Windows Server 2012 用の拡張セキュリティ更新プログラムの配信を準備する
Windows Server 2012 と Windows Server 2012 R2 の 2023 年 10 月 10 日でのサポート終了により、Azure Arc 対応サーバーでは、既存の Windows Server 2012/2012 R2 マシンを拡張セキュリティ更新プログラム (ESU) に登録できます。 Azure Arc では、コストの柔軟性と配信エクスペリエンスの向上の両方が実現されるため、Azure に移行するためのより優れた方法が提供されます。
この記事の目的は、これらの利点と、Arc 対応サーバーを使用して ESU の配信を有効にするために準備する方法を理解できるように支援することです。
Note
Azure VMware Solution (AVS) マシンは、無料の ESU の対象なので、Azure Arc で有効にされる ESU に登録する必要はありません。
主な利点
ESU を Windows Server 2012/2012 R2 マシンに配信すると、次の主な利点が得られます。
従量課金制: 年の半ばに移行する機能と共に、月単位のサブスクリプション サービスにサインアップする柔軟性。
Azure での課金: 既存の Microsoft Azure の消費コミットメント (MACC) から差し引き、Microsoft Cost Management and Billing を使用してコストを分析できます。
組み込みのインベントリ: 対象の Arc 対応サーバーでの Windows Server 2012/2012 R2 ESU の対象範囲と登録の状態が Azure portal で識別され、ギャップや状態の変更が強調表示されます。
キーレス配信: Azure Arc 対応 Windows Server 2012/2012 R2 マシンでの ESU の登録には、キーの取得やアクティブ化が必要ありません。
Azure サービスへのアクセス
Azure Arc によって有効になった WS2012 ESU に登録されている Azure Arc 対応サーバーの場合は、これらの Azure サービスへの無料アクセスが 2023 年 10 月 10 日から提供されています。
- Azure Update Manager - Azure とハイブリッド マシンだけでなく、すべての Windows Server 2012/2012 R2 マシンに関する ESU 更新プログラムのコンプライアンスも含む更新プログラムのコンプライアンスの統合された管理とガバナンス。 ESU に登録しても、Azure Update Manager には影響しません。 Azure Arc で ESU に登録すると、サーバーは ESU のパッチの対象になります。 これらのパッチは、Azure Update Manager または他のパッチ適用ソリューションを通じて提供できます。 その場合でも、Microsoft Update または Windows Server Update Services から更新プログラムを構成する必要があります。
- Azure Automation 変更履歴とインベントリ - Azure、オンプレミス、その他のクラウド環境でホストされている仮想マシンの変更を追跡します。
- Azure Policy のゲスト構成 - 仮想マシン内の構成設定を監査します。 ゲスト構成では、Azure VM がネイティブで、Azure 以外の物理サーバーと仮想サーバーは Azure Arc 対応サーバー経由でサポートされます。
Azure Arc 対応サーバーを使用したその他の Azure サービスも、次のようなオファリングと共に使用できます。
- Microsoft Defender for Cloud - クラウド セキュリティ態勢管理 (CSPM) の重要な要素の一部として、Microsoft Defender for Servers によるサーバー保護を提供します。これは、さまざまなサイバー脅威や脆弱性からユーザーを保護するのに役立ちます。
- Microsoft Sentinel - セキュリティ関連のイベントを収集し、それらを他のデータ ソースに関連付けます。
ESU の配信を準備する
Azure Connected Machine エージェント (バージョン 1.34 以降) をインストールして Azure への接続を確立し、Azure Arc 対応サーバーへのマシンのオンボードを計画および準備してください。 Windows Server 2012 の拡張セキュリティ更新プログラムでは、Windows Server 2012 および R2 の Standard エディションと Datacenter エディションがサポートされています。 Windows Server 2012 Storage はサポートされていません。
関連する Azure サービスにより、ESU を管理するためのサポートされている機能が提供される場合に備えて、マシンを Azure Arc にデプロイするをお勧めします。 これらのマシンを Azure Arc 対応サーバーにオンボードすると、Azure portal または Azure Policy を使用して、その ESU の対象範囲を確認したり、登録したりできるようになります。 このサービスの課金は、2023 年 10 月から (つまり、Windows Server 2012 のサポートが終了した後に) 開始されます。
Note
ESU を購入するには、Enterprise Agreement (EA)、Enterprise Agreement Subscription (EAS)、Enrollment for Education Solutions (EES)、Server and Cloud Enrollment (SCE) などのボリューム ライセンス プログラムを通して、または Microsoft Open Value プログラムを通して、ソフトウェア アシュアランスを入手する必要があります。 あるいは、Windows Server 2012/2012 R2 マシンが SPLA またはサーバー サブスクリプションによってライセンスされている場合、ESU を購入するためにソフトウェア アシュアランスは必要ありません。
