前回(vol.113)はAzure仮想マシン(VM)を対象に、Azureポータルの「Azure Update Manager」ブレードにある「作業の開始」ページから、手動での更新プログラムの確認とインストール、そして自動運用のための定期評価とパッチオーケストレーションの設定を行いました。Azure以外の場所にあるマシンについても、大部分を共通の操作で管理できるのですが、そのためには管理対象のマシンをAzure Arcに接続する必要があります。Azure以外の場所とは、オンプレミスの物理サーバー、仮想化ホスト上のVM、Azure以外のクラウド上のVMのことです。今回は、オンプレミスにあるHyper-Vホスト上のWindows VMを管理対象にしてみます。物理マシンや他社クラウド上のVMの場合も同じ方法で管理対象にできます。
Azure以外のマシンはAzure Arcを介して管理対象に
Azure Update Managerによる更新管理機能は、Azure VM(およびAzure Local上のVM)では無料で利用できました。一方、Azure以外の場所で実行される物理マシンやVMは、Azure Arcを介して利用できる、有料のサービスです。Azure以外の場所にあるマシンをAzure Update Managerの管理対象にするには、Azure Arc対応サーバー(Azure Arc Enabled Server)としてAzure Arcに接続する必要があります。
Azure VMは、Azure標準のVMエージェント(Azure Windows VMエージェント、Azure Linux VMエージェント)により定期評価、手動(オンデマンド)またはスケジュール構成による更新プログラムのインストールが可能です。これに対して、Azure以外の場所のマシンの場合は、Azure Arc対応サーバーのエージェントであるAzure Connected Machineエージェントが必要です(図1)。
図1 オンプレミスや他社クラウドなど、Azure以外の場所のマシンはAzure Arc経由で管理対象にできる
Azure Connected Machineエージェントは、Azure Update Manager用のエージェントではありません。Azure ArcにAzure Arc対応サーバーとして接続するためのエージェントです。そして、Azure Arcは、オンプレミスと他社クラウドにあるインフラストラクチャを保護、管理、監視するさまざまなサービスを提供します。
WindowsマシンにAzure Connected Machineエージェントをインストールすると、次の4つのWindowsサービスが作成されます。
- Azure Hybrid Instance Metadata Service(himds.exe) ・・・ EntraマネージドIDトークンを要求し、メタデータをAzureと同期するサービス
- Guest Configuration Arc Service(arc_service.exe) ・・・ Azureマシン構成ポリシーの監視と適用を行うサービス
- Guest Configuration Extension Service(gc_extension_service.exe) ・・・ 要求された拡張機能をインストールするサービス
- Azure Arc Proxy(arcproxy.exe) ・・・ Azure Connected Machineエージェントと拡張機能で使用されるフォワードプロキシとして機能するサービス。Azure Arcゲートウェイ(限定プレビュー)を使用している場合に使用される。
Azure Update Managerの場合、Azure Arcに接続されたマシン(Azure Arc対応サーバー)に対して初めて更新操作が行われると、Azure Connected Machineエージェントを介して以下の拡張機能がWindowsマシンにプッシュインストールされ、定期評価やオンデマンドまたはスケジュールによる更新プログラムのインストールができるようになります。なお、これらの拡張機能のログは、「C:¥ProgramData¥GuestConfig¥extension_logs」の下の拡張機能ごとのサブディレクトリにあります。
- WindowsPatchExtension(定期評価用)
- WindowsOsUpdateExtension(オンデマンド操作とパッチ適用のスケジュール用)
Windows Serverの要件
Azure以外の場所にあるWindows ServerのマシンをAzure Update Managerで管理するには、Azure Update Managerがサポートする以下のバージョンを実行している必要があります。インストールの種類(デスクトップエクスペリエンスとServer Coreインストール)は問いません。Windows Serverでは、Azure Update Managerでのスケジュールを優先させるために、Windows Updateの設定を「ダウンロードのみ(既定)」または「手動(無効)」にしておくことをお勧めします。
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2022
- Windows Server 2025
また、Windows Serverマシンはインターネットへのアウトバンド接続ができる必要があります。NAT(ネットワークアドレス変換)装置の背後にあるプライベートネットワークからの接続や、はプロキシサーバー経由の接続でかまいません。
