Azure Update Manager では、Windows の更新プログラムのダウンロードとインストールに Windows Update クライアントを使用しています。 Windows Server Update Services (WSUS) または Windows Update への接続時に、Windows Update クライアントによって使用される固有の設定があります。 これらの設定の多くは、以下によって管理できます。
- ローカル グループ ポリシー エディター
- グループ ポリシー
- PowerShell
- レジストリの直接編集
Azure Update Manager では Windows Update クライアントを制御するために指定される多くの設定が尊重されます。 Windows 以外の更新プログラムを有効にするために設定を使用する場合、Update Manager はこれらの更新プログラムも管理します。
Azure サブスクリプションで WSUS を設定し、Windows 仮想マシンをセキュリティで保護して最新の状態にする方法に関するその他の推奨事項については、WSUS を使用して Azure で Windows 仮想マシンを更新するためのデプロイを計画する方法に関する記事を確認してください。
更新プログラムの事前ダウンロード
Azure Update Manager では、更新プログラムの事前ダウンロードはサポートされていません。
再起動の設定を構成する
「レジストリを編集して自動更新を構成する」と「再起動の管理に使われるレジストリ キー」に示されているレジストリ キーを使用すると、[更新プログラムのデプロイ] の設定で [再起動しない] を指定している場合でも、コンピューターの再起動が行われる可能性があります。 これらのレジストリ キーは、ご利用の環境に最適になるように構成してください。
他の Microsoft 製品の更新プログラムを有効にする
既定では、Windows Update クライアントは、Windows オペレーティング システムのみに更新プログラムを提供するように構成されています。 Windows Update で、[Windows Update をオンラインで確認する] を選択します。 他の Microsoft 製品のアップデートを確認して、[Windows の更新時に他の Microsoft 製品の更新プログラムも入手します] を有効にすると、Microsoft SQL Server やその他の Microsoft ソフトウェアのセキュリティ パッチを含む他の Microsoft 製品の更新プログラムも提供されます。
設定の変更を大規模に実行するには、次のいずれかのオプションを使用します。
Update Manager からスケジュールに従ってパッチを適用するように構成されているサーバー (VM PatchSettings が AutomaticByPlatform = Azure-Orchestrated に設定されている)、および Server 2016 より前のオペレーティング システムで実行されているすべての Windows サーバーの場合、変更するサーバーで次の PowerShell スクリプトを実行します。
$ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager") $ServiceManager.Services $ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d" $ServiceManager.AddService2($ServiceId,7,"")Update Manager のスケジュールされたパッチ適用 (VM PatchSettings が AutomaticByOS = Azure-Orchestrated に設定されている) を使用していない Server 2016 以降を実行しているサーバーの場合は、グループ ポリシー を使用して、最新のグループ ポリシー 管理用テンプレート ファイル をダウンロードして使用することで、これを制御できます。
Microsoft 更新プログラム用に Windows サーバーを構成する
Windowsサーバー上のWindows Update クライアントは、次のMicrosoft でホストされているパッチリポジトリからパッチを取得できます。
- Windows 更新プログラム - オペレーティング システムのパッチをホストします。
- Microsoft 更新プログラム - オペレーティング システムとその他の Microsoft パッチをホストします。 たとえば、MS Office、SQL Server などです。
注記
パッチを適用する場合、インストール時に更新クライアントを選択することも、後でグループ ポリシーを使用するかレジストリを直接編集することによって更新クライアントを選択することもできます。 オペレーティング システム以外の Microsoft パッチを取得したり、OS パッチのみをインストールしたりするには、パッチ リポジトリを変更することをお勧めします。これはオペレーティング システムの設定であり、Azure Update Manager 内で構成できるオプションではないためです。
Azure Update Manager のグループポリシーを使用した修正プログラムの適用
マシンに Azure Update Manager を使用してパッチが適用されており、クライアントで自動更新が有効になっている場合は、グループ ポリシーを使用して完全に制御できます。 グループ ポリシーを使用してパッチを適用するには、次の手順に従います。
[コンピュータの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Update]>[管理エンド ユーザー エクスペリエンス] に移動します。
[自動更新を構成する] を選択します。
[他の Microsoft 製品の更新プログラムをインストールする] オプションを選択または選択解除します。
Windows Server 2022 の場合:
[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Update]>[自動更新を構成する] に移動します。
[自動更新を構成する] を選択します。
[他の Microsoft 製品の更新プログラムをインストールする] オプションを選択または選択解除します。
WSUS 構成設定
Update Manager では WSUS 設定がサポートされています。 「イントラネットの Microsoft 更新サービスの場所を指定する」の手順を使用して、更新プログラムをスキャンおよびダウンロードするためのソースを指定できます。 既定では、Windows Update クライアントは Windows Update から更新プログラムをダウンロードするように構成されています。 WSUS サーバーをお使いのマシン用のソースとして指定する場合、更新プログラムが WSUS で承認されていないと、更新プログラムのデプロイは失敗します。
その内部の更新サービスにマシンを制限するには、インターネット上の Windows Update に接続しないように設定します。
レジストリ設定
次の 2 つのレジストリ キーの下にあるパッチ ソースを確認できます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services
詳細については、 レジストリを編集して自動更新を構成する を参照してください。
次のステップ
「更新プログラムのデプロイ」の手順に従って、更新プログラムのデプロイを構成します。