Azure Update Manager について

重要

Microsoft Monitoring Agent (MMA) とも呼ばれる Azure Log Analytics エージェントは、2024 年 8 月に廃止されます。 Azure Automation Update Management ソリューションは、このエージェントに依存しており、Azure Monitoring Agent (AMA) では動作しないため、Azure Log Analytics エージェントが廃止されると問題が発生する可能性があります。 そのため、Azure Automation Update Management ソリューションを使用している場合は、ソフトウェア更新プログラムのニーズを満たすために、Azure Update Manager に移行することをお勧めします。 Azure Automation Update Management ソリューションのすべての機能は、提供終了日までに Azure Update Manager 上で利用できるようになります。 Automation Update Management から Azure Update Manager に、お使いのマシンおよびスケジュールを移行するには、ガイダンスにお従いください。

Update Manager は、お使いのすべてのマシンに対する更新の管理および制御に役立つ、統合サービスです。 Azure 内、オンプレミス、その他のクラウド プラットフォーム上のデプロイ全体で、Windows および Linux の更新プログラムの準拠状況を 1 つのダッシュボードから監視することができます。 また、Update Manager ではリアルタイムの更新や、定義されたメンテナンス期間内での更新をスケジュールすることもできます。

Azure 内の Update Manager では次のことができます。

• Azure 内、オンプレミス、その他のクラウド環境内にあるマシンのフリート全体で、更新プログラムの準拠状況を監視します。
• 重要な更新プログラムを即座にデプロイして、マシンのセキュリティ保護を支援します。
• Azure での仮想マシン (VM) ゲストの自動パッチ適用、ホット パッチの適用、顧客定義のメンテナンス スケジュールなど、柔軟なパッチ適用オプションを使います。

Microsoft では、総合的な更新管理戦略の一環として検討が必要な Azure VM 更新プログラムの管理に役立つ、その他の機能も提供しています。 使用可能なオプションについて詳しくは、Azure VM の更新オプションをご参照ください。

お使いのマシンに対して Update Manager を有効にする前に、以下のセクションの情報をしっかりと把握しておいてください。

主な利点

Update Manager には新たな設計が採用されており、Azure Automation Update Management に必要とされていた Azure Automation や Azure Monitor ログには依存していません。 Update Manager には多くの新機能が用意されており、Azure Automation で使用できる元のバージョンよりも強化された機能が提供されます。 それらの利点の一部を次に示します。

• ゼロタッチ オンボーディングを備えたネイティブ エクスペリエンスを提供します。
  • 利便性を考慮し、Azure コンピューティングおよび Azure Arc for Servers プラットフォーム上のネイティブ機能として構築されています。
  • Log Analytics とAzure Automation に依存しません。
  • Azure Policy のサポート。
  • すべての Azure コンピューティング リージョン内および Azure Arc リージョン内でのグローバルな可用性。
• Azure のロールと ID を使用します。
  • Azure Automation アカウントおよび Log Analytics ワークスペース レベルでのアクセス制御ではなく、リソース レベルごとのきめ細かなアクセス制御。
  • Update Manager を Azure Resource Manager ベースで操作できるようになりました。 これにより、Azure 内の Azure Resource Manager に基づいた、ロールベースのアクセス制御およびロールを使用することができます。
• 高い柔軟性を提供します。
  • 更新プログラムを直ちにインストールする、または更新を後日にスケジュールすることで、すぐにアクションを実行することができます。
  • 自動またはオンデマンドで更新プログラムを確認できます。
  • Azure 内での VM ゲストの自動パッチ適用、ホット パッチの適用、カスタム メンテナンス スケジュールなど、新しいパッチの適用方法を使用して、セキュリティによるマシンの保護を支援します。
  • "Patch Tuesday" と関連してパッチの適用サイクルを同期します。Patch Tuesday とは、毎月第 2 火曜日にスケジュールされている、Microsoft のセキュリティ修正プログラム リリースの非公式用語です。

