Azure portal と Azure Policy を使用してマシンの定期的な更新をスケジュールする

  • [アーティクル]

適用対象: ✔️ Windows VMs ✔️ Linux VM ✔️ オンプレミス環境 ✔️ Azure Arc 対応サーバー。

重要

  • スケジュールされたパッチ適用のシームレスなエクスペリエンスのために、2023 年 6 月 30 日までに、すべての Azure 仮想マシン (VM) でパッチ オーケストレーションを [カスタマー マネージド スケジュール] に更新することをお勧めします。 2023 年 6 月 30 日までにパッチ オーケストレーションを更新できなかった場合は、スケジュールによる VM へのパッチ適用が失敗するため、ビジネス継続性が中断される可能性があります。 詳細情報 を参照してください。

Azure Update Manager を使用すると、定期的なデプロイ スケジュールを作成して保存できます。 スケジュールは、毎日、毎週、または 1 時間に 1 回の頻度で作成できます。 スケジュールの一部として更新する必要のあるマシンと、インストールされる更新プログラムを指定できます。

このスケジュールによって、1 つの VM に対して作成されたスケジュールに従って、更新プログラムが大規模かつ自動的にインストールされます。

Update Manager では、独自のスケジュールを作成するのではなく、メンテナンス管理スケジュールを使用します。 メンテナンス管理により、お客様はプラットフォームの更新プログラムを管理できます。 詳細については、メンテナンス管理のドキュメントを参照してください。

スケジュールされたパッチ適用の前提条件

  1. Update Manager の前提条件を参照してください。

  2. Azure マシンのパッチ オーケストレーションを [カスタマー マネージド スケジュール] に設定する必要があります。 詳細については、既存の VM でのパッチ適用のスケジュールの有効化に関するページを参照してください。 Azure Arc 対応マシンの場合、これは要件ではありません。

    Note

    パッチ モードを Azure で調整 (AutomaticByPlatform) に設定したが、BypassPlatformSafetyChecksOnUserSchedule フラグを有効にせず、さらにメンテナンス構成を Azure マシンにアタッチしない場合は、ゲストの自動パッチ適用対応マシンとして扱われます。 Azure プラットフォームでは、独自のスケジュールに従って更新プログラムが自動的にインストールされます。 詳細情報。

可用性セットでのパッチ適用をスケジュールする

共通の可用性セット内のすべての VM が同時に更新されることはありません。

共通の可用性セット内の VM は、更新ドメインの境界内で更新されます。 複数の更新ドメインにまたがる VM が同時に更新されることはありません。

同じ可用性セットのマシンに異なるスケジュールで同時にパッチが適用されるシナリオでは、メンテナンス期間を超えた場合にパッチが適用されないか、障害が発生する可能性が高くなります。 これを回避するには、メンテナンス期間を長くするか、同じ可用性セットに属するマシンを異なる時間の複数のスケジュールに分割することをお勧めします。

再起動の設定を構成する

レジストリを編集して自動更新を構成する」と「再起動の管理に使われるレジストリ キー」に記載されているレジストリ キーにより、マシンが再起動する場合があります。 [スケジュール] 設定で [再起動しない] を指定した場合でも、再起動が実行される場合があります。 これらのレジストリ キーは、ご利用の環境に最適になるように構成してください。

サービスの制限

指標として、次の制限をお勧めします。

インジケーター パブリック クラウドの制限 Mooncake/Fairfax の制限
リージョンあたり、サブスクリプションあたりのスケジュールの数 250 250
スケジュールへのリソースの関連付けの合計数 3,000 3,000
動的スコープごとのリソースの関連付け 1.000 1.000
リージョンあたり、リソース グループまたはサブスクリプションあたりの動的スコープの数 250 250
スケジュールごとの動的スコープの数 200 30
スケジュールごとにすべての動的スコープにアタッチされているサブスクリプションの合計数 200 30

詳細については、動的スコープのサービスの制限に関するページを参照してください。

1 つの VM で定期的な更新をスケジュールする

[Update Manager] ページの [概要] または [マシン] ペインから、あるいは選択した VM から更新をスケジュールできます。

1 つの VM で定期的な更新をスケジュールするには、次の手順に従います。

  1. Azure portal にサインインします。

  2. [Azure Update Manager] | [概要] ページで、サブスクリプションを選択してから [更新のスケジュール] を選択します。

  3. [新しいメンテナンス構成の作成] ページで、1 つの VM のスケジュールを作成できます。

    現在、同じサブスクリプション内の VM とメンテナンス構成がサポートされています。

  4. [基本] ページで、[サブスクリプション][リソース グループ] のほか、[インスタンスの詳細] のすべてのオプションを選択します。

    • ゲスト (Azure VM、Azure Arc 対応 VM/サーバー) として [メンテナンス スコープ] を選択します。

    • [スケジュールの追加] を選択します。 [スケジュールの追加/変更] で、次のようなスケジュールの詳細を指定します。

      • 開始時刻
      • [メンテナンス期間] (時間単位)。 メンテナンス期間の上限は 3 時間 55 分です。
      • [繰り返し] (毎月、毎日、または毎週)。
      • [終了日の追加]
      • [スケジュールの概要]

