前回までは、非推奨になったWindows Server Update Services（WSUS）の、Microsoft提供の代替ソリューションとして「Microsoft Intune」を評価してきました。WSUSはWindowsとWindows Serverの両方の更新管理ができますが、IntuneはWindows Serverの更新管理には全く対応していません。^*1 Microsoftは、WindowsとLinuxのサーバーオペレーティングシステム（OS）の更新管理に対応した、クラウドベースの更新ソリューション「Azure Update Manager」を提供しています。今回から、新しい連載シリーズ「Azure Update Managerでサーバ更新管理」をスタートします。

^{*1　Intune でサポートされるオペレーティング システムとブラウザー｜Microsoft Intune（Microsoft Learn）}

※注意: Azure Update Managerによるサーバーの更新管理はあくまでも選択肢の1つであり、“これからのサーバー更新管理はAzure Update Managerで決まり”ということでは決してありません。前回までのIntuneも同様に、クライアントデバイスの更新管理の選択肢の1つです。この連載では、更新管理ソリューションの選択肢の1つとしてのAzure Update Managerに注目し、更新管理ソリューションを決定する際の参考なればという意図で情報提供を行います。

Azure Update Manager入門

　Azure Update Managerは、実行中のインスタンスの場所を問わずに、サーバーOSに対する更新プログラムの管理および制御を可能にするクラウドベースのサービスです。単一の管理コンソール（Azureポータル）から、AzureおよびAzure以外の場所にある物理/仮想マシンのWindowsおよびLinux、およびAzure Local（旧称、Azure Stack HCI）上のVMのサーバーOSの更新を管理することができます。手動（オンデマンド）で利用可能な更新プログラムの検索を行い、インストールする更新プログラムを選択してすぐにインストールを開始することもできれば、定期的に更新プログラムを確認し、インストールをスケジュールすることもできます。

Azure Update Manager について｜Azure（Microsoft Learn）

画面1　Azureポータルの「Azure Update Manager」ブレード

　Azure Update Managerでは、次のことが可能です。

• 単一のコンソールかのら更新管理 ･･･ AzureおよびAzure以外の物理マシンとVMを含む、WindowsとLinuxの更新を管理でき、システムのセキュリティを強化し、コンプライアンスを維持します。クロスサブスクリプションの更新管理にも対応しています。
• 柔軟な更新プログラムのインストールオプション ･･･ メンテナンス期間内でのスケジュール更新（AzureおよびAzure以外）、手動（オンデマンド）更新（1回限りの更新）、自動更新と、更新を完了するための再起動を制御できます。
• 定期的な更新の評価 ･･･ 24時間ごとに利用可能な更新プログラムを確認します。
• 動的スコープによるグループ化とポリシー ･･･ 条件に基づいて更新対象をグループ化し、Azure Policyを使用して設定を展開して、大規模な更新管理が可能です。
• レポートとアラート ･･･カスタムダッシュボードを作成でき、更新状態や問題をアラート通知できます。
• 詳細なアクセス制御 ･･･ ロール（役割）ベースのアクセス制御（RBAC）を使用して、リソースごとに更新管理タスクのアクセス許可を委任できます。
• Windows Serverのホットパッチ ･･･ 3か月ごとのベースラインの更新と、次の2か月の再起動が必要ないホットパッチを組み合わせて、ダウンタイムを最小化できます。ホットパッチは、Windows Server 2022/2025 Datacenter: Azure Edition（一般提供）およびWindows Server 2025 Datacenter/Standard（プレビュー、7月1日から一般提供）でサポートされます。

　　Azure Update Managerを使用すると、WindowsおよびLinuxの以下の更新プログラムを管理できます。

• Windows UpdateおよびMicrosoft Updateで提供される更新プログラム
• Windows Server Update Services（WSUS）で提供される更新プログラム
• Linuxパッケージマネージャーが使用する更新リポジトリで提供される更新プログラム

　Azure Update Managerは更新プログラムの配布元としては機能しません。Windows UpdateやLinuxパッケージマネージャー（yumやaptなど）の更新の確認とダウンロード、インストール、そして再起動をオーケストレーションするサービスです。更新対象のサーバーは、Azure Update ManagerのサービスやAzure Arc（Azure以外の場合）に接続するために、そして利用可能な更新プログラムの確認と、更新プログラムをダウンロードするために、インターネットにアクセスできる必要があります。もちろん、NAT（ネットワークアドレス変換）装置の背後のプライベートネットワークや、プロキシサーバーを介したアクセスでも構いません。

Azure Update Managerの要件

　管理対象がAzure仮想マシン（VM）やAzure Local上のVMの場合、Azure Update ManagerはAzure標準のVMエージェント（Azure VM Windowsエージェント、Azure VM Linuxエージェント）を介してAzure VMの更新を管理できます。つまり、Azure MarketplaceのテンプレートからデプロイしたWindowsおよびLinux VMの場合、すぐにAzure Update Managerによる更新管理を行えます。Azure VMおよびAzure Local上のVMのAzure Update Managerによる更新管理は無料で利用できます（Datacenter: Azure Editionのホットパッチも無料）。なお、Azureポータルの「仮想マシン」ブレードには「操作｜更新プログラム」がありますが、これはAzure Update Managerのサブセット機能を個別のVMに対して提供するものです（画面2）。

