パッチテストと承認設定
作成日:2020年12月10日 | 更新日:2024年11月20日
本記事では、パッチ配布の自動化(パッチ自動配布)を利用する場合で、事前にテスト用端末への配布を行いたい場合に必要となる「パッチテストと承認設定」について説明しています。
パッチ配布を自動化する場合、パッチテストの実施の有無およびパッチの承認について事前に設定する必要があります。「パッチテストと承認設定」の仕組みや、具体的な手順等を記載しています。
承認ステータス
Endpoint Central Cloudのパッチ管理機能において、それぞれのパッチには以下の3種類のステータスがあります。
- 未承認・・・パッチの自動配布の対象外です(ただし、後述のテスト用端末に対して自動配布を行う機能では、この「未承認」のステータスのパッチが対象となります)。
- 承認済み・・・パッチの自動配布の対象となります。
- 拒否済み・・・パッチの自動配布の対象外です。また、Endpoint Central Cloudのコンソール画面上の各表示において「欠落パッチ」から除外されます。
これら3つのステータスのことを「承認ステータス」と呼びます。特定のパッチの承認ステータスを「拒否済み」に切り替える方法については、こちらのナレッジをご覧ください。
また、自動配布を利用しない運用の場合でも、企業・組織のIT管理者がパッチ適用のフローを明確化したい場合、目印として「承認ステータス」を活用することができます。
承認ステータスを手動で変更する方法
[パッチ管理]タブ → [パッチ] → [欠落パッチ] などの表示において、承認ステータスを変更したいパッチを選択後、画面上方の「ステータスの変更」ボタンより承認ステータスを変更できます。
※「未承認」のステータスが無効化されている場合、「ステータスの変更」ボタンは表示されません(次の項目をご参照ください)。
※「拒否済み」のステータスについては、こちらのナレッジもご覧ください。
「未承認」のステータスの有効化・無効化
デフォルトでは、3種類ある承認ステータスのうち「未承認」のステータスは無効化されています。すなわち、承認ステータスは
- 承認済み
- 拒否済み
の2種類です。この状態のとき、新たにリリースされたパッチは承認ステータスの初期値が「承認済み」になります。
後述の「パッチの承認方法」で「パッチテストと承認設定」を選択すると、「未承認」のステータスが有効化されます。「自動承認(パッチテストなし)」を選択すると、「未承認」のステータスが無効化された状態に戻すことができます。
パッチテストと承認設定
パッチテストの実施
パッチ適用を検証するための端末(テスト用端末)をお客様においてご用意いただける場合、「他の端末に先立って、まずテスト用端末に対してパッチ配布を実施し、その結果をもとに他の端末へのパッチ適用の可否を判断する」という運用が可能となります。
パッチテスト(テスト用端末への配布)を実施する場合、以下の手順を実施します。
- [パッチ管理]タブを開き、左側メニューにおいて[配布] → [パッチテストと承認設定] をクリックします。
- 「パッチの承認方法」を「パッチテストと承認設定」に設定します。具体的には、以下のとおりです。
- 「パッチの承認方法」の項目内にある「編集」をクリックします。
- 以下の2つから、パッチの承認方法を選択できます。
- 自動承認(パッチテストなし)
「パッチの拒否」機能によって拒否しているパッチ以外のすべてのパッチが、「承認済み」のステータスになります。 - パッチテストと承認設定
承認ステータスとして「未承認」が有効化されます。新たにリリースされたパッチは、承認ステータスの初期値が「未承認」になります。
- 自動承認(パッチテストなし)
- 「既存パッチの承認ステータス」にて以下2つのいずれかを選択し、「保存」をクリックします。
- 変更なし
今後追加される新規パッチは「未承認」というステータスになりますが、既存のパッチはその時点のステータスが維持されます。 - 未承認に変更
「拒否済み」として設定されている以外のすべてのパッチについて、承認ステータスが「未承認」に変更されます。
- 変更なし
- 「パッチの承認方法」の項目内にある「編集」をクリックします。
- 手動で個別のパッチを選択してパッチテストを行う場合、[パッチ管理]タブ → [パッチ] → [欠落パッチ] などの画面から該当のパッチを選択し、テスト用端末に配布します。自動的にパッチテストを行う場合、後述のテスト用端末への自動配布を利用します。
- パッチテストの結果に基づいて、必要に応じてパッチの拒否を設定します。
以上により、パッチテスト(テスト用端末への配布)を実施できます。テスト後、承認ステータスが「承認済み」となっているパッチは自動配布機能を通じて他の(テスト用以外の)端末にも配布されます。
テスト用端末への自動配布
パッチテストとして、Endpoint Central Cloudの機能を利用してテスト用端末に自動的にパッチを配布することができます。テスト用端末への自動配布は、以下の手順で設定することができます。配布後に自動的に承認ステータスを変更させることも可能です。
- 上記で説明した手順により、パッチの承認方法として「パッチテストと承認設定」が選択されていることを確認します。
- 「配布ワークフローでの承認」内の「グループの追加」ボタンをクリックします。
- 対象のOSを選択します。また、テストのためのグループ(必要なテスト用端末のみを所属させたグループ)として、あらかじめ作成しておいたカスタムグループを選択します(またはカスタムグループを新規作成します)。
- テスト用端末への配布を行う対象となるパッチの種類を選択します。なお、意図しない配布を防ぐため、どのようなパッチがどのような種類に分類されているのかについて、こちらのナレッジを必ずご確認ください。
- 上記で選択した種類のパッチのうち、特定のソフトウェアのパッチのみを配布したい場合、「特定のアプリケーションにパッチを適用する」を選択します。「特定のアプリケーションを除外する」を選択することで、特定のソフトウェア以外のパッチを配布することも可能です。
- 当機能(テスト用端末への自動配布)では、対象のパッチのうち、リリースされてから一定の日数が経過したもののみが配布されます。そのため、そのような基準となる日数(0 日も可)を入力します。なお、実際の配布は、配布ポリシーで指定した曜日・時間帯に行われます。
- 必要に応じて、通知設定を有効化します。
- 「テスト済みのパッチ用の承認モード」にて、「次の期間を過ぎた場合、テスト済みのパッチを自動的に承認する」の項目を有効化、または無効化します。
- この項目にチェックを入れて有効化すると、指定した日数が経過した際に承認ステータスが「承認済み」に自動的に変更されます。特定のパッチに何か問題があり、自動配布機能による配布(テスト用端末以外への配布)を差し止めたい場合、指定した日数が経過する前に(または自動配布タスク側で指定した配布予定日になる前に)当該パッチを「拒否済み」に変更する必要があります。
- この項目のチェックを外して無効化した場合、テスト用端末への配布が終了した後も、各パッチの承認ステータスは「未承認」のままです。テスト用端末以外の端末に対して自動配布機能による配布を行うには、個々のパッチを手動で選択して「承認済み」に切り替える必要があります。
※ 「プラットフォーム」で「Windows」を選択した場合、環境によっては「ドライバーアップデート」の説明文中に「BIOS」と表示されている場合がありますが、「ドライバー」の誤記です。今後の製品アップグレードの際に更新予定です。
以上で、テスト用端末への自動配布を設定できます。