クラスター対応更新(CAU)とAzure Update Manager現状、Azure Update Managerは、クラスター上の高可用性アプリケーションを停止することなく、クラスターの各ノードを更新する「クラスター対応更新(CAU)」をサポートしていないようです。クラスターの更新については、クラスター対応更新(CAU)を使用することをお勧めします。 Can we configure Azure Update Manager on Hyper-v Cluster|Q&A(Microsoft Learn) Azure Local(旧称、Azure Stack HCI)の最新リリース(23H2以降)については、Azure Update Managerによる更新がサポートされます。バージョン22H2については、クラスター対応更新(CAU)を使用してください。 |
WindowsマシンへのAzure Connected MachineエージェントのインストールとAzure Arc対応サーバーとしてのAzure Arcへの接続の方法としては、いくつかオプションがあります。以下のいずれかの方法で行ってください。
エージェントの展開と構成(1/5): インストーラーのダウンロードと実行で
Azure Connected Machineエージェントのインストーラーをダウンロードして実行する方法です。この方法は、ブラウザーやデスクトップがないServer Coreインストールには向かない方法です。
以下のMicrosoftダウンロードセンターのリンクからインストーラー(AzureConnectedMachineAgent.msi)をダウンロードし、インストールします。
Windows用エージェントのインストーラー(AzureConnectedMachineAgent.msi)|Microsoftダウンロードセンター
インストーラーは対話なしで短時間で終了し、タスクトレイアイコン「Azure Arc」が追加されるので、アイコンをクリックして「Azure Srcセットアップの起動」をクリックし、「Azure Arc構成」ウィザードに従ってAzure Arcに接続します。Azure Arcに接続するためには、Azureへのサインイン(またはコード入力)、Entra(旧称、Azure Active Directory)テナント、サブスクリプション、リソースグループ、Azureリージョン、ネットワーク接続(パブリックエンドポイントまたはプロキシサーバー経由)が必要です(画面1)。
画面1 エージェントのインストーラー(AzureConnectedMachineAgent.msi)をダウンロードしてインストールし、その後、「Azure Arc構成」ウィザードでAzure Arcに接続する
エージェントの展開と構成(2/5): Azure Arcセットアップで
Windows Server 2022およびWindows Server 2025のデスクトップエクスペリエンスの場合は、OSに「Azure Arcセットアップ」が組み込まれており、「スタート」または「サーバーマネージャー」のポップアップ、またはタスクトレイの「Azure Arc」アイコンから「Azure Arcセットアップ」を起動できます(画面2)。「Azure Arcセットアップ」を使用すると、エージェントのダウンロードからAzure Arc構成までを簡単な操作で進め、接続を完了することができます。この機能は、Windows Server 2022向け2023.10 BリリースのOSビルド20458.2031で追加されました。Windows Server 2025は最初から組み込まれています。
vol.70 Azure Arc/WAC/sshdの簡単セットアップ|Windows Server 2025大特集(7)
画面2 Windows Server 2022(OSビルド20458.2031以降)およびWindows Server 2025のデスクトップエクスペリエンスの場合は、OS組み込みの「Azure Arcセットアップ」を使用できる
エージェントの展開と構成(3/5): Azureポータルからスクリプトで
この方法は、Azureポータルでインストールスクリプトを生成し、そのスクリプトをダウンロードしてPowerShellで実行する方法です。デスクトップエクスペリエンスとServer Coreインストールのどちらでも共通の方法で利用でき、途中、Azureへのサインインが要求されますが、スクリプトを実行するだけですべてが完了します(画面3)。Server Coreの場合は、ブラウザーを利用できる別のマシンのブラウザーにコードを入力し、Azureにサインインすることで対応できます(画面4)。
スクリプトを生成するには、Azureポータルの「Azure Arc」ブレードの「概要」ページにある「リソースの追加」をクリックし、Azure Arcリソース「マシン」の「追加/作成|マシンの追加」を選択して「Azure Arcでサーバーを追加」ページを開き、「単一サーバーの追加」にある「スクリプトの生成」をクリックします。その後、「基本情報」タブでサブスクリプション、リソースグループ、リージョン、オペレーティングシステム(Windows)、接続方法(パブリックエンドポイントまたはプライベートエンドポイント、必要な場合はプロキシサーバーURL)を指定し、「スクリプトのダウンロードと実行」をクリックします。SQL Serverがインストールされている場合は、「SQL Serverの接続」オプションをチェックすることで、同時にSQL Serverを「Azure Arc対応SQL Server(Azure Arc Enabled SQL Serve)」としてAzure Arcに接続することができます。
