配布ポリシーの設定方法
確認ビルド: Patch Manager Plus 10.1.2220.22 / 11.2.2300.30
この記事では、構成やパッチの配布を実行する際に指定する「配布ポリシー」の内容と、その設定方法について説明しています。
配布ポリシーの設定方法
配布ポリシーとは
Patch Manager Plusを使用してパッチを配布する際に、配布する時間帯やユーザーによるスキップの許可、再起動の実行などを「配布ポリシー」で設定します。
これらの設定内容をポリシーとして保存することで、配布の際にポリシーを選択するだけで簡単に設定を適用できます。また、配布ポリシーを複数作成して保存できるため、様々な条件のポリシーを作成することで柔軟な運用が可能です。
配布ポリシーの内容
以下の項目を指定します。
- 1. 配布スケジュール: 配布を実行する曜日、週、時間帯を指定します。配布時間帯の開始時刻より前に必要なファイルをあらかじめ対象PCにダウンロードしておく設定が可能です。
- 2. 配布前のアクション(Pre-deployment Activities): 配布前に対象PCをWake On Lanで起動させる(Windowsのみ、前提条件あり)/再起動を実行する(Windows/Mac/Linux)といった設定や、任意のスクリプトを実行する(Windows/Linux)ことが可能です。
- 3. 配布前のユーザー通知(Pre-deployment user notification): 対象PCにポップアップで通知を表示できます。必要に応じて、ユーザーによる配布の延期を許可できます。
- 4. 配布後のアクション(Post-deployment Activities): 再起動が必要なパッチがインストールされた際に再起動やシャットダウンを実行するか、ユーザーによる延期を許可するか等を設定します。また、任意のスクリプトを実行する(Windows/Linux)ことも可能です。
デフォルトで選択できる配布ポリシー
(ビルド番号により、デフォルトで選択可能なポリシー名および内容に若干の差異がございます)。
- Deploy any time at the earliest
配布ウィンドウ: 毎週全ての曜日の00:00から23:59
配布前の動作: なし
ユーザーへの通知:なし
再起動ポリシー: 再起動/シャットダウンしない
時間帯の制限が最も緩いため、「今すぐ配布」などの操作を実行する場合は、特に問題が無い場合はこのポリシーを選択します。
など
※ 詳細は、各ポリシー名をクリックしてご確認ください。
配布ポリシーの新規作成方法
- 以下のいずれかより、配布ポリシーの作成画面を開きます。
- 配布タブ > 配布ポリシー > [+ポリシーの作成]
- パッチを手動配布する際、パッチ配布の構成において、配布設定 > ポリシーの作成/変更(作成後、ポリシー選択プルダウンメニュー隣のリフレッシュアイコンをクリックします)
- パッチ配布の自動化タスクを構成する際、配布ポリシーを選択 > 配布ポリシーの適用 > ポリシーの作成/変更(作成後、ポリシー選択プルダウンメニュー隣のリフレッシュアイコンをクリックします)
- ポリシーの名前を入力します。任意で、ポリシーの分かりやすい説明を追加します。
ポリシーのデフォルトの名称は、My Policy + (数字1-4桁)です。Patch Manager Plusの運用期間が長くなるにつれポリシーの数が増加すると考えられますので、ポリシー作成時に分かりやすい名前と説明を入力します。なお、ポリシーは配布タスクに使用された状態では削除できません。
- 配布スケジュールを設定します。完了したら、「次へ」をクリックします。
- 基準:
カレンダー準拠 または パッチチューズデー準拠 を選択します。- カレンダー準拠: 通常のカレンダーどおり、「n月の第m週のk曜日」のように日程を指定します。
- パッチチューズデー準拠: パッチチューズデーのある毎月第2火曜日からの7日間を「パッチチューズデーの週」、第3火曜日からの7日間を「パッチチューズデーの第1週」…とし、「パッチチューズデーの第n週のk曜日」のように日程を指定します。
(参考)パッチチューズデーは、Microsoft社が月例パッチを発表(「Bリリース」)する毎月第2火曜日を指します(日本時間ではほぼ第2水曜日です)。詳細は、Windows の月例セキュリティ更新プログラムと品質更新プログラム(Microsoft社 Windows Blogs) より、「月例更新プログラムの種類」をご覧ください。
