Hitachi

JP1 Version 13 JP1/IT Desktop Management 2 導入・設計ガイド


2.9.6 更新プログラムの管理

組織内のOSがWindowsのコンピュータには、不具合を修正したりセキュリティ上の問題を修正したりするために、必要に応じて更新プログラムを適用します。JP1/IT Desktop Management 2では、日本マイクロソフト社からリリースされた更新プログラムを、セキュリティポリシーに従って自動的にコンピュータに適用できます。

重要

更新プログラムの最新情報を自動的に取得して、更新プログラムをコンピュータに適用するにはサポートサービス契約が必要です。

ヒント

UNIXエージェント側で通知を抑止していなければ、ソフトウェア情報としてUNIXエージェント(AIX、HP-UX、Solaris)からOSパッチを取得できます。ただし、OSパッチの最新情報を自動的に取得してUNIXエージェントに適用することはできません。

ヒント

Macエージェントの場合、セキュリティポリシーの更新プログラムの自動更新の項目で、App Storeのアップデートの自動確認が有効になっているかどうかを判定できます。ただし、更新プログラムを自動的に取得してMacエージェントに適用することはできません。

JP1/IT Desktop Management 2では、次に示すような便利な機能を利用して更新プログラムを管理する手間を軽減できます。

更新プログラムの管理は、セキュリティ画面の[更新プログラム]画面で実行します。更新プログラムを管理する概念を次の図に示します。

[図データ]

日本マイクロソフト社から更新プログラムがリリースされると、サポートサービスサイトから更新プログラムの情報が自動的に取得されます。このとき、管理者に自動的にメール通知できます。更新プログラムの情報が取得されると、更新プログラムの一覧が自動的に更新されます。

セキュリティポリシーで[すべての更新プログラムが適用済み]を設定する場合、一覧に追加された更新プログラムの情報はセキュリティポリシーに反映され、自動的に最新の適用状況が判定されます。未適用のコンピュータがあった場合は、自動的に更新プログラムを配布して適用できます。

また、更新プログラムグループを作成することで、セキュリティポリシーごとに判定対象の更新プログラムを変えられます。テスト用のグループを作成することで、まず組織内のコンピュータに更新プログラムを適用しても問題がないかどうかをテストして、問題がないものだけ自動的に適用するといった運用ができます。

なお、手動で更新プログラムを登録して、配布することもできます。

サポートサービスからの情報の取得については、マニュアル「JP1/IT Desktop Management 2 運用ガイド」を参照してください。

ヒント

セキュリティポリシーによる更新プログラムの自動配布の機能と、Windowsの自動更新機能(Windows UpdateやMicrosoft Update)を併用することもできます。ただし、どちらの機能によって更新プログラムが適用されるかをJP1/IT Desktop Management 2で制御することはできません。 日本マイクロソフト社から適用必須として提供される更新プログラムをすべて適用したい場合は、Windows自動更新を有効にすることをお勧めします。特定の更新プログラムだけを適用したい場合は、JP1/IT Desktop Management 2の機能を使用して配布することをお勧めします。

ヒント

Windowsの累積的な更新プログラムおよびセキュリティマンスリー品質ロールアップの場合、最新の更新プログラムが公開されてからサポートサービスサイトの更新プログラムの情報が更新されるまでの間であってもセキュリティ判定ができます。また、更新プログラムを適用する猶予期間を考慮したセキュリティ判定もできます。ただし、最新の累積的な更新プログラムおよびセキュリティマンスリー品質ロールアップは、セキュリティポリシーによる更新プログラムの自動配布ができません。詳細は、マニュアル「JP1/IT Desktop Management 2 運用ガイド」のWindowsの累積的な更新プログラムおよびセキュリティマンスリー品質ロールアップの判定の説明を参照してください。

ヒント

リモートインストールマネージャで、Windowsの更新プログラムおよびWindows 10のFeature Updateをパッケージングして配布することもできます。詳細は、マニュアル「JP1/IT Desktop Management 2 配布機能 運用ガイド」の更新プログラムを管理する説明を参照してください。

