Azure Update Manager を使用して複数のマシンを管理する
適用対象: ✔️ Windows VMs ✔️ Linux VM ✔️ オンプレミス環境 ✔️ Azure Arc 対応サーバー。
重要
- スケジュールされたパッチ適用のシームレスなエクスペリエンスを実現するために、すべての Azure VM でパッチ オーケストレーションをカスタマー マネージド スケジュールに更新することをお勧めします。 パッチ オーケストレーションを更新できない場合、スケジュールによって VM にパッチが適用されないため、ビジネス継続性が中断される可能性があります。詳細情報。
この記事では、コンピューターのシステム更新プログラムを管理するために Azure Update Manager が提供するさまざまな機能について説明します。 Update Manager を使用すると、次のことが可能です。
- 利用可能なオペレーティング システムの更新プログラムの状態をすばやく評価します。
- 更新プログラムをデプロイする。
- 定期更新プログラムのデプロイ スケジュール設定。
- 管理されているマシンの数に関する分析情報を取得します。
- 管理方法とその他の関連する詳細に関する情報取得。
選択した Azure VM または Azure Arc 対応サーバーからこれらのアクションを実行する代わりに、Azure サブスクリプション内のすべてのマシンを管理できます。
Update Manager の状態を表示する
Azure portal にサインインします。
Azure Arc 対応サーバーを含むすべてのマシンで更新プログラムの評価を表示するには、Azure Update Manager に移動します。
[概要] ページの概要タイルには、次の状態が表示されます。
フィルター: フィルターを使用して、リソースのサブセットに焦点を当てます。 タイルの上にあるセレクターは、付与されている Azure ロールベースのアクセス権に基づいて、サブスクリプション、リソース グループ、リソースの種類 (Azure VM と Azure Arc 対応サーバー) の場所、OS の種類 (Windows または Linux) を返します。 フィルターを組み合わせて、特定のリソースにスコープを設定できます。
マシンの更新状態: 適用可能な更新プログラムまたは必要な更新プログラムが適用された評価済みマシンの更新状態情報が表示されます。 分類の種類に基づいて結果をフィルター処理できます。 既定では、すべての分類が選択されます。 分類の選択に従って、タイルが更新されます。
グラフは、そのマシンに Update Manager を使用したかどうかに関係なく、サブスクリプション内のすべてのマシンのスナップショットを提供します。 この評価データは Azure Resource Graph から取得され、データは 7 日間保存されます。
利用可能な評価データから、マシンは次のカテゴリに分類されます。
- 利用可能な更新プログラムはありません: これらのマシンに対して保留中の更新プログラムはなく、これらのマシンは最新の状態です。
- 更新プログラムが存在します: これらのマシンの更新プログラムは保留中であり、これらのマシンは最新ではありません。
- 再起動が必要です: 更新プログラムを有効にするための再起動を保留しています。
- 更新データはありません: これらのマシンでは評価データを使用できません。
評価データがない理由は、次の理由で説明できます。
- 過去 7 日間、評価が行われていない。
- マシン上に、サポートされていない OS がある。
- マシンがサポートされていないリージョンにあり、評価を実行できません。
Azure 仮想マシンのパッチ オーケストレーション構成: サブスクリプションでインベントリされたすべての Azure マシンは、各更新オーケストレーション メソッドによって要約されます。 値は次のとおりです。
- カスタマー マネージド スケジュール - このモードでは、既存の VM に対してスケジュール パッチを適用できます。
- Azure マネージド - 安全なデプロイ - このモードでは、Azure 仮想マシンの VM ゲストの自動パッチ適用が有効になります。 その後の修正プログラムのインストールは、Azure によって調整されます。
- イメージの既定値 - Linux マシンの場合、既定の修正プログラムの構成が使用されます。
- OS 調整済み - OS によってマシンが自動的に更新されます。
- 手動更新 - マシン内でパッチを手動で適用することで、マシンへのパッチの適用を制御します。 このモードでは、Windows OS の自動更新は無効になります。
各オーケストレーション方法の詳細については、Azure VM の VM ゲストの自動パッチ適用に関するページを参照してください。
各オーケストレーション方法の詳細については、Azure VM の VM ゲストの自動パッチ適用に関するページをご覧ください。
- 更新プログラムのインストール状態: 既定では、タイルには過去 30 日間の状態が表示されます。 [時間] ピッカーを使用すると、別の範囲を選択できます。 値は次のとおりです。
- 失敗: デプロイ内の 1 つ以上の更新プログラムが失敗した場合。