- カレンダー準拠: 通常のカレンダーどおり、「n月の第m週のk曜日」のように日程を指定します。
- 配布ウィンドウ:
配布を許可する時間帯を指定します。例えば、18時から翌日9時までを指定する場合は、開始時刻を18:00/終了時刻を09:00に指定できます。必要に応じて「スケジュールをさらに追加」をクリックして、複数の時間帯を登録します。配布ウィンドウの時間
配布ウィンドウは、最低60分または最低180分の時間を確保する必要があります。なお、特段の理由が無ければ、配布ウィンドウの時間帯をなるべく長く確保することをお勧めします。詳細は次のpoint欄をご覧ください。
配布ウィンドウ終了時の挙動
配布ウィンドウで指定した時間帯に配布が終了しなかった場合、その時点で配布中のものは引き続き配布が続行され、配布開始前のものは次の配布ウィンドウに配布が行われます。
(なお、本項目も含め、パッチ配布機能において配布ポリシーによって指定される「配布」とは、パッチのダウンロードおよびインストールを指します。次の項目で「エージェントがサーバーと通信したタイミングいつでも」を指定した場合、ここでいう配布はインストールのことを指します。)(例)配布ウィンドウが毎日12:00-19:00に設定されており、パッチを5個配布する構成が18:30から開始されています。
18:55に4個目のパッチのインストールが開始され、19:00を過ぎても完了しなかった場合
→ 4つ目のパッチ配布は継続されます。
(配布ウィンドウは、配布の開始時点を指定しています。)
→ 5個目のパッチは19:00までに配布を開始できなかったため、翌日の12:00-19:00の配布ウィンドウの際に配布が開始されます。 - サーバーからエージェントにパッチをダウンロード(Download Patches from server to Agent): エージェントにパッチファイルをダウンロードする時間を指定します。
※Patch Manager Plus 10.1.2137.11より前のビルドでは、この次の 「配布前の設定」 > 「リフレッシュサイクル中にパッチやソフトウェアをダウンロード」に相当します。
- 配布ウィンドウの間のみ(Only during Deployment Window):
配布ウィンドウの開始以降にファイルのダウンロードおよびインストールを実行します。
パッチのダウンロードが開始されるタイミングは、配布ウィンドウ(および配布タスク側で指定するスケジュール設定)で指定した時間帯の中の、リフレッシュサイクルまたはシステム起動時となります。 - エージェントがサーバーと通信したタイミングいつでも(Any time agent contacts the server):
配布ウィンドウで指定した時間帯が開始されるより前の時点で、エージェントはパッチの実行ファイルをダウンロードします。配布ウィンドウの開始時刻までに必要な実行ファイルがすべてダウンロードされている場合、配布ウィンドウの開始時刻から数分程度以内に、パッチのインストールが開始されます。このため、「配布ウィンドウの間のみ」の場合と比較すると、より早期にインストールが完了します。- パッチの実行ファイルとは異なり、その適用に必要なメタファイルは、インストールの開始直前にダウンロードされます。このため対象端末は、実行ファイルのダウンロードの際だけでなく、インストール開始時にもサーバーと通信可能である必要があります。
- 配布構成の「スケジューラー設定」 > 「指定した日時以降にインストール」を有効化して開始時刻を指定している場合、インストール開始は指定した開始時刻以降となります。
- 配布ウィンドウの開始時刻までにダウンロードが完了していない場合、または配布ウィンドウの開始時刻に他のタスクが進行中の場合、パッチのインストール開始のタイミングは、配布ウィンドウ(および配布タスク側で指定するスケジュール設定)で指定した時間帯の中の、リフレッシュサイクルまたはシステム起動時となります。
「配布ウィンドウの間のみ」を選択した場合、配布ウィンドウとして設定可能な最小値は180分間です。これは、リフレッシュサイクルによる90分に1回の通信を2回分確保するためです。
「エージェントがサーバーと通信したタイミングいつでも」を選択した場合、配布ウィンドウとして設定可能な最小値は60分間です。
なおいずれの場合も、パッチ配布が失敗する可能性を少なくするために、最小値ちょうどではなくより長い時間幅で設定することをお勧めします。 - 配布ウィンドウの間のみ(Only during Deployment Window):