更新プログラムグループの作成

セキュリティポリシーで、[指定した更新プログラムが適用済み]を設定する場合、更新プログラムグループを利用して、管理者が適用を許可した更新プログラムだけをセキュリティポリシーに反映できます。更新プログラムグループについては、「(9) 更新プログラムグループの管理」を参照してください。

関連リンク

〈この項の構成〉

(1) 更新プログラムを取得・配布するための前提条件

サポートサービスサイトから取得した更新プログラム情報を基に、日本マイクロソフト社のサイトから更新プログラムを取得して、コンピュータに自動的に配布するための前提条件を次に示します。

自動でサポートサービスサイトから更新プログラム情報を取得する条件

ヒント

サポートサービスサイトから更新プログラム情報を取得するためには、サポートサービスサイトに接続するための設定が必要です。

ヒント

管理用サーバがインターネット接続できない環境でも、ほかにインターネット接続できるコンピュータがあれば、手動でサポートサービスサイトから更新プログラム情報を取得して登録できます。

自動で日本マイクロソフト社のWebサイトから更新プログラムを取得して配布する条件

ヒント

更新プログラムをコンピュータに配布するためには、更新プログラムファイルが必要です。日本マイクロソフト社のWebサイトにインターネット接続できる環境の場合、自動的に更新プログラムがダウンロードされ更新プログラムファイルが登録されます。

管理用サーバがインターネット接続できない環境でも、ほかのインターネット接続できるコンピュータを利用して日本マイクロソフト社のWebサイトから更新プログラム(実行ファイル)を取得すれば、手動で更新プログラムファイルを登録できます。

(2) 更新プログラムを取得する場合の注意事項

更新プログラムを取得する場合の注意事項を次に示します。

関連リンク

(3) 情報を自動取得できる更新プログラムの種類

サポートサービスサイトと接続することで、日本マイクロソフト社からリリースされた更新プログラムの情報を取得して、自動的にセキュリティ判定の対象にできます。また、セキュリティポリシーで自動対策を設定しておくことで、更新プログラムをコンピュータに自動配布して適用できます。

次の表に示すプログラムの更新プログラム情報が、サポートサービスサイトから自動的に取得されます。

プログラム

種類またはバージョン

Windows

Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows 10

Windows 8.1

Windows 8

Windows 7

Windows Server 2012

Windows Server 2008

Windows Vista

Windows Server 2003

Windows XP

Internet Explorer

9.0 以降

注※ 日本語版をサポートしています。

また、更新プログラム情報を取得できるのは、これらのプログラムの更新プログラムのうち次の条件を満たすものです。

(4) 更新プログラムファイルの自動登録

配布に必要な更新プログラムおよびインストールスクリプトは、日本マイクロソフト社のWebサイトおよびサポートサービスサイトから自動的にダウンロードされ、更新プログラムファイルが登録されます。常に最新の更新プログラムを取得して配布できるため、管理者が更新プログラムを定期的にダウンロードする手間が省けます。

重要

更新プログラムおよびインストールスクリプトの自動ダウンロードには、サポートサービス契約が必要です。

更新プログラムファイルを自動的に登録する流れを次の図に示します。

[図データ]

なお、登録された更新プログラムファイルは、配布(ITDM互換)画面の[パッケージ一覧]には追加されません。更新プログラムファイルは、セキュリティポリシーの自動対策だけで配布できます。手動で更新プログラムを配布するタスクを作成することはできません。実行されたタスクは配布(ITDM互換)画面で確認できます。

(5) 更新プログラムファイルの手動登録

日本マイクロソフト社のWebサイトから、配布に必要な更新プログラムをダウンロードすることで、管理者が任意のタイミングで管理用サーバに更新プログラムを追加して更新プログラムファイルを登録できます。追加した更新プログラムは、自動的に利用者のコンピュータに適用されます。セキュリティに関する重要な更新プログラムを、JP1/IT Desktop Management 2の自動配布を待たないで至急配布したいときなどに便利です。

