パッチの拒否設定
この記事では、パッチの自動配布において、特定のパッチや特定のアプリケーションに対してパッチを適用させない「パッチの拒否」機能について説明しています。
パッチの拒否
「パッチの拒否」機能では、特定のパッチや、特定のアプリケーションに対してパッチを管理対象PCに適用させたないよう設定できます。また、一部の管理対象に対してのみパッチの拒否を設定することも可能です。
「拒否済み」ステータスを設定したパッチは、パッチ配布の自動化を設定している場合でも配布されません。
- パッチ自動配布タスクの対象に指定されている場合でも、手動でパッチを配布しない場合、Endpoint Centralは対象PCに対してパッチを配布しません。パッチの拒否は、パッチ自動配布を構成した場合に、指定したパッチを指定した管理対象PCへ配布させないための設定です。なお、拒否済みにされたパッチは、欠落パッチとして検出されません。
- 自動更新によるパッチの適用を拒否したい場合は、構成 > テンプレート において、テンプレートの種類=定義済み、カテゴリ=パッチ管理を選択し、「アップデートの無効化」を適用します。なお、Windows Updateを無効化する場合はこちらをご覧ください。
- Mac OSの自動バージョンアップを拒否したい場合は、端末ユーザーから管理者権限を回収した上で、構成 > システム環境設定の一部項目へのアクセスを拒否し、バージョンアップパッケージのアプリケーション実行をブロックする運用が考えられます。
パッチの拒否の設定方法
- パッチ管理タブ > パッチ > パッチを拒否 > グループを選択してパッチを拒否 をクリックします。
- パッチの拒否を適用する管理対象PCのグループを選択します。グループ名を入力するか、必要に応じて、「+」をクリックしてカスタムグループを新規作成します。すべての管理対象PCを選択する場合はAll Computers Groupを選択します。
- 必要に応じて説明を追加します。
- KB番号、セキュリティ情報、パッチID、アプリケーション名またはプラットフォーム(OS)に基づいてパッチを選択します。
- 拒否するパッチ/アプリケーションにチェックを入れます。
- 保存をクリックします。
以上で、パッチの拒否設定が完了します。