Azure Update Managerまたは/およびAzure ArcではWindows Serverのホットパッチを有効化/無効化することができ、Azure Update Managerはホットパッチを含む更新プログラムの運用管理が可能です。

改めて、ホットパッチとは

　Windows Serverのホットパッチは、3か月ごとのベースラインの更新（再起動が必要な通常の品質更新プログラム）と、次のベースラインの更新月までの再起動不要のホットパッチ対応セキュリティ更新プログラムの組み合わせにより、更新プログラムのインストールによる再起動の必要性を少なくし、セキュリティを維持しながら長期連続稼働を可能にする更新オプションです。ホットパッチは、プロセスのバイナリではなく、メモリ内のコードに適用されるパッチであるため、パッチのためにプロセスを再起動する必要がなく、インストールが短時間で完了します。つまり、パッチ適用のためにOSを再起動する必要がありません。また、パッチ対象のバイナリの数が少ないほど、更新プログラムは小さくなるため、短時間でダウンロードおよびインストールが完了します。

Windows Server 用ホットパッチ｜Windows Server（Microsoft Learn）

　Azure VMおよびAzure Local（旧称、Azure Stack HCI）上のVMでは、ホットパッチを利用可能なゲストOSは限定されますが、Azure Update Managerと同様にホットパッチを追加コストなし（無料）で利用できます。Windows Server 2025は新機能としてWindows Server 2025 Datacenter/Standardのホットパッチに対応しましたが、こちらはAzure Arc対応サーバー経由で有効化でき、有料で利用できます。

　ベースラインとホットパッチの更新管理については、Azure Update Managerを使用して管理することもできますし、通常のWindows Updateを使用してダウンロード、インストールすることもできます。言い換えれば、Azure Update Managerとともにホットパッチを管理することもできますし、Azure Update Managerを使用せずにホットパッチを利用することもできます。Azure以外のマシンの場合、Azure Update Manager（725円/サーバー/月）とホットパッチ（プレビュー中は無料、2025年7月の一般提供以降は1.5米国ドル/CPUコア/月）を利用するには、両方のサービスのAzure Arc料金が課金されますが、Azure Update Managerを使用しない場合はホットパッチのAzure Arc料金のみで利用できます。

Azure Arc の価格｜Azure（Microsoft）

Tired of all the restarts? Get hotpatching for Windows Server｜Windows Server Blog（Microsoft）

　Windows Serverのホットパッチについては、これまでこのブログでも何度か取り上げてきました。

ITニュース.　Windows Server 2025 Datacenter/Standardのホットパッチは7月に正式提供開始
vol.71　Azureだけだったホットパッチ機能、オンプレやAzure以外でも利用可能に（体感ビデオ付）｜Windows Server 2025大特集（8）

　ホットパッチはWindows 11 Enterpriseバージョン24H2でもサポートされており、2025年4月から一般提供されています。Windows 11のホットパッチはMicrosoft Intuneを使用して有効化および管理できます。

vol.108　Windows 11のホットパッチ（前編）｜はじめてのIntune（19）

vol.109　Windows 11のホットパッチ（後編）｜はじめてのIntune（20）

Windows Server Datacenter: Azure Editionのホットパッチ

　Azure VMおよびAzure Local上のVMでは、Windows Serverオファー（パブリッシャーMicrosoftWindowsServer）の以下のプラン（Skus）をゲストOSとして実行している場合、ホットパッチを無料で利用できます。

• Windows Server 2022 Datacenter: Azure Edition Hotpatch（2022-Datacenter-Azure-Edition-Hotpatch）
• [smalldisk] Windows Server 2022 Datacenter: Azure Edition Hotpatch（2022-Datacenter-Azure-Edition-Hotpatch-smalldisk）
• Windows Server 2022 Datacenter: Azure Edition Core（2022-Datacenter-Azure-Edition-Core）
• [smalldisk] Windows Server 2022 Datacenter: Azure Edition Core（2022-Datacenter-Azure-Edition-Core-smalldisk）
• Windows Server 2025 Datacenter: Azure Edition（2025-Datacenter-Azure-Edition）
• [smalldisk] Windows Server 2025 Datacenter: Azure Edition（2025-Datacenter-Azure-Edition-smalldisk）
• Windows Server 2025 Datacenter: Azure Edition  Core（2025-Datacenter-Azure-Edition-Core）
• [smalldisk] Windows Server 2025 Datacenter Server Core（2025-Datacenter-Azure-Edition-Core-smalldisk）

　ホットパッチは、上記プランのAzure Marketplaceイメージをデプロイする際に「仮想マシンの作成」ページの「管理」タブで有効化できます。既定はホットパッチが有効であり、オプションでAzure Update Managerの定期評価を有効化することができます（画面1、画面2）。ホットパッチが有効なAzure VMのパッチオーケストレーションは唯一サポートされる「Azure調整済み（＝Azureマネージド - 安全なデプロイ）」に設定されます。これらの設定は、Azure Update Managerの「設定の更新」で確認、変更することができます。

画面1　Windows ServerオファーのAzure Editionプランを選択してデプロイする

画面2　MarketopaceのAzure Editionイメージはホットパッチが既定で有効。オプションでAzure Update Managerの定期評価をここで有効にできる

