う

Update Management では WSUS 設定がサポートされています。 詳細情報 を参照してください。 「イントラネットの Microsoft 更新サービスの場所を指定する」の手順を使用して、更新プログラムをスキャンおよびダウンロードするためのソースを指定できます。 既定では、Windows Update クライアントは Windows Update から更新プログラムをダウンロードするように構成されています。 WSUS サーバーをお使いのマシン用のソースとして指定する場合、更新プログラムが WSUS で承認されていないと、更新プログラムのデプロイは失敗します。

その内部の更新サービスにマシンを制限するには、インターネット上の Windows Update に接続しないように設定します。

次のステップ

VM の更新プログラムとパッチの管理」の手順に従って、更新プログラムの展開をスケジュールします。