    1 時間に 1 回のオプションは、ポータルではサポートされていませんが、API 経由で使用できます。

    スケジュールされたパッチ適用の基本ページを示すスクリーンショット。

    [毎月繰り返す] には、次の 2 オプションがあります。

    • カレンダーの日付で繰り返します (必要に応じて、月の最後の日付に実行されます)。
    • 月の n 日 (最初の日、2 日目など) x 曜日 (月曜日、火曜日など) に繰り返します。 設定した日からのオフセットを指定することもできます。 +6/-6 で指定することができます。 たとえば、火曜日のパッチの後の最初の土曜日にパッチを適用したい場合は、ブラス 4 日のオフセットを使用して、繰り返しを月の第 2 火曜日として設定します。 必要に応じて、スケジュールを期限切れにしたい場合に終了日を指定することもできます。

  5. [マシン] タブで、マシンを選択してから [次へ] を選択します。

    Update Manager では、ドライバーの更新プログラムはサポートされていません。

  6. [タグ] タブで、メンテナンス構成にタグを割り当てます。

  7. [確認と作成] タブで、更新プログラムのデプロイ オプションを確認し、[作成] を選択します。

  1. Azure portal にサインインします。

  2. [Azure Update Manager] | [マシン] ページで、サブスクリプションを選択し、マシンを選択してから [更新のスケジュール] を選択します。

  3. [新しいメンテナンス構成の作成] で、1 つの VM のスケジュールを作成し、マシンとタグを割り当てることができます。 メンテナンス構成を作成し、スケジュールを割り当てるには、「1 つの VM で定期的な更新をスケジュールする」の「[概要] ペインから」に一覧表示されている手順 3 の方法に従います。

通知によって、デプロイが作成されたことが確認されます。

定期的な更新を大規模にスケジュールする

定期的な更新を大規模にスケジュールするには、次の手順に従います。

[概要] または [マシン] ペインから更新をスケジュールできます。

  1. Azure portal にサインインします。

  2. [Azure Update Manager] | [概要] ページで、サブスクリプションを選択してから [更新のスケジュール] を選択します。

  3. [新しいメンテナンス構成の作成] ページで、複数のマシンのスケジュールを作成できます。

    現在、同じサブスクリプション内の VM とメンテナンス構成がサポートされています。

  4. [基本] タブで、[サブスクリプション][リソース グループ] のほか、[インスタンスの詳細] のすべてのオプションを選択します。

    • [スケジュールの追加] を選択します。 [スケジュールの追加/変更] で、次のようなスケジュールの詳細を指定します。

      • 開始時刻
      • [メンテナンス期間] (時間単位)
      • [繰り返し] (毎月、毎日、または毎週)。
      • [終了日の追加]
      • [スケジュールの概要]

    1 時間に 1 回のオプションは、ポータルではサポートされていませんが、API 経由で使用できます。

  5. [マシン] タブで、選択したマシンが一覧表示されているかどうかを確認します。 リスト上のマシンを追加または削除します。 [次へ] を選択します。

  6. [更新プログラム] タブで、デプロイに含める更新プログラム (スケジュールがトリガーされたときにインストールする必要がある更新プログラムの分類や KB ID/パッケージなど) を指定します。

    Update Manager では、ドライバーの更新プログラムはサポートされていません。

  7. [タグ] タブで、メンテナンス構成にタグを割り当てます。

  8. [確認と作成] タブで、更新プログラムのデプロイ オプションを確認し、[作成] を選択します。

通知によって、デプロイが作成されたことが確認されます。

メンテナンス構成をアタッチします

メンテナンス構成は、複数のマシンにアタッチできます。 これは、新しいメンテナンス構成を作成した時点で、あるいは作成した後でもマシンにアタッチできます。

  1. [Azure Update Manager] ページで、[マシン] を選択してからサブスクリプションを選択します。

  2. マシンを選択した後、[更新プログラム] ペインで、[スケジュールされた更新] を選択してメンテナンス構成を作成するか、または既存のメンテナンス構成をスケジュールされた定期的な更新にアタッチします。

