Update Management の展開を計画する

ステップ 1 - Automation アカウント

Update Management は Azure Automation の機能であるため、Automation アカウントが必要です。 サブスクリプションの既存の Automation アカウントを使用するか、または Update Management 専用で他の Automation 機能には使用できないアカウントを新規に作成することができます。

ステップ 2 - Azure Monitor ログ

Update Management は、Azure Monitor の Log Analytics ワークスペースを使用して、管理されたコンピューターから収集される評価および更新ステータス ログ データを格納します。 Log Analytics との統合により、Azure Monitor で詳細な分析やアラートも利用できるようになります。 サブスクリプションの既存のワークスペースを使用するか、または Update Management 専用の新しいワークスペースを作成することができます。

Azure Monitor ログと Log Analytics ワークスペースを初めて使用する場合は、[Log Analytics ワークスペースの設計](../../azure-monitor/logs/design-logs-deployment.md)に関する展開ガイドを参照してください。

ステップ 3 - サポートされているオペレーティング システム

Update Management は、Windows Server および Linux オペレーティング システムの特定のバージョンをサポートしています。 Update Management を有効にする前に、対象のマシンが[オペレーティング システムの要件](operating-system-requirements.md)を満たしていることを確認してください。

ステップ 4 - Log Analytics エージェント

Update Management をサポートするには、Windows および Linux 向けの [Log Analytics エージェント](../../azure-monitor/agents/log-analytics-agent.md)が必要です。 エージェントは、データ コレクションと Automation システム Hybrid Runbook Worker ロールの両方に使用され、マシン上での評価および更新プログラムの展開の管理に使用される Update Management Runbook をサポートします。

Azure VM で Log Analytics エージェントがまだインストールされていない場合、VM の Update Management を有効にすると、[Windows](../../virtual-machines/extensions/oms-windows.md) または [Linux](../../virtual-machines/extensions/oms-linux.md) 向けの Log Analytics VM 拡張機能を使用してエージェントが自動的にインストールされます。 エージェントは、Update Management が有効になっている Automation アカウントにリンクされている Log Analytics ワークスペースに報告するように構成されています。

Azure 以外の VM やサーバーの場合、Windows または Linux 向けの Log Analytics エージェントをインストールして、リンクされたワークスペースに報告させる必要があります。 最初にマシンを [Azure Arc 対応サーバー](../../azure-arc/servers/overview.md)に接続し、次に Azure Policy を使用して [Linux または Windows Azure Arc マシンに Log Analytics エージェントをデプロイする](../../governance/policy/samples/built-in-policies.md#monitoring)組み込みポリシー定義を割り当てることにより、Windows または Linux 用の Log Analytics エージェントをインストールすることをお勧めします。 また、[VM 分析情報](../../azure-monitor/vm/vminsights-overview.md)を使用してマシンの監視を行う場合は、代わりに [Azure Monitor for VMs を有効にする](../../governance/policy/samples/built-in-initiatives.md#monitoring)イニシアティブを使用します。

Operations Manager によって現在管理されているマシンを有効にする場合、新しいエージェントは必要ありません。 管理グループを Log Analytics ワークスペースに接続すると、ワークスペースの情報がエージェントの構成に追加されます。

1 つのマシンを複数の Log Analytics ワークスペースに Update Management 用に登録すること (マルチホームとも言われます) は、サポートされていません。

ステップ 5 - ネットワークの計画

Update Management をサポートするためにネットワークを準備するには、一部のインフラストラクチャ コンポーネントの構成が必要になることがあります。 たとえば、Update Management と Azure Monitor によって使用される通信が通過できるようにファイアウォール ポートを開きます。

Update Management に必要なポート、URL、およびその他のネットワークの詳細 (Hybrid Runbook Worker ロールなど) については、[Azure Automation のネットワーク構成](../automation-network-configuration.md)に関する記事を確認してください。 Azure VM から安全かつプライベートに Automation サービスに接続するには、[Azure Private Link の使用](../how-to/private-link-security.md)に関するページを確認してください。

Windows マシンでは、Windows Update エージェントに必要なすべてのエンドポイントへのトラフィックも許可する必要があります。 必要なエンドポイントの更新された一覧は、「[HTTP またはプロキシに関連する問題](/windows/deployment/update/windows-update-troubleshooting#issues-related-to-httpproxy)」で確認できます。 ローカル環境に [Windows Server Update Services](/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment) (WSUS) が展開されている場合は、[WSUS キー](/windows/deployment/update/waas-wu-settings#configuring-automatic-updates-by-editing-the-registry)で指定されているサーバーへのトラフィックも許可する必要があります。