- ~に配布を実施する:
システム起動 / リフレッシュサイクル / いずれか早く実行される方 から選択します。特段の事情がなければ、「いずれか早く実行される方」を選択します。
- 基準:
- 必要に応じて配布前のアクション / 配布前の設定を選択します。
Patch Manager Plus 10.1.2119.10以降
必要に応じて配布前のアクションを選択します。以下の中から必要なものを左側の四角の中にドラッグ&ドロップし、項目名をクリックして詳細を決定します。完了後、[保存]をクリックし次に進みます。Patch Manager Plus 10.0.719以前
必要に応じて配布前の設定を選択します。この項目はWindowsに対してのみ有効です。完了後、「次へ」をクリックします。- 配布前にコンピューターを自動で起動:
チェックを入れると、パッチ配布の開始時点でWake On LANを使用して自動的に対象PCを起動します(Wake On LANの実行には、対象PCのBIOS/UEFIやネットワークアダプターなどの設定変更が必要です)。
- リフレッシュサイクル中にパッチやソフトウェアをダウンロード:
上記の「サーバーからエージェントにパッチをダウンロード」>「エージェントがサーバーと通信したタイミングいつでも」に相当します。
- 配布前にコンピューターを自動で起動:
- 対象PC(ユーザー)への通知について設定します。「ユーザーに配布事項を通知」にチェックを入れると、配布開始後、対象PCにポップアップメッセージを表示します。設定完了後、「次へ」をクリックします。
- 配布メッセージの件名 / 通知メッセージ: ポップアップメッセージのタイトルおよび説明文を入力します。
- 通知タイムアウト: ポップアップメッセージの表示が継続する時間(分)を指定します。1-600の数字を入力します。ポップアップの表示中にユーザーが応答しなかった場合、配布が開始されます。
- ユーザーによる配布の延期: 配布の延期を許可する場合はチェックを入れます。
- 次で指定した日数後に強制的に配布: ユーザーによって配布が延期された場合でも、配布を延期してから指定した日数後に強制的に配布を実行します。
- 配布前にシステムのアイドルステータスが[ ]分間続いた場合、ユーザー通知なしで配布を開始: 配布前に対象PCが指定した時間アイドル状態だった場合、通知を表示せずに配布を開始します。
ポップアップで延期を選択した場合、リフレッシュサイクルごとに再度ポップアップが表示されます。
- 配布進行状況をクライアントPC上に表示: 配布の進行状況が表示されます。
※Patch Manager Plus 10.1.2137.11より前のビルドでは、ユーザーへの通知はWindowsに対してのみ有効です。また、通知タイムアウトの設定可能時間は1-599(分)となります。
- 配布メッセージの件名 / 通知メッセージ: ポップアップメッセージのタイトルおよび説明文を入力します。
- 配布後のアクション / 再起動ポリシーを設定します。
- 配布後の再起動/シャットダウン (Post Reboot / Shutdown): 再起動/シャットダウンを実行します。また、必要に応じて再起動/シャットダウンの通知をユーザーに表示します。
- カスタム・スクリプト(Windows/Linuxのみ): カスタムスクリプトを実行します。
- 再起動/シャットダウンなし:
再起動が必要なパッチをインストールした場合でも再起動やシャットダウンを実行しません。 - 再起動:
「再起動の強制」を選択した場合、再起動時刻を指定する機能はWindowsにのみ対応しています。また、ユーザーによる再起動の延期はWindows/Macにのみ対応しています。 - シャットダウン:
「シャットダウンの強制」を選択した場合、シャットダウン時刻を指定する機能はWindowsにのみ対応しています。また、ユーザーによるシャットダウンの延期はWindows/Macにのみ対応しています。
Patch Manager Plus 10.1.2119.10以降
必要に応じて配布後のアクションを選択します。以下の中から必要なものを左側の四角の中にドラッグ&ドロップし、項目名をクリックして詳細を決定します。Patch Manager Plus 10.0.719以前