- 完了: 選択した時間範囲でデプロイが正常に終了した場合。
- 警告ありで完了: デプロイが正常に完了したが警告があった場合。
- 処理中: デプロイが現在実行中の場合。
- [マシンの更新状態] または [Azure 仮想マシンのパッチ オーケストレーション構成] を選択して、[マシン] ページに移動します。
- [更新プログラムのインストール ステータス] を選択して、[履歴] ページに移動します。
- [Pending Windows updates] (保留中の Windows 更新プログラム): タイルには、サブスクリプション内の Windows マシンの保留中の更新プログラムの状態が表示されます。
- [Pending Linux updates] (保留中の Linux 更新プログラム): タイルには、サブスクリプション内の Linux マシンの保留中の更新プログラムの状態が表示されます。
マシンの状態の概要
Azure で Update Manager Update Manager に関連する Azure サブスクリプション全体で、Azure VM と Arc 対応サーバーに関する情報を参照できます。 このセクションでは、情報をフィルター処理して、コンピューター リソースの更新状態を把握し、複数のマシンについて、更新プログラムの評価を開始、デプロイを更新し、更新設定を管理する方法を示します。
[Azure Update Manager] ページで、左側のメニューから [マシン] を選択します。
[Update Manager] ページで、左側のメニューから [マシン] を選択 します。
この表には、指定したサブスクリプション内のすべてのマシンが一覧表示され、各マシンについて、最新の評価に基づいて表示される次の詳細を理解するのに役立ちます。
- カスタマー マネージド スケジュール - このモードでは、既存の VM に対してスケジュール パッチを適用できます。 新しいパッチ オーケストレーション オプションは、ユーザーの同意を得た後、ユーザーに代わり、Patch mode = AutomaticByPlatform と、BypassPlatformSafetyChecksOnUserSchedule = TRUE の 2 つの VM プロパティを有効にします。
- Azure マネージド - 安全なデプロイ - 更新プログラムが適用されている仮想マシンのグループとして、Azure プラットフォームによって更新プログラムが調整されます。 VM は、VM ゲストの自動パッチ適用に設定されます。(つまり)、パッチ モードは AutomaticByPlatform です。
- OS 別の自動 - マシンは OS によって自動的に更新されます。
- イメージの既定値 - Linux マシンの場合、既定の修正プログラムの構成が使用されます。
- 手動 - マシン内でパッチを手動で適用することで、マシンへのパッチの適用を制御します。 このモードでは、Windows OS の自動更新は無効になります。
マシンのパッチ モードのパッチ オーケストレーション列には、次の値があります。
- カスタマー マネージド スケジュール (プレビュー): 既存の VM に対するスケジュール パッチの適用を有効にします。 新しいパッチ オーケストレーション オプションを使用すると、同意を受け取った後、代わりに次の VM プロパティ
Patch mode = AutomaticByPlatform
とBypassPlatformSafetyChecksOnUserSchedule = TRUE
を有効にします。 - Azure マネージド - 安全なデプロイ: 更新プログラムが適用されている仮想マシンのグループとして、Azure プラットフォームによって更新プログラムが調整されます。 VM は VM ゲストの自動パッチ適用に設定されています。 たとえば、パッチ モードは
AutomaticByPlatform
です。 - OS 別の自動: マシンは OS によって自動的に更新されます。
- イメージの既定値: Linux マシンの場合、既定の修正プログラムの構成が使用されます。
- 手動: マシン内でパッチを手動で適用することで、マシンへのパッチの適用を制御します。 このモードでは、Windows OS の自動更新は無効になります。
マシンの状態: Azure VM の場合、その電源状態が表示されます。 Azure Arc 対応サーバーの場合は、接続されているかどうかを示します。
フィルターを使用して、リソースのサブセットに焦点を当てます。 タイルの上にあるセレクターは、サブスクリプション、リソース グループ、リソースの種類 (つまり、Azure VM と Azure Arc 対応サーバー)、リージョンを返します。 これらは、付与された Azure ロールベースのアクセス許可に基づいています。 フィルターを組み合わせて、特定のリソースにスコープを設定できます。
ページの上部にある概要タイルは、評価されたマシンの数とその更新状態をまとめたものです。
マシンの更新設定を管理するには、「更新プログラムの構成設定の管理」を参照してください。
更新プログラムの確認