画面3 Azureポータルで単一のサーバー追加用のスクリプトを生成して、Azure Arcに接続するサーバー上のPowerShellで実行する
画面4 Server Coreの場合は、別のマシンのブラウザーでコードを入力し、Azureにサインインすることで対応可能
エージェントの展開と構成(4/5): Azureポータルからインストーラーで
「Azure Arcでサーバーを追加」ページの「インストーラーを使用してWindows Serverを追加する」にある「インストーラーのダウンロード」をクリックすると、最初のAzure Connected Machineエージェントのインストールの確認ダイアログボックスが表示され(「OK」でインストール)、その後、Windows Server 2022やWindows Server 2025に標準で組み込まれている「Azure Arcセットアップ」と同様のエクスペリエンスで「Azure Arc構成」ウィザードを使用してマシンをAzure Arcに接続できます(画面5)。この方法は、ブラウザーを利用できないServer Coreインストールには向かない方法です。
画面5 Azure Arcセットアップのインストーラー「arcsetup.exe」をダウンロード、実行して、「Azure Arc構成」ウィザードで接続する
エージェントの展開と構成(5/5): Windows Admin Center(v2)で
この方法は、Windows Admin Center(v2)のAzure対応機能を利用した方法であり、管理対象のインストールの種類を問わずに利用できます。この方法を利用するには、Windows Admin Center(v2)をAzureに登録し、Windows Admin Center(v2)でAzureにサインインしておく必要があります。
Windows Admin Center(v2)の「サーバーマネージャー」でAzure Arcに接続したいサーバーに接続し、「設定」ページの「サーバー用Azure Arc」にある「セットアップ」をクリックします(画面6)。「サーバーをAzureに接続」ペインが表示されるので、サブスクリプション、リソースグループ、リージョン、必要があればプロキシサーバーを指定し、「セットアップ」をクリックします(画面7)。Windows Admin Center(v2)をAzureに登録してある場合、Windows Admin Center(v2)の「サーバーマネージャー」の接続一覧の「Azure Arcの状態」列およびサーバーの「概要」ページの「Azure Arc状態」が「接続済み」になります。
画面6 サーバーの「設定」ページの「サーバー用Azure Arc」からセットアップを開始する
画面7 サブスクリプション、リソースグループ、リージョン、必要があればプロキシサーバーを指定して、セットアップ(Azure Machine ConnectedエージェントのインストールとAzure Arcの構成)を完了する
Windows Admin Centerの「更新プログラム」ツールからのセットアップ機能は廃止以前はWindows Admin Centerの「更新プログラム」ツールから、Azure Update Management(Azure Update Managerの前身)をセットアップすることができましたが、この機能は2024年8月末のLog Analyticsエージェントの廃止に伴い、利用できなくなりました。
(Windows Admin Centerの「更新プログラム」ツールからのセットアップ機能は廃止) |
接続状態と拡張機能のインストールを確認する
「Azure Arc」ブレードの「Azure Arcリソース|マシン」の一覧、および「Azure Update Manager」ブレードの「リソース|マシン」の一覧にWindowsマシンがAzure Arc対応サーバー(Arc-enabed server)として追加され、接続状態(接続済み/切断、Connected/Disconncted)が表示されます。Azure Update Managerで初めて更新操作を行うと、Azure Machine Connected Agent経由で2つの拡張機能「WindowsOsUpdateExtension」および「WindowsPatchExtension」がプッシュインストールされ、Azure Update Managerで更新を管理できるようになります。2つの拡張機能のインストールの状態を確認できるまでしばらく時間がかかります。拡張機能は、マシンの「設定|拡張機能」ページで確認することができます(画面7)。
ここまでの時点で、前回説明したAzure VMと同じように更新管理ができるようになります。ただし、パッチオーケストレーションはAzure Arc対応サーバーでは利用できません。スケジュール構成を添付して自動運用するか、Windows Updateの手動/自動更新を使用します。
画面7 Azure Arcに接続されたマシンにAzure Update Managerから更新操作を行うと、2つの拡張機能がインストールされる。WindowsOSUpdateExtensionはすぐにインストールされたことを確認できるが、WindowsPatchExtensionのほうは定期評価を有効化し、最初の定期評価が行われるまで確認できないかもしれない
