次の方法で共有

チュートリアル: ポリシーを使用して Azure VM で定期的な評価とスケジュールされた修正プログラムの適用を有効にする

適用対象: ✔️ Windows VMs ✔️ Linux VM ✔️ オンプレミス環境 ✔️ Azure Arc 対応サーバー。

このチュートリアルでは、ポリシーを使用して、Azure 仮想マシン (VM) の定期的な評価とスケジュールされた修正プログラムの適用を大規模に有効にする方法について説明します。 ポリシーを使用して標準を割り当て、コンプライアンスを大規模に評価できます。 詳細については、こちらを参照してください

定期的な評価 は、マシンで利用可能な最新の更新プログラムの表示です。 更新の状態を確認する必要があるたびに、評価を手動で実行する手間が省けます。 この設定を有効にすると、Azure Update Manager は 24 時間に 1 回、コンピューター上の更新プログラムをフェッチします。

スケジュールされた修正プログラムの適用 は、Azure Policy を使用して更新プログラムのデプロイ用にマシンのグループをターゲットにする機能です。 グループ化により、マシンを更新するためにデプロイを編集する必要ができなくなります。 サブスクリプション、リソース グループ、タグ、またはリージョンを使用してスコープを定義し、組み込みのポリシーにこの機能を使用できます。 組み込みのポリシーは、ユース ケースに応じてカスタマイズできます。

このチュートリアルでは、次の操作を行います。

  • 定期的な評価を有効にします。
  • スケジュールされた修正プログラムの適用を有効にします。

[前提条件]

  • Azure サブスクリプションが必要です。 アカウントをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

定期的な評価を有効にする

  1. Azure portal にサインインし、[ポリシー] に移動します

  2. [ 作成] で [ 定義] を選択します。

  3. [ カテゴリ ] ドロップダウン リストで、[ Azure Update Manager] を選択します。 [ Configure periodic checking for missing system updates on Azure virtual machines for Azure machines]\(Azure マシンの Azure 仮想マシンで不足しているシステム更新プログラムの定期的なチェックを構成する \) を選択します。

  4. ポリシー定義が開いたら、[ 割り当て] を選択します。

  5. [基本] タブで、スコープとしてサブスクリプションを選択します。 サブスクリプション内のリソース グループをスコープとして指定することもできます。 次に、[次へ] を選択します。

  6. [パラメーター] タブで、パラメーターの値を確認できるように、入力またはレビューが必要なパラメーターのみを表示する のチェック ボックスをオフにします。

  7. [ 評価 ] タブで、 AutomaticByPlatform>オペレーティングシステムを選択します。 Windows と Linux 用に個別のポリシーを作成する必要があります。 次に、[次へ] を選択します。

  8. [修復] タブで、マシンで定期的な評価が有効になるように、[修復タスクの作成] を選択します。 次に、[次へ] を選択します。

  9. [ コンプライアンス非対応 ] タブで、マシンが準拠していない場合に表示するメッセージを指定します。 たとえば、 マシンで定期的な評価が有効になっていません。 次に、[ 確認と作成] を選択します。

  10. [ 確認と作成 ] タブで、[ 作成] を選択します。 このアクションにより、割り当てと修復タスクの作成がトリガーされます。これには 1 分ほどかかる場合があります。

ポリシーのホーム ページで、[コンプライアンス] の下にあるリソースのコンプライアンスを監視し、[修復] の修復状態を監視できます。

スケジュールされた修正プログラムの適用を有効にする

  1. Azure portal にサインインし、[ポリシー] に移動します

  2. 作成割り当て を選択します。 次に、[ ポリシーの割り当て] を選択します。

  3. [基本] タブで、次の 操作 を行います。

    • [スコープ] で、サブスクリプションとリソース グループを選択し、[選択] を選択します
    • ポリシーの一覧を表示するには、[ポリシー定義] を選択します。
    • [使用可能な定義]種類 で、[組み込み] を選択します。 検索ボックスに、「 Azure Update Manager を使用して定期的な更新プログラムをスケジュールする」と入力し、[選択] を 選択します
    • [ポリシーの適用][有効] に設定されていることを確認し、[次へ] を選択します。

  4. [ パラメーター ] タブの既定では、 メンテナンス構成 ARM ID のみが表示されます。

    他のパラメーターを指定しない場合は、[ 基本 ] タブで選択したサブスクリプションとリソース グループ内のすべてのマシンがスコープの対象となります。 ただし、リソース グループ、場所、OS、タグなどを基にさらにスコープを設定する場合は、 すべてのパラメーターを表示するために入力またはレビューが必要なパラメーターのみを表示 する] をオフにします。

    • メンテナンス構成 ARM ID: この必須パラメーターは、マシンに割り当てるスケジュールの Azure Resource Manager ID を表します。
    • リソース グループ: リソース グループにスコープを設定する場合は、リソース グループを指定できます。 既定では、サブスクリプション内のすべてのリソース グループが選択されます。
    • オペレーティング システムの種類: Windows または Linux を選択できます。 既定では、両方が選択されています。
    • マシンの場所: 必要に応じて、マシンのリージョンを指定できます。 既定では、すべてのリージョンが選択されています。
    • マシン上のタグ: タグを使用して、さらに深くスコープ指定できます。 既定では、すべて選択されています。
    • タグ オペレーター: 複数のタグを選択した場合、スコープを、すべてのタグを持つマシン、またはそれらのタグを持つマシンにするかどうかを指定できます。

    タグを追加する構文を示すスクリーンショット。

  5. [ 修復 ] タブで、[ マネージド ID>マネージド ID の種類] に移動し、[ システム割り当てマネージド ID] を選択します。 [アクセス許可] は、ポリシーの定義に従って、既に [共同作成者] として設定されています。

    [修復] を選択した場合、ポリシーはスコープ内のすべての既存のマシンで有効になります。 それ以外の場合は、スコープに追加する新しいマシンに割り当てられます。

  6. [ 確認と作成 ] タブで、選択内容を確認します。 環境のコンプライアンス状態を理解できるように、非準拠リソースを識別するには、[ 作成 ] を選択します。

関連コンテンツ

  • Last updated on