次のダイアグラムは Update Manager で、Windows と Linux の両方について、すべての Azure マシンおよび Azure Arc 対応サーバーへの評価と更新プログラムの適用がどのように行われるかを示しています。

Update Manager において、Azure 仮想マシン管理や Azure 以外のマシン管理への対応は、更新プログラムの評価と適用の管理を目的としたオペレーティング システムとのやり取りに必要なすべての機能を提供する新しい Azure 拡張機能によって実現されています。 この拡張機能は、お使いのマシン上で何らかの Update Manager の操作 (更新プログラムの確認、1 回限りの更新プログラム インストール、定期評価など) を開始すると、自動的にインストールされます。 この拡張機能は、拡張フレームワークを使用した Azure VM または Azure Arc 対応サーバーへのデプロイをサポートします。 この Update Manager 拡張機能は、次を使用してインストールおよび管理されます。

• Azure VM 用の、Azure VM Windows エージェントまたは Azure VM Linux エージェント。
• Azure 以外の Linux および Windows マシンまたは物理サーバー用の Azure Arc 対応サーバー エージェント。

Update Manager は、拡張機能エージェントのインストールおよび構成を管理します。 Azure VM エージェントまたは Azure Arc 対応サーバー エージェントが機能している限り、手動での介入は必要ありません。 Update Manager 拡張機能は、オペレーティング システムとのやり取りを実行するために、マシン上のローカル環境で以下のコードを実行します。

• Windows Update クライアントまたは Linux パッケージ マネージャーによって指定された、システム更新プログラムの状態に関する評価情報を取得します。
• Windows Update クライアントまたは Linux パッケージ マネージャーを使用して、承認された更新プログラムのダウンロードおよびインストールを開始します。

評価情報と、更新プログラムのインストール結果は、すべてがこの拡張機能から Update Manager に報告され、Azure Resource Graph による分析が可能になります。 評価データの過去 7 日分まで、および更新プログラムのインストール結果の過去 30 日分までを表示できます。

Update Manager に割り当てられたマシンは、同期対象として構成されたソースに基づいて、そのマシンの更新適用状況をレポートします。 Windows Server Update Services または Microsoft Update (既定) にレポートするように、Windows マシン上の Windows Update エージェント (WUA) を構成することができます。 ローカルまたはパブリックの YUM または APT パッケージ リポジトリにレポートするように、Linux マシンを構成することができます。 WSUS へレポートするように Windows Update Agent が構成されている場合、WSUS が Microsoft Update と最後に同期したタイミングによって、Update Manager の結果と Microsoft Update の表示内容が異なる場合があります。 パブリック パッケージ リポジトリではなくローカル リポジトリに報告するように構成されている Linux マシンでも同様です。

Note

WSUS は、21 Vianet が運営する Azure China では使用できません。

お使いの Azure VM や Azure Arc 対応サーバーを、直接管理する、または Update Manager を使用して大規模に管理することができます。

前提条件

次の前提条件と合わせて、Update Manager のサポート マトリックスをご参照ください。

役割

リソース	役割
Azure VM	Azure 仮想マシン共同作成者または Azure 所有者
Azure Arc 対応サーバー	Azure Connected Machine のリソース管理者