更新プログラムファイルを手動で登録する場合、更新プログラムのダウンロードおよび更新プログラムファイルの登録をすべて管理者自身で行ってください。

更新プログラムファイルを手動で登録する流れを次の図に示します。

[図データ]

ヒント

管理者のコンピュータがインターネットに接続できない環境の場合(更新プログラム一覧をオフラインで更新している場合)、インターネットに接続できるコンピュータで更新プログラムファイルを登録します。

この場合、インターネット接続できるコンピュータで操作画面を表示して、[更新プログラム]画面の[更新プログラムの情報]タブに表示される[更新プログラムのダウンロードURL]から、更新プログラムをダウンロードします。そのあと、[操作メニュー]の[更新プログラムファイルを登録する]を選択し、ダウンロードした更新プログラムを指定することで更新プログラムファイルを登録できます。

なお、作成された更新プログラムファイルは、配布(ITDM互換)画面の[パッケージ一覧]には追加されません。更新プログラムファイルは、セキュリティポリシーの自動対策だけで配布できます。手動で更新プログラムを配布するタスクを作成することはできません。実行されたタスクは配布(ITDM互換)画面で確認できます。

ヒント

手動登録した更新プログラムは、セキュリティポリシーの適正状態[すべての更新プログラムが適用済み]では判定されません。セキュリティ判定をするためには、手動登録した更新プログラムを[更新プログラムグループ]に登録し、セキュリティポリシーの[更新プログラム]で次のように設定すると、手動登録した更新プログラムを判定し、違反があれば自動対策も実施します。

設定項目:[更新プログラム適用]をチェックする

適正状態:[指定した更新プログラムが適用済み]−[必須とする更新プログラムグループ:]に、更新プログラムグループを選択する

自動対策:チェックし、[更新プログラムを配布]を選択する

(6) 更新プログラムの適用状況の確認

次に示す方法で、更新プログラムの適用状況を確認できます。

未適用のコンピュータが存在する更新プログラムを確認する

セキュリティ詳細レポートの[更新プログラムの適用状況]レポートで、未適用のコンピュータが多い順に、更新プログラムを確認できます。

[図データ]

セキュリティポリシーごとに危険レベルを確認する

セキュリティ画面の[セキュリティポリシー一覧]画面の[更新プログラム]タブで、危険レベルを確認できます。危険レベルに問題がある場合は、更新プログラムが未適用のコンピュータが存在するおそれがあります。

[図データ]

機器ごとに更新プログラムの適用状況を確認する

セキュリティ画面の[機器のセキュリティ状態]画面の[更新プログラム]タブで、各機器の更新プログラムの適用状況を確認できます。コンピュータに未適用の更新プログラムがある場合は、対象の更新プログラムが表示されます。

[図データ]

更新プログラムごとに未適用のコンピュータを確認する

セキュリティ画面の[更新プログラム一覧]画面の[未適用コンピュータ]タブで、更新プログラムごとに未適用のコンピュータを確認できます。

[図データ]

(7) 更新プログラム一覧の更新

管理者が設定したスケジュールやサポート契約情報に基づいて、定期的にサポートサービスサイトへアクセスして、JP1/IT Desktop Management 2に登録されている古い更新プログラムの一覧を自動的に更新できます。これによって、管理者が特別な操作を実施しなくても、すべてのコンピュータに最新の更新プログラムが適用されているかを確認したり、適用されていない更新プログラムを確認したりできるようになります。

更新プログラム一覧の更新は、1日1回自動的に実施されます。実施するタイミングは、JP1/IT Desktop Management 2のインストール後に実施するセットアップが完了したときの時間です。分は切り上げとなります。例えば、JP1/IT Desktop Management 2のセットアップが10時30分に完了した場合、更新プログラム一覧は、11時00分に更新されます。

