Update Management の展開を計画する

手順 1: Automation アカウント

Update Management は Azure Automation の機能であるため、Automation アカウントが必要です。 サブスクリプションの既存の Automation アカウントを使用するか、または Update Management 専用で他の Automation 機能には使用できないアカウントを新規に作成することができます。

手順 2: Azure Monitor ログ

Update Management は、Azure Monitor の Log Analytics ワークスペースを使用して、管理されたコンピューターから収集される評価および更新ステータス ログ データを格納します。 Log Analytics との統合により、Azure Monitor で詳細な分析やアラートも利用できるようになります。 サブスクリプションの既存のワークスペースを使用するか、または Update Management 専用の新しいワークスペースを作成することができます。

Azure Monitor ログと Log Analytics ワークスペースを初めて使用する場合は、Log Analytics ワークスペースの設計に関するデプロイ ガイドを参照してください。

手順 3: サポートされているオペレーティング システム

Update Management は、Windows Server および Linux オペレーティング システムの特定のバージョンをサポートしています。 Update Management を有効にする前に、対象のマシンがオペレーティング システムの要件を満たしていることを確認してください。

手順 4: Log Analytics エージェント

Update Management をサポートするには、Windows および Linux 向けの Log Analytics エージェントが必要です。 エージェントは、データ コレクションと Automation システム Hybrid Runbook Worker ロールの両方に使用され、マシン上での評価および更新プログラムの展開の管理に使用される Update Management Runbook をサポートします。

Azure VM で Log Analytics エージェントがまだインストールされていない場合、VM の Update Management を有効にすると、Windows または Linux 向けの Log Analytics VM 拡張機能を使用してエージェントが自動的にインストールされます。 エージェントは、Update Management が有効になっている Automation アカウントにリンクされている Log Analytics ワークスペースに報告するように構成されています。

Azure 以外の VM やサーバーの場合、Windows または Linux 向けの Log Analytics エージェントをインストールして、リンクされたワークスペースに報告させる必要があります。 最初にマシンを Azure Arc 対応サーバーに接続し、次に Azure Policy を使用して Linux または Windows Azure Arc マシンに Log Analytics エージェントをデプロイする組み込みポリシー定義を割り当てることにより、Windows または Linux 用の Log Analytics エージェントをインストールすることをお勧めします。 また、VM 分析情報を使用してマシンの監視を行う場合は、代わりに Azure Monitor for VMs を有効にするイニシアティブを使用します。

Operations Manager によって現在管理されているマシンを有効にする場合、新しいエージェントは必要ありません。 管理グループを Log Analytics ワークスペースに接続すると、ワークスペースの情報がエージェントの構成に追加されます。

1 つのマシンを複数の Log Analytics ワークスペースに Update Management 用に登録すること (マルチホームとも言われます) は、サポートされていません。

ステップ 5 - ネットワークの計画

Update Management をサポートするためにネットワークを準備するには、一部のインフラストラクチャ コンポーネントの構成が必要になることがあります。 たとえば、Update Management と Azure Monitor によって使用される通信が通過できるようにファイアウォール ポートを開きます。

Update Management に必要なポート、URL、およびその他のネットワークの詳細 (Hybrid Runbook Worker ロールなど) については、Azure Automation のネットワーク構成に関する記事を確認してください。 Azure VM から安全かつプライベートに Automation サービスに接続するには、Azure Private Link の使用について確認してください。

Windows マシンでは、Windows Update エージェントに必要なすべてのエンドポイントへのトラフィックも許可する必要があります。 必要なエンドポイントの更新された一覧は、「[HTTP またはプロキシに関連する問題](/windows/deployment/update/windows-update-troubleshooting#issues-related-to-httpproxy)」で確認できます。 ローカル環境に Windows Server Update Services (WSUS) がデプロイされている場合は、WSUS キーで指定されているサーバーへのトラフィックも許可する必要があります。

