Update Management の展開を計画する
ステップ 1 - Automation アカウント
Update Management は Azure Automation の機能であるため、Automation アカウントが必要です。 サブスクリプションの既存の Automation アカウントを使用するか、または Update Management 専用で他の Automation 機能には使用できないアカウントを新規に作成することができます。
ステップ 2 - Azure Monitor ログ
Update Management は、Azure Monitor の Log Analytics ワークスペースを使用して、管理されたコンピューターから収集される評価および更新ステータス ログ データを格納します。 Log Analytics との統合により、Azure Monitor で詳細な分析やアラートも利用できるようになります。 サブスクリプションの既存のワークスペースを使用するか、または Update Management 専用の新しいワークスペースを作成することができます。
Azure Monitor ログと Log Analytics ワークスペースを初めて使用する場合は、
ステップ 3 - サポートされているオペレーティング システム
Update Management は、Windows Server および Linux オペレーティング システムの特定のバージョンをサポートしています。 Update Management を有効にする前に、対象のマシンが
ステップ 4 - Log Analytics エージェント
Update Management をサポートするには、Windows および Linux 向けの
Azure VM で Log Analytics エージェントがまだインストールされていない場合、VM の Update Management を有効にすると、
Azure 以外の VM やサーバーの場合、Windows または Linux 向けの Log Analytics エージェントをインストールして、リンクされたワークスペースに報告させる必要があります。 最初にマシンを
Operations Manager によって現在管理されているマシンを有効にする場合、新しいエージェントは必要ありません。 管理グループを Log Analytics ワークスペースに接続すると、ワークスペースの情報がエージェントの構成に追加されます。
1 つのマシンを複数の Log Analytics ワークスペースに Update Management 用に登録すること (マルチホームとも言われます) は、サポートされていません。
ステップ 5 - ネットワークの計画
Update Management をサポートするためにネットワークを準備するには、一部のインフラストラクチャ コンポーネントの構成が必要になることがあります。 たとえば、Update Management と Azure Monitor によって使用される通信が通過できるようにファイアウォール ポートを開きます。
Update Management に必要なポート、URL、およびその他のネットワークの詳細 (Hybrid Runbook Worker ロールなど) については、
Windows マシンでは、Windows Update エージェントに必要なすべてのエンドポイントへのトラフィックも許可する必要があります。 必要なエンドポイントの更新された一覧は、「
Red Hat Linux マシンで必要なエンドポイントについては、「
インターネットに接続するネットワーク上のマシンが IT セキュリティ ポリシーで許可されていない場合、
ステップ 6 - アクセス許可
更新プログラムのデプロイを作成および管理するには、特定のアクセス許可が必要です。 これらのアクセス許可の詳細については、
ステップ 7 - Windows Update エージェント
Azure Automation Update Management では、Windows の更新プログラムのダウンロードとインストールに Windows Update エージェントを使用しています。 マシン上の Windows Update Agent (WUA) が Windows Server Update Services (WSUS) または Microsoft Update に接続するために使用する特定のグループ ポリシー設定があります。 これらのグループ ポリシー設定は、ソフトウェア更新プログラムのコンプライアンスのためにスキャンを実行する場合、およびソフトウェア更新プログラムを自動的に更新する場合にも使用されます。 推奨事項を確認するには、「
ステップ 8 - Linux リポジトリ
Azure Marketplace から入手できるオンデマンドの Red Hat Enterprise Linux (RHEL) イメージから作成した VM は、Azure にデプロイされた Red Hat Update Infrastructure (RHUI) にアクセスするよう登録されています。 その他の Linux ディストリビューションは、そのディストリビューションでサポートされている方法を使用して、ディストリビューションのオンライン ファイル リポジトリから更新する必要があります。
Red Hat Enterprise バージョン 6 の更新プログラムを分類するには、yum-security プラグインをインストールする必要があります。 Red Hat Enterprise Linux 7 では、プラグインは既に yum 自体の一部であるため、何もインストールする必要はありません。 詳細については、次の Red Hat のナレッジ記事を参照してください。
ステップ 9 - 展開ターゲットを計画する
Update Management では、Azure または Azure 以外のマシンを表す動的グループを更新プログラムのターゲットに指定できます。これにより、特定のマシンが常に最適な時点で適切な更新プログラムを取得できるようになります。 動的グループは展開時に解決され、次の条件に基づいています。
- サブスクリプション
- リソース グループ
- 場所
- Tags
Azure 以外のマシンでは、動的グループは保存された検索 (
あるいは、選択されている Azure VM についてのみ更新プログラムを管理できます。 特定のマシンを対象とする更新プログラムの展開は、Update Management の
次のステップ
次のいずれかの方法を使用して、Update Management を有効にし、管理するマシンを選択します。
Azure
[ Resource Manager テンプレート](enable-from-template.md) を使用して、お使いのサブスクリプション内の新しいまたは既存の Automation アカウントと Azure Monitor Log Analytics ワークスペースに Update Management をデプロイする。 管理する必要があるマシンのスコープは構成されません。これは、テンプレートを使用した後の個別の手順として実行されます。1 台以上の Azure マシンと Azure 以外のマシン (Azure Arc 対応サーバーを含む) に対しては、お使いの Automation アカウントから。
Enable-AutomationSolutionRunbook を使用した Azure VM のオンボードの自動化。
[ 選択した Azure VM](enable-from-vm.md) に対しては、Azure portal の** [仮想マシン]** ページから。 このシナリオは、Linux VM 用と Windows VM 用があります。複数の Azure VM に対しては、Azure portal の [仮想マシン] ページからそれらを選択することで。