Azure Update Manager 用に Windows Update の設定を構成する

  • [アーティクル]

Azure Update Manager では、Windows の更新プログラムのダウンロードとインストールに Windows Update クライアントを使用しています。 Windows Server Update Services (WSUS) または Windows Update への接続時に、Windows Update クライアントによって使用される固有の設定があります。 これらの設定の多くは、以下によって管理できます。

  • ローカル グループ ポリシー エディター
  • グループ ポリシー
  • PowerShell
  • レジストリの直接編集

Update Manager では Windows Update クライアントを制御するために指定される多くの設定が尊重されます。 Windows 以外の更新プログラムを有効にする設定を使用している場合、Update Manager では、それらの更新プログラムも管理されます。 更新プログラムの展開が行われる前の更新プログラムのダウンロードを有効にすると、更新プログラムの展開がより速く効率的になり、メンテナンス期間を超過する可能性が低くなります。

Azure サブスクリプションで WSUS を設定し、Windows 仮想マシンをセキュリティで保護して最新の状態にする方法に関するその他の推奨事項については、WSUS を使用して Azure で Windows 仮想マシンを更新するためのデプロイを計画する方法に関する記事を確認してください。

更新プログラムの事前ダウンロード

更新プログラムを自動的にインストールすることなく自動的にダウンロードするように構成する場合、グループ ポリシーを使用して [自動更新を構成する] 設定を 3 に設定できます。 この設定により、必要な更新プログラムがバックグラウンドでダウンロードされ、更新プログラムをインストールする準備ができたことが通知されるようになります。 このように、Update Manager はスケジュールを制御し続けますが、メンテナンス期間外でもアップデートをダウンロードできます。 この動作により、Update Manager での Maintenance window exceeded エラーが防止されます。

この設定は PowerShell で有効にできます。

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()

再起動の設定を構成する

レジストリを編集して自動更新を構成する」と「再起動の管理に使われるレジストリ キー」に示されているレジストリ キーを使用すると、[更新プログラムのデプロイ] の設定で [再起動しない] を指定している場合でも、コンピューターの再起動が行われる可能性があります。 これらのレジストリ キーは、ご利用の環境に最適になるように構成してください。

他の Microsoft 製品の更新プログラムを有効にする

既定では、Windows Update クライアントは、Windows オペレーティング システムのみに更新プログラムを提供するように構成されています。 Windows Update で、[Windows Update をオンラインで確認する] を選択します。 他の Microsoft 製品のアップデートを確認して、[Windows の更新時に他の Microsoft 製品の更新プログラムも入手します] を有効にすると、Microsoft SQL Server やその他の Microsoft ソフトウェアのセキュリティ パッチを含む他の Microsoft 製品の更新プログラムも提供されます。

設定の変更を大規模に実行するには、次のいずれかのオプションを使用します。

  • Update Manager からスケジュールに従ってパッチを適用するように構成されているサーバー (VM PatchSettings が AutomaticByPlatform = Azure-Orchestrated に設定されている)、および Server 2016 より前のオペレーティング システムで実行されているすべての Windows サーバーの場合、変更するサーバーで次の PowerShell スクリプトを実行します。

    $ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceManager.Services
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")

  • Update Manager のスケジュールされたパッチ適用 (VM PatchSettings が AutomaticByOS = Azure-Orchestrated に設定されている) を使用していない Server 2016 以降を実行しているサーバーの場合は、グループ ポリシーを使用して、最新のグループ ポリシー管理用テンプレート ファイルをダウンロードして使用すると、これを制御できます。

Microsoft 更新プログラム用に Windows サーバーを構成する

Windowsサーバー上のWindows Update クライアントは、次のMicrosoft でホストされているパッチリポジトリからパッチを取得できます。

  • Windows 更新プログラム - オペレーティング システムのパッチをホストします。
  • Microsoft 更新プログラム - オペレーティング システムとその他の Microsoft パッチをホストします。 たとえば、MS Office、SQL Server などです。

Note

パッチを適用する場合、インストール時に更新クライアントを選択することも、後でグループ ポリシーを使用するかレジストリを直接編集することによって更新クライアントを選択することもできます。 オペレーティング システム以外の Microsoft パッチを取得したり、OS パッチのみをインストールしたりするには、パッチ リポジトリを変更することをお勧めします。これはオペレーティング システムの設定であり、Azure Update Manager 内で構成できるオプションではないためです。

レジストリを編集する

Azure Update Manager を使用してマシンでスケジュールされた修正プログラムの適用が構成されている場合、クライアントの自動更新は無効になります。 レジストリを編集して設定を構成するには、「Windows でのファースト パーティの更新プログラム」を参照してください。

Azure Update Manager でのグループ ポリシーを使用した修正プログラムの適用

マシンに Azure Update Manager を使用して修正プログラムが適用され、クライアントで自動更新が有効になっている場合は、グループ ポリシーを使用して完全な制御を行うことができます。 グループ ポリシーを使用してパッチを適用するには、次の手順に従います。

  1. [コンピュータの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Update]>[管理エンド ユーザー エクスペリエンス] に移動します。

  2. [自動更新を構成する] を選択します。

  3. [他の Microsoft 製品の更新プログラムをインストールする] オプションを選択または選択解除します。

    Screenshot of selection or deselection of install updates for other Microsoft products.

WSUS 構成設定を行う

Update Manager では WSUS 設定がサポートされています。 「イントラネットの Microsoft 更新サービスの場所を指定する」の手順を使用して、更新プログラムをスキャンおよびダウンロードするためのソースを指定できます。 既定では、Windows Update クライアントは Windows Update から更新プログラムをダウンロードするように構成されています。 WSUS サーバーをお使いのマシン用のソースとして指定する場合、更新プログラムが WSUS で承認されていないと、更新プログラムのデプロイは失敗します。

その内部の更新サービスにマシンを制限するには、インターネット上の Windows Update に接続しないように設定します。

次のステップ

更新プログラムのデプロイ」の手順に従って、更新プログラムのデプロイを構成します。