Update Management の概要

重要

  • Automation Update Management は Log Analytics エージェント (MMA エージェント) に依存していますが、このエージェントは非推奨になる予定であり、2024 年 8 月 31 日以降はサポートされなくなります。
  • Azure Update Manager (AUM) は、Automation Update 管理の v2 バージョンであり、Azure での Update 管理の将来のバージョンです。 AUM は Azure のネイティブ サービスであり、 Log Analytics エージェント または Azure Monitor エージェントには依存しません。
  • Automation Update Management から Azure Update Manager にマシンとスケジュールを移行するには 、ガイダンス に従います。
  • Automation Update Management を使用している場合は、マシンとスケジュールが Azure Update Manager に移行されるまで、Log Analytics エージェントを引き続き使用し、Azure Monitor エージェントに移行 しないことを お勧めします。
  • すべての Automation Update Management のお客様を Update Manager に移行する前に、Log Analytics エージェントは非推奨になりません。

Azure Automation の Update Management を使用して、Azure での Windows および Linux 仮想マシン、オンプレミス環境やその他のクラウド環境での物理マシンまたは VM に対するオペレーティング システムの更新プログラムを管理できます。 利用可能な更新プログラムの状態をすばやく評価し、Update Management に報告しているマシンに必要な更新プログラムをインストールするプロセスを管理できます。

サービス プロバイダーは、Azure Lighthouse に複数の顧客テナントをオンボードしている場合があります。 Update Management を使用して、同じ Azure Active Directory (Azure AD) テナントの複数のサブスクリプションのマシンまたは Azure Lighthouse を使用している複数のテナントに対する更新プログラムのデプロイの評価とスケジュールを実行できます。

Microsoft では、全体的な更新管理戦略の一部として考慮する必要がある、Azure VM または Azure 仮想マシン スケール セットに対する更新プログラムの管理に役立つその他の機能を提供しています。

  • 毎月リリースされる "重要な" 更新プログラムとセキュリティ更新プログラムによってセキュリティ コンプライアンスを維持するために Azure 仮想マシンの自動的な評価と更新に関心がある場合は、「VM ゲストの自動パッチ適用」を参照してください。 これは、お使いの Azure VM を (可用性セット内の VM を含めて) オフピーク時間中に自動更新するための代替更新管理ソリューションであり、これらの VM に対する更新プログラムのデプロイを Azure Automation の Update Management から管理するものとは別のソリューションです。

  • Azure 仮想マシン スケール セットを管理する場合は、スケール セット内のすべてのインスタンスの OS ディスクを安全かつ自動的にアップグレードするために、OS イメージの自動アップグレードを実行する方法を参照してください。

Update Management をデプロイしてマシンを管理できるようにする前に、次のセクションの情報を理解しておいてださい。

Update Management について

次の図に、接続されたすべての Windows Server と Linux サーバーに対する、Update Management によるセキュリティ更新プログラムの評価と適用の実行方法を示します。

Update Management ワークフロー

Update Management では Azure Monitor ログと連携して、割り当てられている Azure と Azure 以外のマシンから収集された更新プログラムの評価と更新プログラムのデプロイの結果が、ログ データとして保存されます。 このデータを収集するために、Automation アカウントと Log Analytics ワークスペースがリンクされ、マシン上にこのワークスペースに報告するように構成された Windows および Linux 用の Log Analytics エージェントが必要です。

Update Management では、ワークスペースに接続されている System Center Operations Manager 管理グループのエージェントからのシステムの更新に関する情報の収集がサポートされています。 1 つのマシンを複数の Log Analytics ワークスペースに Update Management 用に登録すること (マルチホームとも言われます) は、サポートされていません。

次の表に、Update Management でサポートされている接続先ソースの概要を示します。

接続先ソース サポートされています 説明
Windows はい Update Management によって、Log Analytics エージェントを使用して Windows マシンからシステムの更新プログラムと、必要な更新プログラムのインストールに関する情報が収集されます。
マシンは、Microsoft Update または Windows Server Update Services (WSUS) に報告する必要があります。
Linux はい Update Management によって、Log Analytics エージェントを使用して Linux マシンからシステムの更新プログラムと、サポートされているディストリビューションに関する必要な更新プログラムのインストールに関する情報が収集されます。
マシンは、ローカルまたはリモートのリポジトリに報告する必要があります。
Operations Manager 管理グループ はい Update Management によって、接続されている管理グループ内のエージェントからソフトウェアの更新に関する情報が収集されます。

Operations Manager エージェントから Azure Monitor ログへの直接接続は必要ありません。 ログ データは、管理グループから Log Analytics ワークスペースに転送されます。