また、「KB5031043: 延長サポートが 2023 年 10 月 10 日に終了した後もセキュリティ更新プログラムを受け取り続ける手順」で説明されているように、Azure Arc 対応サーバーのライセンス パッケージとサービス スタック更新プログラム (SSU) の両方をダウンロードする必要もあります。
デプロイ オプション
Azure Arc 対応サーバーには、構成マネージャーを使用したカスタム タスク シーケンスの実行や、グループ ポリシーを使用したスケジュールされたタスクのデプロイを含め、大規模なオンボード オプションがいくつかあります。 また、Azure Arc 経由で VMware vCenter マネージド VM と SCVMM マネージド VM 用の大規模な ESU の配信オプションも用意されています。
Note
仮想デスクトップ インフラストラクチャ (VDI) で実行されている仮想マシンへの Azure Arc を使用した ESU の配信は推奨されていません。 VDI システムでは、マルチ ライセンス認証キー (MAK) を使用して ESU を適用する必要があります。 詳細については、「Microsoft 365 管理センター からマルチ ライセンス認証キーにアクセスする」を参照してください。
ネットワーク
接続オプションには、パブリック エンドポイント、プロキシ サーバー、プライベート リンク、または Azure Express Route が含まれます。 Azure 以外の環境を Azure Arc へのデプロイのために準備するには、ネットワークの前提条件を確認してください。
次の製品のいずれかまたは両方で拡張セキュリティ更新プログラムにのみ Azure Arc 対応サーバーを使用している場合:
- Windows Server 2012
- SQL Server 2012
エンドポイントの次のサブセットを有効にすることができます:
エージェントのリソース | 説明 | 必要な場合 | プライベート リンクで使用されるエンドポイント |
---|---|---|---|
aka.ms |
インストール中にダウンロード スクリプトを解決するために使用されます | インストール時のみ | パブリック |
download.microsoft.com |
Windows のインストール パッケージをダウンロードするために使用されます | インストール時のみ | パブリック |
login.windows.net |
Microsoft Entra ID | Always (常に) | パブリック |
login.microsoftonline.com |
Microsoft Entra ID | Always (常に) | パブリック |
*login.microsoft.com |
Microsoft Entra ID | Always (常に) | パブリック |
management.azure.com |
Azure Resource Manager - Arc サーバー リソースを作成または削除します | サーバーを接続または切断する場合のみ | リソース管理のプライベート リンクも構成されてない限り、パブリック |
*.his.arc.azure.com |
メタデータとハイブリッド ID サービス | Always (常に) | プライベート |
*.guestconfiguration.azure.com |
拡張機能管理とゲスト構成サービス | Always (常に) | プライベート |
www.microsoft.com/pkiops/certs |
ESU の中間証明書の更新プログラム (注: HTTP/TCP 80 と HTTPS/TCP 443 を使用します) | 自動更新の場合は常時、または証明書を手動でダウンロードする場合は一時的。 | 公開 |
*.<region>.arcdataservices.com |
Azure Arc データ処理サービスとサービス テレメトリ。 | SQL Server ESU | パブリック |
*.blob.core.windows.net |
SQL Server 拡張機能パッケージをダウンロードします | SQL Server ESU | Private Link を使っている場合は不要 |
ヒント
Arc 対応サーバーのすべてのオファリング (拡張機能やリモート接続など) を利用するには、シナリオに適用される追加の URL を確実に許可するようにしてください。 詳細については、「Connected Machine エージェントのネットワーク要件」を参照してください。
必要な証明機関
Windows Server 2012 の拡張セキュリティ更新プログラムには、次の証明機関が必要です。
- Microsoft Azure RSA TLS 発行元 CA 03
- Microsoft Azure RSA TLS 発行元 CA 04
- Microsoft Azure RSA TLS 発行元 CA 07
- Microsoft Azure RSA TLS 発行元 CA 08
必要な場合は、これらの証明機関を手動でダウンロードしてインストールすることができます。
次のステップ
Windows Server と SQL Server のサポート終了の計画および拡張セキュリティ更新プログラムの取得に関する詳細を確認してください。
ハイブリッドおよびマルチクラウド向け Azure Arc ランディング ゾーン アクセラレータによるベスト プラクティスと設計パターンについて確認してください。
Arc 対応サーバーと、それが Azure Connected Machine エージェントを使用して Azure でどのように動作するかについての詳細を確認してください。
Azure Arc 対応サーバーへのマシンのオンボードのためのオプションを調べてください。