セイテクエンジニアのブログかつて山市良と呼ばれたおじさんのブログ vol.116　更新の確認とインストールの完全自動化｜Azure Update Managerでサーバー更新管理（5）

vol.116　更新の確認とインストールの完全自動化｜Azure Update Managerでサーバー更新管理（5）

2025年06月26日配信
2025年06月26日更新
執筆者：山内和朗

　前回（vol.115）および前々回（vol.114）は、オンプレミスにあるHyper-Vホスト上のWindowsとLinuxの仮想マシン（VM）を、Azure ArcにAzure Arc対応サーバーとして接続し、Azure Update Managerの管理対象にし、手動（オンデマンド）による更新の確認とインストールを行いました。今回は、これらのマシンを24時間稼働で運用することを想定し、更新プログラムの確認とインストールを自動運用するための設定を行います。

定期評価を有効化する

　Azure Update Managerで管理されるWindowsおよびLinuxマシンの更新を自動管理するためには、定期評価と、パッチオーケストレーションの指定またはスケジュール構成の設定が必要です。Azure VMについては以前（vol.113）に説明しました。Azure VMについては、現在、評価目的のVMしかないため（私個人の環境の話）、定期評価やスケジュール更新を使用していません。オンプレミスのマシンについては、24時間稼働を想定して、更新プログラムの確認とスケジュールによる更新を設定します。

　まず、定期評価を有効化するために、Azureポータルの「Azure Update Manager」ブレードを開き、「リソース｜マシン」の一覧でオンプレミスのWindows/Linuxマシンを1台以上選択し、ページ上部にある「設定の更新」をクリックします。「定期評価」列を確認し、「有効（現在）」でないマシンがある場合は「有効」に切り替え、「保存」をクリックします（画面1）。

画面1　オンプレミスのWindows/Linuxマシンのすべてで定期評価を有効にする^*1
^{*1　ホットパッチが有効なWindows Server 2025 Datacenterのマシンが1台ありますが、これについては以下を参照してください。}
^{ITニュース.　Windows Server 2025 Datacenter/Standardのホットパッチは7月に正式提供開始}
^{vol.71　Azureだけだったホットパッチ機能、オンプレやAzure以外でも利用可能に（体感ビデオ付）｜Windows Server 2025大特集（8）}

メンテナンス構成を作成してリソース（マシン）に添付する

　Azure VMの場合は「パッチオーケストレーション」列の選択ができましたが、パッチオーケストレーションは、Azure Arc対応サーバーには適用されません。自動化のためにはスケジュール構成（メンテナンス構成）を作成し、リソース（マシン）に直接または動的スコープを用いて添付する必要があります。それには同じスケジュール設定を適用するマシンを「リソース｜マシン」の一覧から1台以上選択し、ページ上部にある「スケジュールの更新＞＋新しいスケジュールの作成」をクリックして「メンテナンス構成の作成」を使用して設定を行います。

　「基本」タブでは、サブスクリプション、リソースグループ、リージョン、構成名、スコープ（Azure VM、Arc対応VM/サーバー）、再起動の設定（必要に応じて再起動｜常に再起動｜再起動しない）を設定し、「スケジュールの追加」をクリックして詳細なスケジュールを設定します。例えば、Windowsのセキュリティ更新プログラムは毎月米国時間第2火曜日にリリースされますが、「オフセット（経過日数）」に「1」を設定すれば、日本時間でリリース日当日の指定した時間にインストールを開始させることができます。「5」を設定すれば、週末（土曜日）に開始させることができます（画面2）。Windowsの毎月のセキュリティ更新プログラムは再起動が要求されます（ホットパッチは除く）。

画面2　Windowsマシン向けの月次スケジュールのメンテナンス構成（MonthlyUpdateforWindows）の例。毎月第2火曜日の次の土曜日の6:00に更新プログラムのインストールを開始する

　サーバーはいつでも再起動できるわけではないので、業務時間外にインストールおよび再起動されるようにするとよいでしょう。メンテナンス構成の「イベント（イベントサブスクリプション）」機能を利用すると、メンテナンス期間開始前の事前（Pre）タスクとインストール完了後の事後（Post）タスクにさまざまな方法（Webhookなど^*2）で連携させることができます。
^{*2　Azure Automation Hybrid Runbook WorkerをWebhookで呼び出しカスタムスクリプトを実行する例を次回以降紹介します。}

　「リソース」タブでは、このスケジュール構成を添付するマシンを選択します。次の「動的スコープ」を使用して、さまざな条件に基づいてリソースを動的に割り当てることもできます（例えば、特定のリソースグループのWindowsマシンなど）。

　「更新プログラム」タブでは、WindowsおよびLinuxのそれぞれについて、インストールする更新プログラムの分類やKB番号やパッケージに基づいた除外設定を構成できます（画面3）。

画面3　WindowsとLinuxのそれぞれについてインストール対象の更新プログラムの分類を選択できるが、このメンテナンス構成はWindows専用にする予定なので、Linuxの分類は除外した（Windowsの分類は既定のまま）

　少なくともこれらの設定を行い、メンテナンス構成を作成して、リソース（マシン）に添付します。メンテナンス構成を添付せずに、後で作成済みのメンテナンス構成を添付することもできます。なお、メンテナンス構成は、「管理｜メンテナンス構成（プレビュー）」から作成、編集、添付することもできます。今回、Linux向けにはLinux向けの既定の分類（セキュリティ更新プログラムと緊急更新プログラム）を、毎週週末（土曜日）のスケジュール設定したメンテナンス構成（WeeklyUpdateforLinux）を作成し、添付しました（画面4）。また、Windowsマシン向けにはMicrosoft Defender Antivirusの定義の更新だけを6時間ごと（最小の繰り返し間隔）のスケジュールでインストールし、再起動しないメンテナンス構成も作成して添付しました（画面5）。1つのマシンに複数のメンテナンス構成を添付することができます。

画面4　Linuxマシン向けの週次スケジュールのメンテナンス構成（WeeklyUpdateforLinux）の例

画面5　定義の更新のみを6時間ごとにインストールするメンテナンス構成（DefinitionUpdateforWindows）の例、Microsoft Defender Antivirus用であり、再起動はなしに

定期評価とメンテナンス構成（スケジュール更新）の実行履歴

　定期評価やメンテナンス構成のスケジュールにより確認、インストールされた更新プログラムとその結果は、「Azure Update Manager」ブレードの「管理｜履歴」で確認することができます。今回は繰り返し間隔が短い定義の更新用のメンテナンス構成をWindowsマシンに添付したので、しばらくすると最初のメンテナンス構成の結果を確認できました（画面6）。

画面6　定期評価やでメンテナンス構成によりスケジュールされた更新のインストール結果は、マシンごとまたはメンテナンスIDごとに「管理｜履歴」で確認することができる。失敗したメンテナンスはVMが保存状態または停止状態であったことが理由
画面6　定期評価やメンテナンス構成によりスケジュールされた更新のインストール結果は、マシンごとまたはメンテナンスIDごとに「管理｜履歴」で確認することができる