Update Management に割り当てられたマシンによって、同期するように構成されているソースに基づいて、各自の最新の状態が報告されます。 Windows マシンは、Windows Server Update Services または Microsoft Update に報告するように構成する必要があり、Linux マシンは、ローカルまたはパブリックのリポジトリに報告するように構成する必要があります。 Microsoft Configuration Managerで Update Management を使用することもできます。詳細については、「Update Management と Windows Configuration Manager の統合」を参照してください。

Windows マシン上の Windows Update Agent (WUA) が WSUS に報告するように構成されている場合は、WSUS の Microsoft Update との最後の同期のタイミングによっては、Microsoft Update で示されるものと結果が一致しないことがあります。 この動作は、パブリック リポジトリではなくローカル リポジトリに報告するように構成されている Linux マシンにも当てはまります。 Windows マシンでは、コンプライアンス スキャンは既定で 12 時間ごとに実行されます。 Linux マシンでは、コンプライアンス スキャンは既定で 1 時間ごとに実行されます。 Log Analytics エージェントを再起動した場合、コンプライアンス スキャンは 15 分以内に開始されます。 マシンで更新プログラムのコンプライアンスのためのスキャンが完了すると、エージェントによって情報が Azure Monitor ログに一括転送されます。

スケジュールされたデプロイを作成することで、更新が必要なマシンへのソフトウェア更新プログラムのデプロイとインストールを実行できます。 Windows マシンの場合、"オプション" に分類されている更新プログラムはデプロイの範囲に含まれません。 デプロイの範囲には、必須の更新プログラムのみが含まれています。

スケジュールされたデプロイでは、適用可能な更新プログラムを受け取るターゲット マシンが定義されます。 これを行うには、特定のマシンを明示的に指定するか、特定のマシン セットのログ検索 (または指定された条件に基づいて動的に Azure VM を選択する Azure クエリ) に基づくコンピューター グループを選択します。 これらのグループは、Update Management を有効にするために構成を受け取るコンピューターのターゲット設定を制御するために使用されるスコープ構成とは異なります。 これにより、更新プログラムのコンプライアンスを実行および報告したり、承認された必要な更新プログラムをインストールしたりできなくなります。

デプロイを定義するときに、更新プログラムをインストールできる期間を承認および設定するスケジュールも指定します。 この期間は、メンテナンス期間と呼ばれます。 再起動が必要な場合、適切な再起動オプションを選択していれば、再起動のために 10 分間のメンテナンス期間が予約されます。 パッチ適用に予想よりも時間がかかり、メンテナンス期間の残りが 10 分を切った場合、再起動は行われません。

更新プログラム パッケージのデプロイがスケジュールされた後、Linux マシンで更新プログラムが評価用に表示されるまでに 2 時間から 3 時間かかります。 Windows マシンの場合、更新プログラムがリリースされてから評価用に表示されるまで 12 時間から 15 時間かかります。 更新プログラムのインストールの前後に、更新プログラムのコンプライアスのためのスキャンが実行され、ログ データの結果がワークスペースに転送されます。

更新プログラムは、Azure Automation の Runbook によってインストールされます。 これらの Runbook は表示できません。また、これらは構成不要です。 更新プログラムのデプロイを作成すると、対象に含めたマシンに対して、指定した時間にマスター更新 Runbook を開始するスケジュールが作成されます。 マスター Runbook によって、Windows 上で Windows Update エージェントを使用して必要な更新プログラムのインストールを開始する子 Runbook が各エージェントで開始されます。サポートされている Linux ディストリビューションでは該当するコマンドが実行されます。

更新プログラムのデプロイで指定された日時に、ターゲット マシンでデプロイが並列で実行されます。 まず、スキャンが実行され、その更新プログラムが依然として必須であることが確認されてからインストールされます。 WSUS クライアント マシンの場合、更新プログラムが WSUS で承認されていないと、更新プログラムのデプロイは失敗します。

制限

Update Management に適用される制限については、「Azure Automation サービスの制限」を参照してください。

アクセス許可

更新プログラムのデプロイを作成および管理するには、特定のアクセス許可が必要です。 これらのアクセス許可の詳細については、Update Management へのロールベースのアクセスに関するページをご覧ください。

Update Management コンポーネント

Update Management では、このセクションで説明されているリソースが使用されます。 Update Management を有効にすると、これらのリソースが Automation アカウントに自動的に追加されます。

Hybrid Runbook Worker のグループ

Update Management を有効にすると、Log Analytics ワークスペースに直接接続されているすべての Windows マシンは、Update Management をサポートする runbook をサポートするために、自動的にシステム Hybrid Runbook Worker として構成されます。

