チュートリアル: ポリシーを使用して、Azure VM の定期的な評価とスケジュールの更新を有効にします。

  • [アーティクル]

適用対象: ✔️ Windows VMs ✔️ Linux VM ✔️ オンプレミス環境 ✔️ Azure Arc 対応サーバー。

このチュートリアルでは、Azure ポリシーを使用して、スケールで Azure VM の定期的な評価とスケジュールの更新を有効にする方法について説明します。 ポリシーを使用すると、標準を割り当て、大規模なコンプライアンスを評価できます。 詳細情報 を参照してください。

定期的な評価とは、マシンで利用可能な最新の更新プログラムを確認し、更新状態を確認する必要があるたびに手動で評価を実行する手間を省くことができる、マシン上の設定です。 この設定を有効にすると、Azure Update Manager では、24 時間ごとにマシンの更新プログラムをフェッチします。

パッチ適用のスケジュール設定とは、Azure Policy を介して更新をデプロイするマシンのグループを対象とした設定です。 ポリシーを使用してグループ化することで、マシンを更新するためにデプロイを編集する必要がなくなります。 サブスクリプション、リソース グループ、タグ、またはリージョンを使用してスコープを定義し、ユース ケースに従ってカスタマイズできる組み込みポリシーを使用にこの機能を使用できます。

このチュートリアルでは、次の作業を行う方法について説明します。

  • 定期評価を有効にする
  • パッチ適用のスケジュール設定を有効にする

前提条件

  • Azure サブスクリプションをお持ちの場合は、開始する前に無料アカウントを作成してください。

定期評価を有効にする

Azure portal から [ポリシー] に移動し、[作成] で、[定義] に移動します。

  1. [カテゴリ] ドロップダウンから、[Azure Update Manager] を選択します。 Azure マシンに Azure 仮想マシンで不足しているシステム更新プログラムの定期的なチェックを構成するを選択します。
  2. [ポリシー定義] が開いたら、[割り当て] を選択します。
  3. [基本] で、スコープとしてサブスクリプションを選択します。 サブスクリプション内のリソース グループをスコープとして指定し、[次へ] を選択することもできます。
  4. [パラメーター] で、パラメーターの値を確認できるように、入力またはレビューが必要なパラメーターのみを表示する のチェック ボックスをオフにします。
  5. 評価で、AutomaticByPlatform を選択し、[オペレーティング システム] を選択し、[次へ] を選択します。 Windows と Linux 用に個別のポリシーを作成する必要があります。
  6. [修復] で、[修復タスクの作成] をオンにして、マシンで定期的な評価を有効化し、[次へ] をクリックします。
  7. コンプライアンス違反で、コンプライアンス違反の場合に表示するメッセージを指定します。 たとえば、マシンで定期的な評価が有効になっていません。および [確認と作成] を選択してください。
  8. [確認および作成] で、[作成] を選択します。 このアクションにより、割り当てタスクと修復タスクの作成がトリガーされ、1 分ほどかかることがあります。

[ポリシー] ホーム ページから、 [修復] の [コンプライアンスと修復の状態] で、リソースのコンプライアンスを監視できます。

パッチ適用のスケジュール設定を有効にする

  1. Azure portal にサインインし、[ポリシー] を選択します。

  2. [割り当て] で、[ポリシーの割り当て] を選択します。

  3. [基本][ポリシーの割り当て] ページで次の操作を行います。

    • [スコープ] で、サブスクリプション、リソース グループを選択し、[選択] を選択します。
    • [ポリシー定義] を選択して、ポリシーの一覧を表示します。
    • [使用可能な定義] で、[種類] で[組み込み] を選択し、[検索] に [Azure Update Manager を使用して定期的な更新をスケジュールする] と入力し、[選択] をクリックします。
    • [ポリシーの適用][有効] に設定されていることを確認し [次へ] を選択します。

  4. [パラメーター] では、既定では、メンテナンス構成の ARM ID のみが表示されます。

    Note

    他のパラメーターを指定しない場合は、[基本] で選択したサブスクリプションとリソース グループ内のすべてのマシンがスコープの対象となります。 ただし、リソース グループ、場所、OS、タグなどを基にさらにスコープを設定する場合は、すべてのパラメーターを表示するために [入力またはレビューが必要なパラメーターのみを表示する] を選択解除します。

    • メンテナンス構成の ARM ID: 指定する必須パラメーター。 これは、マシンに割り当てるスケジュールの ARM ID を示します。

    • リソース グループ: リソース グループを絞り込む場合は、必要に応じてリソース グループを指定できます。 既定では、サブスクリプション内のすべてのリソース グループが選択されています。

    • オペレーティング システムの種類: Windows または Linux を選択できます。 既定では、どちらもあらかじめ選択されています。

    • マシンの場所: 必要に応じて、選択するリージョンを指定できます。 既定では、すべてが選択されています。

    • マシン上のタグ: タグを使用して、さらに深くスコープ指定できます。 既定では、すべてが選択されています。

    • タグ オペレーター: 複数のタグを選択した場合は、スコープをすべてのタグを持つマシンまたはそれらのタグのいくつかを持つマシンにするかどうかを指定できます。

      タグを追加する構文を示すスクリーンショット。

  5. [修復] で、[マネージド ID][マネージド ID の種類] にシステム割り当てマネージド ID を選択します。[アクセス許可] はポリシー定義に従って [共同作成者] として既に設定されています。

    Note

    [修復] を選択した場合、ポリシーは、スコープ内のすべての既存のマシンに対して有効になり、スコープに追加された新しいマシンに割り当てられます。

  6. [確認および作成] で選択内容を確認し、[作成] を選択して非準拠リソースを特定し、環境のコンプライアンスの状態を理解します。

次のステップ

複数のマシンの管理について説明します。