最新版以外のパッチの有効化(更新済みパッチの適用)
最新版以外のパッチの利用
パッチ管理機能のご利用にあたっては、基本的には各パッチの最新版を対象端末に適用することが推奨されます。しかしながら実態として、企業・組織のご利用要件によっては特定のバージョンのパッチの適用が必要となる場合もあります。
Endpoint Central Cloudでは、2022年(一部環境では2023年)にリリースされた機能強化により、一部を除くWindows向けパッチについては最新以外のパッチを適用することが可能となりました。
後述の手順によって更新済みパッチの適用を有効化することで、最新以外のパッチが利用可能となります。
更新済みパッチの適用が無効の場合に扱うことのできるパッチ:
サポート済みパッチ一覧のうち、各パッチの最新版のみ
更新済みパッチの適用が有効の場合に扱うことのできるパッチ:
サポート済みパッチ一覧のうち、各パッチの最新版 および Windows向けパッチ(一部を除く)について最新版でなくなった日から3か月以内のパッチ
※ サポート済みパッチ一覧の確認方法は以下をご覧ください。
Endpoint Central Cloud のサポート済みアプリケーション
※後述の動的URLを使用するパッチの場合、最新以外のパッチをダウンロードすることができません。またこのほかにも、「Windows Malicious Software Removal Tool」(KB890830)のような、最新版以外の適用にあまり意味を成さないパッチについても、最新以外をダウンロードすることはできません。
"Cumulative Update for Windows 11 for x64-based Systems" について検索すると、最新版である 2024-02 (パッチID=38197) に加えて、「最新版ではなくなった日(それぞれのパッチの1つ新しいバージョンのパッチのリリース日)から3か月以内」という条件を満たす 2024-01 (パッチID=37963), 2023-12 (パッチID=37836), 2023-11 (パッチID=37614) もチェックボックスがグレーアウトせず選択可能であることが分かります。
↑ クリックすると拡大表示できます
機能に関するよくある質問
- パッチが最新版かどうかをどこから判断できますか?
最新版のパッチ / 最新版以外のパッチ(英語表記: superseded patches) を区別するには、 パッチ管理タブ > パッチ > サポート済みパッチ(または 欠落パッチ) を開き、「次のパッチで更新済み」列を確認します。- 「次のパッチで更新済み」列が NA の場合: 最新版のパッチ
- 「次のパッチで更新済み」列に何らかの値が入っている場合: 最新版ではないパッチ (そのパッチより1つ新しいバージョンのパッチに関する情報が表示されます)
また、「リリース日」列から、各パッチのリリース日を確認することも可能です。列が非表示であったり、列の順番を入れ変えたい場合は 列の並べ替え・列の表示/非表示の切り替えをご確認ください。
フィルターの作成
「欠落パッチ」「インストール済みパッチ」「適用可能なパッチ」「サポート済みパッチ」等の各ページにおいてフィルターを作成することで、最新版/最新版以外のパッチを簡単に識別可能です。
フィルター > [+] をクリック > 以下の条件を指定し、「無題フィルター」をクリックして任意の名前を設定します。- 最新版のパッチ: 列=更新ステータス、 基準=次と等しい、 値=未更新
- 最新版以外のパッチ: 列=更新ステータス、 基準=次と等しい、 値=更新済み
フィルターの作成についてはこちらも合わせてご覧ください。
- 最新版以外のパッチをインストールする必要がありますか?
通常、置き換えられたパッチをインストールする必要はありません。Windowsのパッチは過去のバージョンの修正を含んでいるため、基本的に最新版のパッチのみを適用します(特に、累積更新プログラムと呼ばれる月例パッチでは、最新版のパッチに過去のパッチでの修正内容がほぼ必ず含まれています)。過去のバージョンのパッチが未適用のままの状態で新しいバージョンのパッチがリリースされた場合でも、基本的には最新版のみを対象端末に適用すれば、過去のパッチでの修正内容とともに最新の修正内容が対象端末に適用されます。
最新版以外のパッチの配布は、以下のような場合などにおいて必要になることがあります。- サーバー等の重要なコンピューターに対して、1ヶ月以上の時間パッチテストを実施した上でパッチを適用する場合
- 複数のサーバーに対して同一のバージョンのパッチを適用する場合
- 互換性の確保のため、特定のバージョンの更新を適用する必要がある場合
- 最新版より3ヵ月分古いすべてのパッチを配布できるのでしょうか?
この機能は Windows のみサポートしており、 Mac/Linuxをサポートしていません。また、Windows向けのパッチであっても一部のアプリケーションについては対応していません。
パッチファイル自体はこれまで同様ベンダーサイトからダウンロードするため、ベンダーが公開を停止したパッチについては利用できない可能性があります。最新版ではないパッチは、ベンターの都合により随時、公開が停止されるため、配布に失敗する可能性があります。
- 最新版より3ヵ月以上古いパッチを配布することはできませんか?
Endpoint Central Cloudでは対応しておりません。
- 1回の配布で過去3か月のすべてのパッチを選択して配布するとどうなりますか?
エージェントは古い順にパッチをインストールします。
- 動的URLを使用するサードパーティ製品のパッチはどのように処理されますか?
動的URLとは、新しいバージョンのパッチが古いバージョンを上書きし、古いバージョンのパッチと同一のURLからダウンロードされる場合のことです(例: Google Chrome, Teamviewer, Amazon WorkSpaces など)。このような場合、新しいバージョンのリリース以降、古いバージョンのパッチをダウンロードすることができません。
新しいバージョンがベンダーからリリースされるより前に、配布したいパッチをあらかじめダウンロードしておいた場合のみ配布が可能です。なお、パッチがダウンロード済みであっても、最新版から3か月以上経過しているパッチをパッチ管理機能から配布することはできません。
- 最新版以外のパッチを有効化した場合、パッチの拒否機能にどのように反映されますか?
通常、特定のパッチを拒否すると、そのパッチの新しいバージョンのパッチも自動的に拒否します。拒否済みのパッチは欠落パッチビューに表示されません。
最新版以外のパッチを有効化した場合、特定のパッチを拒否していても、そのパッチの新しいバージョンのパッチは自動的に拒否されません。
最新版以外のパッチを有効化する手順
対応するバージョンへアップグレードされるタイミングは、環境によって異なります。
- 管理者としてEndpoint Central Cloudコンソール画面にログインし、パッチ管理タブ > 設定 > パッチDBの設定 を開きます。
- 更新済みパッチ設定 について、「更新済みパッチの適用を有効化する」(Windowsのみ) にチェックを入れます。
- 「更新済みパッチの適用を有効化しています。Chrome、 Teamviewer、 Amazon WorkSpacesのような特定のベンダーは最新のバージョンのみサーバーに保持しています。更新済みパッチのダウンロード時に問題が生じないようにパッチを事前にダウンロードすることを推奨します」というメッセージが表示されます。[OK,Proceed]をクリックして続行します。
- [保存] をクリックします。
- 次回パッチスキャン以降に、Windows OS および Windows 向けサードパーティ製品の最新版ではないパッチが選択できるようになります。
この記事は、こちらのページ(英語)を参考にしています。