  3. [スケジュール] タブで、[メンテナンス構成のアタッチ] を選択します。

  4. アタッチするメンテナンス構成を選択してから [アタッチ] を選択します。

  5. [更新プログラム] ペインで、[スケジュール]>[メンテナンス構成のアタッチ] の順に選択します。

  6. [既存のメンテナンス構成のアタッチ] ページで、アタッチするメンテナンス構成を選択してから [アタッチ] を選択します。

    スケジュールされたメンテナンス構成のアタッチのパッチ適用を示すスクリーンショット。

メンテナンス構成からの定期的な更新をスケジュールする

すべてのメンテナンス構成を 1 か所から参照および管理できます。

  1. Azure portal で [メンテナンス構成] を検索します。 すべてのメンテナンス構成と、メンテナンス スコープ、リソース グループ、場所、およびそれが属するサブスクリプションの一覧が表示されます。

  2. 上部にあるフィルターを使用して、メンテナンス構成をフィルター処理できます。 ゲスト OS の更新プログラムに関連するメンテナンス構成は、メンテナンス スコープが InGuestPatch である構成です。

ゲスト OS の更新プログラムの新しいメンテナンス構成を作成するか、または既存の構成を変更できます。

メンテナンス構成を示すスクリーンショット。

新しいメンテナンス構成の作成

  1. [マシン] に移動し、一覧からマシンを選択します。

  2. [更新プログラム] ペインで、[スケジュールされた更新] を選択します。

  3. [メンテナンス構成の作成] ペインで、この方法の手順 3 に従ってメンテナンス構成を作成します。

  4. [基本] タブで、ゲスト (Azure VM、Arc 対応 VM/サーバー) として [メンテナンス スコープ] を選択します。

    メンテナンス構成の作成を示すスクリーンショット。

メンテナンス構成にマシンを追加または削除する

  1. [マシン] に移動し、一覧からマシンを選択します。

  2. [更新プログラム] ページで、[1 回限りの更新プログラム] を選択します。

  3. [1 回限りの更新プログラムのインストール] ペインで、[マシン]>[マシンの追加] の順に選択します。

    メンテナンス構成へのマシンの追加または削除を示すスクリーンショット。

更新プログラムの選択条件を変更する

  1. [1 回限りの更新プログラムのインストール] ペインで、更新プログラムをインストールするリソースとマシンを選択します。

  2. [マシン] タブで、[マシンの追加] を選択して、前に選択されなかったマシンを追加してから [追加] を選択します。

  3. [更新プログラム] タブで、デプロイに含める更新プログラムを指定します。

  4. [KB ID/パッケージを含める][KB ID/パッケージを除外する] を選択して、それぞれ、[重大][セキュリティ][機能更新プログラム] などの更新プログラムを選択します。

    メンテナンス構成の更新プログラムの選択条件の変更を示すスクリーンショット。

Azure Policy を使用してスケジュールにオンボードする

Update Manager を使用すると、Azure Policy を使用した更新プログラムのデプロイの対象として Azure または Azure 以外の VM のグループを選択できます。 ポリシーを使用したグループ化により、マシンを更新するためにデプロイを編集する必要はなくなります。 スコープを定義するには、サブスクリプション、リソース グループ、タグ、またはリージョンを使用できます。 この機能は、ユース ケースに応じてカスタマイズできる組み込みのポリシーに使用できます。

Note

このポリシーはまた、スケジュールされたパッチ適用の前提条件であるため、Azure マシンのパッチ オーケストレーション プロパティも確実に [カスタマー マネージド スケジュール] に設定されます。

ポリシーを割り当てる

Azure Policy を使用すると、標準の割り当てやコンプライアンスの評価を大規模に行うことができます。 詳細については、Azure Policy の概要に関するページを参照してください。 スコープにポリシーを割り当てるには、次の手順に従います。

  1. Azure portal にサインインし、[ポリシー] を選択します。

  2. [割り当て] で、[ポリシーの割り当て] を選択します。

  3. [ポリシーの割り当て] ページの [基本] タブで、次の操作を行います。

    • [スコープ] で、サブスクリプションとリソース グループを選択してから [選択] を選択します。

    • [ポリシー定義] を選択して、ポリシーの一覧を表示します。

    • [使用可能な定義] ペインで、[種類] として [組み込み] を選択します。 [検索] で、「Azure Update Manager を使用して定期的な更新をスケジュールする」と入力し、[選択] をクリックします。

      定義を選ぶ方法を示すスクリーンショット。

    • [ポリシーの適用][有効] に設定されていることを確認し、[次へ] を選択します。

  4. [パラメーター] タブには、既定で [メンテナンス構成の ARM ID] のみが表示されます。

    他のパラメーターを指定しない場合は、[基本] タブで選択したサブスクリプションとリソース グループ内のすべてのマシンがスコープの対象となります。 リソース グループ、場所、OS、タグなどに基づいてさらに深くスコープ指定する場合は、[入力またはレビューが必要なパラメーターのみを表示する] をオフにして、すべてのパラメーターを表示します。

