Windows Server 2012 用の拡張セキュリティ更新プログラムの配信を準備する

Windows Server 2012 と Windows Server 2012 R2 の 2023 年 10 月 10 日でのサポート終了により、Azure Arc 対応サーバーでは、既存の Windows Server 2012/2012 R2 マシンを拡張セキュリティ更新プログラム (ESU) に登録できます。 Azure Arc では、コストの柔軟性と配信エクスペリエンスの向上の両方が実現されるため、Azure に移行するためのより優れた方法が提供されます。

この記事の目的は、これらの利点と、Arc 対応サーバーを使用して ESU の配信を有効にするために準備する方法を理解できるように支援することです。

Note

Azure VMware Solution (AVS) マシンは、無料の ESU の対象なので、Azure Arc で有効にされる ESU に登録する必要はありません。

主な利点

ESU を Windows Server 2012/2012 R2 マシンに配信すると、次の主な利点が得られます。

• 従量課金制: 年の半ばに移行する機能と共に、月単位のサブスクリプション サービスにサインアップする柔軟性。

• Azure での課金: 既存の Microsoft Azure の消費コミットメント (MACC) から差し引き、Microsoft Cost Management and Billing を使用してコストを分析できます。

• 組み込みのインベントリ: 対象の Arc 対応サーバーでの Windows Server 2012/2012 R2 ESU の対象範囲と登録の状態が Azure portal で識別され、ギャップや状態の変更が強調表示されます。

• キーレス配信: Azure Arc 対応 Windows Server 2012/2012 R2 マシンでの ESU の登録には、キーの取得やアクティブ化が必要ありません。

Azure サービスへのアクセス

Azure Arc によって有効になった WS2012 ESU に登録されている Azure Arc 対応サーバーの場合は、これらの Azure サービスへの無料アクセスが 2023 年 10 月 10 日から提供されています。

• Azure Update Manager - Azure とハイブリッド マシンだけでなく、すべての Windows Server 2012/2012 R2 マシンに関する ESU 更新プログラムのコンプライアンスも含む更新プログラムのコンプライアンスの統合された管理とガバナンス。 ESU に登録しても、Azure Update Manager には影響しません。 Azure Arc で ESU に登録すると、サーバーは ESU のパッチの対象になります。 これらのパッチは、Azure Update Manager または他のパッチ適用ソリューションを通じて提供できます。 その場合でも、Microsoft Update または Windows Server Update Services から更新プログラムを構成する必要があります。
• Azure Automation 変更履歴とインベントリ - Azure、オンプレミス、その他のクラウド環境でホストされている仮想マシンの変更を追跡します。
• Azure Policy のゲスト構成 - 仮想マシン内の構成設定を監査します。 ゲスト構成では、Azure VM がネイティブで、Azure 以外の物理サーバーと仮想サーバーは Azure Arc 対応サーバー経由でサポートされます。

Azure Arc 対応サーバーを使用したその他の Azure サービスも、次のようなオファリングと共に使用できます。

• Microsoft Defender for Cloud - クラウド セキュリティ態勢管理 (CSPM) の重要な要素の一部として、Microsoft Defender for Servers によるサーバー保護を提供します。これは、さまざまなサイバー脅威や脆弱性からユーザーを保護するのに役立ちます。

• Microsoft Sentinel - セキュリティ関連のイベントを収集し、それらを他のデータ ソースに関連付けます。

  Note

  ESU のアクティブ化は、2023 年の第 3 四半期に予定されています。 Azure Update Manager や Azure Policy などの Azure サービスを使用した、ESU の対象となる Windows Server 2012/2012 R2 マシンの管理のサポートも、第 3 四半期に予定されています。

ESU の配信を準備する

Azure Connected Machine エージェント (バージョン 1.34 以降) をインストールして Azure への接続を確立し、Azure Arc 対応サーバーへのマシンのオンボードを計画および準備してください。 Windows Server 2012 の拡張セキュリティ更新プログラムでは、Windows Server 2012 および R2 の Standard エディションと Datacenter エディションがサポートされています。 Windows Server 2012 Storage はサポートされていません。

関連する Azure サービスにより、ESU を管理するためのサポートされている機能が提供される場合に備えて、マシンを Azure Arc にデプロイするをお勧めします。 これらのマシンを Azure Arc 対応サーバーにオンボードすると、Azure portal または Azure Policy を使用して、その ESU の対象範囲を確認したり、登録したりできるようになります。 このサービスの課金は、2023 年 10 月から (つまり、Windows Server 2012 のサポートが終了した後に) 開始されます。

Note

ESU を購入するには、Enterprise Agreement (EA)、Enterprise Agreement Subscription (EAS)、Enrollment for Education Solutions (EES)、Server and Cloud Enrollment (SCE) などのボリューム ライセンス プログラムを通して、または Microsoft Open Value プログラムを通して、ソフトウェア アシュアランスを入手する必要があります。 あるいは、Windows Server 2012/2012 R2 マシンが SPLA またはサーバー サブスクリプションによってライセンスされている場合、ESU を購入するためにソフトウェア アシュアランスは必要ありません。

