Azure Update Managementの新機能――Azure以外のマシンの動的グループ：Microsoft Azure最新機能フォローアップ（84）

「Azure Update Management」で、Azure以外のマシンの動的対象化が正式に利用可能になりました。動的対象化（動的グループ）は更新プログラムの展開ごとにメンバーが評価されるため、特に定期実行スケジュールにおいて、これまでのマシンの個別指定よりも柔軟性が増します。

[山市良，テクニカルライター]

Microsoft Azure最新機能フォローアップ

復習――Azure Update Managementとは？

　「Azure Update Management（更新プログラムの管理）」（以下、Update Management）は、「Azure Automation」および「Azure Log Analytics」サービスが提供する、WindowsとLinuxに対応したクラウドベースの更新管理サービスです。

　Update Management自身が更新プログラムの配布ポイントになるわけではなく、更新状態（重要な更新プログラムやセキュリティ更新プログラムが全てインストール済みの場合は「準拠している」、そうでない場合は「準拠していない」）や、不足している更新プログラムの評価を行い、配布先を対象化して更新プログラムの展開スケジュールを作成し、再起動を含めて更新処理を自動化できるものです。

　更新プログラムの配布ポイントは、Windowsの場合は「Windows Update（Microsoft Update）」や「Windows Server Update Services（WSUS）」、Linuxの場合は各ディストリビューションが提供する更新サービスが利用されます。

　Update Managementは、Azure IaaS上のWindowsおよびLinux仮想マシンごとに個別に有効化して利用することもできますし、複数のAzure IaaS上の仮想マシンとオンプレミスの物理／仮想マシン（他社IaaSクラウド上の仮想マシンを含む）の更新管理を1つのワークスペースで統合管理することもできます（画面1）。

画面1　Azure IaaSの物理／仮想マシンとオンプレミスの物理／仮想マシンの一元管理に対応した「Azure Update Management（更新プログラムの管理）」サービス

　また、「Windows Admin Center」や「System Center Configuration Manager（SCCM）」と統合したハイブリッド環境での利用にも対応しています（画面2）。Update ManagementとWindows Admin Centerについては、本連載でも紹介しました。

• Azure仮想マシンのパッチ管理を大幅に省力化する「Update Management」（本連載 第47回）
• Azureとの連携がさらに強化された「Windows Admin Center 1904」（本連載 第82回）

画面2　Windows Admin CenterのAzureハイブリッドサービス対応により、Windows Admin CenterからAzure Update Managementによる更新管理に簡単に切り替えることができる

　Update Managementは、Windows Server 2008 R2 SP1以降のWindows Server、CentOS 6／7、Red Hat Enterprise Linux 6／7、SUSE Linux Enterprise Server 11／12、Ubuntu Server 14.04 LTS／16.04 LTS／18.04 LTSの更新をサポートしています。

　オンプレミスのWindows Serverの場合は、エージェント（Microsoft Monitoring Agent）を手動でインストールし、「Log Analytics」ワークスペースに接続する、あるいはWindows Admin Centerなどを使用して自動でセットアップすることで、Update Managementの管理対象にできます。

　前述のように、更新プログラムの取得元（Windows Update／WSUS）は変わりませんが、Update Managementの展開スケジュールを使用すると、更新先の対象化、更新プログラムの選択（KB番号による除外または包含）、開始日時の指定、再起動を指示できるようになります。

　通常、これらのことを実現するには、SCCMなどの管理ツールを導入したり、WSUSクライアントを「グループポリシー」で詳細に制御したりする必要がありますが、Update Managementに必要なのはエージェントの展開と展開スケジュールの作成だけです。

新機能、Azure以外の動的対象化（動的グループ）

　2019年7月初め、Update ManagementでAzure以外の「動的対象化」（「動的グループ」とも呼ばれます）の一般提供が開始されました。Azure以外の動的対象化とは、Azure IaaS上の仮想マシン以外、つまりオンプレミスの物理／仮想マシン、動的にメンバーが評価されるコンピュータグループによる対象化のことです。2018年9月からプレビュー提供されてきましたが、今回、正式版になりました。

• General Availability：Non-Azure Groups for Azure Update Management［英語］（Microsoft Azure）

　Update Managementでは、更新プログラムの展開スケジュールの対象化に、管理対象の物理／仮想マシンを個別指定する代わりに、動的対象化指定が可能です。Azure IaaS上の仮想マシンの場合は、「新しい更新プログラムの展開」の「更新するグループ」を開き、「グループの選択」の「Azure」タブで「サブスクリプション」「リソースグループ」「場所（リージョン）」「タグ」のフィルターを使用して、仮想マシンを動的にグループ化できます（画面3）。