    • メンテナンス構成の ARM ID: 指定される必須パラメーター。 これは、マシンに割り当てるスケジュールの Azure Resource Manager (ARM) ID を示します。
    • リソース グループ: 必要に応じて、リソース グループまでスコープ指定する場合は、リソース グループを指定できます。 既定では、サブスクリプション内のすべてのリソース グループが選択されています。
    • オペレーティング システムの種類: Windows または Linux を選択できます。 既定では、どちらもあらかじめ選択されています。
    • マシンの場所: 必要に応じて、選択するリージョンを指定できます。 既定では、すべてが選択されています。
    • マシン上のタグ: タグを使用して、さらに深くスコープ指定できます。 既定では、すべてが選択されています。
    • タグ オペレーター: 複数のタグを選択した場合は、スコープをすべてのタグを持つマシン、またはこれらのタグのいずれかを持つマシンのどちらにするかを指定できます。

    ポリシーを割り当てる方法を示すスクリーンショット。

  5. [修復] タブの [マネージド ID]>[マネージド ID の種類] で、[システム割り当てマネージド ID] を選択します。 [アクセス許可] は、ポリシーの定義に従って、既に [共同作成者] として設定されています。

    [修復] を選択した場合は、ポリシーがスコープ内のすべての既存のマシンで有効になるか、またはスコープに追加されているすべての新しいマシンに割り当てられます。

  6. [確認と作成] タブで、選択内容を確認してから、[作成] を選択して非準拠リソースを特定して、環境のコンプライアンスの状態を理解します。

[コンプライアンスの表示]

次の手順で、既存のリソースの現在のコンプライアンスの状態を表示します。

  1. [ポリシーの割り当て] で、[スコープ] を選択してサブスクリプションとリソース グループを選択します。

  2. [定義の種類] で、ポリシーを選択します。 一覧で、割り当て名を選択します。

  3. [コンプライアンスの表示] を選択します。 [リソース コンプライアンス] には、マシンとエラーの原因が一覧表示されます。

    ポリシーのコンプライアンスを示すスクリーンショット。

スケジュールされたパッチ適用の実行を確認する

Update Manager ポータルから、メンテナンス構成の実行のデプロイの状態と履歴を確認できます。 詳細については、「メンテナンス実行 ID でデプロイ履歴を更新する」を参照してください。

メンテナンス期間のタイムライン

メンテナンス期間によって、お使いの仮想マシンと Arc 対応サーバーにインストールできる更新プログラムの数が制御されます。 更新プログラムのインストール中にメンテナンス期間のタイムラインを理解するには、次の表を参照することをお勧めします。

たとえば、メンテナンス期間が 3 時間で、午後 3 時から始まる場合、更新プログラムのインストール方法の詳細は次のとおりです。

更新プログラムの種類 詳細
サービス パック Service Pack をインストールする場合は、更新プログラムが正常にインストールされるにはメンテナンス期間を 20 分残しておく必要があります。そうしないと、更新プログラムがスキップされます。
この例では、午後 5 時 40 分までに Service Pack のインストールを完了する必要があります。
その他の更新 Service Pack 以外の更新プログラムをインストールする場合は、メンテナンス期間に 15 分残しておく必要があります。そうしないと、更新プログラムがスキップされます。
この例では、午後 5 時 45 分までに他のの更新プログラムのインストールを完了する必要があります。
再起動 マシンの再起動が必要な場合は、メンテナンス期間に 10 分残しておく必要があります。そうしないと、再起動がスキップされます。
この例では、午後 5 時 50 分までに再起動を開始する必要があります。
: Azure 仮想マシンと Arc 対応サーバーの場合、Azure Update Manager は、再起動後に失敗のマークを付けるまでに Azure VM の場合は最大 15 分間、Arc サーバーの場合は最大 25 分間、再起動操作の完了を待機します。

Note

  • メンテナンス期間の終了が近づいている場合でも、Azure Update Manager では、新しい更新プログラムのインストールは停止されません。
  • メンテナンス期間を超えた場合、Azure Update Manger は進行中の更新プログラムを終了しません。インストールする必要がある残りの更新プログラムのみが試行されません。 メンテナンス期間を再評価して、すべての更新プログラムがインストールされることを確認することをお勧めします。
  • Windows でメンテナンス期間が超過した場合、Service Pack の更新プログラムのインストールに時間がかかることが原因であることがよくあります。

次のステップ