Red Hat Linux マシンで必要なエンドポイントについては、「RHUI コンテンツ配信サーバーの IP アドレス」をご覧ください。 他の Linux ディストリビューションについては、プロバイダーのドキュメントをご覧ください。

インターネットに接続するネットワーク上のマシンが IT セキュリティ ポリシーで許可されていない場合、Log Analytics ゲートウェイを設定し、マシンをゲートウェイ経由で Azure Automation および Azure Monitor に接続するように構成できます。

手順 6: アクセス許可

更新プログラムのデプロイを作成および管理するには、特定のアクセス許可が必要です。 これらのアクセス許可の詳細については、Update Management へのロールベースのアクセスに関するページをご覧ください。

手順 7: Windows Update エージェント

Azure Automation Update Management では、Windows の更新プログラムのダウンロードとインストールに Windows Update エージェントを使用しています。 マシン上の Windows Update Agent (WUA) が Windows Server Update Services (WSUS) または Microsoft Update に接続するために使用する特定のグループ ポリシー設定があります。 これらのグループ ポリシー設定は、ソフトウェア更新プログラムのコンプライアンスのためにスキャンを実行する場合、およびソフトウェア更新プログラムを自動的に更新する場合にも使用されます。 推奨事項を確認するには、「Update Management 用に Windows Update の設定を構成する」を参照してください。

手順 8: Linux リポジトリ

Azure Marketplace から入手できるオンデマンドの Red Hat Enterprise Linux (RHEL) イメージから作成した VM は、Azure にデプロイされた Red Hat Update Infrastructure (RHUI) にアクセスするよう登録されています。 その他の Linux ディストリビューションは、そのディストリビューションでサポートされている方法を使用して、ディストリビューションのオンライン ファイル リポジトリから更新する必要があります。

Red Hat Enterprise バージョン 6 の更新プログラムを分類するには、yum-security プラグインをインストールする必要があります。 Red Hat Enterprise Linux 7 では、プラグインは既に yum 自体の一部であるため、何もインストールする必要はありません。 詳しくは、次の Red Hat のナレッジ記事をご覧ください。

手順 9: デプロイ ターゲットを計画する

Update Management では、Azure または Azure 以外のマシンを表す動的グループを更新プログラムのターゲットに指定できます。これにより、特定のマシンが常に最適な時点で適切な更新プログラムを取得できるようになります。 動的グループは展開時に解決され、次の条件に基づいています。

• サブスクリプション
• リソース グループ
• 場所
• タグ

Azure 以外のマシンでは、動的グループは保存された検索 (コンピューター グループとも呼ばれます) を使用します。 マシンのグループを対象とする更新プログラムの展開は、特定の Azure VM ではなく、Update Management の [展開スケジュール] オプションで Automation アカウントに対してのみ表示されます。

あるいは、選択されている Azure VM についてのみ更新プログラムを管理できます。 特定のマシンを対象とする更新プログラムの展開は、Update Management の [展開スケジュール] オプションで、マシンと Automation アカウントの両方に対して表示されます。

次のステップ

次のいずれかの方法を使用して、Update Management を有効にし、管理するマシンを選択します。

• Azure Resource Manager テンプレートを使用して、お使いのサブスクリプション内の新しいまたは既存の Automation アカウントと Azure Monitor Log Analytics ワークスペースに Update Management をデプロイする。 管理する必要があるマシンのスコープは構成されません。これは、テンプレートを使用した後の個別の手順として実行されます。

• 1 台以上の Azure マシンと Azure 以外のマシン (Azure Arc 対応サーバーを含む) に対しては、お使いの Automation アカウントから。

• Enable-AutomationSolutionRunbook を使用した Azure VM のオンボードの自動化。

• 選択した Azure VM に対しては、Azure portal の [仮想マシン] ページから。 このシナリオは、Linux VM 用と Windows VM 用があります。

• 複数の Azure VM に対しては、Azure portal の [仮想マシン] ページからそれらを選択することで。