再起動ポリシーを選択します。再起動/シャットダウンなし / 再起動 / シャットダウン から選択し、完了後「保存」をクリックします。各パッチの「再起動」カラムが「自動再起動」となっている一部のMac向けパッチは、適用後再起動が強制されます。 - 再起動: 再起動が必要なパッチをインストールした場合、インストール完了後に再起動を実行します。
- 再起動メソッド: 再起動の強制 / ユーザーによる再起動の延期 を選択します。
「再起動の強制」を選択した場合
- 配布ウィンドウ内で配布完了後即時再起動する / 再起動時刻を指定する のどちらか一方を選択します。
- 配布ウィンドウ内で配布完了後即時再起動する: 配布ウィンドウで指定した時間帯において、再起動が開始されます。
- 再起動時刻を指定する: 再起動は配布直後に実行されません。配布ウィンドウとは別の「再起動ウィンドウ」において指定された曜日/時間帯に再起動が開始されます。なお、この機能はWindows/Linuxにのみ対応しています。
- 再起動ウィンドウ: 曜日と時間帯を指定します。複数の日程を指定可能で、それぞれ30分間以上の時間帯を設定する必要があります。
- PC上で再起動ウィンドウを無視した場合: 有効化すると、次回PCがアクティブ状態になった際に再起動が実行されます。
- 再起動メッセージの件名/再起動前の通知メッセージ/通知タイムアウト: 再起動が実行される前に表示されるポップアップメッセージの件名と本文、ポップアップメッセージがタイムアウトされる時間を指定します。ポップアップメッセージの表示中にユーザーが応答しなかった場合、再起動が開始されます。
- 再起動を除外: 有効化した条件に当てはまる端末の再起動を実行しません。
- 再起動が不要な場合、再起動しない: 再起動が不要なパッチのみが配布された場合に、再起動を実行しません。
- サーバーOSは再起動しない: Windows Server OSに対しては、再起動を実行しません。
「ユーザーによる再起動の延期」を選択した場合
- 再起動メッセージの件名/再起動前の通知メッセージ: 再起動が実行される前に表示されるポップアップの件名と本文を指定します。
- 次で指定した日時以降に再起動プロンプトを表示する: この項目を有効にすると、再起動メッセージを表示する曜日/時刻を指定できます。
- 上記ウィンドウから次のタイムアウト時間が経過した場合自動再起動する: この項目を有効にすると、再起動メッセージが指定した時間内に操作されずタイムアウトした場合に、自動的に再起動を実行します。合わせて、タイムアウト時間を指定します。
- 延期の頻度: チェックを入れた時間の中から、エンドユーザーは再起動を延期する時間を選択できます。ユーザー定義にチェックを入れると、エンドユーザーの任意の時間の延期が可能になります。
"延期の頻度"はWindows/Linuxにのみ有効です。Windows/Linuxに対してはチェックを入れたもののみが延期時間の選択肢として表示されますが、Macに対しては15分/1時間/2時間/4時間が選択肢として表示され、変更できません。
- ~後に強制的に再起動: 有効化して時間(時間)を入力すると、指定時間後に延期できない再起動通知を表示します。
- 次のタイムアウト後の再起動: 有効化して時間(分)を入力すると、再起動のポップアップメッセージは指定時間後にタイムアウトとなり、直後に再起動されます。
- 配布ウィンドウ内で配布完了後即時再起動する / 再起動時刻を指定する のどちらか一方を選択します。
- 再起動を除外: 有効化した条件に当てはまる端末の再起動を実行しません。
- 再起動が不要な場合、再起動しない: 再起動が不要なパッチのみが配布された場合に、再起動を実行しません。
- サーバーOSは再起動しない: Windows Server OSに対しては、再起動を実行しません。
- 再起動メソッド: 再起動の強制 / ユーザーによる再起動の延期 を選択します。
- シャットダウン: 再起動/シャットダウンが必要なパッチをインストールした場合、インストール完了後にシャットダウンを実行します。
- シャットダウンメソッド: シャットダウンの強制 / ユーザーによるシャットダウンの延期 を選択します。
「シャットダウンの強制」を選択した場合
- 配布ウィンドウ内で配布完了後即時シャットダウンする / シャットダウン時刻を指定する のどちらか一方を選択します。
- 配布ウィンドウ内で配布完了後即時シャットダウンする: 配布ウィンドウで指定した時間帯において、シャットダウンが開始されます。
