Patch Manager Plus オンプレミス版 ナレッジベース

パッチ自動配布(パッチ配布の自動化)


この記事では、パッチ配布を自動化する方法について説明しています。

パッチの自動配布

パッチの自動配布とは

パッチの自動配布とは、管理対象と適用するパッチの種類、配布条件等をあらかじめ指定しておくことで、ベンダーからリリースされたパッチを自動的に管理対象に適用する機能です。


パッチ配布のワークフロー(パッチの承認方法)

パッチの自動配布は、「自動配布タスク」を作成することで実行できます。
自動配布タスクを作成する前に、パッチ配布のワークフローに関する以下の項目について設定しておく必要があります。

  • パッチテスト(テスト用端末へのパッチの事前配布)を実施するか実施しないか
  • パッチテストを実施する場合、手動承認か自動承認か

上記の選択に応じて、パッチ配布のワークフローは以下のとおりとなります。

パッチテストを実施する場合 パッチテストを実施しない場合
新しいパッチがベンダーからリリースされた際、まずテスト用の端末に対してパッチを適用する。 新しいパッチがベンダーからリリースされる。
管理者がパッチテストの結果を判断し、 手動でパッチのステータスを「承認済み」に変更する。
または、テスト配布から指定日数後に自動承認するよう、予め設定しておく。
管理者が特定のパッチに関する不具合の情報を(何らかの手段で)入手した場合、必要に応じて「パッチの拒否」の設定を行う。
「承認済み」のステータスのパッチのみが、リリース/承認から指定日数経過後、「自動配布タスク」で設定された時間帯に配布される。 「パッチの拒否」で指定したパッチ以外は、リリースから指定日数経過後、「自動配布タスク」で設定された時間帯に自動的に配布される。
パッチテストの設定方法や、パッチの承認ステータスについての説明は、パッチテストと承認設定をご覧ください。

設定方法

自動配布タスクの設定方法の概要

パッチ自動配布タスクを作成する流れは以下のとおりです。

  1. アプリケーションの選択
    配布を行うパッチの種類を選択します。必要に応じて、配布を行うアプリケーションを選択し、または配布対象から除外するアプリケーションを選択します。
  2.  

  3. 配布設定の選択
    配布を行う週・曜日・時間帯などを設定します。
  4.  

  5. 配布/適用対象の選択
    パッチ配布を行う対象の端末を指定します。リモートオフィス/ドメイン単位で選択後、IPアドレスの範囲やカスタムグループなどの条件で絞り込むことができます。
  6.  

  7. 通知の設定
    必要に応じて通知を有効化します。
パッチの自動配布はタスクとして設定されるため、複数のタスクを設定可能です。そのため、例えばパッチの種類ごとに別々のタスクとして設定する、あるいは端末を使用している物理的な場所ごとにタスクを設定するなど、管理しやすいようにいくつかのタスクに分けることをお勧めします。

設定手順

詳細な手順は以下のとおりです。

  1. [配布]タブ → 左側メニューの[配布] → [パッチ配布の自動化] を開きます。
    自動配布タスクを既に作成している場合、この画面に一覧が表示されます。「自分が作成」を選択すると自分が作成したタスクが一覧表示されます。「すべてのユーザーが作成」を選択すると、自分が作成したタスクに加えて自分以外の製品ユーザーが作成したタスクも表示されます。
     
    自動配布を運用開始後、タスクの実行結果を確認するには、この画面においてそれぞれのタスク名をクリックします。
  2. 「+ タスクの作成」をクリックし、OSを選択します。
  3.  

  4. 左上の「MyTask+数字」の隣の鉛筆アイコンをクリックすると、タスク名および説明を編集できます。
    製品の運用に伴ってタスクの数が増えていくことが想定されるため、分かりやすいようにタスク名を変更することをお勧めします。
  5. アプリケーションを選択する」の各項目を設定します。
    1. 配布を行う対象となるパッチの種類を選択します。なお、意図しない配布を防ぐため、どのようなパッチがどのような種類に分類されているのかについて、こちらのナレッジを必ずご確認ください。

      ※ Windows端末に対する配布タスクの場合、環境によっては「ドライバーアップデート」の説明文中に「BIOS」と表示されている場合がありますが、「ドライバー」の誤記です。今後の製品アップグレードの際に更新予定です。

      重要: アンチウイルスソフトのアップデート(定義ファイルの更新)を配布するタスク(Windowsのみ利用可能)の注意点
       
      アンチウイルスソフトの定義ファイルを配布する場合、アンチウイルスの定義ファイルの配布専用の自動配布タスクにすることを強く推奨します。OSやサードパーティ製品など、他のパッチの配布を同一の配布タスクに含めることは非推奨です。これは、アンチウイルスソフトの定義ファイルの配布頻度が非常に高く、他のパッチ配布と同時に行うことが難しいためです。
      なお、当製品が対応するアンチウイルスソフトは限定的です。各アンチウイルスソフトの詳細な仕様が公開されないため、対応するアンチウイルスソフトが追加される可能性は高くありません。
    2. 上記で選択した種類のパッチのうち、特定のソフトウェアのパッチのみを配布したい場合、「特定のアプリケーションにパッチを適用する」を選択します。「特定のアプリケーションを除外する」を選択することで、特定のソフトウェア以外のパッチを配布することも可能です。
    3.  