Windows Server 2025 Datacenter/Standardのホットパッチ

　Azure以外の場所にある物理/仮想マシン（VM）ではWindows Server 2025の以下のエディションで、Azure Arc対応サーバーを通じてホットパッチが有料でサポートされます。

• Windows Server 2025 Datacenter
• Windows Server 2025 Standard

　Azure以外のマシンのホットパッチを有効にするためには、対象のマシンがAzure Arc対応サーバー（Azure Arc Enabled Server）としてAzure Arcに接続されている必要があります。Windows ServerのAzure Arcへの接続については、この連載の以下の回を参照してください。

vol.114　オンプレのWindows ServerをAzure Arcに接続する｜Azure Update Managerでサーバー更新管理（3）

　ホットパッチを有効にするには、Azure Arcでマシンの「概要」ページを開き、「ホットパッチ（プレビュー）」をクリックして、「毎月のホットパッチを受け取るためにこのWindows Serverのライセンスを取得したい」をチェックし、「ホットパッチを有効にする」スイッチをオンにします（画面3）。または、Azure Update Managerでマシンのページを開き、ホットパッチのすぐ横にある「今すぐ登録」をクリックして、同様の設定を行います。ただし、Azure以外のマシンでホットパッチを有効にするためには、Azure Arcへの接続に加えて、マシン側で「仮想化ベースのセキュリティ（Virtualization-Based Security《VBS》」が有効になっており、メモリ整合性^*1が構成されている必要があります。VBSが有効（実行中）でない場合、ホットパッチを有効にすることはできません（画面4）。
^{*1　ハイパーバイザーで保護されたコード整合性（Hypervisor-Protected Code Integrity 《HVCI》）とも呼ばれます。}

画面3　Azure ArcまたはAzure Update Managerでホットパッチを利用できるようにマシンを登録する

画面4　Azure Arcに接続されていても、仮想化ベースのセキュリティ（VBS）が有効（実行中）でない限り、ホットパッチは利用できない

　仮想化ベースのセキュリティ（VBS）の有効化と構成の方法については、以下の記事を参照してください。なお、入れ子になった仮想化が有効なHyper-V VMにおいて、Hyper-VやWindows Subsystem for Linux（WSL） 2が有効になっていると、VBSを有効にしても「有効（停止中）」状態となり、ホットパッチを有効にできない問題を確認しています。また、VBSが既に有効になっているHyper-V VMにおいて、Hyper-VやWSL 2を有効にできないという問題も確認しています。2025年6月現在、これらの問題に進展はありません。

メモ.　仮想化ベースのセキュリティ（VBS）の有効化方法（最新版）と最近気づいた問題、疑わしい犯人｜Windowsトラブル解決

　Azure VMとAzure以外のマシンに関係なく、ホットパッチを有効であり、ホットパッチが利用可能になると、Windows Updateを通じてホットパッチがダウンロード、インストールされます（画面5）。ホットパッチのためにOSの再起動は必要ありませんが、ホットパッチではない別の更新プログラムやアプリケーションの更新によって再起動が要求される場合があります。Azure Update Managerで管理する場合は、Azure Update Managerで定期更新を有効にし、メンテナンス構成で定期的な更新をスケジュールするか、手動で1回限りの更新を実行します（画面6）。

画面5　Windows Server 2025 DatacennterにWindows Updateを通じてホットパッチ（2025年6月のBリリース）が数分でダウンロード、インストールされた。再起動なしでOSビルドが更新された

画面6　ホットパッチにAzure Update Managerの利用は必須ではないが、Azure Update Managerを使用することもできる

　ホットパッチはWindows Updateのみで提供されます。Microsoft UdpateカタログやWindows Server Update Services（WSUS）に対しては提供されません。Azure Update ManagerはWSUSを更新ソースとして使用するマシンの更新管理をサポートしていますが、ホットパッチを利用する更新対象のマシンはWSUSではなく、Windows Updateから更新を入手するように構成する必要があります。

　ホットパッチのWindows UpdateおよびAzure Update Managerにおけるエクスペリエンスについては、以下の記事を参照してください。

vol.71　Azureだけだったホットパッチ機能、オンプレやAzure以外でも利用可能に（体感ビデオ付）｜Windows Server 2025大特集（8）

ホットパッチのリリーススケジュール

　ホットパッチとベースラインの更新プログラムのリリーススケジュールと、リリース済み更新プログラムの情報については、以下のサイトで確認することができます。2025年は1月、4月、7月、10月に再起動が必要なベースラインの更新、それ以外の月は再起動が不要なホットパッチがリリースされる予定です。そして、7月からは、Windows Server 2025 Datacenter/Standardのホットパッチがプレビューから一般提供に移行し、Azure Arcのホットパッチの課金がスタートします。Windows Server 2025 Datacenter/Standardのホットパッチの料金はコアあたりの価格であり、VM（Hyper-V VM）の場合、仮想CPU（vCPU）を複数割り当てても1コアなので、特にVMでの使用に適していると思います。

Release notes for Hotpatch on Windows Server 2025 Datacenter Azure Edition｜Microsoft Support（Microsoft）

Azure Update Managerでサーバ更新管理 （1）｜（2）｜（3）｜（4）｜（5）｜（6）｜（7）｜（8）｜（9）