Update Management で管理されている各 Windows マシンは、Automation アカウントの [システム ハイブリッド worker グループ] として、[ハイブリッド worker グループ] ペインに表示されます。 グループでは、Hostname FQDN_GUID の名前付け規則が使用されます。 アカウントの Runbook でこれらのグループを対象として指定することはできません。 指定しようとすると、失敗します。 これらのグループは、Update Management のみをサポートすることを目的としています。 Hybrid Runbook Worker として構成されている Windows マシンの一覧を表示する方法の詳細については、「Hybrid Runbook Workers の表示」を参照してください。

Update Management と Hybrid Runbook Worker グループ メンバーシップの両方に同じアカウントを使用すると、Windows マシンを Automation アカウント内のユーザー Hybrid Runbook Worker グループに追加して Automation Runbook をサポートできます。 この機能は、Hybrid Runbook Worker のバージョン 7.2.12024.0 で追加されました。

外部依存関係

Azure Automation Update Management は、ソフトウェア更新プログラムを配信するために、以下の外部依存関係に依存しています。

  • ソフトウェア更新プログラム パッケージと、Windows ベースのマシンでのソフトウェア更新プログラムの適用性スキャンのために、Windows Server Update Services (WSUS) または Microsoft Update が必要です。
  • マシンが WSUS サーバーまたは Microsoft Update に接続できるように、Windows ベースのマシン上に Windows Update エージェント (WUA) クライアントが必要です。
  • Linux ベースのマシンで OS 更新プログラムを取得してインストールするための、ローカルまたはリモートのリポジトリ。

管理パック

次の管理パックが、Update Management によって管理されるマシンにインストールされます。 Operations Manager 管理グループが Log Analytics ワークスペースに接続されている場合、管理パックは Operations Manager 管理グループにインストールされます。 これらの管理パックを構成または管理する必要はありません。

  • Microsoft System Center Advisor 更新プログラム評価インテリジェンス パック (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • 更新プログラムの展開 MP

Note

Log Analytics ワークスペースに接続される Operations Manager 1807 または 2019 管理グループに、ログ データを収集するように構成されたエージェントがある場合は、Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init 規則内で IsAutoRegistrationEnabled パラメーターをオーバーライドして True に設定する必要があります。

管理パックの更新プログラムの詳細については、Azure Monitor ログへの Operations Manager の接続に関する記事を参照してください。

Note

Log Analytics エージェントを使用して Update Management でマシンを完全に管理するには、Windows 用の Log Analytics エージェント、または Linux 用 Log Analytics エージェントに更新する必要があります。 エージェントを更新する方法については、Operations Manager エージェントのアップグレード方法に関する記事を参照してください。 Operations Manager を使用する環境では、System Center Operations Manager 2012 R2 UR 14 以降を実行している必要があります。

データ収集の頻度

Update Management では、次のルールを使用して、管理対象のマシンのデータのスキャンが行われます。 管理対象のマシンの更新されたデータがダッシュボードに表示されるまでに、30 分から 6 時間かかる可能性があります。

  • 各 Windows マシン - Update Management では、各マシンで 1 日に 2 回スキャンが行われます。

  • 各 Linux マシン - Update Management では 1 時間ごとにスキャンが行われます。

Update Management を使用しているマシンでの Azure Monitor ログによる平均データ使用量は、1 か月あたり約 25 MB です。 この値は概数にすぎず、環境によって異なることがあります。 正確な使用量を把握するために、環境を監視することをお勧めします。 Azure Monitor ログのデータ使用状況の分析の詳細については、Azure Monitor ログの価格詳細に関する記事を参照してください。

更新プログラムの分類

次の表では、Update Management が Windows 更新プログラムでサポートされる分類が定義されています。

分類 説明
緊急更新プログラム セキュリティに関連しない重大なバグを修正する、特定の問題に対する更新プログラムです。
セキュリティ更新プログラム 製品固有のセキュリティに関連する問題に対する更新プログラムです。
更新プログラムのロールアップ 容易なデプロイのためにパッケージにまとめられた修正プログラムの累積セットです。
Feature Pack 製品リリース外で配布される製品の新機能です。
Service Pack アプリケーションに適用される修正プログラムの累積セットです。
定義の更新 ウイルスまたは他の定義ファイルに対する更新プログラムです。
ツール 1 つまたは複数のタスクを完了するのに役立つユーティリティまたは機能です。
更新プログラム 現在インストールされているアプリケーションまたはファイルに対する更新プログラムです。

次の表では、Linux 更新プログラムでサポートされる分類が定義されています。

分類 説明
緊急更新プログラムとセキュリティ更新プログラム 特定の問題または製品固有のセキュリティに関連する問題に対する更新プログラムです。
他の更新プログラム 本質的に重要ではない、またはセキュリティ更新プログラムではない、他のすべての更新プログラムです。

Note

Linux マシン用の更新プログラムの分類は、サポートされている Azure パブリック クラウド リージョンで使用される場合にのみ利用できます。 次の国内クラウド リージョンで Update Management を使用する場合、Linux の更新プログラムの分類はありません。