Red Hat Linux マシンで必要なエンドポイントについては、「[RHUI コンテンツ配信サーバーの IP アドレス](../../virtual-machines/workloads/redhat/redhat-rhui.md#the-ips-for-the-rhui-content-delivery-servers)」をご覧ください。 他の Linux ディストリビューションについては、プロバイダーのドキュメントをご覧ください。

インターネットに接続するネットワーク上のマシンが IT セキュリティ ポリシーで許可されていない場合、[Log Analytics ゲートウェイ](../../azure-monitor/agents/gateway.md)を設定し、マシンをゲートウェイ経由で Azure Automation および Azure Monitor に接続するように構成できます。

ステップ 6 - アクセス許可

更新プログラムのデプロイを作成および管理するには、特定のアクセス許可が必要です。 これらのアクセス許可の詳細については、[Update Management へのロールベースのアクセス](../automation-role-based-access-control.md#update-management-permissions)に関するページをご覧ください。

ステップ 7 - Windows Update エージェント

Azure Automation Update Management では、Windows の更新プログラムのダウンロードとインストールに Windows Update エージェントを使用しています。 マシン上の Windows Update Agent (WUA) が Windows Server Update Services (WSUS) または Microsoft Update に接続するために使用する特定のグループ ポリシー設定があります。 これらのグループ ポリシー設定は、ソフトウェア更新プログラムのコンプライアンスのためにスキャンを実行する場合、およびソフトウェア更新プログラムを自動的に更新する場合にも使用されます。 推奨事項を確認するには、「[Update Management 用に Windows Update の設定を構成する](configure-wuagent.md)」を参照してください。

ステップ 8 - Linux リポジトリ

Azure Marketplace から入手できるオンデマンドの Red Hat Enterprise Linux (RHEL) イメージから作成した VM は、Azure にデプロイされた Red Hat Update Infrastructure (RHUI) にアクセスするよう登録されています。 その他の Linux ディストリビューションは、そのディストリビューションでサポートされている方法を使用して、ディストリビューションのオンライン ファイル リポジトリから更新する必要があります。

Red Hat Enterprise バージョン 6 の更新プログラムを分類するには、yum-security プラグインをインストールする必要があります。 Red Hat Enterprise Linux 7 では、プラグインは既に yum 自体の一部であるため、何もインストールする必要はありません。 詳細については、次の Red Hat のナレッジ記事を参照してください。

ステップ 9 - 展開ターゲットを計画する

Update Management では、Azure または Azure 以外のマシンを表す動的グループを更新プログラムのターゲットに指定できます。これにより、特定のマシンが常に最適な時点で適切な更新プログラムを取得できるようになります。 動的グループは展開時に解決され、次の条件に基づいています。

  • サブスクリプション
  • リソース グループ
  • 場所
  • Tags

Azure 以外のマシンでは、動的グループは保存された検索 ([コンピューター グループ](../../azure-monitor/logs/computer-groups.md)とも呼ばれます) を使用します。 マシンのグループを対象とする更新プログラムの展開は、特定の Azure VM ではなく、Update Management の **[展開スケジュール]** オプションで Automation アカウントに対してのみ表示されます。

あるいは、選択されている Azure VM についてのみ更新プログラムを管理できます。 特定のマシンを対象とする更新プログラムの展開は、Update Management の **[展開スケジュール]** オプションで、マシンと Automation アカウントの両方に対して表示されます。

次のステップ

次のいずれかの方法を使用して、Update Management を有効にし、管理するマシンを選択します。

  • Azure [Resource Manager テンプレート](enable-from-template.md)を使用して、お使いのサブスクリプション内の新しいまたは既存の Automation アカウントと Azure Monitor Log Analytics ワークスペースに Update Management をデプロイする。 管理する必要があるマシンのスコープは構成されません。これは、テンプレートを使用した後の個別の手順として実行されます。

  • 1 台以上の Azure マシンと Azure 以外のマシン (Azure Arc 対応サーバーを含む) に対しては、お使いの Automation アカウントから。

  • Enable-AutomationSolutionRunbook を使用した Azure VM のオンボードの自動化。

  • [選択した Azure VM](enable-from-vm.md) に対しては、Azure portal の **[仮想マシン]** ページから。 このシナリオは、Linux VM 用と Windows VM 用があります。

  • 複数の Azure VM に対しては、Azure portal の [仮想マシン] ページからそれらを選択することで。