画面3　Azure IaaS上の仮想マシンの動的対象化。「サブスクリプション」「リソースグループ」「場所（リージョン）」「タグ」のフィルターを使用して動的に対象化できる

　今回、正式版として一般提供が開始されたのは、「グループの選択」の「Azure以外」タブでの「保存した（されている）検索」リストからの選択による、動的なグループ指定と、メンバーのプレビュー表示（このプレビューとは“確認のための事前表示”という意味）機能です（画面4）。

画面4　Azure以外の物理／仮想マシンの動的対象化。ログの検索に基づいた事前定義のグループの選択と、プレビュー表示が可能に。今回、正式版として一般提供が開始されたのはこちら

　動的対象化を使用すると、更新プログラムの展開スケジュールを作成後、Update Managementに新しい物理／仮想マシンが追加された場合でも、クエリに一致すれば次回展開スケジュール実行時の評価の際、動的に展開対象に追加されます。そのため、マシンを個別に対象化指定するのとは異なり、展開スケジュールを変更する必要がありません。これは、特に定期実行の展開スケジュールを作成する際に便利な指定方法です。

　なお、現状、Azure IaaSおよびAzure以外の動的対象化は1000台を超えるクエリではサポートされず、1000台を超える場合は更新プログラムの展開に失敗することに注意してください。

Azure以外の動的対象化――「保存済みグループ」の事前定義

　既定の状態では、「グループの選択」の「Azure以外」タブには選択肢は表示されず、「保存されている検索はありません」と表示され、動的対象化は行えません。Azure以外の動的対象化のためには、Update Managementの「Automation」アカウントに関連付けられたLog Analyticsワークスペースのログを検索するクエリを作成し、それを「保存済みグループ」として保存しておく必要があります。それには、Log Analyticsワークスペースの「詳細設定」から「Computer Groups」→「保存済みグループ」を開きます。

　初期状態では保存済みグループは存在しないので「検索に移動してください」をクリックして、クエリの作成画面に移動し、Log Analyticsワークスペースがエージェントから収集したログに対してコンピュータのリストを返すクエリを作成し（クエリの最後は「| distinct Computer」）、クエリを実行してテストします。

　期待通りの結果を確認できたら「保存」をクリックして、「名前を付けて保存」で「Function」を選択し、「名前」「関数のエイリアス」「カテゴリ」を適宜入力して、「このクエリをコンピューターグループとして保存」を選択し、保存します（画面5）。

画面5　Log Analyticsワークスペースが収集したログを検索するクエリを作成し、「Function」と「このクエリをコンピューターグループとして保存」を選択して、クエリをグループとして保存する

　「詳細設定」に戻り「更新」をクリックして表示をリフレッシュすると、「保存済みグループ」に保存したクエリのグループが表示されます（画面6）。

画面6　「Computer Groups」→「保存済みグループ」のリストを更新して、コンピュータグループとしてクエリが保存されたことを確認する

　以下にクエリの例を幾つか紹介します。

全てのコンピュータのリスト

ComputerGroup| distinct Computer

"localad.contoso.com"という名前のActive Directoryドメインメンバーのリスト

ComputerGroup | where GroupSource == "ActiveDirectory" and GroupSourceName == "localad.contoso.com" | distinct Computer

Windows Server 2016サーバのリスト（OsVersionに"Windows Server 2016"を含む）

UpdateSummary | where OsVersion contains "Windows Server 2016"|distinct Computer

Windows Server 2019サーバのリスト（OsVersionに"Windows Server 2019"を含む）

UpdateSummary | where OsVersion contains "Windows Server 2019"|distinct Computer

AD／WSUS／SCCMからのグループのインポートについて

　Log Analyticsワークスペースの「詳細設定」→「Computer Groups」には、「保存済みグループ」の他に、「Active Directory」「WSUS」「SCCM」のオプションがあります。それぞれ、Active Directoryのグループ、WSUSのコンピュータグループ、SCCMのコレクションからインポートして、Log Analyticsワークスペースのコンピュータグループを作成するものです。

　これらは、動的対象化のための「更新するグループ」ではなく、「更新するマシン」の選択項目として利用可能です（画面7）。

画面7　Active Directory、WSUS、SCCMからインポートしたグループで対象化を行うことも可能。この機能は、Azure以外の動的対象化ではない

　「更新するマシン」の選択項目では、マシンの個別指定の他、「インポートされたグループ（AD/WSUS/SCCM）」のリストから選択できます。また、ここでも「保存した検索条件」として前述の「保存済みグループ」を選択できます。Azure以外の動的対象化との違いは、Azure以外の動的対象化の方は、Azure IaaS上の仮想マシンがフィルターされて除外される点です。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2019-2020）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。