  • Azure US Government
  • 中国の 21Vianet

更新プログラムは、分類される代わりに、 [他の更新プログラム] カテゴリ内で報告されます。

Update Management では、サポートされているディストリビューションによって発行されたデータが使用されます。具体的には、リリースされた OVAL (Open Vulnerability and Assessment Language) ファイルです。 インターネット アクセスはこれらの国内クラウドから制限されているため、Update Management によるファイルへのアクセスはできません。

Linux 更新プログラムの分類のロジック

  1. 評価のために、Update Management は更新プログラムをセキュリティクリティカルその他の 3 つのカテゴリに分類します。 更新プログラムのこの分類は、次の 2 つのソースからのデータに従います。

    • Open Vulnerability and Assessment Language(OVAL) ファイルは、更新プログラムが修正するセキュリティの問題または脆弱性に関するデータを含む Linux ディストリビューション ベンダーによって提供されます。
    • YUM、APT、ZYPPER などのマシン上のパッケージ マネージャー。
  2. 修正プログラムを適用する場合、Update Management は更新プログラムを 2 つのカテゴリ (クリティカルとセキュリティその他) に分類します。 この更新プログラムの分類は、YUM、APT、ZYPPER などのパッケージ マネージャーからのデータのみに基づいています。

CentOS - 他のディストリビューションとは異なり、CentOS にはパッケージ マネージャーから利用できる分類データはありません。 CentOS マシンで、次のコマンドに対してセキュリティ データを返すように構成されている場合、Update Management は分類に基づいて修正プログラムを適用できます。

sudo yum -q --security check-update

注意

CentOS 上でネイティブ分類データを使用できるようにするためのサポートされている方法は現在ありません。 現時点では、顧客がこの機能を自分で使用可能にした場合には、できる範囲内のサポートのみを提供しています。

Redhat - Red Hat Enterprise バージョン 6 の更新プログラムを分類するには、YUM セキュリティ プラグインをインストールする必要があります。 Red Hat Enterprise Linux 7 では、プラグインは既に YUM 自体の一部であるため、何もインストールする必要はありません。 詳細については、次の Red Hat のナレッジ記事を参照してください。

Configuration Manager と Azure Update Management を統合する

PC、サーバー、モバイル デバイスを管理するためのMicrosoft Configuration Managerに投資しているお客様は、ソフトウェア更新プログラムの管理に役立つ Configuration Manager の強度と成熟度にも依存しています。 Update Management と Configuration Manager を統合する方法については、「Update Management と Windows Configuration Manager の統合」を参照してください。

Windows でのサードパーティの更新プログラム

Update Management では、ローカルで構成された更新リポジトリに依存して、サポートされている Windows システム (WSUS または Windows Update) を更新します。 System Center Updates Publisher などのツールを使用すると、WSUS を使用してカスタム更新プログラムをインポートして発行することができます。 このシナリオでは、サードパーティ製ソフトウェアで Configuration Manager を更新リポジトリとして使用するマシンに、Update Management で更新プログラムを適用できます。 Updates Publisher を構成する方法については、「Install Updates Publisher」(Updates Publisher のインストール) を参照してください。

Windows Log Analytics エージェントを最新バージョンに更新する

Update Management の機能には 、Log Analytics エージェント が必要です。 セキュリティの脆弱性を軽減し、バグ修正の恩恵を受けるために、Windows Log Analytics エージェント (Windows Microsoft Monitoring Agent (MMA とも呼ばれます) を最新バージョンに更新することをお勧めします。 10.20.18053 (バンドル) および 1.0.18053.0 (拡張機能) より前のバージョンの Log Analytics エージェントでは、古い証明書処理方法が使用されるため、推奨されません。 古い Windows Log Analytics エージェントは Azure に接続できず、Update Management はそれらに対する作業を停止します。

次の手順に従って、Log Analytics エージェントを最新バージョンに更新する必要があります。

  1. マシンの Log Analytics エージェントの現在のバージョンを確認します。インストール パス C:\ProgramFiles\Microsoft Monitoring Agent\Agent に移動し、HealthService.exe を右クリックして [プロパティ] をチェックします。 [ 詳細 ] タブの [ 製品バージョン ] フィールドには、Log Analytics エージェントのバージョン番号が表示されます。

  2. Log Analytics エージェントのバージョンが 10.20.18053 (バンドル) および 1.0.18053.0 (拡張機能) より前の場合は、次のガイドラインに従って最新バージョンの Windows Log Analytics エージェントにアップグレード します。 

注意

アップグレード プロセス中に、更新管理スケジュールが失敗する可能性があります。 計画されたスケジュールがない場合は、必ずこれを行います。

次のステップ