Update Management と Microsoft Configuration Manager の統合

  • [アーティクル]

PC、サーバー、モバイル デバイスを管理するために Microsoft Endpoint Configuration Manager に投資してきたお客様は、ソフトウェア更新管理 (SUM) サイクルの一環として、ソフトウェア更新プログラムの管理でもその強さと成熟度を活用できます。

Microsoft Configuration Manager でソフトウェア更新プログラムのデプロイを作成および事前ステージングすることで、マネージド Windows サーバーをレポートおよび更新し、 Update Managementを使用して、完了した更新プログラムの展開の詳細な状態を取得できます。 更新プログラムのコンプライアンス レポートには Microsoft Configuration Manager を使用するが、Windows サーバーでの更新プログラムのデプロイの管理には使用しない場合は、セキュリティ更新プログラムが Azure Automation Update Management で管理されている間、Microsoft Configuration Manager へのレポートを続行できます。

Note

Update Management では、Windows Server 2008 R2 の更新プログラムの評価と修正プログラムの適用がサポートされていますが、このオペレーティング システムを実行している Microsoft Configuration Manager によって管理されるクライアントはサポートされていません。

前提条件

  • Azure Automation Update Management を Automation アカウントに追加しておく必要があります。
  • Microsoft Configuration Manager 環境で現在管理されている Windows サーバーも、Update Management が有効になっている Log Analytics ワークスペースに報告する必要があります。
  • この機能は、Microsoft Configuration Manager Current Branch バージョン 1606 以降で有効になっています。 Microsoft Configuration Manager の中央管理サイトまたはスタンドアロン プライマリ サイトを Azure Monitor ログと統合してコレクションをインポートするには、「Configuration Manager を Azure Monitor ログに接続する」を確認してください。
  • Windows エージェントは、Windows Server Update Services (WSUS) サーバーと通信するように構成するか、Microsoft Configuration Manager からセキュリティ更新プログラムを受け取らない場合は Microsoft Update にアクセスできるようにする必要があります。

既存の Microsoft Configuration Manager 環境で Azure IaaS でホストされているクライアントを管理する方法は、主に、Azure データセンターとインフラストラクチャ間の接続によって異なります。 この接続は、Microsoft Configuration Manager インフラストラクチャに対して行う必要がある設計変更と、それらの必要な変更をサポートするために関連するコストに影響します。 続行する前に評価する必要がある計画上の考慮事項を把握するには、「Azure の Configuration Manager - よく寄せられる質問」を参照してください。

Microsoft Configuration Manager からソフトウェア更新プログラムを管理する

Microsoft Configuration Manager から更新プログラムのデプロイを引き続き管理する場合は、次の手順を実行します。 Azure Automation は、Microsoft Configuration Manager に接続して、Log Analytics ワークスペースに接続されているクライアント コンピューターに更新プログラムを適用します。 更新プログラムのコンテンツは、デプロイが Microsoft Configuration Manager によって管理されているかのように、クライアント コンピューター のキャッシュから使用できます。

  1. ソフトウェア更新プログラムの展開 」で説明されているプロセスを使用して、Microsoft Configuration Manager 階層の最上位サイトからソフトウェア更新プログラムのデプロイを作成します。 標準のデプロイとは異なる方法で構成する必要がある唯一の設定は、Configuration Manager の インストール期限 オプションです。 Automation Update Management によって更新プログラムの展開のみが開始されるようにするために、これは将来の日付に設定する必要があります。 この設定については、「手順 4. ソフトウェア更新プログラム グループを展開する」で説明されています。

  2. Configuration Manager で、 ユーザー通知 オプションを構成して、ターゲット コンピューターに通知が表示されないようにします。 [すべての通知をソフトウェア センターで非表示にし、ユーザーにも通知しない] オプションを設定し、ログオンしたユーザーが、スケジュールされた更新プログラムの展開の通知を受けないようにし、それらの更新プログラムを手動で展開できないようにすることをお勧めします。 この設定については、「手順 4. ソフトウェア更新プログラム グループを展開する」で説明されています。

  3. Azure Automation で [Update Management] を選択します。 「更新プログラムのデプロイの作成」で説明されている手順に従って新しい展開を作成し、[種類] ドロップダウンでインポートされたグループを選択して、適切な Microsoft Configuration Manager コレクションを選択します。 以下の重要な点に注意してください。

    a. 選択した Microsoft Configuration Manager デバイス コレクションにメンテナンス期間が定義されている場合、コレクションのメンバーは、スケジュールされたデプロイで定義されている 期間 設定の代わりにこれを優先します。

    b. ターゲット コレクションのメンバーは、(直接、プロキシ サーバー経由、または Log Analytics ゲートウェイ経由で) インターネットに接続できる必要があります。

Azure Automation を介した更新プログラムのデプロイが完了した後、選択したコンピューター グループのメンバーであるターゲット コンピューターによって、スケジュールされた時刻にローカル クライアント キャッシュから更新プログラムがインストールされます。 更新プログラムのデプロイ ステータスを表示して、デプロイの結果を監視できます。

Azure Automation からのソフトウェア更新プログラムの管理

Microsoft Configuration Manager クライアントである Windows Server VM の更新プログラムを管理するには、Update Management によって管理されるすべてのクライアントのソフトウェア更新管理機能を無効にするようにクライアント ポリシーを構成する必要があります。 既定のクライアント設定では、階層内のすべてのデバイスが対象となります。 このポリシー設定とその構成方法の詳細については、「Configuration Manager でクライアント設定を構成する方法」を確認してください。

この構成変更を実行した後、「更新プログラムのデプロイの作成」で説明されている手順に従って新しいデプロイを作成し、[種類] ドロップダウンでインポートされたグループを選択して、適切な Microsoft Configuration Manager コレクションを選択します。

次のステップ

統合スケジュールを設定するには、「更新プログラムのデプロイをスケジュールする」を参照してください。