画面2　「仮想マシン」ブレードの「更新プログラム」はAzure Update Managerのサブセット機能。追加の拡張機能や設定なしで（AzureのＶＭエージェントだけで）すぐに利用できる

　Azure以外の場所で稼働する物理/仮想インスタンスの場合、「Azure Arc対応サーバー（Azure Arc Enabled Server）」を介して更新を管理します。そのため、管理対象の物理サーバーやVMには、Azure Arcに接続するための「Azure Connected Machineエージェント」のインストールと、Azure Arcへの登録が必要です。また、Azure Update Managerを使用するには、Azure ArcのAzure Update Managerの料金（715円/月、2025年6月現在）が課金されます。つまり、Azure以外の場所にあるマシンには、有料のサービスとして提供されます。

Azure Arcの価格｜Azure（Microsoft）

図1　Azure Update Managerによるマシンの場所を選ばない更新の一元管理

　Azure Update ManagerがサポートするWindowsおよびLinuxのサーバーOSは以下の通りです。

• Azure MarketplaceのWindowsおよびLinuxイメージ
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2022
• Windows Server 2025
• Oracle Linux 7.x、8x、9x
• Red Hat Enterprise 7、8、9
• SUSE Linux Enterprise Server 12.x、15.0-15.4
• Ubuntu 16.04 LTS、18.04 LTS、20.04 LTS、22.04 LTS
• Common Base Linux Mariner 1、2
• Rocky Linux 9
• Debian 10、11
• Alma Linux 8、9

　Windows Serverのホットパッチは以下のOSでサポートされます。Windows Serverでは、Azure Update Managerでのスケジュールを優先させるために、Windows Updateの設定を「ダウンロードのみ（既定）」または「手動（無効）」にしておくことをお勧めします。

• Windows Server 2022 Datacenter:Azure Edition
• Windows Server 2025 Datacenter:Azure Edition
• Windows Server 2025 Datacenter
• Windows Server 2025 Standard

　Windows Server 2025 Datacenter/Standardのホットパッチを利用する場合、現在はプレビュー期間中のため無料ですが、7月の一般提供以降は1.5米国ドル/CPUコア/月の追加の課金がスタートします。なお、ホットパッチを有効化するためのAzure Arcへの接続は無料ですが、Azure Update Managerによる更新管理には、Azure Update Managerの料金も課金されます。また、Windows Server 2025 Datacenter/Standardのホットパッチを有効化するためには、前提条件として仮想化ベースのセキュリティ（Virtualization-based Security）の有効化とコード整合性（HVCI）の有効化が必要です。

ITニュース.　Windows Server 2025 Datacenter/Standardのホットパッチは7月に正式提供開始
vol.71　Azureだけだったホットパッチ機能、オンプレやAzure以外でも利用可能に（体感ビデオ付）｜Windows Server 2025大特集（8）

Azureの更新管理ソリューションのプチ歴史

　Azure Update Managerは、2023年9月に一般提供された比較的新しいサービスです。プレビュー期間中はAzure Update Management Centerと呼ばれていたものです。

Generally Available: Azure Update Manager｜Azure Governance and Management Blog（Tech Community）

　Azure Update Managerが登場する以前は、Azure Automation Update Management（更新プログラムの管理）というサービスが提供されていました。このサービスは、Azure Automationの機能の一部であり、Azure AutomationアカウントとLog Analyticsワークスペースというレガシサービスに依存するものでした。さらにその前には前進となるOperation Management Suite（OMS）というものがあったのですが、あまり古い話を掘り起こしてもどうかと思うのでやめておきます。ちなみに、Azure Automation Update ManagementとLog Analyticsエージェント（Microsoft Monitoringエージェント《MMA》）は2024年8月31日に廃止されました。

　当時、Azureポータルの「仮想マシン」ブレードでは、Update Managementのサブセット機能が利用できたわけですが、利用するにはUpdate ManagementのためにLog AnalyticsワークスペースとAutomationアカウントを構成する必要がありました。^*2 Update Management時代と比べると、Azure Update Managerはすごくシンプルになりました。

*2　7年以上前に私が書いた記事で確認できます。　Azure仮想マシンのパッチ管理を大幅に省力化する「Update Management」（2018年2月15日）｜@IT

　次回からは、Azure Update Managerの導入方法や使い方について具体的に紹介します。次回以降に予定しているのは...

• Azure VMでAzure Update Managerの機能を利用する
• Azure以外の場所のWindows Serverを接続する
• Azure以外の場所のLinux Serverを接続する
• Azure Update Managerで一元管理する
  ・・･

Azure Update Managerでサーバ更新管理 （1）｜（2）