重要

サポートサービス契約をしていて、かつ管理用サーバがインターネットに接続できる環境が必要です。

重要

更新プログラムの一覧が自動的に更新されるのは、更新プログラムが日本マイクロソフト社からリリースされてから、約10営業日後になります。これは、サポートサービスサイトの情報が更新されるまでに、更新プログラムのリリースから10日間ほど掛かるためです。リリースされた更新プログラムの情報をすぐに追加したい場合は、管理者自身が日本マイクロソフト社のWebサイトから更新プログラムおよび更新プログラムの情報を入手して、更新プログラム一覧に手動で追加してください。

関連リンク

(8) 更新プログラム一覧の更新のメール通知

自動的に更新プログラム一覧が更新された場合に、更新された内容を管理者にメールで通知できます。メールには追加された更新プログラムの情報について記載されています。管理者はメールを見るだけで、追加された更新プログラムについて詳細をすぐに把握できます。

重要

事前にメールサーバの設定、およびサポートサービスの設定が必要です。

通知されるメールの例を次の図に示します。

[図データ]

(9) 更新プログラムグループの管理

特定の更新プログラムだけを適用しているかどうか判定する場合、対象とする更新プログラムをまとめた更新プログラムグループを作成します。セキュリティポリシーで更新プログラムグループを指定することで、グループに登録した更新プログラムだけが判定対象になります。

また、更新プログラムグループを利用することで、異なるセキュリティポリシー間で、判定対象とする更新プログラムを一元管理できます。

更新プログラムグループを使用して、判定対象とする更新プログラムを管理する概念を次の図に示します。

[図データ]

例えば、営業部と開発部でセキュリティポリシーを分けている場合でも、適用する更新プログラムを共通化できます。 営業部用と開発部用のセキュリティポリシーで、更新プログラムの判定対象に共通の更新プログラムグループを指定することで、ポリシーの設定を分けながら適用する更新プログラムを共通で管理できます。

また、組織内に適用しても問題ないかどうかを確認してから更新プログラムを配布したい場合も更新プログラムグループを利用してください。サポートサービスから更新プログラムの情報を取得しても、更新プログラムグループには自動的には反映されません。更新プログラムグループに、更新プログラムを追加登録することで、セキュリティポリシーを編集することなく判定対象の更新プログラムを追加できます。このため、テスト済みの更新プログラムを更新プログラムグループに登録することで、管理者が許可した更新プログラムだけを適用管理できます。

(10) 更新プログラムの配布結果の判定

更新プログラムが正常に配布されたかどうかは、更新プログラム適用時の戻り値で判定されます。更新プログラム適用時の戻り値を次に示します。

戻り値

説明

0

インストールが正常終了しました。

1

インストールに失敗しました。

2

環境が不正です(メモリ不足、ファイルが不正など)。

3

内部エラーが発生しました。

4

Windows Script Host(WSH)のインストール状態が不正です。

5

内部エラーが発生しました。

(11) 更新プログラム一覧のインポートとエクスポート

管理用サーバに登録している更新プログラム一覧の情報をCSVファイルにエクスポートできます。エクスポートした更新プログラム一覧のCSVファイルを「パッチ情報CSVファイル」と呼びます。また、エクスポートしたパッチ情報CSVファイルを元の管理用サーバや別の管理用サーバにインポートできます。

更新プログラム一覧をインポートまたはエクスポートするコマンドを次に示します。

コマンド

機能

ioutils exportupdatelist

管理用サーバに手動で登録した更新プログラム一覧(パッチ情報CSVファイル)をエクスポートします。

ioutils importupdatelist

管理用サーバからエクスポートした更新プログラム一覧(パッチ情報CSVファイル)をインポートします。

これらのコマンドを使用することで、複数の管理用サーバを運用している場合に、各管理用サーバに登録されている更新プログラムを同じにすることができます。