また、「KB5031043: 延長サポートが 2023 年 10 月 10 日に終了した後もセキュリティ更新プログラムを受け取り続ける手順」で説明されているように、Azure Arc 対応サーバーのライセンス パッケージとサービス スタック更新プログラム (SSU) の両方をダウンロードする必要もあります。

デプロイ オプション

Azure Arc 対応サーバーには、構成マネージャーを使用したカスタム タスク シーケンスの実行や、グループ ポリシーを使用したスケジュールされたタスクのデプロイを含め、大規模なオンボード オプションがいくつかあります。 また、Azure Arc 経由で VMware vCenter マネージド VM と SCVMM マネージド VM 用の大規模な ESU の配信オプションも用意されています。

Note

仮想デスクトップ インフラストラクチャ (VDI) で実行されている仮想マシンへの Azure Arc を使用した ESU の配信は推奨されていません。 VDI システムでは、マルチ ライセンス認証キー (MAK) を使用して ESU を適用する必要があります。 詳細については、「Microsoft 365 管理センター からマルチ ライセンス認証キーにアクセスする」を参照してください。

ネットワーク

接続オプションには、パブリック エンドポイント、プロキシ サーバー、プライベート リンク、または Azure Express Route が含まれます。 Azure 以外の環境を Azure Arc へのデプロイのために準備するには、ネットワークの前提条件を確認してください。

次の製品のいずれかまたは両方で拡張セキュリティ更新プログラムにのみ Azure Arc 対応サーバーを使用している場合:

• Windows Server 2012
• SQL Server 2012

エンドポイントの次のサブセットを有効にすることができます:

Azure Cloud

エージェントのリソース	説明	必要な場合	プライベート リンクで使用されるエンドポイント
aka.ms	インストール中にダウンロード スクリプトを解決するために使用されます	インストール時のみ	パブリック
download.microsoft.com	Windows のインストール パッケージをダウンロードするために使用されます	インストール時のみ	パブリック
login.windows.net	Microsoft Entra ID	Always (常に)	パブリック
login.microsoftonline.com	Microsoft Entra ID	Always (常に)	パブリック
management.azure.com	Azure Resource Manager - Arc サーバー リソースを作成または削除します	サーバーを接続または切断する場合のみ	リソース管理のプライベート リンクも構成されてない限り、パブリック
*.his.arc.azure.com	メタデータとハイブリッド ID サービス	Always (常に)	プライベート
*.guestconfiguration.azure.com	拡張機能管理とゲスト構成サービス	Always (常に)	プライベート
www.microsoft.com/pkiops/certs	ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します)	自動更新の場合は常時、または証明書を手動でダウンロードする場合は一時的。	公開
*.<region>.arcdataservices.com	Azure Arc データ処理サービスとサービス テレメトリ。	SQL Server ESU	公開

Azure Government

エージェントのリソース	説明	必要な場合	プライベート リンクで使用されるエンドポイント
aka.ms	インストール中にダウンロード スクリプトを解決するために使用されます	インストール時のみ	パブリック
download.microsoft.com	Windows のインストール パッケージをダウンロードするために使用されます	インストール時のみ	パブリック
login.microsoftonline.us	Microsoft Entra ID	Always (常に)	パブリック
management.usgovcloudapi.net	Azure Resource Manager - Arc サーバー リソースを作成または削除します	サーバーを接続または切断する場合のみ	リソース管理のプライベート リンクも構成されてない限り、パブリック
*.his.arc.azure.us	メタデータとハイブリッド ID サービス	Always (常に)	プライベート
*.guestconfiguration.azure.us	拡張機能管理とゲスト構成サービス	Always (常に)	プライベート
www.microsoft.com/pkiops/certs	ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します)	自動更新の場合は常時、または証明書を手動でダウンロードする場合は一時的。	公開

21Vianet によって運営される Microsoft Azure

Note

現時点では、Windows Server 2012 の拡張セキュリティ更新プログラムに使用される Azure Arc 対応サーバーは、21Vianet リージョンが運営する Microsoft Azure では使用できません。

ヒント

Arc 対応サーバーのすべてのオファリング (拡張機能やリモート接続など) を利用するには、シナリオに適用される追加の URL を確実に許可するようにしてください。 詳細については、「Connected Machine エージェントのネットワーク要件」を参照してください。

次のステップ

• Windows Server と SQL Server のサポート終了の計画および拡張セキュリティ更新プログラムの取得に関する詳細を確認してください。

• ハイブリッドおよびマルチクラウド向け Azure Arc ランディング ゾーン アクセラレータによるベスト プラクティスと設計パターンについて確認してください。

• Arc 対応サーバーと、それが Azure Connected Machine エージェントを使用して Azure でどのように動作するかについての詳細を確認してください。

• Azure Arc 対応サーバーへのマシンのオンボードのためのオプションを調べてください。