アクセス許可

デプロイの更新を作成および管理するには、次のアクセス許可が必要です。 次の表は、Update Manager を使用する際に必要なアクセス許可を示します。

アクション	権限	範囲
Azure VM のプロパティを読み取る	Microsoft.Compute/virtualMachines/read
Azure VM で更新プログラムの評価を行う	Microsoft.Compute/virtualMachines/assessPatches/action
Azure VM の評価データを読み取る	Microsoft.Compute/virtualMachines/patchAssessmentResults/latest Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches
Azure VM に更新プログラムをインストールする	Microsoft.Compute/virtualMachines/installPatches/action
Azure VM のパッチ インストール データを読み取る	Microsoft.Compute/virtualMachines/patchInstallationResults Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches
Azure Arc 対応サーバーのプロパティを読み取る	Microsoft.HybridCompute/machines/read
Azure Arc 対応サーバー上の更新評価	Microsoft.HybridCompute/machines/assessPatches/action
Azure Arc 対応サーバーの評価データを読み取る	Microsoft.HybridCompute/machines/patchAssessmentResults Microsoft.HybridCompute/machines/patchAssessmentResults/softwarePatches
Azure Arc 対応サーバー上に更新プログラムをインストールする	Microsoft.HybridCompute/machines/installPatches/action
Azure Arc 対応サーバーのパッチ インストール データを読み取る	Microsoft.HybridCompute/machines/patchInstallationResults Microsoft.HybridCompute/machines/patchInstallationResults/softwarePatches
Microsoft.Maintenance リソース プロバイダーのサブスクリプションを登録する	Microsoft.Maintenance/register/action	サブスクリプション
メンテナンス構成の作成と変更	Microsoft.Maintenance/maintenanceConfigurations/write	サブスクリプション、リソース グループ
構成の割り当ての作成と変更	Microsoft.Maintenance/configurationAssignments/write	サブスクリプション
メンテナンス更新リソースの読み取りアクセス許可	Microsoft.Maintenance/updates/read	Machine
メンテナンス適用更新リソースの読み取りアクセス許可	Microsoft.Maintenance/applyUpdates/read	Machine

VM イメージ

詳細については、サポートされているオペレーティング システムと VM イメージの一覧を参照してください。

Azure Update Manager では、Azure Migrate、Azure Backup、Azure Site Recovery によって作成された VM など、特殊なイメージがサポートされます。

VM 拡張機能

Azure VM 拡張機能および Azure Arc 対応 VM 拡張機能を使用することができます。

Azure VM 拡張機能

オペレーティング システム	拡張機能
Windows	Microsoft.CPlat.Core.WindowsPatchExtension
Linux	Microsoft.CPlat.Core.LinuxPatchExtension

Azure Arc 対応 VM 拡張機能

オペレーティング システム	拡張機能
Windows	Microsoft.CPlat.Core.WindowsPatchExtension (定期評価) Microsoft.SoftwareUpdateManagement.WindowsOsUpdateExtension (オンデマンド操作とファイルの部分置換のスケジュール)
Linux	Microsoft.SoftwareUpdateManagement.LinuxOsUpdateExtension (オンデマンド操作およびパッチの適用スケジュール) Microsoft.CPlat.Core.LinuxPatchExtension (定期評価)

VM 用の使用可能な拡張機能を Azure portal 内で表示するには:

1. Azure portal に移動し、VM を選択します。
2. VM ホーム ページ上の [設定] の下にある [拡張機能とアプリケーション] を選択します。
3. [拡張機能] タブ上で、使用可能な拡張機能を表示することができます。

ネットワークの計画

お使いのネットワークで Update Manager のサポートを準備するには、一部のインフラストラクチャ コンポーネントを構成しなければならない場合があります。

Windows マシンの場合は、Windows Update エージェントで必要とされるすべてのエンドポイントへのトラフィックを許可する必要があります。 必要なエンドポイントの更新された一覧は、「[HTTP またはプロキシに関連する問題](/windows/deployment/update/windows-update-troubleshooting#issues-related-to-httpproxy)」で確認できます。 ローカルの WSUS デプロイがある場合は、お使いの WSUS キー内で指定されているサーバーへのトラフィックも許可する必要があります。

Red Hat Linux マシンで必要なエンドポイントについては、「RHUI コンテンツ配信サーバーの IP アドレス」をご覧ください。 他の Linux ディストリビューションについては、プロバイダーのドキュメントをご覧ください。

次のステップ

• 単一のマシンの更新プログラムを表示する
• 単一マシン用の更新プログラムを今すぐ (オンデマンドで) デプロイする
• 定期的な更新プログラムをスケジュール設定する
• ポータルを使用して更新設定を管理する
• Update Manager を使用して複数マシンを管理する