初めてのコンプライアンス評価スキャンを行っていないマシンの場合は、一覧から 1 つ以上を選択します。 [更新プログラムをチェックする] を選択します。 構成を実行すると、ステータス メッセージが表示されます。
それ以外の場合は、コンプライアンス スキャンが開始され、結果が Azure Resource Graph に転送、格納されます。 このプロセスには数分かかります。 評価が終了すると、確認メッセージがページに表示されます。
一覧からマシンを選択して、そのマシンをスコープする Update Manager を開きます。 ここでは、その詳細な評価状態、更新履歴、パッチ オーケストレーション オプションの構成、更新プログラムのデプロイを開始できます。
更新プログラムをデプロイする
利用可能な更新プログラムを報告している評価済みマシンの場合は、一覧から 1 つ以上のマシンを選択し、すぐに行う更新プログラムのデプロイを開始します。 マシンを選択し、[1 回限りの更新] に移動します。
通知はアクティビティがいつ開始されるかを確認し、別のアクティビティがいつ終了するかを通知します。 正常に完了すると、インストール操作の結果を表示できます。 [マシン] ページからマシンを選択すると、[更新履歴] タブを使用できます。 [履歴] ページを選択することもできます。 更新プログラムのデプロイを開始すると、このページに自動的にリダイレクトされます。 操作の状態は、Azure アクティビティ ログでいつでも確認できます。
定期的な更新プログラムのデプロイを設定する
マシンの定期的な更新プログラムのデプロイを作成できます。 マシンを選択し、[スケジュールされた更新プログラム] を選択します。 これにより、[新しいメンテナンス構成の作成] が開きます。
デプロイ履歴を更新する
Update Manager を使用すると、Update Manager に関連する Azure サブスクリプション全体で、Azure VM と Azure Arc 対応サーバーに関する情報を参照できます。 情報をフィルター処理して、複数のマシンに対する更新プログラムの評価とデプロイ履歴を把握できます。 [Update Manager] ページで、左側のメニューから [履歴] を選択します。
マシン別のデプロイ履歴を更新する
更新プログラムのデプロイ履歴には、Azure VM と Azure Arc 対応サーバーに対して実行された更新および評価アクションの状態が要約されています。 特定のマシンにドリルダウンして、更新関連の詳細を表示し、直接管理することもできます。 マシンの詳細な更新履歴または評価履歴と、テーブル内のその他の関連する詳細を確認できます。
各レコードには、次の内容が表示されます。
- マシン名
- 状態
- インストールされている更新プログラム
- 更新操作
- 操作の種類
- 操作開始時刻
- リソースの種類
- タグ
- 最終評価時刻
メンテナンス実行 ID でデプロイ履歴を更新する
[履歴] ページで、[メンテナンス実行 ID ごと] を選択して、メンテナンス実行スケジュールの履歴を表示します。
各レコードには、次の内容が表示されます。
- メンテナンス実行 ID
- 状態
- 更新済みマシン
- メンテンナンス構成
- 操作開始時刻
- 操作終了時刻
メンテナンス実行 ID レコードを 1 つ選択すると、メンテナンス実行の展開された状態を表示できます。 これには、マシンと更新プログラムに関する情報が含まれています。 これには、更新されたマシンの数と、それらにインストールされた更新プログラムが含まれます。 円グラフには、各マシンの状態が表示されます。 ページの最後のリスト ビューには、このメンテナンス実行の一部であったマシンと更新プログラムの両方が表示されます。
Resource Graph
更新プログラムの評価とデプロイのデータは、Azure Resource Graph でクエリを実行するために使用できます。 このデータは、セキュリティ コンプライアンス、セキュリティ操作、トラブルシューティングを含むシナリオに適用できます。 [リソース グラフに移動] を選択して、Azure Resource Graph エクスプローラーに移動します。 これにより、Azure portal で直接 Resource Graph クエリを実行できるようになります。 Resource Graph は、Azure CLI、Azure PowerShell、Azure SDK for Python などをサポートします。 詳細については、Azure Resource Graph エクスプローラーを使った初めてのクエリに関するページを参照してください。
Resource Graph エクスプローラーが開くと、Update Manager の [履歴] ページのテーブルに表示される結果の生成に使用されるのと同じクエリが自動的に設定されます。 「Azure Update Manager のクエリ ログの概要」で、ログ レコードとそのプロパティ、および含まれるサンプル クエリについて確認してください。
次のステップ
- 定期的なデプロイ スケジュールを設定および管理するには、「定期的な更新プログラムをスケジュール設定する」をご覧ください。
- Update Manager によって生成された更新の評価とデプロイ ログを表示するには、「クエリ ログ」を参照してください。