Patch Manager Plus オンプレミス版 ナレッジベース

パッチの拒否


この記事では、パッチ配布の自動化(自動配布)において、特定のパッチや特定のアプリケーションに対してパッチを適用させない「パッチの拒否」機能について説明しています。

パッチの拒否

Patch Manager Plusのパッチ管理機能では、欠落パッチとして検出されたパッチを、手動配布や自動配布を構成することで必要なコンピューターに自動的に配布します。
「パッチの拒否」機能では、特定のパッチや、特定のアプリケーションに対してパッチを管理対象PCに適用させたないよう設定できます。管理対象の一部に対してのみ拒否を設定することも可能です。

パッチの拒否に関する注意点

  • パッチの拒否を設定したパッチ/アプリケーションは、欠落パッチとして検出されなくなります。このため、パッチ自動配布タスクの対象に指定されている場合であっても手動でパッチを配布 しない限り、Patch Manager Plusは対象PCに対して該当パッチを配布しません
  • パッチの拒否設定はPatch Manager Plusで配布させないための設定です。パッチの拒否設定はWindows Updateやアプリケーションの自動更新に対しては適用されません。これらを停止したい場合、アプリケーションの自動更新によるパッチの適用の拒否であれば、「配布」タブ→ 「自動更新の無効化」 において、適用したいものを選択して「アクション」列→「高性能作成」から詳細を入力し、適用します。
    Windows Update による自動更新を無効化する場合はこちらをご覧ください。
  • Linux OSに対するパッチの拒否設定は、現在サポートされていません。yumベースのLinux OSに対しては回避策としてYum.confを編集する方法が考えられます。
  • Patch Manager Plusを使用して配布可能なのは基本的に各バージョンの最新版のみ(Windowsの一部のパッチのみこの制限を緩和できます)です。そのため、特定のパッチに拒否を長期間設定した後で拒否を解除しても、より新しいバージョンがリリースされている場合、そのバージョンのパッチを配布できない可能性があります。
パッチの拒否の設定方法
アプリケーション単位で設定する
  1. 「パッチ」タブ →「パッチの拒否」を開きます。
  2. [+パッチの拒否]をクリックします。すでにパッチの拒否を登録しているグループを編集する場合は、グループ名をクリックします。
  3. パッチの拒否を適用する対象(カスタムグループ)を選択します。既存のグループ名を選択するか、「+」をクリックしてカスタムグループを新規作成します。すべての管理対象コンピューターを選択する場合は「All Computers Group」を選択します。
  4. 必要に応じて説明を追加し、[次へ]をクリックします。
  5. KB番号、セキュリティ情報、パッチID、アプリケーション名またはプラットフォーム(OS)に基づいてパッチを選択します。
    • パッチ単位: 各アプリケーションのバージョンごとに指定します。「パッチ」→[+パッチの追加]をクリックし、パッチを選択します。必要に応じて右上の検索ボタンをクリックして各カラムを検索したり、左上のプルダウンから条件を指定したりして絞り込み、拒否するパッチ/アプリケーションにチェックを入れます。
    • アプリケーション単位: アプリケーションごとに指定します。「アプリケーション」→[+アプリケーションの追加]をクリックし、アプリケーションを選択します。必要に応じて右上の検索ボタンをクリックして各カラムを検索し、拒否するパッチ/アプリケーションにチェックを入れます。
    • ファミリー単位: 複数のアプリケーションを含むファミリー単位で指定します。「ファミリー」→[+選択するファミリーを追加]をクリックし、ファミリーを選択します。必要に応じて右上の検索ボタンをクリックして各カラムを検索し、拒否するパッチ/アプリケーションにチェックを入れます。
  6. [次へ]をクリックします。
  7. 概要を確認し、問題なければ[保存]をクリックします。

以上で、パッチの拒否設定が完了します。

パッチ単位で設定する
  1. 「パッチ」タブ 以下の各ビュー(「欠落パッチ」など)または「システム」タブ以下の各ビューにおいて、拒否したいパッチにチェックを入れます。
  2. [ステータスの変更]プルダウンをクリックし、「拒否済み」を選択します。
  3. カスタムグループの選択画面で、拒否を設定する既存のグループ名を入力して選択するか、「+」をクリックしてカスタムグループを新規作成します。すべての管理対象コンピューターを選択する場合は「All Computers Group」を選択します。
  4. [はい]をクリックします。
  5. 「選択されたパッチを本当に拒否しますか?」の確認画面が表示されたら「はい」をクリックします。

以上で、パッチの拒否設定が完了します。設定したパッチは「パッチ」タブ →「パッチの拒否」から確認できます。


パッチの拒否の解除

設定したパッチの拒否を解除するには、ステータスを承認済みに変更するか、またはパッチの拒否設定に登録したパッチ/アプリケーションを解除します。

パッチの拒否設定から解除する
  1. 「パッチ」タブ →「パッチの拒否」を開きます。
  2. グループ名をクリックします。
  3. 一部のパッチ拒否のみ取り消す場合は[編集]をクリックして、解除するパッチを一覧から削除します。すべての拒否を取り消す場合は[削除]をクリックします。
  4. 「このグループに対して拒否済みパッチを取り消しますか?」の確認画面が表示されたら「はい」をクリックします。

パッチの拒否が解除されました。