    4. 当機能(パッチの自動配布)では、対象のパッチのうち、リリース/承認されてから一定の日数が経過したもののみが配布されます。そのため、そのような基準となる日数(0 日も可)を入力します。なお、実際の配布は、この後の手順の中で配布ポリシーで指定した曜日・時間帯に行われます。

      • リリースからの日数を選択した場合:パッチがベンダーからリリースされてからの日数を指定します。
      • 承認からの日数を選択した場合:パッチの承認ステータスが「承認済み」に設定されてからの日数を指定します。

      ※ 上記2つのどちらを選択した場合でも、承認ステータスが「承認済み」となっているパッチのみが配布対象となります。

      パッチテストを実施しない(パッチの承認方法が「自動承認(パッチテストなし)」に設定されている)場合、それぞれのパッチは承認ステータスの初期値が「承認済み」になります。そのため、この場合「リリースからの日数」と「承認からの日数」は同じ意味をもちます(例外的に、パッチの拒否を解除した場合はこの限りではありません)。
  6. 配布設定を選択」の各項目を設定します。
    1. 配布オプション」で、「配布」と「セルフサービスポータル(SSP)での公開」のいずれかを選択します。
      • 配布を選択した場合:配布対象となる各端末上で特段の操作をしなくても、パッチがインストールされます。
      • セルフサービスポータル(SSP)での公開を選択した場合:配布タスクを別途作成してパッチを配布しない限り、パッチのインストールには対象端末上でのユーザーの操作が必要です。※ セルフサービスポータルの機能の概要は、こちらのPatch Manager Plus Cloud (クラウド版製品)のナレッジをご参照ください。

      以下では、上記「配布オプション」で「配布」を選択した場合について説明します。

    2.  

    3. 配布ポリシーを選択します。これにより、配布ポリシーの中で指定した曜日・時間帯に配布が行われます。
    4.  

    5. 任意で、「セルフサービスポータル(SSP)に公開」を有効化します。デフォルトでは無効となっており、セルフサービスポータルの機能が使用されません。有効化した場合、配布対象の端末上でユーザーがセルフサービスポータルを操作し、インストールを行うことができます。配布ポリシーで指定した曜日・時間帯になっても未だパッチがインストールされていない場合、セルフサービスポータル上での操作の有無にかかわらずパッチが配布されます。※ セルフサービスポータルの機能の概要は、こちらのPatch Manager Plus Cloud (クラウド版製品)のナレッジをご参照ください。
    6.  

    7. 任意で、「配布ウィンドウ外のパッチ配布」を有効化します。
    8.  

    9. 任意で、「次の日時以降にタスクを停止する」を有効化し、自動配布タスクを停止させる期限を指定します。
  7.  

  8. 配布/適用対象の設定」にて、配布対象端末を指定します。
    • まず、リモートオフィスまたはドメインを選択します。
    • 配布対象を絞りたい場合、リモートオフィス/ドメインの入力欄の右にあるフィルターアイコンをクリックすることでフィルター条件を設定できます。フィルター条件が設定された状態でフィルターアイコンを再度クリックすると、条件が解除されます。
    • フィルター条件としてPC名を指定するには、「コンピューター」を選択します。このほか、IPアドレスやカスタムグループなどを指定することも可能です。(特にフィルター条件を指定する必要が無い場合は、何も入力しなくて構いません。)
    • 必要に応じて「除外対象」を入力します。除外対象を複数の条件で指定するには、除外対象の入力欄にマウスオーバーし、右に表示される「+」をクリックします。
    • 他のリモートオフィス(またはドメイン)に所属する端末を配布/適用対象に追加するには、リモートオフィス/ドメインの入力欄にマウスオーバーし、欄外の右側に表示される「+」をクリックします。

  9.  

  10. 通知の設定」の各項目を必要に応じて有効化します。通知が不要な場合、そのまま「保存」ボタンをクリックします。

以上で、自動配布タスクが作成されます。


タスクの停止・再開・削除

自動配布タスクを停止または再開させたり、削除したりするには、[配布]タブ → 左側メニューの[配布] → [パッチ配布の自動化]において、該当のタスクにチェックを入れます。リストのすぐ上にある「アクション」ボタンをクリックし、停止・再開・削除のいずれかをクリックします。