- シャットダウン時刻を指定する: シャットダウンは配布直後に実行されません。配布ウィンドウとは別の「シャットダウンウィンドウ」において指定された曜日/時間帯にシャットダウンが開始されます。なお、この機能はWindows/Linuxにのみ対応しています。
- シャットダウンウィンドウ: 曜日と時間帯を指定します。複数の日程を指定可能で、それぞれ30分間以上の時間帯を設定する必要があります。
- PC上でシャットダウンウィンドウを無視した場合: 有効化すると、次回PCがアクティブ状態になった際にシャットダウンが実行されます。
- シャットダウンメッセージの件名/シャットダウン前の通知メッセージ/通知タイムアウト: シャットダウンが実行される前に表示されるポップアップメッセージの件名と本文、ポップアップメッセージがタイムアウトされる時間を指定します。ポップアップメッセージの表示中にユーザーが応答しなかった場合、シャットダウンが開始されます。
- シャットダウンを除外: 有効化した条件に当てはまる端末のシャットダウンを実行しません。
- シャットダウンが不要な場合、シャットダウンしない: シャットダウンが不要なパッチのみが配布された場合に、シャットダウンを実行しません。
- サーバーOSはシャットダウンしない: Windows Server OSに対しては、シャットダウンを実行しません。
- 再起動後シャットダウンする: 再起動を実行した後、シャットダウンします。
「ユーザーによるシャットダウンの延期」を選択した場合
- シャットダウンメッセージの件名/シャットダウン前の通知メッセージ: シャットダウンが実行される前に表示されるポップアップの件名と本文を指定します。
- 次で指定した日時以降にシャットダウンプロンプトを表示する: この項目を有効にすると、シャットダウンメッセージを表示する曜日/時刻を指定できます。
- 上記ウィンドウから次のタイムアウト時間が経過した場合自動シャットダウンする: この項目を有効にすると、シャットダウンメッセージが指定した時間内に操作されずタイムアウトした場合に、自動的にシャットダウンを実行します。合わせて、タイムアウト時間を指定します。
- 延期の頻度: チェックを入れた時間の中から、エンドユーザーはシャットダウンを延期する時間を選択できます。ユーザー定義にチェックを入れると、エンドユーザーの任意の時間の延期が可能になります。
"延期の頻度"はWindows/Linuxにのみ有効です。Windows/Linuxに対してはチェックを入れたもののみが延期時間の選択肢として表示されますが、Macに対しては15分/1時間/2時間/4時間が選択肢として表示され、変更できません。
- ~後に強制的にシャットダウン: 有効化して時間(時間)を入力すると、指定時間後に延期できないシャットダウン通知を表示します。
- 次のタイムアウト後のシャットダウン: 有効化して時間(分)を入力すると、シャットダウンのポップアップメッセージは指定時間後にタイムアウトとなり、直後にシャットダウンされます。
- 配布ウィンドウ内で配布完了後即時シャットダウンする / シャットダウン時刻を指定する のどちらか一方を選択します。
- シャットダウンを除外: 有効化した条件に当てはまる端末のシャットダウンを実行しません。
- シャットダウンが不要な場合、シャットダウンしない: シャットダウンが不要なパッチのみが配布された場合に、シャットダウンを実行しません。
- サーバーOSはシャットダウンしない: Windows Server OSに対しては、シャットダウンを実行しません。
- 再起動後シャットダウンする: 再起動を実行した後、シャットダウンします。
- シャットダウンメソッド: シャットダウンの強制 / ユーザーによるシャットダウンの延期 を選択します。
- 保存をクリックします。
以上の手順で、配布ポリシーが作成されました。
配布ポリシーの編集/削除
作成した配布ポリシーは、パッチ管理タブ > 配布 > 配布ポリシーから確認でき、編集や削除が可能です。
配布ポリシーの編集
- 配布タブ > 配布ポリシー > アクション列の3点リーダ > 編集 をクリックします。
- 配布タスクで使用中のポリシーの場合は注意事項が表示されます。[はい]をクリックします。
配布ポリシーの削除
- 配布タブ > 配布ポリシー > アクション列の3点リーダ > 削除 をクリックします。
- 配布タスクで使用中のポリシーの場合は注意事項が表示されます。[はい]をクリックします。
当該ポリシーを使用するタスクが無くなった時点で自動的に一覧から削除されます。